基于免疫的多通道入侵防御模型

摘要：提出了一種基于免疫的多通道入侵防御模型，按網絡協議類型對數據包進行分類，利用多過濾器技術優化網絡流的實時分析處理，模擬生物免疫系統發現和殺死病原體的原理，采用免疫細胞的特殊機理實現入侵防御功能，建立受保護網絡或主機的指紋特征庫，減少過濾器分析和處理的數據量，提高網絡入侵防御的效率。實驗結果表明，本系統提高了入侵防御的智能化程度，能發現未知攻擊，并能對未知攻擊作出一定的處理。

關鍵詞：生物免疫系統;入侵檢測;入侵防御;指紋特征

中圖分類號：TP309.2

文獻標志碼：A

文章編號：1001－3695(2008)06－1846－04

目前，網絡攻擊事件呈上升趨勢，網絡入侵對上網用戶造成了巨大的威脅。長期以來，入侵檢測系統（intrusion detection system，IDS）擔負著檢測網絡攻擊的角色，在一定程度上，它為網絡攻擊的發現和預防提供了比較有效的手段[1]。但是，隨著網絡的飛速發展，IDS本身暴露出了許多不足之處，最大的缺點就是只能提供報警信息，不能主動對網絡攻擊作出阻斷操作。IDS雖然不會影響網絡的流量，但是由于百兆網、千兆網的出現，IDS不能抓取所有的數據包，因而存在嚴重的丟包現象，這會直接影響到網絡入侵檢測的準確率。另外，IDS的誤警率和漏報率居高不下，新的攻擊類型出現后，只能在IDS廠商把誤用特征發布后才能被檢測到，這使得IDS的有效檢測方法總是滯后于新的網絡入侵。

IDS的種種不足促使了入侵防御系統（intrusion prevention system，IPS）的出現，IPS被放置在網絡數據流的通路中，數據包必須經過IPS的過濾才能傳給內部網絡。IPS通過高速的硬件技術檢查網絡數據包中是否含有攻擊特征，如果有則丟棄該數據包，否則，讓其進入受保護網絡。但是，目前的IPS不能檢測出未知攻擊，這使得IPS檢測方法也滯后于新的網絡攻擊。另外，由于網絡流必須通過IPS，IPS也容易成為網絡的瓶頸。

生物免疫系統（biological immune system，BIS）是抗擊病源入侵的首要防御系統，它通過免疫細胞檢測病原體，并將其消滅。免疫細胞通過遺傳獲得消滅已知病毒的能力，另外，它通過動態演化（變異和學習）來產生消滅變異病毒或未知病毒的能力。BIS具有良好的學習與認知性、耐受性、分布性、魯棒性、自適應性、免疫反饋性、多樣性和自適應性等特征[2]。本文利用BIS的自適應性、學習性和多樣性等特性[2~4]，提出了基于免疫的入侵防御模型（immunity－based intrusion prevention model，IIPM），模擬BIS的克隆選擇、親和力成熟和自體耐受機制[5~8]，用攻擊數據包的檢測器和處理器實現了生物免疫細胞的功能，讓IIPM的檢測器進行自我進化，發現新的攻擊并模擬吞噬細胞[2]（phagocyte）的功能，對入侵數據包進行合理的處理。為了提高IIPM的效率，本文為網絡內的主機建立了指紋特征庫，讓IIPM有針對性地去發現并處理攻擊網絡包，減少IIPM過濾器的負擔。

1模型介紹

1．1系統框架

本文提出的IIPM如圖1所示。在IIPM中，網絡數據流首先流入分類器，分類器按照網絡數據包的報頭信息將數據包進行分類，本文按照協議進行分類。為了保證所有的數據包都能按要求進行分類，分類器采用高速的硬件設備，即使網絡帶寬過高，也可以設置并行分類器。

為防止漏包現象，采用了多個并行過濾器的方法，讓單個過濾器專注于分析和處理某種或某幾種協議的網絡數據包，過濾器采用了生物免疫學的自體耐受、克隆選擇與親和力成熟等機制，利用模擬了抗體（antibody）的檢測器分析網絡數據包，同時過濾器還采用了模擬吞噬細胞的處理器來處理被發現的攻擊數據包。為了避免過濾器分析和處理沒有危害的攻擊數據包，系統為內部網絡或主機建立了指紋信息特征庫（參見1.5節），過濾器根據指紋信息判斷攻擊數據包是否會給受保護的主機帶來危害，如果不會，則不對該攻擊數據包作任何處理。經過過濾器分析和處理的數據流變為正常的數據包，通過高速數據合并器的合并，最終傳給受保護的主機或網絡。

1．2過濾器

過濾器是IIPM的核心設備，它負責將網絡數據包進行分析和處理，如圖2所示。過濾器中部署了網絡數據包檢測器（簡稱檢測器，參見1.3節）和網絡攻擊處理器（簡稱處理器，參見1.4節）。

檢測器模擬了BIS的抗體[2，9]，它負責檢測數據包中是否存在攻擊數據。送進過濾器的數據包已按協議進行分類，它必須經過檢測器的過濾分析后才能繼續往下傳輸，如果數據包被檢測器確定為攻擊，數據包將被交給處理器。檢測器使用了主機指紋信息庫，通過主機指紋信息可以判斷攻擊數據包是否會對被保護主機產生影響，如果對其沒有破壞作用，則不對其進行處理，以節約系統資源。

處理器模擬了生物免疫系統的吞噬細胞，根據攻擊數據包的特征，處理器可以將攻擊數據包進行丟棄和修復等操作，經過處理器處理的攻擊包有兩種結果：從網絡流中刪除或清除攻擊數據后恢復為正常數據包。處理器調用專門的攻擊處理程序來處理攻擊數據包，攻擊處理程序的出現會滯后于新攻擊的出現。因此，如果處理器沒有找到合適的網絡入侵處理程序，直接將此攻擊包進行丟棄。

1．3網絡數據包的分析

數據包被定義為P:〈source IP address， target IP address， Protocol， TTL， Content〉。其中：source IP address為數據包的源IP地址，target IP address為數據包的目的IP地址，Protocol為數據包的協議名；TTL為數據包的生命周期；Content為數據包的內容。

抗體被定義為A:〈gene， type， lifecycle， count〉，gene為抗體識別攻擊的特征碼；type為抗體的類型；lifecycle為抗體的生命周期；count為抗體發現的攻擊數。抗體分析數據包的過程被定義為Γ(A，P)=0，數據包P為正常數據包1，數據包P為攻擊數據包，Γ為網絡入侵檢測函數。

檢測器模擬了BIS抗體的機制，檢測器中的抗體分為記憶抗體、成熟抗體和非成熟抗體[9]。記憶抗體可以直接判定網絡數據包是否為攻擊，它由被攻擊數據包激活的成熟抗體進化而來；成熟抗體對自體耐受[10~13]（不能被正常數據包匹配），但在其生命周期范圍內，其親和力還未達到一定閾值，即成熟抗體還沒有識別到足夠多的攻擊數據包，它還需要繼續進化才能成為記憶抗體，如果成熟抗體在其生命周期內未進化為記憶抗體，則其將走向死亡；非成熟抗體由記憶抗體通過克隆選擇機制，經過變異得來或隨機地產生，它必須在一定時間（耐受期）內通過自體耐受才能進化為成熟抗體[2]。

從成熟抗體到記憶抗體這一過程模擬了BIS的抗體親和力成熟過程，使抗體能逐漸進化，最終能識別未知的網絡攻擊。

1．4攻擊數據包的處理

吞噬細胞是生物防止病毒的第二道天然防線，吞噬細胞監控入侵的病毒，一旦發現病毒，則將其吞入吞噬細胞內，再釋放出溶解酶（dissolving enzyme）把病原體溶解和消化[2]，達到消除生物病毒的目的。處理器模擬了BIS中的吞噬細胞功能，它接收由檢測器發來的攻擊數據包并對其進行適當的處理。在IIPM中，處理器被模擬成更加適合對網絡攻擊數據包的處理，它的功能與吞噬細胞既有相似之處，又有細微差別，表1顯示了IIPM和生物免疫系統處理外來非法抗原的對應關系。

處理器被定義為T:〈operation，fre，time〉。其中，operation表示處理器處理數據包的操作，它是集合〈丟棄，部分刪除，修改，記錄日志，報警，取證〉的子集；fre表示處理器最近被調用的次數；time表示第一次被調用的時間。處理器處理攻擊數據包被定義為Ψ(T，P)，T表示處理器；P表示待處理的攻擊數據包。

每個過濾器里存儲了特定攻擊的處理方法表（處理特征表），用于標志攻擊對應的處理方法。當過濾器中的檢測器發現攻擊數據包，它就將其傳遞給處理器，處理器在處理方法表中搜索此攻擊的特征，并采用處理特征表中的方法對入侵數據包進行處理。處理器處理數據包的動作包括：

a)丟棄數據包。被檢測的數據包完全是攻擊網絡流；

b)部分刪除數據包。入侵數據插入在正常的數據包中，只需將攻擊部分刪除即可；

c)修改數據包。有些攻擊對正常數據包的某些包頭信息進行了修改，如偽裝IP地址、修改數據包長度等，對這些被竄改了的信息進行復原后，數據包就還原為正常的網絡流；

d)記錄。將攻擊的特征記入日志庫，以作為審計的數據源；

e)報警。通知管理員發生攻擊事件；

f)取證。如果有條件配置取證服務器，處理器可以將攻擊數據包及其特征等電子證據通過保密通道傳送給取證服務器，作為日后起訴攻擊者的法律證據。

1．5主機指紋信息特征庫

部分網絡入侵具有針對性，它們針對目標主機的系統特性（軟件、操作系統和協議等漏洞）進行攻擊，如果目標主機不具有這種特征，則攻擊數據包就不能達到攻擊的目的。因此，如果網絡內的主機系統不具備被入侵的特征，即使網絡流中有攻擊數據包，也不會對目標主機造成破壞。當出現這種情況時，IIPM會利用主機指紋信息特征庫進行檢測，檢測器獲得網絡數據包時，首先將數據包的特征與主機指紋信息特征庫的記錄進行比較，如果存在一條記錄與之匹配，則說明此數據包不能被目標主機識別，其對目標主機不會產生影響，模型不再對此數據包作分析和處理，讓其通過，這節約了寶貴的過濾器資源。

主機指紋信息特征庫存儲了主機的特征信息。其中包括操作系統類型、版本、運行的協議情況、特定軟件及其版本等信息，它以數據庫的形式存儲在受保護的網絡或主機中，過濾器在處理數據包之前，都必須對主機指紋信息特征庫進行遍歷性的搜索，查找是否有與之相匹配的記錄。

1．6防止報警和處理泛濫

對多次重復的同一種網絡攻擊進行反復的報警和處理，就會造成報警或處理泛濫，這種泛濫會造成過濾器的性能下降。為了避免這種泛濫現象，本文采取了以下措施。

在目前的IDS中，報警信息繁多，使得管理員不能兼顧，造成了警報的泛濫。IIPM的處理器根據自己被調用的時間和次數進行綜合判斷，如果同一種處理方式被頻繁調用，則只進行單次報警，從而減少對管理員的干擾。

檢測器提取攻擊數據包的特征標志符，并將這種標志符及其處理程序存入緩存中，下次如果重復檢測到此種入侵數據包，直接照上次的方法進行處理，不必再去作復雜的搜索處理程序的操作，這樣可以防止重復搜索處理程序的動作。

1．7網絡數據包的高速采集和分析

網絡數據包的采集與分析是普通IDS的瓶頸，特別是對于百兆網絡和千兆網絡，IDS幾乎不可能將網絡流中的數據包進行全部采集和分析，這會引起嚴重的丟包現象，造成IDS發生漏報。IIPM借鑒市場上通用的IPS產品的多過濾器技術，將過濾器固化在專門的硬件系統上，各個過濾器分別處理不同類型的數據包。IIPM按照網絡協議將過濾器進行分類，即不同的過濾器分析和處理不同協議的數據包。系統將捕獲的數據包按協議進行分類，然后分別將不同協議的數據包分發給不同的過濾器。進入過濾器的數據包針對特定協議，可減少其處理的數據量，并可以讓部署在其中的免疫系統更多地關注某種（或幾種）協議數據包的檢測與處理，提高檢測的準確性。過濾器對數據包分析完后，交由特定處理設備進行數據包的合并，合并后的網絡流就是過濾了網絡攻擊的正常數據包。

為了節約過濾器的系統資源，本文還引入了主機指紋信息特征庫，過濾器將數據包的特殊標志符與主機指紋信息特征庫中的記錄進行比對，如果存在匹配的記錄，則說明該數據包雖然是攻擊數據包，但它不會對被保護主機造成影響，因此不對它作任何處理，任其通過。

2模擬實驗

2．1實驗環境

由于架設固化的過濾器需要一定的物理支持，存在難度，本模型使用個人計算機模擬過濾器及其他設備。整個實驗環境的框架如圖3所示，其中，采用計算機1模擬數據的發送端，它發送的數據包含有正常的數據和部分攻擊數據包，如Ping of death、SynFlood、Selfping和其他針對Windows和UNIX的攻擊，計算機2模擬數據的采集模塊，它將計算機1發來的數據包按協議類型進行分類，分別發送給過濾器，計算機3、4、5模擬過濾器，它們基本不會形成數據傳輸的瓶頸，在其上運行著本文提出的過濾器模型；計算機6模擬了數據流的合并器，它將分類數據進行合并并發往網絡數據流的目的地。

2．2實驗結果

本文的實驗主要是為了檢驗IIPM捕獲數據包的能力、識別未知攻擊的能力和分析處理攻擊數據包的效率。在實驗中，筆者收集了部分經典攻擊的特征碼，并建立了記憶抗體庫，讓檢測器中的記憶抗體去自我演化，最終識別未知的攻擊。受保護主機安裝了Windows 2000 professional SP4操作系統，并根據此建立了指紋特征庫。過濾器中部署了少量的攻擊處理程序，如果被捕獲的攻擊沒有相應的處理程序，則采用丟棄操作。

實驗表明，過濾器一般都能完全處理分配的網絡數據包。在24 h的模擬實驗中，IIPM捕獲的網絡攻擊數量如圖4所示。分析和處理攻擊的準確率如圖5所示。

在圖5中，由于設置了記憶抗體庫，剛開始能識別所有的攻擊；但在4點左右，由于未知攻擊開始入侵，導致檢測率急劇下降。但是，集成在檢測器中的抗體在不斷地學習和自我進化，所以檢測率會慢慢上升。由于IIPM中只集成了少量的攻擊處理程序，處理攻擊數據包的準確率還不高，還有待于進一步地改善。

3結束語

本文利用生物免疫系統發現和消滅病毒的機制，建立了基于免疫的入侵防御模型。通過設立多個固化的過濾器和主機指紋信息特征庫，提高了系統檢測和處理網絡攻擊數據包的速度。IIPM的網絡入侵數據包檢測器和處理器模擬了BIS的抗體和吞噬細胞，利用BIS的自適應性、學習性和多樣性特點，起到了發現和處理未知攻擊的目的。本文模擬了IIPM的實驗環境，實驗結果表明，IIPM能有效提高網絡數據包的分析和處理速度，能檢測到未知入侵數據包，并能對網絡攻擊進行處理，達到入侵防御的目的。但是，本文的入侵檢測和防御性能還不能達到實用目的，特別是網絡攻擊處理器還有待于進一步優化。

參考文獻:

［1］李濤. 網絡安全概論[M]. 北京: 電子工業出版社， 2004.

［2］李濤. 計算機免疫學[M]. 北京: 電子工業出版社， 2004.

［3］肖人彬，王磊. 人工免疫系統：原理、模型、分析及展望[J]. 計算機學報， 2002，25(12):1281－1293.

［4］FORREST S， HOFEYR S A， SOMAYAJI A. Computer Immunology[J]. Communications of the ACM， 1997， 40(10):88－96.

［5］FORREST S， PERELSON A S. Self－nonself discrimination in a computer[C] //IEEE Symposium on Security and Privacy.Oakland: IEEE， 1994:202－213.

［6］HOFMEYR S A， FORREST S. Architecture for an artificial immune system[J]. Evolutionary Computation， 2000， 8(4):443－473.

［7］HOFMEYR S A， FORREST S. Immunity by design:an artificial immune system[C] //Proc of Genetic Evolutionary Computation Conf. San Francisco: [s.n.]， 1999:1289－1296.

［8］HOFMEYR S A. An immunological model of distributed detection and its application to computer security[D]. Mexico: Department of Computer Sciences， University of New Mexico， 1999.

［9］LI T. An immune based dynamic intrusion detection model[J]. Chinese Science Bulletin， 2005， 50(22):2650－2657.

［10］DASGUPTA D. An immunity－based technique to characterize intrusions in computer networks[J]. IEEE Trans on Evolutionary Computation， 2002， 6(3):281－291.

［11］DASGUPTA D. Immunity－based intrusion detection system:a general framework[C] //Proc of the 22nd National Information Systems Security Conference (NISSC). 1999.

［12］KIM J， BENTLEY P J. An evaluation of negative selection in an artificial immune system for network intrusion detection[C] //Proc of Genetic and Evolutionary Computation Conference. 2001.

［13］KIM J， BENTLEY P J. Towards an artificial immune system for network intrusion detection: an investigation of dynamic clonal selection[C] //Proc of Congress on Evolutionary Computation.2002:1015－1020.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文