基于免疫原理的多代理網格入侵檢測系統體系結構研究

(1.曲阜師范大學 計算機科學學院， 山東 日照 276826； 2.四川大學 計算機學院， 成都 610065)



摘 要：

為設計具有高檢測率和低誤報率的網格實時入侵檢測系統，借鑒人類免疫系統與網格安全系統的相似性特征，在建立體系結構設計原則的基礎上，確立了群體agent實現網格入侵檢測系統的交互決策機制；在選定免疫模型與免疫算法的基礎上，給出了人類免疫系統與網格入侵檢測系統組件間的具體映射關系，從而實現了概念的邏輯移植；在建立agent網格體系結構基礎上，設計了網格入侵檢測系統的具體模塊框架，詳細闡釋了與模塊對應的具體agent結構與功能，從而完成了邏輯實體的物理移植。體系結構的建立為設計功能完善的網格入侵檢測系統提供了一種可行的邏輯方案。

關鍵詞：代理； 體系結構； 網格； 免疫； 入侵檢測系統

中圖分類號：TP393 文獻標志碼：A

文章編號：1001-3695(2009)02-0705-04



Research on architecture of grid intrusion detection system based on immunity and multi-agents



NI Jian-cheng1，2，LI Zhi-shu2， CHEN Li2， YE Jun2

(1.School of ComputerScience，Qufu Normal University， Rizhao Shandong 276826， China; 2. School of Computer Science， Sichuan University， Chengdu 610065， China)



Abstract:In order to design real-time intrusion detection system for grid environment having high true positive rate and low 1 positive rate， interactive decision-making mechanisminspired from similar characteristics containing between human immune system and grid security system， was confirmed for grid intrusion detection system implemented with colony agents， which were guided by several established designprinciples of system architecture. Thereafter， on the basis of the selected immune model and immune algorithms， logicaltransplantof concepts was solved in describing the concrete mapping relationship between components of human immune system and grid intrusion detection system. Physical transplant of logical entities， and then， was fulfilledby introducing agent grid architecture， designing modular framework of system， and explaining the structure and function of corresponding agents in correlative module. Therefore， a feasible logical scheme was prorvided to construct practical grid intrusion detection system by establishing the detailed system architecture.

Key words：agent; architecture; grid; immunity; intrusion detection system



網格[1]是一個由多用戶、多信任組織組成的復雜系統，具有動態、自組織、多樣性和多層等特征，而這些特征與人類免疫系統(human immune system， HIS)[2]具有驚人的相似性。但是，它們之間也存在一些不容忽視的差異:a)在物理層次上，人類免疫響應是基于組織環境的局部響應，細胞之間的信息交互依賴于細胞因子等生物化學信號；b)網格信任組織則是一個更加松散的資源與用戶的動態集合，組織內站點之間的信息交互則是通過網絡進行傳播，因而必須具備更高的可靠性和安全性保障。在邏輯層次上，概念的不一致需要首先解決HIS與集成先天性免疫和適應性免疫agents的網格入侵檢測系統(grid intrusion detection system based on integrated innate and adaptive immune agents， GIDSIIA)組件間的對應關系，才能將HIS安全移植到網格環境中。

體系結構的建立對網格入侵檢測系統的具體設計與實現具有重要的指導作用。它一方面在構造方法學上為詳細設計GIDSIIA組件的演化與交互提供了邏輯框架；另一方面，在系統移植上為人類免疫系統到網格環境的移植奠定了物理基礎。

1 設計原則

類似于人類免疫系統，網格入侵檢測系統(GIDS)是保護網格軟件、硬件以及信息資源的最后一道防線，其地位在網格安全體系結構中至關重要。為了滿足網格的靈活性、分布性、可縮放性和安全高度可控的需求，GIDS組件必須滿足一定的設計原則，而這些原則可以借鑒危險理論模型中人類免疫系統的基本工作原理。文獻[3]僅給出了適用于免疫agents，而非人工免疫系統整體的九條基本原則。因此，GIDSIIA的設計原則主要包括以下幾點：

a)多樣性。GIDSIIA包含多類agents，即控制/決策/監視/免疫agents。其中：控制與決策agent各自包括節點和社區agent兩類；免疫agent分為DC agent和T agent。DC agent包括未成熟/完全成熟/半成熟DC agent；T agent包括未成熟/成熟/記憶T agent。此外，監視agent根據算法需要可被分為網絡/進程/系統資源/用戶監視agents。

b)交互性。入侵檢測任務依賴于agent與組織環境以及agent間的合作與信息傳遞。

c)結構化。每類agent都具有不同的數據結構。

d)行為化。信號體現檢測任務的行為特征，包括外部信號和內部信號兩部分。外部信號由入侵或被監視系統產生；內部信號由agent分泌。

e)生命周期。各類agent具有不同的生命周期，存在產生、發育和死亡等不同過程。

f)功能化。不同類agent具有不同的功能。

g)分化特征。免疫agent依據不同的結構和行為特征具有不同的分化路徑。

2 HIS到GIDSIIA的移植

人類免疫系統是由循環系統、免疫器官、免疫組織、免疫細胞和免疫分子組成的具有防御和自我調節機制的多層次系統。其中，免疫組織是決定免疫響應的控制器。免疫響應包括兩種類型：a)先天性免疫響應。依賴非特異性抗原識別與信息融合功能，先天性免疫能夠激發、調節與控制適應性免疫響應類型和強度。b)適應性免疫響應。適應性免疫系統則依賴特異抗原識別、免疫記憶、否定選擇和克隆等機制識別、移除與鈍化入侵病原體。人工免疫系統[4](artificial immune system，AIS)是對生物免疫系統的細胞功能模型進行抽象而衍生的算法集合，因此，目前存在兩種典型的人工免疫模型，即自體/非自體(SNS)與危險理論(DM)模型。當AIS應用于網格入侵檢測問題時，具體免疫原理和組件的選擇是必須解決的首要問題。事實上，AIS作為研究者從不同學科、不同角度對HIS抽象出來的相應計算機制，其本身就依賴于具體的應用領域。因而，基于設計原則，GIDSIIA結構設計需要考慮的問題包括HIS模型/免疫細胞/算法的選擇、HIS與GIDSIIA概念的映射關系等。

2. 1 免疫模型的選擇

在SNS模型中，自體的完備性是決定免疫耐受的關鍵因素。當自體集不完備時，系統會產生誤報，這些誤報信息無疑會嚴重增加系統安全管理員的負擔；即使能在有限時間收集到完備的自體集，它也會因用戶行為的變化、系統安全策略等的改變而產生變異，從而導致系統的高漏報率。在動態網格環境中，自體頻繁變異使系統難以保障自體集的完備性，因而，保障系統誤報率和漏報率不因自體集的改變而產生急劇變化便成為選擇免疫模型的重要衡量指標。

事實上，基于SNS模型的HIS理論認為自體與非自體存在明顯的標記特征，即在任一時刻，免疫系統均能明確區分它們并對非自體實施免疫響應，因而，已完成中央耐受的T淋巴細胞在任何情況下都能對與抗原配基匹配的B淋巴細胞發出正確的協同刺激信號。但是，基于危險模型的HIS理論則認為組織是免疫響應的最終控制者[5]。組織利用正常狀態下的外圍免疫耐受或異常狀態下的免疫刺激，通過抑制或激活相應的T淋巴細胞實施恰當的免疫響應。危險理論更加強調組織的自我調節能力而非自體/非自體的區別，所以從根源上解決了自體變異導致的漏報問題以及自體不完備導致的誤報問題。

2. 2 免疫細胞的選擇

在HIS中，樹突狀細胞(DC)是一種幾近遍布全身所有組織的抗原提呈細胞[6]。在未成熟狀態時，它們利用細胞表面富含的的各類受體(如TLR)匹配外部環境中的分子；成熟后，它們遷移出組織至二級淋巴器官，向純真T淋巴細胞提呈MHC分子上的縮氨酸。MHC抗原與純真T淋巴細胞表面受體的匹配是引發免疫響應的第一個步驟，即產生了第一信號，但是它不能獨立激活純真T細胞。第二信號，即未成熟DC被激活后在其表面生成的反映組織環境危險程度的協同刺激分子，與T細胞的交互才能激活純真T細胞并導致其分化。最終，Th2輔助細胞為B淋巴細胞提供協同刺激信號并使之產生抵御入侵抗原的免疫響應；Th1輔助細胞激活自然殺手細胞與細胞毒素T細胞并導致變異自體的清除。

為簡化GIDSIIA設計，系統僅利用DC和T淋巴細胞完成免疫功能。其中：DC執行信息采集、融合與分泌細胞因子等功能；T細胞則融合了HIS中T與B細胞的免疫檢測功能。

2. 3 免疫算法的選擇

在HIS中，DC主要完成兩方面的功能：針對抗原，DC具有抗原采集、處理和提呈功能；針對信號，DC具備采集、融合和分泌功能。因而，在GIDSIIA中利用DCA算法[7]融合多層次危險信號以形成與時間相關的抗原相關上下文，利用適應性免疫系統的否定選擇算法避免由基因庫形成的免疫細胞產生自我免疫，利用危險基因生成算法[8]構造基因庫以降低免疫細胞生成時的時間與空間復雜性，從而提高系統的可縮放能力。

2. 4 HIS與GIDSIIA間的組件映射

從構成元素上而言，種群、生物個體、子系統、器官、組織、細胞和分子組成了具有集合包含關系的人類。與之類似，網格由不同類型的網格組成，每種網格由不同的虛擬組織構成，而不同虛擬組織則包括不同網段的站點資源，每個節點由位于不同硬、軟件系統之上的服務組成。它們之間的映射關系如表1所示。

表1 HIS與GIDSIIA之間的組件對應關系

HISGIDSIIA

人類網格

種群計算網格

社區虛擬組織

個體網段

器官站點

組織主機

細胞進程

分子網絡數據包、系統調用、資源利用率等

抗體T免疫細胞

抗原網絡數據包、系統調用、會話連接等

3 整體體系結構

從軟件工程的角度而言，系統的整體體系結構設計是詳細設計的基石。對于復雜的網格系統，單一的安全技術、措施和設備已經不能完全保證網格資源的安全，因而，在有效利用現有安全設備、協議、服務等的基礎上，開發與部署適應網格環境的入侵檢測系統是必要的防御措施。

3. 1 Agent網格體系結構

Agent網格[9]通過集成各種分布式、異質軟件組件為上層應用程序和終端用戶提供各類網格服務，提供了一種快速構建應用程序及動態配置網格的方法。圖1描述了抽象的agent網格層次架構。

計算網格層負責集成分布式計算資源以解決超級計算、協同計算和需求計算任務；數據和信息網格層負責集成網格節點的各類數據類型的信息，并以統一的形式向上層網格服務提供查詢功能；作為數據與信息網格層的擴展，網格服務層利用相關軟件組件提供資源和數據訪問的統一接口。其中：網格安全基礎設施中的認證、授權、代理、加密等服務用于保障agent間的通信安全；agent網格層是用于完成特定任務的各種智能軟件模塊；應用程序層利用agent網格層的各類(組)agent提供的服務功能完成用戶的需求。

Agent網格層是整個架構的核心模塊，包括各類agent和agent系統。Agent系統是agent的運行平臺，負責agent功能的實施。單一agent用于實現管理、協作、審計、檢測等功能；agent群組為實現某一功能的單一agent集合。

3. 2 GIDSIIA模型模塊體系結構

建立于agent網格體系結構之上的GIDSIIA模型，邏輯上包含多個動態形成的信任社區，每個信任社區包含多個成員節點，如圖2所示。各成員節點負責實現入侵檢測、分析、響應和提供用戶接口，包括成員節點控制模塊(NCM)、入侵檢測模塊(IDM)、入侵決策模塊(DMM)、資源監視模塊(RM)和入侵響應模塊(PM)。其中，IDM又分為先天性免疫模塊(IIM)和適應性免疫模塊(AIM)。每個信任社區負責監視、控制成員節點的安全狀態、接收和發送疫苗等，包括社區控制模塊(TCM)和疫苗形成與發送模塊(VFDM)。

IDM模塊是整個系統的核心模塊，依據RM模塊利用事件激發機制收集的成員節點的有關系統狀態信息、網絡傳輸信息和系統調用信息等實施具體的入侵檢測任務。IIM主要利用DC的信號融合功能快速判斷系統的安全狀態，并依據生成的細胞因子激發與控制適應性免疫系統的響應。AIM主要利用免疫細胞的特異性抗原識別功能，檢測具體的攻擊行為。依據IDM的具體入侵檢測結果，DMM自動生成相應的防御策略并傳遞給PM具體執行。此外，對嚴重的攻擊還將形成傳遞給VFDM模塊的決策支持信息。

在信任社區層，VFDM模塊集成成員節點的本地決策支持信息形成疫苗，并依據安全策略在成員節點和信任社區間共享。TCM與成員節點的NCM利用agent的心跳信息完成各類agent的生成、控制、狀態的監視。TCM與NCM存活狀態信息的交換極大增強了系統的魯棒性。

4 Agent體系結構

在單個成員節點，GIDSIIA模擬HIS的群體agent協同工作機制檢測、分析和響應入侵；在信任社區內(間)，GIDSIIA模擬HIS的疫苗分發及接種機制實施入侵信息的傳播，以有效提高網絡間的協同檢測和二次響應能力。

如圖3所示，GIDSIIA包含了多種類型的agent，它們都具有不同的功能、結構和行為。在信任社區和成員節點層，各類agent通過信息的交互協同完成入侵檢測、信息聚集與關聯和疫苗接種等任務。表2給出了GIDSIIA中的組件模塊與相應agent間的對應關系。

表2 GIDSIIA模塊組件與agent的對應關系

組件名稱agent名稱組件名稱agent名稱

TCMConATCDMMDecAME

VFDMDecATCRMRmA

NCMConAMEPMPreA

IDMTcA，DcA

4. 1 資源監視agent

RmA是數據收集器，負責系統、網絡、進程和用戶四個層次相關資源的監視。根據入侵檢測算法的需求，系統層次資源包括CPU的利用率、主存資源的使用量和系統文件的屬性等；網絡層次資源包括網絡數據包的統計信息，如源、目的IP地址和端口號、協議類型、標志位狀態及其他流量統計信息等；進程層資源包括進程名、PID、系統調用序列等；用戶層資源包括用戶名、用戶ID、會話連接數等。此外，收集的信息被加蓋時間戳后將形成組織的外部信號和抗原源數據。

4. 2 樹突狀細胞agent

在HIS中，DC作為先天性免疫響應系統的重要組件，擁有復雜的組成結構和信息處理功能。DC利用模式識別受體(PRR)識別由進化壓力形成的與危險或有害病原體有關的抗原相關分子模式(PAMP)，感知異常出現時的多層次危險信號；進而綁定抗原與系統環境信息形成與時間有關的抗原上下文信息，即DC將要提呈的抗原集、標志DC成熟度及可靠程度的協同刺激分子和調節免疫響應程度的完全成熟/半成熟細胞因子。

DcA模擬樹突狀細胞的功能，實現危險信號的感知、抗原的捕獲、抗原相關危險信號的融合以及DC的分化，包括未成熟/完全成熟/半成熟三類DcA。RmA傳送的病原體基因片段和多層次內外部信號被虛擬組織接收和預處理后，分別存儲并構成病原體基因片段集與內、外信號集。未成熟DcA首先從上述三類信息集中分別提取抗原及相關信號形成不同的數據子集；既而進行抗原特征提取及合成、抗原與相關內/外部信號的上下文信息融合；最后產生類似MHC分子的抗原集與其所處系統環境的上下文信息并分化為完全成熟DcA或半成熟DcA。代表不同攻擊強度和可靠性的完全成熟/半成熟DC agent攜帶與時間有關的上下文相關抗原遷移至淋巴節點，進而激發和控制TcAs進行具體攻擊的識別與判斷。

4.3 T細胞agent

在HIS中，適應性免疫系統主要由T淋巴細胞和B淋巴細胞進行適應性免疫響應。B細胞的主要功能包括識別抗原和分泌抗體。當生物體遭受細菌、病毒等外部入侵時，B細胞表面的BCR識別其MHC-II分子，親和力成熟并被激活后，該B細胞將分化為能分泌抗體的漿細胞，然后漿細胞利用分泌的抗體綁定入侵病原體并進一步使其他細胞殺死、移除被綁定物質。T細胞包括CD4+和CD8+兩個子類，主要功能為調節其他細胞的行為和直接殺死被感染細胞。CD4+T通常作為輔助細胞，依據分泌的細胞因子，可進一步分為Th1、Th2和Tr(抑制性T細胞)。Th細胞識別被MHC-II分子提呈的抗原肽，并調節細胞和體液的免疫響應[10]。Th1細胞主要用來刺激CTL細胞、NK細胞和巨噬細胞以消除細胞內病原體；Th2細胞負責刺激B細胞分泌抗體以對付外部病原體的攻擊；Tr具有潛在的免疫抑制作用。CD8+T細胞作為細胞毒素，通常用來識別MHC-I分子提呈的抗原肽。當CD8+T細胞被激活后便成熟為細胞毒素T細胞(CTL)，用來殺死被細胞內細菌或病毒感染的變異自體細胞。

TcA模擬T淋巴細胞和B淋巴細胞的功能，實現抗原的匹配、與DC的交互、免疫響應和細胞的分化，包括未成熟/成熟和記憶TcA。完全成熟DcA與記憶TcA的肯定交互引發快速的二次響應，而與成熟TcA的肯定交互將在抗原匹配數超過激活閾值時使其分化為記憶TcA并產生首次免疫響應；半成熟DcA與記憶/成熟TcA的肯定交互則鈍化并刪除匹配的特異性抗原，避免誤報的產生。當產生免疫響應時，相關的進程、系統等信息發送至決策agent作進一步的信息聚集與關聯。

4. 4 決策agent

決策agent分為成員節點決策agent(DecAME)和信任社區決策agent(DecATC)。成員節點決策agent負責接收本地節點TcA的攻擊信息，通過聚集與關聯形成更高層次的攻擊模式(發送模式信息至DecATC)，并依據攻擊的危險程度制定具體的響應策略(發送響應措施至PreA)。此外，成員節點決策agent還接收社區決策agent發送的疫苗。類似成員節點決策agent，信任社區決策agent負責聚集與關聯社區內各節點DecAME形成的攻擊信息，產生相應的疫苗后，依據既定安全策略將其在社區內和社區間進行分發，進而使整個網格環境具有快速響應入侵的能力。

4. 5 響應agent

在HIS中，免疫系統擁有多種復雜的響應機制進行病原體的清除和調節免疫系統的平衡。例如，CTL細胞、NK細胞和巨噬細胞等可以消除細胞內病原體；抗體可以對付外部病原體的攻擊；Tr具有潛在的免疫抑制作用等。

入侵響應系統根據不同的攻擊類型可以采用報警、自動響應和人工響應等方式響應入侵。在GIDSIIA中，響應agent(PreA)從DecAME接收防御信息后，根據既定響應策略可以采用自動延遲系統調用的響應方式。

4. 6 控制agent

控制agent(ConA)是系統的重要控制單元，與系統內的其他agent通過周期性的心跳信息感知彼此的存活狀態，提供系統管理員與GIDSIIA交互的接口，控制其他agent的啟動和停止。此外，成員節點控制agent(ConAME)與信任社區控制agent(ConATC)之間以及ConATC與DecATC之間組成多對多的映射關系。

5 結束語

網格環境的安全保障是一個富有挑戰意義的議題。本文借助HIS與網格安全系統組件功能與行為特征的相似性，建立了網格入侵檢測系統基本設計原則，確立了GIDSIIA的設計指導思想，即采用多樣化的具有獨立功能、結構和行為的移動agent作為基本組件，利用群體agent交互機制實現入侵檢測和響應功能。然后在選取免疫模型與免疫算法的基礎上，給出了HIS與GIDSIIA組件間的具體映射關系，進而在建立基于agent網格的整體體系結構基礎上，設計了GIDSIIA的具體模塊交互框架，并詳細說明了與模塊對應的具體agent結構與功能，從而實現了GIDSIIA模型從HIS的移植。

Agent體系結構是描述agent演化過程的基礎，未來的工作將集中于agent功能與行為的實現研究。

參考文獻：

[1]JOSEPH J， FELLENSTEIN C. Grid computing [M]. 戰曉蘇，張少華，譯. 北京:清華大學出版社，2005.

[2]JANEWAY C A， TRAVERS P， WALPORT M. Immunobiology[M]. 5th ed. New York； London: Garland Science， 2001.

[3]TWYCROSS J. Integrated innate and adaptive artificial immune systems applied to process anomaly detection[D]. Nottingham: Nottingham University，2007.

[4]FORREST S， HOFMEYR S A， SOMAYAJI A. Computer immunology[J]. Communications of the ACM， 1997， 40(10): 88-96.

[5]MATZINGER P. The danger model: a renewed sense of self[J]. Science， 2002， 296(5566): 301-305.

[6]ESCHE C， SHURIN M R， LOTZE M T. The use of dendritic cells for cancer vaccination[J]. Current Opinion in Molecular Therapeutics， 1999，1(1):72-81.

[7]GREENSMITH J. The dendritic cell algorithm[D]. Nottingham: Nottingham University， 2007.

[8]LQBAL A. Danger theory metaphor in artificial immune system for system call data[D]. Jhelum: Mohallah Islamia High School， 2006.

[9]CHI Jia-yu， SUN Ling， CHENXue-Guang， et al. Architecture and design of distributed decision support system based on agent grid[C]//Proc of the 4th International Conference on Machine Learning and Cybernetics， 2005: 321-327.

[10]DELVES PJ， ROITT IM. The immune system: secondof two parts[J]. The New England Journal of Medicine， 2000，343(11):108-117.