基于免疫的網(wǎng)絡(luò)風險分布式定量評估模型

胡 強,劉孫俊

(1.成都大學(xué)教務(wù)處,四川成都 610106;2.成都信息工程學(xué)院軟件工程學(xué)院,四川成都 610225)

0 引 言

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻、殺毒軟件或入侵檢測技術(shù)等大都僅對網(wǎng)絡(luò)所處的風險進行定性描述,對系統(tǒng)正在遭受的攻擊態(tài)勢缺乏實時感知機制,從而導(dǎo)致系統(tǒng)安全處于被動防御的局面,不能有針對性地依據(jù)當前網(wǎng)絡(luò)遭受攻擊的強度和風險等級等情況實時調(diào)整自己的防御策略[1-3].

基于免疫的網(wǎng)絡(luò)風險評估方法[4]依據(jù)生物免疫系統(tǒng)抗體濃度的變化與病原體入侵強度的對應(yīng)關(guān)系[5,6],當網(wǎng)絡(luò)攻擊增強時,模擬生物免疫系統(tǒng)克隆原理,提高相應(yīng)抗體的濃度;當網(wǎng)絡(luò)攻擊減弱時,模擬免疫反饋機制,降低相應(yīng)抗體的濃度,并逐漸恢復(fù)到正常水平.同時,對入侵檢測子系統(tǒng)提供的安全事件屬性進行分析分類,根據(jù)惡意攻擊對網(wǎng)絡(luò)的威脅破壞程度量化系統(tǒng)所面臨的風險,進而評估出網(wǎng)絡(luò)當前的安全狀況.由此,本文提出一種基于免疫的網(wǎng)絡(luò)系統(tǒng)風險實時定量評估模型(Network Risk Evaluation Model Based on Immune,NREMBI),通過測量當前系統(tǒng)中抗體的濃度,可以準確獲知當前系統(tǒng)遭受網(wǎng)絡(luò)攻擊時的實時風險.在對網(wǎng)絡(luò)風險進行實時定量評估的基礎(chǔ)上,對不同時間跨度下的網(wǎng)絡(luò)短期、中期、長期風險進行定量評估,從不同角度、不同方面對網(wǎng)絡(luò)系統(tǒng)各個層次的風險變化趨勢全面地掌握,并有針對性地調(diào)整網(wǎng)絡(luò)的安全策略,進而保障系統(tǒng)安全.

1 NREMBI架構(gòu)

根據(jù)抗體指令系統(tǒng)的完備性理論,系統(tǒng)中所有免疫細胞的抗體集合從宏觀上能夠覆蓋整個抗原集合,記憶細胞集合記錄了當前系統(tǒng)已經(jīng)遭遇的所有攻擊或異常的種類,并可通過對監(jiān)控對象中的記憶免疫細胞Mb來進行分類實現(xiàn).文獻[7]提出了基于血親關(guān)系的分類方法,該方法利用免疫細胞的血親關(guān)系進行分類,可以實現(xiàn)對已知異常和未知異常的自動分類,具有較強的自學(xué)習(xí)性和自適應(yīng)性,適合在較少人工操作的情況下實時反應(yīng)網(wǎng)絡(luò)狀況,并對其進行定量分析.在此基礎(chǔ)上,本文根據(jù)最大血親類系分類方法對網(wǎng)絡(luò)中的記憶細胞集合 Mb進行分類,記錄每一類記憶細胞的具體特征,包括當前系統(tǒng)已經(jīng)遭遇的所有攻擊或異常,以及最大血親類系及其基因序.

此外,從成熟免疫細胞和記憶免疫細胞的演化過程可以看出,在還未遇到或還不能確定是否遇到非自體抗原的攻擊的情況下,成熟免疫細胞的抗體濃度為0,而記憶免疫細胞的抗體農(nóng)度可能大于0.網(wǎng)絡(luò)連續(xù)遭到某種類似的網(wǎng)絡(luò)攻擊時,記憶免疫細胞的抗體濃度就持續(xù)增加,且記憶免疫細胞的抗體濃度只保持一定的周期,在該周期內(nèi),如果未遇到攻擊,則相應(yīng)的記憶免疫細胞的抗體濃度衰減到0,表明該抗體表達的警報解除.因此,通過檢測記憶免疫細胞的抗體濃度可以準確評估系統(tǒng)當前所面臨的風險,計算免疫細胞的抗體濃度即可得出系統(tǒng)風險值.

基于上述分類原理和免疫細胞演化原理,我們可建立網(wǎng)絡(luò)風險實時定量評估模型(NREMBI),其整體架構(gòu)如圖1所示.

圖1 網(wǎng)絡(luò)風險實時定量評估模型(NREMBI)架構(gòu)

NREMBI工作原理為:節(jié)點主機風險感應(yīng)器(Local Computer Risk Sensor,LCRS)評估網(wǎng)絡(luò)系統(tǒng)中各主機的本地風險.在實時獲取本地節(jié)點安全信息后,一方面,將本地安全信息上傳到風險評估中心SREC (System Risk Evaluation Center,SREC)(見圖1);另一方面,根據(jù)血親類分類方法對本地記憶檢測器集合Mb進行最大血親類系劃分,并結(jié)合本地抗體濃度信息進行加權(quán)計算對本地主機實時進行風險評估.同時,SREC從各個LCRS搜集到各個主機節(jié)點的安全信息后,對整個系統(tǒng)所有的檢測器進行血親類系分類,通過查看最大血親類系及其基因序,將各主機節(jié)點發(fā)送的抗體濃度信息經(jīng)過數(shù)據(jù)融合后,定量評估出網(wǎng)絡(luò)系統(tǒng)當前面臨的風險,為正確的響應(yīng)決策提供有力支持.

2 基于NREMBI的網(wǎng)絡(luò)風險實時定量評估

在NREMBI中,假設(shè)網(wǎng)絡(luò)系統(tǒng)環(huán)境中共有 K臺計算機,主機k(1≤k≤K)在t時刻的記憶細胞集合為,Mkb(t),則所有機器中 t時刻的記憶細胞集合為,M(t)=∪KMk(t).對其進行血親類系劃分,得到k=1b

M(t)的最大血親類系,

式中,Ci為記憶細胞抗體的濃度,表明了第i類異常對當前系統(tǒng)造成的分類風險,∏(t)為所有記憶細胞抗體濃度的加權(quán)和,顯示了所有類型的異常攻擊對系統(tǒng)造成的整體風險.

在t時刻,由第i類異常攻擊造成的網(wǎng)絡(luò)系統(tǒng)分類實時風險 rrealnet,i(t),以及所有攻擊造成的網(wǎng)絡(luò)系統(tǒng)整體實時風險 rrealnet(t)分別為:

式中,ωk(0≤ωk≤1)為主機 k在網(wǎng)絡(luò)系統(tǒng)中的重要性,μi(0≤μi≤1)為網(wǎng)絡(luò)中第i(1≤i≤m)類攻擊 Cig

ene(t)的危險性.

同樣,對主機k(1≤k≤K)在t時刻的記憶細胞集合進行基于血親關(guān)系的網(wǎng)絡(luò)攻擊類別的劃分可得到最大血親類系,

式中,Di為記憶細胞抗體的濃度,表明了第i類攻擊對主機k造成的分類風險,π為所有記憶細胞的抗體濃度的加權(quán)和,顯示了所有類型的攻擊給對主機k造成的整體風險.

在t時刻,主機k由第i類異常攻擊造成的主機分類實時風險(t),以及所有攻擊造成的主機整體實時風險(t)分別為:

3 仿真實驗

3.1 實驗方法

我們在仿真實驗中,分別采用Syn Flood、Land、Smurf攻擊方式對處于不同子網(wǎng)段的FTP服務(wù)器、打印服務(wù)器、數(shù)據(jù)庫服務(wù)器等進行攻擊.在完成系統(tǒng)參數(shù)配置后,根據(jù)NREMBI對網(wǎng)絡(luò)實時風險評估結(jié)果繪制網(wǎng)絡(luò)實時風險曲線及其相應(yīng)的攻擊強度曲線,并對實驗結(jié)果進行分析.

3.2 實驗參數(shù)設(shè)置

對網(wǎng)絡(luò)系統(tǒng)中的FTP服務(wù)器、打印服務(wù)器、數(shù)據(jù)庫服務(wù)器等服務(wù)器依據(jù)其重要性分別設(shè)定ω值為,0.5、0.2、0.8.

對Syn Flood、Land、Smurf等網(wǎng)絡(luò)攻擊的危險性,設(shè)定其μ值分別為,0.8、0.5、0.9.

3.3 實驗結(jié)果與分析

對抗體濃度進行相應(yīng)的設(shè)定后,采用NREMBI對網(wǎng)絡(luò)實時風險進行定量評估,結(jié)果如圖2(a)～(d)所示.

從圖2中可以看出,當時間間隔較小時,網(wǎng)絡(luò)實時風險的變化與相應(yīng)攻擊強度曲線的變化具有較高的一致性.隨著攻擊強度增加,網(wǎng)絡(luò)實時風險也相應(yīng)變化,風險值上升.當相同的攻擊再次出現(xiàn)時,風險值快速增加,這是由于記憶檢測器匹配已識別的抗原時迅速產(chǎn)生二次響應(yīng),同時自身進行克隆,使抗體濃度上升導(dǎo)致風險急劇增加.當攻擊強度下降時,抗體濃度基于免疫反饋原理逐漸下降,風險也相應(yīng)降低,但下降的斜率相對攻擊強度下降的斜率要小.這在實際網(wǎng)絡(luò)環(huán)境中具有較重要的意義,當某一攻擊逐漸減弱乃至消失后,網(wǎng)絡(luò)在較長一段時間內(nèi)對該攻擊仍可保持較高的警戒度,避免該攻擊在警戒時間內(nèi)再次發(fā)生而對系統(tǒng)造成破壞.

4 結(jié) 語

本文依據(jù)免疫系統(tǒng)理論,結(jié)合抗體濃度的變化與病原體入侵強度的對應(yīng)關(guān)系,以及生物體內(nèi)組織在受到病原體攻擊時,組織之間的相互影響將會加劇病原體對生物體造成傷害的特點,建立了一種基于免疫的網(wǎng)絡(luò)風險評估模型(NREMBI),以實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的短期、中期、長期所面臨風險的定量評估.仿真實驗表明,本文提出的NREMBI實時定量評估實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)風險與網(wǎng)絡(luò)系統(tǒng)受到的實際攻擊強度能夠保持較高的同步性和一致性,是一種較好的網(wǎng)絡(luò)風險評估方法.

[1]Pilz A,Swoboda J.Network management information models[J]. Aeu-International Journal of Electronics and Communications, 2004,58(2):165-171.

[2]閔應(yīng)驊.網(wǎng)絡(luò)容錯與安全研究述評[J].計算機學(xué)報, 2003,26(9):1035-1041.

[3]李濤.一種基于免疫的動態(tài)入侵檢測模型[J].科學(xué)通報, 2005,50(17):1912-1919.

[4]Hofmeyr S A,Forrest S.Immunity by Design:an Artificial Immune System[C]//Proceeding of the Genetic and Evolutionary Computation Conference(GECCO).San Francisco:IEEE Press, 1999:1289-1296.

[5]Forrest S,Perelson A S,Allen L,et al.Self-nonself Discrimination in a Computer[C]//Proceedings of IEEE Symposium on Research in Security and Privacy.Oakland:IEEE Press,1994:54-64.

[6]李濤.基于免疫的網(wǎng)絡(luò)安全風險檢測[J].中國科學(xué)(E輯):信息科學(xué),2005,35(8):798-816.