基于人工免疫的入侵檢測系統研究與實現

上海市寶山區廣播電視臺技術部 張玉龍

1.引言

隨著網絡的普及，人類社會已經進入了信息化時代。在這個時代，Internet對人們的工作和生活起到了越來越大的影響。在人們享受Internet方便快捷的同時，各種入侵事件與入侵手法層出不窮，于是引發了一系列的安全問題。

由于網絡安全風險系數不斷提高，曾經作為最主要網絡安全防范手段的防火墻，已經不能滿足人們對網絡安全的需求。而作為對防火墻有益補充的入侵檢測系統（IDS），能夠幫助網絡快速發現網絡攻擊的發生，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對網絡攻擊和網絡入侵的實時保護。

2.入侵檢測系統的起源

自1980年4月P.Anderson提出入侵檢測概念以來，入侵檢測系統經過20多年的發展，已呈現出百家爭鳴的繁榮局面，國內國外的許多大學和研究機構都在對其進行研究。傳統的入侵檢測系統是基于Denning的入侵檢測模型[1]，在該模型中，將審計記錄、系統日志以及其他可以監測的系統活動作為檢測系統是否異常操作的依據，并將監測的數據與已知的入侵模式相比較或是與正常的系統狀態相比較以確定是否發生入侵。因此傳統的入侵檢測系統多采用模式匹配、統計分析和完整性分析技術。隨著網絡技術的不斷發展，這些技術已不能適應高速寬帶網絡發展的要求，存在檢測速度慢，攻擊特征規則庫更新不及時以及出現虛警、漏警等缺點。當前入侵檢測技術的發展主要集中在大規模分布式和智能化檢測這兩個方向。在智能化方面采用的技術主要有專家系統、神經網絡、數據挖掘以及人工免疫等技術，SRI/CSL、普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這方面的研究代表了當前的最高水平[2]。其中有代表性的有Columbia University的Wenke Lee研究組與1998年開始的，采用數據挖掘技術的Intrusion Detection Evaluation研究，已經取得了較大進展[3][4]；神經網絡技術在入侵檢測中研究的時間較長，并在不斷發展，日本、美國、英國等許多國家都有專門的研究機構在進行這方面的研究，已有多篇論文發表[5][6]；人工免疫方面，從1986年Farmer提出人工免疫的概念至今，人工免疫系統的研究已經進入穩步發展的階段。至今為止總共提出了三種有效的基于人工免疫的入侵檢測模型：Stephanie Forrest小組提出的基于網絡的入侵檢測模型[7]，Dasgupta小組提出的多Agent系統模型[8]和Kim小組提出的基于陰性選擇和檢測子基因庫進化的分布式檢測模型[9]。

3.人工免疫系統模型原理

生物免疫系統[10][11]可以保護人類機體不受諸如病毒、病菌等病原體的侵害，生物保護自身免受病菌的傷害是通過自身免疫來完成的。當外部病菌侵入機體時，生物免疫系統通過組織淋巴細胞來識別“自己”和“非己”抗原，消滅并清除異物，在生物免疫系統中，淋巴細胞分為T淋巴細胞和B淋巴細胞，在抵御病菌入侵時，T淋巴細胞執行特異性免疫反應和調節功能，B淋巴細胞則在其表面產生抗體，探測對應的抗原結構和特征，它執行識別、學習等功能。

生物免疫系統具有良好的自適應、自學習、自組織功能，是一個能進行并行處理和分布協調的復雜系統，其中蘊涵的信息處理機制和入侵監測原理具有很大的相似性。從計算機安全、病毒檢測方面來看，生物免疫系統表現出來了巨大的潛能，其運行機理、系統結構、層次模型等和計算機安全系統非常相似。

人體免疫系統由多種免疫細胞組成，它的作用是專職機體的防偽功能。人工免疫系統是一個高分布、多層次的自適應系統，能隨著環境變化識別出抗原。同時免疫系統所具有的多樣性、耐受性、免疫記憶、分布式并行處理、自組織、自學習，自適應和輕量級等特點，正好滿足IDS的需求，基于人工免疫原理的入侵檢測系統LISYS已在一定程度上實現了對免疫系統真正的模仿。

4.基于人工免疫系統的網絡入侵檢測系統設計

上海市寶山區廣播電視臺作為一家新聞從業單位，歷來安全工作就很重要。特別是信息的保密性、完整性和可用性對于我單位至關重要，但是信息系統和網絡會受到來自四面八方的威脅，而且現在也出現了許多網絡破壞技術，例如：計算機病毒、惡意代碼，還有各種具有迷惑性的網絡攻擊行為。因此本系統設計的主要目的是為檢測所在局域網的網絡情況：其包含網絡采集、網絡協議分析、網絡攻擊檢測功能。

網絡作為承載多業務的通訊基礎設施，在實際的建設過程中，應該充分考慮本單位各項業務的特點。這些業務對網絡提出了以下要求：(1)帶寬的需求；(2)可靠性的需求；(3)網絡性能的需求；(4)網絡安全的需求；(5)網絡服務質量的需求。

4.1 網絡入侵系統結構設計

目前主流的基于網絡的入侵檢測系統主要由數據采集模塊，數據分析模塊，程序管理模塊等組成，其中數據采集模塊主要負責實現采集系統所在網絡的數據包并進行預處理：數據分析模塊的功能就是根據數據采集模塊得到的數據進行處理和分析，對當前網絡狀況進行評估和分析；程序管理模塊則是要對整個系統的各個事件進行響應，包括對網絡異常的處理[12]。這樣的系統結構將數據的獲取、分析、處理分為相對獨立的模塊，有利于分別單獨實現，也有利于系統在不同操作系統上的移植。當然，對于數據分析模塊的實現，不同系統有不同的解決方案，但是總體來說因為對各種規則的匹配都相對獨立和簡單，沒有進一步分析規則之間的聯系，從而影響了系統的性能。

寶山廣播電視臺網絡入侵檢測的系統結構也基本上采用上述的結構，其中對數據分析模塊的功能進行了設計，在本系統中該部分包括協議分析模塊、流量檢測模塊、固有檢測模塊、自適應檢測模塊。根據上面的不足，本系統利用當前結構，改進了網絡數據分析模塊的流程，增加了預檢測機制，在下一節將較為詳細地討論這一流程的改進。系統框架如圖3-1所示。

由圖3-1可見，該系統采用了兩層結構設計，第一層是以免疫響應的固有免疫原理為理論基礎的固有檢測；第二層是以免疫響應的自我適應免疫原理為理論基礎的自適應檢測，它以自適應的方式解決第一層不能識別的新攻擊或類似于正常行為的攻擊，并不斷對規則庫里的規則實施演化，以彌補傳統入侵檢測技術的不足。

由于網絡中的數據包進入協議棧時都是按照特定的格式進行封裝的。因此基于已知的網絡數據報結構，可以先利用報的層次性對網絡協議逐層解析并分析數據包中的協議標志，而協議分析模塊就是采用這種方法對檢測數據先進行預處理，然后再使用模式匹配算法來進行檢測。

固有檢測類似于固有免疫，前者是一個特異性的防御方法，后者是一個非特異性的防御。固有檢測不能改變它的識別能力去識別新的攻擊或入侵，但由于依據具體特征庫進行判斷，所以檢測準確度高。

報警單元主要功能是指發現入侵行為后，檢測系統采用的一種靜態行為，它的目的事告知管理員發生了入侵，常采用的報警方式有發送EMAIL、發出報警聲音等。

響應單元的主要功能就是指發生入侵后，如今檢測系統必須采取一種積極主動的方式，來阻止入侵的繼續進行。這種積極主動的相應機制通常采用以下兩種方式：(1)發送Reset包切斷連接；(2)重新配置路由器或防火墻，拒絕來自攻擊主機的數據包通過。對于報警，主要是使用了屏幕顯示和語音報警方式。對報警級別進行了區分：低級級別、一般級別、緊急級別。區分的依據主要是攻擊行為的嚴重程度。例如land攻擊我們可以將其定義為緊急級別。根據級別的不同，在屏幕顯示的時候可以采用不同的顯示形式，在語音報警時發出不同的報警鳴聲。

4.2 網絡入侵檢測系統主流程設計

系統主要流程如圖3-2，在系統的初始化部分啟動數據包獲取模塊的程序，捕捉網絡中的數據，每經過一定的時間，系統對所有的數據進行一次統一處理，更新協議分析的結果，并更新顯示。對于一般的入侵檢測系統，設計入侵檢測模塊流程時基本上采用模式直接匹配規則的方法，將所有規則用程序進行一定的描述，然后在每次時間間隔到期之后都逐一匹配所有規則，如果發現有匹配的則報等并記錄。這樣的流程雖然具有結構簡單，容易擴展的優點，但也存在著一定的缺陷，每次都要匹配所有規則對于一個將要具有很多規則的系統來說無疑是一個較大的負擔，另外，直接匹配的規則在可操作性上存在一些問題，很多攻擊和正常的網絡服務在網絡數據統計上的差異性并不是特別大，用簡單的閥值較難在檢出率與誤檢率之間取得較好得平衡，需要進一步的分析，這樣就影響了系統的整體性能[13]。

圖3 -1 系統框架圖

圖3 -2 系統流程圖

針對上述缺陷，我們分析網絡攻擊的流程：在網絡攻擊的開始階段，黑客并不會盲目的用單一的方法進攻網絡上的所有主機，這樣效率太低而且非常容易暴露目標。黑客往往會先用網絡掃描工具對感興趣的部分主機進行掃描，分析主機可能存在的漏洞與缺陷，再針對這些漏洞采用有效的攻擊手段，在攻陷了目標主機后，黑客可能在目標主機上植入木馬和病毒，讓被攻陷的主機繼續攻擊其它主機，由于單一木馬程序的攻擊手段較為簡單，這時的攻擊具有一定的盲目性，即不經過網絡掃描等分析，直接對所在網絡進行成片的攻擊，這時又會造成網絡流量的明顯異常。對此，我們將流量檢測作為我們網絡攻擊檢測的預檢測手段，在時間到期的時候進行這種異常檢測，如果檢測正常則不進行進一步的檢測，只有在預檢測異常的情況下才進行規則的逐一匹配，有效地減輕了系統的負荷，另外，這樣的結構還能簡化攻擊檢測規則的制定，因為出現類似流量異常又出現規則中出現的情況次數會比較少，可以明顯地減少誤檢率，攻擊規則可以盡量考慮攻擊本身的特點而較少考慮與普通流量的差異。

5.總結

本文借鑒了人工免疫原理，結合誤用檢測與異常檢測兩種檢測技術并引入了協議分析的方法，提出并設計一種層次化的網絡入侵檢測系統。

計算機網絡安全問題是一個永恒的命題，它將伴隨著計算機技術、網絡技術的發展而一直存在并發展。本文所設計的網絡入侵檢測系統就是這樣一個不斷學習的系統，會自我進行不斷的完善。但是這樣的學習還不夠，引入神經網絡和數據挖掘技術來進一步進化未成熟檢測器，應該是生成成熟檢測器的另一種有效手段。基于人工免疫原理的入侵檢測模型和系統是近年來生物領域中研究的重點和難點，它的研究對于解決當前網絡安全所面臨的嚴重危機具有十分重要的意義。當然，除了網絡安全技術，還要強調網絡安全策略和管理手段的重要性。只有當這些綜合起來，才有可能確保網絡的安全。

[1]enning DE.An Intrusion Decection Model[C].IEEE Transaction on Software Engineering,1986.

[2]宋獻濤,葉慧敏.IDS風雨二十年歷程.中國IT實驗室,http://cisco.chinaitlab.com/IDS/6058.html.

[3]Week Lee.A Date Mining Framework for constructing Features and Models for Intru-Sion Detection System.COLUMBIA UNIVERSITY,1999.

[4]Lee W, Stolfo S J.A data mining framework for building intrusion detection Model.In:Going L,Reiter MK,eds,Proceedings of the 1999 IEEE Symposium on Security And Privacy.Oakland,CA:IEEE Computer Society Press,1999:120-132

[5]閻永凡,張昌水.人工神經網絡與模擬進化計算[M].北京:清華大學出版社,2000.

[6]戴英俠,連一峰,王航.系統安全與入侵檢測[M].清華大學出版社,2002.

[7]Forrest S,Perelson A S,Allen L,Cherukuri R.Self-Nonself Discrimination in a Computer.Proceedings of IEEE Symposiun on Research in Security and Privacy, 16-18,May,1994:202-212,Oakland,CA,Also available at ftp://ftp.cs.umn.edu/pub/forrest/ virus.Ps.

[8]Dasgupta D.Immunity-based intrusion detection systems:ageneral framework.Proceedings of the 22nd National Information Systems Security Confeerence(NISSC),October 18-21,1999.

[9]Kim J,Bentley P J.Evaluating negative selection in an arti fi cial immune system for network intrusion detection.Proceedings of Genetic and Evolutionary Computation Conference 2001(GECCO-2001),San Francisco, July 7-11,2001:1220-1227.

[10]陳慰峰.醫學免疫學(第四版)[M].北京:人民衛生出版社,2004.

[11]吳敏毓.醫學免疫學[M].合肥:中國科技大學出版社,1999.

[12]黃人薇.淺析入侵檢測技術有關問題[J].大眾科技,2006,1(87).

[13]張新剛,劉妍,王星輝.基于入侵檢測系統(IDS)的分析與研究[J].網絡安全技術與應用,2006(6).