基于免疫的入侵檢測模型與通信應用研究

1. 引言

本文提出一種在計算機系統操作中使用的針對網(wǎng)絡(luò )入侵的安全檢測法。算法結合了自然生物免疫系統的原理。論證部分詳細描述了怎樣提取人類(lèi)免疫系統的特點(diǎn)來(lái)應用于入侵檢測系統的程序，同時(shí)依靠日志文件來(lái)辨別非法入侵。它通過(guò)簡(jiǎn)化郵件日志和存取記錄，有效的提高了系統的適應性和魯棒性。由于減小了日志文件容量，因此算法具備相當大的靈活性，可應用于無(wú)線(xiàn)通訊系統，這點(diǎn)在本文也有論述。

2. 生物免疫系統簡(jiǎn)介

在自然生物體中，免疫系統是一個(gè)由器官和細胞組成的復雜網(wǎng)絡(luò )，主要功能是保護有機體本身免于外來(lái)微粒侵害。免疫系統的本質(zhì)特點(diǎn)是區別自我基因和非我基因。有機體的每個(gè)細胞擁有自己的結構, 被辨認為自我基因。另一方面，外來(lái)有機體分子被定義為非我基因。這些免疫系統的器官稱(chēng)為淋巴腺器官，他們與淋巴細胞的產(chǎn)生與生長(cháng)有密切關(guān)系。下面我們給出一些術(shù)語(yǔ)的定義

淋巴細胞DD淋巴細胞是小個(gè)體的白色細胞，負責完成各種免疫系統的功能。淋巴細胞可分為兩中類(lèi)型：B細胞, T細胞。

抗體DD抗體是一種免疫球蛋白分子結構。主要具體表征了各種防御功能，比如對微生物，對細菌等抗原的反作用。

先天和后天免疫DD當生物體感染疾病，B細胞和T細胞被激活同時(shí)保留對一些抗原的記憶性。當生物體再次面對同樣抗原時(shí)，免疫系統將辨別并迅速破壞從而獲得后天免疫。初生嬰兒擁有從母體繼承的先天免疫系統。

在將計算機安全與生物免疫學(xué)進(jìn)行類(lèi)比的基礎上，S. Forrest等人最早提出了計算機免疫學(xué)的概念[1]，并將其應用在入侵檢測的研究領(lǐng)域。迄今為止，國內外越來(lái)越多的人研究如何有效地將免疫學(xué)的思想應用到入侵檢測系統中，并且取得了一定的進(jìn)展。實(shí)際上，免疫系統和計算機安全系統之間有著(zhù)巨大的相似性。免疫系統保護生物體免受病原生物破壞，而計算機安全系統類(lèi)似的保護計算機免受用戶(hù)惡意攻擊。基于人工免疫的入侵檢測正是借鑒了許多生物免疫系統的顯著(zhù)特性，如分布性，多樣性，自動(dòng)應答和自我維護等。兩者之間的關(guān)聯(lián)列舉如下圖所示

圖1 自然生物免疫系統與人工免疫系統對比

3. 入侵檢測和人工免疫

入侵類(lèi)型可被分為：1) 非法入侵，利用系統缺陷進(jìn)行攻擊的行為；2）異常入侵，指背離系統正常使用的行為。入侵檢測系統(IDS)正是一種針對這些攻擊反應的安全工具 [2] 。早期的入侵檢測系統(IDS)注意力集中于日志文件和注冊表的分析, 由操作系統或其它一些應用程序執行。在本文中我們選擇UNIX系統中程序執行過(guò)程的日志文件進(jìn)行分析。我們將采取由文獻[3]所提出的程序結構的變化形式。在人工免疫系統中, 我們認為主機中的每則郵件消息對應于單個(gè)細胞。由于在任何時(shí)刻，主機都可能有大量不同的郵件信息。因此主機可被定義為一個(gè)多“細胞”的“有機體”。在這樣一個(gè)主機里，存在一種作用類(lèi)似于“淋巴細胞”的程序來(lái)標記各種郵件消息，比如“非我元素”。這種免疫系統是由郵件掃描程序（“淋巴細胞”）和病毒定義文件（“疫苗”）所構成。與生物體相同的是，當某則郵件消息的功能被認為改變以后, 該郵件即被辨認為“已感染”。

計算機免疫系統被劃分成固有和衍生免疫系統。固有免疫系統是一個(gè)Unix 的根文件的組成部分, 類(lèi)似于記錄文件讀取和存取狀態(tài)的檔案，這一檔案建立在系統安裝期間。但這種消極免疫措施在計算系統內持續僅僅幾個(gè)小時(shí)。因此有必要在操作系統安裝之后, 計算機建立一個(gè)更健全的補償免疫系統。補償免役可由管理員實(shí)行操作。在執行了補償免疫措施后，計算機便開(kāi)始匯總并發(fā)展獲得性免疫系統。免疫程度和時(shí)限則取決與參數描繪文件。(即, 服務(wù)的UNIX 服務(wù)器窗口工作站通過(guò)POP3 服務(wù)也許接受郵件與被傳染的文件附有這些電子郵件) 。對某些服務(wù)進(jìn)程的限制訪(fǎng)問(wèn)方法轉移為采用TCP Wrapper，以此實(shí)現濾波功能，起到類(lèi)似于“免疫球蛋白”的作用。注意TCP和UDP代表了“人工生物體”的入口，被主機中的各種服務(wù)進(jìn)程所使用。

人工免疫系統通過(guò)名為L(cháng)ogCheck [3]的軟件來(lái)實(shí)現這一功能。LogCheck充當一個(gè)類(lèi)似于T細胞角色的軟件，完成過(guò)濾主機內程序注冊,同時(shí)生成遞交給管理員的日志記錄等任務(wù)。而具體區分對應于自我或非我程序結構則根據以下四個(gè)準則：

logcheck.hacking DD該文件由抗原組I類(lèi)的關(guān)鍵詞組成，它的生成將導致免疫回答系統；

logcheck.violationDD該文件包含描繪抗原組II類(lèi)的關(guān)鍵詞，并且實(shí)現了辨別抗原的代碼；

logcheck.violations.ignoreDD此文件用來(lái)識別上一文件中關(guān)鍵詞的反義詞；

logcheck.ignoreDD該文件標識了代表無(wú)礙主機安全的關(guān)鍵詞。

4. 在無(wú)線(xiàn)通訊網(wǎng)絡(luò )中的應用

在這一節中，我們擴大之前描述的入侵檢測系統應用至移動(dòng)電信領(lǐng)域，并詳細列舉入侵檢測模型的系統范例。在本文里, 我們使用Z規格語(yǔ)言來(lái)描述人工電信免疫系統的主體部份, 以及一些圖解示例。在設計過(guò)程中，基于狀態(tài)和系統操作的定義，入侵檢測模型使用了狀態(tài)機范例。我們采取標準規范化的數學(xué)符號來(lái)描述各種模型靜態(tài)和動(dòng)態(tài)。其中模型靜態(tài)包括以下特性: (i)可使用的狀態(tài)(如電話(huà)記數器狀態(tài)), (ii) 當系統進(jìn)行狀態(tài)轉換時(shí)，被維持的程序。我們提議的模型動(dòng)態(tài)方面有: (i) 所有可能的操作, (ii) 發(fā)生在系統聲明之內的狀態(tài)變換。在我們的入侵檢測和電信免疫系統里，每個(gè)通話(huà)過(guò)程被定義為一個(gè)“細胞”單位，同時(shí)被監測注冊用戶(hù)電話(huà)被視為由多細胞組成的“生物體”。用戶(hù)模式可以作為固有免疫系統。為了實(shí)現獲得性免疫系統，我們使用“淋巴細胞”的模型作為電話(huà)總機來(lái)監測注冊用戶(hù)。初始的“淋巴細胞”辨認合法的電話(huà)注冊用戶(hù)，然后當有能力查出新的入侵的其它“淋巴細胞”可替代初始值。在這個(gè)模型里, 自我基因組將由注冊用戶(hù)定義，通常是已經(jīng)輸入系統并被使用于辨認正常操作過(guò)程, 而非我基因代表用戶(hù)注冊，則被用于辨認惡意入侵者。

給定一個(gè)全集U，代表所有的通話(huà)。那么U含有兩個(gè)子集合，S（自我）和N（非我）并滿(mǎn)足一下兩個(gè)關(guān)系式：

入侵檢測模型的域D可以用來(lái)劃分任意一個(gè)通話(huà)c的類(lèi)型， 是正常通話(huà)，或者 屬于匿名通話(huà)。由于我們對于將來(lái)可能發(fā)生的入侵事件無(wú)法知獲，因此利用如下的預測模型：

其中M是電話(huà)通話(huà)的集合，而f則是區分自我與非我的映射 。

運用笛卡兒乘積后，在任何一個(gè)時(shí)刻里，我們可以獲取用戶(hù)無(wú)電話(huà)記錄，有效電話(huà)的記錄, 無(wú)效電話(huà)的記錄，或者所有包括有效和無(wú)效電話(huà)的記錄。因此，我們說(shuō)如果 是屬于類(lèi)型 里的n個(gè)元素，那么排序后的 則是屬于類(lèi)型 里的一個(gè)元素。因此我們推論 是自我如果 ，否則為非我。

對以上描述的模型中, 我們只對辨認電話(huà)產(chǎn)生興趣。因而, 我們標識所有電話(huà)集合作為基本類(lèi)型, 同時(shí)我們定義一個(gè)電話(huà)標識符CALL_ID，其Z 語(yǔ)言的圖解類(lèi)型如下:

5. 實(shí)驗結果

在實(shí)驗系統的設置中，在使用不同操作系統的二個(gè)主機里分別安裝了軟件LogCheck。主機特征如下：PC1DDSun服務(wù)器以及Solaris OS；PC2DDIBM PowerPC服務(wù)器是, 使用AIX 操作系統。兩臺服務(wù)器均提供以下服務(wù): DNS, SMTP, POP3, FTP?；顒?dòng)在這些服務(wù)器里被連續監測了五個(gè)月，信息量包含在這個(gè)集合里是相當大的。在圖1中我們獲得了PC1 的結果。圖2則顯示了PC2的結果。結果表明, 我們的模型幫助服務(wù)器極大減少了用戶(hù)注冊輸入的數量。這樣一個(gè)結果將對日志文件的大小有著(zhù)深刻的影響力，從而也提高了入侵檢測的魯棒性。

在監測系統和收集注冊信息期間，管理系統生成了對應于侵害安全和異常的事件的報告。管理員將接受一個(gè)電子郵件形式的通知，內容都是針對非我基因的活動(dòng)的報告，由于日志量減少，因此也減少了管理員的安全管理工作量，從而可以更專(zhuān)心的對入侵事件采取措施。數據見(jiàn)圖3和4。

圖表 4 PC1上的入侵檢測次數 圖5 PC2上的入侵檢測次數

6. 總結

本文描述了一種新穎的可應用于計算機和無(wú)線(xiàn)通訊網(wǎng)絡(luò )的入侵檢測模型。算法的核心思想是先標識出計算機和電信系統中的重要服務(wù)進(jìn)程，然后通過(guò)監測其使用狀況來(lái)尋找異常入侵和非法入侵。在此基礎上，我們討論了一種有效可靠的管理系統的設計與實(shí)現，該設計通過(guò)精簡(jiǎn)管理日志文件的內容，使得入侵檢測模型的目標范圍更加集中，從而提高整個(gè)系統的魯棒性。實(shí)驗結果表明，本文理論可以很好的應用于網(wǎng)絡(luò )入侵檢測系統之中并提高系統整體功效。