基于免疫的入侵檢測模型與通信應(yīng)用研究

1. 引言

本文提出一種在計算機系統(tǒng)操作中使用的針對網(wǎng)絡(luò)入侵的安全檢測法。算法結(jié)合了自然生物免疫系統(tǒng)的原理。論證部分詳細描述了怎樣提取人類免疫系統(tǒng)的特點來應(yīng)用于入侵檢測系統(tǒng)的程序，同時依靠日志文件來辨別非法入侵。它通過簡化郵件日志和存取記錄，有效的提高了系統(tǒng)的適應(yīng)性和魯棒性。由于減小了日志文件容量，因此算法具備相當(dāng)大的靈活性，可應(yīng)用于無線通訊系統(tǒng)，這點在本文也有論述。

2. 生物免疫系統(tǒng)簡介

在自然生物體中，免疫系統(tǒng)是一個由器官和細胞組成的復(fù)雜網(wǎng)絡(luò)，主要功能是保護有機體本身免于外來微粒侵害。免疫系統(tǒng)的本質(zhì)特點是區(qū)別自我基因和非我基因。有機體的每個細胞擁有自己的結(jié)構(gòu), 被辨認為自我基因。另一方面，外來有機體分子被定義為非我基因。這些免疫系統(tǒng)的器官稱為淋巴腺器官，他們與淋巴細胞的產(chǎn)生與生長有密切關(guān)系。下面我們給出一些術(shù)語的定義

淋巴細胞DD淋巴細胞是小個體的白色細胞，負責(zé)完成各種免疫系統(tǒng)的功能。淋巴細胞可分為兩中類型：B細胞, T細胞。

抗體DD抗體是一種免疫球蛋白分子結(jié)構(gòu)。主要具體表征了各種防御功能，比如對微生物，對細菌等抗原的反作用。

先天和后天免疫DD當(dāng)生物體感染疾病，B細胞和T細胞被激活同時保留對一些抗原的記憶性。當(dāng)生物體再次面對同樣抗原時，免疫系統(tǒng)將辨別并迅速破壞從而獲得后天免疫。初生嬰兒擁有從母體繼承的先天免疫系統(tǒng)。

在將計算機安全與生物免疫學(xué)進行類比的基礎(chǔ)上，S. Forrest等人最早提出了計算機免疫學(xué)的概念[1]，并將其應(yīng)用在入侵檢測的研究領(lǐng)域。迄今為止，國內(nèi)外越來越多的人研究如何有效地將免疫學(xué)的思想應(yīng)用到入侵檢測系統(tǒng)中，并且取得了一定的進展。實際上，免疫系統(tǒng)和計算機安全系統(tǒng)之間有著巨大的相似性。免疫系統(tǒng)保護生物體免受病原生物破壞，而計算機安全系統(tǒng)類似的保護計算機免受用戶惡意攻擊。基于人工免疫的入侵檢測正是借鑒了許多生物免疫系統(tǒng)的顯著特性，如分布性，多樣性，自動應(yīng)答和自我維護等。兩者之間的關(guān)聯(lián)列舉如下圖所示

圖1 自然生物免疫系統(tǒng)與人工免疫系統(tǒng)對比

3. 入侵檢測和人工免疫

入侵類型可被分為：1) 非法入侵，利用系統(tǒng)缺陷進行攻擊的行為；2）異常入侵，指背離系統(tǒng)正常使用的行為。入侵檢測系統(tǒng)(IDS)正是一種針對這些攻擊反應(yīng)的安全工具 [2] 。早期的入侵檢測系統(tǒng)(IDS)注意力集中于日志文件和注冊表的分析, 由操作系統(tǒng)或其它一些應(yīng)用程序執(zhí)行。在本文中我們選擇UNIX系統(tǒng)中程序執(zhí)行過程的日志文件進行分析。我們將采取由文獻[3]所提出的程序結(jié)構(gòu)的變化形式。在人工免疫系統(tǒng)中, 我們認為主機中的每則郵件消息對應(yīng)于單個細胞。由于在任何時刻，主機都可能有大量不同的郵件信息。因此主機可被定義為一個多“細胞”的“有機體”。在這樣一個主機里，存在一種作用類似于“淋巴細胞”的程序來標記各種郵件消息，比如“非我元素”。這種免疫系統(tǒng)是由郵件掃描程序（“淋巴細胞”）和病毒定義文件（“疫苗”）所構(gòu)成。與生物體相同的是，當(dāng)某則郵件消息的功能被認為改變以后, 該郵件即被辨認為“已感染”。

計算機免疫系統(tǒng)被劃分成固有和衍生免疫系統(tǒng)。固有免疫系統(tǒng)是一個Unix 的根文件的組成部分, 類似于記錄文件讀取和存取狀態(tài)的檔案，這一檔案建立在系統(tǒng)安裝期間。但這種消極免疫措施在計算系統(tǒng)內(nèi)持續(xù)僅僅幾個小時。因此有必要在操作系統(tǒng)安裝之后, 計算機建立一個更健全的補償免疫系統(tǒng)。補償免役可由管理員實行操作。在執(zhí)行了補償免疫措施后，計算機便開始匯總并發(fā)展獲得性免疫系統(tǒng)。免疫程度和時限則取決與參數(shù)描繪文件。(即, 服務(wù)的UNIX 服務(wù)器窗口工作站通過POP3 服務(wù)也許接受郵件與被傳染的文件附有這些電子郵件) 。對某些服務(wù)進程的限制訪問方法轉(zhuǎn)移為采用TCP Wrapper，以此實現(xiàn)濾波功能，起到類似于“免疫球蛋白”的作用。注意TCP和UDP代表了“人工生物體”的入口，被主機中的各種服務(wù)進程所使用。

人工免疫系統(tǒng)通過名為LogCheck [3]的軟件來實現(xiàn)這一功能。LogCheck充當(dāng)一個類似于T細胞角色的軟件，完成過濾主機內(nèi)程序注冊,同時生成遞交給管理員的日志記錄等任務(wù)。而具體區(qū)分對應(yīng)于自我或非我程序結(jié)構(gòu)則根據(jù)以下四個準則：

logcheck.hacking DD該文件由抗原組I類的關(guān)鍵詞組成，它的生成將導(dǎo)致免疫回答系統(tǒng)；

logcheck.violationDD該文件包含描繪抗原組II類的關(guān)鍵詞，并且實現(xiàn)了辨別抗原的代碼；

logcheck.violations.ignoreDD此文件用來識別上一文件中關(guān)鍵詞的反義詞；

logcheck.ignoreDD該文件標識了代表無礙主機安全的關(guān)鍵詞。

4. 在無線通訊網(wǎng)絡(luò)中的應(yīng)用

在這一節(jié)中，我們擴大之前描述的入侵檢測系統(tǒng)應(yīng)用至移動電信領(lǐng)域，并詳細列舉入侵檢測模型的系統(tǒng)范例。在本文里, 我們使用Z規(guī)格語言來描述人工電信免疫系統(tǒng)的主體部份, 以及一些圖解示例。在設(shè)計過程中，基于狀態(tài)和系統(tǒng)操作的定義，入侵檢測模型使用了狀態(tài)機范例。我們采取標準規(guī)范化的數(shù)學(xué)符號來描述各種模型靜態(tài)和動態(tài)。其中模型靜態(tài)包括以下特性: (i)可使用的狀態(tài)(如電話記數(shù)器狀態(tài)), (ii) 當(dāng)系統(tǒng)進行狀態(tài)轉(zhuǎn)換時，被維持的程序。我們提議的模型動態(tài)方面有: (i) 所有可能的操作, (ii) 發(fā)生在系統(tǒng)聲明之內(nèi)的狀態(tài)變換。在我們的入侵檢測和電信免疫系統(tǒng)里，每個通話過程被定義為一個“細胞”單位，同時被監(jiān)測注冊用戶電話被視為由多細胞組成的“生物體”。用戶模式可以作為固有免疫系統(tǒng)。為了實現(xiàn)獲得性免疫系統(tǒng)，我們使用“淋巴細胞”的模型作為電話總機來監(jiān)測注冊用戶。初始的“淋巴細胞”辨認合法的電話注冊用戶，然后當(dāng)有能力查出新的入侵的其它“淋巴細胞”可替代初始值。在這個模型里, 自我基因組將由注冊用戶定義，通常是已經(jīng)輸入系統(tǒng)并被使用于辨認正常操作過程, 而非我基因代表用戶注冊，則被用于辨認惡意入侵者。

給定一個全集U，代表所有的通話。那么U含有兩個子集合，S（自我）和N（非我）并滿足一下兩個關(guān)系式：

入侵檢測模型的域D可以用來劃分任意一個通話c的類型， 是正常通話，或者 屬于匿名通話。由于我們對于將來可能發(fā)生的入侵事件無法知獲，因此利用如下的預(yù)測模型：

其中M是電話通話的集合，而f則是區(qū)分自我與非我的映射 。

運用笛卡兒乘積后，在任何一個時刻里，我們可以獲取用戶無電話記錄，有效電話的記錄, 無效電話的記錄，或者所有包括有效和無效電話的記錄。因此，我們說如果 是屬于類型 里的n個元素，那么排序后的 則是屬于類型 里的一個元素。因此我們推論 是自我如果 ，否則為非我。

對以上描述的模型中, 我們只對辨認電話產(chǎn)生興趣。因而, 我們標識所有電話集合作為基本類型, 同時我們定義一個電話標識符CALL_ID，其Z 語言的圖解類型如下:

5. 實驗結(jié)果

在實驗系統(tǒng)的設(shè)置中，在使用不同操作系統(tǒng)的二個主機里分別安裝了軟件LogCheck。主機特征如下：PC1DDSun服務(wù)器以及Solaris OS；PC2DDIBM PowerPC服務(wù)器是, 使用AIX 操作系統(tǒng)。兩臺服務(wù)器均提供以下服務(wù): DNS, SMTP, POP3, FTP?；顒釉谶@些服務(wù)器里被連續(xù)監(jiān)測了五個月，信息量包含在這個集合里是相當(dāng)大的。在圖1中我們獲得了PC1 的結(jié)果。圖2則顯示了PC2的結(jié)果。結(jié)果表明, 我們的模型幫助服務(wù)器極大減少了用戶注冊輸入的數(shù)量。這樣一個結(jié)果將對日志文件的大小有著深刻的影響力，從而也提高了入侵檢測的魯棒性。

在監(jiān)測系統(tǒng)和收集注冊信息期間，管理系統(tǒng)生成了對應(yīng)于侵害安全和異常的事件的報告。管理員將接受一個電子郵件形式的通知，內(nèi)容都是針對非我基因的活動的報告，由于日志量減少，因此也減少了管理員的安全管理工作量，從而可以更專心的對入侵事件采取措施。數(shù)據(jù)見圖3和4。

圖表 4 PC1上的入侵檢測次數(shù) 圖5 PC2上的入侵檢測次數(shù)

6. 總結(jié)

本文描述了一種新穎的可應(yīng)用于計算機和無線通訊網(wǎng)絡(luò)的入侵檢測模型。算法的核心思想是先標識出計算機和電信系統(tǒng)中的重要服務(wù)進程，然后通過監(jiān)測其使用狀況來尋找異常入侵和非法入侵。在此基礎(chǔ)上，我們討論了一種有效可靠的管理系統(tǒng)的設(shè)計與實現(xiàn)，該設(shè)計通過精簡管理日志文件的內(nèi)容，使得入侵檢測模型的目標范圍更加集中，從而提高整個系統(tǒng)的魯棒性。實驗結(jié)果表明，本文理論可以很好的應(yīng)用于網(wǎng)絡(luò)入侵檢測系統(tǒng)之中并提高系統(tǒng)整體功效。