基于免疫原理的大规模分布式入侵检测模型

基于免疫原理的大规模分布式入侵检测模型
姚兴;郭帆;余敏
【摘要】将生物免疫原理运用在入侵检测中,以适应入侵检测向大规模分布式的方向发展的要求.提出一种新的检测模型,将异常检测与误用检测有机地联系在一起,并充分考虑主机所面临的实际网络环境,对IDS检测主机进行精简,以提高主机的检测效率.
【期刊名称】《计算机应用与软件》
【年(卷),期】2010(027)004
【总页数】4页(P122-124,176)
【关键词】免疫原理;大规模分布式;入侵检测
【作者】姚兴;郭帆;余敏
【作者单位】江西师范大学计算机信息工程学院,江西,南昌,330022;江西师范大学
计算机信息工程学院,江西,南昌,330022;江西师范大学计算机信息工程学院,江西,南昌,330022
【正文语种】中文
0 引言
随着网络规模的日益增大，网络结构也异常复杂，现有的入侵检测系统很难适应大规模分布式网络的安全需要。

免疫系统以其在信息处理中所表现出来的分布式保护、自适应性、鲁棒性、可扩展性以及记忆能力等特性能很好地适应网络的这种发展需
要。

生物免疫系统是一个很复杂的生物系统，它能够准确地识别“自我/非我”，对“自我”产生免疫耐受，对“非我”产生免疫应答，并产生记忆。

生物免疫系统初次检测到某种病菌时，发起初次应答，类似于异常检测。

异常检测可以检测到未知形式的入侵。

初次应答后，免疫系统保留导致这种感染的病菌记忆，当机体再次被这种病菌感染时，适应性免疫系统将发起快速而有效的二次应答，二次应答又被称为记忆应答。

二次应答类似于误用检测。

本文提出的检测模型有效地将二种检测方法结合起来，并充分考虑主机所面临的实际网络环境，提高主机的检测效率。

1 基于免疫原理的大规模分布式入侵检测系统模型
1.1 系统模型
大规模分布式入侵检测系统结构如图1所示。

图1 大规模分布式入侵检测系统结构示意图
1.1.1 IDS主机(HIDS)
HIDS负责对数据包进行信息提取，形成可供免疫系统分析的数据格式。

抽取数据包的特征进行协议分析，并进行异常检测。

它由协议分析器、异常检测器、事件处理单元等模块组成。

协议分析是第三代入侵检测探测攻击手法的主要技术，具有解析命令字符串、探测碎片攻击和协议确认、降低误报率及高性能等优势。

通过协议分析器可快速探测攻击。

异常检测是根据系统应用的模式或系统行为的模式的异常进行检测。

其主要方法有:统计方法、预测模式生成法和神经网络法。

这种类型的入侵检测系统建立一个含有度量受监控系统执行情况的标准和标记的静态模式，通过发现行为与标准的明显偏差来判定有入侵行为。

为了提高主机的检测效率，以适宜主机所面临的实际网络环境，在HIDS中并没有设计复杂的检测器。

通过协议分析及异常检测后，可疑的数据包直接发送给主机所
在的IDS中心服务器处理。

这样不会影响到正常用户对主机的访问。

1.1.2 IDS中心服务器
IDS中心服务器是系统的基本组成单位，由正常数据记录库、入侵签名库、协同刺激集合、非成熟检测器、成熟检测器及记忆检测器等模块组成计算机免疫系统。

正常数据记录库用于记录正常网络环境下的数据包，通过它统计出用户正常行为特征用于异常检测。

入侵签名库则用来记录与入侵行为有关的数据集，通过它可生成疫苗数据集，用于对系统接种疫苗。

IDS中心服务器接收HIDS发送来的可疑数据包，在记忆检测器和接种疫苗的作用下进行模式匹配。

匹配成功则产生报警，不成功则将数据送至成熟检测器进行检测。

根据免疫原理，随机生成非成熟检测器集合与由正常数据记录库中产生的自体数据集进行阴性选择，将那些在耐受期内与自体数据匹配的非成熟检测器淘汰，当达到最大耐受期仍然存活的非成熟检测器晋级为成熟检测器。

成熟检测器接受与记忆检测器不匹配的数据包的同时接受协同刺激信号，判定无危害的加入自体集合。

判定有危害的经过克隆选择被激活成为一个记忆检测器，同时产生报警。

每个类别的检测器都有自动更新的过程，保持整个系统的动态性以适应不断变化的网络环境。

1.1.3 IDS分区服务器
IDS分区服务器是系统的协调管理层，为其下级服务器提供网络安全支持，维护分区内各数据库的安全与更新。

接受来至管理员的命令，并为下级服务器提供协同刺激。

与其它分区服务器进行通信，及时获取网络安全信息。

将好的检测器和疫苗向全网发布，以提高全网的检测能力。

IDS分区服务器还必须对分区内的各数据进行数据融合及关联分析，以支持大规模分布式、层次化的网络结构。

在同一系统中，采用多种分析、检测机制，针对系统中不同的安全信息进行分析，并将它们的结果进行融合和决策，上报至根服务器。

将有效地提高系统的检测效率、降低系统的虚警率，为安全管理人员提供简练、精
确的告警。

1.1.4 IDS根服务器
IDS根服务器是整个系统的最高层。

维护整个体系结构的合理组成和分区服务器之间的协调与合作以及整个系统工作的自动化和智能化。

实时地监控整个网络安全系统，根据各分区服务器所提供的融合数据，进行分析决策，及时发布安全信息和灾难恢复。

构建动态安全防御体系。

1.2 问题定义
我们以Ag表示抗原集合，Ab表示抗体集合。

自体集合self表示正常网络行为特征，非自体集合noself表示不正常网络行为特征或攻击特征。

显然有
self∪noself=Ag，self∩noself=Φ。

将抓获的网络数据包预处理为结构体P{SIP，TIP，Port，Ag，ID，Time}，其中SIP为源IP地址，TIP为目的IP地址，Port
为端口号，Ag为数据包中待检测的数据，即抗原，ID为标识，Time为抓包时间。

我们将检测器定义为 D{Ab，age，count，type}，其中 age 为抗体Ab的年龄，设最大死亡年龄为n。

count为抗体Ab匹配抗原Ag的数目，type为检测器的类型。

这样在age＜n，count≥∮(∮为匹配数阈值)时，成熟检测器晋级为记忆检测器;在age≥n，count＜∮时，遭淘汰。

模式匹配用函数Match(Ag，Ab)表示。

规则匹配分为完全匹配和部分匹配两种。

目前有许多部分匹配规则，如海明规则，它通过比较两串的海明距离与设定阈值r 的大小，以确定两串是否匹配。

海明距离是指两个字符串中相同位置上不同位的值的和，如串a=100001，b=101101，则字符串a、b的海明距离为2。

当两串之
间的海明距离小于等于阈值r，称这两个串是匹配的，反之则不匹配。

其数学表示为:
1.3 系统检测过程
1.3.1 IDS主机检测过程
图2 IDS主机检测模型图
(1)网络数据包被抓取后，首先送往协议分析器，根据网络协议的完整执行过程来
判定是否异常。

例如在TCP协议中客户端通过3次握手与服务器建立连接。

我们
令q0为一次连接建立的初始状态，q1表示客户端向服务器发送了一个SYN报文，q2表示服务器发送了SYN报文和ACK报文;q3表示当客户发送ACK报文对服务器的SYN报文进行确认后完成了连接的建立。

可见{q0，q1，q2，q3}是正常的
执行序列，其它将被视为异常。

(2)经协议分析器检测，不正常则引发事件处理，产生报警。

若正常就将数据包送
往异常检测器。

(3)异常检测器可检测出与用户正常行为发生重大偏差的用户活动，由此检测出可
疑的数据包，并送至IDS中心服务器。

重复执行(1)。

1.3.2 IDS中心服务器检测过程
图3 基于免疫原理的入侵检测系统模型
(1)检测系统接受来至HIDS异常检测器传送来的可疑数据包，在记忆检测器进行
模式匹配，若H(Match(P.Ag，D.Ab))≥r，引发事件处理，产生报警，若
H(Match(P.Ag，D.Ab))＜r，将数据包P同时送至成熟检测器和协同刺激单元。

(2)成熟检测器检测抗原并进行匹配，当一个成熟检测器的匹配数超过了阈值r同
时受到协同刺激，就被激活成为一个记忆检测器(此过程为克隆选择过程)。

被判定为有危害的数据包送至事件处理单元，而没有危害的送入自体数据集。

如果成熟检测器经历了N代，还没有成为记忆检测器，就被淘汰。

协同刺激过程分两种，一
种直接接受来至分区服务器中管理员的命令;另一种则是与在成熟检测器中类似的
检测过程。

1.4 系统学习过程
(1)随机生成非成熟检测器组成抗原集合Ag［i］，由正常数据包记录库产生出自
体数据组成抗体集合Ab［j］，两者进行阴性选择，即将与抗体集合Ab［j］相匹配的抗原集合Ag［i］淘汰，而不匹配的，即耐受成功的成为成熟检测器。

(2)在成熟检测器检测过程中，若匹配到抗原Ag，则成熟检测器D的D.count加1。

设∮为匹配数阈值，在D.age＜n，D.count≥∮时，同时接受到协同刺激，成熟检测器晋级为记忆检测器;在D.age≥n，D.count＜∮时，遭淘汰。

此过程为克隆选择过程。

(3)记忆检测器接受接种疫苗(由入侵签名库定期更新)的筛选，那些与疫苗具有相同检测功能的记忆检测器将被淘汰。

这有效地促进了记忆检测器的更新换代。

(4)异常检测器则有从正常数据包记录库中统计抽取得到的用户正常行为特征集，
不定期地对其进行更新。

2 相关免疫算法介绍
2.1 阴性选择算法
在生物免疫系统中，T细胞表面存在能识别抗原的表面受体。

在T细胞产生初期，它位于胸腺中，其受体由于基因重组和体细胞免疫等因素而随机产生。

T细胞经过一个“阴性选择”过程清除掉那些对自身成份发生免疫反应的T细胞，从而使流
出胸腺的成熟T细胞在免疫反应过程中能够对自身成份表现为免疫容忍状态，而
对外部抗原产生免疫反应并将其清除。

本文采取相同原理，随机生成一定数量的未成熟检测器，并设定一个耐受期，未成熟检测器不断与自体数据相匹配，匹配成功的未成熟检测器死亡，达到最大耐受期，仍然存活的未成熟检测器晋升为成熟检测器。

算法设计如下:
2.2 克隆选择算法
根据免疫原理，原被引入个体时，带有该抗原受体的淋巴细胞搜寻并结合抗原，激
发增殖和分化，产生抗原特异的细胞的克隆。

这些细胞及其产物与该抗原特异地反应，以中和或消除抗原。

本文中的克隆选择算法描述如下:成熟检测器检测抗原并发生匹配，当一个成熟检测器的匹配数超过了某一阈值并受到协同刺激，就被激活成为一个记忆检测器。

如果成熟检测器经历了N代，还没有成为记忆检测器，就被淘汰。

算法设计如下:Do{各成熟检测器的年龄Age++;
3 性能分析
本文针对当前网络规模的增大以及网络结构的复杂性，设计出一种新的入侵检测系统框架，它是一种开放式的体系。

其性能取决于模型中各相关功能模块及模块间的协调，包括免疫算法、模式匹配算法以及统计分析方法等。

并随着算法的改进和模块的功能增强，整个检测系统的性能将逐渐提高。

4 结论
本文提出了一种适应大规模分布式的基于免疫原理的入侵检测模型，将现阶段的一些先进理论成果运用到模型当中。

该模型具有分布性、自适应性及轻负荷三个入侵检测系统的基本特性。

目前，该系统还处于理论分析阶段，系统的进一步完善，相关算法的数学模型以及系统的实现，将是下一步的工作。

参考文献
［1］潘志松.一种基于人工免疫原理的入侵检测系统模型［J］.数据采集与处理，2003年.
［2］陆正伟.一种应用免疫原理的入侵检测原型系统［J］.信息安全.
［3］Hofmeyr S A，Forrest S.Immunity by design:An Artificial Immune System［C］//Proceedings of the Genetic and Evolutionary Computation Conference(GECCO).San Francisco，CA:［s.n］，1999:1289-1296.
［4］杨义先.入侵检测理论与技术［M］.高等教育出版社.
［5］廖光忠.一种基于免疫原理的入侵检测模型设计与实现［J］.网络安全技术与
应用，2007.
［6］潘志松，陈松灿，张道强.一种基于人工免疫原理的入侵检测系统模型［J］.
数据采集与处理，2003，18(1):22-26.
［7］葛丽娜，钟诚.基于人工免疫的入侵检测系统负选择并行算法［J］.计算机工程，2005，31(12):138-140.
［8］梁可心，李涛，刘勇，等.一种基于人工免疫理论的新型入侵检测模型［J］.
计算机工程与应用，2005，41(2):129-132.
［9］Farmer JD，Packard NH，Perelson AS.The Immune System，Adaptation，and Machine Learning［J］.Physica D，1986，22:187-204. ［10］莫宏伟.人工免疫系统原理与应用［M］.哈尔滨:哈尔滨工业大学出版社，2002.
［11］李涛.计算机免疫学［M］.北京:电子工业出版社，2004.
［12］翟宏群，罗军舟.一种基于免疫机理的网络入侵检测模型［J］.研究与开发，2005年.
［13］唐峻，李绘卓，基于免疫学原理的入侵检测系统设计［J］.计算机与信息技术，2005(7).
［14］李千目等，一种基于生物免疫学的入侵检测系统［J］.计算机工程与应用，2003(8):45-48.
［15］张彦超，阙喜戎，王文东.一种基于免疫原理的网络入侵检测模型［J］.计
算机工程与应用，2002(10):159-162.
［16］William P D.CD IS:towards a computer immune system for detecting
network int rusions..。