基于免疫的入侵檢測模型與通信應用研究

1. 引言

本文提出一種在計算機系統操作中使用的針對網絡入侵的安全檢測法。算法結合了自然生物免疫系統的原理。論證部分詳細描述了怎樣提取人類免疫系統的特點來應用于入侵檢測系統的程序，同時依靠日志文件來辨別非法入侵。它通過簡化郵件日志和存取記錄，有效的提高了系統的適應性和魯棒性。由于減小了日志文件容量，因此算法具備相當大的靈活性，可應用于無線通訊系統，這點在本文也有論述。

2. 生物免疫系統簡介

在自然生物體中，免疫系統是一個由器官和細胞組成的復雜網絡，主要功能是保護有機體本身免于外來微粒侵害。免疫系統的本質特點是區別自我基因和非我基因。有機體的每個細胞擁有自己的結構, 被辨認為自我基因。另一方面，外來有機體分子被定義為非我基因。這些免疫系統的器官稱為淋巴腺器官，他們與淋巴細胞的產生與生長有密切關系。下面我們給出一些術語的定義

淋巴細胞DD淋巴細胞是小個體的白色細胞，負責完成各種免疫系統的功能。淋巴細胞可分為兩中類型：B細胞, T細胞。

抗體DD抗體是一種免疫球蛋白分子結構。主要具體表征了各種防御功能，比如對微生物，對細菌等抗原的反作用。

先天和后天免疫DD當生物體感染疾病，B細胞和T細胞被激活同時保留對一些抗原的記憶性。當生物體再次面對同樣抗原時，免疫系統將辨別并迅速破壞從而獲得后天免疫。初生嬰兒擁有從母體繼承的先天免疫系統。

在將計算機安全與生物免疫學進行類比的基礎上，S. Forrest等人最早提出了計算機免疫學的概念[1]，并將其應用在入侵檢測的研究領域。迄今為止，國內外越來越多的人研究如何有效地將免疫學的思想應用到入侵檢測系統中，并且取得了一定的進展。實際上，免疫系統和計算機安全系統之間有著巨大的相似性。免疫系統保護生物體免受病原生物破壞，而計算機安全系統類似的保護計算機免受用戶惡意攻擊。基于人工免疫的入侵檢測正是借鑒了許多生物免疫系統的顯著特性，如分布性，多樣性，自動應答和自我維護等。兩者之間的關聯列舉如下圖所示

圖1 自然生物免疫系統與人工免疫系統對比

3. 入侵檢測和人工免疫

入侵類型可被分為：1) 非法入侵，利用系統缺陷進行攻擊的行為；2）異常入侵，指背離系統正常使用的行為。入侵檢測系統(IDS)正是一種針對這些攻擊反應的安全工具 [2] 。早期的入侵檢測系統(IDS)注意力集中于日志文件和注冊表的分析, 由操作系統或其它一些應用程序執行。在本文中我們選擇UNIX系統中程序執行過程的日志文件進行分析。我們將采取由文獻[3]所提出的程序結構的變化形式。在人工免疫系統中, 我們認為主機中的每則郵件消息對應于單個細胞。由于在任何時刻，主機都可能有大量不同的郵件信息。因此主機可被定義為一個多“細胞”的“有機體”。在這樣一個主機里，存在一種作用類似于“淋巴細胞”的程序來標記各種郵件消息，比如“非我元素”。這種免疫系統是由郵件掃描程序（“淋巴細胞”）和病毒定義文件（“疫苗”）所構成。與生物體相同的是，當某則郵件消息的功能被認為改變以后, 該郵件即被辨認為“已感染”。

計算機免疫系統被劃分成固有和衍生免疫系統。固有免疫系統是一個Unix 的根文件的組成部分, 類似于記錄文件讀取和存取狀態的檔案，這一檔案建立在系統安裝期間。但這種消極免疫措施在計算系統內持續僅僅幾個小時。因此有必要在操作系統安裝之后, 計算機建立一個更健全的補償免疫系統。補償免役可由管理員實行操作。在執行了補償免疫措施后，計算機便開始匯總并發展獲得性免疫系統。免疫程度和時限則取決與參數描繪文件。(即, 服務的UNIX 服務器窗口工作站通過POP3 服務也許接受郵件與被傳染的文件附有這些電子郵件) 。對某些服務進程的限制訪問方法轉移為采用TCP Wrapper，以此實現濾波功能，起到類似于“免疫球蛋白”的作用。注意TCP和UDP代表了“人工生物體”的入口，被主機中的各種服務進程所使用。

人工免疫系統通過名為LogCheck [3]的軟件來實現這一功能。LogCheck充當一個類似于T細胞角色的軟件，完成過濾主機內程序注冊,同時生成遞交給管理員的日志記錄等任務。而具體區分對應于自我或非我程序結構則根據以下四個準則：

logcheck.hacking DD該文件由抗原組I類的關鍵詞組成，它的生成將導致免疫回答系統；

logcheck.violationDD該文件包含描繪抗原組II類的關鍵詞，并且實現了辨別抗原的代碼；

logcheck.violations.ignoreDD此文件用來識別上一文件中關鍵詞的反義詞；

logcheck.ignoreDD該文件標識了代表無礙主機安全的關鍵詞。

4. 在無線通訊網絡中的應用

在這一節中，我們擴大之前描述的入侵檢測系統應用至移動電信領域，并詳細列舉入侵檢測模型的系統范例。在本文里, 我們使用Z規格語言來描述人工電信免疫系統的主體部份, 以及一些圖解示例。在設計過程中，基于狀態和系統操作的定義，入侵檢測模型使用了狀態機范例。我們采取標準規范化的數學符號來描述各種模型靜態和動態。其中模型靜態包括以下特性: (i)可使用的狀態(如電話記數器狀態), (ii) 當系統進行狀態轉換時，被維持的程序。我們提議的模型動態方面有: (i) 所有可能的操作, (ii) 發生在系統聲明之內的狀態變換。在我們的入侵檢測和電信免疫系統里，每個通話過程被定義為一個“細胞”單位，同時被監測注冊用戶電話被視為由多細胞組成的“生物體”。用戶模式可以作為固有免疫系統。為了實現獲得性免疫系統，我們使用“淋巴細胞”的模型作為電話總機來監測注冊用戶。初始的“淋巴細胞”辨認合法的電話注冊用戶，然后當有能力查出新的入侵的其它“淋巴細胞”可替代初始值。在這個模型里, 自我基因組將由注冊用戶定義，通常是已經輸入系統并被使用于辨認正常操作過程, 而非我基因代表用戶注冊，則被用于辨認惡意入侵者。

給定一個全集U，代表所有的通話。那么U含有兩個子集合，S（自我）和N（非我）并滿足一下兩個關系式：

入侵檢測模型的域D可以用來劃分任意一個通話c的類型， 是正常通話，或者 屬于匿名通話。由于我們對于將來可能發生的入侵事件無法知獲，因此利用如下的預測模型：

其中M是電話通話的集合，而f則是區分自我與非我的映射 。

運用笛卡兒乘積后，在任何一個時刻里，我們可以獲取用戶無電話記錄，有效電話的記錄, 無效電話的記錄，或者所有包括有效和無效電話的記錄。因此，我們說如果 是屬于類型 里的n個元素，那么排序后的 則是屬于類型 里的一個元素。因此我們推論 是自我如果 ，否則為非我。

對以上描述的模型中, 我們只對辨認電話產生興趣。因而, 我們標識所有電話集合作為基本類型, 同時我們定義一個電話標識符CALL_ID，其Z 語言的圖解類型如下:

5. 實驗結果

在實驗系統的設置中，在使用不同操作系統的二個主機里分別安裝了軟件LogCheck。主機特征如下：PC1DDSun服務器以及Solaris OS；PC2DDIBM PowerPC服務器是, 使用AIX 操作系統。兩臺服務器均提供以下服務: DNS, SMTP, POP3, FTP。活動在這些服務器里被連續監測了五個月，信息量包含在這個集合里是相當大的。在圖1中我們獲得了PC1 的結果。圖2則顯示了PC2的結果。結果表明, 我們的模型幫助服務器極大減少了用戶注冊輸入的數量。這樣一個結果將對日志文件的大小有著深刻的影響力，從而也提高了入侵檢測的魯棒性。

在監測系統和收集注冊信息期間，管理系統生成了對應于侵害安全和異常的事件的報告。管理員將接受一個電子郵件形式的通知，內容都是針對非我基因的活動的報告，由于日志量減少，因此也減少了管理員的安全管理工作量，從而可以更專心的對入侵事件采取措施。數據見圖3和4。

圖表 4 PC1上的入侵檢測次數 圖5 PC2上的入侵檢測次數

6. 總結

本文描述了一種新穎的可應用于計算機和無線通訊網絡的入侵檢測模型。算法的核心思想是先標識出計算機和電信系統中的重要服務進程，然后通過監測其使用狀況來尋找異常入侵和非法入侵。在此基礎上，我們討論了一種有效可靠的管理系統的設計與實現，該設計通過精簡管理日志文件的內容，使得入侵檢測模型的目標范圍更加集中，從而提高整個系統的魯棒性。實驗結果表明，本文理論可以很好的應用于網絡入侵檢測系統之中并提高系統整體功效。