摘要:给出了一个入侵免疫系统的结构模型,对目前应用的免疫机制做了简要介绍,在此基础上,对迄今国内外所提出的几种典型的入侵免疫系统模型做了较详尽的描述和分析;提出了影响网络入侵免疫系统的评测因素以及入侵免疫系统今后进一步的研究方向。 关键词:入侵免疫 免疫机制 NIIS 评测因素 随着攻击者知识的积累以及攻击手法的日趋复杂和隐蔽,被动的安全策略已经无法满足网络安全的需求。在这种情况下,人们开始进一步采用入侵检测等主动防御技术,在网络中布署入侵检测系统IDS(Intrusion Detection System)作为第二道防线。入侵检测,顾名思义是对入侵行为的发现,它通过在计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。但由于传统的入侵检测系统大多采用基于规则的检测方法,最终用户需要经常更新规则,在入侵规则的获取、更新方面存在瓶颈,缺乏有效性、自适应性和可扩展性,不易检测入侵变体。为此,近几年人们把入侵检测技术与生物免疫系统相结合,通过对自然免疫系统的模拟研究,力图使计算机网络系统获得更多理想的安全特性,这就导致了一种新型、智能化的入侵检测系统——网络入侵免疫系统(Network Intrusion Immune System。简称NIIS)的诞生,并成为当今的研究热点之一。 本文对当前的入侵免疫系统中应用的免疫机制做了简要介绍,并对国内外一些关于入侵免疫系统模型研究的新进展做了比较分析。 1 网络入侵免疫系统NIIS的结构模型 免疫系统是一个复杂的多代理系统。将免疫系统应用到入侵检测当中,本质上是设计和实现一个分布式智能多代理系统。免疫的基本原理是分辨本体(正常)和异体(异常)。在入侵检测领域,本体是被监控网络的正常行为,异体是网络的异常行为。NIIS主要由两部分组成,抗体培育中心和免疫代理,见图1。 2 入侵免疫系统中应用的免疫机制 目前入侵免疫模型中应用的主要有以下一些免疫机制: (1)以氨基酸短序列为基础的免疫识别机制 不同生物的细胞都会表达(在细胞膜外表面上)或分泌一些具有独特结构的蛋白分子,可以作为不同生物的识别标志。这种蛋白分子上的独特结构是由相邻的氨基酸排成的序列,称为决定簇。淋巴细胞受体能与病原体的抗原决定簇(配体)互补结合,从而实现对病原体的免疫识别。这些机制为进行模式识别提供了实现方法上的启示。 (2)以受体编码基因库为基础的免疫多样性机制 生物体在进化过程中逐渐形成了一组编码淋巴细胞受体的基因库。基因库对几乎任何一种病原体,都能生成可以对基进行特性异性识别的受体,这种机制称为免疫多样性。 (3)以阴性选择为基础的免疫耐受机制和分布式检测机制 淋巴细胞受体的特性是只结合并识别病原体抗原,而不对自身抗原产生免疫反应(即自身耐受)。免疫学中通过阴性选择来解释成熟淋巴细胞的生成过程:淋巴细胞在表达出识别受体后,要经过一个阴性选择过程,在这个过程中,凡表达自身抗原识别受体的淋巴细胞会过程性死亡;相应地,发育成熟的淋巴细胞就只能识别非自身抗原了。免疫系统在对非自身抗原的免疫反应过程中,是各种免疫细胞通过高度局部化的相互作用而实现,这一机制在入侵检测系统模型中得到了极大的重视和应用。 (4)以记忆B细胞为基础的免疫记忆机制 免疫系统在后天可以被具有某种决定簇的抗原所诱导而产生免疫应答,当再次遇到这种抗原的时候,免疫应答会更敏感、更迅速和更强烈。这种后天通过抗原的诱导而获得的适应性和特异性的免疫反应能力,被称为免疫记忆。免疫记忆的特异性不是一对一的,它不仅使系统对以前遇见过的抗原仍然具有检测能力(更敏感、更迅速和更强烈),还能对相似结构的其他抗原产生免疫应答。 3 网络入侵免疫系统的研究进展 3.1 国外的研究进展 在国外提出基于免疫机制入侵检测模型的代表主要是:新墨西哥大学的Forrest、Hofmeyr小组;University of Memphis的Dasgupta小组和伦敦大学的Kim、Bentley小组。Forrest小组致力于建立一个计算机免疫系统,提出用反向选择算法NSA来产生成熟检测器(类似于达尔文进化论中的优胜劣汰的自然选择算法),并首次提出“计算机免疫学”一词。Forrest小组基于免疫机制的入侵检测模型是一个基于网络的入侵检测模型,在这个模型中,整个系统由分布在网络中处于监听状态(“混杂”模式)的一组主机构成,每台主机是一个检测检点。在每个检测给点上,用于免疫识别的抗原是由TCPSYN请求包中的源IP地址、目的IP地址和服务端口三个属性构成的定长为L的二进制符号串。模型中的阴性检测子是免疫系统中B细胞、T细胞和抗体的综合体,数据结构与抗原相同,检测子与抗原的特导体互补结合以定长的连续位匹配函数来模拟。Forrest小组还提出了采用连续位匹配函数时,提高成熟检测子生成效率的方法。 Dasgupta小组提出了一种实现入侵检测的免疫遗传模型,并提了一种新的检测子结构,还提出了一个生成衡量不同危险级别的检测子的思想,这是该小组的主要贡献;不足之处在于其设计只是针对突发异常数据包的一类攻击,这种攻击很容易被发现,因此价值不高。Kim小组描述了阴性选择、克隆选择和检测子基因库进化三种免疫机制的应用。该模型中,用于免疫识别的抗原是一种聚集结构,模型中检测子的结构与抗原的结构相同,检测子与抗原是否匹配是通过所有各属性的匹配分值之和是否超过某个阈值而判定的。系统由中枢IDS和周围二级IDS组成。在中枢IDS上存储着一个用于生成未成熟检测子的基因库,基因库最初是根据有关入侵的先验知识建立的,然后再利用成功检测到入侵的有效检测子的信息来进化,周围IDS以中枢IDS传送的成熟检测子进行入侵检测。 (责任编辑:泉水) |