在以上三个模型中,Forrest小组的模型较为新颖,研究最为实现、完整和深入。由于应用了免疫耐受机制(阴性选择),该模型采用分布式检测方式,由此带来了系统的健壮性、多样性、轻量级和可扩展性。不过该模型也有一些不足,主要是模型中参数较多,且各参数之间的相互关系,与具体应用环境、系统的资源、数据特点、检测率和效率等因素的关系都不确定,对怎样确定的一组参数值才能获得较好的检测效果有待进一步研究。Dasgupta小组研究的内容只是其中的一个方面,即阴性检测子和阳性检测子的比较以及阴性检测子的遗传生成算法。Kim小组提出的模型从原理和结构上看尚不存在问题,有待实验验证。 3.2 国内的研究进展 国内关于入侵免疫系统的研究,目前正如火如荼,采用了神经网络、数据挖掘、模糊逻辑和遗传算法、Agent、对象免疫等多项技术,并已经有了相当研究成果。主要有: 赵俊忠等结合多Agent和数据挖掘技术提出了一个基于免疫机制的入侵检测系统模型,该模型在数据挖掘技术的应用上与别人有所不同,强调不同用户行为的个体差异。挖掘不同用户个体行为的规律性和不同服务器的配置信息,因此,获得了较高的检测率和准确性,并将检测范围扩充到了UDP数据包的检测。 潘志松等提出了一个基于自然免疫和疫苗接种机制相结合的入侵检测系统模型以及相关算法,该算法充分考虑了数据包负载部分包含的入侵信息,建立反馈机制,并将疫苗接种机制引入入侵检测中,使入侵检测系统增强了对未知攻击的识别能力,并使系统具有自组织性,高效性和分布性。 邓贵仕等对检测子的生成机制和匹配算法进行了较为深入的探讨,建立了一个基于免疫原理和Agent技术的三层分布式网络入侵检测系统模型,但该模型存在不足的地方,例如如何缩短阴性选择过程的时间,寻找更加高效的字符串匹配方法等。这些都是关系到系统效率的核心问题,需要做进一步的研究。 孙美凤等针对的流量特征,提出了对Hofmeyr自适应免疫系统模型的一种改进,新的模型保留了Hofmeyr模型的优点,可用于企业园区网,具有更强的能力,能为园区网提供全局的检测和保护。但对用报文内容刻画的攻击无能为力,如各种特洛伊木马攻击,它以报文中具有某个子串为攻击特征。 胡翔等基于对象免疫思想,提出了一个入侵免疫系统的构建方法,其核心是围绕对象行为模型定制免疫规则,使每个对象受到针对性的保护。 吴作顺等提出了一个基于免疫学的多代理入侵免疫系统模型,该模型中,基于免疫学的安全代理能在联网节点之间漫游,监视网络状态。这些代理相互识别对方的活动行为,以等级方式进行合作,并根据底层安全规则采取相应的行动。移动代理具有自学学习能力,能动态适应周围环境,检测出已知与未知的入侵。多代理检测系统同时在不同层次监视联网计算机的活动情况,包括用户级、系统级、进程级和数据包级。 张勇等提出了一个基于免疫原理的多代理网络入侵检测系统模型,该系统是一个分布式的,各个检测代理之间也是松耦合的,可以相互代替,并在本地保存了入侵日志,安全性较高,但只能根据单个网络包来实现检测。 吴泽俊等提出了一个基于免疫的克隆选择算法,对入侵检测的免疫模型做了一些改进。 马建伟等提出一个生成“检测体”具有动态动态平衡的计算机免疫系统。 刘赛等提出了一种免疫遗传算法,能检测较大范围内的网络入侵并能产生较好的模式识别器。 国内上述模型虽应用了免疫系统的原理和机制,但有的只用了一部分,缺乏完整性,并且还主要停留在理论研究和探索阶段,所做的工作较为零散未能形成连续的和系统性的研究,特别是距离在工程层面上的应用还有一定差距。 4 入侵免疫系统的评测因素 迄今提出的入侵免疫系统模型已有很多,毫无疑问存在一个评测的标准,本文称之为评测因素。值得注意的是这些评测因素的存在影响着未来的入侵免疫系统的发展方向。影响一个入侵系统的性能及应用的广泛性的因素很多,但最主要的有以下几个方面: (1)检测抗原入侵的全面性程度 全面性程度是一个最重要的参数,若入侵免疫系统能检测、免疫的抗原数越多,则其普及性越好、漏检率越低。 (2)检测模型的自适应程度 自适应模型结合自学习系统的优点,能体现特征系统的检测效率。 (3)可配置性 系统能够容易地根据网络或计算机的不同需求进行配置。网络环境中的个体主机都是异构的,可能有不同的安全需求、不同的网络组件,例如:路由器、DNS、防火墙等及各种不同的网络服务可能有不同的安全需求。 (4)健壮性(鲁棒性) 系统必须有多个检测点,这样才能足够健壮,以对抗攻击以及系统的任何差错。NIIS最大的弱点就是遭受黑客攻击从而导致系统失效。 (5)互操作性 指NIIS部件之间以及与其他安全系统之间的互操作性,应从体系结构、API、通信机制、语言格式等方面规范NIIS。 (6)轻量级 轻量级的NIIS不会给系统造成过大的负担。如果NIIS是轻量级的,就能提高工作效率,因为每一组件完成的任务很小,本地主机需执行的主要任务应是有限的。 5 今后进一步的研究方向 入侵免疫系统的研究发展方兴未艾,入侵免疫技术作为当前网络安全研究的热点,还需要做进一步深入、细致和长期原研究。今后可以在以下几方面开展进一步的研究: (1)生成高效、多功能的检测子 现有NIIS中的检测子仅仅基于单个网络包检测,具产生有效检测子的效率也不高。因此,未来的入侵免疫系统若采用包含关于网络流量及连接的停息的多功能检测子,其检测功能将大大增加。 (2)采用自动免疫应答、响应机制 IDS的入侵响应方式和响应能力往往受到一定限制,而NIIS的响应机制接近最新出现的自动入侵响应系统。所以,NIIS在响应机制方面将朝着自动入侵响应系统AIRS方向发展。 (责任编辑:泉水) |