基于免疫的入侵防御模型研究

陶 晶

摘要：本文分析了入侵防御系統(tǒng)與生物免疫系統(tǒng)的相似性，建立了二者之間的映射關(guān)系。給出了基}lI免疫的入侵防御系統(tǒng)的設(shè)計(jì)思想，并給出了其模型。本模型對相關(guān)研究具有一定的參考價(jià)值。

關(guān)鍵詞：人工免疫系統(tǒng)；入侵防御；網(wǎng)絡(luò)安全

引言

目前，入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中得到了廣泛的應(yīng)用，但其存在的一個(gè)主要問題是只能對入侵進(jìn)行報(bào)警，不采取任何主動(dòng)防御措施。入侵防御技術(shù)是一種既能發(fā)現(xiàn)入侵行為、又能實(shí)時(shí)阻斷入侵行為的動(dòng)態(tài)安全防御技術(shù)，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受攻擊。因此，入侵防御技術(shù)是繼數(shù)據(jù)加密、防火墻、VFN、八侵檢測等傳統(tǒng)安全防護(hù)技術(shù)之后的新一代防御技術(shù)，是現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)發(fā)展的主要方向之一。

1生物免疫系統(tǒng)與入侵防御系統(tǒng)的映射關(guān)系

入侵防御系統(tǒng)對所有流經(jīng)的流量進(jìn)行深度分析、檢測與響應(yīng)，具備主動(dòng)的動(dòng)態(tài)防御能力。生物免疫系統(tǒng)能夠有效抵御外來入侵并保持生物體內(nèi)部環(huán)境的穩(wěn)定，與網(wǎng)絡(luò)安全防御有著很大的相似性。生物免疫系統(tǒng)在抵御外界入侵、保持內(nèi)部環(huán)境穩(wěn)定方面，承擔(dān)著與入侵防御系統(tǒng)類似的任務(wù)。生物體在生存期間會(huì)遇到來自體外的各種病原體的八侵，生物的免疫系統(tǒng)能夠有效地識(shí)別并清除它們，實(shí)現(xiàn)免疫防御的功能?；谏锩庖邫C(jī)理的人工免疫技術(shù)的發(fā)展為入侵防御技術(shù)的研究提供了新的思路。人工免疫系統(tǒng)是對生物免疫系統(tǒng)的模擬。本文通過建立基于人工免疫的入侵防御系統(tǒng)，使得入侵防御系統(tǒng)具有與生物體類似的免疫能力，從而提高了系統(tǒng)的安全性。

2基于人工免疫的入侵防御系統(tǒng)的設(shè)計(jì)思想

在人工免疫系統(tǒng)中?？乖侵复鉀Q的問題?？贵w是指問題的解決方案。在本文中，抗原就是指網(wǎng)絡(luò)行為，自體抗原是指正常網(wǎng)絡(luò)行為，非自體抗原是指異常網(wǎng)絡(luò)行為或入侵行為?？贵w是指能識(shí)別入侵行為的檢測器。入侵防御系統(tǒng)網(wǎng)絡(luò)行為是正常還是異常的過程，就被映射為生物免疫系統(tǒng)識(shí)別抗體是自體或非自體的過程。抗體與抗原之間親和力的大小在入侵防御系統(tǒng)中可以通過模式匹配、計(jì)算相似度等方式來實(shí)現(xiàn)。當(dāng)檢測器對網(wǎng)絡(luò)行為的匹配次數(shù)積累到一定數(shù)量時(shí)，如果系統(tǒng)還不能確定該行為是否是入侵行為，則可以通過擠同刺激信號(hào)的方式進(jìn)行輔助判斷。

3基于免疫的入侵防御系統(tǒng)模型

基于人工免疫的入侵防御系統(tǒng)模型包括事件采集、事件分析器、響應(yīng)單元、規(guī)則庫和策略庫。各部分功能分析如下：

(1)事件采集模塊

事件采集模塊從系統(tǒng)外部的網(wǎng)絡(luò)環(huán)境中收集事件，并將其轉(zhuǎn)化為系統(tǒng)可處理的模式。事件采集模塊收到網(wǎng)絡(luò)中的數(shù)據(jù)包后，完成以下兩種功能：一是精簡數(shù)據(jù)，減少冗余。以提高處理效率；二是提取事件特征，轉(zhuǎn)換為符合檢測規(guī)則語法的表示方法，例如二進(jìn)制編碼。事件采集模塊實(shí)現(xiàn)的功能類似于人工免疫系統(tǒng)中的抗原提呈的功能。

(2)事件分析器

事件分析器根據(jù)人工免疫的原理，計(jì)算親和力。區(qū)分事件采集模塊采集到的網(wǎng)絡(luò)事件模式是自體還是非自體，即是正常行為還是八侵行為。在分析的過程中，需要利用現(xiàn)有規(guī)則庫中的各類檢測器進(jìn)行判斷，同時(shí)事件分析的結(jié)果也將反饋給規(guī)則庫，實(shí)現(xiàn)規(guī)則庫的動(dòng)態(tài)更新。

(3)規(guī)則庫

規(guī)則是入侵防御系統(tǒng)中用于輔助事件分析器對網(wǎng)絡(luò)事件進(jìn)行分析的依據(jù)。規(guī)則庫負(fù)責(zé)組織現(xiàn)有的規(guī)則，通過接受外界給出的信息完成規(guī)則的激活、克隆、變異和記憶等操作。規(guī)則庫的另一個(gè)重要組成部分是自體庫。自體，即正常網(wǎng)絡(luò)事件，是現(xiàn)階段系統(tǒng)認(rèn)為可以接受的網(wǎng)絡(luò)事件。自體庫通過保存歷史上認(rèn)可的正常網(wǎng)絡(luò)事件，并采集當(dāng)前的正常網(wǎng)絡(luò)事件，為未成熟檢測器的免疫耐受提供了恰當(dāng)?shù)淖泽w環(huán)境。規(guī)則庫模塊借助人工免疫系統(tǒng)來實(shí)現(xiàn)，是保障入侵防御系統(tǒng)多樣性和自適應(yīng)性的重要組成部分。

(4)響應(yīng)單元

響應(yīng)單元根據(jù)檢測器對網(wǎng)絡(luò)事件的親和力積累結(jié)果，以及策略庫中的響應(yīng)方式和協(xié)同刺激信號(hào)，對激活的網(wǎng)絡(luò)事件做出恰當(dāng)?shù)捻憫?yīng)，同時(shí)更新規(guī)則庫中的檢測器集、自體集等信息。該模塊綜合考慮了各方面的信息，對網(wǎng)絡(luò)事件做出最終的處理。

(5)策略庫

策略庫為響應(yīng)單元所執(zhí)行的動(dòng)作提供依據(jù)，即為響應(yīng)單元提供協(xié)同刺激信號(hào)。此外，策略庫是系統(tǒng)與管理員交互的主要途徑，管理員從策略庫中獲取系統(tǒng)的動(dòng)態(tài)信息，調(diào)整系統(tǒng)的相關(guān)參數(shù)，給出針對各類入侵的防御方式。

4結(jié)束語

本文分析了基于人工免疫的入侵防御系統(tǒng)的優(yōu)點(diǎn)，給出了其模型。由于免疫系統(tǒng)本身具有的免疫防御、學(xué)習(xí)、自穩(wěn)等機(jī)制，研究基于免疫的入侵防御系統(tǒng)具有重要的理論價(jià)值和實(shí)踐意義。