基于免疫状态转换的网络态势觉察模型的研究.docVIP

基于免疫状态转换的网络态势觉察模型的研究 引言 在网络中，随着环境、时间、要求的改变，网络安全检测要求能够更加高效、自适应、可扩展，以确保整个网络的完整性、机密性和有效性。网络安全检测系统基于入侵检测系统的基础主要使用异常检测和误用检测两种技术。而这些与生物免疫有非常相似的地方，因此人工免疫用于网络安全检测已经取得一定的成果。最初就是Forrest教授提出的分布式人工免疫系统模型ARTIS[55][56][57]，以及后面Ballet[58]教授提出的基于免疫原理的分布式multi-agent计算机免疫系统和Kim[59][60][61]教授提出的基于动态克隆选择的网络入侵检测模型等等。但这些研究成果并不完善，存在部分缺陷。如对网络安全检测系统中的自体/非自体采用为静态描述，良好的适应性，不能满足真实网络环境下的需求，使得系统误报率、漏报率较高。另一方面免疫检测细胞（检测器）在其进化淘汰过程中缺乏动态缓冲机制，一些对入侵检测有重要作用的检测器仅仅由于在某一时段原来与之匹配的非自体转换为自体造成该检测器耐受失败被抛弃。 本文提出一种基于人工免疫的可以实现免疫状态转换的网络安全态势觉察模型NSSPM(Network Security Situation Perception Model)，在模型中定义了不变自体、已变自体、非自体、抗原、抗体、疫苗等概念，阐述了免疫细胞的动态演化模型，对未成熟检测器的生成采用抗体基因库重组变异与随机产生相结合的方法[62]，并为成熟检测器和记忆检测器设立了3种免疫状态：活跃态、阻塞态、苏醒态，同时设立了相应的状态转移过程：挂起过程、释放过程、激活过程。该模型解决了计算机免疫系统中自体、非自体的动态描述问题，能够实现对网络中已知和未知入侵行为的检测，具有分布式、自学习、鲁棒性等特点；还提出一种基于抗体浓度的记忆免疫检测树，通过动态调整结点顺序，使每次检测时，按照抗体浓度从高到低提取检测器，进行匹配抗原，当抗体浓度随着网络攻击的变化而变化时，及时的调整树中结点顺序，使浓度高的检测器先于浓度低的检测器进行匹配抗原，从而减少无效匹配次数，提高检测效率。 NSSPM体系结构 整个模型中，主要由抗原集、未成熟检测器集合、成熟检测器集合、记忆检测器集合、自体等组成。模型中主要包括两个主要过程，分别是虚线表示的免疫检测器识别抗原入侵的过程和实现表示的免疫检测器进化的过程，这两个过程同时进行，又相互影响。 检测过程如下：IP包经过抗原提呈得到抗原集合Ag，Ag被记忆检测器Mb、成熟检测器Tb检测后，分为自体Self和非自体NonSelf，将非自体从Ag中删除，剩下的抗原作为自体。初始的自体集合是根据经验预先设置的。 图 31 NSSPM体系结构图 免疫检测器进化过程如下：初始的未成熟检测器集合Ib(0)是预先设置的，后续的未成熟检免疫测器集合是部分是随机产生，部分由抗体基因重组变异而成；未成熟检测器集合中免疫细胞经历自体耐受期α后，若没有被删除，将成为成熟检测器集合中的免疫细胞；成熟检测器集合中的免疫细胞在生命周期内与抗原的亲和力达到一定阀值时，将成为记忆检测器中一员，否则将从成熟检测器中删除；成熟检测器中免疫细胞在成为记忆检测器一员的同时，被拆解成基因片段放入抗体基因库中。记忆检测器中的免疫细胞如果与自体匹配或者长期没有与抗原产生亲和力，将导致死亡。 网络安全态势觉察模型NSSPM 在生物免疫系统中，免疫细胞具有一定的生命周期，经历一个从产生到死亡的动态变化过程。在网络环境下，由于要求的变化、环境的变化等等，正常的网络行为和非正常的网络行为也在不断变化。因此，图31 模型的相关组成部分中，自体、非自体、抗原、抗体、各种免疫检测器等都随着时间和环境的变化在不断变化。 自体动态变化 在计算机网络中，为确保网络安全，我们必须知道什么是正常的网络行为，什么是非正常的网络行为。而由于对需求或者环境的变化，如一些以前认为是正常的网络行为，由于新的漏洞的发现或者对网络安全要求的增强，可能这样的网络行为将被禁止；相反一些以前被禁止的网络行为，由于网络安全设备的提高或者需要增加新的服务，可能相应的网络行为将认为是正常的网络行为。在本模型中，自体代表正常网络行为，非自体代表可疑网络行为，这些，决定了网络中没有永远不变的自体，自体将根据网络安全管理者的要求而动态变化的。在本模型中将自体分为未变自体和已变自体。 （3-14） 未变自体动态变化 初始未变自体为设置好的自体集合。其生成流程图如下： （3-15） 在初始状态时，自体为预先设置的自体集。在时，在时刻的未变自体集合上加入新产生的自体集合，同时删除发生变异的自体，就得到时刻的自体集合。时刻经过记忆检测器和成熟检测器检测的抗原，不是攻击则变为自体，形成；同样，时刻若检