《一种基于生物免疫系统的计算机入侵检测新技术》.pdfVIP

第25卷第3期 青岛建筑工程学院学报 V01．25No．32004 Journalof Institute Qingdao ofArchitectureand Engineering 一种基于生物免疫系统的计算机入侵检测新技术。 姜梅张艳 李兰 (青岛建筑工程学院计算机科学与工程系，青岛266033) 摘 要：论述在传统安全之上增加入侵检测技术的必要性以及现有入侵检测技术的不足。分析生 物免疫系统的免疫过程，从新的角度研究入侵检测技术，提出了一种基于生物免疫系统的计算机 入侵检测系统． 关键词：计算机安全，入侵检测系统，生物免疫系统，阴性选择 中图分类号：TP393 计算机安全的目标是保证信息系统的保密性、完整性和可用性．计算机安全十分复杂，由于配置错误 和软件缺陷的原因，使得从底层操作系统到上层应用程序，从通信基础设施到网络应用服务，从系统配置 管理到用户操作都有可能存在各种安全隐患．配置错误，即没有正确定义访问控制规则，使入侵者有机可 乘，这种错误通常由供应商和系统管理员产生．软件缺陷，即软件编程中出现的错误．软件缺陷有两种，一 种是基本软件缺陷，即与安全有关的软件错误；另一种是任何与安全无关的程序中存在的软件缺陷，它可 能会影响到系统的安全性．配置和软件错误造成了不断有系统和应用软件漏洞被发现，不断有攻击被报 道，供应商推出的新版本和补丁不断又带入新的漏洞，形成了恶性循环．尽管广泛应用了各种安全技术和 产品，如强有力的识别／验证系统、更好的访问控制工具、改进了的防火墙和密码系统等，仍然会遭到入侵 者的攻击．因此我们不得不承认，现有安全系统是不完备的，需要进一步引人人侵检测技术．入侵检测不 能阻止入侵者通过安全漏洞进行的攻击，但它能够事先寻找漏洞，并且在非法入侵者攻击系统时，能及时 将它们捕获，引入人侵检测技术是目前保证计算机安全的必要手段． 1 入侵检测 入侵是指企图破坏信息系统的完整性、保密性和可用性的任何非法活动的集合．目前，检测入侵的产 品主要有两类：扫描器和入侵检测系统，它们在入侵检测中扮演着不同的角色．扫描器是一个对系统脆弱 性进行定期评估的系统．它查找系统中有可能导致入侵的缺陷或漏洞，提前发出警告以预防攻击．扫描器 是一种非实时的事前检测产品，无法检测到系统遭受的威胁(即系统正受到或已受到的攻击)．入侵检测系 Detection 统(InstrusionSystem，IDS)是通过实时监视信息系统的动态特征，确定是否有入侵发生的系 统，它是一种实时检测产品．有两种基本入侵检测系统：①误用入侵检测系统，利用已知的入侵特征检测入 侵；②异常入侵检测系统，利用已知的系统正常行为特征检测入侵． 笔者主要讨论异常IDS，通常异常IDS主要包括以下三部分： (1)提取正常行为特征； (2)依据正常行为特征，检测系统是否有异常(入侵)发生； (3)报告检测结果，即通知系统管理员是否有入侵发生． ^ *编辑部约稿 收稿日期：2004一OS一13 万方数据 万方数据 万方数据 万方数据 一种基于生物免疫系统的计算机入侵检测新技术 作者： 姜梅， 张艳， 李兰 作者单位： 青岛建筑工程学院计算机科学与工程系,青岛,266033 刊名： 青岛建筑工程学院学报 英文刊名： JOURNAL OF QINGDAO INSTITUTE OF ARCHITECTURE AND ENGINEERING 年，卷(期)：