基于人工免疫入侵检测系统探究及实现.docVIP

基于人工免疫入侵检测系统探究及实现 【摘要】入侵检测技术是继防火墙，数据加密等传统安全保护措施之后的新一代安全保障技术。本文通过对生物免疫和入侵检测系统相似性的分析，在生物免疫的原理的基础上，提出了一种采用层次入侵检测模型系统。本次研究的系统基于宝山广播电视台局域网平台上，在具有网络安全检测作用的同时还能起到一定的示范作用，对于帮助理解TCP/IP协议结构，了解网络安全技术具有积极的意义。最后本文指出了现有设计的不足和未来的改进方向。 【关键词】入侵检测；生物免疫；层次入侵检测；TCP/IP协议结构；网络安全 1.引言 随着网络的普及，人类社会已经进入了信息化时代。在这个时代，Internet对人们的工作和生活起到了越来越大的影响。在人们享受Internet方便快捷的同时，各种入侵事件与入侵手法层出不穷，于是引发了一系列的安全问题。 由于网络安全风险系数不断提高，曾经作为最主要网络安全防范手段的防火墙，已经不能满足人们对网络安全的需求。而作为对防火墙有益补充的入侵检测系统（IDS），能够帮助网络快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对网络攻击和网络入侵的实时保护。 2.入侵检测系统的起源 自1980年4月P.Anderson提出入侵检测概念以来，入侵检测系统经过20多年的发展，已呈现出百家争鸣的繁荣局面，国内国外的许多大学和研究机构都在对其进行研究。传统的入侵检测系统是基于Denning的入侵检测模型[1]，在该模型中，将审计记录、系统日志以及其他可以监测的系统活动作为检测系统是否异常操作的依据，并将监测的数据与已知的入侵模式相比较或是与正常的系统状态相比较以确定是否发生入侵。因此传统的入侵检测系统多采用模式匹配、统计分析和完整性分析技术。随着网络技术的不断发展，这些技术已不能适应高速宽带网络发展的要求，存在检测速度慢，攻击特征规则库更新不及时以及出现虚警、漏警等缺点。当前入侵检测技术的发展主要集中在大规模分布式和智能化检测这两个方向。在智能化方面采用的技术主要有专家系统、神经网络、数据挖掘以及人工免疫等技术，SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这方面的研究代表了当前的最高水平[2]。其中有代表性的有Columbia University的Wenke Lee研究组与1998年开始的，采用数据挖掘技术的Intrusion Detection Evaluation研究，已经取得了较大进展[3][4]；神经网络技术在入侵检测中研究的时间较长，并在不断发展，日本、美国、英国等许多国家都有专门的研究机构在进行这方面的研究，已有多篇论文发表[5][6]；人工免疫方面，从1986年Farmer提出人工免疫的概念至今，人工免疫系统的研究已经进入稳步发展的阶段。至今为止总共提出了三种有效的基于人工免疫的入侵检测模型：Stephanie Forrest小组提出的基于网络的入侵检测模型[7]，Dasgupta小组提出的多Agent系统模型[8]和Kim小组提出的基于阴性选择和检测子基因库进化的分布式检测模型[9]。 3.人工免疫系统模型原理 生物免疫系统[10][11]可以保护人类机体不受诸如病毒、病菌等病原体的侵害，生物保护自身免受病菌的伤害是通过自身免疫来完成的。当外部病菌侵入机体时，生物免疫系统通过组织淋巴细胞来识别“自己”和“非己”抗原，消灭并清除异物，在生物免疫系统中，淋巴细胞分为T淋巴细胞和B淋巴细胞，在抵御病菌入侵时，T淋巴细胞执行特异性免疫反应和调节功能，B淋巴细胞则在其表面产生抗体，探测对应的抗原结构和特征，它执行识别、学习等功能。 生物免疫系统具有良好的自适应、自学习、自组织功能，是一个能进行并行处理和分布协调的复杂系统，其中蕴涵的信息处理机制和入侵监测原理具有很大的相似性。从计算机安全、病毒检测方面来看，生物免疫系统表现出来了巨大的潜能，其运行机理、系统结构、层次模型等和计算机安全系统非常相似。 人体免疫系统由多种免疫细胞组成，它的作用是专职机体的防伪功能。人工免疫系统是一个高分布、多层次的自适应系统，能随着环境变化识别出抗原。同时免疫系统所具有的多样性、耐受性、免疫记忆、分布式并行处理、自组织、自学习，自适应和轻量级等特点，正好满足IDS的需求，基于人工免疫原理的入侵检测系统LISYS已在一定程度上实现了对免疫系统真正的模仿。 4.基于人工免疫系统的网络入侵检测系统设计 上海市宝山区广播电视台作为一家新闻