基于抗体浓度实时网络风险控制系统设计和实现.doc

基于抗体浓度实时网络风险控制系统设计和实现 　　摘 要： 系统采用人工免疫理论，通过对传统入侵检测系统Snort的实时检测结果进行分析，根据抗体浓度随网络入侵强度动态变化的特点，计算出当前网络风险值，反映出当前网络所面临的各类攻击和整体风险状况；Snort依赖规则匹配对数据包进行检测，由于检测过程未考虑当前的网络风险状况，对所有的匹配都发出报警，存在误报率过高的问题，系统针对不同攻击的危险程度设定报警阈值和丢包阈值，降低Snort的误报率；并根据风险值大小，采取通过、报警、丢包阻断等响应措施。实验表明，该系统能够准确计算出主机和网络所面临的实时风险，降低Snort误报率，并能根据风险值大小制定有效的响应措施。 关键词：抗体浓度； 风险控制； 人工免疫； Snort； 网络安全风险值 0 引言 随着计算机网络技术的飞速发展，以网络攻击为代表的网络安全问题也日趋严重。为了确保整个网络的安全，就必须对整个网络进行网络风险控制，网络风险控制是指对整个网络进行风险评估，并根据评估结果采取有效的控制策略。因此，风险控制的核心就是风险评估，风险评估的基本目的就是将网络风险控制在可以接受的范围之内[1]。目前国内外主要的风险评估方法有网络安全形势自意识模型（Network Security Awareness Model， NSAM）[2]、随机Petri 网和攻击树方法结合模型[3]、模糊风险分析[4]、遗传模糊分类和数据挖掘网络分析[5]、贝叶斯网络分析[6]、支持向量机模型（Support Vector Machine， SVM）[7-8]、基于攻击图的评估模型[9-10]、云模型[11]和粗糙集模型[12]等。但以上方法都存在着一个共同的缺点，那就是不能实时定量地反映出当前网络的安全状况。近年来，人们根据生物免疫系统的运行机制提出了计算机免疫系统[13]，并在此基础上提出了一种基于免疫的网络安全风险检测模型[14]。 本文实现的网络风险控制系统是以开源入侵检测系统Snort为基础，采用人工免疫理论，根据抗体浓度随网络入侵情况实时变化这一特点，以抗体浓度为基础计算出网络风险值（risk），实时定量地反映出当前网络的风险状况。与此同时，对每一类攻击都设置报警阈值（pass）和丢包阈值（drop），依据计算获得的当前网络系统的风险值对Snort检测到的数据包采取有针对性的动作，若风险值小于报警阈值，则数据包直接通过；若风险值介于报警阈值和丢包阈值之间则通过并报警；若风险值大于丢包阈值则把数据包丢弃，并且报警。这样可以确保当网络系统遭遇大规模网络攻击时，系统不会崩溃，避免造成巨大损失。 本系统需要满足以下需求： 1）准确计算出当前网络系统的风险值，实时定量地反映出网络当前所面临的风险状况； 2）将系统计算出的风险值与报警信息关联起来，从而减小入侵检测系统的报警数量，降低误报率； 3）将系统计算出的风险值与控制策略联系起来，当风险值高于阈值时，自动采取响应措施，以防止网络危害的发生。 1 系统设计 1.1 工作流程 风险控制系统的设计和开发以开源入侵检测系统Snort为基础，包括入侵检测模块、风险评估模块、风险控制模块三部分。入侵检测模块是对数据包进行抓包和规则匹配，将匹配信息通过socket传输到风险评估模块；风险评估模块根据入侵检测模块传递过来的信息计算出当前主机和网络所面临的分类攻击的风险值和整体的风险值，将计算结果输出到日志，并反馈给风险控制模块；风险控制模块将反馈的风险值与设定的阈值进行比较，根据不同风险强度，匹配相应的响应策略。风险控制系统的基本工作流程如图1所示。 图片 图1 风险控制系统工作流程 1）首先，系统从配置文件中获取信息进行初始化操作，包括：入侵检测模块初始化、共享内存的初始化、socket传输通道的初始化、风险评估模块自身需要用到的各类数据结构的初始化和风险控制模块初始化。 2）入侵检测模块从Linux内核中的ip_queue模块里面获取数据包，完成数据包的解包、预处理等操作后进行规则匹配。 3）入侵检测模块将规则匹配信息通过socket方式传递到风险评估模块。 4）风险评估模块不断获取socket传输过来的攻击信息，根据IP值修改共享内存中被攻击主机的攻击记录。 5）风险评估模块每隔固定周期去判断每个主机的每类攻击数量是否增加，根据判断结果增加或衰减浓度值，根据浓度值计算主机和网络的风险值并输出到日志，同时写入共享内存中，反馈给风险控制模块。 6）风险控制模块从共享内存中获得风险值、报警阈值和丢包阈值，针对不同的网络风险情况对数据包进行：直接通过（riskdrop）等操作，同时记录报警信息和数量。