基于人工免疫分布式入侵检测模型.docVIP

基于人工免疫分布式入侵检测模型 　　摘要：针对现有分布式入侵检测系统交互流量大、单点失效及检测效率偏低的问题，基于人工免疫理论建立了一种新的分布式入侵检测模型，并提出了一种中心检测器配置及使用方法，并将异常检测与误用检测相结合 于OMNeT++网络仿真平台设计了仿真模型，进行了仿真实验。仿真实验结果表明，改进模型交互流量明显减小，检测效率明显提高并有效解决了单点失效问题。仿真结果证明了改进模型的正确性与有效性。 　　关键词： 入侵检测； 分布式； 人工免疫系统； 阴性选择； 分布式拒绝服务攻击 　　中图分类号： TP393.0 文献标志码： A 　　0引言 　　人工免疫系统（ArtificialImmuneSystem，AIS）是基于生物免疫系统相关机制和理论而发展的各种人工范例的统称[1]。随着网络规模的日益增大，分布式拒绝服务攻击（DistributedDenialofService，DDoS）成为拒绝服务攻击的主流形式。由于DDoS攻击源的多样性，单点检测方法已经无法对其进行有效检测。目前检测DDoS常用的方法是基于人工免疫的分布式入侵检测。分布式入侵检测系统主要有三种体系结构：集中式协同检测、层次化协同检测与完全分布式协同检测[2]。 　　白媛[3]15-20提出了一种集中式协同检测方法，检测系统分为数据收集和分析模块，数据收集模块分布于网络中，将收集的相关数据发送到中央分析模块，由分析模块进行入侵判断；该系统有效提高了检测DDoS的能力，但中央节点容易成为处理瓶颈，存在单点失效问题。秦晓明[4]30-41提出了一种完全分布式入侵检测结构，每一节点均具有检测入侵功能，节点之间通过交互以获得相应知识，进行协同检测；其有效解决了单点失效问题，但由于各节点之间交互流量十分巨大，对系统与主机性能造成严重影响。唐俊[5]采用阴性选择算法设计了一种网络入侵检测算法，但其没有考虑成熟检测器的进化与退化，系统性能会随着时间的增加而降低。陈岳兵[6]提出一种用于入侵检测的统一人工免疫系统原型，其具有开放性和适应性，试图将所有人工免疫相关理论囊括其中，但未对其具体使用进行说明，实现难度较大。伍媛媛[7]75采用人工免疫中阴性选择算法进行检测，能够检测出未知攻击，但由于检测器数量过多导致检测效率较低。 　　综上可知目前基于人工免疫的分布式入侵检测存在检测流量过大、单点失效及检测效率偏低等问题。针对上述问题，本文提出了一种基于人工免疫的分布式入侵检测模型，给出了相关模型框架与各模块功能；提出了一种检测中心模块配置及使用方法并将异常检测与误用检测相结合。最后采用网络仿真工具OMNeT++进行了仿真模型的设计与实验。 　　1人工免疫与入侵检测概述 　　本文主要采用人工免疫理论中否定选择算法来构建一分布式入侵检测模型，以克服传统分布式入侵检测系统的不足，对人工免疫理论中的一些具体细节、算法不作改进。本文所涉及的概念及算法如下。 　　1.1否定选择算法 　　否定选择算法最初指学者Forrest提出的算法[8]，目前指一类基于否定选择机制及模型的算法。否定选择算法的组成主要包括数据空间表示、检测器表示、匹配规则、检测器生成机制等。每种机制均有多种算法。本文采用算法如下：数据空间与检测器表示采用二进制字符串，匹配规则采用r连续位匹配，检测器生成采用随机生成方式。 　　模型框架主要包括两个模块：IDS（IntrusionDetectionSystem）检测中心和检测传感器。IDS检测中心位于网络中心路由器处，检测传感器则位于边界路由器处。检测传感器负责检测相应流量并上报相应信息，中心处理模块负责处理分析上报信息。 　　2.2模块功能 　　2.2.1IDS检测中心 　　IDS检测中心由训练模块（包括转换器与训练器）和检测模块（包括调度器与分析器）组成。 　　1）转换器。 　　模型中检测器均由二进制表示，因而需要对真实网络数据包进行格式转换。为对数据包进行操作需要将其信息转换为二进制字符串。对于不同攻击类型的检测所需收集的数据也不尽相同，本文仅考虑分布式拒绝服务（DistributedDenialofService，DDoS）攻击。这些信息包括：目的IP地址、源IP地址、目的端口号、持续时间、协议和源端口号。它们由数据包中提取并转化为112比特二进制。数据包相应属性如表1所示。 　　2）训练器。 　　当把训练数据即正常网络数据转换为二进制后，将其传输至训练器用于训练初始检测器，也即免疫耐受，采用免疫理论中阴性选择算法进行。成功通过训练的检测器成为成熟检测器，通过调度模块进行分配。初始检测器生成采用随机算法。检测器生成流程[10]如图2所示。 　　检测器结构如下所示： 　　检测器ID检测器生存时间匹配字符串 　　3）