基于免疫多通道入侵防御模型.docVIP

基于免疫多通道入侵防御模型 　　摘要：提出了一种基于免疫的多通道入侵防御模型，按网络协议类型对数据包进行分类，利用多过滤器技术优化网络流的实时分析处理，模拟生物免疫系统发现和杀死病原体的原理，采用免疫细胞的特殊机理实现入侵防御功能，建立受保护网络或主机的指纹特征库，减少过滤器分析和处理的数据量，提高网络入侵防御的效率。实验结果表明，本系统提高了入侵防御的智能化程度，能发现未知攻击，并能对未知攻击作出一定的处理。 　　关键词：生物免疫系统;入侵检测;入侵防御;指纹特征 　　中图分类号：TP309.2 　　文献标志码：A 　　文章编号：1001－3695(2008)06－1846－04 　　 　　目前，网络攻击事件呈上升趋势，网络入侵对上网用户造成了巨大的威胁。长期以来，入侵检测系统（intrusion detection system,IDS）担负着检测网络攻击的角色，在一定程度上，它为网络攻击的发现和预防提供了比较有效的手段[1]。但是，随着网络的飞速发展，IDS本身暴露出了许多不足之处，最大的缺点就是只能提供报警信息，不能主动对网络攻击作出阻断操作。IDS虽然不会影响网络的流量，但是由于百兆网、千兆网的出现，IDS不能抓取所有的数据包，因而存在严重的丢包现象，这会直接影响到网络入侵检测的准确率。另外，IDS的误警率和漏报率居高不下，新的攻击类型出现后，只能在IDS厂商把误用特征发布后才能被检测到，这使得IDS的有效检测方法总是滞后于新的网络入侵。 　　??IDS的种种不足促使了入侵防御系统（intrusion prevention system,IPS）的出现，IPS被放置在网络数据流的通路中，数据包必须经过IPS的过滤才能传给内部网络。IPS通过高速的硬件技术检查网络数据包中是否含有攻击特征，如果有则丢弃该数据包，否则，让其进入受保护网络。但是，目前的IPS不能检测出未知攻击，这使得IPS检测方法也滞后于新的网络攻击。另外，由于网络流必须通过IPS，IPS也容易成为网络的瓶颈。 　　?ド?物免疫系统（biological immune system,BIS）是抗击病源入侵的首要防御系统，它通过免疫细胞检测病原体，并将其消灭。免疫细胞通过遗传获得消灭已知病毒的能力，另外，它通过动态演化（变异和学习）来产生消灭变异病毒或未知病毒的能力。BIS具有良好的学习与认知性、耐受性、分布性、鲁棒性、自适应性、免疫反馈性、多样性和自适应性等特征[2]。本文利用BIS的自适应性、学习性和多样性等特性[2~4]，提出了基于免疫的入侵防御模型（immunity－based intrusion prevention model,IIPM），模拟BIS的克隆选择、亲和力成熟和自体耐受机制[5~8]，用攻击数据包的检测器和处理器实现了生物免疫细胞的功能，让IIPM的检测器进行自我进化，发现新的攻击并模拟吞噬细胞[2]（phagocyte）的功能，对入侵数据包进行合理的处理。为了提高IIPM的效率，本文为网络内的主机建立了指纹特征库，让IIPM有针对性地去发现并处理攻击网络包，减少IIPM过滤器的负担。 　　 　　1模型介绍 　　 　　??1．1系统框架 　　?ケ疚奶岢龅?IIPM如图1所示。在IIPM中，网络数据流首先流入分类器，分类器按照网络数据包的报头信息将数据包进行分类，本文按照协议进行分类。为了保证所有的数据包都能按要求进行分类，分类器采用高速的硬件设备，即使网络带宽过高，也可以设置并行分类器。 　　?ノ?防止漏包现象，采用了多个并行过滤器的方法，让单个过滤器专注于分析和处理某种或某几种协议的网络数据包，过滤器采用了生物免疫学的自体耐受、克隆选择与亲和力成熟等机制，利用模拟了抗体（antibody）的检测器分析网络数据包，同时过滤器还采用了模拟吞噬细胞的处理器来处理被发现的攻击数据包。为了避免过滤器分析和处理没有危害的攻击数据包，系统为内部网络或主机建立了指纹信息特征库（参见??1.5节），过滤器根据指纹信息判断攻击数据包是否会给受保护的主机带来危害，如果不会，则不对该攻击数据包作任何处理。经过过滤器分析和处理的数据流变为正常的数据包，通过高速数据合并器的合并，最终传给受保护的主机或网络。 　　1．2过滤器 　　?ス?滤器是IIPM的核心设备，它负责将网络数据包进行分析和处理，如图2所示。过滤器中部署了网络数据包检测器（简称检测器，参见1.3节）和网络攻击处理器（简称处理器，参见1.4节）。 　　?ゼ觳馄髂Ｄ饬?BIS的抗体[2,9]，它负责检测数据包中是否存在攻击数据。送进过滤器的数据包已按协议进行分类，它必须经过检测器的过滤分析后才能继续往下传输，如果数据包被检测器确定为攻击，数据包将被交给处理器。检