CN1567810A - 网络安全入侵检测系统及方法 - Google Patents

Abstract

本发明提出了一种网络入侵检测系统和方法，属于信息安全领域。其特征在于它不仅能识别已知的网络攻击，而且对未知、变种的攻击也同样有效；另外，由于它的自适应性和动态性，使它能在不断变化的环境中能检测出正常行为与非正常行为之间的转换。本发明可实时应对黑客攻击技术的变化，能满足一些公司、企业、个人对网络安全的需求，具有广阔的应用前景。

Description

网络安全入侵检测系统及方法

技术领域

本发明涉及一种对计算机网络入侵的检测技术，属于信息安全技术领域。

背景技术

当前广泛运用的网络入侵检测方法主要是对已知攻击进行特征提取，而后依据这些特征，与从网络中实时采样的数据进行对比，以发现入侵行为。这种方法的缺陷在于它只能对已有的攻击进行检测，如果这些攻击在形式上稍作变化，或者遇上新的攻击形式，则这种方法将无能为力。一些基于人工免疫(AIS)的入侵检测系统中，从定义正常行为(Self，自体)入手，以检测非正常行为(Nonself，非自体)。但是自体、非自体一旦定义后就极少变化，由于在具体的应用中，自体、非自体一方面难以准确定义，另一方面它们之间经常发生角色变化(随时间的推移需要及时地修正，例如今天看来是正常的网络行为，可能在明天就会被确认为非法的网络攻击)，从而使这些入侵检测方法缺乏较好的适应性。

中国专利公开号为CN1349328A的申请案，采用传统的入侵检测方法，能够检测出一些已知特征的网络入侵，但是该方法对于未知的，或者在已有攻击基础上发生变化的攻击模式将没有办法。

发明内容

为了克服传统入侵检测系统在识别未知入侵模式上的缺陷，本发明提出了一种新型的入侵检测系统及方法(an Immune based Dynamic Intrusion Detection：Idid)。它除了能识别已有的攻击模式以外，还能在实时变化的环境中识别新的攻击模式。

本发明利用生物免疫的基本原理，通过模拟人体免疫细胞对病原体的识别和分类作用，从而达到对外来网络入侵的检测功能。

本发明所述的计算机网络入侵检测系统由抗原提呈器，未成熟细胞耐受器，免疫细胞检测器和自体库构成。系统中完成从网络活动信息中提取特征信息的功能模块为抗原提呈器，执行实时检测功能的模块为免疫细胞检测器，向系统提供不与正常特征匹配的免疫细胞的模块为未成熟细胞耐受器，自体库为正常网络事务特征的集合，供耐受器和检测器使用。系统中定义抗原为网络活动特征信息(如IP数据包特征等)，自体为被允许的，安全的活动特征，自体库就是由用户确定的自体集。非自体为异常网络活动特征，是系统的检测对象。免疫细胞包括了成熟免疫细胞和记忆免疫细胞。成熟免疫细胞除了对抗原进行检测外，还要筛选出对抗原具有较好识别作用的免疫细胞，使之成为记忆免疫细胞，淘汰对抗原识别作用不大的成熟免疫细胞。记忆免疫细胞能够高效、快速地检测出非自体抗原。未成熟细胞指的是还没有通过耐受训练的细胞，所谓耐受训练，就是删除能识别自体的细胞的过程。系统还定义了抗体，它存在于未成熟细胞和免疫细胞中，具有和抗原一样的表达形式，用于计算细胞和抗原的亲和力(匹配与否)。系统运行分三个阶段：第一阶段为初始时刻到成熟免疫细胞生成，需要定义初始的自体库和未成熟细胞集合，后者经前者耐受后成为成熟免疫细胞。第二阶段从成熟免疫细胞产生之后到记忆细胞产生，为自学习阶段。成熟细胞通过检测，产生能识别大量不同非自体抗原的记忆细胞，而通过检测被分类为自体的抗原最后送给未成熟细胞进行耐受。第三阶段从记忆细胞产生之后到系统终止，免疫系统各部件产生完毕，进行实际环境中的检测：首先由记忆免疫细胞检测，然后成熟免疫细胞对剩下的抗原进行检测，最后未成熟细胞以剩余抗原为自体进行耐受训练。期间，可以向自体库中添加新的自体元素，同时去掉那些已经变异的自体元素(例如，随着时间的推移，以前被允许的活动现在被禁止)。自体库这种随时间动态变化的过程，可以实现未成熟细胞的动态耐受，从而具备更好的自适应性，满足真实网络环境的复杂变化情况。这样的动态特性是以往传统IDS不具有的特性。

在详细说明之前，首先定义系统中使用的一些重要名词、符号：

1)定义抗原集合(Ag，AgD，D＝{0，1}^l)为一些网络事务特征的定长二进制串集合，特征可以是IP地址、端口号、协议类型以及它们的综合体。定义抗原子集合sAgAg，且|sAg|＝η*|Ag|，(0＜η≤1)。Ag中又分为自体集合(Self)和非自体集合(Nonself)，Self为正常网络事务特征的集合，Nonself为网络非法事务(攻击或误用)特征的集合。它们之间的关系为：SelfAg，NonselfAg，

Self∪Nonself＝Ag，Self∩Nonself＝φ。

2)定义免疫细胞(B)是一些三元组的集合(B＝{<d，age，count>|d∈D，age，count∈N})，其中D＝{0，1}^l，d为抗体，age为抗体年龄，count为抗体与非自体抗原的匹配数，N为自然数集合。免疫细胞中又分为免疫记忆细胞集合(M_b，不与自体匹配且与非自体抗原匹配数大于某一特定阈值的免疫细胞)和免疫成熟细胞集合(T_b，不与自体匹配且匹配数小于给定阈值的免疫细胞)，它们之间的关系为：

B＝M_b∪T_b，M_b∩T_b＝φ。

3)定义未成熟细胞(I_b)是一些二元组的集合(I_b＝{<d，age>|d∈D，age∈N})，d与age的定义与免疫细胞相关定义相同。它与成熟免疫细胞集合存在关系：|T_b|+|I_b|＝ξ，其中ξ为常数。

为了进一步说明本发明的原理及特征，以下结合附图进行详细的说明。

附图中：

图1为系统结构图

图1显示了该系统为一个分布式系统，每台服务器(或主机)上都有一个入侵检测系统。内部网络通过路由器连接Internet。每个入侵检测系统中，免疫细胞检测器负责实时检测，抗原提呈器负责从网络活动信息(IP数据包)中提取特征信息构成抗原，未成熟细胞耐受器负责向系统提供不与正常网络活动特征匹配的免疫细胞，自体库为正常网络事务特征的集合，用于协助检测。该系统具有较好的分布性，并行性，自适应性和鲁棒性等优点。

图2是系统工作流程图。

由图2可知，系统分为两个层面：一个层面是抗原处理流程(图中实线箭头所标示过程)；另一个为细胞处理过程(图中虚线箭头所标示过程)。

第一个层面的处理步骤为：

1)从实际网络数据流中，获取IP数据包，提取IP包的特征信息(如IP地址、端口号和协议等信息)，构成长度为l的二进制串，作为抗原定期放入集合Ag中。

2)抗原抽样。从Ag中按一定的比例，随机选出抗原组成集合sAg，用于每一代的检测。

3)记忆免疫细胞对sAg集合元素进行检测。把被记忆免疫细胞分类为非自体的抗原删除，剩下被分类为自体的抗原被送到成熟免疫细胞集合进行检测。

4)成熟免疫细胞对sAg集合元素进行检测。同样把分类为非自体的抗原删除，剩下的自体抗原提交给未成熟细胞的自体耐受过程。

5)未成熟免疫细胞集合对剩余sAg集合元素进行耐受训练。之后，把剩余自体抗原放入自体库中。

6)如果系统没有满足结束条件，返回2)。

第二个层面是细胞的处理步骤：

1)随机产生未成熟细胞，其数量由|T_b|+|I_b|＝ξ决定。

2)自体耐受。未成熟细胞与通过免疫细胞检测的自体抗原进行耐受训练，在耐受期中，删除能识别自体的未成熟细胞。这样，通过耐受期的未成熟细胞成长为成熟免疫细胞，并参加免疫循环。

3)成熟免疫细胞检测抗原。如果一个未成熟细胞在某个阈值年龄λ(生命周期)之前匹配了β个非自体抗原，则它被成功激活，并进化为记忆免疫细胞。相反，在其生命周期中没有匹配那么多的非自体抗原，则死亡。

4)记忆免疫细胞检测抗原。如果一个记忆免疫细胞检测出一个自体抗原，即发生误报(将自体行为判断为非自体行为)，则死亡。

方程(1)-(6)刻画了自体库的动态演化过程：

Self_new(t)＝{y|y为t时刻新增加的自体串}               (6)

其中x_i∈D(i≥1，i∈N)为初始自体集合，Self_new为t时刻系统新增的自体串。Self_variation为t时刻发生变异的自体，即删除自体集合中不再是自体的元素。f_check(y，x)(y∈B，x∈Ag)模拟免疫细胞对抗原的分类作用：若免疫细胞匹配了抗原，且抗原属于Self(t-1)，即检测到一个曾经是自体的抗原则返回2；若匹配但不属于Self(t-1)，即检测到一个非自体抗原则返回1；若没有匹配，则该抗原为已知的自体抗原，返回0。这样做的目的是为了尽量减少外部环境对系统的影响(协同刺激)，而且由于自体与非自体可能的相互转化，所以对曾经是自体的抗原进行外部确认是十分必要的。抗体与抗原的亲和力计算采用r连续位(r-contiguous bits)匹配函数(如方程4)：两个二进制串，从任意位置开始，连续r位相同的话，就称这两个串匹配。亲和力计算函数也可以不采用r连续位匹配函数，其他方法(如海明距离等)同样适用。f_{costimulation}模拟免疫系统的协同刺激，请求确定当前抗原是否为当前自体抗原，外部信号可以是系统管理员的应答等。

自体的动态演化主要关键有两点：①自身的免疫监视，随时清除发生变异的自体(Self_variation)，从而消除错误否定(false negative)：将非自体认为是自体。错误否定率的增加将导致漏报率的增加，自身免疫监视能很好地解决自体随时间变异的问题。②自身的动态生长，例如：随着时间的推移，网络将提供新的服务，开放新的端口等，即原来不允许的网络访问，现在开放了。通过及时地增加自体元素(Self_new)，扩大自体的描述范围，可以有效地降低错误肯定(false positive)率：将自体认为是非自体，产生误报。自身的动态再生机制可以较好地解决目前IDS误报率较高这一严重问题。

抗原集合变化的数学表达如(7)-(9)所示：

sAg(t)Ag(t)，|sAg(t)|＝η*|Ag(t)|，t≥0                  (8)

其中sAg为系统每代进行处理的抗原，其元素按比例η(0＜η≤1)随机从Ag(由自体和非自体元素组成)中抽取，η为抽样系数。Ag_nonself为t时刻被检测出来的非自体抗原。初始时刻抗原集合为初始自体库(此时B为空)。δ为抗原更新周期，表示每δ代，就把Ag换为全新的抗原集合(Ag_new)。更新周期内抗原集合的变化只是删除掉被检测出来的非自体抗原，以完成把剩下的自体抗原送给未成熟细胞I_b进行耐受的工作。

图3为未成熟细胞的自体耐受过程图。

在未成熟细胞进行耐受训练时，自体为sAg中经过记忆免疫细胞以及成熟免疫细胞检测剩下的抗原。此时系统认为这些抗原已通过检测，被认定为自体抗原。未成熟细胞必须在一个耐受期α内经历否定选择后方能成熟。其中否定选择过程为：删除那些与自体匹配的未成熟细胞。

方程(10)-(13)详细描述了未成熟细胞的耐受过程。

$I_{\mathrm{tolerance}}\left(t\right)=\left\{y\right|y.d=x.d,y.\mathrm{age}=x.\mathrm{age}+1,$

$x\&Element;(I_b(t-1)-\{x|x\&Element;I_b(t-1),---\left(11\right)$

I_maturatiion(t)＝{x|x∈I_tolerance(t)，x.age>a}                       (12)

$I_{\mathrm{new}}\left(t\right)=\{y_1,y_2,\&CenterDot;\&CenterDot;\&CenterDot;,y_{\mathrm{\&xi;}-\left|T_b(t-1)\right|-\left|I_b(t-1)\right|}\}---\left(13\right)$

方程(10)模拟免疫细胞在骨髓中的生长情况，其中x_i＝<d，0>(d∈D，1≤i≤ξ)为初始随机生成的未成熟细胞，ξ为非记忆细胞总数。I_tolerance为对每代自体抗原耐受后剩下的免疫细胞，a≥1(常数)模拟耐受期，未成熟细胞必须在耐受模型(类似骨髓模型)中通过否定选择(如I_tolerance的递推方程所示)删除哪些识别自体抗原的未成熟细胞，并经历一个周期为a的耐受期方可成熟。I_maturation为t时刻历经a个耐受期后成熟的免疫细胞。I_new为t时刻随机产生的新的未成熟细胞，|T_b(t-1)|为t-1时刻成熟的免疫细胞的数目，|I_b(t-1)|为t-1时刻未成熟细胞的数目。

由于每代自体抗原的数量相对稳定且数量较少，因此该模型将以高效率的方式产生成熟免疫细胞。同时，由于I_new的随机性，从而使得新生成的成熟免疫细胞具有较好的多样性。

图4为记忆免疫细胞检测过程图。

记忆免疫细胞检测抗原的具体过程为：

1)记忆免疫细胞中的抗体与抗原进行匹配。如果不匹配，则交给成熟免疫细胞检测：否则进行下一步骤。

2)判断抗原是否属于当前自体库。如果不属于，则删除抗原；否则进行下一步骤。

3)协同刺激。请求外部信号协助，对抗原进行分类。如果外部信号肯定抗原为非自体，则删除抗原；否则进行下一步骤。

4)杀死该产生误报的记忆免疫细胞，并把抗原交给成熟免疫细胞检测。

方程(14)-(16)详细描述了记忆免疫细胞的演化及检测抗原过程。

T_memory(t)＝{x|x∈T_b(t)∧(x.count≥β)}                              (16)

其中T_memory为新产生的记忆细胞，M_dead模拟记忆细胞的死亡：若记忆细胞匹配了一个被证实为当前自体的抗原，即发生错误肯定：将自体中的字符串分类为异常(非自体中的字符串)，则该记忆免疫细胞被淘汰。β是某一特定的匹配数阈值，它的意义将在成熟免疫细胞检测模块进行描述。

图5为成熟免疫细胞检测过程图。

在成熟免疫细胞的检测时，抗原为sAg中经过记忆免疫细胞检测剩下的抗原。具体过程为：

1)成熟免疫细胞中的抗体与抗原进行匹配。如果不匹配，则把抗原交给未成熟细胞进行耐受；否则进行下一步骤。

2)判断抗原是否属于当前自体库。如果不属于则进行步骤4)；否则进行下一步骤。

3)协同刺激。请求外部信号协助分类抗原。如果外部信号肯定抗原为自体，则将其交给未成熟细胞进行耐受；否则进行下一步骤。

4)删除抗原，并检查细胞在生命周期λ中匹配数是否大于阈值β，大于则被激活，成为记忆免疫细胞。

在完成对所有抗原的检测之后，判断所有剩余成熟免疫细胞的年龄是否大于阈值λ，大于则走向死亡。

方程(17)-(24)详细描述了成熟免疫细胞的演化及检测抗原过程。

T_b′(t)＝T_b″(t)-P(t)∪T_clone(t)                               (18)

T_b″(t)＝{y|y.d＝x.d，y.age＝x.age+1，

y.count＝x.count，x∈T_b(t-1)}                                    (19)

T_clone(t)＝{y|y.d＝x.d，y.age＝x.age，

                                                                   (21)

y.count＝x.count+1，x∈P(t)}

T_new(t)＝{y|y.d＝x.d，y.age＝0，y.count＝0，

                                                                   (22)

x∈I_maturation(t)}

T_memory(t)＝{x|x∈T_b′(t)∧(x.count≥β)}                         (23)

T_dead(t)＝{x|x∈T_b′(t)∧(x.age＞λ∧x.count＜β)}               (24)

免疫细胞成熟后，必须在生命周期λ内与抗原结合，且累计足够的亲和力(β)，从而进化为记忆细胞(T_memory，记忆细胞具有更长的生命周期)，否则，将走向死亡(T_dead)，被新的成熟的免疫细胞所代替(T_new)。P(t)模拟与非自体抗原结合的免疫细胞，T_clone(t)模拟免疫细胞结合抗原的一个克隆过程，这里只是简单地将其匹配数加1。方程(18)-(21)的物理意义就是把成熟免疫细胞的年龄加1后，选出能匹配非自体抗原的成熟细胞，然后把它们的匹配数加1(模仿克隆扩增)。在免疫细胞生命周期中，通过克隆选择：淘汰哪些对抗原分类没有作用或作用不大的细胞(匹配数未达阈值且年龄过大)，保留优势细胞(对抗原具有良好分类作用的细胞)使之进化为记忆细胞，以便当类似抗原二次入侵时能进行更高效的应答。

Claims (10)

1.一种网络安全入侵检测系统和方法，其特征包括以下内容：未成熟细胞的结构；免疫细胞的结构；抗原提呈步骤；抗原集合的设置及演化步骤；自体库的设置及演化步骤；记忆免疫细胞的演化及检测抗原步骤；成熟免疫细胞的演化及检测抗原步骤；未成熟细胞的演化及自体耐受步骤。

2.权利要求1所述的网络安全入侵检测系统和方法，其特征在于未成熟细胞的结构包括以下内容：

未成熟细胞包括抗体和相应的年龄两个部分；其中抗体为随机生成的固定长度的二进制串。

3.权利要求1所述的网络安全入侵检测系统和方法，其特征在于免疫细胞的结构包括以下内容：

免疫细胞包括抗体，年龄和非自体匹配计数器三个部分。

4.权利要求1所述的网络安全入侵检测系统和方法，其特征在于抗原提呈步骤包括以下步骤：

获取IP数据包的步骤；

提取IP包特征信息的步骤；

将IP包特征值构成定长二进制串的步骤；

将所构成的定长二进制串定期放入抗原集合的步骤。

5.权利要求1所述的网络安全入侵检测系统和方法，其特征在于抗原集合的设置及演化步骤包括以下步骤：

初始抗原集合由外部系统确定的初始自体构成的步骤；

抗原更新时刻，原抗原集合由新的抗原集合取代的步骤；

其余时间，按一定比例，随机地从抗原集合中选取抗原用于每一代的检测的步骤。

6.权利要求1所述的网络安全入侵检测系统和方法，其特征在于自体库的设置及演化步骤包括以下步骤：

初始自体库由外部确定的自体构成的步骤；

t时刻自体库由t-1时刻自体库减去发生变异的自体，再加上由外部新增的自体构成的步骤。

7.权利要求1所述的网络安全入侵检测系统和方法，其特征在于记忆免疫细胞的演化及检测抗原步骤包括以下步骤：

设置初始时刻的记忆免疫细胞集合为空的步骤；

记忆免疫细胞对抗原进行分类的步骤；

t时刻记忆免疫细胞集合由t-1时刻记忆免疫细胞集合减去误检测到自体的记忆细胞，再加上由成熟免疫细胞进化而来的记忆免疫细胞构成的步骤。

8.权利要求1所述的网络安全入侵检测系统和方法，其特征在于成熟免疫细胞的演化及检测抗原步骤包括以下步骤：

设置初始时刻的成熟免疫细胞集合为空的步骤；

成熟免疫细胞对抗原进行分类的步骤；

t时刻成熟免疫细胞集合为t-1时刻的成熟免疫细胞集合，减去进化为记忆细胞的成熟免疫细胞，再减去因老化而死亡的成熟细胞，然后加上新生成的成熟免疫细胞的步骤。

9.权利要求7和权利要求8所述的步骤中免疫细胞对抗原的分类的步骤，它包括以下步骤：判断抗体和抗原是否匹配：不匹配则把抗原分类为自体，否则进入下一步；

检测抗原是否属于当前自体库：不属于则分类为非自体，否则进入下一步；

协同刺激，让外部系统来判断抗原到底是自体还是非自体。

10.权利要求1所述的网络安全入侵检测系统和方法，其特征在于未成熟细胞的演化及自体耐受步骤包括以下步骤：

初始末成熟细胞集合由随机产生的未成熟细胞组成的步骤；

t时刻未成熟细胞集合t-1时刻的未成熟细胞集合减去与自体匹配的未成熟细胞，同时减去进化为成熟免疫细胞的未成熟细胞，再加上随机新增的未成熟细胞的步骤。

Images