CN1819530A - 一种网络信息系统容忍入侵的方法 - Google Patents

Abstract

本发明提出了一种网络信息系统容忍入侵的方法，属于信息安全领域。本发明通过模拟人体免疫细胞对病原体的识别和分类作用，对网络信息系统的各个层面进行实时有效地监控，包括网络系统、文件系统、进程系统及应用服务等层面，能及时发现入侵者在系统各个层面的非法活动。同时独特的容侵技术可确保系统在遭受攻击、甚至部分服务器被攻破、破坏的情况下，仍能为用户提供正确、可靠、完整的服务，并能自主修复被破坏的服务或内容。换句话说，本发明能够保证系统在遭受网络入侵时具备继续、正确、可靠工作的能力，即提供网络信息系统“带病坚持工作”以及“自我恢复”的能力，提高了网络信息系统在复杂网络环境中的生存能力，具有广阔的应用前景。

Description

一种网络信息系统容忍入侵的方法

技术领域

本发明提出了一种网络信息系统容忍入侵的方法，属于信息安全领域。

背景技术

传统的网络安全技术，例如防火墙、入侵检测等，在保障网络信息系统安全的过程中发挥着积极的作用，但是面对快速发展的网络攻击技术，特别是在网路系统被破坏后的生存性问题上，二者都显示出了能力方面的局限性。一旦防火墙被攻破，网络系统将会面临崩溃的危险，造成恶劣影响。

中国专利公开号为CN1319807A的申请案，对一个基于目录的多处理器计算机系统，当其发生数据差错时，该申请案利用系统中另一个数据的有效副本来容忍差错。该方法的不足之处在于不能应用于网络信息系统的入侵容忍问题。

发明内容

本发明提出了一种网络信息系统容忍入侵的方法，该方法可对网络信息系统的各个层面进行实时有效的监控，阻止外来非法入侵，同时独特的容侵技术可确保系统在遭受到攻击、甚至部分服务器被攻破的情况下，仍能为用户提供正确、可靠、完整的服务。该技术将信息安全保障技术和网络可生存性技术进行了很好的结合。

本发明利用生物免疫学的基本原理，通过模拟人体免疫细胞对病原体的识别和分类作用，从而实现了对外来网络入侵的识别，并尽可能地让系统在遭受网络入侵时继续可靠地工作，即提供网络信息系统“带病坚持工作”的能力。

本发明所述的网络信息系统容忍入侵方法主要由网络监控对象、响应对象和系统恢复重组对象等部件组成。其中监控对象从网络、文件、进程及应用服务等层面对网络系统进行全方位的监控，负责监视系统的运行状态，系统发生异常时，触发系统恢复重组对象，做出相应的响应，为系统构建了一个安全屏障。监控对象分为网络监控对象，文件监控对象，进程监控对象和应用服务监控对象，它们根据监视内容的不同分布在网络系统的各个环节中。监控对象在实现上基于人工免疫原理，它们的免疫执行过程和免疫学习过程大致一样，只是各自的自体(正常的网络行为)、非自体(非法的网络行为)在定义形式和内容上有所区别。本发明充分利用了生物免疫的计算机理，使得监控对象具有了很强的自适应和自学习能力。

网络监控对象实现网络的实时入侵检测功能。该对象定义网络抗原为网络请求，网络自体为正常网络请求，非自体为异常的网络活动(网络攻击)。网络自体和非自体构成整个系统的抗原集合。网络抗体用于检测和匹配网络抗原，其结构与抗原相同。系统首先对网络活动信息进行网络抗原提呈(特征提取)，得到网络抗原决定基(特征)。在网络监控过程中，一旦抗体与抗原匹配，则表明发现网络入侵，触发响应对象做出响应，如立刻通知有关部件如防火墙等采取动作等。

文件监控对象负责监视文件系统的完整性和正确性。该对象定义文件自体库为正常的文件的代码集合，非自体库由异常的文件特征码(例如，病毒特征码等)组成。文件监控对象在监控文件系统的过程中，通过非自体库(异常特征码)来判断已知的文件异常，通过克隆选择来识别未知异常并提取它的异常特征码。一旦发现异常，系统恢复重组对象迅速做出响应，恢复被破坏的文件。

进程监控对象负责监视运行进程的状态，检查是否有异常进程活动。该对象定义进程自体为正常程序的属性串集合，同时使用否定选择算法生成不与正常属性串匹配的初始检测器集合。在监控状态下，用与生成自体同样的计算方法生成的串即为可疑抗原，若检测器与可疑抗原发生匹配，则认为进程异常。若发现进程异常时，则杀死该进程，并将对应的程序文件提交给文件监控对象做进一步检测。

应用服务监控对象负责监视系统提供的应用服务的状态。该对象的工作方式类似进程监控对象，只不过应用服务自体定义为正常服务的属性串集合。

响应对象为用户提供正确、可靠、完整的网络服务，它在系统中充当着代理机构的角色，负责接受并过滤用户请求，向冗余服务器组转发用户请求并接受响应，通过拜占庭协议判断服务器回送的响应是否一致，保证将正确的、完整的响应传送给用户，同时根据拜占庭协议，检测是否有服务器遭到了破坏，如果有，则触发系统恢复重组对象，对遭破坏的服务进行恢复。

冗余服务器组的布署机制是网络系统实现入侵容忍的一个关键。在本发明中，冗余服务器的数目由拜占庭技术决定。同时，服务器采用不同的硬件平台和软件平台构建，并保证它们提供的服务内容相同。当面对同样的攻击时，不同的服务器将会有不同的影响，既从硬件平台上保证了系统的冗余性，也从服务内容上保证了系统的冗余性。通过这种机制部署的冗余服务器组将会为用户提供稳定、强健、可靠的服务。

在系统中的组成部件遭受到破坏时，系统恢复重组对象根据破坏的内容，采用相应的恢复重组策略对该内容进行恢复，必要时可通知系统管理员对系统进行恢复。

在详细说明之前，首先定义系统中使用的一些名词、符号以及一些公式：

1)定义字符串集合为 $\mathrm{\Ω}=\underset{i=1}{\overset{\∞}{\∪}}{\left\{\mathrm{0,1}\right\}}^i,$ IP包的集合为Ψ，并且ΨΩ；定义集合

其中D＝{0，1}^l，l为常自然数，|a|表示字符串a的长度。

2)网络抗原集合Ag： 为二进制串集合。对任意的网络抗原x∈Ag，x.b为原始的IP包，x.a为对原始IP包经过类似抗原提呈细胞(antigen presenting cells，APCs)后得到的特征(抗原决定基，antigenic determinant)，有x.a＝APCs(x.b)，x.a主要由源、目的IP地址、端口号、协议类型、协议状态等网络事务特征的二进制串组成。

3)网络自体、非自体集合：网络自体集合SelfAg，网络非自体集合NonselfAg。并且有Self∪Nonself＝Ag，Self∩Nonself＝φ。Self为常网络服务，Nonself为来自网络的攻击。

4)文件自体：文件自体S是一些正常文件的代码集台，SU， $U=\underset{i=16}{\overset{+\∞}{\∪}}{G}^i,$ G＝{0，1，...，9，a，...，f}，G代表可选的十六进制字符集合。

5)文件异常特征码：特征码的长度在16位到24位之间：特征码b， $b\∈\underset{i=16}{\overset{24}{\∪}}{G}^i,$ G＝{0，1，...，9，a，...，f}。它模拟淋巴细胞，融合了B细胞、T细胞和抗体的性质，用于检测和识别文件异常。

6)定义网络自体的属于运算∈_APCs，如下：

其中x∈Ag，x.a为抗原决定基。属于运算同样适用于文件自体、进程自体和应用服务自体，兹不赘述。

7)定义检测器集合B，且B＝{<d，age，count>|d ∈D，age，count ∈N}，其中d为抗体，它与抗原决定基具有同样的表达形式，age为抗体年龄，count为匹配数，N为自然数集合。检测器包括成熟检测器T_b和记忆检测器M_b，即B＝M_b∪T_b，且M_b∩T_b＝φ，这两种检测器参与免疫执行过程。

8)亲和力(affinity)计算函数f_{r_con}(x，y)：可采用r连续位(r-contiguous bits)匹配函数(如(2)式所示)、海明距离、欧拉距离等计算函数。

$f_{r\_\mathrm{con}}(x,y)=\left\{\begin{array}{cc}1& \&Exists;i,j,j-i\&GreaterEqual;r,0<i<j\&le;l,x.d_i=y.a_i,x.d_{i+1}=y.a_{i+1},...,x.d_j=y.a_j\\ 0& \mathrm{otherwise}\end{array}\right.---\left(2\right)$

9)抗原与抗体的匹配：若f_{r_con}(x，y)＝1，则称抗原与抗体是匹配的；否则，不匹配。

10)定义未成熟检测器I_b：I_b＝{<d，age>|d∈D，age∈N}，其中d，age的意义同检测器中d，age的定义。

为了进一步说明本发明的原理及特征，以下结合附图进行详细说明。

附图说明

图1是系统的体系结构图。

图2是系统监控的步骤。

图3是网络监控的步骤。

图4是记忆检测器检测抗原的步骤。

图5是成熟检测器检测抗原的步骤。

图6是未成熟检测器自体耐受的步骤。

图7是进程监控的步骤。

图8是文件监控的步骤。

图9是未知文件异常的识别步骤。

图10是文件异常监控过程中的自体耐受步骤。

图11是应用服务状态监控的步骤。

图12是系统响应的步骤。

具体实施方式

图1是系统的体系结构图。

图1显示了整个系统的体系架构。来自Internet的任何网络请求均通过应用代理服务器，系统通过分布在网络其中的监控对象，包括网络监控对象、进程监控对象、文件监控对象、应用服务监控对象对系统的各个层面进行有效的监控，通过响应对象对用户的网络请求进行正常相应；一旦发现异常，例如应用服务器被入侵、破坏时，响应对象则通过恢复重组对象对相应的服务器进行恢复工作(异常响应)。

根据拜占庭技术，系统中布署了冗余服务器组和备份服务器。服务器采用不同的硬件平台和软件平台构建，并保证它们提供的服务内容相同。当面对同样的攻击时，不同的服务器将会有不同的影响，从硬件平台和服务内容保证了系统的冗余性。

具体工作时，整个系统的具体步骤如下：

(1)接受网络请求的步骤，具体包括以下步骤：

①接受用户的网络请求；

②检查请求的有效性；

③剔除内容或形式不正确的请求。

(2)系统监控的步骤：调用系统监控步骤，密切监视系统的各个层面。

(3)系统响应的步骤。

图2是系统监控的步骤。

系统利用网络监控对象、进程监控对象、文件监控对象、应用服务监控对象对系统的各个层面进行有效监控，具体步骤如下：

(1)网络监控的步骤；

(2)进程监控的步骤；

(3)文件监控的步骤；

(4)应用服务监控的步骤。

图3是网络监控的步骤。

利用网络监控对象对网络活动实施监控，对网络入侵进行检测，具体步骤如下：

(1)抗原提呈的步骤：从实际网络数据流中，获取IP数据包，提取IP包的特征信息(如源、目的IP地址、端口号、协议类型、协议状态等网络事务特征信息)，构成长度为l的二进制串，作为抗原定期放入集合Ag中。

(2)记忆检测器检测抗原的步骤：将抗原集合Ag由记忆检测器集合M_b进行检测，把被记忆检测器检测为非自体的抗原从Ag中删除，如果记忆检测器检测到自体就从M_b中删除。

(3)成熟检测器检测抗原的步骤：将抗原集合Ag由成熟检测器集合T_b进行检测，把被成熟检测器检测为非自体的抗原从Ag中删除，如果成熟检测器在一定的周期内检测到一定数目的抗原就会被激活而加入到记忆检测器集合M_b中，如果成熟检测器在一定的周期内没被激活或检测到自体就从T_b中删除。

(4)未成熟检测器自体耐受的步骤：对未成熟检测器进行耐受(删除与自体集合匹配的检测器)，如果未成熟检测器耐受成功就会加入到成熟检测器集合T_b中，否则就会死亡。

(5)未成熟检测器生成的步骤：生成一定数目的未成熟检测器加入到未成熟检测器集合I_b中，新生的未成熟检测器的抗体一般分为几个部分：一部分完全随机产生(确保抗体的多样性)，另一部分抗体基因由抗体基因库中的基因编码而来，编码的方法可以采用遗传算子等。

(6)返回(2)。

网络入侵检测过程中，抗原集合变化的详细过程由方程(3)-(10)描述。

$\mathrm{Ag}\left(t\right)=\left\{\begin{array}{cc}{\mathrm{Ag}}_{\mathrm{new}}& t\mathrm{mod}\mathrm{\&delta;}=0\\ \mathrm{Ag}(t-1)-{\mathrm{Ag}}_{\mathrm{nonself}}\left(t\right)-Q_{\mathrm{Ag}}\left(t\right)& t\mathrm{mod}\mathrm{\&delta;}\&NotEqual;0\end{array}\right.---\left(3\right)$

Ag_Nonself(t)＝{x|x∈Ag(t)，

M_clone(t)＝{y|y∈M_b(t-1)， $\&Exists;x\&Element;\mathrm{Ag}(t-1)f_{\mathrm{check}}(y,x)=1\}---\left(5\right)$

Ag_Self(t)＝Ag(t)-Ag_Nonself(t)                           (8)

其中δ为抗原集合Ag的更新周期，即每δ周期Ag全部由新的抗原取代，Ag_new为两次抗原更新之间新收集的抗原，AgN_onself(t)为t时刻被检测出来的非自体抗原。Q_Ag(t)为t时刻与某一成熟检测器匹配、但未能使该检测器累计到足够的亲和力的抗原。T_b(t)为与抗原匹配的检测器，累计其亲和力(与P(t)对应，P(t)未累计亲和力，P(f)定义详见式(23))。M_clone(t)为检测到非自体抗原即将克隆的记忆检测器集合。T_clone(t)为与抗原亲和力超过阈值被激活、即将克隆的成熟检测器的集合(检测到一个新的攻击，将进化为记忆检测器)，详见式(24)。f_check(y，x)(y∈B，x∈Ag)模拟检测器对抗原的分类作用：为1日寸表明抗原x为非自体抗原，否则为自体抗原。f_{costimulation}模拟免疫系统的协同刺激，指示当前抗原是否为自体抗原，外部信号可以是系统管理员的应答等。

在真实网络环境中，由于安全漏洞的存在，在网络安全管理员补漏后，过去被认为是正常的网络活动会被禁止。另外，随着时间的推移，网络管理员为了提供更好的服务，可能会开放更多的端口，提供更多的服务，这就是说，以前被禁止的网络活动，现在被允许。这里引入一个网络正常活动(自体)随时间动态演化的问题。一般地，对于t时刻的自体集合，为上一个时刻的自体集合中去掉发生变异的元素，同时加入f时刻新增的自体元素，自体集合的动态变化可用方程(11)-(14)来描述。

Self_new(t)＝{y|y为t时刻新增加的自体串}      (13)

B(t)＝M_b(t)∪T_b(t)，t≥0                  (14)

抗体基因库主要用于生成新的未成熟检测器抗体的基因，抗体基因库的演化情况可用方程(15)-(17)来描述。

$\mathrm{Agd}\left(t\right)=\left\{\begin{array}{cc}\{d_1,d_2,...,d_k& t=0\\ \mathrm{Agd}(t-1)\&cup;{\mathrm{Agd}}_{\mathrm{new}}\left(t\right)-{\mathrm{Agd}}_{\mathrm{dead}}\left(t\right)& t\&GreaterEqual;1\end{array}\right.---\left(15\right)$

${\mathrm{Agd}}_{\mathrm{new}}\left(t\right)=\underset{x\&Element;T_{\mathrm{clone}}\left(t\right)}{\&cup;}\{x.d\}---\left(16\right)$

${\mathrm{Agd}}_{\mathrm{dead}}\left(t\right)=\underset{x\&Element;M_{\mathrm{dead}}\left(t\right)}{\&cup;}\{x.d\}---\left(17\right)$

其中d_i∈D(i＝1，...，k)为初始的抗体基因库，Agd_new(t)为t时刻检测器初次应答时检测器克隆体的基因(首次检测到一种新的攻击)，Agd_dead(t)为t时刻发生错误肯定的记忆检测器(检测到一个被证实为自体的抗原)基因。Agd_new(t)作为优势遗传基因将其加入抗体基因库，以利于在生成新的抗体基因时有可能通过遗产算子等进化方法生成更优秀的抗体基因；而Agd_dead(t)则是随着时间的推移已不能适应当前网络需要的、错误的、需淘汰的基因。

图4是记忆检测器检测抗原的步骤。

记忆检测器对抗原进行匹配。将记忆检测器的抗体与待处理抗原之决定基进行匹配，具体步骤如下：

(1)计算亲和力的步骤：计算记忆检测器抗体与抗原之间的亲和力；

(2)记忆检测器协同刺激的步骤：若记忆检测器抗体与抗原匹配，则进一步判断该抗原是否为自体；如果不匹配，

(3)记忆检测器克隆的步骤：如协同刺激指示匹配抗原为自体，则删除该检测器；否则，该抗原为非自体，表明发现网络入侵，删除该检测抗原，记忆检测器克隆，产生类似检测器以抵御类似攻击的入侵，并触发响应对象做出响应。

方程(18)～(20)刻画了记忆检测器的演化过程：

$M_b\left(t\right)=\left\{\begin{array}{cc}\mathrm{\&phi;}& t=0\\ M_b(t-1)-M_{\mathrm{dead}}\left(t\right)\&cup;M_{\mathrm{new}}\left(t\right)& t\&GreaterEqual;1\end{array}\right.---\left(18\right)$

M_new(t)＝{x|x∈M_b∧y∈T_clone(t)∧(x.d＝y.d，x.age＝0，x.count＝y.count}    (20)

其中M_new(t)为新产生的记忆检测器，M_dead(t)为匹配了一个被证实为自体的抗原的记忆检测器。T_clone(t)为t时刻将要进化为记忆检测器的检测器集合，定义见式(25)。

图5是成熟检测器检测抗原的步骤。

经记忆检测器检测后的抗原交给成熟检测器检测，过程为：

(1)计算亲和力的步骤：计算成熟检测器抗体与抗原之间的亲和力；

(2)成熟检测器协同刺激的步骤：若成熟检测器的抗原匹配数是否大于给定的阈值，则进一步判断该抗原是否为自体；

(3)成熟检测器克隆的步骤：如协同刺激指示匹配抗原为自体，则删除该检测器；否则，该抗原为非自体，表明发现网络入侵，删除该检测抗原，成熟检测器进化为记忆检测器，并同时克隆，产生类似检测器以抵御类似攻击的入侵，并触发响应对象做出响应。

方程(21)～(27)给出成熟检测器的生命周期及演化过程：

$T_b\left(t\right)=\left\{\begin{array}{cc}\mathrm{\&phi;}& t=0\\ {T_b^{\&prime;}\left(t\right)\&cup;T}_{\mathrm{new}}\left(t\right)-T_{\mathrm{clone}}\left(t\right)-T_{\mathrm{dead}}\left(t\right)& t\&GreaterEqual;1\end{array}\right.---\left(21\right)$

$T_b^{\&prime;}\left(t\right)=T_b^{\&prime;\&prime;}\left(t\right)-P\left(t\right)\&cup;T_{\mathrm{clone}}\left(t\right)---\left(22\right)$

$T_b^{\&prime;\&prime;}\left(t\right)=\left\{y\right|y.d=x.d,y.\mathrm{age}=x.\mathrm{age}+1,y.\mathrm{count}=x.\mathrm{count},x\&Element;T_b(t-1)\}---\left(23\right)$

$P\left(t\right)=\left\{x\right|x\&Element;T_b^{\&prime;\&prime;}\left(t\right),\&Exists;y\&Element;\mathrm{sAg}(t-1)(f_{\mathrm{check}}(x,y)=1\}---\left(24\right)$

T_clone(t)＝{y|y.d＝x.d，y.age＝x.age，y.count＝x.count+1，x∈P(t)}    (25)

T_new(t)＝{y|y.d＝x.d，y.age＝0，y.count＝0，x∈I_maturatlon(t)}         (26)

其中T_b′(t)，T_b″(t)模拟成熟检测器的一代进化，T_clone(t)为t时刻将要进化为记忆检测器的检测器集合。P(t)为与抗原匹配的检测器，P(t)未累计亲和力。T_new(t)为t时刻新产生的成熟检测器，T_dead(t)为t时刻由于在检测器生命周期内(λ)未累计到足够的亲和力(β)而死亡的检测器。I_maturation为f时刻历经a个耐受期后成熟的检测器，详见式(30)。

图6是未成熟检测器自体耐受的步骤。

通过否定选择算法对未成熟检测器进行自体耐受处理，新生的未成熟检测器需经历一个周期为a的自体耐受期，若在耐受期间匹配自体，则会走向死亡(否定选择)，未成熟检测器经历自体耐受后进化为成熟检测器。未成熟检测器自体耐受的具体步骤如下：

(1)否定选择的步骤：删除匹配自体的未成熟检测器。

(2)检测器成熟的步骤：若未成熟检测器在a个耐受期中存活，则令其成熟，使之进化为成熟的检测器。

方程(28)-(31)详细描述了未成熟检测器的耐受过程。

$I_b\left(t\right)=\left\{\begin{array}{cc}\{x_1,x_2,...,x_{\mathrm{\&xi;}}\}& t=0\\ I_{\mathrm{tolerance}}\left(t\right)-I_{\mathrm{maturation}}\left(t\right)\&cup;I_{\mathrm{new}}\left(t\right)& t\&GreaterEqual;1\end{array}\right.---\left(28\right)$

I_tolerance(t)＝{y|y∈I_b∧y.d＝x.d∧y.age＝x.age+1，

I_maturation(t)＝{x|x∈I_tolerance(t)∧x.age＞a}                        (30)

I_new(t)＝{y₁，y₂，...，y_ξ}                                           (31)

其中x_i＝<d，0>(d∈D，1≤i≤ξ)为初始随机生成的未成熟检测器，ξ为常自然数.I_tolerance为对Self(t-1)经历一次耐受后剩下的检测器，α≥1(常数)模拟耐受期，未成熟检测器必须通过否定选择(如I_tolerance的递推方程所示)删除那些识别自体抗原的未成熟检测器(自体耐受)，并经历一个周期为α的耐受期方可成熟.I_maturation为t时刻历经α个耐受期后成熟的检测器.I_new为t时刻随机产生的新的未成熟检测器。

图7是进程监控的步骤。

进程监控对象监视运行进程的行为，其间利用了否定选择原理。一旦发现可疑的进程行为就杀死该进程，并将对应的程序文件提交给文件监控对象做进一步检测。进程监控对象实施进程监控的步骤如下：

(1)提取正常程序属性串组成自体集的步骤：预先收集正常进程的各种数字属性，生成代表进程正常运行行为的属性向量，再分别将每个属性转化为一定长的0、1串，组合起来成为正常程序的属性串集合。对进程单个属性数值p_i的转化方法如下：

$g\left(p_i\right)=\left\{\begin{array}{cc}00,& p_i<\min \\ 01,& \min \&le;p_i<(\max +\min )/2\\ 10,& (\max +\min )/2\&le;p_i\&le;\max \\ 11,& p_i>\max \end{array}\right.---\left(32\right)$

其中min和max分别是p_i正常情况下的下限和上限。

(2)使用否定选择算法生成检测器集合的步骤：利用否定选择生成不与正常属性串匹配的初始检测器集合。

(3)监控进程生成可疑抗原并由检测器检测的步骤：在监控状态下，用与生成自体同样的计算方法生成的串即可疑抗原，若检测器与可疑抗原发生匹配，则触发响应对象，杀死该进程，并复制对应可疑文件的一个副本，提交给文件监控对象。

(4)检测器进化的步骤：淘汰亲和力低的检测器或老的检测器，并用免疫否定选择算法补充新的检测器。回到步骤(3)，并长期驻留运行。

图8是文件监控的步骤。

文件监控对象实施文件状态监控的步骤如下：

(1)文件异常检测的步骤：通过对重要进程的行为监控来检测文件异常，将可疑进程对应的程序文件提交。

(2)样本文件提呈的步骤：对异常的文件样本进行了初步的处理，去除文件的数据部分等一些无用信息。然后将它提交给文件异常识别的步骤。

(3)文件异常识别的步骤：文件异常识别分成已知异常识别和未知异常识别两部分，具体过程为：

3.1已知异常识别：该过程使用异常特征码库来识别文件异常，判断这个文件异常是否是已知异常。如果是就提示响应对象采取动作。其中对已知异常的识别定义为：

设异常特征码 $b=c_1{c}_2\&CenterDot;\&CenterDot;\&CenterDot;c_{l_b},$ 异常 $v=g_1{g}_2\&CenterDot;\&CenterDot;\&CenterDot;g_{l_v},$ c_i，g_j为十六进制字符，1≤f≤l_b，1≤j≤l_v，l_v＞l_b。 那么(33)式定义了b对v的识别，(34)式定义了b和v之间的亲和力：亲和力越高，b和v之间越匹配，当亲和力与特征码的长度(也就是最大的亲和力值)比值达到一定的门限值时，b就识别v。

$f_r(b,v)=\left\{\begin{array}{cc}1,& \mathrm{iff}{,f}_{\mathrm{affinity}}(b,v)/I_b\&GreaterEqual;{\mathrm{\&lambda;}}_r\\ 0,& \mathrm{otherwise}\end{array}\right.---\left(33\right)$

其中1表示b识别v，0表示不识别。λ_r为设定的识别门限比率，0≤λ_r≤1，l_b为检测器的长度。

$f_{\mathrm{affinity}}(b,v)=\max (a_1,a_2,...,a_{l_v-l_b+1})---\left(34\right)$

其中 $a_i=\underset{j=1}{\overset{l_b}{\mathrm{\&Sigma;}}}{\mathrm{\&delta;}}_{\mathrm{ij}},$ ${\mathrm{\&delta;}}_{\mathrm{ij}}=\left\{\begin{array}{cc}1,& \mathrm{iff},c_j=g_{i+j-1}\\ 0,& \mathrm{otherwise}\end{array}\right.,$ 1≤i≤l_v-l_b+1，

1≤j≤L_D。

3.2未知异常识别：调用未知异常识别的步骤，采用进化特征码库的方法来识别已有异常的变种，同时通过对文件异常样本的文本分析的方法来识别另外一些未知异常。在识别过程中分析和提取新异常的特征码。

(4)特征码库更新：一旦一个新的特征码被提取出来，这个新的特征码就被加入到特征码库中作为已知异常的特征码。

图9是未知异常识别的步骤。

对未知文件异常的识别步骤如下，图中g，p分别是已经进化的轮数和设定的最大进化轮数：

(1)读取异常样本的步骤：读取无法用已知异常特征码库识别的异常样本。

(2)变异进化识别异常的步骤：选取异常特征码库中一部分特征码进行变异进化，据此产生一些新的特征码库。变异进化过程使用了克隆选择算法：

2.1在特码库中选择与该异常亲和力高于λ_s一个特征码子库S_l，λ_s为设定的选择门限值；

2.2根据亲和力克隆这个特征码子库S_l形成库S，其中某个特征码b的克隆数目n_b＝[θ*f_affirnity(b，v)/l_b]，v为正在检测的异常，θ是克隆数目的上限值，l_b为b串长，f_affinity(b，v)为b和v之间的亲和力；

2.3根据亲和力变异S中的特征码，对特征码b的变异就是把b中随机选取的(l_b-f_affinity(b，v))位字符用随机选取的十六进制字符代替；

2.4随机产生|S₁|个新特征码加入到S中；

2.5最后对S进行自体耐受处理，这个耐受后的集合S就是进化后的特征码库。

(3)使用进化后的特征码库来识别样本的步骤：如果某个新特征码能够识别异常，那么这个新特征码就被保存，同时结束未知异常识别过程。否则，如果进化产生的新特征码还是不能识别异常而且进化的代数小于设定的最大代数(g＜p)，那么就回到第(2)步重新变异进化。

(4)样本文件文本分析提取特征码的步骤：如果进化的代数大于设定的最大的变异代数就采用基于样本文本的特征码分析法，具体步骤如下：

5.1提取候选特征码的步骤：选取样本代码中所有长度在固定范围内(16-24位)的代码组成候选码；

5.2候选码进行自体耐受处理的步骤：除去不能自体耐受的特征码；

5.3从剩余特征码中提取最好特征码的步骤：在剩下的特征码中选择长度最短的作为新的异常特征码；

5.4优化特征码：即缩短特征码长度看是否能够识别异常而不识别自体文件库中的文件。

图10是未知异常的识别的步骤中的自体耐受处理的步骤。

在文件异常监控过程、变异进化识别异常的步骤以及样本文件文本分析提取特征码的步骤中都使用了自体耐受处理过程，即否定选择算法，具体步骤如下：

(1)选择等待耐受处理的候选特征码；

(2)消除候选码：验证其中的的候选码是否识别自体，若识别，那么这个特征码就被丢弃；

(3)耐受成功：若其中的特征码不能识别所有的自体，那么该候选特征码就通过自体耐受测试(特征码成熟)，保存该特征码，并使之参与异常识别工作。

候选特征码集合的自体耐受过程就可以用下式定义：消除候选特征码集合中所有识别自体的特征码。

其中S为自体文件库， $B\&SubsetEqual;\left\{b\right|b\&Element;\underset{i=16}{\overset{24}{\&cup;}}{G}^i\}$ 为接受耐受训练的候选特征码集合，f_r为识别函数，由(33)式定义。

图11是应用服务状态监控的步骤。

应用服务监控对象监视运行进程的行为，其间利用否定选择原理。一旦发现可疑的应用服务行为就立即停止该服务，并触发系统恢复重组对象。应用服务监控对象实施应用服务状态监控的步骤如下：

1)提取正常服务属性串组成自体集：预先收集正常应用服务的各种数字属性，生成代表服务正常运行的属性向量，再分别将每个属性转化为一定长的0、1串，组合起来成为正常服务的属性串集合。对服务单个属性数值S_i的转化方法如下：

$g\left(S_i\right)=\left\{\begin{array}{cc}00,& S_i<\min \\ 01,& \min \&le;S_i<(\max +\min )/2\\ 10,& (\max +\min )/2\&le;S_i\&le;\max \\ 11,& S_i>\max \end{array}\right.---\left(36\right)$

其中min和max分别是S_i正常情况下的下限和上限。

2)产生检测器：使用否定选择生成不与正常属性串匹配的初始检测器集合。

3)检测可疑抗原：在监控状态下，用与生成自体同样的计算方法生成的串即可疑抗原，若检测器与可疑抗原发生匹配，则触发响应对象做出响应，停止该服务。

4)检测器淘汰：淘汰亲和力低的检测器或老的检测器，并用免疫否定选择算法补充新的检测器。回到步骤(3)，并长期驻留运行。

图12是系统响应的步骤。

响应对象对用户的网络请求进行响应工作，具体步骤如下：

1)提取系统监控状态：从系统监控步骤得到当前用户请求是否异常的标志。

2)正常响应的步骤：若用户请求合法，则响应对象将正常请求转发至每个相应的应用服务器，收到请求的应用服务器将响应内容回送至响应对象，并同时对响应内容进行异常检测，具体步骤如下：

(1)转发请求：将用户请求转发至每个应用服务器；

(2)接收响应内容：接收应用服务器的响应内容；

(3)响应内容异常检测：根据拜占庭协议，检查从每个服务器回送的响应内容是否是一致的。如果是一致的，则将响应内容传送给用户；否则调用异常响应步骤。

3)异常响应的步骤：处理系统监控以及响应内容的异常情况，具体步骤如下：

(1)系统监控异常处理的步骤：若当前异常为系统监控异常，根据不同监控层面的异常，采用以下步骤处理：

①阻止发起攻击的访问地址；

②杀死异常进程；

③采取杀毒等手段处理异常文件；

④停止异常应用服务；

⑤回退被破坏的服务到上一个正确状态；

⑥恢复被破坏的内容或服务：根据拜占庭算法恢复被破坏的内容或服务；

⑦从备份服务器上恢复被破坏的内容或服务。

(2)响应内容异常处理的步骤：冗余服务器组中部分服务器已遭破坏，需要进行恢复重建工作，具有步骤如下：

①找出失效的服务器：根据拜占庭算法，找出失效的服务器；

②触发系统恢复重组对象；

③对失效的服务和内容进行恢复：利用系统恢复重组对象对失效的服务和内容进行恢复。

Claims (9)

1.一种网络信息系统容忍入侵的方法，其特征在于包括以下步骤：接受网络请求的步骤；

系统监控的步骤；系统响应的步骤；其中

接受网络请求的步骤包括以下步骤：

    接受用户的网络请求的步骤；

    检查请求有效性的步骤；

    剔除内容或形式不正确的请求的步骤；

系统监控的步骤包括以下步骤：

    网络监控的步骤；

    进程监控的步骤；

    文件监控的步骤；

    应用服务监控的步骤；

系统响应的步骤包括以下步骤：

    提取系统监控状态的步骤；

    正常响应的步骤，包括：转发请求的步骤；

                          接收响应内容的步骤；

                          响应内容异常检测的步骤；

    异常响应的步骤，包括：系统监控异常处理的步骤；

                          响应内容异常处理的步骤。

2.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，网络监控的步骤包括以下步骤：

抗原提呈的步骤；

记忆检测器检测抗原的步骤，包括：计算亲和力的步骤；

                                记忆检测器协同刺激的步骤；

                                记忆检测器克隆的步骤；

成熟检测器检测抗原的步骤，包括：计算亲和力的步骤力；

                                成熟检测器协同刺激的步骤；

                                成熟检测器克隆的步骤；

未成熟检测器自体耐受的步骤，包括：否定选择的步骤；检测器成熟的步骤；

未成熟检测器生成的步骤。

3.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，进程监控的步骤包括以下步骤：

提取正常程序属性串组成自体集的步骤；

使用否定选择算法生成检测器集合的步骤；

监控进程生成可疑抗原并由检测器检测的步骤；

检测器进化的步骤。

4.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，文件监控的步骤包括以下步骤：

文件异常检测的步骤；

样本文件提呈的步骤；

文件异常识别的步骤，包括：已知异常识别的步骤；未知异常识别的步骤；

特征码库更新的步骤。

5.根据权利要求4所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，文件监控的步骤中，文件异常识别的步骤中的未知异常识别的步骤包括以下步骤：

读取异常样本的步骤；

变异进化识别异常的步骤，包括：

        选择亲和力高的一个特征码子库S₁的步骤；

        根据亲和力克隆该特征码子库S₁形成库S的步骤；

        根据亲和力变异S中的特征码的步骤；

        随机产生新特征码加入到S的步骤；

        对S进行自体耐受处理的步骤；

使用进化后的特征码库来识别样本的步骤；

样本文件文本分析提取特征码的步骤，包括：

        提取候选特征码的步骤；

        候选码进行自体耐受处理的步骤；

        从剩余特征码中提取最好特征码的步骤；

        优化特征码的步骤。

6.根据权利要求5所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，文件监控的步骤中，文件异常识别的步骤中，未知异常识别的步骤中的自体耐受处理的步骤包含以下步骤：

选择等待耐受处理的候选特征码的步骤；

消除候选码的步骤；

耐受成功的步骤。

7.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，应用服务监控的步骤包括以下步骤：

提取正常服务属性串组成自体集的步骤；

产生检测器的步骤；

检测可疑抗原的步骤；

检测器淘汰的步骤。

8.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统响应的步骤中，异常响应的步骤中的系统监控异常处理的步骤包括以下步骤：

阻止发起攻击的访问地址的步骤；

杀死异常进程的步骤；

采取杀毒等手段处理异常文件的步骤；

停止异常应用服务的步骤；

回退被破坏的服务到上一个正确状态的步骤；

恢复被破坏的内容或服务：根据拜占庭算法恢复被破坏的内容或服务的步骤；

从备份服务器上恢复被破坏的内容或服务的步骤。

9.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统响应的步骤中，异常响应的步骤中的响应内容异常处理的步骤包括以下步骤：

找出失效的服务器的步骤；

触发系统恢复重组对象的步骤；

对失效的服务和内容进行恢复的步骤。

Images