基于克隆選擇原理的網絡安全監測研究

張 雁, 劉才銘,2

(1.樂山師范學院計算機科學學院,四川樂山614004;2.西南交通大學信息科學與技術學院,四川成都610031)

0 引言

網絡安全監測技術通過對網絡安全威脅進行有效地檢測,并對網絡安全威脅的相關數據進行分析和判斷,為網絡管理者提供網絡安全程度的參考,并為追究安全威脅制造者的責任提供依據,它已經成為網絡安全技術的研究熱點之一[1]。

目前,主要采用網絡安全態勢評估(Network Security Situational Awareness)[2]技術監測計算機網絡中的安全狀況,但是,傳統網絡安全態勢評估技術主要采用日志分析和漏洞掃描等方法[2-3],其獲取的數據帶有很大的靜態性,難以適應瞬息萬變的網絡安全環境。況且,網絡安全態勢評估技術只評估安全狀況,不對威脅制造者的行蹤進行記錄,不利于事后追究責任。隨著網絡安全形勢的日益復雜,網絡安全監測技術迫切需要進行拓展,在對網絡安全威脅進行檢測和取證的基礎上,實現針對動態網絡環境中存在的安全風險的精確評估,讓網絡管理員不僅知道遭受了網絡安全威脅,還能夠有科學依據去防范和化解網絡安全風險,或將安全風險控制在可接受的范圍內。

為了有效監測計算機網絡中面臨的安全威脅,引入計算智能方法便是一種有效的途徑之一。人工免疫系統(Artificial Immune System,AIS)[4-7]已發展成為計算智能研究的一個嶄新的分支,而由其發展而來的計算機免疫系統(Computer Immune System,CIS)[8-9]更是在計算機網絡及其安全研究中得到了廣泛地應用[9-10]。模擬克隆選擇原理(Clonal Selection Principle,CSP)的克隆選擇算法(Clonal Selection Algorithm,CSA)是CIS的重要組成部分,它通過親和力機制讓系統進行學習,并演化出解決問題的最佳方法。Castro[11]提出了克隆選擇算法模型,并在模式識別、組合優化和多峰值函數優化中得到驗證[9]。Kim和Bentley[12]提出動態克隆選擇算法(Dynamical Clonal Selection,DynamiCS),并在網絡安全應用中得到驗證。隨后,大量研究人員在基于克隆選擇原理的網絡安全研究方面取得大量積極的研究成果。

文中將克隆選擇原理引入到網絡安全監測技術中,利用克隆選擇原理的良好機制和自學習性特征,并使用克隆選擇算法動態地演化出檢測網絡安全威脅的檢測要素,實現網絡安全威脅的告警、網絡安全風險評估、以及網絡安全威脅的取證等網絡安全監測流程。

1 網絡安全監測技術研究

1.1 監測流程

網絡安全監測技術監測網絡內的網絡安全威脅,并提取監測到的網絡安全威脅信息,給管理員發送告警信息,還根據網絡安全威脅的強度定量評估網絡安全風險,同時對網絡安全威脅造成的影響進行取證。研究的網絡安全監測的流程如圖1所示,其中,虛線表示檢測數據的流動方向。首先,將網絡數據包提呈為抗原;然后,將抗原提交給基于克隆選擇原理的網絡安全威脅檢測模塊,利用抗原訓練檢測器,讓檢測器得到進化和自適應;最后,根據網絡安全威脅的監測結果,對網絡管理員進行告警、評估安全風險和取證。

1.2 數據模擬與定義

為了將克隆選擇原理引入到網絡安全監測技術中,需要將真實網絡環境下的數據模擬成克隆選擇原理中的數據元素和檢測要素。將計算機網絡數據包的特征信息模擬成抗原(antigen),將檢測網絡安全威脅的檢測要素模擬成檢測器(detector)。

抽取網絡數據包的主要包頭信息,將其轉換成長度為l(l為自然數)的二進制串,定義這些二進制串的狀態空間為U={0,1}l,將網絡數據包的包頭信息提呈為抗原,抗原由網絡數據包的源/目的IP地址、端口號和協議標志等數據包特征的二進制串組成。定義抗原集合為其中,p為網絡數據包,APCs(p)函數表示將數據包 p的特征信息提呈為長度為l的二進制串。

將正常網絡行為和網絡安全威脅分別定義為自體抗原Self(簡稱自體)和非自體抗原 Nonself(簡稱非自體),其中,Self,Nonself∈Ag,它們滿足 Self∩Nonself=Φ,Self∪Nonself=Ag[1]。

定義1 定義檢測器集合為 D={〈gene,age,count,type,family〉｜gene∈Ag,age,count,type,family∈N},其中,gene為檢測器的基因,它是與抗原進行匹配的二進制串,也即檢測數據包中是否含有安全威脅的關鍵特征信息;N為自然數集合;count為檢測器匹配到抗原的數量;age為檢測器的年齡,表示該檢測器已經存活了多少代;type表示檢測器的類型;family為一個正序列整數,表示檢測器的族群序列號,它與一種網絡安全威脅的編號相對應。

選擇我院接受的進行超聲檢查的300例甲狀腺結節患者作為案例，對患者采用本院現有的超聲量化分級系統實施診斷和評估。本次研究的研究案例均符合要求，經過病理診斷后具備知情權，簽署知情同意書。

檢測器的基因與抗原具有相同的數據格式,它是檢測器識別抗原的關鍵特征信息,因此,判斷檢測器是否檢測到抗原,需要建立檢測器基因與抗原的二進制字符串的匹配算法。目前主要采用海明距離(Hamming)、歐氏距離(Euclidean)和r-連續位匹配算法(r-Contiguous)[8]等匹配方法。建立函數 fmatch(),判斷檢測器d和抗原ag是否匹配,如下所示。

其中,函數返回值為1時,檢測器d和抗原ag匹配,否則不匹配。

圖1 網絡安全監測流程

1.3 檢測器的動態演化

將檢測器分類為未成熟檢測器DI、成熟檢測器DM和記憶檢測器DR。

未成熟檢測器模擬了檢測要素進化的初始階段,是新生成的檢測器,由記憶檢測器的基因片段進行變異和重組后產生,或者由系統隨機產生,這樣可以提高檢測器的多樣性,未成熟檢測器滿足:DI=其中,α為未成熟檢測器的耐受期閾值;count為匹配到正常自體抗原的數量,一旦未成熟檢測器匹配到自體抗原,即 count＞0,則未成熟檢測器將走向死亡;parent.family為產生該未成熟檢測器的記憶檢測器的族群序列號,如果為隨機生成的未成熟檢測器,則使用新的族群序列號,但不能與以前的族群序列號重復。

成熟檢測器模擬了檢測器進化的中間階段,由未成熟檢測器進化而來,它滿足:DM={d｜d∈D,d.age＜λ,d.count＜δ},其中,λ為成熟檢測器的生命周期(即成熟檢測器的壽命);δ為成熟檢測器的激活閾值,它不與自體匹配,每檢測到一個抗原,其count域加1,它需要在其生命周期λ里檢測到足夠數量(δ)的抗原,才能進化成記憶檢測器,否則將走向死亡,如圖1所示。

記憶檢測器DR模擬了檢測器進化的最高階段,由被激活的成熟檢測器進化而來,或由管理員將已知網絡安全威脅的特征數據轉換而來,它滿足:DR={d｜d∈D,d.age≥λ,d.count≥δ},它包含有能精確識別攻擊數據包的特征,并能夠對非自體抗原產生二次免疫應答,迅速地識別有害抗原,即檢測到攻擊數據包時,通過克隆擴增機制用自己的基因片段產生大量的未成熟檢測器,以便生成更多的識別有害抗原的檢測器,從而壯大自己的族群。在初始階段,可以輸入經典的網絡安全威脅特征信息作為記憶檢測器,并用其生成未成熟檢測器,經過動態演化,可以更快地生成能多樣化地檢測有害抗原的檢測器。

1.4 網絡威脅的檢測及告警

定義網絡安全威脅集合為 T。

其中,attackID為網絡安全威脅的標識號,它與其對應的記憶檢測器的族群序列號相同;N為自然數;attack-Name為網絡安全威脅的名稱;attackInfo為網絡攻擊的描述信息;ASCII為ASCII字符集。

當記憶檢測器識別到有害抗原時,通過其 family域關聯到抗原對應的網絡安全威脅種類,并提取網絡安全威脅的信息,向管理員發出警告。設A為告警信息集合。

其中,attackName表示檢測到的網絡安全威脅的名稱,attackCount表示該種網絡安全威脅的發生次數。

1.5 安全風險評估

隨著檢測器的動態演化,檢測器的族群數量也隨之發生變化,這種族群數量的大小,也反映了網絡安全威脅強度的動態變化,即網絡安全威脅的強度反映在具有相同族群序列號的未成熟檢測器和成熟檢測器的數量上。

設第i類(i為網絡安全威脅列號)網絡安全威脅的危害性為hi,設第j個網絡資產(包括軟硬件)的重要性為vj,則第j個網絡資產面臨的安全風險rj為:

其中,m為網絡資產遭受的網絡安全威脅的數量;“*”表示計算方法;dI∈DI,dM∈DM,dI.family=dM.family=i;Count()函數按照參數給定的條件統計檢測器的數量。

網絡面臨的整體安全風險 r為:

其中,n為被監測的網絡資產的數量。

1.6 取證

該方法在檢測到網絡安全威脅時,同時對網絡安全威脅行為進行取證。一旦記憶檢測器匹配到非法抗原,隨即對抗原對應的網絡數據包進行特征提取,提取的特征信息包括源IP地址、目的IP地址、發生的時間等,并對遭受安全威脅的目標系統的當前狀態信息進行提取,如CPU使用狀態、內存使用狀態、網絡流量等。將提取的以上信息形成網絡安全威脅快照數據Flash,對該數據進行處理后形成證據 Evidence,發往證據服務器進行保存,證據的生成過程如下所示。

Evidence=Encrypt(Hash(Flash),publicKey)+Encrypt(Flash,publicKey)

其中,Encrypt()為公鑰加密函數,Hash()為單向散列函數,publicKey為證據服務器提供的公鑰,“+”為內容連接符。

證據服務器在接收到證據后,拆解出包頭信息,用其私鑰進行解密,然后將解密后的信息與內容信息的hash值進行比較,若兩個值相同,則表示該證據完整,是可信的,可以存入證據服務器中,否則要求重發證據。

2 結束語

通過對網絡安全威脅進行監測,可以讓網絡管理人員全面地了解當前的網絡安全狀況。為了對網絡安全威脅進行有效地監測,文中將克隆選擇原理引入到網絡安全監測技術中,研究克隆選擇原理在計算機網絡中的網絡安全監測方法,實現網絡安全威脅的告警、網絡安全風險評估、以及網絡安全威脅的取證等網絡安全監測流程。建立了一種有效的網絡安全監測技術,其監測的結果能為制定主動的網絡安全防御策略提供科學的依據。

致謝:感謝樂山師范學院科研項目(Z1113,Z1065)對本文的資助

[1] 李濤.基于免疫的網絡監控模型[J].計算機學報,2006,29(9):1515-1522.

[2] 韋勇,連一峰,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009,46(3):353-362.

[3] 韋勇,連一峰.基于日志審計與性能修正算法的網絡安全態勢評估模型[J].計算機學報,2009,32(4):763-772.

[4] Hofmeyr S A,Forrest S.Immunity by design:An artificial immune system[C].Genetic Evolutionary Computation Conf,San Francisco,CA,1999:1289-1296.

[5] 肖人彬,王磊.人工免疫系統:原理、模型、分析及展望[J].計算機學報,2002,25(12):1281-1293.

[6] 焦李成,杜海峰.人工免疫系統進展和展望[J].電子學報,2003,31(10):1540-1548.

[7] 莫宏偉,左興權.人工免疫系統[M].北京:科學出版社,2009.

[8] Forrest S,Hofmeyr S A,Somayaji A.Computer immunology[J].Communications of the ACM,1997,40(10):88-96.

[9] 李濤.計算機免疫學[M].北京:電子工業出版社,2004.

[10] Dasgupta D.An immunity-based technique to characterize intrusions in computer networks[J].IEEE Transactions on Evolutionary Computation,2002,6(3):281-291.

[11] Castro L N,Zuben F J V.Learning and optimization using the clonal selection principle[J].IEEE Transaction On Evolution Computation,2002,6(3).

[12] Kim J,Bentley P J.Towards an artificial immune system for network intrusion detection:an investigation of dynamic clonal selection[C].The Congress on Evolutionary Computation,2002:1015-1020.