一種基于免疫檢測器集的高速網絡自適應入侵檢測系統

楊忠明秦 勇蔡昭權

（1.廣東科學技術職業學院計算機工程技術學院 廣東 519090；2.東莞理工大學計算機學院 廣東 523808；3.惠州學院教育技術中心 廣東 516007)

一種基于免疫檢測器集的高速網絡自適應入侵檢測系統

楊忠明1秦 勇2蔡昭權3

（1.廣東科學技術職業學院計算機工程技術學院 廣東 519090；2.東莞理工大學計算機學院 廣東 523808；3.惠州學院教育技術中心 廣東 516007)

網絡安全類產品的入侵檢測方法主流的特征檢測和異常檢測均存在著如序列數據處理能力缺乏、規則庫及時更新等問題，而智能算法由于運行效率問題無法在高速網絡中實時檢測。本文提出了一種基于免疫檢測器集的高速網絡自適應入侵檢測系統設計方法，人工免疫算法的自我與非自我識別機制可檢測新型變種的入侵行為與網絡異常，針對該算法的執行效率提出自體集規模約束方法產生檢測器，可以實時檢測網絡數據，適用于高速網絡中發現未知入侵行為。

入侵檢測; 免疫檢測器集;高速網絡;人工免疫;規模約束

0 引言

防御來自網絡攻擊，主要采用入侵檢測技術，基于專家經驗的預定義規則推理系統，被廣泛應用于目前較成熟的商業產品中。在拒絕服務攻擊中有死亡之ping、淚滴攻擊、UDP洪水攻擊、SYN洪水攻擊等攻擊方式，其中DDoS（分布式拒絕服務攻擊）以及DRDoS（分布式反射拒絕服務）則在高速網絡中展現了其兇悍的破壞能力。口令猜測、后門木馬、緩沖區溢出等利用型攻擊也是較為常見的網絡攻擊方式。而面向地址、端口的掃描更是隨處可見。

入侵檢測技術開創者之一的Marcus Ranum于1996年成立了NFR公司并研發了一種基于規則檢測的網絡入侵檢測系統，通過提供N-Code腳本語言為工具使得用戶可以自由創建入侵檢測的規則庫。ISS的RealSecure系列產品以一種混合的方式將基于網絡和主機的入侵檢測技術以及分布式技術等融合在一起，可為主機以及其網絡環境提供全方位的防護，簡潔而廉價是其特色。Cisco公司也在網絡安全方面取得不錯的成績，CiscoSecureIDS通過控制器、傳感器、和入侵檢測系統三大模塊完成網絡信息和主機信息的收集和分析處理，利用自身的硬件技術優勢協同入侵檢測系統達到維護網絡安全的目的。

在國內，華三同樣利用自身的硬件技術優勢開發了一套網絡入侵檢測系統，綜合基于狀態的內容特征匹配、協議跟蹤分析、流量異常探測三大技術進行入侵檢測。而聯想的網絡防御入侵檢測系統采用的是分布式技術架構，利用模式匹配、協議分析等手段發現異常行為并采取相應應急措施。彭義春提出將RBF神經網絡與克隆選擇算法結合以進一步提高檢測器的檢測率。郭建華將通過定義規則匹配的可變閾值將否定選擇算法與克隆選擇算法結合在一起，有效降低了漏檢率。

然而基于特征檢測的規則推理系統是依據專家經驗而實現定義的，存在序列數據處理能力缺乏、規則庫難于維護等缺陷，難以發現未知攻擊行為與網絡異常。而針對異常行為檢測的網絡數據建模也存在著無法實時在線檢測和高速網絡中實時計算等問題。因此，當前入侵檢測技術的研究主要關注機器學習中無法避免大量樣本訓練而難以應用于實際網絡環境的問題、分布式入侵檢測架構中中央代理與本地代理之間相互協作和統籌處理的問題、多終端數據融合中的多格式數據描述及融合問題、高速網絡中提高檢測效率和降低誤報率的問題。

目前應用在入侵檢測中的人工免疫匹配算法主要有否定選擇算法，如在高維環境下的網絡異常檢測方法；通過移動檢測器控制檢測器覆蓋情況，取得了較高的檢測率和較低的誤報率；克隆選擇算法，通過引入反向選擇算子，從而應用于實際的入侵檢測當中；免疫遺傳算法，通過引入生物學的特性，產生較好的識別器，實現了用較小的識別器覆蓋較大范圍的入侵檢測等等。

1 系統研究過程

1.1 技術思路

圖1 研究流程圖

根據當前主流的入侵檢測技術分析研究，可知提升入侵檢測技術應是提高預設規則的匹配速率、改進檢測器的檢測方法、優化報警算法，從而做到更快速的匹配網絡數據、更準確的判斷攻擊行為、更高效的報警危險行為。本文從以下幾個方面提出改進方法：

（1）設計一種新的決策樹匹配算法提高優秀檢測器檢測速率；

（2）研究免疫自體檢測器集規模約束方法提高匹配速率；

（3）降低免疫檢測器漏報率的優化算法研究。

1.2 實驗過程

（1）自主開發的網絡流量發送模擬系統

①使用自編的程序實現復雜規則數據包的裝配發送，實驗中采用美國麻省理工學院林肯實驗室(MIT Lincoln Lab)提供的1999 DARPA入侵檢測數據集為數據原型，同時加入了多種目前較新的攻擊特征數據對系統進行功能與性能的仿真測試。

②采用測試網絡吞吐量軟件Chariot完成大流量數據仿真實驗，以設定速率及預設數據包發送背景流量達到仿真效果。對自帶的流量測試腳本做了一定的修改，使其可以按照一定的速率和預先選擇的包大小來發送背景流量，主要完成64B和512B包長的大流量測試。

（2）利用骨干網絡流量進行大規模數據測試

①利用骨干網交換機搭建一套骨干網絡鏡像端口流量環境，采集Gbps級別流量驗證項目算法性能。

②利用集群計算環境進行免疫檢測器的樣本訓練，采用收集的各類網絡數據完成免疫檢測器自體集、非自體集的訓練工作。

2 研究成果

2.1 技術成果

（1）自體集映射分類技術

在對自體集的收集和匹配檢測過程中，使用了多叉樹分類映射技術。該技術是利用多叉樹的存儲結構，通過對網絡中的數據進行特征提取，把網絡中的多種信息的數據轉換成構建多叉樹需要的特征屬性，之后將每類屬性作為每層結點的主屬性，從而構造自體集和在此基礎上進行匹配檢測。

圖2 自體集映射流程圖

（2）基于自體集內容特征提取編碼技術

采用了一種新的壓縮編碼技術，該技術把一個任意長度的字節串變換成一定長的大整數，這種變換只與字節的值有關，與字符集或編碼方式無關，而且變換是不可逆的。這種“數字指紋”是獨一無二的，與文件自身的大小和格式無關，如果任何人對文件做了任何改動，經過壓縮的最終值也就是對應的“數字指紋”都會發生變化。

圖3 概率隊列尋優流程圖

（3）基于概率隊列的匹配尋優技術

在實際的自體集中，記錄集被匹配到的概率不盡相同，這就需要在技術上對其進行優化，從提高檢測效率出發，在傳統的排序方法基礎上采用了基于概率隊列的方式，從而極大的提高了匹配速度，提高了系統的檢測效率。

2.2 入侵檢測系統

采用自主研發的自體集映射分類技術等技術，構建基于免疫檢測器集的高速網絡自適應入侵檢測系統，經過實驗過程驗證，能全面監視和分析網絡安全狀況，防御已知的和新出現的各種攻擊，能對攻擊數據進行跟蹤、統計和詳細的解析，同時具有內網掃描監控、系統自身監控、加密數據庫連接設置等功能，符合當前網絡入侵檢測的實時性、準確性、防御未知入侵等要求。

3 總結

本文通過對國內外入侵檢測技術應用情況的研究，比對這類技術的優缺點，提出了一種基于免疫檢測器集的高速網絡自適應入侵檢測系統，通過優化人工免疫入侵檢測算法，針對性提出的自體集規模約束方法以產生檢測器，可達到該算法實時檢測網絡數據的效果，發現未知攻擊行為及網絡異常，使得人工免疫算法可應用于高速骨干網絡。

[1]袁志． 一種抵御HTTP洪水攻擊的方法[J]． 計算機應用與軟件, 2012．

[2]Mirkovic J, Reiher P． A taxonomy of DDoS attack and DDoS defense mechanisms[J]． Acm Sigcomm Computer Communication Review, 2010．

[3]謝汶兵, 馬曉東, 李中升,等． 基于備份控制流信息的緩沖區溢出監測技術[J]． 計算機工程與應用, 2016．

[4]王龍業, 羅杰． 互聯網端口掃描攻擊的安全檢測方法[J]．信息安全與技術, 2016．

[5]Ramaki A A, Amini M, Atani R E． RTECA: Real time episode correlation algorithm for multi-step attack scenarios detection[J]． Computers & Security, 2014．

[6]Chakrabarti S, Wasserman M, Thubert P, et al． IPv6 Neighbor Discovery Optimizations for Wired and Wireless Networks[J]． 2015．

[7]Peng Yichun． Research on Intrusion Detection System Based on IRBF． Computational Intelligence and Security (CIS), 2012 Eighth International Conference on, 17-18 Nov． 2012．

[8]Guo Jianhua． A Negative Selection Algorithm Integrated with Immune Network Theory． Natural Computation (ICNC), 2012 Eighth International Conference on, 29-31 May 2012．

[9]金章贊, 廖明宏, 肖剛． 否定選擇算法綜述[J]． 通信學報, 2013．

[10]楊智君, 田地, 馬駿驍, 隋欣, 周斌．入侵檢測技術研究綜述[J]． 計算機工程與設計, 2006．

[11]吳澤俊, 錢立進, 梁意文． 入侵檢測系統中基于免疫的克隆選擇算法[J]． 計算機工程, 2004．

[12]劉 賽, 徐 斌, 梁意文． 入侵檢測系統中的一種免疫遺傳算法[J]． 計算機工程, 2004．

[13]Kannan．A． Genetic Algorithm Based Feature Selection Algorithm for Effective Intrusion Detection in Cloud Networks．Data Mining Workshops (ICDMW), 2012 IEEE 12th International Conference on, 10-10 Dec． 2012．

國家自然科學基金項目（61170193），廣東省工業高新技術領域科技計劃項目（2013B010401036），廣東省高等學校優秀青年教師培養計劃項目（YQ2014187），廣東省高等職業教育品牌專業建設項目（粵教高函[2016]gzpp007）。