1、中国科学F辑信息科学2005卷48 No.5 557-578基于免疫的网络安全风险评估李涛计算机科学系,四川大学,成都 610065,中国(电子邮箱:litao)接收 2004年3月9日;修订2005年7月10日摘要:根据抗体浓度和病原体入侵强度,我们在这里提出了基于免疫学的模型,用于网络安全风险评估(Insre)。在Insre中,给出了网络安全领域中的自己,异己,抗体,抗原和淋巴细胞的概念和正式定义。然后建立自身耐受,克隆选择,成熟淋巴细胞的生命周期,免疫记忆和免疫监视的数学模型。建立上述模型,提出了一个用于网络安全风险评估的定量计算模型,它是基于抗体浓度的计算建立的。通过使用Insre,网
2、络攻击的种类和强度,以及网络安全的风险等级可以进行定量计算并实时得到。我们的理论分析和实验结果反映了Insre对于网络安全实时风险评估而言是一种好的解决办法。关键词:人工免疫系统 攻击检测 网络安全 风险评估DOI: 10.1360/04yf0140网络安全有两种风险评估方法:静态和实时。静态方法通过静态评估网络价值、安全漏洞,和安全事件1,如,COBRA1),OCTAVE2等发生的频率来评估网络。专注于攻击系统的静态因素时,静态方法仅可以对过去网络面对的安全风险做一个的粗略评估,不能实时评估网络易受到的网络攻击的风险。此外,他们不能检测即将到来的新网络攻击,因此他们对网络安全的复杂环境没有自
3、适应能力3。与静态风险评估的研究相反,对网络安全实时风险评估的研究仍在摸索阶段并只有有限的研究可用。1997年,Jonsson and Olovsson4分析了基于马尔可夫模型的攻击者行为,并根据系统被攻击者破坏的概率,预测了系统可靠性。1999年,Ortalo等人5提出基于特权图为在UNIX中的已知安全脆弱性的一个安全漏洞评估方法。2002年,Madan等人6提出了一个状态转换模型来描述当系统遇到来自网络攻击时的系统状态,并且提出了一个用于评估安全漏洞和可靠性的方法。2004年,Chu等人7 为网络安全提出了一个介于静态和实时评估的方法。这个模型能根据一些简单突然变化事件,如操作状态改变,元
4、件缺失等来粗略估计网络安全。根据被攻击者破坏的已知安全漏洞的概率或时间消耗,上述方法主要致力于网络可靠性的评估。然而,他们无法正确评估网络所面临的系统风险。例如,他们无法评估网络正在面对但未被破坏的的风险,对于DDoS攻击无计可施。此外,他们不能有效区分不同种类的攻击,并对于未知攻击无检测能力。结果,在实际网络环境中,这些方法的有效性和实时能力无法满足网络安全风险评估的要求。在计算机网络安全和人体中的生物免疫系统(BIS)之间实际上有一个直接类比。它们都需要在一个变化的环境8-13中维持稳定性。在1958年,Burnet14提出克隆选择理论,第一次解释了免疫反应的特点:只有被抗原激活的细胞能够
5、进行克隆过程。在1993年,Kepler and Perelson15发展了克隆选择理论,并讨论了体细胞突变理论,这在克隆选择中是一项重要变异。1994年,Forrest 等人16提出了阴性选择算法(NSA)。之后,Hofmeyr 和Forrest 等人17-19为人工免疫系统(AIS)提出了一个通用框架,并在ARTIS的基础上建立了一个计算机免疫系统(CIS),ARTIS被称为LISYS并极大得促进了CIS的研究。例如,使用手机代理去监视网络活动,Dasgupta 和Harmer 等人20,21建立了基于代理,在ARTIS上的CIS体系结构。Kim22提出了一个动态克隆选择(DynamiCS
6、)的算法,其中,可实时得改变自己的定义。Kim同样也提出了另一个基于实现CIS的ARTIS。人类免疫系统由一系列复杂的细胞和保护器官对抗感染的微粒组成。许多不同种类的淋巴细胞(B细胞,T细胞等)分布在人类全身,人类免疫系统能从自己中区分异己,并立刻消灭异己。一旦B细胞和抗原之间的亲和力达到一定临界值,B细胞会进行自我克隆并产生许多抗体来抓取更多抗原,导致抗体浓度的急剧增加。当抗原被消灭时,克隆过程将会受到抑制,抗体浓度会下降。在正常情况下,人体中所有种类的抗体浓度是稳定的。因此,抗原入侵强度可以通过计算在人体免疫系统中的所有种类抗体浓度来评估。根据抗体浓度和病原体入侵强度之间的关系,在这里我们
7、提出一个用于网络安全风险评估(Insre)的基于免疫的模型。在Insre中,给出了网络安全领域的自己,异己,抗体和淋巴细胞的概念和正式定义。然后建立了自身耐受,克隆选择,成熟淋巴细胞的生命周期,免疫记忆和免疫监视的数学模型。在建立了上述模型后,提出了一个用于网络安全风险评估的定量模型,它是基于抗体浓度计算的。通过使用Insre,网络攻击的种类和强度,以及网络安全风险等级可以定量、实时得计算。除了实时风险评估,Insre介绍了一种通过计算最大血缘谱系以分类网络攻击的新方法,并通过检查最大血缘谱系的基因序列描述每个等级的特点,其中最大血缘谱系和它的基因序列分别是被检测到攻击的种类和特征信息。此外,
8、Insre已经为模拟在BIS中接收疫苗和疫苗接种的过程建立了一个完整程序,提供了一个快速抵抗类似网络攻击的新方法。此外,Insre采用了集合代数方法以定量描述在CIS中的主要元素,如,自己/异己,抗体/抗原,淋巴细胞,自身耐受,克隆选择,成熟淋巴细胞的生命周期,免疫记忆,免疫监视,等。没有变量或变量赋值,只有表达式。因此,所有在Insre中的所有集合的进化可以同时实现23。1 提出模型给出字符串集合,网络协议(IP)包在网络中转移。抗原(Ag)是IP包的特征,由下式给出 (1)其中, 是自然数(常数),是字符串的长度。模拟抗原递呈细胞的功能(APCs),其中,IP包b的特点,如IP源地址和目的
9、地址,端口数,协议类型,IP标志,IP整体数据包长度,TCP/UDP/ICMP字段,等,被提取为抗原决定簇。在一个网络攻击检测系统中,异己模式代表了IP包来自计算机网络攻击,而自己模式是正常认可的网络服务交易和无恶意背景杂斑,如此, (2)对于任意,运算符和被定义为 (3)在Insre中,一个淋巴细胞用作检测器以识别异己抗原(网络攻击),并由下式给出 (4)其中d是用于同抗原匹配的淋巴细胞抗体,p是抗体d的抗体浓度,age是抗体d的细胞年龄,count(亲和力)是同抗体d匹配的抗原数量,R是实数集合,N是自然数集合。d,p,age和count也同样被分别称为淋巴细胞的d,p,age和count
10、字段。为了便于使用淋巴细胞x的字段,下标运算符“.”用于提取x的特定字段,如x. fieldname = the value of field fieldname of x. (5)淋巴细胞集合B包含了两个子集:成熟淋巴细胞(Tb)和记忆淋巴细胞(Mb) 。成熟淋巴细胞是对自身耐受但未被抗原激活的淋巴细胞。记忆淋巴细胞从成熟淋巴细胞进化而来,该成熟淋巴细胞在其生命周期中与足够多的抗原匹配。因此,我们有 (6) (7)其中是在D中的匹配关系,由下式定义 (9)其中,()是基于x和y间亲和力的:如果亲和力比某个特定临界值大,那么返回1,否则,返回0 。在Insre中,亲和力函数可以是欧氏距离,曼哈
11、顿距离,汉明距离,r-连续位匹配规则,等13,21。使代表抗体基因库。是未成熟淋巴细胞,由下式给出 (10)其中未成熟细胞字段的概念和下标运算符“.”是为了提取未成熟细胞的特定字段,与淋巴细胞相同,请参照公式(5)。1.1 自己进化在一个真实网络环境中,由于安全漏洞(如,后门)的存在,某些网络活动,在先前被视为正常行为,而在漏洞修复后被禁止。此外,随着时间的迁移,网络管理员也许会打开更多的端口并提供更多的服务。也就是说,一些在过去被禁止的网络活动,现在将被允许。因此,正常网络活动的动态更新问题也出现了。总而言之,在时间t的自己集合从t-1时刻的进化而来,其中突变抗原和新自己集合在时间t分别是被
12、消除和增加的。因此,我们有其中其中用于将抗原区分为自己或异己:如果其返回1,则x是异己抗原,否则,x是自己抗原。模拟生物免疫系统的共刺激且外部信号表明x是自己抗原,外部信号通常为网络安全管理员的反应。在这个模型中有两个重要的点。1)自己免疫监视:该模型通过自己免疫监视将及时消除变异了的自己抗原()。未成熟淋巴细胞对于变异了的自己抗原的耐受因而受到阻碍。因此,假阴性错误(即,一个不正常的网络活动被检测为是正常的)就减少了。2)自己的动态生长:当该模型工作时,它能通过将新自己抗原()增加Self集合中,以扩展自己的描述范围。因此,假阳性错误(即,一个正常的网络活动被检测为一个不正常的)就减少了。1
13、.2 抗体基因库其中其中是原始抗体基因,是在时间t被抗原激活的成熟淋巴细胞的抗体基因(即,检测到一些新攻击,保存了相应抗体基因,有关详细信息,请参阅第1.4节),且是在时间t同自己抗原匹配的记忆淋巴细胞的抗体基因集合(即,发生了假阳性错误,有关详细信息,请参阅第1.6节)。用作主要继承基因,因此新抗体的更优基因可以通过一些进化策略(如,基因剪辑,遗传算子)产生。然而,被认作错误基因和不能再满足当前网络要求的抗体基因,需要从抗体基因库中删除。抗体基因库Agd用于在骨髓模型中产生未成熟淋巴细胞的抗体(有关详细信息,请参阅第1.3节)。1.3 骨髓模型(自身耐受模型)等式(20)在骨髓中促进淋巴细胞
14、生长,其中代表了未成熟淋巴细胞随机产生,是连续自然数。在耐受过程之后一步,是中幸存的未成熟细胞集合。未成熟细胞需要经历(1,耐受期)步耐受过程并在此后进化为成熟细胞。是经历了步耐受过程并在时间t进化为成熟细胞的未成熟细胞集合。是在时间t随机产生的新未成熟细胞集合。 的产生基于Agd(1.2节所示),其中关键步骤是产生未成熟细胞抗体。未成熟细胞新产生的抗体通常由两部分组成:一些随机产生的抗体;其他起源于Agd,推导方法包括基因剪辑,基因演算法,等。我们提出的骨髓模型是基于动态自身耐受,其中外部系统可以在任意时刻将新自己元素添加到Self(t)或从Self(t)中移除变异了的自己元素。由于自身耐受
15、过程是动态的,该模型具有良好的适应能力。新增加的自己抗原将使模型产生能耐受那些新自己元素的新成熟淋巴细胞。然而,在这些新自己元素添加到Self(t)之前的成熟淋巴细胞可能无法耐受这些新自我元素。因此,在Insre中可能存在两种不同的淋巴细胞:一种是对特定抗原耐受的,但是另一种不能。这些细胞间的竞争通过外部系统进行仲裁(共刺激,请参考等式(15)。1.4 克隆选择其中其中模拟了淋巴细胞进化为下一代细胞的过程。是同相应抗原匹配的淋巴细胞集合,其中淋巴细胞和抗原的亲和力提高了。P(t)是同抗原匹配的淋巴细胞集合,然而,相应亲和力并未增加。是匹配异己抗原并在时间t被克隆的记忆细胞集合。是成熟细胞集合,其亲和力超过了特定值(0),该特定值意味着淋巴细胞将被激活,克隆并在时间t进化为记忆细胞,也就是说可以检测到一些新的网络攻击。和的元素也被称为免疫细胞克隆,它将克隆并产生更多淋巴细胞以解决相似和更为强烈的攻击。淋巴细胞对抗原有两种可能反应。一个是初级反应,它是由成熟细胞()产生的,并需要一个亲和力累积过程,也就是成熟细胞尝试学习和识别之前未遇到过的抗原,因而需要一段长学习期。
