1、中国科学F辑信息科学2005卷48 No.5 557-578 基于免疫的网络安全风险评估基于免疫的网络安全风险评估 李涛 计算机科学系,四川大学,成都 610065,中国(电子邮箱:)接收 2004年3月9日;修订2005年7月10日 摘要摘要:根据抗体浓度和病原体入侵强度,我们在这里提出了基于免疫学的模型,用于网络安全风险评估(Insre)。在Insre中,给出了网络安全领域中的自己,异己,抗体,抗原和淋巴细胞的概念和正式定义。然后建立自身耐受,克隆选择,成熟淋巴细胞的生命周期,免疫记忆和免疫监视的数学模型。建立上述模型,提出了一个用于网络安全风险评估的定量计算模型,它是基于抗体浓度的计算建
2、立的。通过使用Insre,网络攻击的种类和强度,以及网络安全的风险等级可以进行定量计算并实时得到。我们的理论分析和实验结果反映了Insre对于网络安全实时风险评估而言是一种好的解决办法。关键词:关键词:人工免疫系统 攻击检测 网络安全 风险评估 DOI:10.1360/04yf0140 网络安全有两种风险评估方法:静态和实时。静态方法通过静态评估网络价值、安全漏洞,和安全事件1,如,COBRA1),OCTAVE2等发生的频率来评估网络。专注于攻击系统的静态因素时,静态方法仅可以对过去网络面对的安全风险做一个的粗略评估,不能实时评估网络易受到的网络攻击的风险。此外,他们不能检测即将到来的新网络攻
3、击,因此他们对网络安全的复杂环境没有自适应能力3。与静态风险评估的研究相反,对网络安全实时风险评估的研究仍在摸索阶段并只有有限的研究可用。1997 年,Jonsson and Olovsson4分析了基于马尔可夫模型的攻击者行为,并根据系统被攻击者破坏的概率,预测了系统可靠性。1999 年,Ortalo等人5提出基于特权图为在 UNIX 中的已知安全脆弱性的一个安全漏洞评估方法。2002 年,Madan 等人6提出了一个状态转换模型来描述当系统遇到来自网络攻击时的系统状态,并且提出了一个用于评估安全漏洞和可靠性的方法。2004 年,Chu 等人7 为网络安全提出了一个介于静态和实时评估的方法。
4、这个模型能根据一些简单突然变化事件,如操作状态改变,元件缺失等来粗略估计网络安全。根据被攻击者破坏的已知安全漏洞的概率或时间消耗,上述方法主要致力于网络可靠性的评估。然而,他们无法正确评估网络所面临的系统风险。例如,他们无法评估网络正在面对但未被破坏的的风险,对于 DDoS 攻击无计可施。此外,他们不能有效区分不同种类的攻击,并对于未知攻击无检测能力。结果,在实际网络环境中,这些方法的有效性和实时能力无法满足网络安全风险评估的要求。在计算机网络安全和人体中的生物免疫系统(BIS)之间实际上有一个直接类比。它们都需要在一个变化的环境8-13中维持稳定性。在 1958 年,Burnet14提出克隆
5、选择理论,第一次解释了免疫反应的特点:只有被抗原激活的细胞能够进行克隆过程。在 1993 年,Kepler and Perelson15发展了克隆选择理论,并讨论了体细胞突变理论,这在克隆选择中是一项重要变异。1994 年,Forrest 等人16提出了阴性选择算法(NSA)。之后,Hofmeyr 和 Forrest 等人17-19为人工免疫系统(AIS)提出了一个通用框架,并在 ARTIS 的基础上建立了一个计算机免疫系统(CIS),ARTIS 被称为 LISYS并极大得促进了 CIS 的研究。例如,使用手机代理去监视网络活动,Dasgupta 和Harmer 等人20,21建立了基于代理,
6、在 ARTIS 上的 CIS 体系结构。Kim22提出了一个动态克隆选择(DynamiCS)的算法,其中,可实时得改变自己的定义。Kim 同样也提出了另一个基于实现 CIS 的 ARTIS。人类免疫系统由一系列复杂的细胞和保护器官对抗感染的微粒组成。许多不同种类的淋巴细胞(B 细胞,T 细胞等)分布在人类全身,人类免疫系统能从自己中区分异己,并立刻消灭异己。一旦 B 细胞和抗原之间的亲和力达到一定临界值,B细胞会进行自我克隆并产生许多抗体来抓取更多抗原,导致抗体浓度的急剧增加。当抗原被消灭时,克隆过程将会受到抑制,抗体浓度会下降。在正常情况下,人体中所有种类的抗体浓度是稳定的。因此,抗原入侵强
7、度可以通过计算在人体免疫系统中的所有种类抗体浓度来评估。根据抗体浓度和病原体入侵强度之间的关系,在这里我们提出一个用于网络安全风险评估(Insre)的基于免疫的模型。在 Insre 中,给出了网络安全领域的自己,异己,抗体和淋巴细胞的概念和正式定义。然后建立了自身耐受,克隆选择,成熟淋巴细胞的生命周期,免疫记忆和免疫监视的数学模型。在建立了上述模型后,提出了一个用于网络安全风险评估的定量模型,它是基于抗体浓度计算的。通过使用 Insre,网络攻击的种类和强度,以及网络安全风险等级可以定量、实时得计算。除了实时风险评估,Insre 介绍了一种通过计算最大血缘谱系以分类网络攻击的新方法,并通过检查
8、最大血缘谱系的基因序列描述每个等级的特点,其中最大血缘谱系和它的基因序列分别是被检测到攻击的种类和特征信息。此外,Insre 已经为模拟在 BIS 中接收疫苗和疫苗接种的过程建立了一个完整程序,提供了一个快速抵抗类似网络攻击的新方法。此外,Insre采用了集合代数方法以定量描述在CIS中的主要元素,如,自己/异己,抗体/抗原,淋巴细胞,自身耐受,克隆选择,成熟淋巴细胞的生命周期,免疫记忆,免疫监视,等。没有变量或变量赋值,只有表达式。因此,所有在Insre中的所有集合的进化可以同时实现23。1 提出模型提出模型 给出字符串集合=0,1i=1i,网络协议(IP)包在网络 中转移。抗原(Ag)是I
9、P 包的特征,由下式给出 Ag=a,b a D,b ,a=l,a=APCs b()(1)其中D=0,1l,l是自然数(常数),a是字符串a的长度。APCs b()模拟抗原递呈细胞的功能(APCs),其中,IP 包 b 的特点,如 IP 源地址和目的地址,端口数,协议类型,IP 标志,IP 整体数据包长度,TCP/UDP/ICMP 字段,等,被提取为抗原决定簇。在一个网络攻击检测系统中,异己模式Nonself Ag()代表了 IP 包来自计算机网络攻击,而自己模式Self Ag()是正常认可的网络服务交易和无恶意背景杂斑,如此 Self Nonself=Ag,Self Nonself=(2)对于
10、任意x Ag,运算符APCs和APCs被定义为 x APCsSelfiffx.a APCs(Self)x APCsSelfiffx.a APCs(Self)#$%&%(3)在 Insre 中,一个淋巴细胞用作检测器以识别异己抗原(网络攻击),并由下式给出 B=d,p,age,countd D,p R,age N,count N (4)其中 d 是用于同抗原匹配的淋巴细胞抗体,p 是抗体 d 的抗体浓度,age 是抗体d 的细胞年龄,count(亲和力)是同抗体 d 匹配的抗原数量,R 是实数集合,N 是自然数集合。d,p,age 和 count 也同样被分别称为淋巴细胞的 d,p,age 和
11、count 字段。为了便于使用淋巴细胞 x 的字段,下标运算符“.”用于提取 x 的特定字段,如 x.fieldname=the value of field fieldname of x.(5)淋巴细胞集合 B 包含了两个子集:成熟淋巴细胞(Tb)和记忆淋巴细胞(Mb)。成熟淋巴细胞是对自身耐受但未被抗原激活的淋巴细胞。记忆淋巴细胞从成熟淋巴细胞进化而来,该成熟淋巴细胞在其生命周期中与足够多的抗原匹配。因此,我们有 Tb=x x B,y Selfx.d,y Matchx.count()(6)Mb=x x B,y Selfx.d,y Matchx.count 0),该特定值意味着淋巴细胞将被激
12、活,克隆并在时间 t 进化为记忆细胞,也就是说可以检测到一些新的网络攻击。Mclonet()和Tclonet()的元素也被称为免疫细胞克隆,它将克隆并产生更多淋巴细胞以解决相似和更为强烈的攻击。淋巴细胞对抗原有两种可能反应。一个是初级反应,它是由成熟细胞(Tclone)产生的,并需要一个亲和力累积过程,也就是成熟细胞尝试学习和识别之前未遇到过的抗原,因而需要一段长学习期。因此初级反应的效率相对较低。另一个是二级反应,由记忆细胞(Mclone)产生,比初级反应更快更强。一旦和抗原匹配,记忆细胞将立即被激活。在此时,不需要更多的学习过程。1.5 成熟淋巴细胞生命周期成熟淋巴细胞生命周期 其中 等式
13、(29)描述了成熟淋巴细胞的生命周期,其中Tbt()模仿了成熟细胞进化为下一代细胞的过程(对于Tnewt(),Tbt()和 P(t),请参考 1.4 节)。Tnewt()是在时间 t从骨髓模型产生的新成熟细胞集合。是由免疫克隆产生的新细胞集合,其中新细胞经历了变异和自身耐受过程。Tclonet()是将在时间 t 进化为记忆细胞的成熟细胞克隆集合。Tdeadt()是在生命周期(0)未与足够抗原(0)匹配或在时间 t 将自己抗原分类成异己的淋巴细胞集合。Mclonet()是记忆细胞克隆集合。Tclone_newt()是模拟克隆过程,其中每个克隆过程产生.B t1()Family x()!#$0()
14、个新细胞,其抗体通过等式(35)改变。克隆细胞的数量与在当前系统中基因与那些克隆细胞的基因相似的细胞的细胞数量成反比,其中 Family(x)是淋巴细胞集合,这些淋巴细胞的抗体同 x 的抗体相似,且B t1()是当前系统在 t-1 时刻包括了记忆细胞和成熟细胞的淋巴细胞数量。fvariationx()模拟了细胞变异的过程,其中新细胞的抗体与x 的相似。变异的目标是新克隆的淋巴细胞能识别一些被捕获抗原的变异。因此,促进了系统多样性。在成熟淋巴细胞生命周期中,淋巴细胞无法有效得发挥对通过克隆选择过程被消灭的抗原分类的功能。然而淋巴细胞能有效发挥分类将进化为记忆细胞的抗原的功能。因此,当他们再次入侵
15、系统时,相似抗原能被迅速检测到。1.6 动态免疫记忆模型动态免疫记忆模型 其中 Tother_machine_clonet()=Tcloneit()i=1,.,k(),ik (44)K 是网络中计算机的数量,k 是当前计算机的序列号。Tcloneit()是第 i 台计算机的Tclonet()。等式(37)描述了记忆淋巴细胞的动态进化。Mb描述了记忆细胞进化为下一代细胞的过程。Mnew是从成熟细胞进化来的新记忆细胞集合。Mdead模仿了记忆细胞的死亡:如果记忆细胞同被确定为自己抗原的抗原匹配,也就是说,假阳性错误发生,那么这个记忆细胞将被消灭。Mclonet()是在时间 t 被激活记忆细胞集合,
16、其抗体浓度增加。Mbt()是在时间 t 未被抗原激活的记忆细胞集合,其抗体浓度应被减少。(0,自然数)是记忆细胞的抗体浓度维持期。当记忆细胞 y 克隆时,包括刚从成熟细胞进化而来的新记忆细胞的克隆,我们根据等式(39)或等式(42)提高抗体浓度,其中1 0(),y.p,2 0()分别是抗体浓度增加,当前抗体浓度和奖励因子(检测连续类似攻击)。然而,如果在期间记忆细胞不能同任何抗体匹配,根据理论 1,抗体浓度将会减少至 0,也就意味着这种攻击被消灭了(注意,这里 x.age 意味着 x多久未被激活)。然而,如果一个记忆细胞在期间同抗原匹配,其抗体浓度会累积(见等式(39)),这意味着这种攻击持续增强。Tother_machine_clonet()是在时间 t 的网络中其他机器的被激活成熟细胞集合。当成熟细胞被抗原激活时(即,检测到新攻击),它将被送给其他机器(就像疫苗)。因此,这些机器将能抵抗相似网络攻击。Tother_machine_clonet()模仿了从其他机器中接收疫苗的过程(就像接种疫苗)。在动态免疫系统记忆模型中,记忆细胞的死亡能减少假阳性和假阴性错误概率。此外,动态免疫记忆
