基于免疫机制的校园网安全模型设计

孙晓乐,张军超,高东怀

第四军医大学网络中心,西安 710032

1 校园网络存在的安全问题

网络环境的日益复杂化使得校园网络遭受的入侵越来越多,网络安全问题变得愈来愈突出。当前针对网络安全采取的技术手段主要有:部署防火墙、安全路由器、加强用户接入认证等。这些防御手段对防止系统被非法入侵有一定的效果,但由于它们是被动方式的防御,针对性和灵活性不强,对未知攻击的防御效果不明显,防护措施的有效程度仅在网络层以下[1],不能起到很好的整体防御效果。

校园网入侵检测系统在一定程度上能有效弥补被动防御的不足,提供对内、外部攻击和误操作的实时保护。我中心现使用的入侵检测系统以捕获、协议分析等为检测技术核心,以基于协议分析的方式支持协议自识别与协议插件技术,提供基于特征和基于原理的两种检测规则,监控除 DMZ区 (demilitarized zone,非军事区)的所有流量,设备采用单级管理、集中式部署。此系统虽然能够帮助用户量化并定位来自内网和外网的威胁,但其在自适应性、灵活性等方面还有待改进。

传统集中式入侵检测系统架构是在网络的不同网段放置一个或者多个传感器来搜集信息,然后将这些信息传送到控制中心进行处理和分析[2]。这样的集中处理存在着如控制中心负荷太大、网络传输时延较为严重、网络性能降低等诸多问题,特别是在异构、高速的校园网络中这些问题显得尤为突出。校园网安全面临着各种挑战,这也对网络安全技术提出了更高要求,智能分布式构建原理、生物神经网络和免疫原理等在计算机网络安全领域的融合和使用已成为行业主要发展趋势。在这里我们主要研究怎样借鉴生物系统的智能调节机理来构建一个安全可信的网络计算环境。

2 生物免疫原理与应用

计算机所面临的网络安全问题与生物免疫系统所遇到的问题具有惊人的相似性:两者都要在不断变化、恶意丛生的外在环境中维持系统的内在安全[3]。虽然计算机系统和生物体的防御措施有着本质的差异,但是计算机安全系统的构建依然可以借鉴生物免疫系统多种有效的问题解决机制。

生物免疫系统是生物体长期进化过程中不断地适应环境而产生的,它包括天然免疫和获得性免疫。天然免疫与生俱来,对各种病原体都有一定的防御功能;获得性免疫主要由自适应免疫系统 (由淋巴细胞组成)产生。根据免疫功能的不同,淋巴细胞分为 B、T两种[4]。B细胞通过分泌抗体与抗原相结合,以实现对抗原的清除。T细胞在免疫反应过程中能刺激和抑制 B细胞的增殖和分化,对免疫调节起着重要的作用。获得性免疫系统在“初次响应”抗原之后,免疫系统便使用免疫记忆来记住抗原特征;当再次遇到时会产生“再次响应”,从而迅速、有效地消除病原体。

生物自然免疫系统为构建一个健壮的计算机安全系统提供了以下几个重要参考[5]:

2.1 多层保护机制

生物体针对外界物质提供了多层的保护机制,包括被动阻碍层 (皮肤、粘膜等)、体内物理环境 (体液 pH值等)、炎症响应机制等。与之形成对比的是计算机安全系统往往只定义一个外围防御机制,外围防御机制之内的一切活动被默认为安全。

2.2 高度分布式检测

生物免疫系统的检测机制和记忆机制是高度分布式的。免疫系统中的淋巴细胞分布于全身,根据周围环境自适应来确定自身的行为,整个免疫系统是一个没有控制中心的并行分布自治系统,局部免疫功能的失常不会引起整个机体的免疫崩溃。

2.3 独一无二性

每一个生物体都会根据自己的生理特点拥有一套独特的免疫机制。而计算机安全系统通常对不同网络的不同计算机和不同软件应用使用同一套保护机制,如果一个局部地域针对防护系统的漏洞被入侵者发现,别的地域也会面临着同样入侵风险。

2.4 面对未知入侵物质的响应机制

生物免疫系统有着很好的记忆功能。免疫系统消灭抗原后产生记忆细胞,当与该抗原相似的物质再次入侵机体时,免疫系统能产生更快速、更强烈的二次应答。当面对着一种前所未见的新型入侵物质时,免疫系统会产生专门的抗体并发起一场初次应答 (比二次应答慢)。

2.5 灵活自适应性

根据免疫网络学说[6],免疫系统中的 B细胞能够通过识别与被识别组建成一个网络,对未知抗原的识别是网络中的B细胞相互作用的结果,免疫网络与神经网络相似,是能够学习与记忆的自适应系统。

3 基于免疫原理的分布式系统模型的构建

综上所述,我们可以看到生物免疫系统是一个复杂的多层代理系统[7]。尊重生物免疫的多层保护机制和独特性等原理,我们为校园网络设计了三层安全防护体系:①用户安全。向用户提供网络版的终端杀毒软件、系统补丁自动更新服务,并且要求用户设立三级密码;②接入安全。接入终端根据不同的物理环境、业务要求和保密等级,严格执行“专机入网,专线连接,专室放置,专盘存储,专人管理”的“五专”要求,根据安全级别要求采用 IP和 MAC绑定、802.1X接入认证,用户名、计算机、交换机和 IP地址“四绑定”以及出口网关控制等管控措施;③网络安全。在网络重要区域部署防火墙、防毒墙、入侵检测、漏洞扫描、信息审计、防篡改等系统安全防护设施。

3.1 用户安全和接入安全

对于这两层采取相关措施能在一定程度上防御外网风险,但对于 IP/MAC欺骗攻击或从校园网内部发起的攻击没有很好的防御效果。在校园网的相应安全管控措施中,我们针对不同级别的校内用户开放不同权限的服务,对于内网重要服务器和网站制定专人授权管理并定时更换各级管理员账号密码;监督校内用户及时升级杀毒软件、更新病毒库,打造相对安全的校园网络环境;及时升级网络出口、提高网速,做到主干万兆、区域千兆、桌面百兆,尽量降低 IP欺骗攻击中 TCP会话劫持的可能性;对于校外用户的访问实现端口限制,关闭不必要的端口,部分对外开放校园网络访问功能,以降低风险。

3.2 网络安全

这一层面中,我们把生物免疫原理的高度分布性、灵活自适应性等融合到校园网入侵检测系统的研究中,尝试构建分布式入侵检测系统模型。分布式入侵检测系统(distributed intrucsion detection system)的主要特征[8]是“分布式探测、集中控制”,即由多个微型入侵检测系统 (入侵检测单元)共享检测信息,从而有效探测入侵。

入侵检测单元的设计是构建分布式系统的关键。我们把每个检测单元设计为一个微型入侵检测系统,它们各自分析来自各子网段的数据源、阈值,检测规则库和响应机制也随着不同的网段而有所不同。这样各检测单元之间的相关性降低到非常小,契合了生物免疫系统的分布式特性。在每个检测单元内采用不同的检测算法,在整体上增强了网络对某类攻击的抵抗能力,检测单元的这一检测规则设置尊重了生物免疫系统的独一无二特性 (检测单元的检测流程设计如图 1所示)。

图1 检测单元的检测流程图

检测单元在设置上支持更高层次结构上的扩展,以适应网络范围的扩大。将入侵检测单元部署在中心机房的核心交换机,以及校园网各关键子网段的上联交换机与汇聚交换机上,并设置基层管理控制器收集这些代理检测到的入侵信息,分析后确定是否为攻击行为。如果一个单元检测到入侵行为,它会将信息反馈到控制器,各个代理单元协同工作,如图 2所示。

图2 检测单元工作模型结构图

检测单元主要模拟免疫系统中抗体的生成和演化过程来实施检测。在这里我们定义正常的用户和网络活动模式为本体,异常的用户和网络活动模式或入侵行为模式为异体,针对异体的检测子为抗体,待测的用户和网络活动模式为抗原。免疫在本质上是分辨本体和异体,也就是如何有效地监控网络和用户的正常行为和异常行为。我们根据抗原与抗体是否匹配来识别本体和异体,在抗原抗体的匹配过程中,依照免疫系统初次应答机制来架构核心检测算法。架构原则是模拟处理抗原的思想 (抗体的产生、自体耐受、免疫记忆等)定义免疫元素的表达式,将问题抽象成流程。针对未知入侵行为系统检测单元主要是采用相似度比较来进行模式识别,具体流程如下:

Begin:

Step1:初始化检测子集合;

Step2:定义检测子升级点阈值和消灭点阈值;

Step3:输入本体集合做否定选择,检测子集合的每一个检测子都与本体集合做循环匹配,选择出跟本体不匹配的检测子;

Step4:输入抗原集合,计算检测子与抗原集合的每一种抗原的相似度系数,根据相似度系数和匹配系数定义出检测子的反应值,此反应值决定了检测子的凋亡或者升级;

Step5:输出新的检测子集合。

End;

此算法的初始检测子集合为检测单元随机生成的,通过完全循环匹配,检测子集合能响应绝大部分入侵模式,并且分化得到升级的检测子集合,使其通过新陈代谢走向成熟。而没有分化升级的检测子依然保留下来,以维持对未知抗原的识别能力。

检测单元通过通信接口模块与基层管理控制器结合构成一个完整的基层免疫系统模型[9]。检测单元设置为网络检测单元和主机检测单元两种。网络检测单元监听、解析所有网络信息,挖掘网络数据包内隐藏的恶意入侵;主机检测单元对关键主机的核心级事件、系统日志以及网络活动进行实时监测。

模型的核心部分是管理控制器,管理控制器的功能结构设置如图 3所示。我们将管理控制器设置为一个综合处理系统,会对所管辖内的各个检测单元、检测子系统以及子控制器进行管理,通过系统配置模块来执行图形界面上输入的命令。管理控制器对它所管辖内的各检测单元所汇报的结果进行进一步综合分析,按照报警产生预先定义的响应,并采取相应措施。每个检测单元通过检测算法产生成熟的检测子,由通信模块克隆这些检测子传送到管理控制器的检测规则库中综合优化,然后传送到各检测单元上执行检测任务。

图3 管理控制器功能结构图

系统模型的结构在逻辑上可以分为父层和子层两个层次[10]。子层对应着各子网段检测单元和基层管理控制器,它对原始数据源进行分布式的采集分析和响应;子层通过通信接口模块构成的基层免疫系统整体上可作为一个高级检测单元,通过一定的通信协议和设置与校园网络机房中央管理控制器构成父层,主要任务是整合基层各管理控制器的日志报表,从全局的视角对安全进行监测,从而有效的将基层信息进行关联分析。

系统预计采用的测试方案为:从 G IAC(全球信息安全认证数据库)中随机抽取 60组数据作为实验数据,其中包括 30组正常数据和 30组异常数据,然后依次使用现有 IDS系统和生物免疫 IDS系统进行测试,通过比较检测速率、误检率和漏检率完成测试,将现有 IDS系统与生物免疫 IDS系统的检测效果进行对比来凸显系统有效性。

在校园网络中入侵检测系统通常被认为是防火墙之后的第二道安全闸门,基于免疫的分布式网络是当前入侵检测技术的热门发展方向之一。该文对基于生物免疫的校园网络安全模型进行了研究,提出了多层次、多子系统的校园网安全检测机制,并简要分析了系统架构原理和架构思路。目前,校园网多层次的安全防御机制已经基本落实到位,基于免疫的入侵检测系统经走校企联合开发路线,项目预期投入 150万元,检测单元内核的研发、系统分布式部署方案以及检测单元联动方案的确定将是整个项目开发的难点和资金投入的重点,通信接口模块和管理控制器模块可以在企业现有功能模块的基础上进行二次开发。下一步作者将对网络安全系统中其他安全组件的信息共享和协同工作等问题进行深入研究。

[1]谢希仁.计算机网络 [M].北京:电子工业出版社,2007:25-16

[2]丁晓辉,张晓燕.计算机网络入侵检测技术研究 [J].科学技术与工程,2008,8(14):3831-3835

[3]Hofmeyr S,Forrest S,SomayajiA.Computer Immunology[J].Communications of the ACM,1997,40(10):88-96

[4]Hofmeyr S,Forrest S. Immunity by design:An artificial immune system[A].Proceedings of Genetic and Evolutionary Computation Conference[C].San Francisco:Morgan Kaufmamm Publishers,1999:9

[5]Hou H,Dozier G. Immunity-based intrusion etection system design,vulnerability analysis,and GENERT IA’s genetic ar ms race[A].2005 ACM Symposium on Applied Computing[C].Santa Fe,NewMexico,USA,2005:952-956

[6]李涛.计算机免疫学[M].北京:电子工业出版社,2004:56-78

[7]吴作顺,窦文华,刘志峰.基于免疫学的多代理入侵检测系统[J].国防科技大学学报,2008,24(4):42-47

[8]戚涌,张琨,刘凤玉.基于生物免疫学的分布式入侵检测系统模型[J].计算机工程与设计,2006,25(4):481-563

[9]赵俊忠,黄宽厚,田盛丰.免疫机制在计算机网络入侵检测中的应用研究[J].计算机研究与应用,2007,140(9):1293-1299

[10]马占飞,郑雪峰.基于生物免疫机理的分布式 Agent入侵检测系统模型[J].计算机应用研究,2008,25(3):895-897