基于AIS的DDoS攻击检测策略

2011-07-07 08:48鹏,汪
制造业自动化 2011年20期
关键词:免疫系统数据包抗原

吴 鹏,汪 健

(四川工程职业技术学院 计算机科学技术系,德阳 618000)

0 引言

网络中高新技术的发展始终是把双刃剑,好的方面在于它能给网络使用者带来操作上更多实用、方便、快捷的性能提高,不好的方面则是被利用来对网络进行破坏,以致引起若干的网络安全问题。根据CNCERT/CC发布的《2009年中国互联网网络安全报告》的监测反映:2009年,对境内互联网基础运行设施的攻击主要是分布式拒绝服务攻击DDoS (Distributed Denial of Service),导致网络性能下降,严重影响到网络承载的其他业务,针对日益复杂的网络安全问题,寻求更高效的解决方案迫在眉睫。

1 DDoS攻击概述

图1 DDoS攻击原理示意图

典型的DDoS攻击原理示意图如图1所示。攻击者入侵有安全漏洞的主机并获取控制权,成为其控制机,然后再选择那些安全管理水平差的主机作为攻击僵尸,这样攻击者便通过控制机控制攻击僵尸向受害者发动攻击,使得原本单一的攻击变成了群体性质的攻击,给受害方的防御带来了很大难度。

常用的DDoS攻击工具如表1所示:

表1 常用的DDoS攻击工具

可见大部分的DDoS攻击是通过UDP、TCP、ICMP等来实现的。目前有很多技术纷纷应用在DDoS的防御系统上,有硬件的也有软件的,但随着攻击方式的多样性及不断演变,检测防御技术无论在理论还是应用上都存在一些不足,主要体现在防护种类不足、效率不高等方面。为此,寻求更多更有效的技术方法成了每一个安全维护人员的工作之重,本文介绍的就是从软件角度提出的一个检测策略。

2 人工免疫系统的基本原理

随着计算机科学技术的高速发展,对技术的智能化要求越来越高,人们往往会从复杂而有效的生物系统的运作原理中获取灵感,近年来提出了若干的学习系统,包括遗传算法(GA)[1]、人工神经网络(ANN)[2]、蚁群系统(Ant System)[3]、人工免疫系统(AIS)等,它们分别从自然进化过程、大脑神经系统、蚂蚁群体觅食、筑巢和生物免疫系统等活动启发而来。其中,生物免疫系统能够有效地区分有害抗原和自身组织,进而去除抗原保证生物体的健康,是一个复杂而高级的系统。将其运作原理数字化处理后针对特定应用而产生的计算模型就是我们俗称的AIS,从一定程度上具备了很强的学习、识别、记忆和特征提取能力。

AIS中免疫算法是其核心算法,其基本架构如图2所示。

图2 免疫算法基本架构

其中克隆选择是整个免疫系统运作的关键,它描述了免疫系统对抗原做出免疫响应的基本特征,抗体的产生、变异及消亡分别对应问题的解、优化及解的删除。整个过程依据复杂的生物免疫系统原理产生,因此也具备了其自适应、自学习及鲁棒性等优良特点。

对于我们要研究的DDoS攻击检测而言,AIS的运作原理给了我们很大启示,在以往众多的研究中我们发现许多技术在智能化、自适应、自学习方面的能力有所欠缺,一些核心的参数需要有经验的专家给予指导、修正,否则很难达到预期效果,这就如同一个自身免疫缺乏的生物体一样,必须得依靠外部给予的抗生素才能对抗随时随地的病菌,这样是很危险的。同理,对DDoS攻击乃至更多花样层出的网络入侵,去研究如何提高检测系统的自适应、自学习能力显得意义重大。

3 基于AIS的DDoS攻击检测策略

图3是基于AIS的DDoS攻击检测体系结构图。

图3 基于AIS的DDoS检测体系

当外网数据包到达时,提取数据包的特征向量,生成待定抗原,然后和抗体库中的细胞进行匹配,抗体库中有记忆细胞和未成熟细胞,其中记忆细胞是根据已有DDoS攻击数据包的特征向量产生的,而未成熟细胞则是已知或未知的DDoS特征向量经历变异后产生的新的抗体细胞,因此,抗原首先和记忆细胞进行匹配,如果匹配,则可直接认定为攻击数据,立即采取相应措施予以阻截,如果不匹配,则再和未成熟细胞进行匹配,因为是未成熟细胞,较之记忆细胞还有很多不确定因素,因此,给匹配程度(即亲和度)设定一个阀值,超过这个阀值,则认为该数据包高度危险,予以阻截,否则予以通行。其中,抗原、记忆细胞、未成熟细胞、亲和度、阀值、克隆选择算法及变异算法的设定都非常关键,直接影响着整个检测系统的性能。

其中克隆选择是整个AIS的核心,它反映了抗体群的随机转换过程[4]:

上述过程实际包含了两个步骤,即克隆和变异,解空间中的一个点分裂成了qi个相同的点, 经过变异后获得新的抗体群bi

定义:

一般取:

Nc>n是与克隆规模有关的设定值,Int (x)表示大于x的最小整数。克隆过后,种群变为:

其中:

对于上述克隆后的抗体种群,再随机选择变异点,以一定的变异率Pm进行变异[5]。

按照柏松分布选择交叉点,即

其中,X为交叉点数,这样经过点变异后生成新的变异个体b,从而更新抗体群。

上述检测策略已在基金项目入侵防御系统中使用,取得了较好效果。

4 结束语

目前DDoS攻击仍是网络基础设施的主要威胁,给网络的安全运营带来了极大危害,而且由于DDoS攻击源的隐蔽性及群体性,导致防御的难度日益增加。AIS是基于生物免疫系统的运作机理而建立的自动化智能系统,将其应用于检测DDoS攻击与其他技术方法相比而言体现了更为强大的自适应、自学习能力及系统鲁棒性。但由于生物免疫系统本身的复杂性,还有很多技术特征未被生物学专家识别和掌握,因此,基于此建立的AIS就有更多的技术难点有待改进和突破,这也将是本研究工作今后的研究重点。

[1] 肖人彬, 王磊. 人工免疫系统-原理、模型、分析及展望[J]. 计算机学报 2002.12: 1281-1293.

[2] D. Koller, M. Sahami, Hierarchically Classifying Documents Using Very Few Words In Machine Learning[C]: Proceeding of the Fourteenth International Conference, Morgan Kaufmanm,1997, On page(s): 284-292.

[3] 周济, 查建中, 肖人彬. 智能设计[M]. 北京: 高等教育出版社, 1998.

[4] 焦李成, 杜海峰. 人工免疫系统进展与展望[J]. 电子学报2003. 10: 1540-1548.

[5] 杨进, 刘晓洁, 李涛. 人工免疫系统中变异算法研究[J].计算机工程, 2007.9: 37-39.

猜你喜欢
免疫系统数据包抗原
行为免疫系统对个体就医行为倾向的影响*
二维隐蔽时间信道构建的研究*
一类具有抗原性的肿瘤-免疫系统的定性分析
负载抗原DC联合CIK对肝癌免疫微环境的影响
民用飞机飞行模拟机数据包试飞任务优化结合方法研究
保护好你自己的免疫系统
C#串口高效可靠的接收方案设计
Staying healthy
结核分枝杆菌抗原Lppx和MT0322人T细胞抗原表位的多态性研究
APOBEC-3F和APOBEC-3G与乙肝核心抗原的相互作用研究