3.4 模型工作原理和结构
从免疫学的角度,入侵检测问题就是区分自我和非我的问题,所谓自我就是合法的或可以接受的网络行为模式;而非我就是非法的或不可接受的网络行为模式。根据3.2节给出的免疫计算模型的设计原则,IAIDM模型的设计如下。
(1)从网络行为的特征集中挑选多个与网络安全密切相关的特征属性组成多维特征向量定义抗体和抗原的结构,由多维特征向量形成的模式空间定义入侵检测的问题域。
(2)用最小候选检测器集合来定义覆盖整个入侵检测的问题域所需检测器的最低数量,基于最小候选检测器集的否定选择过程保证有效检测器的高效率产生。
(3)检测器对非我的识别规则采用空间欧氏距离。
(4)检测器在不同的演化阶段表现为三种形式:初始检测器、成熟检测器和记忆检测器,并呈集群状分布,具有冗余特征。
不同形式的检测器在激活状态下表现出不同的激励响应行为(活化概率、克隆选择、高频变异等)和生命周期,并设计了优先权机制和率先活化机制,以控制免疫响应和维持检测器规模的动态平衡。
通过初始检测器、成熟检测器和记忆检测器(又分为自动免疫型和被动免疫型两种类型)的生成和演化过程使IAIDM模型具备加强学习和联想记忆的功能,既能够检测异常入侵,同时能够以更高效的方式检测误用入侵。IAIDM在初始运行中不产生任何检测器,而是采用异常呈现与异常触发的机制来产生相应的检测器,从而保证了检测系统能实现检测时间加上响应时间小于攻击时间,解决当前IDS中通常遭遇的时间与空间之间的矛盾问题。具体设计和实现方式将在以后的章节详细论述。
IAIDM模型的工作原理为:模型经学习(训练)后进行模式识别,训练和检测阶段分别称为训练期(Training Phase)和检测期(Detecting Phase)。在训练期,IAIDM利用正常系统和网络行为集建立自我空间,并定义最小候选检测器集合。在检测期分类模式为自我或非我,IAIDM模型实时监视目标系统,搜集网络和主机活动数据,并进行数据预处理。当检测到异常的系统和网络行为时,模拟免疫应答的过程进行误用入侵检测和异常入侵检测。首先进行误用入侵检测,即查看是否存在成熟或记忆检测器与之匹配,如果存在且被激活则发现入侵行为而报警;如果没有成熟或记忆检测器能识别该异常的行为,则进行异常入侵检测。在模式空间中异常行为所在位置的邻域,从最小候选检测器集中产生若干初始检测器,如果某一初始检测器被后续相关的异常行为激活,则一方面报告发现入侵行为,另一方面发生增殖变异,经历否定选择后转化为成熟检测器(类比于浆细胞)或记忆检测器(类比于记忆细胞)。初始检测器的活化概率较低,是模拟免疫系统的初次应答机制,用于对未知异常行为的检测,而后两种检测器具有较高的活化概率,是模拟免疫系统的二次应答机制,从而实现了对未知攻击和已知攻击及其变种的自适应。在检测期,由训练期建立起的自我空间和最小候选检测器集合能根据当前环境的变迁实现增量式的批量更新,该过程排除了偶然事件对有效检测器的影响,同时也使得入侵者企图诱导训练模型的恶意行为变得更加困难,IAIDM模型具有较强的适应性和可扩展性。综上所述,图3-4给出了IAIDM的结构框架。
图3-4 IAIDM模型结构
IAIDM模型的研究主要由两个的部分组成:基于最小候选检测器集的否定选择过程和检测器的激励响应机制。第4、5章分别描述和分析了这两部分的实现原理和实现方法,对IAIDM模型的自适应、容错性、鲁棒性、自我平衡等特点进行了深入的分析,并给出了模型实现的计算复杂性。