4.2 基本概念和定义
模型的数学描述是对模型进行理论分析的基础。采用免疫系统的术语描述入侵检测系统:自我表示正常模式,非我表示异常模式,自我空间S表示正常模式集合,非我空间N表示异常模式集合。我们用U表示由所有模式组成的模式空间,首先给出相关的概念和定义。
定义4.1:模式。由一组特征向量
表示,其空间描述为n维欧氏空间中的一个点,记号
n)为模式j在第i个坐标轴上的特征分量,即将描述系统和网络行为的实际特征属性值归一化到一个标准的单位特征度量空间[0.0,1.0]n,以消除不同属性值之间的不同度量单位或相差很大的取值范围等因素影响模式间相似性度量的准确性。
定义4.2:模式类的紧致性。同一类的各个模式在模式空间中组成一个紧致集,从这个紧致集中的任一点可以均匀地过渡到同一集中的另外一点,而在过渡途中的所有各点都仍然属于这个紧致集即同一类。
定义4.3:模式的相似度。∀xk,xj∈U,xk和xj之间的相似度由欧氏距离定义:
定义4.4:模式空间。模式空间由
表示,U包含了所有可能的模式。
定义4.5:自我空间与非我空间的划分。自我空间S⊆U,它的补集即非我空间定义为N=U-S,有S∪N=U,S∩N=∅。
在很多情况下,我们用特征函数χ:0.0,1.0
[]n→{0,1}来定义自我空间S。特征函数χ的输出值为1意味着正常,为0意味着入侵。
式(4-2)存在尖锐划分问题,而通常自我空间和非我空间之间没有明确的界线,而只是个异常程度的问题。安全本身具有模糊性。主要体现在目前网络系统是通过访问控制规则限制非授权的读取和信息的修改来实现网络资源的保密性和完整性的,但单从活动是否符合访问控制政策并不能判决活动是否为入侵。违反访问控制规则的活动不一定是入侵,它可能是合法用户的误操作或非法用户出于好奇的偶尔操作,只有试图通过连续的非法访问试探网络信息的活动才较可能构成入侵。符合访问控制政策的访问也可能是入侵,因为入侵者在有限的授权下,可以利用网络或系统的缺陷(如缓冲区溢出),窃取更大的权限,从事符合安全政策的非法活动。另外网络正常超载和异常超载之间的界限也比较模糊,因而资源消耗与遭受攻击之间存在一种模糊关系。
为平滑正常与异常之间的严格界限,更灵活地处理攻击和合法的判断,这里引入了模糊集理论。模糊集理论是由卢菲特·泽德(1965)引进的,是经典集合论的一种推广。在经典的集合论中,所谓的二分条件规定每个元素只能属于或不属于某个集合(因此模糊集不是集合);可以说,每个元素对每个集合的归属性(membership)都只能是0或1。而每模糊集则拥有一个归属函数(membership function),其值允许取闭区间[0,1](单位区间)中的任何实数,用来表示元素对该集的归属程度。
定义4.6:自我空间与非我空间的模糊定义。所谓模糊定义,即特征函数式(4-2)的输出不限于0或1,而扩展为间隔[0.0,1.0]中任一个值
在这种情况下,特征函数的输出值代表异常程度:输出值为1意味着正常,为0意味着异常,而其他的输出值代表该特征向量描述的网络行为存在某种程度上的异常。
模糊定义有助于灵活地定义自我空间和非我空间之间的界线划分,然而,在现实系统中需要决定何时发出入侵警报。在这种情况下,我们又回到是非的二元问题,这就需要定义一个异常程度的阈值t:通过灵活的调节阈值t,使入侵检测系统能较准确地反映当前的网络安全状况。
IDS在检测入侵时可能导致两类错误,亦即漏检错误和误检错误。
定义4.7:漏检错误。漏检错误是指将一非我模式x∈N分类为正常的事件,记为e-,即
定义4.8:误检错误。误检错误是指将一自我模式x∈S分类为异常的事件,记为e+即
检测器d是一个长度为n的单位特征向量,利用定义4.3给出的模式间相似度的度量方法来模拟免疫系统中淋巴细胞的受体和病菌的抗原决定簇之间的结合,即采用欧氏距离D作为识别规则,检测器d∈U与模式s∈U之间的距离Dd,s定义如下:
定义4.9:相似度阈值ε。检测器d∈U与模式s∈U之间的相似度度量,当0≤Dd,s≤ε时,我们说d与s相似,当Dd,s>ε时,d与s相异。
每个检测器只能识别以ε为半径的球形区域内所有的模式,而在球形范围外的模式不能被其识别。检测器对应一个模式集Cd,称为d的识别域,下面给出Cd定义。
定义4.10:检测器d的识别域Cd。d的识别域就是在给定的阈值ε下,被d识别的所有模式组成的集合,记为
Cd在空间U中表现为以d为中心而以ε为半径的球形空间区域。
通过调节ε,可改变检测器d的识别域Cd。这里存在两种极限情况,其一是当ε=1时,d的识别域Cd是整个模式空间U,即Cd=U;其二是ε=0,d的识别域Cd是其本身,即Cd={d},其他情况下Cd⊂U。检测器d识别模式s,记为identify(d,s),反之记为¬identify(d,s),识别概率记为PM=P[identify(d,s)]。
下面结合自然免疫系统中先天B细胞产生的原理,研究IAIDM模型的最小候选检测器集合的概念,并对其空间覆盖特性、生成算法以及初始化与存储方式进行深入的研究。