5.2.1 检测时间与检测空间的矛盾问题
如前所述,人体大约有108个抗体,有约1016种病原体要识别,自然免疫系统采用的方法是动态防护,大约每10天淋巴细胞会全部更换一次,即以一定的时间作为代价来换取一定的空间。相应的,在入侵检测系统中,在任一特定时刻检测系统可以不必检测所有可能入侵的检测器集合,因为这样做往往开销太大,会严重影响到系统的性能。因此检测系统在某一时刻只能够检测所有入侵的一个子集的必要的检测器集合,且该检测器集合随时间动态变化,在一段时间内可以完成对所有可能的入侵的检测。这是当前免疫模型和其他入侵检测系统中通常的检测方式,但这种方式存在明显的缺陷。由于整个模式集合的规模巨大,致使某一检测器对随机入侵行为的识别概率极低,加上随着网络的速度越来越快及入侵技术的发展,使得异常现象的停滞时间越来越短,也即入侵检测系统捕获入侵行为的机会越来越小,而入侵检测系统为了保持较高的检测水准,不得不快速地动态地产生大量检测器,致使检测器的数量达到无法管理的地步,资源消耗也随之增大,反而降低了系统的性能。
在通常的情况下,网络在绝大部分时间的运行中处于安全状态,入侵行为很少发生,即绝大部分的记录都是正常的网络行为记录,入侵行为的记录在整个数据集中只占很小的一部分。可以说在上述入侵检测的模式下,系统实际上是在绝大部分的时间中在做大量徒劳无益的工作,即使产生了针对某一潜在攻击模式的检测器,也会因为时间差而被替换掉,这就造成了一定时间并不能换取有效的空间,而是大量无效的空间。
本模型如采用上述的入侵检测模式,同样存在时间与空间的矛盾问题。如表4-1中,当取n=7,ε=0.08时,检测器的数量为3.4×108,类比于自然免疫系统,每10天左右将检测器全部更换一次,那么免疫模型必须每秒更换393个检测器,假设免疫模型在保持检测器数量为10000的情况下,用新产生的检测器不断取代原有检测器,实现检测器的动态更新,则任一个检测器能在系统中存活1分钟的概率为0.086,可以说是转瞬即逝,这还没有考虑模式匹配所需要的时间,因此可以推断依靠这样检测方式的系统其性能是满足不了实际需要的。
推而广之,检测时间与检测空间之间的矛盾,同样是当前所有入侵检测系统必需面临的问题,而且系统越复杂,矛盾就越突出。协调好时间与空间两者的关系,其目标是保证入侵检测系统能做到:检测时间+响应时间<攻击时间,这是评价入侵检测系统性能的一个通用标准,下图的P2DR安全模型代表了现代信息安全理论的主流,也是所有入侵检测系统的原型,入侵检测的免疫模型也不例外。
图5-1 P2DR安全模型
图5-1中的P2DR安全模型是基于一种主动防御的思想来保护网络安全可靠,它以PDR和P2DR安全理论模型为代表,即Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)四个环节组成的安全模型,具有动态和基于时间的特性,要求:检测时间+响应时间<攻击时间,这样就表示系统是安全的。
在保持系统规模不变的前提下,这里所谓系统规模是指特征模式集合的尺寸及特征模式的表示方式,免疫模型要解决时间与空间的矛盾问题,方法之一是提高某一检测器对随机入侵行为的识别概率,在本模型中即是提高ε,使检测器数量减少和专一性下降,虽然能部分缓解时间与空间之间的矛盾,但专一性的下降会使各种不相关的异常事件干扰入侵判断的概率增加,也不利于入侵特征知识的提取,因此提高检测器的识别概率也不是解决问题好方法。
总之,以一定时间作为代价来换取一定空间的检测器产生机制是种“宁全勿缺”的防御思维方式,造成了时间与空间之间的矛盾不可调和。
在自然免疫系统中,有一种称为抗原递呈细胞(Antigen Presenting Cell,APC)的免疫细胞,其主要功能是摄取、加工、处理抗原并将抗原信息递呈给淋巴细胞,即当有异物侵入时,免疫系统通过抗原递呈细胞将病原体的信息呈现出来,等待先天B细胞的识别,先天B细胞识别抗原后增殖分化为浆细胞所产生的一种蛋白质即抗体,抗体能与抗原特异性地结合,这就是初次免疫应答,其周期较长。由于在初次免疫应答中免疫系统保留了对这些特定病菌抗原的记忆,所以当同样或类似的病原体再次呈现时,免疫系统的响应很快也很强烈即所谓的二次免疫应答。
基于免疫原理,本文研究“静则勿动,变才需求”异常呈现与异常触发机制,所谓“静则勿动”是指当网络处于正常运行时,免疫模型不产生任何初始检测器(类比于先天B细胞),只是监视网络行为是否正常;所谓“变才需求”是指如发现异常的网络行为,免疫模型首先呈现异常,然后才由异常的触发而产生对应的初始检测器,如果初始检测器被激活成功,即判定该异常为入侵,并增殖分化为成熟检测器(类比于浆细胞)或记忆检测器(类比于记忆细胞),保留了对入侵特征模式的联想记忆。下面详细介绍该机制的实施。