7 总结与展望
当今网络,攻击手段日新月异,攻击方式层出不穷,因此入侵检测系统面临严峻的挑战。如何改善入侵检测系统的性能如有效性、健壮性和适应性等,是当前急需要解决的问题。虽然从最本质上看入侵检测问题实际上是一种区分正常和异常两类的模式识别问题,但由于入侵检测问题所具有特点如特征维数较高、两类数据分布非常不均匀以及两类是非线性可分等,使得传统的模式识别方法在解决这类问题上存在一定困难。而从计算角度来看,自然免疫系统是一个分布的具有自适应性和自学习能力的分类器,它通过学习、记忆和联想提取解决识别和分类任务,在抵抗病毒和细菌等病原体的入侵方面担当着与入侵检测系统类似的任务。
本书的主要工作就是根据各种免疫机制的启发,包括B细胞、抗体、抗原、免疫记忆、克隆选择理论、亲和力成熟、自己-非己识别、阴性选择,亲和力、多样性、分布式、适应免疫系统、免疫应答、免疫耐受、免疫危险理论等建立一个具有自适应功能的入侵检测模型,以改善入侵检测模型的检测性能以及健壮性和自适应性,本书主要研究成果概述如下。
(1)针对当前入侵检测技术的不足,提出了一种新的基于免疫原理的自适应入侵检测模型IAIDM,并给出了详细的设计原则、设计思路及其模型结构。IAIDM成功将B细胞的进化过程、抗原显现、B细胞的克隆选择与高频突变、抗体间抑制与激励等重要的免疫机制运用到入侵检测模型中,使得基于该模型的IDS能检测到未知入侵的同时,能够自动形成对已知入侵的快速检测能力。同时本模型摒弃以二进制串定义抗体和抗原结构的传统方式,采用多维实向量来表示网络行为特征极大地弥补了现有计算机免疫安全系统在可靠性、知识性方面的缺陷。
(2)高效率地产生有效检测器集是入侵检测系统有效性的基础,而传统的否定选择算法存在效率低下的缺陷,严重阻碍了基于免疫模型的入侵检测系统在实际中的运用。结合自然免疫系统中先天B细胞产生的原理,提出了最小候选检测器集合的概念来确定覆盖整个入侵检测的问题域所需检测器的最低数量,对其空间覆盖特性、生成算法和初始化与存储方式进行了深入的研究,建立了整数索引空间的机制,使其产生算法的时间复杂度与集合大小无关,很好地解决了由于高维特征数据而造成检测器集合尺寸巨大以致无法初始化与存储的问题。
(3)在最小候选检测器集合的基础上,提出了一种基于其的否定选择算法MBNSA,给出了实现步骤并分析了其时间和空间复杂度。MBNSA将候选检测器的识别空间内包含自我样本的数量作为判定候选检测器是否有效的标准,使否定选择过程不敏感于噪声数据和异常数据的干扰,通过对自我空间的界定,利用已建起的整数索引空间机制,使有效检测器集的产生避免了传统否定选择算法中繁重的迭代过程,极大地降低了模型的训练时间和入侵检测的时间。
(4)由于网络安全本身具有模糊性,因此所谓的正常或异常样本实际上只是个程度问题,而传统的免疫检测模型中存在自我模式集和非我模式集尖锐划分的问题。针对该问题,本书引入模糊技术对自我空间进行划分,即以样本在某区域的出现频率(空间网格的密度)为参考来体现这种异常程度。为消除训练集的非完备性导致不同类型的网络行为数据在采集方面存在的不平衡性,即某一网络行为的异常程度衡量只是对应它属于的类而言,而不是针对整个网络行为集,提出了面向行为子集的异常阈值设定方法,使各个自我子空间得到更精细的调整,进而产生高效的检测器。在此基础上,进一步提出了利用密度等高线对自我空间进行多层次的划分。当密度等高线设为1时,将网络安全监控等级调到最高,将绝大部分的网络访问视为不可信任的行为;而密度等高线为0时,意味着网络安全监控等级被调到最低,自我空间扩展到整个模式空间,即信任所有进入受控网络的网络访问。在0和1之间,意味着不同程度地限定了正常网络行为的适用范围。根据网络环境的安全状况,适当调整网络的监控等级,有助于缓解当前网络安全与网络服务两者之间的矛盾。
(5)深入分析了因训练时间有限而导致训练集非完备性问题。结合本模型的特点,将落在同一空间网格c内的所有样本点视为是同一样本,并以网格密度作为该样本出现的频率,引入离散随机过程的分析方法来估计e+发生概率,分析结果显示只有低频出现的自我模式才会导致e+。也就是说训练集的非完备性问题的影响主要体现在自我空间的边界上。并指出随着检测周期的延长,越来越多自我模式的出现,发生误检错误的次数也随之增多,使模型的有效性下降,因此有必要对模型的自我空间进行不定期的更新,保持检测器集的有效性。基于此,提出了增量式批量更新算法IMBNSA,给出了算法的相关定义和实施步骤。测试实验显示IMBNSA能增量式地动态更新发生变化的局部样本空间而不必更新整个样本空间,保证了IAIDM能迅速适应网络环境的变化,同时即排除了偶然事件对有效检测器的影响,也使入侵者企图诱导训练模型的恶意行为变得更加困难。
(6)论述了当前入侵检测系统中检测时间与检测空间之间的矛盾问题。网络在绝大部分时间的运行中处于安全状态,入侵行为很少发生,即绝大部分的记录都是正常的网络行为记录。入侵行为的记录在整个数据集中只占很小的一部分,可以说以一定的时间作为代价来换取一定的空间的入侵检测模式,实际上是使系统在绝大部分的时间中在做大量徒劳无益的工作。即使产生了针对某一潜在攻击模式的检测器,也会因为时间差而被替换掉,这就造成了一定时间并不能换取有效的空间,而是大量无效的空间。因此我们结合自然免疫系统中抗原显现的机制,同时依据入侵引起的异常模式一般都以临时集束的形式出现的情况,提出了“静则勿动,变才需求”异常呈现与异常触发机制,并深入分析了实现异常呈现的两种判定法则(正向判定和反向判定)的判别效率,结果显示反向判定优于正向判定,并提出了反向判定的遗传算法GAND来产生反向判断规则集B。B作为通用的、非专门化的检测异常行为的检测器,其执行功能类似于免疫系统中的T细胞。IAIDM实时捕获网络中任一异常的事件,并产生相应的初始检测器群即异常触发,一方面有利于使漏检率最小化,另一方面使系统能根据网络安全环境调整自身的检测策略,实现柔性检测的功能。该机制保证了入侵检测系统能实现检测的时间加上响应的时间小于攻击的时间。
(7)类比免疫系统中B细胞进化阶段和形式,设计了检测器的产生方式、演变阶段和形式,将检测器分为初始检测器、成熟检测器、自动免疫型记忆检测器和被动免疫型记忆检测器4种类型,赋予其不同的生命周期和行为属性,并给出了各类检测器激活和相互间激励或抑制的算法。初始检测器由异常触发而产生,成熟检测器和自动免疫型记忆检测器是由活化后的初始检测器经克隆选择转化而来,而被动免疫型记忆检测器是由已知入侵的先验知识“注入”模型后形成的。针对隐蔽性入侵行为的检测问题,提出了模拟自然免疫系统中的细胞质水平效应机制,建立一个敏化机制以提升IAIDM对该类行为的检测能力。IAIDM建立起了优先权、率先活化及变异机制,解决了活化响应链式反应、消除检测器间交叠覆盖以及检测器的规模等问题,使IAIDM具有自学习和自适应性,拥有检测异常入侵和误用入侵的能力。
IAIDM建模方法对丰富和完善入侵检测理论有一定的促进作用,研究成果对将免疫机制应用于入侵检测系统具有积极的推动作用。由于时间上的局限,仍然有不少问题有待于进一步研究解决,本书对今后的主要研究工作展望如下。
1.加深基础理论研究与运用
在自然免疫系统中,T细胞、树突细胞、MHC分子在抵御和消灭入侵病毒方面起了重要作用,展示了免疫系统的多样性。以受体编码基因库为基础的免疫多样性机制生物体在进化过程中逐渐形成了一组编码淋巴细胞受体的基因库。基因库对几乎任何一种病原体,都能生成可以对其进行特性异性识别的受体。固有性免疫和适应性免疫相结合展示了免疫系统的层次性。免疫网络理论实现免疫调节和系统平衡功能,如何将这些免疫理论融合到网络安全的主动防御体系中是未来研究方向。
2.混合网络安全智能系统研究
由生物引发的信息处理系统可分为:人工神经网络、遗传与进化系统和人工免疫系统。近年来大数据和高性能计算平台推动深度学习和人工神经网络风靡全球,人工免疫系统和人工神经网络类似,由大量高性能单元组成,具有辨识、容噪、泛化、记忆以及通过竞争实现的并行分布处理能力。二者都能利用学习、记忆、联想等机制解决辨识问题和分类任务,人工免疫系统中亲和度调整和神经网络权值修正的效果是类似的,都是为了增加系统对输入模式的识别质量。它们的区别在于免疫系统与外部环境的相互作用,淋巴细胞能够与外部抗原连接,或通过抗独特型相互作用,通过受体亲和力和淋巴细胞数目的变化来完成。而人工神经网络则通过改变其连接权值,根据定义好的学习算法,学习合适的输入数据,它更关心的是输入和输出之间大致的关系。
免疫系统是一种进化系统,免疫算法和进化计算都是群体搜索策略,强调群体中个体之间的信息交换,它们之间既有许多相似之处,也有各自的特点,例如免疫算法起源于宿主和病原体之间的内部竞争,相互作用的环境既包括外部环境也包括内部环境,而遗传算法起源于个体和自私基因之间的外部竞争;免疫算法评价标准是计算亲和度,包括抗体-抗原的亲和度以及抗体-抗体的亲和度,通过促进或抑制抗体的产生,体现了免疫反应的自我调节功能,保证了个体的多样性,而进化算法则是简单计算个体的适应度,根据适应度选择父代个体。
基于人工神经网络、遗传与进化系统和人工免疫系统研究开发的混合智能系统使计算机信息处理系统能更好地模拟生物系统的智能行为,是今后研究方向。
3.柔性系统研究
不同的安全威胁具有不同的特征模式,自适应的特征模式提取机制研究能较大地提高检测器的有效性及其产生的效率,完善MBNSA算法,使检测系统能迅速评估和识别入侵的危害及其程度,以便系统集中力量反击危害程度较大的入侵,提高入侵检测系统柔性特征。
总之,基于免疫原理的入侵检测的研究仍然处于不断的发展中,在此领域尚有许多亟待解决的问题,免疫系统在有效性、适应性和可扩展性方面具有先天的优势,其信息处理的能力强大而鲁棒,免疫系统与入侵检测系统之间的相似性为我们解决基于网络的入侵检测问题提供了一个自然的模板,因此基于免疫原理的入侵检测系统具有广阔的发展前景。希望本书的工作对入侵检测技术的发展具有积极的促进作用。