基于免疫機(jī)制的校園網(wǎng)安全模型設(shè)計(jì)

孫曉樂(lè),張軍超,高東懷

第四軍醫(yī)大學(xué)網(wǎng)絡(luò)中心,西安 710032

1 校園網(wǎng)絡(luò)存在的安全問(wèn)題

網(wǎng)絡(luò)環(huán)境的日益復(fù)雜化使得校園網(wǎng)絡(luò)遭受的入侵越來(lái)越多,網(wǎng)絡(luò)安全問(wèn)題變得愈來(lái)愈突出。當(dāng)前針對(duì)網(wǎng)絡(luò)安全采取的技術(shù)手段主要有:部署防火墻、安全路由器、加強(qiáng)用戶接入認(rèn)證等。這些防御手段對(duì)防止系統(tǒng)被非法入侵有一定的效果,但由于它們是被動(dòng)方式的防御,針對(duì)性和靈活性不強(qiáng),對(duì)未知攻擊的防御效果不明顯,防護(hù)措施的有效程度僅在網(wǎng)絡(luò)層以下[1],不能起到很好的整體防御效果。

校園網(wǎng)入侵檢測(cè)系統(tǒng)在一定程度上能有效彌補(bǔ)被動(dòng)防御的不足,提供對(duì)內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。我中心現(xiàn)使用的入侵檢測(cè)系統(tǒng)以捕獲、協(xié)議分析等為檢測(cè)技術(shù)核心,以基于協(xié)議分析的方式支持協(xié)議自識(shí)別與協(xié)議插件技術(shù),提供基于特征和基于原理的兩種檢測(cè)規(guī)則,監(jiān)控除 DMZ區(qū) (demilitarized zone,非軍事區(qū))的所有流量,設(shè)備采用單級(jí)管理、集中式部署。此系統(tǒng)雖然能夠幫助用戶量化并定位來(lái)自內(nèi)網(wǎng)和外網(wǎng)的威脅,但其在自適應(yīng)性、靈活性等方面還有待改進(jìn)。

傳統(tǒng)集中式入侵檢測(cè)系統(tǒng)架構(gòu)是在網(wǎng)絡(luò)的不同網(wǎng)段放置一個(gè)或者多個(gè)傳感器來(lái)搜集信息,然后將這些信息傳送到控制中心進(jìn)行處理和分析[2]。這樣的集中處理存在著如控制中心負(fù)荷太大、網(wǎng)絡(luò)傳輸時(shí)延較為嚴(yán)重、網(wǎng)絡(luò)性能降低等諸多問(wèn)題,特別是在異構(gòu)、高速的校園網(wǎng)絡(luò)中這些問(wèn)題顯得尤為突出。校園網(wǎng)安全面臨著各種挑戰(zhàn),這也對(duì)網(wǎng)絡(luò)安全技術(shù)提出了更高要求,智能分布式構(gòu)建原理、生物神經(jīng)網(wǎng)絡(luò)和免疫原理等在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的融合和使用已成為行業(yè)主要發(fā)展趨勢(shì)。在這里我們主要研究怎樣借鑒生物系統(tǒng)的智能調(diào)節(jié)機(jī)理來(lái)構(gòu)建一個(gè)安全可信的網(wǎng)絡(luò)計(jì)算環(huán)境。

2 生物免疫原理與應(yīng)用

計(jì)算機(jī)所面臨的網(wǎng)絡(luò)安全問(wèn)題與生物免疫系統(tǒng)所遇到的問(wèn)題具有驚人的相似性:兩者都要在不斷變化、惡意叢生的外在環(huán)境中維持系統(tǒng)的內(nèi)在安全[3]。雖然計(jì)算機(jī)系統(tǒng)和生物體的防御措施有著本質(zhì)的差異,但是計(jì)算機(jī)安全系統(tǒng)的構(gòu)建依然可以借鑒生物免疫系統(tǒng)多種有效的問(wèn)題解決機(jī)制。

生物免疫系統(tǒng)是生物體長(zhǎng)期進(jìn)化過(guò)程中不斷地適應(yīng)環(huán)境而產(chǎn)生的,它包括天然免疫和獲得性免疫。天然免疫與生俱來(lái),對(duì)各種病原體都有一定的防御功能;獲得性免疫主要由自適應(yīng)免疫系統(tǒng) (由淋巴細(xì)胞組成)產(chǎn)生。根據(jù)免疫功能的不同,淋巴細(xì)胞分為 B、T兩種[4]。B細(xì)胞通過(guò)分泌抗體與抗原相結(jié)合,以實(shí)現(xiàn)對(duì)抗原的清除。T細(xì)胞在免疫反應(yīng)過(guò)程中能刺激和抑制 B細(xì)胞的增殖和分化,對(duì)免疫調(diào)節(jié)起著重要的作用。獲得性免疫系統(tǒng)在“初次響應(yīng)”抗原之后,免疫系統(tǒng)便使用免疫記憶來(lái)記住抗原特征;當(dāng)再次遇到時(shí)會(huì)產(chǎn)生“再次響應(yīng)”,從而迅速、有效地消除病原體。

生物自然免疫系統(tǒng)為構(gòu)建一個(gè)健壯的計(jì)算機(jī)安全系統(tǒng)提供了以下幾個(gè)重要參考[5]:

2.1 多層保護(hù)機(jī)制

生物體針對(duì)外界物質(zhì)提供了多層的保護(hù)機(jī)制,包括被動(dòng)阻礙層 (皮膚、粘膜等)、體內(nèi)物理環(huán)境 (體液 pH值等)、炎癥響應(yīng)機(jī)制等。與之形成對(duì)比的是計(jì)算機(jī)安全系統(tǒng)往往只定義一個(gè)外圍防御機(jī)制,外圍防御機(jī)制之內(nèi)的一切活動(dòng)被默認(rèn)為安全。

2.2 高度分布式檢測(cè)

生物免疫系統(tǒng)的檢測(cè)機(jī)制和記憶機(jī)制是高度分布式的。免疫系統(tǒng)中的淋巴細(xì)胞分布于全身,根據(jù)周圍環(huán)境自適應(yīng)來(lái)確定自身的行為,整個(gè)免疫系統(tǒng)是一個(gè)沒(méi)有控制中心的并行分布自治系統(tǒng),局部免疫功能的失常不會(huì)引起整個(gè)機(jī)體的免疫崩潰。

2.3 獨(dú)一無(wú)二性

每一個(gè)生物體都會(huì)根據(jù)自己的生理特點(diǎn)擁有一套獨(dú)特的免疫機(jī)制。而計(jì)算機(jī)安全系統(tǒng)通常對(duì)不同網(wǎng)絡(luò)的不同計(jì)算機(jī)和不同軟件應(yīng)用使用同一套保護(hù)機(jī)制,如果一個(gè)局部地域針對(duì)防護(hù)系統(tǒng)的漏洞被入侵者發(fā)現(xiàn),別的地域也會(huì)面臨著同樣入侵風(fēng)險(xiǎn)。

2.4 面對(duì)未知入侵物質(zhì)的響應(yīng)機(jī)制

生物免疫系統(tǒng)有著很好的記憶功能。免疫系統(tǒng)消滅抗原后產(chǎn)生記憶細(xì)胞,當(dāng)與該抗原相似的物質(zhì)再次入侵機(jī)體時(shí),免疫系統(tǒng)能產(chǎn)生更快速、更強(qiáng)烈的二次應(yīng)答。當(dāng)面對(duì)著一種前所未見(jiàn)的新型入侵物質(zhì)時(shí),免疫系統(tǒng)會(huì)產(chǎn)生專門的抗體并發(fā)起一場(chǎng)初次應(yīng)答 (比二次應(yīng)答慢)。

2.5 靈活自適應(yīng)性

根據(jù)免疫網(wǎng)絡(luò)學(xué)說(shuō)[6],免疫系統(tǒng)中的 B細(xì)胞能夠通過(guò)識(shí)別與被識(shí)別組建成一個(gè)網(wǎng)絡(luò),對(duì)未知抗原的識(shí)別是網(wǎng)絡(luò)中的B細(xì)胞相互作用的結(jié)果,免疫網(wǎng)絡(luò)與神經(jīng)網(wǎng)絡(luò)相似,是能夠?qū)W習(xí)與記憶的自適應(yīng)系統(tǒng)。

3 基于免疫原理的分布式系統(tǒng)模型的構(gòu)建

綜上所述,我們可以看到生物免疫系統(tǒng)是一個(gè)復(fù)雜的多層代理系統(tǒng)[7]。尊重生物免疫的多層保護(hù)機(jī)制和獨(dú)特性等原理,我們?yōu)樾@網(wǎng)絡(luò)設(shè)計(jì)了三層安全防護(hù)體系:①用戶安全。向用戶提供網(wǎng)絡(luò)版的終端殺毒軟件、系統(tǒng)補(bǔ)丁自動(dòng)更新服務(wù),并且要求用戶設(shè)立三級(jí)密碼;②接入安全。接入終端根據(jù)不同的物理環(huán)境、業(yè)務(wù)要求和保密等級(jí),嚴(yán)格執(zhí)行“專機(jī)入網(wǎng),專線連接,專室放置,專盤(pán)存儲(chǔ),專人管理”的“五?！币?根據(jù)安全級(jí)別要求采用 IP和 MAC綁定、802.1X接入認(rèn)證,用戶名、計(jì)算機(jī)、交換機(jī)和 IP地址“四綁定”以及出口網(wǎng)關(guān)控制等管控措施;③網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)重要區(qū)域部署防火墻、防毒墻、入侵檢測(cè)、漏洞掃描、信息審計(jì)、防篡改等系統(tǒng)安全防護(hù)設(shè)施。

3.1 用戶安全和接入安全

對(duì)于這兩層采取相關(guān)措施能在一定程度上防御外網(wǎng)風(fēng)險(xiǎn),但對(duì)于 IP/MAC欺騙攻擊或從校園網(wǎng)內(nèi)部發(fā)起的攻擊沒(méi)有很好的防御效果。在校園網(wǎng)的相應(yīng)安全管控措施中,我們針對(duì)不同級(jí)別的校內(nèi)用戶開(kāi)放不同權(quán)限的服務(wù),對(duì)于內(nèi)網(wǎng)重要服務(wù)器和網(wǎng)站制定專人授權(quán)管理并定時(shí)更換各級(jí)管理員賬號(hào)密碼;監(jiān)督校內(nèi)用戶及時(shí)升級(jí)殺毒軟件、更新病毒庫(kù),打造相對(duì)安全的校園網(wǎng)絡(luò)環(huán)境;及時(shí)升級(jí)網(wǎng)絡(luò)出口、提高網(wǎng)速,做到主干萬(wàn)兆、區(qū)域千兆、桌面百兆,盡量降低 IP欺騙攻擊中 TCP會(huì)話劫持的可能性;對(duì)于校外用戶的訪問(wèn)實(shí)現(xiàn)端口限制,關(guān)閉不必要的端口,部分對(duì)外開(kāi)放校園網(wǎng)絡(luò)訪問(wèn)功能,以降低風(fēng)險(xiǎn)。

3.2 網(wǎng)絡(luò)安全

這一層面中,我們把生物免疫原理的高度分布性、靈活自適應(yīng)性等融合到校園網(wǎng)入侵檢測(cè)系統(tǒng)的研究中,嘗試構(gòu)建分布式入侵檢測(cè)系統(tǒng)模型。分布式入侵檢測(cè)系統(tǒng)(distributed intrucsion detection system)的主要特征[8]是“分布式探測(cè)、集中控制”,即由多個(gè)微型入侵檢測(cè)系統(tǒng) (入侵檢測(cè)單元)共享檢測(cè)信息,從而有效探測(cè)入侵。

入侵檢測(cè)單元的設(shè)計(jì)是構(gòu)建分布式系統(tǒng)的關(guān)鍵。我們把每個(gè)檢測(cè)單元設(shè)計(jì)為一個(gè)微型入侵檢測(cè)系統(tǒng),它們各自分析來(lái)自各子網(wǎng)段的數(shù)據(jù)源、閾值,檢測(cè)規(guī)則庫(kù)和響應(yīng)機(jī)制也隨著不同的網(wǎng)段而有所不同。這樣各檢測(cè)單元之間的相關(guān)性降低到非常小,契合了生物免疫系統(tǒng)的分布式特性。在每個(gè)檢測(cè)單元內(nèi)采用不同的檢測(cè)算法,在整體上增強(qiáng)了網(wǎng)絡(luò)對(duì)某類攻擊的抵抗能力,檢測(cè)單元的這一檢測(cè)規(guī)則設(shè)置尊重了生物免疫系統(tǒng)的獨(dú)一無(wú)二特性 (檢測(cè)單元的檢測(cè)流程設(shè)計(jì)如圖 1所示)。

圖1 檢測(cè)單元的檢測(cè)流程圖

檢測(cè)單元在設(shè)置上支持更高層次結(jié)構(gòu)上的擴(kuò)展,以適應(yīng)網(wǎng)絡(luò)范圍的擴(kuò)大。將入侵檢測(cè)單元部署在中心機(jī)房的核心交換機(jī),以及校園網(wǎng)各關(guān)鍵子網(wǎng)段的上聯(lián)交換機(jī)與匯聚交換機(jī)上,并設(shè)置基層管理控制器收集這些代理檢測(cè)到的入侵信息,分析后確定是否為攻擊行為。如果一個(gè)單元檢測(cè)到入侵行為,它會(huì)將信息反饋到控制器,各個(gè)代理單元協(xié)同工作,如圖 2所示。

圖2 檢測(cè)單元工作模型結(jié)構(gòu)圖

檢測(cè)單元主要模擬免疫系統(tǒng)中抗體的生成和演化過(guò)程來(lái)實(shí)施檢測(cè)。在這里我們定義正常的用戶和網(wǎng)絡(luò)活動(dòng)模式為本體,異常的用戶和網(wǎng)絡(luò)活動(dòng)模式或入侵行為模式為異體,針對(duì)異體的檢測(cè)子為抗體,待測(cè)的用戶和網(wǎng)絡(luò)活動(dòng)模式為抗原。免疫在本質(zhì)上是分辨本體和異體,也就是如何有效地監(jiān)控網(wǎng)絡(luò)和用戶的正常行為和異常行為。我們根據(jù)抗原與抗體是否匹配來(lái)識(shí)別本體和異體,在抗原抗體的匹配過(guò)程中,依照免疫系統(tǒng)初次應(yīng)答機(jī)制來(lái)架構(gòu)核心檢測(cè)算法。架構(gòu)原則是模擬處理抗原的思想 (抗體的產(chǎn)生、自體耐受、免疫記憶等)定義免疫元素的表達(dá)式,將問(wèn)題抽象成流程。針對(duì)未知入侵行為系統(tǒng)檢測(cè)單元主要是采用相似度比較來(lái)進(jìn)行模式識(shí)別,具體流程如下:

Begin:

Step1:初始化檢測(cè)子集合;

Step2:定義檢測(cè)子升級(jí)點(diǎn)閾值和消滅點(diǎn)閾值;

Step3:輸入本體集合做否定選擇,檢測(cè)子集合的每一個(gè)檢測(cè)子都與本體集合做循環(huán)匹配,選擇出跟本體不匹配的檢測(cè)子;

Step4:輸入抗原集合,計(jì)算檢測(cè)子與抗原集合的每一種抗原的相似度系數(shù),根據(jù)相似度系數(shù)和匹配系數(shù)定義出檢測(cè)子的反應(yīng)值,此反應(yīng)值決定了檢測(cè)子的凋亡或者升級(jí);

Step5:輸出新的檢測(cè)子集合。

End;

此算法的初始檢測(cè)子集合為檢測(cè)單元隨機(jī)生成的,通過(guò)完全循環(huán)匹配,檢測(cè)子集合能響應(yīng)絕大部分入侵模式,并且分化得到升級(jí)的檢測(cè)子集合,使其通過(guò)新陳代謝走向成熟。而沒(méi)有分化升級(jí)的檢測(cè)子依然保留下來(lái),以維持對(duì)未知抗原的識(shí)別能力。

檢測(cè)單元通過(guò)通信接口模塊與基層管理控制器結(jié)合構(gòu)成一個(gè)完整的基層免疫系統(tǒng)模型[9]。檢測(cè)單元設(shè)置為網(wǎng)絡(luò)檢測(cè)單元和主機(jī)檢測(cè)單元兩種。網(wǎng)絡(luò)檢測(cè)單元監(jiān)聽(tīng)、解析所有網(wǎng)絡(luò)信息,挖掘網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)隱藏的惡意入侵;主機(jī)檢測(cè)單元對(duì)關(guān)鍵主機(jī)的核心級(jí)事件、系統(tǒng)日志以及網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

模型的核心部分是管理控制器,管理控制器的功能結(jié)構(gòu)設(shè)置如圖 3所示。我們將管理控制器設(shè)置為一個(gè)綜合處理系統(tǒng),會(huì)對(duì)所管轄內(nèi)的各個(gè)檢測(cè)單元、檢測(cè)子系統(tǒng)以及子控制器進(jìn)行管理,通過(guò)系統(tǒng)配置模塊來(lái)執(zhí)行圖形界面上輸入的命令。管理控制器對(duì)它所管轄內(nèi)的各檢測(cè)單元所匯報(bào)的結(jié)果進(jìn)行進(jìn)一步綜合分析,按照?qǐng)?bào)警產(chǎn)生預(yù)先定義的響應(yīng),并采取相應(yīng)措施。每個(gè)檢測(cè)單元通過(guò)檢測(cè)算法產(chǎn)生成熟的檢測(cè)子,由通信模塊克隆這些檢測(cè)子傳送到管理控制器的檢測(cè)規(guī)則庫(kù)中綜合優(yōu)化,然后傳送到各檢測(cè)單元上執(zhí)行檢測(cè)任務(wù)。

圖3 管理控制器功能結(jié)構(gòu)圖

系統(tǒng)模型的結(jié)構(gòu)在邏輯上可以分為父層和子層兩個(gè)層次[10]。子層對(duì)應(yīng)著各子網(wǎng)段檢測(cè)單元和基層管理控制器,它對(duì)原始數(shù)據(jù)源進(jìn)行分布式的采集分析和響應(yīng);子層通過(guò)通信接口模塊構(gòu)成的基層免疫系統(tǒng)整體上可作為一個(gè)高級(jí)檢測(cè)單元,通過(guò)一定的通信協(xié)議和設(shè)置與校園網(wǎng)絡(luò)機(jī)房中央管理控制器構(gòu)成父層,主要任務(wù)是整合基層各管理控制器的日志報(bào)表,從全局的視角對(duì)安全進(jìn)行監(jiān)測(cè),從而有效的將基層信息進(jìn)行關(guān)聯(lián)分析。

系統(tǒng)預(yù)計(jì)采用的測(cè)試方案為:從 G IAC(全球信息安全認(rèn)證數(shù)據(jù)庫(kù))中隨機(jī)抽取 60組數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù),其中包括 30組正常數(shù)據(jù)和 30組異常數(shù)據(jù),然后依次使用現(xiàn)有 IDS系統(tǒng)和生物免疫 IDS系統(tǒng)進(jìn)行測(cè)試,通過(guò)比較檢測(cè)速率、誤檢率和漏檢率完成測(cè)試,將現(xiàn)有 IDS系統(tǒng)與生物免疫 IDS系統(tǒng)的檢測(cè)效果進(jìn)行對(duì)比來(lái)凸顯系統(tǒng)有效性。

在校園網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)通常被認(rèn)為是防火墻之后的第二道安全閘門,基于免疫的分布式網(wǎng)絡(luò)是當(dāng)前入侵檢測(cè)技術(shù)的熱門發(fā)展方向之一。該文對(duì)基于生物免疫的校園網(wǎng)絡(luò)安全模型進(jìn)行了研究,提出了多層次、多子系統(tǒng)的校園網(wǎng)安全檢測(cè)機(jī)制,并簡(jiǎn)要分析了系統(tǒng)架構(gòu)原理和架構(gòu)思路。目前,校園網(wǎng)多層次的安全防御機(jī)制已經(jīng)基本落實(shí)到位,基于免疫的入侵檢測(cè)系統(tǒng)經(jīng)走校企聯(lián)合開(kāi)發(fā)路線,項(xiàng)目預(yù)期投入 150萬(wàn)元,檢測(cè)單元內(nèi)核的研發(fā)、系統(tǒng)分布式部署方案以及檢測(cè)單元聯(lián)動(dòng)方案的確定將是整個(gè)項(xiàng)目開(kāi)發(fā)的難點(diǎn)和資金投入的重點(diǎn),通信接口模塊和管理控制器模塊可以在企業(yè)現(xiàn)有功能模塊的基礎(chǔ)上進(jìn)行二次開(kāi)發(fā)。下一步作者將對(duì)網(wǎng)絡(luò)安全系統(tǒng)中其他安全組件的信息共享和協(xié)同工作等問(wèn)題進(jìn)行深入研究。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò) [M].北京:電子工業(yè)出版社,2007:25-16

[2]丁曉輝,張曉燕.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究 [J].科學(xué)技術(shù)與工程,2008,8(14):3831-3835

[3]Hofmeyr S,Forrest S,SomayajiA.Computer Immunology[J].Communications of the ACM,1997,40(10):88-96

[4]Hofmeyr S,Forrest S. Immunity by design:An artificial immune system[A].Proceedings of Genetic and Evolutionary Computation Conference[C].San Francisco:Morgan Kaufmamm Publishers,1999:9

[5]Hou H,Dozier G. Immunity-based intrusion etection system design,vulnerability analysis,and GENERT IA’s genetic ar ms race[A].2005 ACM Symposium on Applied Computing[C].Santa Fe,NewMexico,USA,2005:952-956

[6]李濤.計(jì)算機(jī)免疫學(xué)[M].北京:電子工業(yè)出版社,2004:56-78

[7]吳作順,竇文華,劉志峰.基于免疫學(xué)的多代理入侵檢測(cè)系統(tǒng)[J].國(guó)防科技大學(xué)學(xué)報(bào),2008,24(4):42-47

[8]戚涌,張琨,劉鳳玉.基于生物免疫學(xué)的分布式入侵檢測(cè)系統(tǒng)模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2006,25(4):481-563

[9]趙俊忠,黃寬厚,田盛豐.免疫機(jī)制在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用研究[J].計(jì)算機(jī)研究與應(yīng)用,2007,140(9):1293-1299

[10]馬占飛,鄭雪峰.基于生物免疫機(jī)理的分布式 Agent入侵檢測(cè)系統(tǒng)模型[J].計(jì)算機(jī)應(yīng)用研究,2008,25(3):895-897