胡 強,劉孫俊

(1.成都大學教務處,四川成都 610106;2.成都信息工程學院軟件工程學院,四川成都 610225)

0 引 言

傳統(tǒng)的網(wǎng)絡安全技術如防火墻、殺毒軟件或入侵檢測技術等大都僅對網(wǎng)絡所處的風險進行定性描述,對系統(tǒng)正在遭受的攻擊態(tài)勢缺乏實時感知機制,從而導致系統(tǒng)安全處于被動防御的局面,不能有針對性地依據(jù)當前網(wǎng)絡遭受攻擊的強度和風險等級等情況實時調(diào)整自己的防御策略[1-3].

基于免疫的網(wǎng)絡風險評估方法[4]依據(jù)生物免疫系統(tǒng)抗體濃度的變化與病原體入侵強度的對應關系[5,6],當網(wǎng)絡攻擊增強時,模擬生物免疫系統(tǒng)克隆原理,提高相應抗體的濃度;當網(wǎng)絡攻擊減弱時,模擬免疫反饋機制,降低相應抗體的濃度,并逐漸恢復到正常水平.同時,對入侵檢測子系統(tǒng)提供的安全事件屬性進行分析分類,根據(jù)惡意攻擊對網(wǎng)絡的威脅破壞程度量化系統(tǒng)所面臨的風險,進而評估出網(wǎng)絡當前的安全狀況.由此,本文提出一種基于免疫的網(wǎng)絡系統(tǒng)風險實時定量評估模型(Network Risk Evaluation Model Based on Immune,NREMBI),通過測量當前系統(tǒng)中抗體的濃度,可以準確獲知當前系統(tǒng)遭受網(wǎng)絡攻擊時的實時風險.在對網(wǎng)絡風險進行實時定量評估的基礎上,對不同時間跨度下的網(wǎng)絡短期、中期、長期風險進行定量評估,從不同角度、不同方面對網(wǎng)絡系統(tǒng)各個層次的風險變化趨勢全面地掌握,并有針對性地調(diào)整網(wǎng)絡的安全策略,進而保障系統(tǒng)安全.

1 NREMBI架構

根據(jù)抗體指令系統(tǒng)的完備性理論,系統(tǒng)中所有免疫細胞的抗體集合從宏觀上能夠覆蓋整個抗原集合,記憶細胞集合記錄了當前系統(tǒng)已經(jīng)遭遇的所有攻擊或異常的種類,并可通過對監(jiān)控對象中的記憶免疫細胞Mb來進行分類實現(xiàn).文獻[7]提出了基于血親關系的分類方法,該方法利用免疫細胞的血親關系進行分類,可以實現(xiàn)對已知異常和未知異常的自動分類,具有較強的自學習性和自適應性,適合在較少人工操作的情況下實時反應網(wǎng)絡狀況,并對其進行定量分析.在此基礎上,本文根據(jù)最大血親類系分類方法對網(wǎng)絡中的記憶細胞集合 Mb進行分類,記錄每一類記憶細胞的具體特征,包括當前系統(tǒng)已經(jīng)遭遇的所有攻擊或異常,以及最大血親類系及其基因序.

此外,從成熟免疫細胞和記憶免疫細胞的演化過程可以看出,在還未遇到或還不能確定是否遇到非自體抗原的攻擊的情況下,成熟免疫細胞的抗體濃度為0,而記憶免疫細胞的抗體農(nóng)度可能大于0.網(wǎng)絡連續(xù)遭到某種類似的網(wǎng)絡攻擊時,記憶免疫細胞的抗體濃度就持續(xù)增加,且記憶免疫細胞的抗體濃度只保持一定的周期,在該周期內(nèi),如果未遇到攻擊,則相應的記憶免疫細胞的抗體濃度衰減到0,表明該抗體表達的警報解除.因此,通過檢測記憶免疫細胞的抗體濃度可以準確評估系統(tǒng)當前所面臨的風險,計算免疫細胞的抗體濃度即可得出系統(tǒng)風險值.

基于上述分類原理和免疫細胞演化原理,我們可建立網(wǎng)絡風險實時定量評估模型(NREMBI),其整體架構如圖1所示.

圖1 網(wǎng)絡風險實時定量評估模型(NREMBI)架構

NREMBI工作原理為:節(jié)點主機風險感應器(Local Computer Risk Sensor,LCRS)評估網(wǎng)絡系統(tǒng)中各主機的本地風險.在實時獲取本地節(jié)點安全信息后,一方面,將本地安全信息上傳到風險評估中心SREC (System Risk Evaluation Center,SREC)(見圖1);另一方面,根據(jù)血親類分類方法對本地記憶檢測器集合Mb進行最大血親類系劃分,并結合本地抗體濃度信息進行加權計算對本地主機實時進行風險評估.同時,SREC從各個LCRS搜集到各個主機節(jié)點的安全信息后,對整個系統(tǒng)所有的檢測器進行血親類系分類,通過查看最大血親類系及其基因序,將各主機節(jié)點發(fā)送的抗體濃度信息經(jīng)過數(shù)據(jù)融合后,定量評估出網(wǎng)絡系統(tǒng)當前面臨的風險,為正確的響應決策提供有力支持.

2 基于NREMBI的網(wǎng)絡風險實時定量評估

在NREMBI中,假設網(wǎng)絡系統(tǒng)環(huán)境中共有 K臺計算機,主機k(1≤k≤K)在t時刻的記憶細胞集合為,Mkb(t),則所有機器中 t時刻的記憶細胞集合為,M(t)=∪KMk(t).對其進行血親類系劃分,得到k=1b

M(t)的最大血親類系,

式中,Ci為記憶細胞抗體的濃度,表明了第i類異常對當前系統(tǒng)造成的分類風險,∏(t)為所有記憶細胞抗體濃度的加權和,顯示了所有類型的異常攻擊對系統(tǒng)造成的整體風險.

在t時刻,由第i類異常攻擊造成的網(wǎng)絡系統(tǒng)分類實時風險 rrealnet,i(t),以及所有攻擊造成的網(wǎng)絡系統(tǒng)整體實時風險 rrealnet(t)分別為:

式中,ωk(0≤ωk≤1)為主機 k在網(wǎng)絡系統(tǒng)中的重要性,μi(0≤μi≤1)為網(wǎng)絡中第i(1≤i≤m)類攻擊 Cig

ene(t)的危險性.

同樣,對主機k(1≤k≤K)在t時刻的記憶細胞集合進行基于血親關系的網(wǎng)絡攻擊類別的劃分可得到最大血親類系,

式中,Di為記憶細胞抗體的濃度,表明了第i類攻擊對主機k造成的分類風險,π為所有記憶細胞的抗體濃度的加權和,顯示了所有類型的攻擊給對主機k造成的整體風險.

在t時刻,主機k由第i類異常攻擊造成的主機分類實時風險(t),以及所有攻擊造成的主機整體實時風險(t)分別為:

3 仿真實驗

3.1 實驗方法

我們在仿真實驗中,分別采用Syn Flood、Land、Smurf攻擊方式對處于不同子網(wǎng)段的FTP服務器、打印服務器、數(shù)據(jù)庫服務器等進行攻擊.在完成系統(tǒng)參數(shù)配置后,根據(jù)NREMBI對網(wǎng)絡實時風險評估結果繪制網(wǎng)絡實時風險曲線及其相應的攻擊強度曲線,并對實驗結果進行分析.

3.2 實驗參數(shù)設置

對網(wǎng)絡系統(tǒng)中的FTP服務器、打印服務器、數(shù)據(jù)庫服務器等服務器依據(jù)其重要性分別設定ω值為,0.5、0.2、0.8.

對Syn Flood、Land、Smurf等網(wǎng)絡攻擊的危險性,設定其μ值分別為,0.8、0.5、0.9.

3.3 實驗結果與分析

對抗體濃度進行相應的設定后,采用NREMBI對網(wǎng)絡實時風險進行定量評估,結果如圖2(a)～(d)所示.

從圖2中可以看出,當時間間隔較小時,網(wǎng)絡實時風險的變化與相應攻擊強度曲線的變化具有較高的一致性.隨著攻擊強度增加,網(wǎng)絡實時風險也相應變化,風險值上升.當相同的攻擊再次出現(xiàn)時,風險值快速增加,這是由于記憶檢測器匹配已識別的抗原時迅速產(chǎn)生二次響應,同時自身進行克隆,使抗體濃度上升導致風險急劇增加.當攻擊強度下降時,抗體濃度基于免疫反饋原理逐漸下降,風險也相應降低,但下降的斜率相對攻擊強度下降的斜率要小.這在實際網(wǎng)絡環(huán)境中具有較重要的意義,當某一攻擊逐漸減弱乃至消失后,網(wǎng)絡在較長一段時間內(nèi)對該攻擊仍可保持較高的警戒度,避免該攻擊在警戒時間內(nèi)再次發(fā)生而對系統(tǒng)造成破壞.

4 結 語

本文依據(jù)免疫系統(tǒng)理論,結合抗體濃度的變化與病原體入侵強度的對應關系,以及生物體內(nèi)組織在受到病原體攻擊時,組織之間的相互影響將會加劇病原體對生物體造成傷害的特點,建立了一種基于免疫的網(wǎng)絡風險評估模型(NREMBI),以實現(xiàn)對網(wǎng)絡系統(tǒng)的短期、中期、長期所面臨風險的定量評估.仿真實驗表明,本文提出的NREMBI實時定量評估實現(xiàn)了網(wǎng)絡系統(tǒng)風險與網(wǎng)絡系統(tǒng)受到的實際攻擊強度能夠保持較高的同步性和一致性,是一種較好的網(wǎng)絡風險評估方法.

[1]Pilz A,Swoboda J.Network management information models[J]. Aeu-International Journal of Electronics and Communications, 2004,58(2):165-171.

[2]閔應驊.網(wǎng)絡容錯與安全研究述評[J].計算機學報, 2003,26(9):1035-1041.

[3]李濤.一種基于免疫的動態(tài)入侵檢測模型[J].科學通報, 2005,50(17):1912-1919.

[4]Hofmeyr S A,Forrest S.Immunity by Design:an Artificial Immune System[C]//Proceeding of the Genetic and Evolutionary Computation Conference(GECCO).San Francisco:IEEE Press, 1999:1289-1296.

[5]Forrest S,Perelson A S,Allen L,et al.Self-nonself Discrimination in a Computer[C]//Proceedings of IEEE Symposium on Research in Security and Privacy.Oakland:IEEE Press,1994:54-64.

[6]李濤.基于免疫的網(wǎng)絡安全風險檢測[J].中國科學(E輯):信息科學,2005,35(8):798-816.