徐　甫

(1.解放軍信息工程大學,河南鄭州 450002;2.北京市信息技術研究所,北京 100094)

?

基于可信根的計算機終端免疫模型

徐甫1,2

(1.解放軍信息工程大學,河南鄭州 450002;2.北京市信息技術研究所,北京 100094)

摘要：人工免疫系統(tǒng)方法中的否定選擇(NS)算法已廣泛應用于病毒防護、入侵檢測、垃圾郵件檢測等.然而,由于當前的計算機中不存在類似“免疫器官”的硬件部件,無法對NS算法的運行提供保護,可能造成其運行過程遭受惡意干擾,成熟檢測器和中間變量遭受篡改,進而導致其檢測結果不可信.借鑒自然免疫系統(tǒng)的組成和原理,提出一種基于可信根的計算機終端免疫模型(TRBCTIM),引入可信計算技術中的可信根作為“免疫器官”,對NS算法實施保護.采用無干擾可信模型理論對新模型進行分析,并通過構建新模型的原型系統(tǒng)來進行性能實驗.理論分析及實驗結果表明,新模型能夠確保NS算法的運行過程和檢測結果可信.

關鍵詞:人工免疫系統(tǒng);可信計算;非自體檢測;可信平臺控制模塊;否定選擇算法

1引言

1994年,Forrest等借鑒自然免疫系統(tǒng)中T淋巴細胞生成時的“否定選擇”過程,設計了用于病毒檢測的NS(Negative Selection,否定選擇)算法,在計算機上建立了一個人工免疫系統(tǒng)[1],并于1997年提出了計算機免疫系統(tǒng)的概念[2].之后,人工免疫系統(tǒng)方法廣泛應用于計算機安全領域,如病毒防護[1,3,4],惡意軟件檢測[5]、網絡防御及入侵檢測[6,7]、垃圾郵件檢測[8]、域間路由系統(tǒng)監(jiān)控[9]等.其中,病毒防護、惡意軟件檢測和基于主機的入侵檢測對計算機終端實施保護,其他手段對計算機網絡實施保護.本文研究如何利用人工免疫系統(tǒng)方法對計算機終端實施保護,將構建的安全系統(tǒng)稱為計算機終端免疫系統(tǒng).

2000年,Hofmeyr等利用NS算法構建了ARTIS系統(tǒng)[10],形成了人工免疫系統(tǒng)方法在計算機安全領域應用的一般框架.為避免降低魯棒性,導致單點失效,ARTIS系統(tǒng)未考慮類似自然免疫系統(tǒng)的“中心耐受”機制,也未設置類似“胸腺”等免疫器官的部件,而是采用了類似“外圍耐受”的分布式否定選擇,這一方法被眾多學者所接受[4～7].在網絡中,分布式否定選擇可以由多個節(jié)點實現(xiàn),每個節(jié)點扮演淋巴節(jié)的角色.然而,在計算機終端免疫系統(tǒng)中,所謂分布式否定選擇僅僅是指NS算法使用不同的檢測器在存儲器的不同區(qū)域實施否定選擇,而算法的運行必須依賴CPU,受操作系統(tǒng)調度[1,10].這一特點與自然免疫系統(tǒng)不符,在自然免疫系統(tǒng)中,經否定選擇成熟的T淋巴細胞在胸腺、淋巴結、脾等專門的免疫器官中執(zhí)行“非自體”識別任務,受到免疫器官的有效保護[11].而目前的計算機終端免疫系統(tǒng)中卻不存在“免疫器官”[10],NS算法運行于CPU,算法代碼和成熟檢測器直接存儲于外存,算法運行產生的中間變量直接存儲于內存,均可能遭受惡意進程干擾或篡改,導致運行不可信,進而可能出現(xiàn)誤判情況.因此,要想實現(xiàn)真正意義上的計算機終端免疫系統(tǒng),必須改變現(xiàn)有計算機系統(tǒng)的體系結構,為其添加類似“免疫器官”的硬件部件,對NS算法實施有效保護.

可信計算技術正是為了改善計算機系統(tǒng)的體系結構,從根本上解決其面臨的安全問題而產生.其基本思想是[12]:通過建立信任根和信任鏈,一級測量認證一級,一級信任一級,從而把信任擴展到整個計算機系統(tǒng).其中,信任根又稱為可信根,由主板上的可信芯片實現(xiàn),不依賴CPU而獨立運行,其可信性由物理安全、技術安全和管理安全共同保證[12].可信根的這些特點使其能夠勝任計算機終端免疫系統(tǒng)中“免疫器官”的角色,為NS算法提供有效的保護.

2NS算法、可信計算技術與理論研究現(xiàn)狀

2.1NS算法

NS算法借鑒自然免疫系統(tǒng)中T淋巴細胞生成時的“否定選擇”,首先執(zhí)行檢測器生成過程,即隨機生成檢測器,用其與自體集合中的每一元素進行匹配操作,如果不能匹配,則將其納入成熟檢測器集合,否則,丟棄該檢測器;然后執(zhí)行非自體檢測過程,即從受保護的數(shù)據(jù)中選擇個體,與成熟檢測器集合中的所有元素進行匹配操作,如果能夠匹配,則判定為非自體,否則,判定為自體.

近年來NS算法在國內外得到了迅速發(fā)展,衍生出許多變種,逐漸形成了NS算法簇.關于NS算法的詳細分類及描述,可參閱文獻[13].

2.2可信計算技術與理論

2.2.1可信根

目前,受到廣大研究者關注的可信根主要有三種[14]:TCG(Trusted Computing Group,可信計算組織)的TPM(Trusted Platform Module,可信平臺模塊)、我國的TCM(Trusted Cryptography Module,可信密碼模塊)和TPCM(Trusted Platform Control Module,可信平臺控制模塊).其中,TPM和TCM的設計在總體上是很成功的,但也存在明顯的不足[14],如被設計為被動部件,缺少對平臺的主動控制作用;存儲于TPM/TCM之外的可信度量根易受到惡意攻擊等.針對這些問題,我國正在研究制定自己的TPCM規(guī)范[12,14,18],其主要技術特點在于具備主動度量功能,既包括平臺啟動時首先掌握對平臺的控制權,又包括平臺啟動后對平臺關鍵部件的完整性度量,詳細描述可參閱文獻[14].

2.2.2無干擾可信模型理論

由于可信計算技術來源于工程實踐,導致目前尚沒有公認的可信計算理論模型[12],但許多學者對此進行了有益的探索.我國學者張興等[15]將無干擾理論[19]引入了基于進程的可信模型研究,給出了進程運行可信的條件,并證明了系統(tǒng)運行可信定理.本文將采用文獻[15]的方法對計算機系統(tǒng)進行形式化,相關符號及函數(shù)的定義可參閱該文獻.

秦晰等[16]分析指出,進程的運行過程僅滿足無干擾理論的條件時,尚不能夠確定其是否可信,需同時保證其代碼的完整性,即:

定義1[16]稱進程p運行可信,當滿足條件

output(run(s0,α),a)=output(run(s0,purge(α,proc(a))),a)和Hash(p)=expect(p),其中p=proc(a),Hash(p)表示對進程p的代碼進行Hash運算,expect(p)為進程p的代碼的完整性校驗預期值.

3TRBCTIM模型

3.1NS進程可信運行的條件

NS進程(用符號表示為pNS)表示NS算法在運行時形成的進程.它對計算機中存儲的所有數(shù)據(jù)進行掃描,能夠觀察到所有的存儲區(qū)域.因此,系統(tǒng)中運行的任何進程都能夠改變其系統(tǒng)視圖[17],即對其造成干擾.系統(tǒng)策略必須規(guī)定:?p∈P,p～>pNS,才能夠保證pNS能夠正常發(fā)揮作用.但是,這并不意味著某一進程可以篡改pNS的成熟檢測器和中間變量,否則,pNS的檢測結果將不準確.也就是說,任何進程對pNS的干擾只能通過改變pNS系統(tǒng)視圖中的輸入區(qū)域進行,而不能改變其成熟檢測器和中間變量.因此,要使得pNS運行可信,不僅需要滿足定義1中的一般進程運行可信的條件,還需要滿足成熟檢測器和中間變量不被除pNS自身以外的任何進程修改這一條件.pNS運行可信的條件可形式化表示為:

定義2稱pNS運行可信,當滿足條件:

(1)output(run(s0,α),a)=output(run(s0,purge(α,proc(a))),a),其中pNS=proc(a);

(2)Hash(pNS)=expect(pNS);

3.2TRBCTIM模型原理及運行流程

由于TPM和TCM不能保證輸入數(shù)據(jù)和度量結果的可信,而采用主動度量的TPCM則能夠有效解決這一問題[20].因此,為滿足定義2給出的pNS運行可信的三個條件,我們選用TPCM來保護NS算法,并設計了TRBCTIM模型的基本框架,如圖1所示.含NS算法引擎的TPCM與普通TPCM相比,有如下幾點不同:

(1)增加了NS算法引擎,由TPCM芯片對NS算法代碼實施保護;

(2)在TPCM芯片外配置非易失存儲器,用于保存成熟檢測器,只能由NS算法引擎訪問;

(3)NS算法引擎能夠通過接口控制器直接訪問計算機內存和外存;

(4)NS算法的中間變量存儲于片內易失存儲器,由TPCM芯片實施保護.

TRBCTIM模型的運行步驟如下:

Step1在無外來入侵的封閉環(huán)境下,計算機系統(tǒng)正常運行,NS算法引擎對內存和外存中的數(shù)據(jù)實施檢測器生成過程,將成熟檢測器存儲于片外非易失存儲器.

Step2每次開機時,TPCM首先啟動,對外存中的數(shù)據(jù)實施非自體檢測過程,如果發(fā)現(xiàn)非自體,則將其清除.

Step3 TPCM將系統(tǒng)控制權交給CPU,在系統(tǒng)啟動及啟動后的運行過程中,NS算法引擎對成功寫入至內存和外存的數(shù)據(jù)實施非自體檢測,發(fā)現(xiàn)非自體即清除.

4TRBCTIM模型分析

4.1理論分析

定理1TRBCTIM能夠確保pNS運行可信.

證明要證明pNS運行可信,只要證明其滿足定義2的三個條件即可.

(1)令α=a1a2…an,由于pNS能夠訪問計算機內存和外存的所有數(shù)據(jù),因此有?ai,proc(ai)～>pNS,那么,

purge(α,pNS)=purge(a1a2…an,pNS) =a1°purge(a2a3…an,pNS)=a1a2°purge(a3a4…an,pNS)=…=a1a2…an=α

(1)

由式(1)可得,output(run(s0,purge(α,pNS)),a)=output(run(s0,α),a),即定義2的條件(1)成立.

(2) 由于pNS運行于TPCM芯片內部,受到TPCM芯片的有效保護,因此,其代碼不會受到篡改,即Hash(pNS)=expect(pNS)成立;

(3) 對于任意成熟檢測器d∈DetectorString(pNS),由于其存儲于片外非易失存儲器,且該存儲器只能由NS算法引擎訪問,因此,

(2)

(3)

4.2仿真分析

4.2.1原型系統(tǒng)構建

在Xen虛擬機[21]框架下構建了TRBCTIM模型的原型系統(tǒng),如圖2所示.Dom0為Xen的特權虛擬域,Dom1和Dom2均為運行Windows XP操作系統(tǒng)的硬件虛擬域.在Xen Hypervisor中為Dom1構建了含NS算法引擎的TPCM.帶箭頭實線表示Dom1對物理硬盤、物理內存、物理CPU等的訪問,帶箭頭虛線表示NS算法引擎對Dom1所占用的物理硬盤、物理內存的訪問,以及對Dom1向硬盤、內存寫入數(shù)據(jù)行為的監(jiān)視.Dom2通過虛擬網絡連接同Dom1相連,模擬攻擊者對Dom1實施攻擊.

在設計NS算法引擎時選擇了一種基于字符串的NS算法——r可變NS算法[22].字符串長度l選擇為80,初始匹配閾值r1選擇為13,最大匹配閾值rc選擇為15,隨機生成的未成熟檢測器數(shù)量NR0選擇為1100,經過耐受生成的成熟檢測器數(shù)量為NR=946.

4.2.2抗攻擊性能仿真

為了同一般計算機終端免疫系統(tǒng)進行比較,我們構建了另一種保護系統(tǒng),即去掉圖2中的TPCM,而在Dom1的Windows XP操作系統(tǒng)中實現(xiàn)r可變NS算法,對其虛擬硬盤中的某一固定存儲區(qū)域實施保護.Dom2利用Windows XP系統(tǒng)提供的遠程桌面連接功能,模擬黑客遠程控制Dom1,向該存儲區(qū)域拷貝100個良性病毒文件作為非自體,并采用以下三種攻擊方法分別對該保護系統(tǒng)進行攻擊實驗:

攻擊實驗1:用隨機字符串替換Dom1中NS算法的成熟檢測器.隨著被替換的檢測器數(shù)量的增加,NS算法的檢測率變化如圖3所示.

攻擊實驗2:將Dom1中NS算法執(zhí)行時輸入緩沖區(qū)中的數(shù)據(jù)篡改為隨機數(shù).隨著被篡改的輸入緩沖區(qū)的比重的增加,NS算法的檢測率變化如圖4所示.

攻擊實驗3:將Dom1中NS算法的可執(zhí)行程序的前100字節(jié)篡改為隨機數(shù).篡改后,NS算法程序無法啟動.

在圖2所示的原型系統(tǒng)中,Dom2采用相同的方法,向Dom1的虛擬硬盤中拷貝100個良性病毒文件作為非自體,計算NS算法對非自體的檢測率,并重復8次該過程.由于成熟檢測器、中間變量和算法代碼都受到TPCM芯片或片外非易失存儲器的保護,三種攻擊方法都無法實施.r可變NS算法的檢測率隨實驗次數(shù)的變化曲線如圖5所示.

由圖5可知,TPCM中實現(xiàn)的r可變NS算法的檢測率一直保持在95%左右,這與文獻[22]給出的實驗結果一致.而在對Windows XP中實現(xiàn)的r可變NS算法的前兩種攻擊實驗中,其檢測率最初也接近95%,但隨著被篡改的檢測器和輸入緩沖區(qū)的增多,本來能夠匹配的檢測器和非自體不再能夠匹配，導致其檢測率逐漸下降，算法運行變得不可信.攻擊實驗3表明當算法代碼受到篡改后,算法無法運行,當然更加不可信.而在圖2所示的TRBCTIM模型原型系統(tǒng)中,三種攻擊方法都無法實施,因此,r可變NS算法能夠可信運行,保證了算法的檢測率.

5結束語

本文構建了基于可信根的計算機終端免疫模型TRBCTIM,為計算機終端免疫系統(tǒng)引入了采用主動度量機制的可信根TPCM,使用其充當類似于自然免疫系統(tǒng)中的“免疫器官”的角色,同時在片外引入了非易失存儲器,用來保存成熟檢測器.TPCM及片外非易失存儲器為NS進程提供獨立的運行環(huán)境和運行時的保護,避免了惡意進程對NS算法代碼、NS算法運行時的中間變量以及成熟檢測器進行惡意篡改.理論分析及實驗結果表明,TRBCTIM模型中,NS進程能夠可信運行.

參考文獻

[1]Forrest S,Perelson A S,Allen L,et al.Self-nonself discrimination in a computer[A].Proceedings of 1994 IEEE Symposium on Research in Security and Privacy[C].Oakland,CA,USA:IEEE,1994.202-212.

[2]Somayaji A,Hofmeyr S A,Forrest S.Principles of acomputer immune system[A].Proceedings of New Security Paradigms Workshop[C].Langdale,UK:ACM,1997.75-82.

[3]程春玲,柴倩,徐小龍,等.一種用于病毒檢測的協(xié)作免疫網絡算法[J].電子學報,2013,41(12):2518-2522.

Cheng Chun-ling,Chai Qian,Xu Xiao-long,et al.A cooperative immune network algorithm for virus detection[J].Acta Electronica Sinica,2013,41(12):2518-2522.(in Chinese)

[4]蘆天亮.基于人工免疫系統(tǒng)的惡意代碼檢測技術研究[D].北京:北京郵電大學,2013.

Lu Tian-liang.Research on Malcode Detection Technology Based on Artificial Immune System[D].Beijing:Beijing University of Post and Telecommunications,2013.(in Chinese)

[5]Ali M A M,Maarof M A.Dynamic innate immune system model for malware detection[A].Proceedings of 2013 International Conference on IT Convergence and Security[C].Macau,China:IEEE,2013.1-4.

[6]Elhaj M M K,Hamrawi H,Suliman M M A.Amulti-layer network defense system using artificial immune system[A].Proceedings of 2013 International Conference on Computing,Electrical and Electronic Engineering[C].Khartoum,Sudan:IEEE,2013.232-236.

[7]Kumar G V P,Reddy D K.An agent based intrusion detection system for wireless network with artificial immune system (AIS) and negative clone selection[A].Proceedings of 2014 International Conference on Electronic Systems,Signal Processing and Computing Technologies[C].Nagpur,India:IEEE,2014.429-433.

[8]Zitar R A,Hamdan A.Genetic optimized artificial immune system in spam detection:a review and a model[J].Artificial Intelligence Review,2013,(40):305-377.

[9]Guo Yi,Wang Zhen-xing.An immune-theory-based model for monitoring inter-domain routing system[J].Science China:Information Sciences,2012,55(10):2358-2368.

[10]Hofmeyr S A,Forrest S.Architecture for an artificial immune system[J].Evolutionary Computation,2000,7(1):45-68.

[11]金伯泉.醫(yī)學免疫學[M].北京:人民衛(wèi)生出版社,2008.12-23.

[12]Shen Chang-xiang,Zhang Huan-guo,Feng Deng-guo,et al.Survey of information security[J].Science in China Series F:Information Science,2007,50(3):273-298.

[13]金章贊,廖明宏,肖剛.否定選擇算法綜述[J].通信學報,2013,34(1):159-170.

Jin Zhang-zan,Liao Ming-hong,Xiao Gang.Survey of negative selection algorithms[J].Journal on Communications,2013,34(1):159-170.(in Chinese)

[14]張煥國,趙波.可信計算[M].武漢:武漢大學出版社,2011.61-107.

[15]張興,陳幼雷,沈昌祥.基于進程的無干擾可信模型[J].通信學報,2009,30(6):6-11.

Zhang Xing,Chen You-lei,Shen Chang-xiang.Non-interference trusted model based on processes[J].Journal on Communications,2009,30(6):6-11.(in Chinese)

[16]秦晰,常朝穩(wěn),沈昌祥,等.容忍非信任組件的可信終端模型研究[J].電子學報,2011,39(4):934-939.

Qin Xi,Chang Chao-wen,Shen Chang-xiang,et al.Research on trusted terminal computer model tolerating untrusted components[J].Acta Electronica Sinica,2011,39(4):934-939.(in Chinese)

[17]張興,黃強,沈昌祥.一種基于無干擾模型的信任鏈傳遞分析方法[J].計算機學報,2010,33(1):74-81.

Zhang Xing,Huang Qiang,Shen Chang-xiang.Aformal method based on noninterference for analyzing trust chain of trusted computing platform[J].Chinese Journal of Computers,2010,33(1):74-81.(in Chinese)

[18]張興,沈昌祥.一種新的可信平臺控制模塊設計方案[J].武漢大學學報·信息科學版,2008,33(10):1011-1014.

Zhang Xing,Shen Chang-xiang.Anovel design of trusted platform control module[J].Geomatics and Information Science of Wuhan University,2008,33(10):1011-1014.(in Chinese)

[19]Rushby J.Noninterference,Transitivity,and Channel-Control Security Policies[R].Menlo Park:Stanford Research Institute,1992.

[20]郭穎,毛軍捷,張翀斌,等.基于可信平臺控制模塊的主動度量方法[J].清華大學學報(自然科學版),2012,52(10):1465-1473.

Guo Ying,Mao Jun-jie,Zhang Chong-bin,et al.Active measures based on a trust platform control module[J].Journal of Tsinghua Unversity (Science & Technology),2012,52(10):1465-1473.(in Chinese)

[21]石磊,皺德清,金海.Xen虛擬化技術[M].武漢:華中科技大學出版社,2009.33-33.

[22]張衡,吳禮發(fā),張毓森,等.一種r可變陰性選擇算法及其仿真分析[J].計算機學報,2005,28(10):1614-1619.

Zhang Heng,Wu Li-fa,Zhang Yu-sen,et al.An algorithm ofr-adjustable negative selection algorithm and its simulation analysis[J].Chinese Journal of Computers,2005,28(10):1614-1619.(in Chinese)

徐甫男,1983年3月出生于江蘇省淮安市.現(xiàn)為解放軍信息工程大學博士研究生.主要研究方向為信息安全、可信計算.

E-mail:ilyxufu@163.com

Trusted Root Based Computer Terminal Immune Model

XU Fu1,2

(1.PLAInformationEngineeringUniversity,Zhengzhou,Henan450002,China;2.InformationTechnologyInstituteofBeijingCity,Beijing100094,China)

Abstract:Negative selection (NS) algorithm,a kind of artificial immune system method,is widely applied in virus detection,intrusion detection,spam detection,etc.However,for there is no hardware component like “immune organ” in current computer systems,NS algorithm runs in an unprotected environment,with its running process interfered,mature detectors and intermediate variables interpolated,and then detection results trustless.The composition and principle of natural immune system are simulated and then a trusted root based computer terminal immune model (TRBCTIM) is proposed,which introduces trusted root as “immune organ” from trusted computing technology to protect NS algorithm.Theory of non-interference trusted model is used to analyze the proposed model and the prototype system is constructed to test its performance.Theoretical analysis and experimental results show that the running processes and results of NS algorithm are trusted in the model.

Key words:artificial immune system;trusted computing;non-self detection;trusted platform control module;negative selection algorithm

作者簡介

DOI:電子學報URL:http://www.ejournal.org.cn10.3969/j.issn.0372-2112.2016.03.024

中圖分類號:TP309

文獻標識碼：A

文章編號：0372-2112 (2016)03-0653-05

基金項目:國家科技重大專項(No.2012ZX03002003)

收稿日期:2014-12-17;修回日期:2015-03-17;責任編輯:覃懷銀