專利名稱:網(wǎng)絡安全風險檢測系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡安全風險檢測技術(shù)���,屬于信息安全領(lǐng)域。
背景技術(shù):
傳統(tǒng)的網(wǎng)絡安全技術(shù)(如防火墻等)主要基于被動防御����,對系統(tǒng)正在遭受的攻擊缺乏實時的網(wǎng)絡安全風險評估,因而也就不能有針對性地主動依據(jù)當前網(wǎng)絡遭受攻擊的強度和風險等級等情況實時調(diào)整自己的防御策略�����。實時的網(wǎng)絡安全風險檢測對積極的網(wǎng)絡安全技術(shù)具有重要的意義�����。傳統(tǒng)的網(wǎng)絡安全評估手段主要包括對IDS取樣分析、人工評估及其安全審計等方法����,這些方法缺乏實時性,不能定量計算�,具有很大的局限性。
中國專利公開號為CN1412714A的申請案�,通過模擬黑客攻擊的方法,對被檢系統(tǒng)進行安全漏洞和隱患掃描���,提交風險評估報告,并提出相應調(diào)整措施����。該方法只能在黑客攻擊之前對網(wǎng)絡安全進行風險評估,不能在黑客攻擊的時候進行實時的網(wǎng)絡安全風險評估�����,并且不能檢測已有攻擊的變種����,適應能力較差��。
發(fā)明內(nèi)容
本發(fā)明提出一種實時的網(wǎng)絡安全風險檢測系統(tǒng)及方法���,能夠?qū)W(wǎng)絡安全進行實時的、定量的風險評估���,并且在對網(wǎng)絡檢測和監(jiān)控時����,能夠自我學習�����,及時發(fā)現(xiàn)新的網(wǎng)絡攻擊模式�。
本發(fā)明依據(jù)人體免疫系統(tǒng)中抗體濃度的變化與病原體入侵強度的對應關(guān)系提出的。
本發(fā)明所述的網(wǎng)絡安全風險檢測系統(tǒng)由入侵檢測模塊����,對主機的風險評估模塊,對網(wǎng)絡的風險評估模塊組成�。與人體免疫系統(tǒng)相對應,系統(tǒng)中定義抗原為要檢測的網(wǎng)絡活動�,自體為正常網(wǎng)絡活動,非自體為異常網(wǎng)絡活動��。系統(tǒng)中還定義了免疫細胞,免疫細胞為對網(wǎng)絡活動進行實時檢測的功能模塊��,抗體(用來檢測抗原的檢測器)存在于免疫細胞中�����,用于檢測抗原���。免疫細胞分為記憶免疫細胞和成熟免疫細胞�����,成熟免疫細胞是還沒被抗原激活的免疫細胞(在一定的時間內(nèi)未匹配到指定數(shù)目的抗原)��,記憶免疫細胞是由被激活的成熟免疫細胞進化而來的����。系統(tǒng)運行過程中��,免疫細胞對由抗原提呈(對網(wǎng)絡活動進行特征提取)得到的抗原(網(wǎng)絡活動特征)進行檢測����。免疫細胞受抗原刺激(與抗原匹配)且累計足夠的親和力(匹配數(shù)超過給定的閾值)��,該細胞將會被克隆(產(chǎn)生更多類似的免疫細胞以對付更猛烈的攻擊),同時該細胞相應的抗體濃度將會提高�,免疫細胞持續(xù)被激活(遭到連續(xù)的攻擊),則其抗體濃度將會持續(xù)地增加����。免疫細胞抗體濃度將在一個保持周期內(nèi)保持,若在抗體濃度保持周期內(nèi)未被激活�����,則相應抗體濃度將會衰減至0�����,這樣可根據(jù)記憶免疫細胞的抗體濃度對網(wǎng)絡安全風險進行評估�����。
在詳細說明之前�����,首先定義系統(tǒng)中使用的一些名詞�����、符號以及一些公式(1)抗原集合設抗原集合Ag={<a,b>|a∈D∧b∈ψ∧|a|=l∧a=APCs(b)}����,其中集合D={0,1}l�����,l為常自然數(shù)��,集合ψ為網(wǎng)上傳輸?shù)腎P包集合�����,APCs(b)類似免疫系統(tǒng)中的抗原提呈�,對IP包b進行特征提取提取長度為l的二進制串(主要由源、目的IP地址�、端口號、協(xié)議類型�、協(xié)議狀態(tài)等網(wǎng)絡事務特征的二進制串組成)作為原始IP包的抗原決定基(特征值)。
(2)自體與非自體集合自體集合SelfAg�����,非自體集合NoselfAg��。有self∪Noself=Ag�,Self∩Noself=Φ。對任意的元素x∈Ag��,定義自體的屬于運算符∈APCs及 如下 (3)免疫細胞集合定義免疫細胞集合B={<d�,p,age�,count>|d∈D,p∈R�,age,count∈N}�����,其中d為抗體�,p為抗體濃度,age為抗體年齡����,count為抗體匹配到的抗原數(shù)目,R為實數(shù)集���,N為自然數(shù)集���。免疫細胞又分為成熟免疫細胞Tb和記憶免疫細胞Mb�,即B=Mb∪Tb���,且Mb∩Tb=Φ���。
(4)親和力(affinity)計算函數(shù)fr_con(x,y)建議采用r連續(xù)位(r-contiguous bits)匹配函數(shù)���,計算公式見公式(2) 另外����,親和力計算函數(shù)也可采用其他函數(shù)��,例如海明距離��、歐拉距離等計算函數(shù)���。
(5)未成熟免疫細胞集合定義未成熟免疫細胞集合Ib={<d����,age>|d∈D���,age∈N)�。
(6)抗體基因庫定義抗體基因庫AgdD�����,抗體基因庫主要用于骨髓模型中生成新的未成熟免疫細胞的抗體基因���。
(7)定義記憶免疫細胞Mb中的Consanguinity關(guān)系
Consanguinity={<x�,y>|x�,y∈Mb∧fr_con(x.d,y.d)=1}(3)(8)血親類和最大血親類設任意的集合XMb�����,對任意的x��,y∈X����,都有<x,y>∈Consanguinity���,稱X為由Consanguinity產(chǎn)生的血親類����。另外,若X為由Consanguinity產(chǎn)生的血親類����,且Mb-X中的任何元素均不與X中的元素存在關(guān)系Consanguinity,則稱X為最大血親類����。
(9)最大血親類系設π={A1,A2�,...,An}����,Mb1=Mb,]]> 令Mb′中的所有最大血親類集合為πi={X1i,X2i,...,Xki},]]>則Ai∈{x|x∈π′,|x|=max1≤t≤k(|Xt′|)},]]>即Al為Mb′中具有最多元素的任一最大血親類,并且 如此稱π為Mb中的最大血親類系��。
為了進一步說明本發(fā)明的原理及特征��,以下結(jié)合附圖進行詳細的說明�。
圖1為系統(tǒng)的體系結(jié)構(gòu)1顯示了整個系統(tǒng)在網(wǎng)絡中的分布(設被保護的網(wǎng)絡中共有K臺主機)入侵檢測模塊和對主機的風險評估模塊分布在整個網(wǎng)絡中的各個主機上,對網(wǎng)絡的風險評估模塊分布在風險評估中心服務器上�����。入侵檢測模塊對主機的網(wǎng)絡活動進行檢測,對主機的風險評估模塊根據(jù)主機上記憶免疫細胞的抗體濃度對主機進行風險評估��,對網(wǎng)絡的風險評估模塊根據(jù)整個網(wǎng)絡中記憶免疫細胞的抗體濃度對網(wǎng)絡進行風險評估�����。
圖2為入侵檢測模塊的工作流程圖網(wǎng)絡入侵檢測過程如下(1)從實際網(wǎng)絡數(shù)據(jù)流中�����,獲取IP數(shù)據(jù)包���,提取IP包的特征信息(如IP地址、端口號和協(xié)議等信息)�,構(gòu)成長度為l的二進制串,作為抗原定期放入集合Ag中���。
(2)將抗原集合Ag由記憶免疫細胞集合Mb進行檢測���,把被記憶免疫細胞檢測為非自體的抗原從Ag中刪除,如果記憶免疫細胞檢測到自體就從Mb中刪除���。
(3)將抗原集合Ag由成熟免疫細胞集合Tb進行檢測��,把被成熟免疫細胞檢測為非自體的抗原從Ag中刪除��,如果成熟免疫細胞在一定的周期內(nèi)檢測到一定數(shù)目的抗原就會被激活而加入到記憶免疫細胞集合Mb中����,如果成熟免疫細胞在一定的周期內(nèi)沒被激活或檢測到自體就從Mb中刪除。
(4)對未成熟免疫細胞進行耐受(刪除與自體集合匹配的細胞)����,如果未成熟免疫細胞耐受成功就會加入到成熟免疫細胞集合Tb中,否則就會死亡����。
(5)生成一定數(shù)目的未成熟免疫細胞加入到未成熟免疫細胞集合Ib中,新生的未成熟免疫細胞的抗體一般分為幾個部分一部分完全隨機產(chǎn)生(確?����?贵w的多樣性)��,另一部分抗體基因由抗體基因庫中的基因編碼而來��,編碼的方法可以采用遺傳算子等�����。
(6)返回(2)。
網(wǎng)絡入侵檢測過程中�,抗原集合變化的詳細過程由方程(4)-(9)描述。
AgNonself(t)={x|x∈Ag(t),∃y∈(Mclone(t)∪Tclone(t))]]> AgSelf(t)=Ag(t)-AgNonself(t) (7) 其中δ為抗原集合Ag的更新周期��,即每δ周期Ag全部由新的抗原取代����,Agnew為兩次抗原更新之間新收集的抗原,AgNonself(t)為t時刻被檢測出來的非自體抗原����。QAg(t)為t時刻與某一成熟免疫細胞匹配���、但未能使該免疫細胞累計到足夠的親和力的抗原�。fcheck(y��,x)(y∈B����,x∈Ag)模擬免疫細胞對抗原的分類作用若免疫細胞匹配了抗原,且抗原屬于Self(t-1)��,即檢測到一個曾經(jīng)是自體的抗原則返回2��;若匹配但不屬于Self(t-1),即檢測到一個非自體抗原則返回1�;若未匹配,則該抗原為已知的自體抗原����,返回0。fcostimulation模擬免疫系統(tǒng)的協(xié)同刺激����,指示當前抗原是否為自體抗原,外部信號可以是系統(tǒng)管理員的應答等���。
在真實網(wǎng)絡環(huán)境中�,由于安全漏洞的存在���,在網(wǎng)絡安全管理員補漏后����,過去被認為是正常的網(wǎng)絡活動會被禁止�。另外,隨著時間的推移�����,網(wǎng)絡管理員為了提供更好的服務,可能會開放更多的端口�����,提供更多的服務��,這就是說����,以前被禁止的網(wǎng)絡活動,現(xiàn)在被允許���。這里引入一個網(wǎng)絡正常活動(自體)隨時間動態(tài)演化的問題�����。一般地�����,對于t時刻的自體集合����,為上一個時刻的自體集合中去掉發(fā)生變異的元素��,同時加入t時刻新增的自體元素��,自體集合的動態(tài)變化可用方程(10)-(13)來描述�。
Selfnew(t)={y|y為t時刻新增加的自體串} (12)B(t)=Mb(t)∪Tb(t)���, t≥0(13)抗體基因庫主要用于生成新的未成熟免疫細胞抗體的基因�,抗體基因庫的演化情況可用方程(14)-(16)來描述���。
其中di∈D(i=1�����,...�,k)為初始的抗體基因庫�����,Agdnew(t)為t時刻免疫細胞初次應答時細胞克隆體的基因(首次檢測到一種新的攻擊)����,Agddead(t)為t時刻發(fā)生錯誤肯定的記憶免疫細胞(檢測到一個被證實為自體的抗原)基因��。Agdnew(t)作為優(yōu)勢遺傳基因?qū)⑵浼尤肟贵w基因庫����,以利于在生成新的抗體基因時有可能通過遺產(chǎn)算子等進化方法生成更優(yōu)秀的抗體基因��;而Agddead(t)則是隨著時間的推移已不能適應當前網(wǎng)絡需要的�、錯誤的、需淘汰的基因�����。
圖3為未成熟免疫細胞的自體耐受過程圖新生成的未成熟免疫細胞在給定的耐受期內(nèi)沒匹配到自體就轉(zhuǎn)變?yōu)槌墒烀庖呒毎?。如果未成熟免疫細胞在耐受期中匹配到了自體,就會死亡�。
方程(17)-(20)詳細描述了未成熟免疫細胞的耐受過程。
Imaturation(t)={x|x∈Itolerance(t)∧x.age>α} (19)Inew(t)={y1�����,y2���,...,yξ} (20)其中Itolerance(t)為對Self(t-1)經(jīng)歷一次耐受后剩下的免疫細胞����,α≥1(常數(shù))模擬耐受期���,Imaturation(t)為t時刻歷經(jīng)α個耐受期后成熟的免疫細胞。Inew(t)為t時刻產(chǎn)生的新的未成熟免疫細胞�����。
圖4為成熟免疫細胞檢測抗原的過程圖成熟免疫細胞檢測抗原的過程如下(1)成熟免疫細胞中的抗體和抗原進行匹配��,如果不匹配�,該抗原進入下一輪的檢測,否則轉(zhuǎn)(2)����。
(2)判斷匹配到的抗原是否屬于自體集合,如果屬于則轉(zhuǎn)(3)��,否則轉(zhuǎn)(4)�。
(3)如果經(jīng)過協(xié)同刺激確定該抗原為自體,則該成熟免疫細胞死亡同時該抗原進入下一輪的檢測����,否則轉(zhuǎn)(4)。
(4)刪除該抗原��。
(5)判斷該成熟免疫細胞的匹配數(shù)是否超過一定的閾值β,如果超過則對該成熟免疫細胞進行克隆��,將其轉(zhuǎn)化為記憶免疫細胞并發(fā)送到網(wǎng)絡中的其他主機����。
方程(21)-(32)詳細描述了成熟免疫細胞的檢測過程。
Tb′(t)=Tb″(t)-P(t)∪Tb(t) (22)Tb″(t)={y|y∈B∧(y.d=x.d�����,y.p=x.p����,y.age=x.age,y.count=x.count+1��,x∈P(t))}(23) Tb″(t)={y|y∈B∧(y.d=x.d��,y.p=x.p�����,y.age=x.age+1�����,(25)y.count=x.count���,x∈Tb(t-1))}Tnew(t)={y|y∈B∧(y.d=x.d��,y.p=0�,y.age=0��,y.count=0�����,x∈Imaturation(t))} (26) Tclone(t)={x|x∈Tb(t)��,x.count≥β}(28) 其中x′∈Tb��,xi′.d=fvariation(x)�����,xi′.p=0�,xi′.age=0,xi′.count=0
fvariation(x)=d′�,其中d′∈D,x.d≠d′���,fr_con(x.d����,d′)=1(31)Family(x)={y|y∈B(t-1)∧x≠y∧fr_con(x.d,y.d)=1} (32)其中Tnew(t)為t時刻從骨髓中新產(chǎn)生的成熟的免疫細胞���,Tclone_new(t)為細胞克隆新產(chǎn)生出的免疫細胞(歷經(jīng)變異�����、自體耐受過程�����,如方程27���、30所示),Tclone(t)為t時刻將要進化為記憶免疫細胞的細胞集合�����,Tdead(t)為t時刻由于在細胞生命周期內(nèi)(λ)未累計到足夠的親和力(β)而死亡的細胞��。
圖5為記憶免疫細胞檢測抗原的過程記憶免疫細胞檢測抗原的過程如下(1)記憶免疫細胞和抗原進行匹配,如果不匹配���,交給成熟免疫細胞匹配,否則轉(zhuǎn)(2)���。
(2)判斷匹配到的抗原是否屬于自體集合����,如果屬于則轉(zhuǎn)(3)��,否則轉(zhuǎn)(4)�。
(3)如果經(jīng)過協(xié)同刺激確定該抗原為自體,則該記憶免疫細胞死亡并把該抗原交給成熟免疫細胞檢測����,否則轉(zhuǎn)(4)。
(4)刪除該抗原�,對該記憶免疫細胞進行克隆并增加該記憶免疫細胞的抗體濃度。
方程(33)-(41)詳細描述了記憶免疫細胞的檢測過程��。
Mb′(t)=Mb″(t)∪Mclone′(t) (34) y.age=x.age+1��,y.count=x.count��,x∈Mb(t-1)-Mclone(t))} Mclone′(t)={x|x∈Mb∧y∈Mclone(t)∧(x.d=y(tǒng).d��,(37)x.p=η+y.p,x.age=0�,x.count=y(tǒng).count+1} Mnew(t)={x|x∈Mb∧y∈Tclone(t)∧(x.d=y(tǒng).d,x.p=η��,x.age=0����,x.count=y(tǒng).count)} (39)Tother_machine_clone(t)={x|x∈Mb∧y∈T′other_machine_clone(t)(40)∧(x.d=y(tǒng).d,x.p=0�����,x.age=0�,x.count=0)}
其中K為當前網(wǎng)絡中的主機數(shù)(41)k為本機的編號,Tcloneii(t)為第i臺主機的Tclone(t)其中Mnew(t)為新產(chǎn)生的記憶免疫細胞���,Mdead(t)為匹配了一個被證實為自體的抗原的記憶免疫細胞�。T′other_machine_clone(t)為t時刻網(wǎng)絡中其他機器的計算機免疫系統(tǒng)中t時刻成熟免疫細胞克隆體集合(不含記憶免疫細胞的克隆)��,當成熟免疫細胞遇抗原產(chǎn)生克隆時(檢測到一個新的網(wǎng)絡攻擊)�����,將該細胞克隆同時發(fā)送到網(wǎng)絡中所有其他機器上,以迅速使其他機器具備抵御類似抗原攻擊的能力��,Tother_machine_clone(t)模擬了從其他機器上接受疫苗的過程(類似種痘)����。η(>0)為常數(shù)。λ′為記憶免疫細胞抗體濃度的保持周期�,即如果該記憶免疫細胞在λ′周期內(nèi)未再次克隆���,則其相應的抗體濃度將衰減直至0�。
圖6為對主機的風險評估模塊流程圖對主機k(1≤k≤K)的風險評估過程如下(1)計算主機在t時刻記憶免疫細胞集合Mb(t)的最大血親類系π(t)={A1(t)����,A2(t),…��,An(t)}���,即對記憶免疫細胞進行分類���。
(2)主機已經(jīng)遭受了n類攻擊,任取Ai(t)中的任一元素的抗體Aigene(t)作為第i類攻擊的特征���,i=1���,2��,...��,n�。
(3)對每一類攻擊計算attacki=αi·Σx∈Ai(t)x.p,]]>其中i=1�,2,...�,n,αi(0≤αi≤1)表明主機中第i類攻擊Aigene(t)的危險性�。
(4)根據(jù)attacki的值具體評估主機k在t時刻面臨第i類攻擊的風險大小。
(5)根據(jù) 的值具體評估主機k在t時刻面臨所有攻擊的風險的大小��。
圖7為對網(wǎng)絡的風險評估模塊流程圖對整個網(wǎng)絡的風險評估過程如下(1)計算整個網(wǎng)絡在t時刻的記憶免疫細胞集合 中的最大血親類系∏(t)={C1(t)���,C2(t)���,...,Cm(t)}��,即對免疫細胞進行分類�����,Mbk(t)為主機k在t時刻的記憶免疫細胞集合,(2)整個網(wǎng)絡已經(jīng)遭受了m類攻擊�����,任取Ci(t)中的任一元素的抗體Cigene(t)作為第i類攻擊的特征�����,i=1���,2,...��,m�。
(3)對每一類攻擊計算attacki=αi·Σx∈Ci(t)(x.p·Σβkk∈{j|1≤j≤K,x∈Mb′(t)}),]]>其中i=1,2����,...,m��,αl(0≤αl≤1)表明網(wǎng)絡中第i類攻擊Gigene(t)的危險性����,βk(0≤βk≤1)為主機k在網(wǎng)絡中的重要性���。
(4)根據(jù)attacki的值具體評估整個網(wǎng)絡在t時刻面臨第i類攻擊的風險的大小。
(5)根據(jù) 的值具體評估整個網(wǎng)絡在t時刻面臨所有攻擊的風險的大小���。
權(quán)利要求
1.網(wǎng)絡安全風險檢測系統(tǒng)及方法�����,其特征在于基于免疫的網(wǎng)絡監(jiān)控的步驟���;對主機的風險評估的步驟;對網(wǎng)絡的風險評估的步驟�����。
2.權(quán)利要求1所述的網(wǎng)絡安全風險檢測系統(tǒng)及方法���,其特征在于基于免疫的網(wǎng)絡監(jiān)控的步驟包括以下步驟對網(wǎng)絡活動進行抗原提呈(特征提取)的步驟���;抗原集合動態(tài)演化的步驟;自體集合動態(tài)演化的步驟���;抗體基因庫的演化的步驟��;記憶免疫細胞檢測抗原的步驟��;成熟免疫細胞檢測抗原的步驟���;未成熟免疫細胞自體耐受的步驟�����;免疫細胞克隆的步驟�����;免疫細胞抗體濃度變化的步驟��。
3.權(quán)利要求2所述的基于免疫的網(wǎng)絡監(jiān)控的步驟,其特征在于免疫細胞克隆的步驟包括以下步驟成熟免疫細胞在給定時間內(nèi)檢測到一定數(shù)目的抗原進行克隆的步驟���;成熟免疫細胞克隆時將其發(fā)送到網(wǎng)絡中的其他主機中作為其他主機中的記憶免疫細胞的步驟��;記憶免疫細胞檢測到抗原進行克隆的步驟�����;克隆的免疫細胞經(jīng)過變異和自體耐受的步驟����。
4.權(quán)利要求2所述的基于免疫的網(wǎng)絡監(jiān)控的步驟,其特征在于免疫細胞抗體濃度變化的步驟包括以下步驟成熟免疫細胞抗體濃度為0的步驟�����;成熟免疫細胞克隆時���,提高抗體濃度的步驟�����;記憶免疫細胞在一定的周期內(nèi)再次檢測到抗原時���,其抗體濃度持續(xù)增加的步驟;記憶免疫細胞在一定的周期內(nèi)未再次檢測到抗原時���,其抗體濃度進行衰減的步驟���。
5.權(quán)利要求1所述的網(wǎng)絡安全風險檢測系統(tǒng)及方法,其特征在于對主機的風險評估的步驟包括以下步驟根據(jù)最大血親類系的方法對主機上的記憶免疫細胞進行分類的步驟�;根據(jù)每類記憶免疫細胞判斷主機已經(jīng)遭受的攻擊類型及特征的步驟�����;根據(jù)每類記憶免疫細胞抗體濃度評估主機面臨相應攻擊的風險的步驟��;根據(jù)主機上所有的記憶免疫細胞抗體濃度評估主機面臨的整體風險的步驟���。
6.權(quán)利要求1所述的網(wǎng)絡安全風險檢測系統(tǒng)及方法,其特征在于對網(wǎng)絡的風險評估的步驟包括以下步驟根據(jù)最大血親類系的方法對網(wǎng)絡中的記憶免疫細胞進行分類的步驟�����;根據(jù)每類記憶免疫細胞判斷網(wǎng)絡已經(jīng)遭受的攻擊類型及特征的步驟����;根據(jù)每類記憶免疫細胞抗體濃度評估網(wǎng)絡面臨相應攻擊的風險的步驟;根據(jù)網(wǎng)絡中所有的記憶免疫細胞抗體濃度評估網(wǎng)絡面臨的整體風險的步驟�����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡安全風險檢測系統(tǒng)及方法��,屬于信息安全領(lǐng)域�����。本發(fā)明模擬人體免疫系統(tǒng)中免疫細胞的功能�,對大規(guī)模網(wǎng)絡活動進行實時監(jiān)控,并且根據(jù)免疫細胞的抗體濃度對主機面臨某種攻擊的風險����、主機面臨的整體風險、整個網(wǎng)絡面臨某種攻擊的風險以及整個網(wǎng)絡面臨的整體風險進行評估�����。本發(fā)明可對網(wǎng)絡安全進行實時的�����、定量的風險評估��,并且在對網(wǎng)絡檢測和監(jiān)控時能自我學習�,及時發(fā)現(xiàn)新的網(wǎng)絡攻擊模式,具有廣闊的應用前景����。
文檔編號H04L12/24GK1567853SQ200410022160
公開日2005年1月19日 申請日期2004年3月29日 優(yōu)先權(quán)日2004年3月29日
發(fā)明者李濤 申請人:四川大學