基于人工免疫的分布式入侵检测模型

  • 格式:pdf
  • 大小:992.47 KB
  • 文档页数:5

Journal of Computer Applications 计算机应用,2014,34(1):86—89,94 ISSN 10o1—9081 CODEN JYIIDU 2014..O1..10 http://www.joea.cn 文章编号:1001—9081(2014)O1.0086—04 doi:10.11772/j.issn.1001—9081.2014.O1.0086 基于人工免疫的分布式入侵检测模型 程建 ,张明清,刘小虎,范 涛 (信息工程大学密码工程学院,郑州450001) ( 通信作者电子邮箱chengjian2650@163.com) 摘要:针对现有分布式入侵检测系统交互流量大、单点失效及检测效率偏低的问题,基于人工免疫理论建立了 一种新的分布式入侵检测模型,并提出了一种中心检测器配置及使用方法,并将异常检测与误用检测相结合。基于 OMNeT++网络仿真平台设计了仿真模型,进行了仿真实验。仿真实验结果表明,改进模型交互流量明显减小,检测 效率明显提高并有效解决了单点失效问题。仿真结果证明了改进模型的正确性与有效性。 关键词:入侵检测;分布式;人工免疫系统;阴性选择;分布式拒绝服务攻击 中图分类号:TP393.0 文献标志码:A Distributed intrusion detection model based on artificial immune CHENG Jian’,ZHANG Mingqing,UU Xiaohu,FAN Tao (Institute of Cipher Engineering,Information Engineering University,Zhengzhou Henan 450001,China) Abstract:Concerning the problem of excessive interaction flow,single point failure and low detection efficiency in existing Distributed Intrusion Detection System(DIDS),a new distributed intrusion detection model based on artificial immune theory Was proposed.The new distributed intrusion detection model presented a central detector configuration and method of use and combined misuse detection and anomaly detection.The simulation model Was designed based on OMNeT++network simulation platform and experiments were run.According to the simulation results,the model overcomes excessive interaction flow problem of the fully distributed system,solves the problem of single point failure and improves the detection efficiency effectively.The simulation results verify the validity and effectiveness of the improved mode1. Key words:intrusion detection;distributed;Artificial Immune System(AIS);negative selection;Distributed Denial of Service f DDoS) 0 引言 人工免疫系统(Artificial Immune System,AIS)是基于生 物免疫系统相关机制和理论而发展的各种人工范例的统 称…。随着网络规模的日益增大,分布式拒绝服务攻击 (Distributed Denim of Service,DDoS)成为拒绝服务攻击的主 流形式。由于DDoS攻击源的多样性,单点检测方法已经无 法对其进行有效检测。目前检测DDoS常用的方法是基于人 工免疫的分布式入侵检测。分布式入侵检测系统主要有三种 体系结构:集中式协同检测、层次化协同检测与完全分布式协 同检测 白媛 】】 提出了一种集中式协同检测方法,检测系统 分为数据收集和分析模块,数据收集模块分布于网络中,将收 集的相关数据发送到中央分析模块,由分析模块进行入侵判 断;该系统有效提高了检测DDoS的能力,但中央节点容易成 为处理瓶颈,存在单点失效问题。秦晓明 提出了一种 完全分布式入侵检测结构,每一节点均具有检测入侵功能,节 点之间通过交互以获得相应知识,进行协同检测;其有效解决 了单点失效问题,但由于各节点之间交互流量十分巨大,对系 统与主机性能造成严重影响。唐俊 采用阴性选择算法设 计了一种网络入侵检测算法,但其没有考虑成熟检测器的进 化与退化,系统性能会随着时间的增加而降低。陈岳兵 提 出一种用于入侵检测的统一人工免疫系统原型,其具有开放 性和适应性,试图将所有人工免疫相关理论囊括其中,但未对 其具体使用进行说明,实现难度较大。伍媛媛 采用人工 免疫中阴性选择算法进行检测,能够检测出未知攻击,但由于 检测器数量过多导致检测效率较低。 综上可知目前基于人工免疫的分布式入侵检测存在检测 流量过大、单点失效及检测效率偏低等问题。针对上述问题, 本文提出了一种基于人工免疫的分布式入侵检测模型,给出 了相关模型框架与各模块功能;提出了一种检测中心模块配 置及使用方法并将异常检测与误用检测相结合。最后采用网 络仿真工具OMNeT++进行了仿真模型的设计与实验。 1 人工免疫与入侵检测概述 本文主要采用人工免疫理论中否定选择算法来构建一分 布式入侵检测模型,以克服传统分布式人侵检测系统的不足, 对人工免疫理论中的一些具体细节、算法不作改进。本文所 涉及的概念及算法如下。 收稿日期:2013.07—08:修回日期:2013—09—12。 作者简介:程建(1990一),男,河南安阳人,硕士研究生,CCF会员,主要研究方向:基于人工免疫的入侵检测及其建模仿真; 张明清 (1961一),男,湖北孝感人,副教授,主要研究方向:系统建模与仿真;刘小虎(1989一),男,河南太康人,硕士研究生,主要研究方向:网络安全 建模仿真;范涛(1990一),男,安徽安庆人,硕士研究生,主要研究方向:网络安全信任机制建模仿真。

 第1期 程建等:基于人工免疫的分布式入侵检测模型 87 1.1否定选择算法 否定选择算法最初指学者Forrest提出的算法 ,目前指 一类基于否定选择机制及模型的算法。否定选择算法的组成 主要包括数据空间表示、检测器表示、匹配规则、检测器生成 机制等。每种机制均有多种算法。本文采用算法如下:数据 空间与检测器表示采用二进制字符串,匹配规则采用r连续 位匹配,检测器生成采用随机生成方式。 1.2连续位匹配算法 r连续位匹配算法采用固定长度的二进制字符串,其定义 如下: 给定抗原 =X1 2… 和抗体d=d d:…d ,M表示匹 配,则匹配算法 为: dMx E i≤n—r+1, = ; =1,2,…,i,i+r一1 (1) 即:如果两个字符串存在所有位都一样的长度为r或r以上的 序列,则其匹配。 2基于人工免疫的分布式入侵检测模型 本节采用人工免疫理论中经典的否定选择算法设计了一 分布式入侵检测模型,并从模型框架、模型功能和相应问题解 决机制三个方面进行说明。 2.1模型框架 模型框架如图1所示。 边界防火墙 网络流量 筒 …… t ……{I 豳 l t … i… ’ iJtl ̄,器 调度器 IDS检测中心 网络流量l r :二:二:主:二:二: l l转换器 l二=[二 =口规则库 I l工 蓟撼 主机1…主机n 检测传感器 图1 分布式入侵检测模型框架 模型框架主要包括两个模块:IDS(Intrusion Detection System)检测中心和检测传感器。IDS检测中心位于网络中心 路由器处,检测传感器则位于边界路由器处。检测传感器负 责检测相应流量并上报相应信息,中心处理模块负责处理分 析上报信息。 2.2模块功能 2.2.1 IDS检测中心 IDS检测中心由训练模块(包括转换器与训练器)和检测 模块(包括调度器与分析器)组成。 1)转换器。 模型中检测器均由二进制表示,因而需要对真实网络数 据包进行格式转换。为对数据包进行操作需要将其信息转换 为二进制字符串。对于不同攻击类型的检测所需收集的数据 也不尽相同,本文仅考虑分布式拒绝服务(Distributed Denial of Service,DDoS)攻击。这些信息包括:目的IP地址、源IP 地址、目的端口号、持续时间、协议和源端口号。它们由数据 包中提取并转化为112比特二进制。数据包相应属性如表1 所示。 表1数据包属性 2)训练器。 当把训练数据即正常网络数据转换为二进制后,将其传 输至训练器用于训练初始检测器,也即免疫耐受,采用免疫理 论中阴性选择算法进行。成功通过训练的检测器成为成熟检 测器,通过调度模块进行分配。初始检测器生成采用随机算 法。检测器生成流程” 如图2所示。 

图2检测器生成 检测器结构如下所示: l检测器ID I检测器生存时间l匹配字符串l 3)调度器。 成功通过训练器的检测器称为成熟检测器。其由调度器 分配到检测传感器模块。根据检测器集或规则的变动,调度 器会将相应变化同步至各传感器。 4)分析器。 当传感器中检测器检测到可疑包时,其将相关信息发送 到IDS检测中心进行分析。如果符合相应规则分析检测器会 产生入侵信息并发出警报,同时分析器将相应信息发送给防 火墙,防火墙会对相应包进行过滤。分析规则与具体检测攻 击类型有关,例如规定来自某一IP地址的半连接数超过50 则视为该IP正在进行攻击,则分析器取某一时间间隔内所收 集可疑包并根据IP地址对其进行数量统计。 2.2.2检测传感器 检测传感器包括检测器集、规则库与转换器。 1)检测器集。 检测器集由成功通过训练的成熟检测器组成。如果任一 检测器与任一包匹配,则生成相应消息并上报给IDS检测中 心。消息结构如下所示: I传感器ID l检测器ID l数据包l 系统开始运行后,检测器中检测器生存时间开始计时,每 当检测器成功与网络数据匹配时,检测器生存时问重置为初 始值。当某一检测器在生存时间内没有有效检测入侵时,则 由调度器将其删除。

 计算机应用 第34卷 获的能力,提高网络的健壮性。 4 结语 本文提出了一种基于区域的WSN混合密钥管理方案,充 分利用了对称和非对称密钥管理的优势。通过M节点和H 节点进行优势互补,区域内通过多项式建立密钥,而区域问的 H节点仅通过二次型对角化矩阵建立共享密钥,之后用高效 的对称加密解密协议进行数据通信。与现有密钥管理方案相 比,该方案在连通性、通信开销、存储消耗、计算开销方面均有 较大改进。 参考文献: 【1] AKYILDIZ I F,SU W,S Y,et a1.A survey on sensor networks [J].IEEE Communications Magazine,2002,40(8):102~1 14. 【2】 ROMAN R,ALCARAZ C.Applieability of public key infrastmc— tnre8 in wireless sensor networks[MI//Public Key Infrastructure. Berlin:Springer-Verlag,2007:313—320. [3】 ESCHENAUER L,GLIGOR V D.A key—management scheme for distributed sensor networks[C 1//Proceedings of the 9th ACM Con. ference on Computer and Communications Security.New York: ACM Press,2002:41—47. 【4l CHAN H,PERRIG A,SONG D.Random key predistribution schemes for sensor networks[C】//Proceedings of the 2003 IEEE Security and Privacy.Washington,DC:IEEE Computer Society, 20o3:l97—2l3. [5l BLOM R.An optimal class of symmetric key generation systems 【C】//Proceedings of the EUROCRYPT 1984 Workshop on Ad— vances in Cryptology:Theory and Application of Cryptographic Techniques.New York:ACM Press,1985:335—338. [61 DU W,DENG J,HAN Y S,et a1.A pairwise key predistribution scheme for wireless sensor networks[J1.ACM Transactions on Infor- marion and System Security,2005,8(2):228—258. 【71 LIU D,N1NG P,LI R.Establishing pairwise keys in distributed sensor networks[J】.ACM Transactions on Information and System Security,2005,8(1):41—77. [8]DU W,DENG J,HAN Y S,et a1.A key management 842heine for wireless sensor networks using deployment knowledge[C】//INFO・ COM 2004:Proceedings of the Twenty—third Annum Joint Confer- ence of the IEEE Computer and Communications Societies.Piseat— away,NJ:IEEE Press,2004:586—597. [9】 YU Z,GUAN Y.A key management scheme using deployment knowledge for wireless sensor networks【J】.IEEE Transactions on Parallel and Distributed Systems,2008,19(10):141 1—1425. (10] WANG X G,SHI W R,ZHOU W,et a1.A key management scheme based on quadratic form f0r wireless sensor network【J】. Acta Electroniea Sinica,2013,41(2):214—219.(王小刚,石为 人,周伟,等.一种基于二次型的无线传感器网络密钥管理方 案[JI.电子学报,2013,41(2):214—219.) [1 1】 JADI IWALA M,ZHONG S,UPADHYAYA S J,et a1.Secure distance—based localization in the presence of cheating beacon nodes【J】.IEEE Transactions 0n Mobile Computing,2010,9(6): 810—823. [1 2] ZHU W T.Node replication attacks in wireless sensor networkst bypassing the neigIlbor—based detection scheme【C】//Proceedings of the IEEE 201 l International Conference on Network Computing and Information Security.Piscataway,NJ:IEEE Press,201 1:156 —160. [13] RAHMAN M,SAMPALLI S,HUSSAIN S.A robust pair-wise and group key management protocol for wireless sensor network【C】// Proceedings of the IEEE 2010 GI OBECOM Workshops.Piscat— away,NJ:IEEE Press,2010:1528—1532. [14] SHEN B,ZHANG S Y,ZHONG Y P.Cluster-based muting proto- eols for wireless sensor networks[J].Joumal of Software,2006,17 (7):1588—1600.(沈波,张世永,钟亦平.无线传感器网络分 簇路由协议[J].软件学报,2006,17(7):1588—1600.) (上接第89页) 【3】 BAI Y.Research of the key techniques of intrusion detection and protection for distributed networks[D】.Beijing:Beijing University of Posts and Telecommunications,2010.(白媛.分布式网络入侵检 测防御关键技术研究[D】.北京:北京邮电大学,2010.) 【4】 QIN X M.Research of hierarchical distributed intrusion detection system[D】.Xi’an:Xidian University,2009.(秦晓明.层次化的分 布式入侵检测系统研究【D】.西安:西安电子科技大学,2009.) 【5】TANG J,ZHAO X J.r—variable matching algorithm used for IDS [J】.Application Research of Computers,2010,27(2):745—747. (唐俊,赵晓娟.一种用于入侵检测系统的可变r匹配算法【j]. 计算机应用研究,2010,27(2):745—747.) [6】 CHEN Y B.Study on artificial immune system for intrusion detection 【D].Changsha:National University of Defense Technology,201 1. (陈岳兵.面向入侵检测的人工免疫系统研究【D】.长沙:国防科 学技术大学,2011.) 【7】 WU Y Y,ZENG A G.Intrusion detection based on artificial im— mune classifier[J】.1ntelligent Computer and Applications,2013,3 (1):75—78.(伍媛嫒,曾爱国.基于人工免疫分类器的入侵检 测方法f J].智能计算机与应用,2013,3(1):75—78.) 【8】HOFMEYR S A,FORREST S A.Architecture for an artificial im- mune system【J】.Evoloutionary Computation Journal,2000,8(4): 【9] [10】 [12] 【l3] 443—4 73. J1N Z Z,LIAO M H,XIAO G.Survey of negative selection algo— rithms【J】.Journal on Communications,2013,34(1):159—170. (金章赞,廖明宏,肖刚.否定选择算法综述[J].通信学报,2013, 34(1):159—170.) WANGH,Yu L J,BIx et a1.Adjustablefuzzymatching nega— tive selection algorithm with vaccine operator【J】.Journal of Harbin Institute of Technology,2011,43(6):141—144.(王辉,于立君, 毕晓君,等.具有疫苗算子的可变模糊匹配阴性选择算法【J]. 哈尔滨工业大学学报,201 1,43(6):141—144.) DASGUPTA D,YU S,NINO F.Recent advances in artificial im— mune systems:models and applications【J】.Applied Soft Compu・ ting,2011,11(2):1574—1587. YANG G X.Research of simulation system for wireless sensor net— works based on OMNeT++【D].Jinan:Shandong Normal Univer- sity,2012.(杨光旭.基于OMNeT++平台的无线传感器网络仿 真系统研究【D】.济南:山东师范大学,2012.) ZHU X S.Study and application of OMNeT++simulation platform f J】.Journal of Dalian Polytechnic University,2010,29(1):62— 65.(朱晓姝.OMNeT++仿真工具的研究与应用[J】.大连工业 大学学报,2010,29(1):62—65.)