IDS专题--新思维：基于免疫学的IDS

NSRC核心成员 鲍秋吉

　　生物体的免疫系统负责抵御外部病原的入侵。作为一个信息处理系统，免疫系统具有以下特征：
　　1.Self/Nonself识别：识别系统中正常/非正常模式；
　　2.噪声容忍（非完美匹配）：能够在噪声环境中进行识别；
　　3.分布式结构：使系统具有很好的鲁棒性；
　　4.增强学习：免疫系统具有学习能力；
　　5.免疫记忆能力--有助于免疫系统加速二次免疫应答。

　　计算机学者研究了免疫系统的这些有用特性，应用其解决一系列的实际问题，包括病毒检测、故障诊断、抵赖防止和网络安全。在所有的应用领域中，入侵检测是其中最活跃的研究领域。
　　生物体免疫系统最基本的功能是Self/Nonself识别能力。机体连续不断地产生称作抗体的检测器细胞，并且将其分布到整个机体中。这些分布式的抗原监视所有的活性细胞，试图检测出入侵机体的Nonself细胞，也就是抗原。

　　然而，新生成的抗体不仅能检测出入侵抗原，而且有可能绑定自身的Self细胞，发生自免疫反应。为了避免这种灾难性后果，机体实现了负选择过程。在抗体生成时，机体消除那些绑定Self细胞的不成熟抗体。对于所有新生成的抗体，只有那些不绑定任何Self细胞的抗体才能够成为有效的检测器细胞，分布到机体各部分，行使检测功能。

　　将免疫学应用于入侵检测需要三个步骤：定义Self、生成检测器和监视入侵。在第一个阶段，定义系统正常模式为Self。在第二阶段，根据前面生成的Self模式生成一定数目的随机模式（抗原），如果随机生成的模式匹配了任何Self模式，则该随机模式将不能成为检测器。在监视阶段，如果检测器匹配任何新出现的模式，则被匹配的模式反应了系统可能正在被入侵。此时，系统可以采取自动反应措施，也可以报警。

　　如果借鉴免疫系统中更复杂的机制，就可以在检测器生成阶段和入侵监视阶段使检测器进化，提高检测器的生成效率以及检测效率，这就需要采用遗传算法。

IDS如何分类？

　　当前的IDS系统可以分为基于主机分析和基于网络数据包分析两种基本方式。

基于主机的IDS
　　基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。基于主机的IDS通常采用查看针对可疑行为的审计记录来执行。它能够比较新的记录条目与攻击特征，并检查不应该改变的系统文件的校验和分析系统是否被侵入或者被攻击。

基于网络的IDS
　　基于网络的IDS主要用于实时监控网络关键路径的信息。它可利用工作在混合模式下的网卡实时监视和分析所有通过共享网络的传输。基于网络的IDS一般被放置在比较重要的网段内，部分也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到，响应模块按照配置对攻击做出反应。通常这些反应包括发送电子邮件、寻呼、记录日志、切断网络连接等。
两者互为补充

　　两种入侵检测系统都具有自己的优点和不足，互相可作为补充。基于主机的入侵检测系统可以精确地判断入侵事件，可对入侵事件立即进行反应，还可针对不同操作系统的特点判断应用层的入侵事件; 其缺点是会占用主机宝贵的资源。

　　基于网络的入侵检测系统只能监视经过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防入侵欺骗的能力也比较差; 但是它可以提供实时网络监视，并且监视力度更细致。

<<上一页　　下一页>>