计算机安全行为防范模型

　　摘要：基于人工免疫的计算机信息安全策略，以行为防范为主要目的，提出行为防范安全模型，有效抵制入侵行为和病毒等侵害，解决计算机领域内诸多的安全问题．变病毒库为行为库，通过行为模式控制，避免大量病毒库的频繁升级工作；利用自适应免疫，改变原来只能检测已知攻击，不能防范未知攻击的弱点，最终实现信息安全．

　　关键词：计算机安全；行为模式；信息安全；自适应免疫

　　互联网的广泛应用和“黑帽子”活动的猖獗，信息安全已经成为十分紧迫的问题．当前安全技术虽然使用了防火墙、防病毒软件、加密、认证和入侵检测等手段，但仍然停留在被动防御上，不能有效防御日趋变化的安全问题．如何建立有效的网络安全屏障，一直是学术界研究的热点．由于计算机网络系统与生命系统在运行机理上具有相似性，建立基于生物免疫系统原理的计算机安全系统，自然引起人们的注意．生物免疫系统能保护生物自身免受外来病原体的侵害，具有多样性、免疫记忆、自适应、自学习和鲁棒性等特点，这些特点激发了人们构造人工免疫系统机制的想法．1974年，丹麦学者Jerne提出了人工免疫系统的第一个数学模型，此后许多学者根据生物免疫原理，模拟生物的免疫机理，提出了各种基于人体免疫原理的计算机安全模型，以解决计算机领域内诸多的安全问题．本文从黑客们的行为人手，基于人工免疫机理，提出行为防范安全模型，通过行为模式控制，实现最终目的信息安全．

　　1.人工免疫原理人工免疫系统是围绕着防御而展开，基于生物免疫系统特性的启发而设计的各种工程应用方法的总称．可以将免疫细胞简单地分为抗原(antigen)和抗体(antibody)，产生病原的外来细胞称为抗原，能够识别和杀死抗原的细胞称为抗体．人体免疫有2道天然防线．皮肤和黏膜作为第一道防线，皮肤阻挡病原体的入侵，黏膜指汗腺和皮脂腺，汗腺排泄出乳酸对病原体生长不利，皮脂腺分泌出脂肪酸有一定的杀菌作用．免疫细胞作为第二道防线，它们像巡逻兵一样分布在人体中，监视和消灭入侵的细菌．当首次遇到抗原时，在识别结束，会将最优的抗体作为记忆信息．在以后遇到匹配时，会迅速作出免疫应答，产生大量的抗体，抵制外来入侵．计算机系统的安全问题与生物免疫系统所遇到的问题很相似，二者都是在不断变化的环境中维持系统的稳定性．生物免疫系统所具有良好的记忆、耐受、分布式并行处理、自组织、自学习等特性逐步成为计算机工作者的研究课题．近几年来，Forrest．Dasgupta和Kin等学者将人体免疫系统的一些免疫机制应用到计算机安全研究中，形成计算机人工免疫系统(artificial immunity system，AIS)，开辟了计算机信息安全研究的新局面．

　　2.行为防范安全模型计算机安全策略主要是检测未授权的用户、外来用户、误用和侵害系统．目前国内外人工免疫模型的检测方法，主要从定义入侵模式开始，将采样模式与入侵模式比对进行检测，缺乏多样性和自适应性，只能检测已知攻击，不能防范未知攻击．当计算机病毒发展和变异、黑客攻击手段不断翻新后，只能对处于危险之中的系统采取各种入侵防范策略，不断更新病毒库，仿佛人们在跟着黑客走，在疲于应付病毒．行为防范安全模型首先从分析攻击的目的人手，然后仿生免疫细胞模型机理提出防御策略，进行预先防御，即从检测行为人手，从目的上抵制危害．分析攻击的目的意图主要有2部分，第一部分是获取信息、获取权限、修改信息、删除信息；第二部分是利用服务器发起渗透攻击、拒绝服务和增值服务、恶意使用．可以归纳到2方面，即处理信息和资源利用．接着可以从行为人手，从侵害的目的人手，抓住根本．侵害的行为和目的毕竟是有限的，这样可以彻底解决计算机的安全问题．

　　2．1免疫细胞模型人工免疫细胞模型，包含耐受、克隆、变异、记忆和死亡过程．新产生的细胞经过耐受训练后成为成熟细胞，成熟细胞可以与抗原进行亲和力计算，从而激活转变为记忆细胞，再通过克隆和变异产生大量的免疫细胞，抵制已知和未知的抗原．免疫系统保护机体免受有害物质传染，识别外来细胞或分子，然后消除它．计算机免疫系统与生物免疫系统存在映射关系．免疫系统应用到计算机领域内面临的首要问题是如何定义“自体(self)”和“非自体(non-self)”，区分自体分子和外来元素．可知，新免疫细胞，通过否定选择，删除能与自体抗原匹配的抗体，有效地区分自体与非自体，保证抗体对自体抗原不作应答．

2．2行为防范策略新免疫细胞首先经过耐受训练，然后进入免疫循环．在循环过程中遇到匹配的抗原，积累足够的亲和力，则被激活成记忆细胞，并进行变异和克隆，扩增产生大量的免疫细胞．通过变异和克隆保证免疫细胞的多样性，能够识别未知抗原分子，并产生应答．保证足够的抗原空间搜索能力，以抵制更多已知和未知的入侵．给出亲和力优先级排序，亲和力高的优先克隆，及时抵制危险性高的攻击．仿照人体免疫原理，将各种已知攻击行为的特征码作为记忆细胞，归入行为记忆库．免疫记忆要求记住已知抗原，如自身抗原，不再应答；对于已消灭过的抗原，迅速应答．在实现方法上，将抗体／抗原用定长L的位串来表示，以判断位串是否匹配来进行识别．一旦成功匹配达到一定阈值，立刻进行激活，迅速克隆和变异，产生大量的抗体，用以匹配更多抗原．通过设定不同优先级，使之在匹配中阈值越高(亲和力强)，克隆就越快，产生的变异细胞也多，以加快系统的处理速度．

　　2．3行为库建立Forrest对抗体和抗原都抽象为一个长度为L的二进制集合．攻击者抗原的编码可以是源IP地址、目的IP地址、端口及服务等．每一个数据路径对应着网络连接，每次连接中的字符串都是唯一的．现采用长度为L的二进制字符串来表示编码，这样抗原的变异就会表现在某一字段上．二进制字符串表示的优点，就是可以用较少的抗体数识别较大范围内的抗原．建立自体表和非自体表．自体表的字段名分别为源IP地址、目的IP地址、端口地址和协议标识等组成编码．将各种已知的攻击行为特征码，可以是包头信息的源IP地址、目的IP地址、端口及服务、协议标识和编号等归人行为库，组成行为特征码串，作为记忆．变异就在这串上的某一片段上发生，从而可以用较少的抗体识别较多的抗原．对于需要保护或禁止区域的操作行为的特征码，设定安全级别，也归人行为库，作为记忆，这样就加强了重点区域的控制与检测．在记忆中的抗体比一般的抗体具有更低的激活阈值，也就更容易被激活，这样可以提高对特定抗原的反应速度，也就如同提高了免疫系统二次应答速度．

　　2．4算法实现一个完整的安全模型算法主要包含：①随机生成一个属性抗体细胞群；②循环判断是否有与自体抗原匹配的抗体?有则删除该抗体，没有则进人检测；③判断是否存在位串匹配，即计算亲和力；④选择亲和力高的抗体克隆，并且变异克隆；⑤学习与自适应．2)克隆选择算法．在克隆选择算法中要求没有受刺激的细胞死亡．只有那些能识别，即受刺激的抗体的细胞才会被克隆繁殖，受刺激强的细胞先克隆，即选择亲和力高的细胞克隆，并根据亲和力进行高频变异．与抗体亲和力越高，个体克隆规模也越大，变异就越小．3仿真实验对网络行为的检测过程是基于主机的，初始化的时候集合M中的抗体随机生成，并经过自体耐受．R中初始为空集，其中保留以前检测中保存下来的记忆体．实验参数以32位源、目的IP地址、16位协议标志构成，参数如取96的二进制位串．选取字体集合大小为连续匹配算法中r取8．采用不同的亲和力阈值．检测针对各种网络服务的攻击．每次向主机发送100个数据包作为抗原，其中自体和非自体的比例为1气9，即数据包中有10％是自体包，检测该模型对自体的识别能力和入侵的抵制能力．实验结果纵坐标分别为非自体和自体被误检测出来的概率，横坐标为时间．实验中固定了成熟细胞的死亡年龄、成熟细胞的耐受期和抗原更新时间．通过实验可以看出，配以相应的模块可以实时、定量地计算出攻击状态和风险提示．图中反映出．的设定对检测的影响，合理的设置参数可以较好地抵制入侵．该模型与传统模型相比，具有很好的自适应和多样性．

　　3.结语计算机免疫学是一门基于生物免疫学、人工免疫以及计算机科学的交叉学科．它以最新的计算机科学技术，研究人工免疫的理论、规则、算法和模型等，并应用于实际问题，正被国内外专家关注．随着计算机的发展、黑客技术的进步、病毒的变异翻新，信息的安全问题日趋严重．本文改变原来思考和解决问题的方法，提出以行为防范为主的策略和方法．智能化和人工免疫的进一步结合，提高了系统的鲁棒性，对计算机信息安全基础研究具有一定的指导意义．

　　参考文献：
　　[1]李涛．计算机免疫学[M]．北京：电子工业出版社，2004．
　　[2]DASGUPTA D。NINO F．A framework for evolvillg 1Tlulti．shaped detectors in negative selection[M]．Boca Raton：CRCPress，2005．
　　[3]崔志磊．一种全新的网络安全策略[J]．计算机应用与软件，2004，21(2)：99-101．