基于免疫的多结点网络安全风险检测系统

摘 要：日益严峻的网络安全形势要求网络安全风险检测系统必须具有可操作性,为了解决这一问题,本文设计了一种基于免疫的多结点网络安全风险检测系统,该系统由主机安全风险检测子系统和网络安全风险检测子系统组成,前者采用人工免疫原理检测网络攻击并计算当前主机的安全风险,后者收集所有主机安全风险,并综合计算整体网络安全风险,本系统采用分布式机制,将主机安全风险检测子系统部署于多个主机结点中,提高了网络安全风险检测的有效性.

关 键 词 ：人工免疫系统；网络安全风险；网络攻击；风险检测

中图分类号：TP393.08

网络安全形势日益严峻,网络安全威胁给网络安全带来了巨大的潜在风险.2011年7月,中国互联网络信息中心发布了《第28次中国互联网络发展状况统计报告》,该报告调查的数据显示,2011年上半年,我国遇到过病毒或木马攻击的网民达到2.17亿,比例为44.7%[1].2012年9月,赛门铁克发布了《2012年诺顿网络犯罪报告》[2],据该报告估计,在过去的一年中,全球遭受过网络犯罪侵害的成人多达5.56亿,导致直接经济损失高达1100亿美元.计算机网络安全环境变幻无常,网络安全威胁带来的网络安全风险更是千变万化,依靠传统的特征检测、定性评估等技术难以满足网络安全风险检测的有效性和准确性要求.

鉴于上述网络安全形势,如何对网络安全风险进行有效地检测已成为网络安全业界讨论的焦点和网络安全学术界研究的热点,大量研究人员正对该问题开展研究.冯登国等研究人员[3]对信息安全风险评估的研究进展进行了研究,其研究成果对信息安全风险评估的国内外现状、评估体系模型、评估标准、评估方法、评估过程及国内外测评体系进行了分析及探讨.李涛等研究人员[4]提出了一种网络安全风险检测模型,该研究成果解决了网络安全风险检测的实时定量计算问题.韦勇等研究人员[5]提出了基于信息融合的网络安全态势评估模型,高会生等研究人员[6]提出了基于D-S证据理论的网络安全风险评估模型.

在网络安全风险检测的具体实现中,需要一种具有可操作性的工程技术方法,而将人工免疫系统[7]引入到网络安全风险检测技术中便是一条切实可行的方法.人工免疫系统借鉴生物免疫系统的仿生学原理,已成功地应用到解决信息安全问题中[8],它具有分布式并行处理、自适应、自学习、自组织、鲁棒性和多样性等优良特性,其在解决网络安全领域的难点问题上取得了令人瞩目的成绩[9].

为了对网络安全风险进行有效的检测,本文借鉴人工免疫系统中免疫细胞识别有害抗原的机理,设计了一种基于人工免疫系统的多结点网络安全风险检测系统,对网络攻击进行分布式地检测,并对网络安全风险进行综合评测.本系统的实现,将为建立大型计算机网络环境下网络安全风险检测系统提供一种有效的方法.

本系统架构如图1所示,它由主机安全风险检测子系统和网络安全风险检测子系统组成.主机安全风险检测子系统部署在网络主机中,它捕获网络数据包,将网络数据包转换为免疫格式的待检测数据,并根据人工免疫原理动态演化和生成网络攻击检测特征,同时,将攻击检测器与待检测数据进行匹配,并累计攻击检测器检测到网络攻击的次数,最后以此为基础数据计算主机的安全风险.网络安全风险检测子系统部署在单独的服务器中,它获取各主机安全风险检测子系统中的主机安全风险,并综合网络攻击的危险性和网络资产的价值,计算网络安全风险.

图1 系统架构

本系统采用分布式机制将主机安全风险检测子系统部署在多个网络主机结点中,各个主机安全风险检测子系统独立运行,并与网络安全风险检测子系统进行通信,获取网络安全风险检测子系统的网络攻击危险值和网络资产价值,用以计算当前主机结点的安全风险.

主机安全风险检测子系统由数据捕获模块、数据转换模块、特征生成模块、攻击检测模块和主机安全风险检测模块构成,其设计方法和运行原理如下.

本模块将网卡工作模式设置为混杂模式,然后捕获通过本网卡的网络数据包,采用的数据捕获方法不影响网络的正常运行,只是收集当前主机结点发出和收到的网络数据.由于收到的网络数据量比较多,本模块只保留网络数据包的包头信息,并以队列的形式保存在内存中,这些数据交由数据转换模块进行处理,一旦数据转换模块处理完毕,就清除掉这些队列数据,以保证本系统的高效运行.

本模块从数据捕获模块构建的网络包头队列中获取包头信息,并从这些包头信息中提取出源/目的IP地址、端口号、数据包大小等关键信息,构建网络数据特征.为了采用人工免疫系统原理检测网络数据是否为网络攻击,将网络数据特征转换为免疫数据格式,具体转换方法为将网络包头关键信息转换为二进制字符串,并将其格式化为固定长度的字符串,最后将其形成免疫网络数据队列.

本模块负责演化和生成检测网络攻击的免疫检测特征.在系统初始化阶段,本模块随机生成免疫检测特征,以增加免疫检测特征的多样性,从而发现更多的网络攻击.免疫检测特征与免疫网络数据队列中的数据进行匹配,采用人工免疫机理,对发现异常的免疫检测特征进行优化升级,达到生成能实际应用到检测网络攻击的免疫检测特征,本文将这些有效的免疫检测特征称为攻击检测器.

本模块采用特征生成模块生成的攻击检测器,检测免疫网络数据是否为网络攻击.采用优化的遍历算法,从免疫网络数据队列摘取所有的免疫网络数据,并利用所有的攻击检测器与其进行比较,一旦攻击检测器与免疫网络数据匹配,则判定该免疫网络数据对应的网络数据包为网络攻击,同时累加攻击检测器检测到网络攻击的次数. 2.2.5 主机安全风险检测模块

本模块计算当前主机因遭受到网络攻击而面临的安全风险,它遍历所有的攻击检测器,如果攻击检测器检测到网络攻击的次数大于0,则从网络安全风险检测子系统中下载当前网络攻击的危险值和该主机的资产价值,将这三个数值进行相乘,形成当前网络攻击造成的安全风险值,最后计算所有网络攻击造成的安全风险值之和,形成当前主机造成的安全风险.

网络安全风险检测子系统由主机安全风险获取模块、网络安全风险检测模块、网络攻击危险值数据库和网络资产价值数据库构成,其设计方法和运行原理如下.

为了检测网络面临的整体安全风险,需要以所有的主机安全风险作为支撑,本模块与所有主机结点中的主机安全风险检测子系统进行通信,获取这些主机面临的安全风险值,并将其保存在主机安全风险队列中,为下一步的网络安全风险检测做好基础数据准备.

本模块遍历主机安全风险队列,并从该队列中摘取所有的主机安全风险值.同时,从网络资产价值数据库中读取所有主机的资产价值,然后计算所有主机结点在所有网络资产中的资产权重,并将该权重与对应的主机安全风险值相乘,得到主机安全风险对整体网络安全风险的影响值,最后累加这些影响值作为整体网络面临的安全风险值.

本文设计了一种基于人工免疫原理的多结点网络安全风险检测系统,该系统采用分布式机制,在多个主机结点中部署主机安全风险检测子系统,并采用免疫细胞识别有害抗原的机制,动态生成能识别网络攻击的攻击检测器,针对网络攻击的实际检测情况计算主机面临的安全风险,并对所有结点的安全风险进行综合,以判定整体网络面临的安全风险,该系统的设计方法为网络安全风险检测提供了一种有效的途径.