超级会员免费看
基于人工免疫的网络入侵检测系统与AMBAR协议研究
基于人工免疫的网络入侵检测系统(NIDS)
当前的网络入侵检测系统智能化水平较低,主要缺陷是无法检测未知特征的新入侵行为。而自然免疫系统的保护机制为设计新型网络入侵检测系统带来了灵感。
自然免疫机制简介
自然免疫系统的基本功能是区分自身和非自身,对非自身进行分类并消除。它由免疫器官、免疫细胞和免疫分子组成。免疫器官又分为中枢免疫器官和外周免疫器官。中枢免疫器官包括骨髓和胸腺,是淋巴细胞和其他免疫细胞产生、分化和突变的地方;外周免疫器官包括淋巴细胞、脾脏和黏膜组织,T细胞和B细胞在此定居和增殖,免疫系统在此对抗原刺激做出反应。
免疫反应可分为初次免疫反应和二次免疫反应。当免疫系统遇到未知病原体(即抗原)时,会通过骨髓和胸腺选择性地产生许多抗体来识别和分析抗原,并在识别后记住它,这个过程通常需要较长时间。二次免疫反应通常时间较短,当类似抗原再次入侵时,免疫系统能迅速做出免疫反应,激活相应抗体,并通过复杂的化学反应消除抗原。在免疫反应过程中,激活的免疫细胞会进行亲和力突变以识别抗原,通过这种突变,免疫系统可以逐步产生更多高效的抗体来识别抗原。
基于人工免疫的NIDS组件
该系统由PIDS和SIDS组成,类似于J. Kim的模型。PIDS生成检测器集并发送给所有二级入侵检测系统,SIDS检测所在位置的网络数据流量,将结果返回给PIDS并驱动其进化。PIDS和SIDS相互协作,构成一个具有高自适应能力的NIDS,能够识别已知和未知特征。
亲和力突变是该系统的重要创新,由SIDS向PIDS的反馈驱动。它是自然免疫系统和基于人工免疫的NIDS中提高自适应能力的重要进化方式,能让未成熟的检测器表现良好。
通过亲和力突变和基因库进化来提高检测概率。首先定义激活阈值和非自身阈值,如果当前网络流量的特征与任何检测器的亲和力超过阈值,则将该特征视为非自身,并反馈进行亲和力突变和基因库进化;若仅亲和力超过另一阈值,则反馈进行亲和力突变。通过这种方式,系统会生成大量相似的检测器来判断当前网络流量是否正常,就像自然免疫系统中抗原入侵时产生抗体一样。
| Index Name | Meaning |
|---|---|
| RPN | Destination port |
| SPN | Source port |
| SS | The count of SYN packet |
| SDN | The count of data packet sent |
| RDN | The count of data packet received |
| SEQ | The value of SEQ in the IP data packet |
实验
- 系统描述 :通过分析TCP/IP协议和各种攻击,从网络数据流量中提取能准确反映当前网络行为的特征,如数据包总数、字节总数、SYN数据包总数等。根据这些提取的特征,定义自身模式和非自身模式。该系统作为NIDS,能够检测针对TCP/IP漏洞的各种攻击,以及对网络性能有重大影响的攻击,包括端口扫描和大多数DoS攻击。
- 实际实验 :构建实际环境测试基于人工免疫系统的IDS能力。在实验平台上,PIDS放置在网关上,每个SIDS放置在内部网络的终端上,实验中仅使用一个SIDS。经过大量实验,该基于人工免疫的NIDS能力不错,特别是识别未知入侵的能力。需要注意的是,该IDS最初并不知道任何入侵特征,而是通过之前学习的自身特征和非自身特征来学习检测所有攻击。同时,终端上的SIDS不仅可以配置为监控自身的网络行为,还可以监控所属子网的行为。
| Attack type | Attack tools(running system) | AIS(Can or can’t) |
|---|---|---|
| scanport | Portsacn(win) | Yes |
| Haktak(win) | Yes | |
| Netfox(win) | Yes | |
| Scan.c(linux) | Yes | |
| Twwwscan.exe(win) | Yes | |
| Tear Drop | Teardrop.c(linux) | Yes |
| SYN | Syn.c(linux) | Yes |
| Running 2 hours without attacks | (heavy network traffic daytime) | There exists false alerts |
| Running 8 hours without attacks | (light weight network traffic at night) | No false alerts |
AMBAR协议:基于授权缩减的访问管理
近年来,SPKI、X.509属性证书或KeyNote等被提出作为在分布式环境中创建和指定授权证书、访问控制列表或安全策略的机制。而AMBAR是一种基于请求/响应模型的多层协议,它可以协商和使用其中一些规范。
协议要求
访问控制协议需实现三个主要目标:
1. 独立于应用程序或更高层协议,支持任何特定于应用程序的授权、策略或请求。
2. 能够与不同的基于身份的基础设施和授权系统一起运行。
3. 有效管理访问请求,以获得良好的响应时间。
同时,协议还需满足以下要求:
1. 能够协商使用哪种类型的身份和授权证书。
2. 提供机密性服务以保护传输的数据。
3. 允许匿名访问以保护用户身份,同时实现身份识别访问模式。
4. 支持多种凭证分发方法,如客户端“推送”授权给服务器,或服务器从发行者或存储库“拉取”凭证。
5. 提供在客户端和服务器之间建立授权数据流的方法,更高层协议应能透明地层叠在该协议之上。
6. 设计模块化,以便轻松添加更多功能。
AMBAR概述
AMBAR协议由不同组件组成,分为两层:
-
会话管理模块(SM)
:传输客户端和服务器的安全偏好,并生成TC层用于保护后续通信的加密数据(如果协商了机密性)。客户端和服务器协商对称密码、操作模式、基于身份的证书、基于授权的证书和凭证分发等参数。
- 对称密码:双方选择对称密码及其密钥长度。
- 操作模式:支持匿名客户端模式和完全识别模式。
- 基于身份的证书:可选择X.509、OpenPGP或SDSI证书。
- 基于授权的证书:支持SPKI证书、PKIX属性证书和KeyNote断言。
- 凭证分发:双方可以选择凭证由客户端提供(推送),还是由服务器从存储库或发行者获取(拉取)。
-
请求管理模块(RM)
:传输与授权请求和凭证相关的消息,以及与决策和ACL相关的消息。消息的内容和顺序由协商的操作模式和凭证分发方法决定,该模块可负责优化访问控制计算。
-
授权结果管理模块(ARM)
:生成通知并传输所需资源。当访问被拒绝时,服务器发送否定通知;如果访问被授予,根据客户端请求可能发送肯定通知或受控资源。该模块还在授权请求要求建立(结束)数据流时启用(禁用)DSM模块。
-
错误管理模块(EM)
:系统使用该模块向通信的另一方发出错误或警告信号,传输严重级别和错误描述。
-
数据流管理模块(DSM)
:最初禁用,在授权请求要求激活该模块时启用,控制任意数据流的传输。
-
传输收敛模块(TC)
:为SM、RM、ARM、EM和DSM消息提供通用格式,对要传输的消息进行认证,应用商定的对称密码(始终是块密码),并封装结果。加密数据由SM模块在协商阶段计算。
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(客户端):::process -->|Request| B(服务器):::process
B -->|ACL| A
A -->|Calculation| B
B -->|Neg Notification/AffNotification/Resource| A
协议细节
以推送分发方法为例,假设客户端和服务器已协商好加密偏好和操作模式。在基于推送方法的会话中,客户端在收到服务器控制资源的ACL后计算授权证明。
- Request消息 :由RM模块生成,代表客户端提出的授权请求,包含事务标识符TID、事务步骤标识符TStep、是否为数据流请求的标志SFlag、与请求相关的一组断言或授权以及授权请求。数据使用KSY MMS加密,并使用KMAC(在SM阶段派生)进行认证。
- ACL消息 :由RM模块生成的服务器响应,包含保护资源的ACL、请求中包含的相同TID和递增的事务步骤标识符TStep。
- Calculation消息 :客户端收到ACL后,创建从其公钥到与资源相关的ACL条目的证书链,该链可能由授权和ID证书组成,是证书链发现方法(或信任管理引擎)的输出。客户端侧的RM模块将此结果发送给服务器。
基于人工免疫的网络入侵检测系统与AMBAR协议研究(续)
基于人工免疫的NIDS优势与展望
基于人工免疫的网络入侵检测系统(NIDS)展现出了诸多优势。它能够通过模拟自然免疫系统的机制,有效识别未知入侵行为,这是传统NIDS所欠缺的能力。其自适应能力使得系统可以在运行过程中不断学习和进化,以适应不断变化的网络环境。
未来,该系统有望在以下几个方面得到进一步发展:
1.
提高检测精度
:通过优化亲和力突变和基因库进化算法,更准确地区分正常和异常网络行为,减少误报率。
2.
增强实时性
:加快系统对入侵行为的响应速度,能够在更短的时间内发现并处理入侵事件。
3.
拓展应用场景
:不仅可以应用于传统的网络安全领域,还可以在物联网、工业互联网等新兴领域发挥作用。
AMBAR协议的应用与优化
AMBAR协议在分布式环境中的访问管理方面具有很大的应用潜力。它的多层结构和模块化设计使得它可以灵活地适应不同的应用场景和安全需求。
在实际应用中,可以从以下几个方面对AMBAR协议进行优化:
1.
性能优化
:通过优化消息传输和处理机制,减少协议的响应时间,提高系统的整体性能。
2.
安全增强
:采用更先进的加密算法和认证机制,增强协议的安全性,保护传输的数据不被泄露和篡改。
3.
兼容性扩展
:支持更多类型的身份和授权证书,以及不同的凭证分发方法,提高协议的兼容性和通用性。
| 优化方向 | 具体措施 |
|---|---|
| 性能优化 | 优化消息格式,减少冗余数据;采用并行处理技术,提高消息处理速度 |
| 安全增强 | 使用更高级别的加密算法,如AES-256;引入多因素认证机制 |
| 兼容性扩展 | 支持新的证书标准,如WebAuthn;增加对不同凭证分发协议的支持 |
总结与对比
基于人工免疫的NIDS和AMBAR协议分别在网络入侵检测和访问管理领域提供了创新的解决方案。
| 系统/协议 | 特点 | 优势 | 适用场景 |
|---|---|---|---|
| 基于人工免疫的NIDS | 模拟自然免疫系统,具有自适应能力 | 能识别未知入侵,自我学习和进化 | 网络安全防护,检测各种网络攻击 |
| AMBAR协议 | 多层结构,模块化设计 | 可协商授权,支持多种证书和分发方法 | 分布式环境中的访问管理,保护资源访问 |
graph LR
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
A(基于人工免疫的NIDS):::process -->|检测入侵| B(网络):::process
C(AMBAR协议):::process -->|管理访问| B
通过对比可以看出,两者虽然应用场景有所不同,但都为网络安全提供了重要的保障。在实际应用中,可以根据具体的需求选择合适的系统或协议,或者将两者结合使用,以实现更全面的网络安全防护。
在未来的网络安全领域,基于人工免疫的NIDS和AMBAR协议有望不断发展和完善,为我们的网络环境提供更加可靠的保护。我们可以期待它们在更多的领域发挥重要作用,应对日益复杂的网络安全挑战。
扫一扫
47
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
