基于DCA的主動安全防御算法.doc

基于DCA的主動安全防御算法 張陽，張琛，唐朝京 （國防科學(xué)技術(shù)大學(xué)電子科學(xué)與工程學(xué)院，湖南長沙410073） 摘要：對于目前計算機(jī)防御技術(shù)的不成熟和日益突出的網(wǎng)絡(luò)安全問題，運用人工免疫中的DCA算法，提出一種以改進(jìn)單分類器DCA算法為基礎(chǔ)的主動安全防御算法。DCA算法作為最新的人工免疫算法，以危險信號為基礎(chǔ)對異物進(jìn)行識別，而主動安全DCA算法弱化了主觀人為因素對實驗結(jié)果的影響。對算法進(jìn)行驗證，結(jié)果表明，該算法對于smurf攻擊具有較高的檢測率。 關(guān)鍵詞：危險理論；dca算法；主動安全防御；smurf攻擊 ：TN915.08?34：A：1004?373X（xx）15?0053?04 ：xx?03?11 0引言 主動防御系統(tǒng)能夠自主識別影響主機(jī)正常運行的各種異常行為，相對于傳統(tǒng)的防護(hù)體系，需要較少或極少的人工干預(yù)，因此也相對比較智能。例如，主動安全防御系統(tǒng)通過對外部、內(nèi)部網(wǎng)絡(luò)入侵知識的獲取及運用，能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為；通過對本機(jī)系統(tǒng)調(diào)用及日志的查看，能夠識別出異常進(jìn)程。 然而，主動安全防御系統(tǒng)的研究也相對不是很成熟，隨著近年來人工智能算法的深入研究，主動安全防御技術(shù)也獲得了一些突破與進(jìn)展，越來越多的學(xué)者把諸如蟻群算法、遺傳算法、神經(jīng)網(wǎng)絡(luò)和人工免疫等運用于防御系統(tǒng)。 人工免疫算法在計算機(jī)安全方面的運用具有先天的優(yōu)勢，其模擬自然界生物的免疫進(jìn)行異常檢測。本文將較新的DCA算法運用于主動安全系統(tǒng)，結(jié)果表明，該算法具有較好的檢測效果。 傳統(tǒng)的人工免疫算法基于自我/非我模型，有時也會對非入侵行為發(fā)出錯誤的報警信息，造成一定的誤檢和漏檢的發(fā)生。 危險理論基于危險信號的識別與檢測技術(shù)，其中的關(guān)鍵技術(shù)是對危險信號的定義和提取工作。本文主要研究了危險理論中的DCA算法，首先根據(jù)攻擊等特點定義危險信號，以及DCA算法中的遷移閾值、權(quán)值矩陣等參數(shù)值，由于本文重在檢驗算法，基于篇幅考慮故將危險信號的提取部分略去，直接使用KDDCup99數(shù)據(jù)集進(jìn)行測試。 鑒于算法的通用性，可以根據(jù)不同危險信號的定義和提取將該算法用于各種攻擊行為的檢測，其中包括網(wǎng)絡(luò)蠕蟲的檢測與防御技術(shù)。 1危險理論和DCA算法介紹 1.1危險理論 傳統(tǒng)的自體/非自體理論對于一些現(xiàn)象解釋出現(xiàn)矛盾，比如，在懷孕、衰老等情況下自身發(fā)生變化，但并沒引起免疫應(yīng)答。免疫系統(tǒng)對一些明顯發(fā)生細(xì)胞突變的腫瘤卻不發(fā)生排斥。太多的現(xiàn)象使人們感到“自我和非我”起碼不能完全決定機(jī)體的免疫應(yīng)答。1994年Matzinger首先提出危險理論，她認(rèn)為免疫系統(tǒng)所能區(qū)分的實際上是“從某些非我中區(qū)分出某些自我”，并且聲稱危險模式理論提出的不僅僅是一個新的概念，而且是一種避開區(qū)分自我和非我的方法。危險理論假定免疫系統(tǒng)的激活不是由非自體的檢測惟一決定，也不對一個潛在的入侵做出響應(yīng)，直到危險被檢測到。結(jié)果顯示這些危險信號是由病原感染細(xì)胞的壞死導(dǎo)致的。危險信號的出現(xiàn)與被稱為抗原的潛在感染體分泌的蛋白質(zhì)相結(jié)合，是引起HIS防御應(yīng)答的必要條件。 1.2DCA理論 樹突狀細(xì)胞（DendriticCell，DC）作為先天性免疫系統(tǒng)中專職的抗原提呈胞，能夠融合處理多種環(huán)境信號，并將信號與抗原相關(guān)聯(lián)，分析得到抗原的異常指標(biāo)。受DC功能的啟示，Greensmith等人通過對DC抗原提呈行為進(jìn)行抽象建模設(shè)計實現(xiàn)了樹突狀細(xì)胞算法（DendriticCellAlgorithm，DCA），開創(chuàng)了一種全新的免疫算法。 DCA的基本原理就是仿真了生物免疫中DC狀態(tài)轉(zhuǎn)換的過程，把DC抽象為一個類似于信號處理器的數(shù)據(jù)結(jié)構(gòu)，通過線性信號處理模型模擬DC的信號處理過程，對輸入信號進(jìn)行計算得到輸出信號決定DC的狀態(tài)。 輸入信號包括： （1）PAMP表示存在異常，PAMP的增強(qiáng)表明存在異常的可靠度增加； （2）DS表示可能存在異常，DS的增強(qiáng)表明存在異常的可能性增加，相比于PAMP的可靠度較低； （3）SS表示異常的可能性非常小，SS的增強(qiáng)表明正常的可能性增加，存在異常的可能性減少，用于抵消PAMP和DS的影響。 IC用于放大前3種信號的影響。 輸出信號包括： （1）協(xié)同刺激分子csm（co?stimulatorymolecules）用于決定DC是否進(jìn)行狀態(tài)轉(zhuǎn)換； （2）半成熟樹突狀細(xì)胞因子semi（semi?matureDCcytokines）表示抗原所處組織環(huán)境的安全程度； （3）成熟樹突狀細(xì)胞因子mat（matureDCcyto?kines）表示抗原所處組織環(huán)境的危險程度。 DC分化過程的抽象化表示1，如圖1所示。 2基于DCA的主動防御算法的實現(xiàn) 2.1主動防御DCA算法流程及說明 本實驗采用了樹突狀細(xì)胞算法2并進(jìn)行了改進(jìn)，為了盡可能減小人為主觀因素對結(jié)果的影響，算法對遷移閾值采用隨機(jī)選取，并通過多輪處理來修正結(jié)果。 算法的偽代碼如下： 輸入：抗原和經(jīng)過預(yù)處理的信號 輸出：抗原類型和其MCAV值 初始化DC種群，在一定范圍內(nèi)隨機(jī)選取遷移閾值； 2.2數(shù)據(jù)預(yù)處理及說明 為了檢驗?zāi)Ｐ驮O(shè)計，本文采用KDDCup99數(shù)據(jù)集進(jìn)行測試。數(shù)據(jù)kddcup.data_10_percent文件，總共包括494021條數(shù)據(jù)，其中97278條正常連接和396743條攻擊，10%的子集與完整數(shù)據(jù)集保持相同的統(tǒng)計特性。 考慮到原始數(shù)據(jù)有41個特征屬性，首先需要對數(shù)據(jù)集進(jìn)行簡化處理。參照文獻(xiàn)3，通過計算相應(yīng)屬性間的信息熵，計算公式如下： 式中：S為正常/攻擊類型；A為屬性；Entropy是計算熵值。 根據(jù)各個屬性間的信息熵計算結(jié)果，得到各個屬性與攻擊間的相關(guān)程度，選取部分屬性列舉見表1。 綜合考慮各個攻擊與屬性相關(guān)性2，選取10個屬性值：12，23，24，25，26，29，31，32，38，40，作為下面檢測攻擊的數(shù)值進(jìn)行計算。 2.3抗原及信號的定義 本文將數(shù)據(jù)集的每一條記錄信息看作是一個抗原，由于算法中采用在（50，100）內(nèi)隨機(jī)選取遷移閾值，具有一定的隨機(jī)波形特性，運行結(jié)果進(jìn)行了L輪（在程序中具體設(shè)置）計算后給出。 DCA模型使用的信號是經(jīng)過預(yù)分類和預(yù)規(guī)格化的數(shù)據(jù)源。各種信號根據(jù)應(yīng)用領(lǐng)域的相關(guān)知識預(yù)分類為PAMP，SS（安全信號），DS（危險信號），之后需進(jìn)行預(yù)規(guī)格化，以取得預(yù)期的效果。本文將PAMP，SS，DS信號統(tǒng)一規(guī)格化到0，100，規(guī)格化函數(shù)定義如下： 式中：x為原始信號值，當(dāng)xm,n時進(jìn)行線性映射，x的最大值和最小值分別為100和0。 定義抗原和信號如下： 抗原：494021個數(shù)據(jù)記錄；信號：PAMP（五個屬性）：serror_rate（25），srv_serror_rate（26），same_srv_rate（29），dst_host_serror_rate（38），dst_host_rerror_rate（40）； SS（三個屬性）：logged_in（12），srv_diff_host_rate（31），dst_host_coun（t32）； DS（兩個屬性）：coun（t23），srv_coun（t24）。 定義輸入到輸出信號的權(quán)值矩陣（可調(diào)整）見表2。 3測試結(jié)果及分析 3.1測試結(jié)果 為了對主動防御DCA算法進(jìn)行驗證，選取數(shù)據(jù)集的前10000條記錄進(jìn)行測試，前10000條記錄中，smurf攻擊數(shù)據(jù)記錄從第7794條記錄開始到第10000條，其余均為正常數(shù)據(jù)記錄。算法測試結(jié)果如圖2所示。 圖2是對kddcup.data_10_percent文件的前10000個點測試的結(jié)果，分析原始數(shù)據(jù)可以看到，數(shù)據(jù)集從第7794個數(shù)據(jù)點開始出現(xiàn)smurf攻擊，一直到第10000個點。 測試結(jié)果總體吻合，其中在前一部分出現(xiàn)了少部分噪點，說明算法還存在一定的誤差。通過分析數(shù)據(jù)集和輸出結(jié)果可得，結(jié)果在第7794個點處準(zhǔn)確地區(qū)分了攻擊的出現(xiàn)，如圖3所示，這也在很大程度上看出了主動安全DCA算法對smurf攻擊的辨別比較準(zhǔn)確。 3.2測試結(jié)果性能評估 依據(jù)常用的單類分類問題的性能衡量指標(biāo)的方法，下面對實驗數(shù)據(jù)進(jìn)行準(zhǔn)確的性能評估。分別計算實驗結(jié)果的檢測率（DR），誤報率（FPR）和漏報率（FNR），結(jié)果見表3。 由算法測試評估計算結(jié)果可知，該測試的DR達(dá)到了98.19%，對于smurf攻擊具有較高的檢測率，而算法的FPR和FNR分別為0.1%和1.8%，由此可見，該算法對于smurf攻擊的檢測很有效。 4結(jié)語 本文對DCA算法進(jìn)行了研究及改進(jìn)，并將其應(yīng)用于主動安全防御系統(tǒng)。作為人工免疫的最新算法，DCA算法表現(xiàn)出了較高的準(zhǔn)確率，而改進(jìn)算法則運用隨機(jī)特性弱化了人為主觀因素對危險信號的影響，提高了算法的準(zhǔn)確性。本文在后文給出了算法用于KDDCup99數(shù)據(jù)集的測試結(jié)果及性能評估，結(jié)果表明，該算法對smurf攻擊具有較高的檢測率。 鑒于算法的通用性，可以根據(jù)不同的危險信號的定義和提取而將該算法用于各種攻擊行為的檢測，其中包括網(wǎng)絡(luò)蠕蟲的檢測與防御等技術(shù)。 參考文獻(xiàn) 1ZANEROS.ULISSE，aworkintrusiondetectionsystemC/Proceedingsofxxthe4thAnnualWorkshoponCyberSecurityandInformationIntelligenceResearch.NewYork：ACM，xx：45?49. 2GUF，GREENSMITHJ，AICKELINU.FurtherexplorationofthedendriticcellalgorithmC/ProceedingsofxxInterna?tionalConferenceonArtificialImmuneSystems.Phuket：SpringerVerlag，xx：142?153. 3KAYACIKHG，ZINCIR?HEYWOODAN，HEYWOODMI.Selectingfeaturesforintrusiondetection：afeaturerelevanceanalysisonKDD99intrusiondetectiondatasetsC/xxIEEEThirdAnnualConferenceonPrivacy，SecurityandTrust.NewBrunswick：IEEE，xx：75?80. 4NIEMIOP，LEVOMAKIL，MANNERM.Dismantlingintru?sionpreventionsystemsC/ProceedingsofxxACMSIG?MConferenceonApplications，Technologies，Architec?tures，andProtocolsforComputerCommunication.NewYork：ACM，xx：285?286. 5盧天亮.基于