一种网络信息系统容忍入侵的方法技术方案

本发明专利技术提出了一种网络信息系统容忍入侵的方法，属于信息安全领域。本发明专利技术通过模拟人体免疫细胞对病原体的识别和分类作用，对网络信息系统的各个层面进行实时有效地监控，包括网络系统、文件系统、进程系统及应用服务等层面，能及时发现入侵者在系统各个层面的非法活动。同时独特的容侵技术可确保系统在遭受攻击、甚至部分服务器被攻破、破坏的情况下，仍能为用户提供正确、可靠、完整的服务，并能自主修复被破坏的服务或内容。换句话说，本发明专利技术能够保证系统在遭受网络入侵时具备继续、正确、可靠工作的能力，即提供网络信息系统“带病坚持工作”以及“自我恢复”的能力，提高了网络信息系统在复杂网络环境中的生存能力，具有广阔的应用前景。

【技术实现步骤摘要】
一种网络信息系统容忍入侵的方法
本专利技术提出了一种网络信息系统容忍入侵的方法，属于信息安全领域。
技术介绍
传统的网络安全技术，例如防火墙、入侵检测等，在保障网络信息系统安全的过程中发挥着积极的作用，但是面对快速发展的网络攻击技术，特别是在网路系统被破坏后的生存性问题上，二者都显示出了能力方面的局限性。一旦防火墙被攻破，网络系统将会面临崩溃的危险，造成恶劣影响。中国专利公开号为CN1319807A的申请案，对一个基于目录的多处理器计算机系统，当其发生数据差错时，该申请案利用系统中另一个数据的有效副本来容忍差错。该方法的不足之处在于不能应用于网络信息系统的入侵容忍问题。
技术实现思路
本专利技术提出了一种网络信息系统容忍入侵的方法，该方法可对网络信息系统的各个层面进行实时有效的监控，阻止外来非法入侵，同时独特的容侵技术可确保系统在遭受到攻击、甚至部分服务器被攻破的情况下，仍能为用户提供正确、可靠、完整的服务。该技术将信息安全保障技术和网络可生存性技术进行了很好的结合。本专利技术利用生物免疫学的基本原理，通过模拟人体免疫细胞对病原体的识别和分类作用，从而实现了对外来网络入侵的识别，并尽可能地让系统在遭受网络入侵时继续可靠地工作，即提供网络信息系统“带病坚持工作”的能力。本专利技术所述的网络信息系统容忍入侵方法主要由网络监控对象、响应对象和系统恢复重组对象等部件组成。其中监控对象从网络、文件、进程及应用服务等层面对网络系统进行全方位的监控，负责监视系统的运行状态，系统发生异常时，触发系统恢复重组对象，做出相应的响应，为系统构建了一个安全屏障。监控对象分为网络监控对象，文件监控对象，进程-->监控对象和应用服务监控对象，它们根据监视内容的不同分布在网络系统的各个环节中。监控对象在实现上基于人工免疫原理，它们的免疫执行过程和免疫学习过程大致一样，只是各自的自体(正常的网络行为)、非自体(非法的网络行为)在定义形式和内容上有所区别。本专利技术充分利用了生物免疫的计算机理，使得监控对象具有了很强的自适应和自学习能力。网络监控对象实现网络的实时入侵检测功能。该对象定义网络抗原为网络请求，网络自体为正常网络请求，非自体为异常的网络活动(网络攻击)。网络自体和非自体构成整个系统的抗原集合。网络抗体用于检测和匹配网络抗原，其结构与抗原相同。系统首先对网络活动信息进行网络抗原提呈(特征提取)，得到网络抗原决定基(特征)。在网络监控过程中，一旦抗体与抗原匹配，则表明发现网络入侵，触发响应对象做出响应，如立刻通知有关部件如防火墙等采取动作等。文件监控对象负责监视文件系统的完整性和正确性。该对象定义文件自体库为正常的文件的代码集合，非自体库由异常的文件特征码(例如，病毒特征码等)组成。文件监控对象在监控文件系统的过程中，通过非自体库(异常特征码)来判断已知的文件异常，通过克隆选择来识别未知异常并提取它的异常特征码。一旦发现异常，系统恢复重组对象迅速做出响应，恢复被破坏的文件。进程监控对象负责监视运行进程的状态，检查是否有异常进程活动。该对象定义进程自体为正常程序的属性串集合，同时使用否定选择算法生成不与正常属性串匹配的初始检测器集合。在监控状态下，用与生成自体同样的计算方法生成的串即为可疑抗原，若检测器与可疑抗原发生匹配，则认为进程异常。若发现进程异常时，则杀死该进程，并将对应的程序文件提交给文件监控对象做进一步检测。应用服务监控对象负责监视系统提供的应用服务的状态。该对象的工作方式类似进程监控对象，只不过应用服务自体定义为正常服务的属性串集合。响应对象为用户提供正确、可靠、完整的网络服务，它在系统中充当着代理机构的角色，负责接受并过滤用户请求，向冗余服务器组转发用户请求并接受响应，通过拜占庭协议判断服务器回送的响应是否一致，保证将正确的、完整的响应传送给用户，同时根据拜占庭协议，检测是否有服务器遭到了破坏，如果有，则触发系统恢复重组对象，对遭破坏的服务进行恢复。冗余服务器组的布署机制是网络系统实现入侵容忍的一个关键。在本专利技术中，冗余服务器的数目由拜占庭技术决定。同时，服务器采用不同的硬件平台和软件平台构建，并保证它们提供的服务内容相同。当面对同样的攻击时，不同的服务器将会有不同的影响，既从硬件-->平台上保证了系统的冗余性，也从服务内容上保证了系统的冗余性。通过这种机制部署的冗余服务器组将会为用户提供稳定、强健、可靠的服务。在系统中的组成部件遭受到破坏时，系统恢复重组对象根据破坏的内容，采用相应的恢复重组策略对该内容进行恢复，必要时可通知系统管理员对系统进行恢复。在详细说明之前，首先定义系统中使用的一些名词、符号以及一些公式：1)定义字符串集合为Ω=∪i=1∞{0,1}i,]]>IP包的集合为Ψ，并且ΨΩ；定义集合其中D＝{0，1}l，l为常自然数，|a|表示字符串a的长度。2)网络抗原集合Ag：为二进制串集合。对任意的网络抗原x∈Ag，x.b为原始的IP包，x.a为对原始IP包经过类似抗原提呈细胞(antigen presenting cells，APCs)后得到的特征(抗原决定基，antigenic determinant)，有x.a＝APCs(x.b)，x.a主要由源、目的IP地址、端口号、协议类型、协议状态等网络事务特征的二进制串组成。3)网络自体、非自体集合：网络自体集合SelfAg，网络非自体集合NonselfAg。并且有Self∪Nonself＝Ag，Self∩Nonself＝φ。Self为常网络服务，Nonself为来自网络的攻击。4)文件自体：文件自体S是一些正常文件的代码集台，SU，U=∪i=16+∞Gi,]]>G＝{0，1，...，9，a，...，f}，G代表可选的十六进制字符集合。5)文件异常特征码：特征码的长度在16位到24位之间：特征码b，b∈∪i=1624Gi,]]>G＝{0，1，...，9，a，...，f}。它模拟淋巴细胞，融合了B细胞、T细胞和抗体的性质，用于检测和识别文件异常。6)定义网络自体的属于运算∈APCs，如下：其中x∈Ag，x.a为抗原决定基。属于运算同样适用于文件自体、进程自体和应用服务自体，兹不赘述。7)定义检测器集合B，且B＝{<d，age，count>|d ∈D，age，count ∈N}，其中d为抗体，它与抗原决定基具有同样的表达形式，age为抗体年龄，count为匹配数，N为自-->然数集合。检测器包括成熟检测器Tb和记忆检测器Mb，即B＝Mb∪Tb，且Mb∩Tb＝φ，这两种检测器参与免疫执行过程。8)亲和力(affinity)计算函数fr_con(x，y)：可采用r连续位(r-contiguous bits)匹配函数(如(2)式所示)、海明距离、欧拉距离等计算函数。fr_con(x,y)=1∃i,j,j-i≥r,0<i<j≤l,x.di=y.ai,x.di+1=y.ai+1,...,x.dj=y.aj0otherwise---(2)]]>9)抗原与抗体的匹配：若fr_con(x，y)＝1，则称抗原与抗体是匹配的；否则，不匹配本文档来自技高网...

【技术保护点】
一种网络信息系统容忍入侵的方法，其特征在于包括以下步骤：接受网络请求的步骤；系统监控的步骤；系统响应的步骤；其中接受网络请求的步骤包括以下步骤：接受用户的网络请求的步骤；检查请求有效性的步骤；剔除内容或形式不 正确的请求的步骤；系统监控的步骤包括以下步骤：网络监控的步骤；进程监控的步骤；文件监控的步骤；应用服务监控的步骤；系统响应的步骤包括以下步骤：提取系统监控状态的步骤；正常响应的 步骤，包括：转发请求的步骤；接收响应内容的步骤；响应内容异常检测的步骤；异常响应的步骤，包括：系统监控异常处理的步骤；响应内容异常处理的步骤。

【技术特征摘要】
1.一种网络信息系统容忍入侵的方法，其特征在于包括以下步骤：接受网络请求的步骤；系统监控的步骤；系统响应的步骤；其中接受网络请求的步骤包括以下步骤：    接受用户的网络请求的步骤；    检查请求有效性的步骤；    剔除内容或形式不正确的请求的步骤；系统监控的步骤包括以下步骤：    网络监控的步骤；    进程监控的步骤；    文件监控的步骤；    应用服务监控的步骤；系统响应的步骤包括以下步骤：    提取系统监控状态的步骤；    正常响应的步骤，包括：转发请求的步骤；                          接收响应内容的步骤；                          响应内容异常检测的步骤；    异常响应的步骤，包括：系统监控异常处理的步骤；                          响应内容异常处理的步骤。2.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，网络监控的步骤包括以下步骤：抗原提呈的步骤；记忆检测器检测抗原的步骤，包括：计算亲和力的步骤；                                记忆检测器协同刺激的步骤；                                记忆检测器克隆的步骤；成熟检测器检测抗原的步骤，包括：计算亲和力的步骤力；                                成熟检测器协同刺激的步骤；                                成熟检测器克隆的步骤；未成熟检测器自体耐受的步骤，包括：否定选择的步骤；检测器成熟的步骤；未成熟检测器生成的步骤。3.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，进程监控的步骤包括以下步骤：提取正常程序属性串组成自体集的步骤；使用否定选择算法生成检测器集合的步骤；监控进程生成可疑抗原并由检测器检测的步骤；检测器进化的步骤。4.根据权利要求1所述的一种网络信息系统容忍入侵的方法，其特征在于系统监控的步骤中，文件监控的步骤包括以下步骤：文件异常检测的步骤；样本文件提呈的步骤；文件异常识别的步骤，...

【专利技术属性】
技术研发人员：李涛，
申请(专利权)人：四川大学，
类型：发明
国别省市：90[中国|成都]