CN101321164B - 一种网络免疫系统及其工作机制 - Google Patents
一种网络免疫系统及其工作机制 Download PDFInfo
- Publication number
- CN101321164B CN101321164B CN2008100455923A CN200810045592A CN101321164B CN 101321164 B CN101321164 B CN 101321164B CN 2008100455923 A CN2008100455923 A CN 2008100455923A CN 200810045592 A CN200810045592 A CN 200810045592A CN 101321164 B CN101321164 B CN 101321164B
- Authority
- CN
- China
- Prior art keywords
- antibody
- network
- node
- server
- network antibody
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络免疫系统,其特征在于,包括网络抗体服务器、分析服务器、网络抗体以及网络上的功能节点,其中网络抗体服务器与分析服务器双向连接,网络抗体服务器与网络抗体双向连接,分析服务器与网络抗体双向连接,所述网络抗体包括Ab1类和Ab2类。本发明的网络抗体所具有的自组织和自适应能力,降低了网络免疫系统对服务器的依赖,减小了由于服务器受到恶意攻击或发生故障等影响等不利因素对网络安全的影响,同时,抗体自身所具有的增殖和消亡机制,提高了网络资源的利用率,降低了网络负担。
Description
技术领域
本发明涉及计算机应用领域,具体涉及网络免疫系统及其工作机制。
背景技术
计算机网络作为信息社会的基础设施,在人类生产和生活的各个领域,发挥着不可替代的作用。小到人们的日常生活,大到关乎国家安危的国防建设,计算机网络的影响已遍及人类社会的每一个角落。因此,网络安全直接关系着整个社会能否正常运行。然而,随着网络应用的日益普及和复杂性的不断增加,网络的安全状况不容乐观,计算机病毒对计算机系统和网络安全的危害越来越大。已有的病毒和攻击方式无法根除,新的病毒和攻击方式层出不穷,给人类社会生产和生活造成了巨大损失。如何提高网络安全,降低网络上的非法行为对网络和社会的危害,已成为人们关注的重点问题之一。
近些年,人们发现互联网是一个具有无尺度特性的无边界网络。无尺度是指网络中大部分节点只有少数连接,少数节点却与其它节点具有大量连接,而无边界网络表明网络中的节点只对局部信息可知,对全局信息不可知。互联网的这一特征使得传统的以集中控制为中心的安全措施不能很好的适应现有的网络环境,不能满足人们对网络安全的不断需求。因此,分布式环境下的网络免疫抗体的实现和传播成为人们关注的热点。现有的网络免疫抗体的实现和传播方式多以服务器为主中心,病毒抗体的分发和更新受到服务器或代理的控制,网络抗体自身缺乏一定的自适应和自组织能力,降低了网络抵抗外来攻击的效率。
将免疫学以及流行病学的原理应用于计算机病毒防治,是控制和消灭计算机病毒传播所采用的有效方式之一。人体免疫系统是一个由细胞、蛋白质等物质组成的复杂网络系统,通过免疫细胞的自组织和自适应等行为实现对人体的有效保护。中国专利CN200410022159.X模拟生物免疫系统的免疫机制,给出了一种计算机病毒特征码的生成方法,该方法能够探测已知病毒,对未知病毒也有一定的探测能力,但主要应用于计算机系统的病毒特征码生成和识别,未涉及网络免疫抗体的生成和传播机制。
发明内容
本发明所要解决的技术问题是如何提供一种网络免疫系统及其工作机制,该网络免疫系统能克服现有技术中所存在的缺陷,提高网络抵御计算机病毒和恶意攻击的能力。
本发明所提出的技术问题是这样解决的:提供一种网络免疫系统,其特征在于,包括网络抗体服务器、分析服务器、网络抗体(或者简称抗体)以及网络上的功能节点,其中网络抗体服务器与分析服务器双向连接,网络抗体服务器与网络抗体双向连接,分析服务器与网络抗体双向连接,所述网络抗体包括Ab1类和Ab2类,其中:
所述网络抗体服务器:含有合法代码和应用的特征库、非法代码和恶意攻击行为的特征库(Ab2类抗体特征库)以及可疑代码和应用行为的特征库(Ab1类抗体特征库),在维护现有特征库的同时,根据已有的否定选择算法生成能够识别可疑代码和未知行为的网络抗体Ab1,能够根据网络抗体的反馈信息调整网络中抗体的数量;
所述分析服务器:分析代码或应用活动的合法性;
所述网络抗体Ab1:在与合法的代码和应用方式不冲突的条件下,能够识别未知代码和网络行为,能够在无网路抗体Ab1的网络功能节点之间移动,结合互联网的无尺度特性,在移动的过程中采取具有大量连接的节点优先选择的移动规律;
所述网络抗体Ab2:查杀已知的病毒、阻止可识别的恶意攻击,在无网络抗体Ab2的网络功能节点之间移动,与网络抗体Ab1一样在移动过程中采取大连接节点优先选择的方式;
所述功能节点:在进行正常工作的同时,能够在网络抗体的请求下支持其基本活动的网络节点。
上述网络免疫系统的工作机制,其特征在于,包括以下步骤:
步骤1、初始阶段:网络抗体服务器根据其可知信息确定网络的边缘节点和非边缘节点,根据其已知范围内的节点数目向网络中发布相应比例的网络抗体Ab1和网络抗体Ab2;
步骤2、网络抗体服务器新抗体的生成:按照已有的否定选择算法生成网络抗体Ab1,所述否定选择算法是保证该类抗体不与合法代码和应用活动特征库内的各特征相匹配;
步骤3、网络抗体寿命设置:根据需要设置网络抗体Ab1和网络抗体Ab2寿命值;
步骤4、网络抗体服务器发布网络免疫抗体:网络抗体服务器向网络中发布免疫抗体,同时将新生成的网络抗体Ab1在网络抗体服务器之间传递;
步骤5、网络抗体Ab1和网络抗体Ab2在生命周期内活动;
步骤6、分析服务器分析:分析网络抗体Ab1发送来的代码副本或应用活动记录,确认是否为病毒或恶意攻击;
步骤7、网络抗体服务器的特征库更新信息在网络抗体服务器之间进行传递。
按照本发明所提供的网络免疫系统的工作机制,其特征在于,在步骤3中网络抗体寿命设置表达式如下:
其中各参数的定义如下:
L:网络抗体寿命;
α:为该函数的比例系数,可改变其大小以根据需要增加抗体的寿命值,α>0;
λ:拟合值,任一待发布的抗体与非法代码或应用活动特征库中的特征相比较,拟合程度越高拟合值越大,反之拟合值越小,1≥λ>0,其中网络抗体Ab1的拟合值在0和1之间,网络抗体Ab2的拟合值为1;
N:网络抗体服务器可知区域内功能节点的数量;
R:待发布抗体所占比例,其值为待发布抗体的数量与网络节点数量N的比值。
按照本发明所提供的网络免疫系统的工作机制,其特征在于,所述步骤5中网络抗体Ab1在其生命周期内包含以下活动:
①监测:监测其所在的功能节点是否含有能与之匹配的特征,一旦匹配成功将代码副本或应用活动记录发送至分析服务器,同时在未受到分析服务器的确认信息之前限制可疑代码或应用的活动,若分析服务返回病毒或攻击确认信息,则自动转成网络抗体Ab2,否则表明误匹配,取消对目标的限制,自动销毁;
②传播:网络Ab1向其所在功能节点的邻节点发送探寻信息,获取邻节点的信息,包括是否包含同类节点以及邻节点的连接度,在所有不具有该抗体的邻节点中选取连接最大的功能节点作为下一个传播对象,若所有邻节点均具有该抗体,则不进行传播;
③寿命控制:成功匹配一次则网络抗体寿命相应的增加一定数量的寿命单位,若一定时间内未能成功匹配则抗体寿命值相应减少,直至为零,抗体自动销毁;
④销毁信息发布:网络抗体在自动销毁的同时向网络抗体服务器发送销毁信息,服务器补充该抗体数量以维护抗体在网络中的比例,达到有效探测的目的。
按照本发明所提供的网络免疫系统的工作机制,其特征在于,所述步骤5中网络抗体Ab1在其生命周期内包含以下活动:
①监测:监测所在功能节点,查杀相应的病毒或阻止针对其所在的功能节点的攻击;
②传播:网络抗体Ab2向其所在功能节点的邻节点发送探寻信息,获取邻节点的信息,包括是否包含同类节点以及邻节点的连接度,在所有不具有该抗体的邻节点中选取连接最大的功能节点作为下一个传播对象,若所有邻节点均具有该抗体,则不进行传播;
③趋化活动:一旦某一抗体成功监测到某一病毒,则根据功能节点内确定的隔离带信息,迅速进行自我克隆,向隔离带上以及该功能节点的每一功能节点发送抗体副本,同时向该功能节点所在的网络上的边缘节点发送趋化信息,边缘节点长生该抗体的短寿命抗体,这些抗体沿着各条可能路径从边缘节点向受感染的节点移动,查杀沿途各节点上的病毒,该类抗体除具有短寿命外,关闭趋化功能;
④寿命控制:成功匹配一次则网络抗体Ab2寿命相应的增加一定数量的寿命单位,若一定时间内未能成功匹配则网络抗体Ab2寿命值相应减少,直至为零,自动销毁;
⑤销毁信息发布:网络抗体Ab2自动销毁向网络抗体服务器发送信息,服务器补充数量,维持比例。
按照本发明所提供的网络免疫系统的工作机制,其特征在于,所述步骤6中,分析服务器分析步骤如下:
①确认为病毒或恶意攻击:向发现节点、可知区域内的边缘节点以及网络抗体服务器发送确认信息和处理方案;节点上相应的网络抗体Ab1转换成具有寿命上限的网络抗体Ab2,并开始按照网络抗体Ab2的行为方式开始活动;网络抗体服务器接收到确认信息后,更新特征库,将相应抗体从网络抗体Ab1特征库移除,并将其加入到网络抗体Ab2特征库中;如分析服务器再次接收到该Ab1类抗体的报告,则直接向发现节点发送抗体类型转换信息;
②确认为合法代码或应用活动:向发现节点、可知区域内的边缘节点和网络抗体服务器发送合法确认信息;节点上的该类抗体自动销毁;网络抗体服务器更新特征库,将此网络抗体Ab1从其特征库中移除,将其加入合法代码或应用活动特征库;如分析服务器再次接收到该网络抗体Ab1的报告,则直接向发现节点发送销毁信息,此时网络抗体Ab1销毁,但不向网络抗体服务器发送销毁信息。
按照本发明所提供的网络免疫系统的工作机制,其特征在于,在网络抗体传播过程中,为防止抗体出现在两个节点之间出现传播震荡,抗体记录上一功能节点地址,下次选择节点时,不予考虑。
本发明针对传统网络抗体的缺点和不足,给出一种抵御网络病毒和恶意攻击新方法。主要有两部分,包括网络免疫系统的组成和网络抗体的自组织和自适应方法,其中网络免疫系统由网络抗体服务器、分析服务器、两类网络抗体Ab1和Ab2以及网络上的功能节点组成,网络抗体服务器生成能够正确识别自我和非我且具有一定寿命的网络抗体,网络抗体按照预先设置的方式在网络上个功能节点之间移动,模拟生物免疫系统的趋化作用和克隆选择机制,一旦网络中某一抗体与网络中的抗原物质成功匹配,发送趋化和克隆信息,趋化信息通知周围同类抗体迅速组成以感染节点为中心的隔离带,并逐渐缩小隔离带,直至隔离带内的节点具备免疫能力,实现网络免疫抗体的自组织和自适应;克隆信息通知网络上的同类功能节点在延长抗体寿命的同时,进行抗体的克隆和传播,使该类抗体在网络中的比例增加,抑制网络中处于活跃状态的病毒或恶意攻击。由于网络抗体寿命的存在使得该类抗体能够根据网络的当前状况自动增强网络的抵御能力或在成功抵御针对网络的入侵后自动释放网络资源,同时网络抗体能够根据网络上功能节点的信息自动选择其移动路径中的下一个节点,实现网络抗体自治。
本发明针对现有的网络免疫抗体无自组织和自适应能力的缺点,结合现有的计算机病毒防治技术,模拟人体免疫系统的防护机制和行为特征,将生物免疫系统的趋化作用、阴性选择以及克隆选择等免疫机制应用于网络免疫系统的构建,给出一种网络免疫抗体的实施方法。使网络免疫抗体能够根据网络当前状况采取相应措施,克服了传统的网络抗体缺乏自组织和自适应能力的不足,提高网络抵御计算机病毒和恶意网络攻击的能力。采取先切断病毒传播路径,再扩散网络抗体的方式,将计算机病毒限定在一定区域内,抑制计算机病毒的大规模传播和扩散。
由于网络免疫抗体所具有的自组织和自适应能力,降低了网络免疫系统对服务器的依赖,减小了由于服务器受到恶意攻击或发生故障等影响等不利因素对网络安全的影响。同时,抗体自身所具有的增殖和消亡机制,提高了网络资源的利用率,降低了网络负担。
附图说明
图1网络免疫系统的结构图;
图2网络免疫抗体Ab1的工作机制;
图3网络免疫抗体Ab2的工作机制;
图4网络免疫抗体的传播控制(两类网络免疫抗体的传播机制相同);
图5网络免疫系统各部分之间的协调机制。
具体实施方式
下面结合附图以及实施例对本发明作进一步的说明。
该网络免疫系统的组成部分、各部分的功能及系统内各部分之间的协调工作机制,介绍两类网络免疫抗体Ab1和Ab2的工作机制。
网络免疫系统主要由以下几个部分组成部分(如图1所示):
1、网络抗体服务器;
2、分析服务器;
3、两类网络抗体,Ab1和Ab2;
4、网络上的功能节点。
网络免疫系统中各部分的主要功能及特征:
网络抗体服务器:该服务器含有合法代码和应用的特征库、非法代码和恶意攻击行为的特征库(Ab2类抗体特征库)以及可疑代码和应用行为的特征库(Ab1类抗体特征库)。网络抗体服务器在维护现有特征库的同时,根据已有的否定选择算法生成能够识别可疑代码和未知行为的网络抗体Ab1,能够根据网络抗体的反馈信息调整网络中抗体的数量。
分析服务器:分析代码或应用活动的合法性。
网络抗体Ab1:在与合法的代码和应用方式不冲突的条件下,能够识别未知代码和网络行为。能够在无Ab1的网络功能节点之间移动。结合互联网的无尺度特性,在移动的过程中采取具有大量连接的节点优先选择的移动规律。具有抗体寿命(其工作机制如图2所示)。
网络抗体Ab2:查杀已知的病毒、阻止可识别的恶意攻击。在无Ab2的网络功能节点之间移动,与Ab1一样在移动过程中采取大连接节点优先选择的方式。具有寿命限制(工作机制如图3所示)。
网络功能节点:网络上的各功能节点,是指那些在进行正常工作的同时,能够在网络抗体的请求下支持其基本活动的网络节点。该功能节点根据网络拓扑确定自己的隔离带,该信息包含在抗体的趋化信息内。
互联网络为无边界特性使得网络节点只对局部信息可知,全局区域不可知。假定网络上的任一网络抗体服务器的行为策略均基于其已知信息,网络免疫系统各部分之间的协调工作步骤如下(如图5所示):
1、初始阶段网络抗体服务器根据其可知信息确定网络的边缘节点和非边缘节点。根据其已知范围内的节点数目向网络中发布相应比例的网络抗体Ab1和Ab2。
2、网络抗体服务器新抗体的生成:按照已有的否定选择算法生成Ab1类网络抗体。所谓否定选择算法就是保证该类抗体不与合法代码和应用活动特征库内的各特征相匹配。
3、抗体寿命设置。抗体寿命值得设置可根据需要采取不同的方式,如随即设定、设置固定值等等。本发明中结合网络的实际情况给出一种网络抗体寿命的简易设置方法。其寿命L的表达式如下:
其中各参数的定义如下:
α:为该函数的比例系数,可改变其大小以根据需要增加抗体的寿命值,α>0。
λ:拟合值。任一待发布的抗体与非法代码或应用活动特征库中的特征相比较,拟合程度越高拟合值越大,反之拟合值越小,1≥λ>0。显然Ab1类抗体的拟合值在0和1之间,Ab2抗体的拟合值为1。
N:网络抗体服务器可知区域内功能节点的数量。
R:待发布抗体所占比例。其值为待发布抗体的数量与网络节点数量N的比值。
4、网络抗体服务器发布网络免疫抗体。向网络中发布免疫抗体,同时将新生成的Ab1类抗体在抗体服务器之间传递。
5、网络免疫抗体Ab1在其生命周期内包含以下活动(如图2所示):
a.监测:监测其所在的功能节点是否含有能与之匹配的特征。一旦匹配成功将代码副本或应用活动记录发送至分析服务器,同时在未受到分析服务器的确认信息之前限制可疑代码或应用的活动。若分析服务返回病毒或攻击确认信息,则自动转成抗体Ab2,否则表明误匹配,取消对目标的限制,自动销毁。
b.传播:Ab1向其所在功能节点的邻节点发送探寻信息,获取邻节点的信息,包括是否包含同类节点以及邻节点的连接度。在所有不具有该抗体的邻节点中选取连接最大的功能节点作为下一个传播对象。若所有邻节点均具有该抗体,则不进行传播。为防止抗体出现在两个节点之间出现传播震荡,抗体记录上一功能节点地址,下次选择节点时,不予考虑。传播时机的选择,可以每隔一个固定时间进行传播,也可选择任意时间间隔进行传播,但必须保证时间间隔小于抗体最大寿命值(如图4所示)。
c.抗体寿命控制:成功匹配一次则抗体寿命相应的增加一定数量的寿命单位。若一定时间内未能成功匹配则抗体寿命值相应减少,直至为零,抗体自动销毁。
d.抗体在自动销毁的同时向网络抗体服务器发送销毁信息,服务器补充该抗体数量以维护抗体在网络中的比例,达到有效探测的目的。
6、网络免疫抗体Ab2在其生命周期内包含以下活动:
a.监测:监测所在功能节点,查杀相应的病毒或阻止针对其所在的功能节点的攻击。
b.传播:与抗体Ab1的传播方式相同。
c.趋化功能:一旦某一抗体成功监测到某一病毒,则根据功能节点内确定的隔离带信息,迅速进行自我克隆,向隔离带上以及该功能节点的每一功能节点发送抗体副本,同时向该功能节点所在的网络上的边缘节点发送趋化信息,边缘节点长生该抗体的短寿命抗体,这些抗体沿着各条可能路径从边缘节点向受感染的节点移动,查杀沿途各节点上的病毒,该类抗体除具有短寿命外,关闭趋化功能。
d.抗体寿命控制:与Ab1类抗体的寿命控制方式相同。
e.抗体自动销毁向网络抗体服务器发送信息,服务器补充抗体数量,维持比例。
7、分析服务器:分析抗体Ab1发送来的代码副本或应用活动记录,确认是否为病毒或恶意攻击。
a.确认为病毒或恶意攻击:向发现节点、可知区域内的边缘节点以及网络抗体服务器发送确认信息和处理方案。节点上相应的Ab1类抗体转换成具有寿命上限的Ab2类抗体,并开始按照Ab2类抗体的行为方式开始活动。网络抗体服务器接收到确认信息后,更新特征库,将相应抗体从Ab1类抗体特征库移除,并将其加入到Ab2类抗体特征库中。如分析服务器再次接收到该Ab1类抗体的报告,则直接向发现节点发送抗体类型转换信息。
b.确认为合法代码或应用活动:向发现节点、可知区域内的边缘节点和网络抗体服务器发送合法确认信息。节点上的该类抗体自动销毁。网络抗体服务器更新特征库,将此Ab1类抗体从Ab1类抗体特征库中移除,将其加入合法代码或应用活动特征库。如分析服务器再次接收到该Ab1类抗体的报告,则直接向发现节点发送销毁信息,此时Ab1类抗体销毁,但不向网络抗体服务器发送销毁信息。
8、网络抗体服务器的特征库更新信息在抗体服务器之间进行传递。
上述步骤是本发明中网络免疫系统各部分之间的协调工作机制。本发明中在假定网络免疫抗体真实有效的前提下,采取先切断传播路径再进行网络免疫处理的方式,尽可能将网络上的非法行为限制在一个相对狭小的有限区域内,同时对网络免疫抗体增加的寿命控制功能和克隆选择机制使得免疫抗体可以根据网络环境自动调整其在网络中所占的比例,达到动态平衡的效果,有效利用网络资源的目的。因此,本发明中功能节点趋化隔离带的确定以及抗体寿命的正确设定是保证网络免疫系统有效的关键。本发明中给出了几种设定抗体寿命的方法。趋化隔离带建立方面,最简单有效的方法就是将网络的边缘节点设置为隔离带,但这种方法对于小规模网络可行,对于网络规模较大,则每一功能节点都应该配置自身的趋化隔离带,以提高资源利用效率。
Claims (5)
1.一种网络免疫系统,其特征在于,包括网络抗体服务器、分析服务器、网络抗体以及网络上的功能节点,其中网络抗体服务器与分析服务器双向连接,网络抗体服务器与网络抗体双向连接,分析服务器与网络抗体双向连接,所述网络抗体包括Ab1类和Ab2类,其中:
所述网络抗体服务器:含有合法代码和应用活动特征库、非法代码和恶意攻击行为的特征库以及可疑代码和应用行为的特征库,在维护现有特征库的同时,根据否定选择算法生成能够识别可疑代码和未知行为的网络抗体Ab1,能够根据网络抗体的反馈信息调整网络中抗体的数量,所述否定选择算法是保证该类抗体不与合法代码和应用活动特征库内的各特征相匹配;
所述分析服务器:分析代码或应用活动的合法性;
所述网络抗体Ab1:在与合法的代码和应用方式不冲突的条件下,能够识别未知代码和网络行为,能够在无网络抗体Ab1的网络功能节点之间移动,结合互联网的无尺度特性,在移动的过程中采取具有大量连接的节点优先选择的移动规律;
所述网络抗体Ab2:查杀已知的病毒、阻止可识别的恶意攻击,在无网络抗体Ab2的网络功能节点之间移动,与网络抗体Ab1一样在移动过程中采取具有大量连接的节点优先选择的移动规律;
所述功能节点:在进行正常工作的同时,能够在网络抗体的请求下支持其基本活动的网络节点。
2.一种网络免疫系统的工作方法,其特征在于,包括以下步骤:
步骤1、初始阶段:网络抗体服务器根据其可知信息确定网络的边缘节点和非边缘节点,根据其已知范围内的节点数目向网络中发布相应比例的网络抗体Ab1和网络抗体Ab2,
所述网络抗体Ab1:在与合法的代码和应用方式不冲突的条件下,能够识别未知代码和网络行为,能够在无网络抗体Ab1的网络功能节点之间移动,结合互联网的无尺度特性,在移动的过程中采取具有大量连接的节点优先选择的移动规律;
所述网络抗体Ab2:查杀已知的病毒、阻止可识别的恶意攻击,在无网络抗体Ab2的网络功能节点之间移动,与网络抗体Ab1一样在移动过程中采取具有大量连接的节点优先选择的移动规律;
步骤2、网络抗体服务器新抗体的生成:按照否定选择算法生成网络抗体Ab1,所述否定选择算法是保证该类抗体不与合法代码和应用活动特征库内的各特征相匹配;
步骤3、网络抗体寿命设置:根据需要设置网络抗体Ab1和网络抗体Ab2寿命值;
步骤4、网络抗体服务器发布网络免疫抗体:网络抗体服务器向网络中发布免疫抗体,同时将新生成的网络抗体Ab1在网络抗体服务器之间传递;
步骤5、网络抗体Ab1和网络抗体Ab2在生命周期内活动:
网络抗体Ab1在其生命周期内包含以下活动:
①监测:监测其所在的功能节点是否含有能与之匹配的特征,一旦匹配成功将代码副本或应用活动记录发送至分析服务器,同时在未收到分析服务器的确认信息之前限制可疑代码或应用的活动,若分析服务器返回病毒或攻击确认信息,则自动转成网络抗体Ab2,否则表明误匹配,取消对目标的限制,自动销毁;
②传播:网络抗体Ab1向其所在功能节点的邻节点发送探寻信息,获取邻节点的信息,包括是否包含同类节点以及邻节点的连接度,在所有不具有该抗体的邻节点中选取连接最大的功能节点作为下一个传播对象,若所有邻节点均具有该抗体,则不进行传播;
③寿命控制:成功匹配一次则网络抗体寿命相应的增加一定数量的寿命单位,若一定时间内未能成功匹配则抗体寿命值相应减少,直至为零,抗体自动销毁;
④销毁信息发布:网络抗体在自动销毁的同时向网络抗体服务器发送销毁信息,网络抗体服务器补充该抗体数量以维护抗体在网络中的比例,达到有效探测的目的;
网络抗体Ab2在其生命周期内包含以下活动:
①监测:监测网络抗体Ab2所在功能节点,查杀相应的病毒或阻止针对网络抗体Ab2所在的功能节点的攻击;
②传播:网络抗体Ab2向其所在功能节点的邻节点发送探寻信息,获取邻节点的信息,包括是否包含同类节点以及邻节点的连接度,在所有不具有该抗体的邻节点中选取连接最大的功能节点作为下一个传播对象,若所有邻节点均具有该抗体,则不进行传播;
③趋化活动:一旦某一抗体成功监测到某一病毒,则根据功能节点内确定的隔离带信息,迅速进行自我克隆,向隔离带上以及该功能节点的每一功能节点发送抗体副本,同时向该功能节点所在的网络上的边缘节点发送趋化信息,边缘节点长生该抗体的短寿命抗体,这些抗体沿着各条可能路径从边缘节点向受感染的节点移动,查杀沿途各节点上的病毒,该类抗体具有短寿命和关闭趋化功能;
④寿命控制:成功匹配一次则网络抗体Ab2寿命相应的增加一定数量的寿命单位,若一定时间内未能成功匹配则网络抗体Ab2寿命值相应减少,直至为零,自动销毁;
⑤销毁信息发布:网络抗体Ab2自动销毁,向网络抗体服务器发送信息,网络抗体服务器补充数量,维持比例;
步骤6、分析服务器分析:分析网络抗体Ab1发送来的代码副本或应用活动记录,确认是否为病毒或恶意攻击;
步骤7、网络抗体服务器的特征库更新信息在网络抗体服务器之间进行传递。
3.根据权利要求2所述的网络免疫系统的工作方法,其特征在于,在步骤3中网络抗体寿命设置表达式如下:
其中各参数的定义如下:
L:网络抗体寿命;
α:为该函数的比例系数,可改变其大小以根据需要增加抗体的寿命值,α>0;
λ:拟合值,任一待发布的抗体与非法代码或应用活动特征库中的特征相比较,拟合程度越高拟合值越大,反之拟合值越小,1≥λ>0,其中网络抗体Ab1的拟合值在0和1之间,网络抗体Ab2的拟合值为1;
N:网络抗体服务器可知区域内功能节点的数量;
R:待发布抗体所占比例,其值为待发布抗体的数量与功能节点的数量N的比值。
4.根据权利要求2所述的网络免疫系统的工作方法,其特征在于,所述步骤6中,分析服务器分析步骤如下:
①确认为病毒或恶意攻击:向发现节点、可知区域内的边缘节点以及网络抗体服务器发送确认信息和处理方案;节点上相应的网络抗体Ab1转换成具有寿命上限的网络抗体Ab2,并开始按照网络抗体Ab2的行为方式活动;网络抗体服务器接收到确认信息后,更新特征库,将相应抗体从网络抗体Ab1特征库移除,并将其加入到网络抗体Ab2特征库中;如分析服务器再次接收到该Ab1类抗体的报告,则直接向发现节点发送抗体类型转换信息;
②确认为合法代码或应用活动:向发现节点、可知区域内的边缘节点和网络抗体服务器发送合法确认信息;节点上的该类抗体自动销毁;网络抗体服务器更新特征库,将此网络抗体Ab1从其特征库中移除,将其加入合法代码或应用活动特征库;如分析服务器再次接收到该网络抗体Ab1的报告,则直接向发现节点发送销毁信息,此时网络抗体Ab1销毁,但不向网络抗体服务器发送销毁信息。
5.根据权利要求2或3所述的网络免疫系统的工作方法,其特征在于,在网络抗体传播过程中,为防止抗体在两个节点之间出现传播震荡,抗体记录上一功能节点地址,下次选择节点时,不予考虑。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100455923A CN101321164B (zh) | 2008-07-18 | 2008-07-18 | 一种网络免疫系统及其工作机制 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100455923A CN101321164B (zh) | 2008-07-18 | 2008-07-18 | 一种网络免疫系统及其工作机制 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101321164A CN101321164A (zh) | 2008-12-10 |
| CN101321164B true CN101321164B (zh) | 2011-12-21 |
Family
ID=40180988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100455923A Expired - Fee Related CN101321164B (zh) | 2008-07-18 | 2008-07-18 | 一种网络免疫系统及其工作机制 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101321164B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103544431B (zh) * | 2012-07-09 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 一种对非法程序的免疫方法、系统及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别系统及方法 |
| CN1848765A (zh) * | 2006-03-10 | 2006-10-18 | 四川大学 | 基于免疫的网络入侵危险性评估方法 |
| CN101079740A (zh) * | 2007-06-21 | 2007-11-28 | 北京联合大学 | 一种基于独特型网络的入侵检测系统 |
-
2008
- 2008-07-18 CN CN2008100455923A patent/CN101321164B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别系统及方法 |
| CN1848765A (zh) * | 2006-03-10 | 2006-10-18 | 四川大学 | 基于免疫的网络入侵危险性评估方法 |
| CN101079740A (zh) * | 2007-06-21 | 2007-11-28 | 北京联合大学 | 一种基于独特型网络的入侵检测系统 |
Non-Patent Citations (2)
| Title |
|---|
| Ying Kai Liu,et al.A Survivability Over Security (SOS) Model for Computer Network Inspired by Biological Immunology and Gene Mutation.《Communication,Circuits and systems,2008.ICCCAS 2008.International Conference on》.2008,457-460. * |
| YingKaiLiu et al.A Survivability Over Security (SOS) Model for Computer Network Inspired by Biological Immunology and Gene Mutation.《Communication |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101321164A (zh) | 2008-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106060018B (zh) | 一种网络威胁情报共享模型 | |
| US8516575B2 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
| CN101496025B (zh) | 用于向移动设备提供网络安全的系统和方法 | |
| CN102546624A (zh) | 一种网络多路入侵检测防御方法及系统 | |
| CN102106167A (zh) | 安全消息处理 | |
| CN105282160A (zh) | 基于信誉的动态访问控制方法 | |
| WO2020155205A1 (zh) | 一种基于区块链的域名滥用处理方法及系统 | |
| Saber et al. | Optimisation of cooperative spectrum sensing for cognitive radio networks in the presence of smart primary user emulation attack | |
| CN114143348A (zh) | 一种电力物联网安全防御方法、系统、存储介质及服务器 | |
| Zhou et al. | Intrusion detection system for IoT heterogeneous perceptual network | |
| Jiménez‐Ruiz et al. | Serosurveillance of Schmallenberg virus in wild ruminants in Spain | |
| Zhang et al. | Nc-max: Breaking the security-performance tradeoff in nakamoto consensus | |
| CN101321164B (zh) | 一种网络免疫系统及其工作机制 | |
| Manocha et al. | Improved spider monkey optimization‐based multi‐objective software‐defined networking routing with block chain technology for Internet of Things security | |
| KR102648653B1 (ko) | 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법 | |
| KR101910788B1 (ko) | 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법 | |
| Khedim et al. | Dishonest recommendation attacks in wireless sensor networks: A survey | |
| Miloslavskaya et al. | New SIEM system for the internet of things | |
| CN112995176A (zh) | 应用于电力通信网络中的网络攻击可达性计算方法及装置 | |
| CN115296811B (zh) | 基于区块链的数据共享利用方法、装置及介质 | |
| Lu et al. | Bank run Payment Channel Networks. | |
| CN110535862A (zh) | 一种流量检测方法、系统、装置及计算机可读存储介质 | |
| Wang et al. | Urban monitoring, evaluation and application of COVID-19 listed vaccine effectiveness: a health code blockchain study | |
| Shi et al. | Continuous trust evaluation of power equipment and users based on risk measurement | |
| Zhang et al. | Secure data stream transmission method for cell pathological image storage system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111221 Termination date: 20140718 |
|
| EXPY | Termination of patent right or utility model |