CN101887498B - 混合式对等网络中基于免疫算法的病毒检测方法 - Google Patents
混合式对等网络中基于免疫算法的病毒检测方法 Download PDFInfo
- Publication number
- CN101887498B CN101887498B CN 201010218625 CN201010218625A CN101887498B CN 101887498 B CN101887498 B CN 101887498B CN 201010218625 CN201010218625 CN 201010218625 CN 201010218625 A CN201010218625 A CN 201010218625A CN 101887498 B CN101887498 B CN 101887498B
- Authority
- CN
- China
- Prior art keywords
- detecting device
- node
- network
- virus
- peer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种混合式对等网络中基于免疫算法的病毒检测方法,属于网络安全技术领域。本发明将人工免疫系统中的免疫算法应用于混合式对等网络中进行病毒检测,利用对等网络节点间对等和直接通信的特性实现新生成的记忆检测器的共享,并通过在服务器端建立疑似病毒库降低网络中病毒的漏检、误检率。本发明结合了对等网络技术和人工免疫技术的优越性,充分利用二者的优点,提高了网络病毒的检测效率。
Description
技术领域
本发明涉及对等网络中基于免疫算法病毒检测技术,属于计算机网络、信息安全、人工免疫系统的交叉技术应用领域。
背景技术
计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。早期计算机病毒主要是感染宿主计算机,破坏系统文件或者修改硬件信息等,但是随着计算机网络的应用和发展,计算机病毒传播途径由移动磁盘转向计算机网络和因特网,对人们的危害也从单一宿主主机转向计算机网络和因特网。
计算机病毒的发展,特别是变形病毒和网络病毒肆虐,使得反病毒研究者越来越难以找到一个可以满足人们需要的防治病毒的方法。人工免疫的研究带给人们一些启发。因为面对大量的变形病毒,防治计算机病毒的研究陷入一个如何使计算机系统识别哪些是系统应用程序(“自己”),哪些是病毒(“非己”)的基本问题中。生物免疫系统是由器官、细胞和分子组成的一个复杂系统,在该系统中通过免疫细胞的相互作用来实现准确地识别“自我/非我”、学习记忆、和发起特异性免疫应答等功能。生物免疫系统所具备的这些特点让越来越多的人致力于将人工免疫原理应用于防治病毒和防御黑客入侵方面。
计算机人工免疫原理是基于生物免疫原理而提出来的,具有许多优良的特性,如耐受性,分布性,鲁棒性,自学习性和多样性等。人工免疫理论的基本原则是,把计算机系统看做“自体”,把病毒(或入侵)看做“非自体”或者“抗原”,与已知病毒相对应的可以生成“抗体”,该抗体能够识别“抗原”,“抗体”按照一定的算法进行变异和进化,可以实现免疫应答,并保持自适应性和自稳定性的特征。因此,基于人工免疫理论的病毒检测方法能够自适应地识别新病毒。把人工免疫原理应用到病毒检测中,可以提高系统性能,如完整性,自适应性,健壮性等。例如,一篇中国发明专利文献(申请号为200410022159.X,授权公告号为CN1235108C)中公开了一种计算机病毒检测和识别方法,该方法模拟生物免疫系统,将免疫原理用于特征代码法,并结合行为监测法等传统的计算机病毒检测方法,通过监控计算机系统来检测和发现计算机病毒并获得病毒样本,然后在学习识别阶段通过使用变异进化以及样本文本分析来获得病毒码特征。该方法将生物免疫原理应用于计算机病毒检测,能够检测已知和未知病毒。但该方法仅局限于单个主机的病毒检测,未能与计算机网络相结合;而且在检测器生成过程中仅采用了传统的否定选择算法的自我耐受过程,具有一定的局限性。
对等网络是一种新的网络体系结构,是一种利用因特网边缘资源(存储、计算、内容等等)、非中心化的、自组织的、且所有的或大部分联系是对称的分布式系统。对等网络中节点之间地位都是等同的,即每一个节点可以进行对等的通信,各节点同时具有资源的接收、存储、发送和集成及其对资源的搜索和被搜索功能等。对等网络按照中央化程度分为纯分布式对等网络、集中式对等网络以及混合式对等网络。混合式对等网络集中了纯分布式对等网络的去中心化和集中式对等网络快速查找的优势,是一种网络结构更加灵活的对等网络。混合式对等网络除了具备共享网络中各节点的能力和资源、提高网络资源的利用效率等优点外,同时具有网络性能、可扩展性较好,较容易管理的特点。
如果能够利用混合式对等网络的对等性及直接通信的特点,并结合免疫原理进行计算机网络病毒的检测,不但可以将病毒检测扩展到整个网络,还可以提高病毒检测效率,降低网络中新出现病毒的漏检率。
发明内容
本发明的目的是将基于免疫算法的病毒检测方法与混合式对等网络自身的特点相结合,提出一种混合式对等网络中基于免疫算法的病毒检测方法。
本发明的方法主要是将免疫算法中的否定选择算法和克隆选择算法应用于对等网络中进行病毒检测,网络中的节点共享生成的记忆检测器。在检测未知病毒过程中,在网络中预先设定阈值,当网络中的节点通过自身检测器进行二次匹配后无法判断样本文件是否为病毒时,节点提取样本文件特征码发送至服务器,服务器将该文件特征码加入疑似病毒库,一段时间内,若网络中其它节点向服务器发送相同文件特征码次数超过预先设定的阈值,则服务器判断此可疑文件为病毒,并向网络中的节点发布该消息,使节点做相应处理,分析此病毒特征生成免疫细胞。
混合式对等网络中基于免疫算法的病毒检测方法详细设计:
本发明方法中将正常的程序代码集合定义为自我集,网络中出现过的已知病毒的特征码集合定义为非我集,将随机生成的初始未成熟检测器与自我集进行耐受训练。检测器分为未成熟检测器、首次成熟检测器、二次成熟检测器及记忆检测器四种状态。记忆检测器的初始化过程经历三个阶段:未成熟检测器经历自我耐受成为首次成熟检测器,首次成熟检测器经历筛选后成为二次成熟检测器,二次成熟检测器经抗原激活后最终成为记忆检测器。利用否定选择算法将初始未成熟免疫细胞中与自我集匹配的检测器删除,剩下的为首次成熟检测器,此过程为否定选择算法的第一个阶段:自我耐受过程,保证了参与检测的免疫细胞在病毒检测中不把正常的程序识别成病毒;将首次成熟检测器与非我集进行匹配,丢弃匹配概率低于预先设定的某个阈值的免疫细胞,剩下的成为二次成熟检测器,此过程可以减小检测器规模,降低冗余度,提高检测器的检测效率;任意一个入侵抗原,将和所有成熟免疫细胞进行匹配,如果匹配成功,则意味着成熟检测器检测到异常,此时成熟检测器被激活,同时将抗原删除,此过程为否定选择算法的第二个阶段:检测异常过程,检测阶段是检测器检测受保护的系统以发现其变化;检测器通过计算亲和力来识别抗原,按照某种匹配算法,成熟检测器首次匹配抗原后被激活为记忆检测器,在一定的时间段内,若该记忆检测器与抗原的匹配次数(累计亲和力的次数)达到预先设定的阈值,则说明该记忆检测器能够有效的检测病毒,记忆检测器初始化结束。
当节点发现可疑样本文件时,首先将样本文件与记忆检测器进行匹配,若匹配结果高于预先设定的阈值,则判断该可疑文件为网络中出现过的已知病毒;若不匹配,则利用克隆选择算法对记忆检测器进行克隆变异,以产生与可疑样本文件相匹配的新的免疫细胞。首先计算记忆检测器与非我集中免疫细胞的亲和力,选择亲和力高于某个阈值的一个子集进行克隆变异,得到变异后的检测器,同时系统随机生成若干未成熟检测器加入变异后得到的检测器集合,对此集合进行自我耐受,得到一个新的检测器,将可疑样本文件与其进行匹配,若匹配结果高于预先设定的阈值,则判断该可疑文件样本为新出现的病毒文件,此时节点向服务器发送新的记忆检测器产生消息,服务器收到消息后,在网络中发送广播消息,通知对等组内其它节点网络中生成了新的记忆检测器,广播消息中附带产生新的记忆检测器的普通节点的地址,以供其它节点与此节点交互,实现新产生的记忆检测器的共享,从而达到快速高效的检测网络中出现的新病毒;若匹配结果低于预先设定的阈值,则节点将可疑样本文件的特征码提交服务器,服务器收到后将其保存至疑似病毒库,在预先设定的时间段内若网络中其它节点向服务器发送相同文件特征码数量超过设定的阈值,则服务器判断此可疑文件为病毒,并向网络中的节点发布该消息;否则可判断该文件为正常文件,服务器将结果反馈至请求判断的节点。
综上所述,可得到本发明的技术方案如下:
一种混合式对等网络中基于免疫算法的病毒检测方法,其特征在于,包括以下步骤:
步骤1)初始化记忆检测器;
步骤2)病毒检测;
步骤3)新生成的记忆检测器共享;
步骤4)利用疑似病毒库判断普通节点无法判断的可疑样本。
在本发明的技术方案中,初始化记忆检测器具体包括以下步骤:
步骤101)定义自我集为正常的程序代码集合,定义非我集为网络中出现过的已知病毒的特征码集合,随机生成初始未成熟检测器;
步骤102)将随机生成的初始未成熟检测器与自我集进行耐受训练,利用否定选择算法将初始未成熟免疫细胞中与自我集匹配概率达到预先设定的阈值r0的检测器删除,剩下的为首次成熟检测器;
步骤103)将首次成熟检测器与非我集进行匹配,丢弃匹配概率低于预先设定的阈值r1的免疫细胞,剩下的成为二次成熟检测器;
步骤104)将入侵抗原和所有成熟免疫细胞进行匹配,若不匹配则删除该免疫细胞;若匹配成功,则此成熟检测器被激活;如在预先设定的时间内成熟检测器中的免疫细胞与抗原匹配次数达到预先设定的次数,则此成熟检测器成为记忆检测器。
其中,r0为初始未成熟免疫细胞与自我集匹配的阈值;r1为首次成熟检测器与非我集匹配的阈值;可根据多次仿真实验所得的平均值选取。
病毒检测包括以下步骤:
步骤201)将可疑样本文件与记忆检测器进行匹配,若匹配结果高于预先设定的阈值r2,判断该可疑样本文件为网络中出现过的已知病毒,检测结束;否则,计算记忆检测器与非我集中免疫细胞的亲和力,选择亲和力高于预先设定的阈值r3的一个子集进行克隆变异,得到变异后的检测器;
步骤202)系统随机生成N个未成熟检测器加入变异后得到的检测器集合,将所得的检测器集合与自我集进行自我耐受,丢弃匹配结果大于预先设定的阈值r4的免疫细胞,得到一个新的检测器;其中N为预先设定的整数;
步骤203)将可疑样本文件与步骤202)生成的新的检测器进行匹配,若匹配结果大于预先设定的阈值r5,判断该可疑文件样本为新出现的病毒,同时节点将检测出新病毒的检测器加入记忆检测器;否则,节点提取可疑文件样本的特征码提交服务器,检测结束。
其中,r2为可疑样本文件与记忆检测器的匹配阈值;r3为记忆检测器与非我集元素的匹配阈值;r4为随机生成的未成熟检测器加入变异后的检测器集合形成新的检测器集合与自我集匹配的阈值;r5为可疑样本文件与新生成检测器的匹配阈值;以上各阈值均可根据多次仿真实验所得的平均值选取;N的数值可根据实际需要选取,本发明中,通过多次仿真实验,选择使新生成的检测器效率最高的未成熟检测器的个数作为N的取值。
新生成的记忆检测器共享包括以下步骤:
步骤301)普通节点向服务器发送新的记忆检测器生成消息,此消息中包括本节点的地址信息;
步骤302)服务器收到消息后在网络中广播生成新的记忆检测器的普通节点的地址;
步骤303)其它节点收到服务器的广播消息后,根据服务器提供的生成新的记忆检测器的普通节点地址,直接与该节点交互,获取新的记忆检测器,实现记忆检测器的共享。
利用疑似病毒库判断普通节点无法判断的可疑样本步骤包括以下步骤:
步骤401)服务器收到普通节点提取到的可疑文件样本的特征码后将其保存至预先设置于服务器中的疑似病毒库;
步骤402)服务器观察网络中其它节点发送的可疑文件样本的特征码,如在预先设定的时间内网络中其它节点向服务器发送相同可疑文件样本特征码的节点数占总节点数比例达到预先设定的阈值r6,则服务器判断该可疑文件为网络中新出现的病毒;否则,服务器判断该可疑文件为正常文件;
本步骤中的阈值r6可由多次仿真实验过程中服务器疑似病毒库使用效率最高时,发送相同可疑文件样本特征码的节点数占总节点数比例的平均值确定。
步骤403)服务器将判断结果反馈给普通节点:若该可疑文件为正常文件,服务器将判断结果返回给请求判断的节点;否则,服务器向网络中的节点发布网络中出现新的病毒消息;普通节点收到消息后,判断自身节点有无新病毒的免疫细胞,如果有,节点就不做处理,如果没有,节点分析新病毒的特征码,生成免疫细胞。
本发明技术方案中涉及到的特征码的提取以及免疫算法均为现有技术,详细内容可参考文献:[Kim J,Bentley P.Towards an artificial immune system for network intrusiondetection:An investigation of clonal selection with a negative selection operator.In:ProcCongress on Evolutionary Computation,Seoul,Korea,2001.27-30],[Hofmeyr S,ForrestS.Immunity by design:An artificial immune system.In:Proceedings of the Genetic andEvolutionary Computation Conference,San Francisco,CA,1999,1289-1296],[P.D’haeseleer,S.Forrest,P.Helman,An immunological approach to change detection algoritlms:Analysisand implications In:Proc IEEE Symposium on Security and Privacy,Las Alamitos,CA,USA,1996]
相比现有技术,本发明的混合式对等网络中基于免疫算法的病毒检测方法有如下优点:
(1)利用了对等网络节点间对等和直接通信的特性,使得各节点之间的记忆检测器可以直接交互,实现共享,不但可以提高对已知病毒的检测效率,同时可以使记忆免疫细胞种类及检测效率有所提高;
(2)在记忆检测器初始化过程中,采用否定选择算法进行自我耐受,生成首次成熟检测器之后,将非我集与首次成熟检测器再次进行匹配,丢弃匹配概率低于预先设定阈值的免疫细胞,采用这种方法可以减小检测器规模,降低冗余度,提高检测器的检测效率。
(3)在对某可疑文件样本进行检测时,通过二次匹配后仍无法确定该样本是否为网络中产生的新病毒时,节点将可疑文件特征码发送至服务器,服务器将此信息保存在疑似病毒库中,通过观察网络中其它节点是否提交相似文件特征码来判断此样本文件是否为病毒。服务器疑似病毒库的建立,可以降低网络中错误否定自体数目,从而降低漏检、误检率。
(4)由于对等网络的动态性,某个节点故障或者退出后再次加入网络时,服务器若获取了网络中其它节点生成的新的记忆检测器信息,会将新的记忆检测器所在节点的信息发送给重新加入网络的节点,使新加入节点能及时从生成新的记忆检测器的节点获取新的记忆免疫细胞,在一定程度上提高网络中新出现病毒的检测效率。同时本方法将检测范围从单个主机的扩展到整个对等网络内,不仅提高了单个主机的安全性,而且提高了整个网络的安全性。
附图说明
图1是混合式对等网络拓扑结构示意图。
图2是记忆检测器初始化流程示意图
图3是病毒检测流程示意图
图4是服务器利用疑似病毒库判别可疑样本文件的流程示意图
图5是本发明方法的整体流程示意图
具体实施方式
下面结合附图给出技术方案的一种具体实施方式:
如附图1给出了一个运用本发明方法的混合式对等网络拓扑结构,网络中的节点分为普通节点和服务器节点,对等组内的所有节点与服务器之间采用全连接,对等组内的每个普通节点之间采用分布式散列表技术组织网络。服务器保存每个普通节点的信息,同时服务器维护一个疑似病毒库,用于提高网络中对可疑文件的准确判断率,降低漏检率。每个普通节点自身维护各种不同类型的检测器,各节点内部分别独立完成记忆检测器的初始化。
本实施方式中采用连续r位匹配算法:两个属性串在匹配过程中当且仅当它们在r或多于r个连续位上有相同字符时,认为两个字符串在连续r位匹配规则下匹配,即两属性串的匹配阈值为r。为描述方便,选择普通节点Pc1,描述节点Pc1上记忆检测器的初始化过程、节点Pc1检测某可疑样本文件过程、在节点Pc1检测出该可疑样本文件为网络中新出现的未知病毒后,产生的新的记忆检测器被网络中其它节点获取的过程及服务器节点利用疑似病毒库判断可疑样本文件的过程。
(1)如附图2所示,节点Pc1上记忆检测器初始化包括以下步骤:
步骤101)节点Pc1从M个正常的可执行文件中提取特征码,再排列组合得到长度为m位的字符串集合为自我集,非自体采用m位的病毒特征码,每一个m位的字符串为一个病毒特征码,选择网络中已知的T个病毒特征码组成初始非自我集合,随机生成初始未成熟检测器,即m位属性串集合;其中M、T、m可根据实际需要选取;
步骤102)将随机生成的初始未成熟检测器即m位属性串集合与自我集进行耐受训练,若未成熟检测器中的免疫细胞与自我集匹配概率达到预先设定的匹配阈值r0,说明检测器识别自体元素;检测器识别出的自体集中的任何一个元素,将其丢弃,剩下属性串集合成为首次成熟检测器;
步骤103)将首次成熟检测器与非我集每一个元素进行匹配,丢弃匹配概率值低于预先设定的阈值r1的免疫细胞,剩下的属性串集合成为二次成熟检测器;
步骤104)将入侵抗原和所有成熟检测器中的免疫细胞进行匹配,若不匹配,则删除该免疫细胞;若匹配成功,则此成熟检测器被激活。在预先设定的一段时间内成熟检测器中的免疫细胞与抗原匹配次数达到预先设定的次数,节点Pc1将成熟检测器中的该免疫细胞加入记忆检测器,当节点记忆检测器中的免疫细胞达到预先设定的数量后,节点Pc1上记忆检测器的初始化过程完成。
其中,r0为初始未成熟免疫细胞与自我集匹配的阈值;r1为首次成熟检测器与非我集匹配的阈值。
(2)如附图3所示,节点Pc1检测可疑样本文件包括以下步骤:
步骤201)节点Pc1提取某可疑样本文件的特征码m位字符串,将该字符串与记忆检测器中的免疫细胞相匹配,若匹配结果高于预先设定的阈值r2,则判断该可疑样本文件为网络中出现过的已知病毒,检测结束。否则,节点Pc1计算记忆检测器与非我集中免疫细胞的亲和力,选择亲和力高于预先设定阈值r3的一个子集进行克隆变异,得到变异后的检测器;
步骤202)随机生成N个未成熟检测器m位属性串的集合,加入变异后得到的检测器集合,将所得的检测器集合与自我集中的字符串进行匹配,丢弃匹配结果大于预先设定阈值r4的字符串,得到一个新的属性串集合,即生成了一个新的检测器;
通过多次仿真实验,发现当上述未成熟检测器个数取初始病毒特征码个数的一半时,新生成的检测器效率较高,因此本具体实施方式中,N=T/2,其中T为步骤101中病毒特征码的个数;
步骤203)将可疑样本文件的特征码与步骤202)生成的新的检测器进行匹配,若匹配结果高于预先设定的阈值r5,判断该可疑文件样本为新出现的病毒文件,同时节点Pc1将检测出新病毒的检测器加入自身记忆检测器中;否则,节点Pc1提取可疑文件样本的特征码提交服务器。
其中,r2为可疑样本文件与记忆检测器的匹配阈值;r3为记忆检测器与非我集元素的匹配阈值;r4为随机生成的未成熟检测器加入变异后的检测器集合形成新的检测器集合与自我集匹配的阈值;r5为可疑样本文件与新生成检测器的匹配阈值。
(3)网络中的节点共享节点Pc1新生成的记忆检测器包括以下步骤:
步骤301)节点Pc1将检测出新病毒的检测器,即与该可疑样本文件匹配的属性串加入记忆检测器后,同时向服务器发送新的记忆检测器生成消息,此消息中包括本节点的地址信息;
步骤302)服务器收到消息后在网络中广播产生新的记忆检测器的节点Pc1的地址;
步骤303)网络中的其它节点如Pc2收到服务器的广播消息后,Pc2获取了节点Pc1的地址后,不再通过服务器,而直接采用TCP/IP通信协议与节点Pc1建立通信,节点Pc2获取Pc1上新生成的记忆检测器,网络中的其他节点以同样的方式获取节点Pc1上新生成的记忆检测器,实现记忆检测器的共享。
(4)如附图4所示,服务器利用疑似病毒库判断普通节点无法判断的可疑样本包括以下步骤:
步骤401)服务器收到普通节点Pc1提取到的可疑文件样本的特征码后将其保存至疑似病毒库;
步骤402)设定服务器分析网络中节点发送可疑文件样本特征码的时间间隔为60秒,如在每个60秒内,服务器分析出网络中与节点Pc1发送相同可疑文件样本特征码的节点数占总节点数比例达到预先设定的阈值r6,则判断节点Pc1及与Pc1发送相同可疑文件样本特征码的其它节点发送的可疑文件为网络中出现的新病毒;否则,服务器判断此类可疑文件为正常文件。
步骤403)服务器将判断结果反馈给普通节点:若该可疑文件为正常文件,服务器将判断结果返回给节点Pc1及与Pc1发送相同可疑文件样本特征码的其它节点;若该可疑文件为网络中新出现的病毒,则服务器向网络中的普通节点发布该消息,普通节点收到消息后,通过一些策略判断自身节点有无新病毒的免疫细胞,如果有,节点就不做处理,如果没有,节点分析新病毒的特征码,生成免疫细胞。
本发明方法的整个流程如附图5所示。
本发明将人工免疫系统中的免疫算法应用于混合式对等网络中进行病毒检测,利用对等网络节点间对等和直接通信的特性实现新生成的记忆检测器的共享,并通过在服务器端建立疑似病毒库降低网络中病毒的漏检、误检率。本发明结合了对等网络技术和人工免疫技术的优越性,充分利用二者的优点,提高了网络病毒的检测效率。
Claims (2)
1.一种混合式对等网络中基于免疫算法的病毒检测方法,其特征在于,包括以下步骤:
步骤1)网络中的节点初始化记忆检测器;包括以下步骤:
步骤101)定义自我集为正常的程序代码集合,定义非我集为网络中出现过的已知病毒的特征码集合,随机生成初始未成熟检测器;
步骤102)将随机生成的初始未成熟检测器与自我集进行耐受训练,利用否定选择算法将初始未成熟免疫细胞中与自我集匹配概率达到预先设定的阈值r0的检测器删除,剩下的为首次成熟检测器;
步骤103)将首次成熟检测器与非我集进行匹配,丢弃匹配概率低于预先设定的阈值r1的免疫细胞,剩下的成为二次成熟检测器;
步骤104)将入侵抗原和二次成熟检测器中所有成熟免疫细胞进行匹配,若不匹配则删除该成熟免疫细胞;若匹配成功,则此二次成熟检测器被激活;如在预先设定的时间内二次成熟检测器中的成熟免疫细胞与入侵抗原匹配次数达到预先设定的次数,则此二次成熟检测器成为记忆检测器;
步骤2)网络中的节点病毒检测;包括以下步骤:
步骤201)将可疑样本文件与记忆检测器进行匹配,若匹配结果高于预先设定的阈值r2,判断该可疑样本文件为网络中出现过的已知病毒,检测结束;否则,计算记忆检测器与非我集中免疫细胞的亲和力,选择亲和力高于预先设定的阈值r3的一个子集进行克隆变异,得到变异后的检测器;
步骤202)随机生成N个未成熟检测器加入变异后的检测器,将所得的检测器与自我集进行自我耐受,丢弃匹配结果大于预先设定的阈值r4的免疫细胞,得到一个新的检测器;其中N为预先设定的整数;
步骤203)将可疑样本文件与步骤202)生成的新的检测器进行匹配,若匹配结果大于预先设定的阈值r5,判断该可疑样本文件为新出现的病毒,同时将检测出新病毒的检测器加入记忆检测器;否则,提取可疑样本文件的特征码提交服务器,检测结束;
步骤3)网络中的节点共享新生成的记忆检测器;包括以下步骤:
步骤301)生成新的记忆检测器的节点向服务器发送新的记忆检测器生成消息,此消息中包括本节点的地址信息;
步骤302)服务器收到消息后在网络中广播生成新的记忆检测器的节点的地址;
步骤303)其它节点收到服务器的广播消息后,根据服务器提供的生成新的记忆检测器的节点地址,直接与该生成新的记忆检测器的节点交互,获取新的记忆检测器,实现记忆检测器的共享;
步骤4)利用疑似病毒库判断节点无法判断的可疑样本。
2.根据权利要求1所述混合对等网络中基于免疫算法的病毒检测方法,其特征在于,利用疑似病毒库判别节点无法判断的可疑样本包括以下步骤:
步骤401)服务器收到节点Pc1提取到的可疑样本文件的特征码后将其保存至预先设置于服务器中的疑似病毒库;
步骤402)服务器观察网络中其它节点发送的可疑样本文件的特征码,如在预先设定的时间内与节点Pc1发送相同可疑样本文件特征码的网络中其它节点的节点数占总节点数比例达到预先设定的阈值r6,则服务器判断该可疑样本文件为网络中新出现的病毒;否则,服务器判断该可疑样本文件为正常文件;
步骤403)若该可疑样本文件为正常文件,服务器将判断结果返回给节点Pc1及与Pc1发送相同可疑文件样本特征码的其它节点;否则,服务器向网络中的节点发布网络中出现新的病毒消息;网络中的节点收到消息后,判断自身有无新病毒的免疫细胞,如果有,节点就不做处理,如果没有,节点分析新病毒的特征码,生成免疫细胞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010218625 CN101887498B (zh) | 2010-06-30 | 2010-06-30 | 混合式对等网络中基于免疫算法的病毒检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010218625 CN101887498B (zh) | 2010-06-30 | 2010-06-30 | 混合式对等网络中基于免疫算法的病毒检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101887498A CN101887498A (zh) | 2010-11-17 |
| CN101887498B true CN101887498B (zh) | 2012-09-26 |
Family
ID=43073415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010218625 Expired - Fee Related CN101887498B (zh) | 2010-06-30 | 2010-06-30 | 混合式对等网络中基于免疫算法的病毒检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101887498B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750490B (zh) * | 2012-03-23 | 2014-10-22 | 南京邮电大学 | 一种基于协作免疫网络进化算法的病毒检测方法 |
| CN102833228A (zh) * | 2012-07-27 | 2012-12-19 | 江苏亿通高科技股份有限公司 | 一种云计算环境下免疫网络的病毒检测系统及方法 |
| CN104253786B (zh) * | 2013-06-26 | 2017-07-07 | 北京思普崚技术有限公司 | 一种基于正则表达式的深度包检测方法 |
| CN103957203B (zh) * | 2014-04-19 | 2015-10-21 | 盐城工学院 | 一种网络安全防御系统 |
| CN106506369A (zh) * | 2015-12-31 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种获取地址信息的方法和装置 |
| CN106682505B (zh) * | 2016-05-04 | 2020-06-12 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、终端、服务器及系统 |
| CN107046549B (zh) * | 2017-05-31 | 2018-05-18 | 郑州轻工业学院 | 基于免疫的物联网分布式入侵检测方法及系统 |
| CN110457904A (zh) * | 2019-07-26 | 2019-11-15 | 南京邮电大学 | 一种对抗性环境中最优攻击样本获取方法 |
| CN113761591B (zh) * | 2021-08-04 | 2022-10-21 | 成都墨甲信息科技有限公司 | 基于人工免疫的电能数据篡改检测方法 |
| CN113743580B (zh) * | 2021-08-04 | 2023-02-10 | 四川大学 | 人工免疫模型获得方法和终端设备 |
| CN114117420B (zh) * | 2021-11-25 | 2024-05-03 | 北京邮电大学 | 一种基于人工免疫学的分布式多主机网络的入侵检测系统 |
| CN115296856B (zh) * | 2022-07-12 | 2024-04-19 | 四川大学 | 基于ResNet-AIS的加密流量网络威胁检测器进化学习方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别系统及方法 |
| CN101299691A (zh) * | 2008-06-13 | 2008-11-05 | 南京邮电大学 | 一种基于人工免疫的动态网格入侵检测方法 |
-
2010
- 2010-06-30 CN CN 201010218625 patent/CN101887498B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别系统及方法 |
| CN101299691A (zh) * | 2008-06-13 | 2008-11-05 | 南京邮电大学 | 一种基于人工免疫的动态网格入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 高子渝等.基于多Agent系统的计算机病毒免疫检测模型.《西北大学学报(自然科学版)》.2005,第35卷(第1期),21-24. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101887498A (zh) | 2010-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101887498B (zh) | 混合式对等网络中基于免疫算法的病毒检测方法 | |
| Fenanir et al. | A Machine Learning-Based Lightweight Intrusion Detection System for the Internet of Things. | |
| Nguyen et al. | Proactive detection of DDoS attacks utilizing k-NN classifier in an anti-DDoS framework | |
| Jesi et al. | Secure peer sampling | |
| Khan et al. | A hybrid technique to detect botnets, based on P2P traffic similarity | |
| Osman et al. | Artificial neural network model for decreased rank attack detection in RPL based on IoT networks | |
| Tang et al. | Mining sensor data in cyber-physical systems | |
| Akbani et al. | EMLTrust: an enhanced machine learning based reputation system for MANETs | |
| Vijayakumar et al. | Fuzzy logic–based jamming detection algorithm for cluster‐based wireless sensor network | |
| Anand et al. | A rule based approach for attribute selection and intrusion detection in wireless sensor networks | |
| CN112204930B (zh) | 恶意域名检测设备、系统和方法 | |
| Wang et al. | Coordinated cyber-attack detection model of cyber-physical power system based on the operating state data link | |
| Ambusaidi et al. | Intrusion detection method based on nonlinear correlation measure | |
| Wu et al. | Scaling proof-of-authority protocol to improve performance and security | |
| Bhagat et al. | Content-based file sharing in peer-to-peer networks using threshold | |
| Ying et al. | PFrauDetector: a parallelized graph mining approach for efficient fraudulent phone call detection | |
| Nanda et al. | Node sensing & dynamic discovering routes for wireless sensor networks | |
| Svecs et al. | Xidr: A dynamic framework utilizing cross-layer intrusion detection for effective response deployment | |
| Zhang et al. | A Fuzzy‐Decision Based Approach for Composite Event Detection in Wireless Sensor Networks | |
| Orlinski et al. | Quality distributed community formation for data delivery in pocket switched networks | |
| Zhang et al. | Detection of zombie followers in SINA Weibo | |
| Medhat et al. | Towards distributed layered intrusion detection system for large scale wireless sensor networks | |
| Teng et al. | Immune system inspired reliable query dissemination in wireless sensor networks | |
| Moskvin et al. | Methods of protecting self-organizing networks against attacks on traffic routing | |
| Li et al. | Location estimation for wireless sensor networks with attack tolerance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120926 Termination date: 20150630 |
|
| EXPY | Termination of patent right or utility model |