CN101950334B - 基于计算机免疫的信息系统危险感知方法及系统 - Google Patents

Abstract

本发明涉及信息安全技术领域，尤其涉及一种基于计算机免疫的信息系统危险感知方法及系统。本发明认为信息系统中的各种细微变化是危险产生的根源，借鉴微分学的方法，通过对变化规律的分析，发现信息系统中的潜在危险并将其定义为危险信号；结合免疫学中的危险理论原理，实现危险的自适应性捕获；模拟生物体中抗原提呈细胞的功能，构造了人工抗原提呈细胞集合，实现了危险信号的融合，最终为信息系统安全状态的综合分析提供依据。本发明的实现原理亦可用于软硬件的故障诊断、异常发现等领域，具有广泛的应用前景。

Description

基于计算机免疫的信息系统危险感知方法及系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于计算机免疫的信息系统的危险感知方法及系统。

背景技术

随着计算机和互联网技术的发展，信息系统在国民生产和日常生活中起到越来越重要的作用。信息系统的安全状况对系统的正常工作和稳定运行至关重要。因此，捕捉信息系统中可能出现的危险，发现信息系统中潜在的安全隐患，是信息系统建设的一个重要环节，也是评估信息系统安全性和可靠性的重要依据。

目前的信息系统均面临着“内忧”和“外患”两种形式的威胁。

对外而言，由于互联网的普及和发展，信息的共享程度越来越高，网络上各种形式的病毒、木马、蠕虫等恶意软件泛滥，严重威胁着信息系统的安全。

对内而言，信息系统的功能越来越丰富，集成化程度越来越高，运行环境也日趋复杂。复杂性给信息系统带来了不稳定因素，也导致了系统运行过程中容易出现失效甚至是故障，带来难以想象的后果。

同时，由于信息系统功能的不断完善和发展，其逐渐演变成具有动态性、开放性和智能性的复杂巨型系统。要对这些巨型系统的安全状态进行分析，所面对的问题空间显然是海量的。目前的传统安全诊断和故障检测方法都是基于特征码、推理规则等手段进行安全状态的分析和判断。该类方法的共同特点是：依赖于先验知识。由此导致该类静态分析方法缺乏主动性和智能性，难以应对未知的危险。

计算机免疫学是一门借鉴人体免疫系统的工作原理和机制，能够自适应地解决计算机领域中复杂问题的新兴的学科。免疫学中的危险理论认为：免疫系统的功能是以机体自身的健康状态为中心，保护机体不受自身病变和外界入侵所带来的有害物质的影响，捕捉威胁生命系统健康的危险因素，以实现生命体征平衡、和谐、健康的发展。2002年英国诺丁汉大学的计算机免疫研究小组将生物免疫学中的危险理论引入计算机免疫学的研究中，为计算机免疫学的发展提供了一条新的思路。危险理论着重关注导致系统异常或“病变”的潜在危险因素，即危险信号。该方法在一定程度上解决了抗原空间过大的问题，将分析的抗原空间缩小到一个合适的范围，提高了问题的解决效率。但在危险理论的实际应用过程中，在危险信号的定义和捕获问题上存在人工依赖性强、自适应性差和缺乏普适性等缺点。

发明内容

针对上述存在的技术问题，本发明的目的是提供一种基于计算机免疫的信息系统危险感知方法及系统，重点关注信息系统的开放性和抗原空间的海量性问题，从信息系统各种指标的变化中感知信息系统可能存在的危险，并将其定义为危险信号。该方法解决了目前危险信号获取和抗原提呈过程中存在的局限性问题和人工依赖问题，实现了危险信号的融合，能有效地评估信息系统的健康状态。

为达到上述目的，本发明采用如下的技术方案：

一种基于计算机免疫的信息系统的危险感知方法：

①对信息系统中各种资源的使用情况进行实时采集，获取变化分析和危险发现所需的数据；

②利用数值微分方法建立变化的表示机制，从各种资源的使用情况中提取变化，并以此作为危险分析的对象；

③模拟生物中的免疫机理，构建人工抗原提呈细胞群体，实现危险抗原的提呈，从而对信息系统运行的安全状况做出综合判定。

所述步骤②以实时采集到的数据为分析基础，构建数字微分分析器以完成变化的分析与捕获，具体包括以下子步骤：

将采集到的各种资源指标作为分析对象，输入到数字微分器中，以时间为单位确定变化比较窗口，以滑动窗口的方式将采集到的数据进行前后对比；

利用各种变化比较方法，计算比较样本点之间的差值，超过预先设定的变化阈值的指标即认为产生变化；

微分分析器综合各种距离分析公式，以实现变化的微分描述，并将这种变化作为可能的危险信号，供人工抗原提呈细胞进行群体分析，实现抗原的提呈。

所述步骤③的综合判定过程进一步包括以下子步骤：

随机生成第一代人工APC群体，该APC群体上随机装配多个TLR受体；

根据TLR受体与抗原的结合程度计算TLR的适应值，综合APC上多个TLR受体的适应值，计算得到APC适应值；

若计算得到的APC适应值大于激活阈值则APC细胞被激活，产生共刺激信号；

若人工APC群体中的共刺激信号总数大于共刺激阈值，则判定系统状态有危险发生。

所述微分分析器采用的距离分析公式包括欧氏距离公式、绝对距离公式、夹角余弦公式、相关系数公式。

一种基于计算机免疫的信息系统的危险感知系统：

实时状态采集器模块，用于对信息系统中的常用指标进行周期性的采集，所采集的指标具有任意性和普遍性，采集的结果送入到数字微分分析器模块，作为对系统中各种变化和异常进行分析的依据；

数字微分分析器模块，利用差分近似微分方法描述变化，使用目标对象距离指数或相似性指数来比较不同时间段内检测对象的特征差异，根据给定的阈值判断目标对象是否发生变化；

人工抗原提呈细胞融合分析模块，对数字微分分析器模块中分析获得的各种资源变化情况进行融合，以实现整个信息系统安全状况的综合判断。

所述实时状态采集模块包括：扫描型采集器，每隔一段时间主动地扫描采集对象的信息，获取采集数据，该采集器主要针对变化快，信息量较小的指标；

触发型采集器，仅当采集对象发生变化时才获取这些变化的数据，该采集器主要针对变化慢，信息量大的指标。

所述数字微分分析器模块中利用差分近似微分方法描述变化，分别采用向前差分、向后差分和中心差分的方法。

所述人工抗原提呈细胞融合分析模块中，人工抗原提呈细胞APC通过表面TLR受体来进行各种抗原的融合，通过APC群体的综合判断来决定信息系统的安全状况，其中人工抗原提呈细胞APC的定义包括APC编号、APC适应值、APC标志位；表面TLR受体的定义包括TLR编号、TLR名称、TLR阈值、TLR权重。

所述人工抗原提呈细胞融合分析模块中，采用字符串精确匹配的方式实现TLR受体与抗原的匹配。

本发明具有以下优点和积极效果：

1)通过在信息系统中建立多种采集器，对信息系统的多种性能指标进行较全面的实时采集与汇总，为信息系统的变化感知提供数据基础；

2)认为变化是信息系统产生危险的潜在因素，利用微分学的方法进行变化的描述和发现，缩小了问题空间，提高了分析效率，解决了目前危险信号定义依赖专家经验的问题，实现了危险的自适应感知；

3)模拟人体免疫系统中抗原提呈细胞的功能，实现各种危险信号的关联和融合，从整体上对系统的安全状况进行综合判定，降低误报发生的可能性。

附图说明

图1是本发明提供的基于计算机免疫的信息系统的危险感知系统的功能结构图。

图2是本发明中资源采集器模块的体系结构图。

图3是本发明中资源采集器的功能模块图。

图4是本发明中人工APC结构图。

图5是本发明中人工APC激活流程图。

具体实施方式

本发明提供一种基于计算机免疫的信息系统危险感知方法，其理论基础为：

变化是危险发生的征兆和外在表现，无论是来自内部的或外部的危险都表现为某些系统行为或指标的变化。本发明将计算机的各种资源使用情况作为函数，以数学中描述函数变化规律的微分学为工具，动态、自适应地捕捉系统各种指标的变化，描述变化之间关系，并以此作为危险进行信息系统安全状况的分析。

本发明提供的基于计算机免疫的信息系统的危险感知方法，利用数字微分方法发现资源运行过程中的异常变化，并通过对这些变化的筛选来捕获危险信号。同时，模拟人体免疫系统中的抗原提呈细胞(APC)，实现危险信号的接收和融合，具体来说包括以下步骤：

步骤1：对信息系统中各种资源的使用情况进行实时采集，获取变化分析和危险发现所需的数据；

信息系统的正常运行有其固有的特征，对内表现为各种模块、函数之间的调用关系，对外表现为各种系统资源：CPU、内存、网络流量等的使用情况。系统的内部“病变”或受到外部攻击都不可避免地带来内部函数关系的异常变化，其外在表现为系统资源使用情况的微小改变。通过对这些系统资源的实时采集，捕获各种变化的蛛丝马迹，是进行系统健康诊断的基础。

本发明对系统中的多种资源，如下表系统指标采集表所示的使用情况进行实时地采集。根据采集指标的特点，本发明构造的采集器分为两类：扫描型和触发型。

扫描型采集器的特点是，采集器每隔一段时间主动地扫描采集对象的信息，获取采集数据，这类采集器主要针对如CPU、内存等变化快，信息量较小的指标；触发型采集器的特点是，仅当采集对象发生变化时才获取这些变化的数据，这类采集器主要针对注册表等变化慢，信息量大的指标。

表1：系统指标采集表

计算机资源状态的采集在计算机领域是一项基础且较容易实现的工作。利用各种编程语言提供的API，就可以获取部分资源的使用情况，如CPU或内存占用率等。因此，信息采集的具体实现对软件编程人员来说是常规的技术手段，在此不予赘述。

步骤2：利用数值微分方法建立变化的表示机制，从各种资源的使用情况中提取变化，并以此作为危险分析的对象；

计算机中各种资源的使用情况，可以看成是资源使用随时间变化的函数。数学中利用微分的方法研究函数的变化规律和趋势，借用数学中导数和微分的方法研究计算机资源使用的变化，有其先天优势。

数值微分是微分学的一个分支，其基本思想是，先利用函数f(x)在一些离散点上的信息构造一个简单的函数p(x)去逼近f(x)，然后用p(x)的微商去近似f(x)的微商。此方法满足计算机中所获取的资源信息离散性的特点，解决了离散函数求微分或导数的问题，为资源使用变化的表达提供了较好的解决办法。

在实践过程中，本方法使用各种描述差分方法来实现对微分的描述。经过对工程应用过程中各种变化描述方法的分析，借鉴遥感与测量领域中广泛使用的特征点距离分析方法来描述信息系统中各种资源指标的变化，并以此作为可能的危险信号供人工抗原提呈细胞进行分析。

实时采集到的数据为分析基础，构建数字微分分析器以完成变化的分析与捕获。

首先将采集到的各种资源指标作为分析对象，输入到数字微分器中，以时间为单位确定变化比较窗口，以滑动窗口的方式将采集到的数据进行前后对比；

然后利用各种变化比较方法，计算比较样本点之间的差值，超过预先设定的变化阈值的指标即认为产生变化。

欧氏距离： $d_E=\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_{\mathrm{ri}}-x_{\mathrm{ti}})}^2}---\left(1\right)$

绝对距离： $d_C=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}|x_{\mathrm{ri}}-x_{\mathrm{ti}}|---\left(2\right)$

夹角余弦： $S_{\mathrm{rt}}=\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_{\mathrm{ri}}\·x_{\mathrm{ti}}}{\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x_{\mathrm{ri}}}^2\·\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x_{\mathrm{ti}}}^2}}---\left(3\right)$

相关系数： $r_{\mathrm{rt}}=\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}(x_{\mathrm{ri}}-\stackrel{\‾}{x_r})\·(x_{\mathrm{ti}}-\stackrel{\‾}{x_t})}{\sqrt{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_{\mathrm{ri}}-\stackrel{\‾}{x_r})}^2\·\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_{\mathrm{ti}}-\stackrel{\‾}{x_t})}^2}}---\left(4\right)$

微分分析器通过对各种指标的采集，综合各种距离分析公式，以实现变化的微分描述。并将这种变化作为可能的危险信号，供人工抗原提呈细胞进行群体分析，实现抗原的提呈。

步骤3：模拟生物中的免疫机理，构建人工抗原提呈细胞群体(APCs，Antigen PresentingCells)，实现危险抗原的提呈，从而对信息系统运行的安全状况做出综合判定。

获取危险信号后，需要建立人工抗原提呈细胞，进行危险信号的融合，进而对信息系统健康状况做出综合判定。这里分为三个步骤：建立人工抗原提呈细胞，进行危险信号融合，为系统健康状况进行评估。

抗原提呈细胞(APC)是机体免疫中连接先天免疫和适应性免疫的一类重要细胞。机体中，APC一般存在于组织中，并四处游走，扮演类似“哨兵”的角色。它的主要功能是识别并融合危险信号、捕获抗原。APC表面附着有TLR受体与各种不同类型的危险信号结合。当危险信号的浓度达到一定程度时，APC被激活，离开组织进入淋巴结，释放能激活淋巴细胞的共刺激信号，并将捕获的抗原提呈给淋巴细胞识别。

模拟APC的功能建立人工抗原提呈细胞，通过人工APC群体作用进行危险信号的融合，即找到“变化”之间的相互关系，以此作为判断系统是否“病变”的依据。随着危险信号的增多，人工APCs不断地被激活，按照危险信号的类型、级别、程度进行分类、融合；当危险信号达到一定程度，激活的APCs浓度会上升到不同的阈值，这时候依据阈值及激活APCs的情况，对信息系统健康程度进行评价。

具体实现方法如下：

a)该判定方法首先随机生成第一代人工APC群体，该APC群体上随机装配多个TLR受体；

b)根据TLR受体与抗原的结合程度计算TLR的适应值，综合APC上多个TLR受体的适应值，计算得到APC适应值；

c)若计算得到的APC适应值大于激活阈值则APC细胞被激活，产生共刺激信号；

d)若人工APC群体中的共刺激信号总数大于共刺激阈值，则判定系统状态有危险发生。

人工APC产生过程中，为了提高本发明的智能性和自适应性，根据上一代APC的适应值，保留一部分具有较高抗原识别能力的APC供本次使用，增加了APC群体的识别能力。最终促使人工APC群体自动演化，以更快速、准确的识别危险信号，提高检测效率。

下面结合附图进一步对本发明提供的基于计算机免疫的信息系统的危险感知系统进行详细描述：

如图1所示，基于计算机免疫的信息系统的危险感知系统的功能结构包括：

1、实时状态采集器

该功能模块主要功能是对信息系统中的常用指标进行周期性的采集，所采集的指标具有任意性和普遍性，采集的结果送入到数字微分分析器，作为对系统中各种变化和异常进行分析的依据。主要采集对象包括：CPU使用率、各种API调用次数、注册表修改次数、各种网络数据包流量等，具体的采集指标参见表1所示的系统采集指标。

本系统构造的采集器分为两类：扫描型和触发型。扫描型采集器的特点是，采集器每隔一段时间主动地扫描采集对象的信息，获取采集数据，这类采集器主要针对如CPU、内存等变化快，信息量较小的指标；触发型采集器的特点是，仅当采集对象发生变化时才获取这些变化的数据，这类采集器主要针对注册表等变化慢，信息量大的指标。

为获取多种采集指标的信息，系统为每类采集指标都构造了相应的采集器，如CPU采集器、注册表采集器、API调用采集器和网络流量采集器等，如图2所示。为实现采集器的可扩展性，系统使用了配置文件的方式，使得系统可以根据需要加载各种采集器，实现不同采集指标信息的获取。实时状态采集器的工作流程如图3所示。

加载配置文件：解析用户配置的采集任务文件，根据此文件可以指定需要加载的采集器，并设置采集时间间隔。

实例化采集器：根据加载的配置文件中的内容实例化各个采集器。对于扫描型采集器，在实例化后即进入等待状态；对于触发型扫描器，在实例化后即开始运行，获取采集指标的变化数据。

采集各项指标：当到达采集时刻时，从各种采集器获取采集指标的数据。对于扫描型采集器，此时调用相应的API获得数据；对于触发型采集器，返回上个采集周期中获得的变化数据。

采集数据上传：将各采集器采集的数据按照相应的格式打包上传给数字微分器。

2、数字微分分析器

由于计算机中数据的离散性，在对系统各种资源的表述过程中，我们使用差分近似微分的方法来描述变化，得到危险信号。首先将采集到的各种数据指标送入到数字微分器中进行分析，求出其中的变化，以实现各种目前的变化检测方法主要按时间段将检测目标的各种参数指标进行比对和分析来发现变化。其检测方法主要是使用目标对象距离指数或相似性指数等指标来比较不同时间段内检测对象的特征差异，然后根据给定的阈值判断目标对象是否发生变化。我们通过综合采用各种用于变化检测的距离指数和相似性指数来进行差分、微分模拟，实现变化的发现和描述，完成数字微分分析器的功能。

危险信号的表达

在计算机系统中多数系统变量都是离散函数，且在计算机中处理求导、求微分运算，也需要将连续的函数离散化。借鉴数值微分的方法，可以将求导、求微分的过程离散化。根据数值微分的计算方法，分别采用向前差分、向后差分和中心差分近似，本发明给出的危险信号DS的表达如下，其中R是参照系：

DS＝dV＝{dv₁，dv₂，…dv_n}＝{dg₁(R)，dg₂(R)，…，dg _n(R)}

危险信号是多个系统变量的变化值的集合。参照数值微分的计算方法，可以分别用向前、向后、中心差分的方法表达危险信号的值。

(1)危险信号的向前差分近似表达：

ds_i≈g_i(R_i+1)-g_i(R_i)

DS≈{(g₁(R_i+1)-g₁(R_i))，(g₂(R_i+1)-g₂(R_i))，…(g_n(R_i+1)-g_n(R_i))}

其中ds_i表示某个具体的系统变量的危险信号，DS表示危险信号的全体集合。

(2)危险信号的向后差分近似表达：

ds_i≈g_i(R_i)-g_i(R_i-1)

DS≈{(g₁(R_i)-g₁(R_i-1))，(g₂(R_i)-g₂(R_i-1))，…(g_n(R_i)-g_n(R_i-1))}

(3)危险信号的中心差分近似表达

${\mathrm{ds}}_i\≈\frac{g_i\left(R_{i+1}\right)-g_i\left(R_{i-1}\right)}{2}$

$\mathrm{DS}\≈\{\frac{(g_1\left(R_{i+1}\right)-g_1\left(R_{i-1}\right))}{2},\frac{(g_2\left(R_{i+1}\right)-g_2\left(R_{i-1}\right))}{2},\·\·\·\frac{(g_n\left(R_{i+1}\right)-g_n\left(R_{i-1}\right))}{2}\}$

本发明在表达危险信号时采用的是向后差分的近似表达方法。

危险信号的数据结构

危险信号来源于各种系统变量的变化，为区分与不同系统变量对应的危险信号、提供TLRs受体识别的位点，本发明为危险信号设计的数据结构如下所示：

ds_Category

ds_Name

ds_Value

上述数据结构为与某个系统变量相对应的单个危险信号的结构，其中ds_Category表示危险信号的类型，初步的分析认为，ds_Category＝{渐变型，跳变型，突变型，复合型}，ds_Category确定危险信号被TLRs受体识别时采用哪种判定阈值。

ds_Name是危险信号的名称，表达的信息是危险信号与哪个系统变量相对应，ds_Name＝{v₁，v₂，…v_n}，以计算机系统为例，ds_Name{CPU，内存，网络流量……}。ds_Name唯一确定危险信号被哪种TLRs受体识别。

ds_Value是危险信号的取值，也就是对应系统变量的变化量，ds_Value与TLRs的阈值直接匹配，确定该危险信号是否能被TLRs识别为有效危险信号。

利用数字微分对变化的描述，可以定义出相应的危险信号，人工抗原提呈细胞通过对危险信号的识别和多种危险信号的融合实现信息系统安全状况的判断。

3、人工抗原提呈细胞融合分析模块

本发明中的人工APC模拟生物系统中APC的功能，对数字微分分析器中捕获的各种资源变化情况进行融合，以实现整个信息系统安全状况的综合判断。

实现该功能模块需完成以下步骤：

(1)人工APC的定义

人工APC的主要功能是通过表面TLR受体来进行各种抗原的融合，通过APC群体的综合判断来决定信息系统的安全状况。发明中的人工APC以群体的方式工作，在进行信息系统安全状况的判定过程中，利用群体作用来给出判定结果。

如图4所示，人工APC的定义主要包含以下几个方面：

a)APC编号：APC在群体中唯一性的标识。

b)APC适应值：APC表面附着的各种TLR受体与抗原匹配后所综合产生的值，该值大于激活阈值就会产生共刺激信号。

c)APC标志位：标识APC细胞是否被激活，每次激活后标志位置1，每轮识别过后该位清零。

生成的APCs是一个规模为NA的群体，每个APC上装配NR个TLRs受体。算法1中用伪代码表示人工APCs群体的生成过程。

算法1：人工APCs群体生成

#define APCs_POPSIZE＝NA    //定义APCs群体的规模

#define APC_TLRs＝NR        //定义每个APC上TLRs受体的个数

Initialize_APCs(entity)     //初始化APCs群体，entity是APCs群体的实体

{  int n＝1；//APC_serial是当前生成的APC的编号

   while(n＜＝APCs_POPSIZE)

   {   Create_APC(n)；            //调用生成APC个体的函数

       n++；

   }

}

Create_APC(int n)

{   int m＝1

    while(m＜＝APC_TLRs)

    {  Assemble_random(TLR)；  //随机装配TLRs受体

       m++；

     }

    APC_Adaption＝0；      //新生成的APC个体的初始适应值置0

    APC_serial＝n；        //新生成的APC个体在群体中的编号为n

}

(2)APC表面TLR受体的定义

依据生物免疫的原理，TLR(TLR，Toll-like receptor)受体是APC细胞上识别危险信号的一种受体。设计人工APC的首要问题是设计人工TLR受体。该TLR受体的主要作用是与危险抗原进行特异性的结合，并提取抗原特征供APC分析并实现各种危险抗原信号的融合。

人工APC对抗原的识别和抗原信息的提呈功能都是由附着在其表面的TLR受体实现的，TLR受体通过模式识别与匹配的方式捕捉抗原信息。

TLR受体的定义主要包含以下几个方面：

a)TLR编号：TLR受体在群体中唯一性的表示

b)TLR名称：该名称与各种抗原的名称相对应，用于进行抗原与受体的特异性匹配

c)TLR阈值：表示对应的TLR受体与抗原匹配后，达到成熟的值

d)TLR权重：由于抗原的危害性各有不同，通过TLR权重的设定来表示匹配成功后对激活APC细胞的贡献度。

模拟生物体中的APC细胞，本发明中定义的人工APC细胞上装配有多个TLR受体以实现抗原的融合。APC上的受体是以随机选择的方式进行装配的，通过系统的实际运行状况来进行自适应的演化，使得人工APC和受体能够自动向发现危险抗原的方向聚集，实现系统的智能性和自适应性。

(3)TLR受体与危险抗原的匹配方式

本发明中，为提高抗原匹配的效率与准确性，采用字符串精确匹配的方式实现TLR受体与抗原的匹配。在TLR受体定义的过程中，将TLR受体的名称定义为各种可能的危险抗原的名称，利用此名称的精确匹配实现受体发现抗原的过程。

实现抗原结合的APC是随机产生的，通过随机装配TLR受体实现与抗原的自适应性结合，在通过自适应的演化之后，实现人工APC对抗原的智能性、多样性和自适应性识别。

(4)人工APC群体的激活过程

人工APC群体利用集群判定的方式，综合信息系统中所有的危险信号，实现自适应的判定系统的安全状况，具体实现方式如图5所示。

首先，从各类备选的TLRs受体中随机选择，并生成规模为P的人工APCs群体，在识别某一时间段危险信号的过程中，由于每个APC上装配的TLRs受体各不相同，因此APC的识别能力也有所区别，形成APC适应值的差异。

一轮识别后，采用排队的方式选择适应值较高的NA×x％个APC个体复制到下一代，并以概率P选择个体两两杂交，其中NA是种群的规模，x％是从种群中保留到下一代的APCs的比例。。再根据TLRs的适应值，用轮盘赌的方式生成NA×y％个APCs补充到下一代，其中x％+y％＝1。

APCs群体在当前的环境训练G代后，开始用于接收危险信号并产生共刺激信号。当单个APC的适应值＞激活阈值，该APC激活并产生共刺激信号。若APC群体产生的共刺激信号浓度＞CO_Concentration，淋巴细胞被激活。

每接受一轮危险信号，APCs群体就更新一次，淘汰适应值较差的APC个体、补充新的APC个体。

人工APCs群体演化过程

在训练和识别危险信号的过程中不断演化，以适应当前的内外环境，尽可能快速、准确地发现危险信号。人工APCs在演化的过程中，部分性能较好的APCs要予以保留；对选中的部分APCs进行杂交，得到性能更好的APCs；淘汰部分性能较差APCs，从TLRs中采用轮盘赌的方式重新生成部分APCs补充到群体中。因此本发明在实现人工APCs演化的过程中设计了人工APCs的选择算子、杂交算子、补充算子，并分别用伪代码表示。

人工APCs的选择是以排序的方式从父代中选择适应值排在前列的x％个APCs直接复制到子代。

算法2：人工APCs选择

Select_APCs(pop.entity，newpop.entity)

//pop.entity和newpop.entity分别是父代APCs群体和子代APCs群体的实体

{ int temp，n＝1，m＝1；

 while(n＜＝APCs_POPSIZE)//分别计算每个父代APC个体的适应值

  { while(m＜＝APC_TLRs) //APC个体的适应值等于TLRs适应值之和

     {  pop.n.APC_Adaption＝pop.n.APC_Adaption+pop.TLR_Adaption；

        m++；

     }

    n++；

  }

Sort_APCs(entity.APC_Adaption，APCs_POPSIZE)//依据适应值对APC排序

temp＝Select_APC_Adaption(NA×x％)；//取最小一个被选中APC的适应值

while(entity.APC_Adaption＞＝temp)

{  Copy(newpop.APC，pop.APC)        //将选中的父代APC复制到子代

       APC_Adaption＝0；        //子代中APC个体的初始适应值置0

       APC_Count＝0；            //子代中APC个体识识别次数置0

  }

对从父代中选择的x％个子代，以概率P进行杂交，希望获得更适合当前状态的个体。

算法3：人工APCs杂交

 Crossover_APCs(parent1，parent2，child1，child2)

{  int P，k                   //P是杂交概率，k是杂交点

if(flip(P))                   //flip函数以概率P产生0或1

      {   k＝random(1，APC_TLRs)；      //随机产生值作为杂交点

          child1[1～k]＝parent1[1～k]；  //在杂交点处杂交生成子代个体

          child1[k+1～APC_TLRs]＝parent2[k+1～APC_TLRs]；

          child2[1～k]＝parent2[1～k]；

          child2[k+1～APC_TLRs]＝parent1[k+1～APC_TLRs]；

      }

}

本发明中提出的人工APCs补充算子，类似于演化计算中的杂交算子。补充算子是对TLRs受体的适应值用轮盘赌的方式选择TLRs受体装配生成新的APC，这部分APCs占子代总比例的y％。补充算子与变异算子相比，变异率更高，能更快速地生成适应值较高的APCs。

算法4：人工APCs补充

Complement_APCs(pop.entity，newpop.entity)

{ int temp，n，m；

    int n＝1；

     while(n＜＝NA×y％)//新生成NA×y％个APC

     {  Create_NEW_APC(n)；       //调用生成新APC个体的函数

        n++；

      }

}

Create_NEW_APC(int n)

{    int m＝1

     while(m＜＝APC_TLR)

     {  Assemble_roulette(TLR)；//采用轮盘赌的方式装配TLRs受体

        m++；

      }

   APC_Adaption＝0；       //新生成的APC个体的初始适应值置0

   APC_serial＝n；       //新生成的APC个体在群体中的编号为n

}

演化过程模拟生物中细胞的进化原理，人工APCs新陈代谢的过程随系统状态而发展，自主调节到与当前的系统环境相适应。一段时间内对某种危险信号敏感度高的APC个体被保留且增殖，以便更好地发现当前环境下易出现的危险。

本发明用APC_Adaption适应值评价APC对当前系统状态的适应情况。考虑到APC上发挥作用的主要功能部件是TLRs，APC_Adaption的值为APC上的所有TLRs受体适应值的累加。

人工APC的激活

当TLRs识别的危险信号达到一定浓度，单个人工APC被激活。在计算机系统中，危险信号的浓度用同一人工APC上多个TLRs受体识别到的危险信号的值累加得到。用DS_Concentration指代危险信号的浓度，如果

则该APC被激活，释放共刺激信号，否则APC保持静息状态。

上述实例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明做出任何的修改和改变，都落入本发明的保护范围。

Claims (2)

1.一种基于计算机免疫的信息系统危险感知方法，其特征在于，包括以下步骤：

①对信息系统中各种资源的使用情况进行实时采集，获取变化分析和危险发现所需的数据；

②利用数字微分方法建立变化的表示机制，从各种资源的使用情况中提取变化，并以此作为危险分析的对象；

其中以实时采集到的数据为分析基础，构建数字微分分析器以完成变化的分析与捕获，具体包括以下子步骤：

将采集到的各种资源指标作为分析对象，输入到数字微分分析器中，以时间为单位确定变化比较窗口，以滑动窗口的方式将采集到的数据进行前后对比；

利用上述变化比较方法，计算比较样本点之间的差值，超过预先设定的变化阈值的指标即认为产生变化；

数字微分分析器综合各种距离分析公式，以实现变化的微分描述，并将这种变化作为可能的危险信号，供人工抗原提呈细胞进行群体分析，实现抗原的提呈；所述数字微分分析器采用的距离分析公式包括欧氏距离公式、绝对距离公式、夹角余弦公式、相关系数公式；

③模拟生物中的免疫机理，构建人工抗原提呈细胞群体，实现危险抗原的提呈，从而对信息系统运行的安全状况做出综合判定，包括以下子步骤：

随机生成第一代人工抗原提呈细胞群体，该人工抗原提呈细胞上随机装配多个TLR受体；

根据TLR受体与抗原的结合程度计算TLR的适应值，综合人工抗原提呈细胞上多个TLR受体的适应值，计算得到人工抗原提呈细胞适应值；

若计算得到的人工抗原提呈细胞适应值大于激活阈值则其被激活，产生共刺激信号；

若人工抗原提呈细胞群体中的共刺激信号总数大于共刺激阈值，则判定系统状态有危险发生。

2.一种基于计算机免疫的信息系统危险感知系统，其特征在于，包括：

①用于对信息系统中各种资源的使用情况进行实时采集、获取变化分析和危险发现所需的数据的模块；

②用于利用数字微分方法建立变化的表示机制、从各种资源的使用情况中提取变化、以此作为危险分析对象的模块；该模块还用于以实时采集到的数据为分析基础，构建数字微分分析器以完成变化的分析与捕获；

该模块包括以下子模块：

用于将采集到的各种资源指标作为分析对象，输入到数字微分分析器中，以时间为单位确定变化比较窗口，以滑动窗口的方式将采集到的数据进行前后对比的子模块；

用于利用上述变化比较方法，计算比较样本点之间的差值，超过预先设定的变化阈值的指标即认为产生变化的子模块；

用于数字微分分析器综合各种距离分析公式，以实现变化的微分描述，并将这种变化作为可能的危险信号，供人工抗原提呈细胞进行群体分析，实现抗原的提呈的子模块；

③用于模拟生物中的免疫机理、构建人工抗原提呈细胞群体、实现危险抗原的提呈、对信息系统运行的安全状况做出综合判定的模块；

该模块包括以下子模块：

用于随机生成第一代人工抗原提呈细胞群体，该人工抗原提呈细胞上随机装配多个TLR受体的子模块；

用于根据TLR受体与抗原的结合程度计算TLR的适应值，综合人工抗原提呈细胞上多个TLR受体的适应值，计算得到人工抗原提呈细胞适应值的子模块；

用于当计算得到的人工抗原提呈细胞适应值大于激活阈值则其被激活，产生共刺激信号的子模块；

用于当人工抗原提呈细胞群体中的共刺激信号总数大于共刺激阈值，则判定系统状态有危险发生的子模块。

Images