CN1848765A - 基于免疫的网络入侵危险性评估方法 - Google Patents

Abstract

本发明提出了一种基于免疫的网络入侵危险性评估方法，属于信息安全领域。本发明依据人体免疫系统中抗体浓度的变化与人体体温高低的对应关系，使用网络体温实时定量地描述网络当前面临的危险性。本发明具体由自体集合动态演化，未成熟免疫细胞生成，未成熟细胞自体耐受，入侵检测，抗体基因库演化，网络攻击自动分类，主机危险性评估，网络危险性评估等几个部分组成，不仅能有效识别已有的攻击模式，而且在实时变化的网络环境中具备发现新的网络攻击的能力，并能对网络攻击模式进行自动分类，能够实时、定量计算当前网络或网络中某一主机面临某种攻击时的危险性以及面临所有攻击时的整体综合危险性，具有分布式并行处理、自组织、自学习等优点，应用前景广阔。

Description

基于免疫的网络入侵危险性评估方法

技术领域

本发明提出了一种基于免疫的网络入侵危险性评估方法，属于信息安全领域。

背景技术

传统的网络入侵危险性评估方法主要基于静态评估，即通过静态评判目标网络的价值、安全漏洞、安全事件的发生频率等来综合评价网络的危险等级，只能够粗略地就网络长期所处的危险状态进行评估，对系统正在遭受的攻击缺乏实时定量的描述，因而也就不能有针对性地主动依据当前网络遭受攻击的强度和危险等级等情况实时调整自己的防御策略，在具体应用中存在很大的局限性。

中国专利公开号为CN1694454的申请案，基于开放漏洞评估语言OVAL，分布收集系统的配置信息，实现对网络系统漏洞的检测，从中发现漏洞组合对保护目标的威胁。该方法依据OVAL漏洞定义识别主机漏洞，发现漏洞组合带来的安全问题，对网络安全性计算过于简单，缺乏对网络入侵危险性评估的定量描述，并且缺乏自适应性，不能有效地区分不同地攻击类型，无法识别新出现的攻击及已有攻击的变种。

发明内容

人体免疫系统是一个由免疫活性分子、免疫细胞、免疫组织和器官组成的复杂系统。免疫系统的主要功能是区分自体(对人体无害)和非自体(对人体有害)，并且消灭非自体，其途径主要通过分布在全身不同种类的淋巴细胞(B细胞、T细胞等)来实现。一旦B细胞与抗原之间的亲和力超过一定的阈值就会导致免疫细胞克隆增扩，释放出大量的抗体来捕获抗原，这时抗体的浓度就会急剧增加。当抗原被杀死之后抗体的释放就会受到抑制致使抗体的浓度降低，使免疫系统趋于稳定。正常情况下，人体各种抗体的浓度基本不变，因此，可以通过测量各种类型抗体的浓度来判断抗原入侵的情况及严重程度。

依据人体免疫系统抗体浓度的变化与病原体入侵强度的对应关系，本发明提出一种基于免疫的网络入侵危险性评估方法，该方法不仅能识别已有的攻击模式，而且通过自我学习，在实时变化的环境中发现新的网络攻击模式，对网络攻击模式进行自动分类，能够对网络入侵危险性进行实时的、定量的评估。

本发明由自体集合动态演化，未成熟免疫细胞生成，未成熟细胞自体耐受，入侵检测，抗体基因库演化，网络攻击自动分类，主机危险性评估，网络危险性评估等几个部分组成。与人体免疫系统相对应，系统中定义抗原为待检测的网络活动，自体为正常的网络活动，非自体为异常的网络活动。系统模拟免疫细胞实现对网络活动的实时检测，抗体(用来检测抗原的检测器)存在于免疫细胞中，具有和抗原一样的表达形式，用于计算免疫细胞和抗原的亲和力(匹配与否)。免疫细胞分为记忆免疫细胞和成熟免疫细胞。成熟免疫细胞是还没被抗原激活的免疫细胞(在一定的时间内未匹配到指定数目的抗原)，除了对抗原进行检测外，还要筛选出对抗原具有较好识别作用的免疫细胞，使之成为记忆免疫细胞。记忆免疫细胞能够高效、快速地检测出非自体抗原。系统运行过程中，由抗原提呈对网络活动进行特征提取得到抗原(网络活动特征)，免疫细胞对其进行检测。免疫细胞受抗原刺激(与抗原匹配)且累计足够的亲和力(匹配数超过给定的阈值)，该细胞将会被克隆(产生更多类似的免疫细胞以对付更猛烈的攻击)，同时该细胞相应的抗体浓度将会提高。若免疫细胞持续被激活(遭到连续的攻击)，则其抗体浓度将会持续地增加。免疫细胞抗体浓度将在一个保持周期内保持，若在抗体浓度保持周期内未被激活，则相应抗体浓度将会衰减至0。这样，检测记忆免疫细胞的抗体浓度即可预测当前网络面临网络入侵的威胁性，或者说，我们可以通过测量记忆免疫细胞的抗体浓度来预测“网络的体温”。

在详细说明之前，首先定义系统中使用的一些名词、符号以及一些公式：

(1)抗原集合：设抗原集合Ag＝{<a，b>|a∈Db∈ψ|a|＝la＝APCs(b)}，D＝{0，1}l(l＞0)，其中集合ψ为网上传输的IP包集合，Ag为对来自网络的IP包经过抗原提呈细胞(APCs，Antigen Presenting Cell)进行抗原提呈(Antigen Presenting，一种类似特征提取的过程)，提取IP包的具体特征包括源/目的IP地址、端口号、协议类型、协议状态、包长度、TCP/UDP/ICMP域等等，得到定长的二进制串。

(2)自体与非自体集合：自体集合SelfAg，非自体集合NoselfAg，Self为正常的网络服务，Nonself为来自网络的攻击。有Self∪Noself＝Ag，Self∩Noself＝Φ。对任意的元素x∈Ag，定义自体的属于运算符∈_APCs及_APCs如下：

免疫细胞集合B：定义免疫细胞为一个包含抗体、抗体浓度、年龄、抗原匹配数等的数据结构，B＝{<d，p，age，count>|d∈D，p∈R，age，count∈N}，其中d为抗体，p为抗体浓度，age为抗体年龄，count为抗体匹配到的抗原数目，R为实数集，N为自然数集。免疫细胞又分为成熟免疫细胞T_b和记忆免疫细胞M_b，其中T_b＝{x|x∈B，y∈_APCs Self(<x.d，y.a>Matchx.count<β)}，M_b＝{x|x∈B，y∈_APCs Self(<x.d，y.a>Matchx.count≥β)}，有B＝M_b∪T_b，且M_b∩T_b＝Ф，其中Match为D中的一个匹配关系：Match＝{<x，y>|x，y∈Df_match(x，y)＝1}    (2)

f_match(x，y)的取值取决于x与y之间的亲和力：若其大于给定的阈值，则为1否则为0。本发明中，亲和力可以为Euclidean距离、Manhattan距离、Hamming距离、r连续位(r-contiguous bites)匹配等。

(3)未成熟免疫细胞集合：定义未成熟免疫细胞集合I_b＝{<d；age>|d∈D，age∈N}。

(4)抗体基因库：定义抗体基因库AgdD，抗体基因库主要用于生成新的未成熟免疫细胞的抗体基因。

(5)定义记忆免疫细胞M_b中的Consanguinity关系：

Consanguinity＝{<x，y>| x，y∈M_bMatch(x.d，y.d)＝1}    (3)

(6)血亲类和最大血亲类：设任意的集合XM_b，对任意的x，y∈X，都有<x，y>∈Consanguinity，称X为由Consanguinity产生的血亲类.另外，若X为由Consanguinity产生的血亲类，且M_b—X中的任何元素均不与X中的元素存在关系Consanguinity，则称X为最大血亲类。

(7)最大血亲类系：设π＝{A₁，A₂,...，A_n}， $M_b^1=M_b,$ $M_b^i=M_b-\underset{1\&le;j<i\&le;n}{\&cup;}{A}_j,$ 令M_b ⁱ中的所有最大血亲类集合为 ${\mathrm{\&pi;}}^i=\{X_1^i,X_2^i,...,X_k^i\},$ 则 $A_i\&Element;\left\{x\right|x\&Element;{\mathrm{\&pi;}}^i,\left|x\right|=\underset{1\&le;t\&le;k}{\max }\left(\right|X_t^i)\},$ 即A_i为M_b ⁱ中具有最多元素的任一最大血亲类，并且 $M_b=\underset{1\&le;i\&le;n}{\&cup;}{A}_i,$ 如此称π为M_b中的最大血亲类系。

为了进一步说明本发明的原理及特征，以下结合附图进行详细的说明。

附图说明

图1是本发明的工作原理。

图2是自体集合动态演化的步骤。

图3是未成熟免疫细胞生成的步骤。

图4是未成熟免疫细胞自体耐受的步骤。

图5是入侵检测的步骤。

图6是成熟免疫细胞检测抗原的步骤。

图7是记忆免疫细胞检测抗原的步骤。

图8是抗体基因库的演化的步骤。

图9是网络入侵自动分类的步骤。

图10是主机危险性评估的步骤。

图11是网络危险性评估的步骤。

具体实施方式

以下结合附图详细说明本发明的思想。

图1是本发明的工作原理。

图1给出了本项发明的基本原理。我们仿真人体免疫系统，首先对网络中的每一台主机设计一个局部危险传感器LCRS(如图1(a)所示，相当一个局部的免疫循环)。在LCRS中，我们利用一种人工免疫细胞检测来自网络的攻击：当免疫细胞检测到一种攻击时，会自我克隆产生大量的类似细胞以抵御更猛烈的网络攻击，同时提升其自身抗体的浓度以提高其警戒度；当网络攻击被消灭后，相应细胞抗体的浓度也随之同步衰减至0，表明警报解除。这样，通过计算主机中抗体浓度，即可实时定量地计算出整个网络以及网络中的每一台主机当前所面临攻击的类别、数量、强度及危险指标等。

图1(b)给出了一个分布式的网络危险检测系统。该系统首先通过分步于网络中的大量局部主机危险传感器获得当前网络中每一台主机的危险情况，进而计算出整个网络的整体危险以及面临每一种攻击时的危险情况。

图2是自体集合动态演化的步骤。

在真实网络环境中，由于安全漏洞的存在，在网络安全管理员补漏后，过去被认为是正常的网络活动会被禁止。另外，随着时间的推移，网络管理员为了提供更好的服务，可能会开放更多的端口，提供更多的服务，这就是说，以前被禁止的网络活动，现在被允许。这里引入一个网络正常活动(自体)随时间动态演化的问题。一般地，对于t时刻的自体集合，从上一个时刻的自体集合中去掉发生变异的元素，同时加入t时刻新增的自体元素。自体集合动态演化的步骤如下：

(1)设置初始自体集合的步骤：由网络安全管理员确定初始的自体集合Self。

(2)补充自体元素的步骤：系统在运行时，可以动态地增加自体元素(具体操作可以由外部系统自动完成，或由网络安全管理员完成)，扩大自体的描述范围。

(3)变异自体元素淘汰的步骤：清除发生变异的自体元素，避免未成熟细胞对发生变异的自体耐受。

自体集合的动态变化可用方程(4)-(9)来描述。

Self_variation(t)＝{x|x∈Self(t-1)，y∈B(t-1)f_check(y，x)＝1}    (5)

∪{t时刻由外部系统发现变异了的自体}

Self_new(t)＝{y|y∈Ag，y为t时刻新增加的自体串}    (6)

B(t)＝M_b(t)∪T_b(t)，t≥0    (9)其中f_check(y，x)(y∈B，x∈Ag)模拟免疫细胞对抗原的分类作用：为1时表明抗原x为非自体抗原，否则为自体抗原.f_{costimulation}(x)(x∈Ag)模拟免疫系统的协同刺激，指示当前抗原是否为自体抗原，外部信号可以是网络安全管理员的应答等。(4)-(9)通过自身免疫监视，随时清除发生变异的自体(Self_variation)，避免未成熟细胞对发生变异的自体耐受，从而降低了错误否定率(false negative rate)：将非法的网络活动判断为正常的网络行为。错误否定率的增加将导致漏报率的增加，自身免疫监视能很好地解决自体随时间变异的问题。另外通过动态地增加自体元素(Self_new)，扩大自体的描述范围，降低错误肯定率(false positive rate)率：将自体认为是非自体，避免产生误报。

图3是未成熟免疫细胞生成的步骤。

未成熟免疫细胞(I_new)的产生过程主要为抗体的产生过程，其间有两种途径：一部分完全随机产生(确保抗体的多样性)，另一部分抗体基因由抗体基因库中的基因编码而来，具体步骤如下：

(1)基因合成：利用抗体基因库Agd中的基因，通过遗传算法、基因编辑等方法生成新的未成熟免疫细胞的抗体。

(2)随机生成：通过随机产生的方法生成新生的未成熟免疫细胞的抗体。

图4是未成熟免疫细胞自体耐受的步骤。

通过否定选择算法对未成熟免疫细胞进行自体耐受处理，新生的未成熟细胞需经历一个周期为α的自体耐受期，若在耐受期间匹配自体，则会走向死亡(否定选择)，未成熟细胞经历自体耐受后进化为成熟细胞。未成熟免疫细胞自体耐受的具体步骤如下：

(1)设置初始未成熟免疫细胞集合的步骤：随机设置初始的未成熟免疫细胞集合。

(2)否定选择的步骤：删除哪些匹配自体的未成熟免疫细胞。

(3)未成熟免疫细胞补充的步骤：调用未成熟免疫细胞生成的步骤，补充新的未成熟免疫细胞。

(4)细胞成熟的步骤：若未成熟细胞在α个耐受期中存活，则令其成熟，使之进化为成熟的免疫细胞。

方程(10)-(13)详细描述了未成熟免疫细胞的耐受过程。

$I_b\left(t\right)=\left\{\begin{array}{cc}\{x_1,x_2,...,x_{\mathrm{\&xi;}}\}& t=0\\ I_{\mathrm{tolerance}}\left(t\right)-I_{\mathrm{maturation}}\left(t\right)\&cup;I_{\mathrm{new}}\left(t\right)& t\&GreaterEqual;1\end{array}\right....\left(10\right)$

I_tolerance(t)＝{y|y∈I_by.d＝x.dy.age＝x.age+1，

x∈(I_b(t-1)-{x|x∈I_b(t-1)y∈Self(t-1)f_{r_con}(x.d，y.a)＝1})   (11)

I_maturation(t)＝{x|x∈I_tolerance(t)x.age>α}    (12)

I_new(t)＝{y₁，y₂,...，y_ξ}    (13)

其中x_i＝<d，0>(d∈D，1≤i≤ξ)为初始随机生成的未成熟免疫细胞，ξ为常自然数.I_tolerance为对Self(t-1)经历一次耐受后剩下的免疫细胞，α≥1(常数)模拟耐受期，未成熟细胞必须通过否定选择(如I_tolerance的递推方程所示)删除那些识别自体抗原的未成熟细胞(自体耐受)，并经历一个周期为α的耐受期方可成熟.I_maturation为t时刻历经α个耐受期后成熟的免疫细胞.I_new为t时刻随机产生的新的未成熟免疫细胞。

图5是入侵检测的步骤。

该步骤的主要内容为利用成熟细胞和记忆细胞对抗原进行检测，同时筛选出对抗原具有较好识别作用的成熟免疫细胞并使之进化为记忆细胞，使之具有高效、快速地检测非自体抗原的能力，具体步骤如下：

(1)抗原提呈的步骤：从实际网络数据流中，获取IP数据包，提取IP包的特征信息(如IP地址、端口号和协议等信息)，构成长度为l的二进制串，作为抗原定期放入抗原集合Ag中。

(2)记忆免疫细胞检测抗原的步骤：利用记忆免疫细胞集合M_b对抗原集合Ag进行检测，把被记忆免疫细胞检测为非自体的抗原Ag中删除，如果记忆免疫细胞检测到自体就从M_b中删除。

(3)成熟免疫细胞检测抗原的步骤：利用成熟免疫细胞集合T_b对抗原集合Ag进行检测，把被成熟免疫细胞检测为非自体的抗原从Ag中删除，如果成熟免疫细胞在一定的周期内检测到足够的抗原就会则会被激活，并进化为记忆免疫细胞；如果成熟免疫细胞在其生命周期内未被激活或检测到自体元素，则令其死亡。

网络入侵检测过程中，抗原集合变化的详细过程由方程(14)-(17)描述。

$\mathrm{Ag}\left(t\right)=\left\{\begin{array}{cc}{\mathrm{Ag}}_{\mathrm{new}}& t\mathrm{mod}\mathrm{\&delta;}=0\\ \mathrm{Ag}(t-1)-{\mathrm{Ag}}_{\mathrm{Nonself}}\left(t\right)-Q_{\mathrm{Ag}}\left(t\right)& t\mathrm{mod}\mathrm{\&delta;}\&NotEqual;0\end{array}\right....\left(14\right)$

Ag_Nonself(t)＝{x|x∈Ag(t)，y∈(M_clone(t)∪T_clonet(t))f_check(y，x)＝1}    (15)

$Q_{\mathrm{Ag}}\left(t\right)=\left\{x\right|x\&Element;\mathrm{Ag}(t-1),\&Exists;y\&Element;(T_b^{\&prime;\&prime;\&prime;}\left(t\right)-T_{\mathrm{clone}}\left(t\right))f_{\mathrm{check}}(y,x)=1\}...\left(16\right)$

Ag_Self(t)＝Ag(t-1)-Ag_Nonself(t)    (17)

其中抗原的更新周期为δ，即每δ周期Ag全部由新的抗原取代；Ag_new为两次抗原更新之间新收集的抗原，Ag_Nonself(t)为t时刻被检测出来的非自体抗原，Ag_self(t)为t时刻被分类为自体的抗原，Q_Ag(t)为t时刻与某一成熟细胞匹配、但未能使该细胞累计到克隆需要的足够的亲和力的抗原，或者说，Q_Ag(t)中的抗原还不能完全确定为是非自体抗原；Ag_self(t)中包含Q_Ag(t)中的元素，表明在没有完全确定某一网络活动是否是攻击之前，先容忍它，就是说，这里的入侵检测方法是一种容忍入侵的积极网络安全策略。

图6是成熟免疫细胞检测抗原的步骤。

免疫细胞成熟后，必须在其生命周期内匹配到足够的抗原，从而进入激活状态，否则将走向死亡，被新生的成熟免疫细胞所代替。成熟免疫细胞检测抗原的具体步骤如下：

(1)设置初始成熟免疫细胞集合的步骤：令初始成熟免疫细胞集合为空。

(2)补充新的成熟免疫细胞的步骤：新的成熟免疫细胞的来源有两个，其一为新成熟的未成熟细胞，其二为细胞克隆新产生出的新的成熟免疫细胞。

(3)成熟细胞抗体与抗原匹配的步骤：成熟免疫细胞中的抗体和待检测的抗原依据亲和力进行匹配，如果不匹配，则该抗原进入下一轮的检测，否则转(4)。

(4)错误肯定判断的步骤：如果经过协同刺激确定该抗原为自体，则令该成熟免疫细胞死亡，同时使抗原进入下一轮的检测，否则转(5)。

(5)删除非自体抗原的步骤：经过协同刺激确定该抗原为非自体，删除该抗原。

(6)成熟免疫细胞克隆进化的步骤：判断该成熟免疫细胞的匹配数是否超过一定的阈值β，如果超过，则该抗原为非自体，将其删除，并同时对该成熟免疫细胞进行克隆，使之进化为记忆免疫细胞。

(7)疫苗分发的步骤：将新生记忆细胞作为免疫发送到网络中的其他主机，以使其他主机迅速具备抵御类似攻击的能力。

方程(18)-(29)详细描述了成熟免疫细胞的生命周期及检测抗原的过程。

$T_b\left(t\right)=\left\{\begin{array}{cc}\mathrm{\&phi;}& t=0\\ T_b^{\&prime;}\left(t\right)\&cup;T_{\mathrm{new}}\left(t\right)\&cup;T_{\mathrm{clone}\_\mathrm{new}}\left(t\right)-T_{\mathrm{clone}}\left(t\right)-T_{\mathrm{dead}}\left(t\right)& t\&GreaterEqual;1\end{array}\right....\left(18\right)$

$T_b^{\&prime;}\left(t\right)=T_b^{\&prime;\&prime;}\left(t\right)-P\left(t\right)\&cup;T_b^{\&prime;\&prime;\&prime;}\left(t\right)...\left(19\right)$

$P\left(t\right)=\left\{x\right|x\&Element;T_b^{\&prime;\&prime;\&prime;}\left(t\right),\&Exists;y\&Element;\mathrm{Ag}(t-1)f_{\mathrm{check}}(x,y)=1\}...\left(21\right)$

$T_b^{\&prime;\&prime;}\left(t\right)=\left\{y\right|y\&Element;B,(y.d=x.d,y.p=x.p,y.\mathrm{age}=x.\mathrm{age}+1,y.\mathrm{count}=x.\mathrm{count},x\&Element;T_b(t-1))\}...\left(22\right)$

T_new(t)＝{y|y∈B，(y.d＝x.d，y.p＝0，y.age＝0，y.count＝0，x∈I_maturation(t))}    (23)

T_{clone_new}(t)＝T′_{clone_new}(t)-{x|x∈T′_{clone1_new}(t)，y∈Self(t-1)<x.d，y.a>∈Match}  (24)

$T_{\mathrm{clone}}\left(t\right)=\left\{x\right|x\&Element;T_b^{\&prime;\&prime;\&prime;}\left(t\right),x.\mathrm{count}\&GreaterEqual;\mathrm{\&beta;}\}...\left(25\right)$

$T_{\mathrm{dead}}\left(t\right)=\left\{x\right|x\&Element;T_b^{\&prime;}\left(t\right),x.\mathrm{age}>\mathrm{\&lambda;},x.\mathrm{count}<\mathrm{\&beta;}\}\&cup;\{x\&Element;T_b^{\&prime;\&prime;}\left(t\right),\&Exists;y\&Element;\mathrm{Self}(t-1)<x.d,y.a>\&Element;\mathrm{Match}\}...\left(26\right)$

其中x′∈T_b，x′_i.d＝f_variation(x)，x′_i.p＝0，x′_i.age＝(0, x′_i.count＝0

f_variation(x)＝d′，其中d′∈D，x.d≠d′，<x.d，d′>∈Match    (28)

Family(x)＝{y|y∈B(t-1)，<x.d，y.d>∈Match}    (29)

其中T′_b(t)模拟成熟细胞的一代进化，其中T″_b(t)模拟免疫细胞进化一代；T_b(t)为与抗原匹配的细胞，累计其亲和力(与P(t)对应，P(t)未累计亲和力)；T_new(t)为t时刻新生的成熟的免疫细胞，T_{clone_new}(t)为细胞克隆新产生出的免疫细胞，T_clone(t)为t时刻将要进化为记忆免疫细胞的细胞集合，T_dead(t)为t时刻由于在细胞生命周期内(λ)未累计到足够的亲和力(β)而死亡的细胞。M_clone(t)为记忆细胞克隆体集合；T′_{clone_new}(t)模拟细胞克隆情况：每一克隆体将克隆出

个新的、进行了变异的细胞(σ≥1为比例系数)，具体克隆的数目与当前系统中具有与克隆体相近基因的细胞的数目成反比；f_variation(x)对免疫细胞x的基因进行变异，但变异的过程不应使其亲和力降低，变异的目的是期望克隆新产生的免疫细胞能够识别抗原的一些变种，增强其多样性能力；Family(x)为与免疫细胞x基因相近的细胞集合。

在免疫细胞生命周期中，通过克隆选择淘汰哪些对抗原分类没有作用或作用不大的细胞，保留优势细胞(对抗原具有良好分类作用的细胞)使之进化为记忆细胞，以便当类似抗原二次入侵时能进行更高效的应答。

图7是记忆免疫细胞检测抗原的步骤。

该步骤主要利用记忆免疫细胞对抗原集合Ag进行检测，其间把被记忆免疫细胞检测为非自体的抗原从Ag中删除，如果记忆免疫细胞检测到自体则从M_b中删除。记忆免疫细胞模拟对抗原进行二次应答，具体步骤如下：

(1)设置初始记忆免疫细胞集合的步骤：令初始记忆免疫细胞集合为空。

(2)补充新的记忆免疫细胞的步骤：新的记忆细胞的来源有两个，其一为从成熟细胞进化而来，其二为从其他机器接受而来的疫苗。

(3)记忆细胞抗体与抗原匹配的步骤：记忆免疫细胞的抗体和待检测的抗原依据亲和力进行匹配，如果不匹配，则调用成熟免疫细胞检测抗原的步骤检测该抗原，否则转(4)。

(4)错误肯定判断的步骤：如果经过协同刺激确定该抗原为自体，则令该记忆细胞死亡，并调用成熟免疫细胞检测抗原的步骤检测该抗原，否则转(3)。

(5)删除非自体抗原的步骤：经过协同刺激确定该抗原为非自体，删除该抗原。

(6)记忆细胞克隆的步骤：记忆细胞被激活并克隆出一些类似的细胞以抵御类似攻击的再次入侵，方程(24)、(27)是具体的克隆方法。

(7)抗体浓度计算的步骤：根据方程(32)、(34)、(36)分别计算记忆细胞抗体的浓度。

方程(30)-(38)详细描述了记忆免疫细胞的演化及检测抗原的过程。

$M_b\left(t\right)=\left\{\begin{array}{cc}\mathrm{\&phi;}& t=0\\ M_b^{\&prime;}(t-1)-M_{\mathrm{dead}}\left(t\right)\&cup;M_{\mathrm{new}}\left(t\right)\&cup;T_{\mathrm{other}\_\mathrm{machine}\_\mathrm{clone}}\left(t\right)& t\&GreaterEqual;1\end{array}\right....\left(30\right)$

$M_b^{\&prime;}\left(t\right)=M_b^{\&prime;\&prime;}\left(t\right)\&cup;M_{\mathrm{clone}}^{\&prime;}\left(t\right)...\left(31\right)$

M′_clone(t)＝{x|x∈M_b，y∈M_clone(t)，(x.d＝y.d，

                                                          (32)

x.p＝η₁+η₂·y.p，x.age＝0，x.count＝y.count+1)}

M_clone(t)＝{y|y∈M_b(t-1)，x∈Ag(t-1)fcheck(y，x)＝1}    (33)

$M_b^{\&prime;\&prime;}\left(t\right)=\left\{y\right|y\&Element;M_b,(y.d=x.d,y.p=\left\{\begin{array}{cc}x.p\&CenterDot;(1-\frac{1}{{\mathrm{\&lambda;}}^{\&prime;}-x.\mathrm{age}})& x.\mathrm{age}<{\mathrm{\&lambda;}}^{\&prime;}\\ 0& x.\mathrm{age}\&GreaterEqual;{\mathrm{\&lambda;}}^{\&prime;}\end{array}\right.,...\left(34\right)$

y.age＝x.age+1，y.count＝x.count，x∈M_b(t-1)-M_clone(t))}

$M_{\mathrm{dead}}\left(t\right)=\left\{x\right|x\&Element;M_b^{\&prime;\&prime;}\left(t\right),\&Exists;y\&Element;\mathrm{Self}(t-1)<x.d,y.a>\&Element;\mathrm{Match}\}...\left(35\right)$

M_new(t)＝{x|x∈M_b，y∈T_clone(t)，(x.d＝y.d，x.p＝η₁，x.age＝0，x.count＝y.count)}    (36)

T_{other_machine_clone}(t)＝{x|x∈M_b，y∈T′_{other_machine_clone}(t)

                                                                                      (37)

(x.d＝y.d，x.p＝0，x.age＝0，x.count＝0)}

$T_{\mathrm{other}\_\mathrm{machine}\_\mathrm{clone}}^{\&prime;}\left(t\right)=\underset{i=(1,...,K),i\&NotEqual;k}{\&cup;}{T}_{\mathrm{clone}}^i\left(t\right)$ 其中K为当前网络中的主机数，(38)

k为本机的编号，T_clone ⁱ(t)为第i台主机的T_clone(t)

其中M′_b模拟记忆细胞的一代进化，M_clone(t)为检测到非自体抗原即将克隆的记忆细胞集合，M_new为新产生的记忆细胞，M_dead模拟记忆细胞的死亡：若记忆细胞匹配了一个被证实为自体的抗原，即发生错误肯定：将自体中的字符串分类为异常(非自体中的字符串)，如是，该记忆细胞被淘汰。λ′(＞0的自然数)为记忆细胞抗体浓度的保持周期常数，细胞克隆后，赋予该细胞抗体一个相应的抗体浓度值，η₁(＞0的常数)为起始的浓度值，η₂(＞0的常数)模拟奖励因子(监视遭到连续类似的网络攻击)。若记忆细胞在λ′周期内未再次克隆，则其相应的抗体浓度依据定理1进行衰减，最终清0，表明该类威胁已被清除，警报解除；若记忆细胞在λ′周期内再次遇抗原而克隆，则其相应的抗体浓度将进行累计，表明威胁在持续增加。T′_{other_machine_clone}(t)为t时刻网络中其他机器的计算机免疫系统中t时刻成熟细胞克隆体集合(不含记忆细胞的克隆)，当成熟免疫细胞遇抗原产生克隆时(检测到一个新的网络攻击)，将该细胞克隆同时发送到网络中所有其他机器上并直接作为记忆细胞(类似疫苗)，以迅速使其他机器具备抵御类似抗原攻击的能力，T_{other_machine_clone}(t)模拟从其他机器上接受疫苗的过程(类似种痘)。

图8是抗体基因库的演化的步骤。

抗体基因库Agd主要用于高效率地生成新的未成熟细胞抗体的基因，抗体基因库Agd的演化步骤如下：

(1)设置初始的抗体基因库的步骤：网络安全管理员确定初始的抗体基因库Agd。

(2)补充优势遗传基因的步骤：当成熟细胞克隆时，即发现新的攻击时，该成熟细胞抗体的基因被作为优势遗传基因加入抗体基因库，以利于在生成新的抗体基因时有可能通过遗产算子等进化方法生成更优秀的抗体基因。

(3)淘汰变异遗传基因的步骤：当记忆细胞检测到一个被证实为自体的抗原时，即发生错误肯定，该记忆细胞将被清除，其响应的抗体基因被淘汰。

抗体基因库的演化情况可用方程(39)-(41)来描述。

$\mathrm{Agd}\left(t\right)=\left\{\begin{array}{cc}\{d_1,d_2,...,d_k\}& t=0\\ \mathrm{Agd}(t-1)\&cup;{\mathrm{Agd}}_{\mathrm{new}}\left(t\right)-{\mathrm{Agd}}_{\mathrm{dead}}\left(t\right)& t\&GreaterEqual;1\end{array}\right....\left(39\right)$

${\mathrm{Agd}}_{\mathrm{new}}\left(t\right)=\underset{x\&Element;T_{\mathrm{clone}}\left(t\right)}{\&cup;}\{x.d\}...\left(40\right)$

${\mathrm{Agd}}_{\mathrm{dead}}\left(t\right)=\underset{x\&Element;M_{\mathrm{dead}}\left(t\right)}{\&cup;}\{x.d\}...\left(41\right)$

图9是网络入侵自动分类的步骤。

由于t时刻记忆细胞的集合M_b(t)记录了t时刻系统已经遭遇网络攻击的数量及类别，因此，网络入侵自动分类的问题也就是M_b中记忆细胞的分类问题。具体地，网络入侵自动分类的步骤如下：

(1)建立血亲关系图的步骤：将记忆免疫细胞集合M_b中的每一个元素设想成一个二维空间中的一个点，对任意的元素x，y∈M_b，若<x，y>∈Consangunity，则x、y之间存在边。由于对称的缘故，用无向边代替双向的有向边，忽略每一个顶点自己到自己的闭合曲线，从而建立其相应的血亲关系图。

(2)计算最大血亲类的步骤：利用血亲关系图计算相应的最大血亲类，具体方法为：一个孤立顶点是一个最大血亲类；不在极大完全子图中的边，其两个端点的集合是一个最大血亲类；一个极大完全子图的顶点的集合是一个最大血亲类。

(3)计算最大血亲类系的步骤：设π＝{A₁，A₂，...，A_n}， $M_b^1=M_b,$ $M_b^i=M_b-\underset{1\&le;j<i\&le;n}{\&cup;}{A}_j,$ 令M_b ⁱ中的所有最大血亲类集合为 ${\mathrm{\&pi;}}^i=\{X_1^i,X_2^i,...,X_k^i\},$ $A_i\&Element;\left\{x\right|x\&Element;{\mathrm{\&pi;}}^i,\left|x\right|=\underset{1\&le;t\&le;k}{\max }\left(\right|X_t^i\left|\right)\},$ 即A_i为M_b ⁱ中具有最多元素的任一最大血亲类，并且， $M_b=\underset{1\&le;i\&le;n}{\&cup;}{A}_i,$ 如此，称π为M_b中的最大血亲类系。

(4)计算最大血亲类系的基因序的步骤：设π＝{A₁，A₂,...，A_n}为M_b中的最大血亲类系，定义A_i的基因A_i ^gene为A_i中所有记忆细胞抗体基因的集合， $A_i^{\mathrm{gene}}=\left\{d^{\&prime;}\right|d^{\&prime;}\&Element;D,\&Exists;x\&Element;A_i,d^{\&prime;}=x.d\}.$ 设 ${\mathrm{\&pi;}}^{\mathrm{gene}}=\{A_1^{\mathrm{gene}},A_2^{\mathrm{gene}},...,A_n^{\mathrm{gene}}\},$ 称π^gene为M_b中的最大血亲类系的基因序。

(5)网络入侵的分类及特征描述的步骤：设主机k在t时刻由Consanguinity产生的最大血亲类系为π(t)＝{A₁(t)，…，A_n(t)}，则主机k已经遭遇n类攻击，每类攻击A_i(t)(i＝l，...，n)的特征为A_i ^gene(t)，攻击强度与

成正比，主机k所受攻击的总强度与 $\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}\underset{x\&Element;A_i\left(t\right)}{\mathrm{\&Sigma;}}x.p$ 成正比。设网络环境中共有K台计算机，主机k(1≤k≤k)在t时刻的记忆细胞集合为M_k ^b(t)，则所有机器中t时刻的记忆细胞集合为 $M\left(t\right)=\underset{k=1}{\overset{K}{\&cup;}}{M}_b^k\left(t\right)$ ：设M(t)中的最大血亲类系为∏(t)＝{C₁(t)，...，C_m(t)}，则t时刻整个网络已经遭遇|∏(t)|＝m类攻击，每类攻击G_i(t)(i＝1，...，m)的攻击特征为C_i ^gene(t)，攻击强度与

成正比，网络所受攻击的总强度与 $\underset{i=1}{\overset{m}{\mathrm{\&Sigma;}}}\underset{x\&Element;C_i\left(t\right)}{\mathrm{\&Sigma;}}x.p$ 成正比。

图10是主机危险性评估的步骤。

首先调用网络入侵自动分类的步骤，计算给定主机的最大血亲类系及其基因序，然后依据最大血亲类系分别计算该主机面临某一类攻击时的危险性以及面临所有攻击时的整体综合危险性指标。具体步骤如下：

(1)调用网络入侵自动分类步骤，计算主机的最大血亲类系。

(2)主机面临某一攻击时的危险性指标计算步骤：设μ_i(0≤μ_i≤1)表示t时刻主机k(1≤k≤K遭受第i(1≤i≤n)类攻击A_i ^gene(t)的危害性，则t时刻主机k面临第i类攻击A_i ^gene(t)的危险性指标为 $r_{k,i}\left(i\right)=c\&CenterDot;(\frac{2}{1+e^{-{\mathrm{\&mu;}}_i\&CenterDot;\underset{x\&Element;A_i\left(t\right)}{\mathrm{\&Sigma;}}x.p}}-1)$ (c＞0为常数)，r_k，t(t)越大，则主机面临A_i ^gene(t)攻击的危险性越大。

(3)主机面临所有攻击时的整体综合危险性指标计算步骤：t时刻主机k面临所有攻击时的整体综合危险性指标(又称为主机体温)为 其中₁＞0为比例系数，c′＞0为常数。当T_k(t)＝0时，表明系统没有危险；当T_k(t)＝100时，表明系统极度危险；T_k(t)值越大，系统越危险。

图11是网络危险性评估的步骤。

首先调用网络入侵自动分类的步骤，计算整个网络的最大血亲类系及其基因序，然后依据最大血亲类系分别计算整个网络面临某一类攻击时的危险性以及面临所有攻击时的整体综合危险性指标。具体步骤如下：

(1)调用网络入侵自动分类步骤，计算整个网络的最大血亲类系。

(2)网络面临某一攻击时的危险性指标计算步骤：设网络环境中共有K台计算机，主机k(1≤k≤k)在t时刻的记忆细胞集合为M_b ^k(t)，则所有机器中t时刻的记忆细胞集合为 $M\left(t\right)=\underset{k=1}{\overset{K}{\&cup;}}{M}_b^k\left(t\right).$ 设M(t)中的最大血亲类系为∏(t)＝{C₁(t)，...，C_m(t)}，设ω_k(0≤ω_k≤1)为主机k在网络中的重要性，μ_i(0≤μ_i≤1)表示网络中第i(1≤i≤m)类攻击C_i ^gene(t)的危害性，则t时刻整个网络面临第i类攻击C_i ^gene(t)的危险性指标R_i(t)为：

$c\&CenterDot;(\frac{2}{1+e^{-{\mathrm{\&mu;}}_i\&CenterDot;\underset{x\&Element;C_i\left(t\right)}{\mathrm{\&Sigma;}}(\mathrm{xp}\&CenterDot;\underset{k\&Element;\left\{j\right|1\&le;j\&le;K,x\&Element;M_b^j\left(t\right)\}}{\mathrm{\&Sigma;}}{\mathrm{\&omega;}}_k)}}-1)$ (c＞0为常数)。

(3)网络面临所有攻击时的整体综合危险性指标计算步骤：t时刻整个网络面临所有攻击时的整体综合危险性指标(又称为网络体温)为

其中₂＞0为比例系数，c′＞0为常数。当T(t)＝0时，表明整个系统没有危险，工作良好；当T(t)＝100时，表明整个网络系统极度危险；T(t)值越大，网络系统越危险。

Claims (3)

1.一种基于免疫的网络入侵危险性评估方法，其特征在于包括以下步骤：自体集合动态演化的步骤；未成熟免疫细胞生成的步骤；未成熟免疫细胞自体耐受的步骤；入侵检测的步骤；抗体基因库的演化的步骤；网络入侵自动分类的步骤；主机危险性评估的步骤；网络危险性评估的步骤；其中

自体集合动态演化的步骤包括以下步骤：

设置初始自体集合的步骤；

补充自体元素的步骤；

变异自体元素淘汰的步骤；

未成熟免疫细胞生成的步骤包括以下步骤：

基因合成的步骤；

随机生成的步骤；

未成熟免疫细胞自体耐受的步骤包括以下步骤：

设置初始未成熟免疫细胞集合的步骤；

否定选择的步骤；

未成熟免疫细胞补充的步骤；

细胞成熟的步骤；

入侵检测的步骤包括以下步骤：

抗原提呈的步骤；

记忆免疫细胞检测抗原的步骤；

成熟免疫细胞检测抗原的步骤；

抗体基因库的演化的步骤包括以下步骤：

设置初始的抗体基因库的步骤；

补充优势遗传基因的步骤；

淘汰变异遗传基因的步骤；

网络入侵自动分类的步骤包括以下步骤：

建立血亲关系图的步骤；

计算最大血亲类的步骤；

计算最大血亲类系的步骤；

计算最大血亲类系的基因序的步骤；

网络入侵的分类及特征描述的步骤；

主机危险性评估的步骤包括以下步骤：

调用网络入侵自动分类步骤；

主机面临某一攻击时的危险性指标计算步骤；

主机面临所有攻击时的整体综合危险性指标计算步骤；

网络危险性评估的步骤包括以下步骤：

调用网络入侵自动分类步骤；

网络面临某一攻击时的危险性指标计算步骤；

网络面临所有攻击时的整体综合危险性指标计算步骤。

2.权利要求1所述的基于免疫的网络入侵危险性评估方法，其特征在于入侵检测的步骤中，记忆免疫细胞检测抗原的步骤包括以下步骤：

设置初始记忆免疫细胞集合的步骤；

补充新的记忆免疫细胞的步骤；

记忆细胞抗体与抗原匹配的步骤；

错误肯定判断的步骤；

删除非自体抗原的步骤；

记忆细胞克隆的步骤；

抗体浓度计算的步骤。

3.权利要求1所述的基于免疫的网络入侵危险性评估方法，其特征在于入侵检测的步骤中，成熟免疫细胞检测抗原的步骤包括以下步骤：

设置初始成熟免疫细胞集合的步骤；

补充新的成熟免疫细胞的步骤；

成熟细胞抗体与抗原匹配的步骤；

错误肯定判断的步骤；

删除非自体抗原的步骤；

成熟免疫细胞克隆进化的步骤；

疫苗分发的步骤。

Images