第6講 免疫系統(tǒng)與異常檢測(cè)

1、 第6講 免疫系統(tǒng)與異常檢測(cè)學(xué)習(xí)目的：了解基于免疫系統(tǒng)機(jī)理的異常檢測(cè)方法基本思想，以及免疫系統(tǒng)在計(jì)算機(jī)安全中的應(yīng)用學(xué)習(xí)要點(diǎn)：基于陰性選擇算法的異常檢測(cè)算法，陰性選擇算法在計(jì)算機(jī)安全的應(yīng)用，危險(xiǎn)理論在計(jì)算機(jī)信息系統(tǒng)安全的應(yīng)用內(nèi)容概述：免疫系統(tǒng)的能力之一是區(qū)分自己和非己物質(zhì)。免疫系統(tǒng)的這個(gè)核心機(jī)制在人工免疫系統(tǒng)中經(jīng)常用于異常檢測(cè)。應(yīng)該注意免疫系統(tǒng)遠(yuǎn)不是一個(gè)簡(jiǎn)單的基于異常檢測(cè)和應(yīng)答的系統(tǒng)，但可看作一般的、分布式的模式學(xué)習(xí)系統(tǒng)。這里異常檢測(cè)是一個(gè)廣義的概念，泛指對(duì)偏離各類(lèi)不同系統(tǒng)所定義的正常狀態(tài)的現(xiàn)象和行為的監(jiān)測(cè)、發(fā)現(xiàn)和處理，包括后面提到的故障與錯(cuò)誤檢測(cè)、故障耐受、故障診斷、異常變化檢測(cè)（如設(shè)備磨損）

2、等。隨著研究不斷深入，人工免疫系統(tǒng)在不同領(lǐng)域的應(yīng)用日益廣泛，其中眾多的人工免疫系統(tǒng)開(kāi)發(fā)與應(yīng)用都試圖實(shí)現(xiàn)免疫系統(tǒng)對(duì)病毒等病原體的高超地識(shí)別和抵御能力，在各類(lèi)人工甚至自然系統(tǒng)中實(shí)現(xiàn)對(duì)異?，F(xiàn)象的自動(dòng)發(fā)現(xiàn)、及時(shí)處理。典型的有計(jì)算機(jī)安全123456-20、基于免疫原理的工業(yè)裝備、設(shè)施的故障診斷21-31、故障檢測(cè)32-35、故障耐受36、保安系統(tǒng)37等，涉及的行業(yè)包括通信3839等不同領(lǐng)域。這些應(yīng)用所利用的免疫學(xué)原理主要是陰性選擇、克隆選擇、免疫網(wǎng)絡(luò)等理論也得到一定應(yīng)用，樹(shù)突細(xì)胞4041、APC42等免疫細(xì)胞機(jī)制也逐漸得到重視和應(yīng)用?；镜拿庖邔W(xué)隱喻思想在一些應(yīng)用中也很受重視。本章主要介紹比較典型的人工

3、免疫異常檢測(cè)理論及應(yīng)用研究，包括陰性選擇算法、危險(xiǎn)理論、免疫故障診斷、基于免疫的計(jì)算機(jī)安全系統(tǒng)等。圖15.1給出了基于人工免疫系統(tǒng)的異常檢測(cè)方法實(shí)現(xiàn)的基本思路。異常檢測(cè)對(duì)象免疫原理免疫異常檢測(cè)策略陰性選擇免疫網(wǎng)絡(luò)危險(xiǎn)理論一般隱喻算法模型硬件工業(yè)設(shè)備等各類(lèi)硬件系統(tǒng)軟件（計(jì)算機(jī)程序）其他領(lǐng)域圖6.1 人工免疫系統(tǒng)異常檢測(cè)實(shí)現(xiàn)思路6.1 陰性選擇算法6.1.1 基本定義經(jīng)常用到的幾個(gè)概念的定義：定義6.1 陰性選擇算法是基于陰性選擇原理開(kāi)發(fā)的免疫算法。定義6.2 自己在免疫學(xué)中是指人體本身具有的各種分子、細(xì)胞。在異常檢測(cè)情況隱喻為被檢測(cè)系統(tǒng)的正常狀態(tài)或系統(tǒng)本身的組件。定義6.3 非己在免疫學(xué)中是指不

4、屬于人體本身具有的各種病原體。在異常檢測(cè)情況隱喻為被檢測(cè)系統(tǒng)的非正常狀態(tài)或不屬于系統(tǒng)本身的組件。定義6.4 形態(tài)空間是免疫算法編碼實(shí)現(xiàn)的空間。定義6.5 空洞是指陰性選擇算法檢測(cè)器在形態(tài)空間中不能檢測(cè)到的異常區(qū)域。15.1.2 問(wèn)題描述43異常檢測(cè)過(guò)程在免疫學(xué)中目的是識(shí)別問(wèn)題空間中的一個(gè)新元素為自己或非己。問(wèn)題空間可稱(chēng)為，其中一個(gè)維數(shù)值向量空間，其中是第i個(gè)屬性。正常樣本或者自己和異常樣本或者非己是的子集，所以，以及。一個(gè)點(diǎn)，其中是一個(gè)n維數(shù)值向量。屬于自體的元素表示為，的互補(bǔ)空間，非己空間定義為N，實(shí)數(shù)情況下，每個(gè)屬性正規(guī)化到0.0,1.0中， 。 給定問(wèn)題空間，對(duì)異常檢測(cè)，特征函數(shù)為 (6

5、.1)用于區(qū)分自己和非己。目標(biāo)在N中發(fā)現(xiàn)一個(gè)檢測(cè)器集合，盡可能多的匹配非自體字符串，不匹配任何S中的自體字符串。設(shè)為檢測(cè)器集合和每個(gè)集合元素匹配的一個(gè)子集。|越大在如下約束下產(chǎn)生的覆蓋效果越好： （6.2） （6.3）失敗概率定義為隨機(jī)非自體字符串不被任何中檢測(cè)器匹配的概率。 匹配概率定義為隨機(jī)選擇的字符串和檢測(cè)器匹配根據(jù)特殊匹配規(guī)則匹配的概率。圖15.2給出更清楚的例證43。UDSNCUdR檢測(cè)到自己字符串未檢測(cè)到空洞匹配匹配被匹配圖6.1 字符串及其關(guān)系6.2 陰性選擇算法6.2.1發(fā)展與研究概述自己和非己之間的區(qū)別被認(rèn)為是復(fù)雜免疫系統(tǒng)中的主要機(jī)制之一。免疫陰性選擇機(jī)制不僅用于機(jī)器學(xué)習(xí)，更

6、重要的是用于異常檢測(cè)，尤其是計(jì)算機(jī)安全。人工陰性選擇方法是自己/非己區(qū)別的計(jì)算模擬之一，首先設(shè)計(jì)用于變化檢測(cè)。美國(guó)計(jì)算機(jī)安全專(zhuān)家Forrest最初在與免疫學(xué)家的合作研究中，受到該現(xiàn)象啟發(fā)，首次提出了陰性選擇算法44。因此，陰性選擇算法最初指的是Forrest提出的算法，目前指代一類(lèi)基于陰性選擇機(jī)制及模型的算法。為了將多種陰性選擇算法及模型區(qū)分開(kāi)，本章將Forrest提出的陰性選擇算法稱(chēng)為基本陰性選擇算法。Forrest的研究小組和Dausgupt等其他研究人員對(duì)該算法進(jìn)行了大量研究和改進(jìn)。多年以來(lái)，基本陰性選擇算法已經(jīng)在許多不同中模型使用。盡管有多種改進(jìn)措施，但基本陰性選擇算法的主要特征仍然存

7、在。主要集中在自己非己匹配機(jī)制、檢測(cè)器產(chǎn)生和表示方法、檢測(cè)器覆蓋性能等方面，并用于異常檢測(cè)、故障診斷等問(wèn)題45-50，成為人工免疫系統(tǒng)的一個(gè)重要研究方向。陰性選擇算法的組成包括數(shù)據(jù)空間表示、檢測(cè)器表示、匹配規(guī)則、檢測(cè)器產(chǎn)生/清除機(jī)制。與不同策略的結(jié)合（包括與陽(yáng)性選擇等其他方法的結(jié)合）也是陰性選擇算法發(fā)展的重要內(nèi)容。數(shù)據(jù)表示是多數(shù)此類(lèi)模型和算法之間的基本區(qū)別，它決定和限制可能的匹配規(guī)則、檢測(cè)器的產(chǎn)生機(jī)制以及檢測(cè)過(guò)程。匹配規(guī)則是陰性選擇算法中的重要部分，它針對(duì)一個(gè)數(shù)據(jù)如何被認(rèn)為發(fā)生匹配或者被檢測(cè)器識(shí)別的問(wèn)題給出定義，反過(guò)來(lái)使用何種匹配規(guī)則又依靠數(shù)據(jù)項(xiàng)和檢測(cè)器的表示法。大量免疫啟發(fā)的異常檢測(cè)系統(tǒng)的研

8、究成果表明免疫方法在某種程度上是有益的，比如對(duì)已知和未知網(wǎng)絡(luò)入侵的檢測(cè)。但是，由于表示法（二進(jìn)制等）及相應(yīng)匹配規(guī)則等的缺陷，導(dǎo)致該類(lèi)方法計(jì)算效率問(wèn)題比較突出。為此，多種不同的表示法及匹配規(guī)則開(kāi)發(fā)出來(lái)，如R-塊規(guī)則，以及由海明形態(tài)空間改進(jìn)到更有效的實(shí)數(shù)形態(tài)空間等等，使算法計(jì)算效率得到提高。陰性選擇算法的關(guān)鍵問(wèn)題是要能夠產(chǎn)生足夠多的覆蓋非己空間的檢測(cè)器，相當(dāng)于免疫系統(tǒng)產(chǎn)生識(shí)別足夠多的非己T細(xì)胞識(shí)別病原體，免疫系統(tǒng)只利用與病原體種類(lèi)相比很少的免疫細(xì)胞就可以達(dá)到目的。這正是該類(lèi)方法所期望達(dá)到的性質(zhì)。但與免疫系統(tǒng)相比，二進(jìn)制的陰性選擇算法產(chǎn)生的檢測(cè)器數(shù)量與問(wèn)題是指數(shù)級(jí)關(guān)系51。文獻(xiàn)52中對(duì)實(shí)數(shù)和海明形態(tài)

9、空間上陰性選擇算法理論分析表明，在海明形態(tài)空間上的方法不適合實(shí)際的異常檢測(cè)問(wèn)題。Sankalp Balachandran 采用超矩形、超球型和改進(jìn)超球型等形態(tài)空間設(shè)計(jì)檢測(cè)器52。Fabio González提出了實(shí)數(shù)值陰性選擇算法465354，Zhou 等 5556提出了規(guī)?？勺兿蛄繉?shí)數(shù)陰性選擇算法。Dasgupta 和Gonzalez 57將陰性選擇進(jìn)一步擴(kuò)展為模糊分類(lèi)，將一個(gè)點(diǎn)屬于自己或非己的程度用成員函數(shù)來(lái)刻畫(huà)，自己集合中一個(gè)點(diǎn)地成員隸屬度越低，引起警報(bào)的可能性越大。Gomez 等.58也研究了模糊陰性選擇分類(lèi)問(wèn)題，用模糊規(guī)則描述自己成員水平。Dasgupta等59將陰性選擇算

10、法用于飛機(jī)故障檢測(cè)。文獻(xiàn)6061中將陰性選擇算法用于時(shí)間序列數(shù)據(jù)異常檢測(cè)。文獻(xiàn)62討論了基因庫(kù)對(duì)陰性選擇的覆蓋率、識(shí)別率等方面的效果。陰性選擇算法與其他方法也有結(jié)合，Dasgupta等63將陽(yáng)性選擇與陰性選擇集合，陽(yáng)性選擇初始化“專(zhuān)家”群體，陰性選擇用于清除匹配自己的樣本。結(jié)合的過(guò)程嵌入到遺傳算法中。Ceong 等 64提出對(duì)于兩類(lèi)問(wèn)題的互補(bǔ)雙重檢測(cè)器集合，包括同時(shí)來(lái)自自己和非己的樣本。由于它可以檢測(cè)互補(bǔ)類(lèi)別，誤否定風(fēng)險(xiǎn)大大降低。Gonzalez65.將陰性選擇與傳統(tǒng)分類(lèi)算法結(jié)合，陰性選擇用于建立非己樣本集合，然后將原始自己樣本和產(chǎn)生的非己樣本輸入分類(lèi)算法以得到檢測(cè)結(jié)果。文獻(xiàn)66總結(jié)到陰性選擇

11、有嚴(yán)重的尺度問(wèn)題，適合中等任務(wù)，比如過(guò)濾無(wú)效的檢測(cè)器，代替產(chǎn)生完備檢測(cè)器。對(duì)網(wǎng)絡(luò)入侵問(wèn)題，提出總的免疫系統(tǒng)模型由三個(gè)不同的進(jìn)化階段組成：陰性選擇、克隆選擇、基因庫(kù)進(jìn)化。Kim等67將克隆選擇與陰性選擇結(jié)合起來(lái)，用陰性選擇產(chǎn)生的檢測(cè)器實(shí)現(xiàn)記憶機(jī)制。國(guó)內(nèi)在該研究方向也作了大量研究工作。主要集中在陰性選擇算法中的自己集合建立6869，檢測(cè)器生成7071727374、覆蓋問(wèn)題75，以及改進(jìn)陰性選擇算法767778。此外，文獻(xiàn)7980提出了用于異常檢測(cè)的淋巴細(xì)胞時(shí)間語(yǔ)義邏輯模型及演化策略。本書(shū)作者指導(dǎo)研究小組人員提出了變閾值陰性選擇算法81，對(duì)如何生成最有效檢測(cè)器集合達(dá)到最好覆蓋效果進(jìn)行了研究和分析82

12、。圖15.3給出了陰性選擇算法的發(fā)展線索。主要包括表示法、檢測(cè)器產(chǎn)生方法等方面。NSA發(fā)展非嚴(yán)格自己非己定義新檢測(cè)器產(chǎn)生算法新表示法混合免疫學(xué)習(xí)算法超球體模糊 If-Then規(guī)則超矩形嚴(yán)格If-Then 規(guī)則NSDR-小生境-擁擠RNSRRNSNSFDR多形態(tài)圖6.2 陰性選擇算法發(fā)展線索圖表15.1給出了陰性選擇算法的發(fā)展過(guò)程以及所采用的數(shù)據(jù)表示法和匹配規(guī)則。 表6.1 陰性選擇算法的發(fā)展階段作者與年份新特征/結(jié)論數(shù)據(jù)表示匹配規(guī)則Forrest et al, 199444陰性選擇算法首次提出字符rcbDhaeseleer et al 92,97信息損失的分析字符rcbDasgupta et

13、al, 19996滑動(dòng)窗口時(shí)間序列數(shù)據(jù)字符rcbDasgupta et al, 199945與陽(yáng)性選擇結(jié)合，多類(lèi)字符加權(quán)位匹配Hofmeyr et al 122,123活化閾值,檢測(cè)器生存期,協(xié)同刺激等.字符(49-位二進(jìn)制)rcbWierzchon 93確定被檢測(cè)的字符串?dāng)?shù)并產(chǎn)生檢測(cè)器的方法二進(jìn)制字符串rcbKim et al, 20017網(wǎng)絡(luò)通訊的獨(dú)特表示實(shí)數(shù)值字符RcbGonzalez et al, 200257與分類(lèi)器結(jié)合實(shí)向量到中心點(diǎn)歐氏距離Balthrop et al, 200287R塊匹配規(guī)則 字符(449-位二進(jìn)制)r-塊Esponda et al 99檢測(cè)模式術(shù)語(yǔ),檢測(cè)器數(shù)分

14、析字符rcb, r-塊, n-gram, d Hamming距離Ayara et al 84NSMutation檢測(cè)器產(chǎn)生算法字符rcbDasgupta et al, 200386多層，不同組件實(shí)向量部分歐氏距離Branco et al, 200334利用進(jìn)化系統(tǒng)補(bǔ)充檢測(cè)器或者集合 實(shí)向量歐氏距離Ji et al, 200449最大化檢測(cè)器實(shí)向量歐氏距離Esponda et al, 2004104反數(shù)據(jù)庫(kù)字符表示r-塊Ji et al, 200556檢測(cè)器產(chǎn)生中的集成覆蓋估計(jì)實(shí)向量歐氏距離6.2.2基本陰性選擇算法15.2.2.1 算法定義與描述定義15.6 基本陰性選擇算法是指早期基于免疫陰

15、性選擇原理開(kāi)發(fā)的用于計(jì)算機(jī)安全的免疫算法。(a)檢測(cè)器集合產(chǎn)生(b)新情況檢測(cè)開(kāi)始產(chǎn)生隨機(jī)候選檢測(cè)器匹配自己樣本?檢測(cè)器足夠?作為新檢測(cè)器接受NoYesYesNo結(jié)束結(jié)束開(kāi)始匹配任何檢測(cè)器?輸入新樣本“非己”“自己!”NoYes圖6.3 陰性選擇算法示意圖早期是指1994年代，F(xiàn)orrest最早提出陰性選擇算法?；娟幮赃x擇算法實(shí)際上可分為三個(gè)階段：定義自己、產(chǎn)生檢測(cè)器、監(jiān)測(cè)異常的發(fā)生。但一般將定義自己與產(chǎn)生檢測(cè)器階段看作一個(gè)階段，因此大致分兩個(gè)階段44：產(chǎn)生階段和檢測(cè)階段。在產(chǎn)生階段，給定一個(gè)稱(chēng)為自己集合S的已知模式集合，測(cè)試T細(xì)胞受體識(shí)別和結(jié)合自己模式的能力。如果T細(xì)胞受體識(shí)別來(lái)自自己集合

16、的字符串，則忽略它。否則作為一個(gè)競(jìng)爭(zhēng)細(xì)胞進(jìn)入檢測(cè)器集合。檢測(cè)器可用于監(jiān)測(cè)系統(tǒng)的異常變化。設(shè)為自體集合，為親合力閾值，為檢測(cè)器總數(shù)，L為字符串長(zhǎng)度。則基本陰性選擇算法可描述為83： NSA= NSA_censor(S,N,L)+ NSA_monitor(,R,) （15.4）基本陰性選擇算法的原理與框圖如15.4下：圖15.4（a）中給出檢測(cè)過(guò)程。1. 初始化：假設(shè)要保護(hù)一個(gè)自己模式集合S，隨機(jī)產(chǎn)生屬性字符串，放在集合R0中。2. 親合力評(píng)價(jià)：測(cè)試R0中產(chǎn)生的字符串是否匹配自己集合S中的字符串，由它們之間的親合力決定是否發(fā)生匹配。3. 產(chǎn)生檢測(cè)器集合：如果來(lái)自R0的一個(gè)字符串與S中至少一個(gè)字符串

17、的親合力大于給定閾值，則認(rèn)為該字符串識(shí)別一個(gè)自己模式，必須被清除（陰性選擇）；否則見(jiàn)字符串引入檢測(cè)器集合R0。Procedure R=NSA_censor(S,N,L) t1 While t<=N do / 產(chǎn)生N個(gè)檢測(cè)器 For from 1 to N do, / rand(L) / 隨機(jī)產(chǎn)生長(zhǎng)度L的字符串 flag 0 For every s of S do /對(duì)每個(gè)S的元素,affaffinity(,s) /決定親合力If aff>= then flag1;breakEndIf EndFor If flag=0 Radd(R, ) /加入到檢測(cè)器R集合 tt+1 EndIf

18、EndWhileEnd Procedure(a) 產(chǎn)生檢測(cè)器Procedure flag=NSA_monitor(,R,) For every s of do / 產(chǎn)生N個(gè)檢測(cè)器 For every r of R do, / affaffinity(r,s) /決定親合力If aff>= then flagnonself detected /flagEndIf End For EndForEnd Procedure(b) 檢測(cè)階段算法圖6.4 陰性選擇算法在產(chǎn)生一組檢測(cè)器集合后，算法可用于監(jiān)測(cè)自體集合中的變化或者跟蹤異常情況。在監(jiān)測(cè)階段，一個(gè)受保護(hù)的字符串S*集合與檢測(cè)器集合的元素相匹配

19、，集合S*可以是沒(méi)有變化的集合S，也可以是一個(gè)全新的集合，由噪聲干擾或者加入新元素的S組成。如果發(fā)生匹配識(shí)別，則檢測(cè)到非己。圖6.3（b）是檢測(cè)階段。陰性選擇的檢測(cè)階段用圖6.5算法（a）實(shí)現(xiàn)。檢測(cè)器集合產(chǎn)生后，系統(tǒng)可以監(jiān)測(cè)異常。這個(gè)過(guò)程在圖6.5算法（b）給出?；娟幮赃x擇算法是基于二進(jìn)制表示法的。二進(jìn)制陰性選擇算法目前有一些理論支持4351?；娟幮赃x擇算法的關(guān)鍵是決定兩個(gè)模式之間的相似性的匹配規(guī)則的選擇，可以在自己/非己（正常/異常）樣本之間區(qū)分。該算法產(chǎn)生檢測(cè)器的時(shí)間復(fù)雜性與自己數(shù)據(jù)規(guī)模成線性關(guān)系。算法中設(shè)置匹配閾值，估計(jì)檢測(cè)器的規(guī)模需要確保一定程度的整體可靠性。如果閾值太小，不太可能

20、產(chǎn)生合理規(guī)模的檢測(cè)器集合，因此需要調(diào)節(jié)閾值，提高檢測(cè)器可靠性，降低誤肯定風(fēng)險(xiǎn)。15.2.2.2 二進(jìn)制表示理論上，二進(jìn)制表示可以概括其他任何表示，因?yàn)槿魏螖?shù)據(jù)項(xiàng)都是以二進(jìn)制形式在計(jì)算機(jī)中實(shí)現(xiàn)的。但是，在高層表示定義的匹配規(guī)則一般不能直接翻譯成二進(jìn)制匹配規(guī)則或者規(guī)則。通常需要處理包括數(shù)值型數(shù)據(jù)、類(lèi)別數(shù)據(jù)、布爾數(shù)據(jù)、文本數(shù)據(jù)等。處理這些數(shù)據(jù)類(lèi)型的多數(shù)表示模式可分為兩個(gè)基本類(lèi)型：字符串表示和實(shí)數(shù)值向量表示。在字符串表示中，每個(gè)數(shù)據(jù)項(xiàng)或者一個(gè)檢測(cè)器表示為在一個(gè)有限字母表上定義的字符串。字符串的長(zhǎng)度通常固定。以上四個(gè)數(shù)據(jù)類(lèi)型都可以用這個(gè)表示法處理。多數(shù)研究中使用的二進(jìn)制表示是字符串表示的特殊情況。一般的

21、數(shù)據(jù)表示包括：二進(jìn)制表示、高級(jí)字母表上的字符串、實(shí)數(shù)值向量及上述表示的混合。另一個(gè)方面，數(shù)據(jù)空間的表示不同時(shí)定義檢測(cè)器表示。換句話說(shuō)，數(shù)據(jù)空間表示和檢測(cè)器表示一般不需要一樣。通常在同樣數(shù)據(jù)空間描述檢測(cè)器，但是可以更詳細(xì)，除非檢測(cè)器是一個(gè)點(diǎn)。比如，如果一個(gè)檢測(cè)器是一個(gè)n維實(shí)數(shù)空間中的超球體，它可以用一個(gè)n維點(diǎn)和半徑表示。字符串表示包括二進(jìn)制表示。陰性選擇算法首先用于檢測(cè)字符串中的變化44，字符串表示是自然地選擇。同時(shí)，陰性選擇算法早期版本有一個(gè)唯一的特征，也就是要處理的字符串實(shí)際上是任意長(zhǎng)的。它們被分割成更短的片段或者在進(jìn)一步處理前，預(yù)先定義長(zhǎng)度的一些子字符串。這個(gè)過(guò)程類(lèi)似APC處理和提呈抗原片

22、段的作用。作為預(yù)處理步驟，它與后面的算法沒(méi)有很強(qiáng)的聯(lián)系，所以以后多數(shù)工作都利用長(zhǎng)度固定的字符串。然而我們需要知道的是直接處理任意長(zhǎng)度字符串在許多情況下是有用的。將其分割成固定長(zhǎng)度的方式可能丟掉比我們選擇的長(zhǎng)度更長(zhǎng)的、有用的模式。文獻(xiàn)51分析和比較了不同陰性選擇算法的二進(jìn)制表示規(guī)則：r鄰近匹配、r塊匹配、海明距離匹配以及R&T匹配。這樣為任何陰性選擇算法提供了選擇不同匹配規(guī)則的參考。文獻(xiàn)84綜述了比較了二進(jìn)制陰性選擇算法的五種檢測(cè)器產(chǎn)生模式：窮盡算法、線性算法、貪婪算法、二進(jìn)制模版和NSMutation。最后一個(gè)方法是窮盡算法的改進(jìn)版，引入體細(xì)胞超變異和清除冗余，以窮盡NS算法，更好的性

23、能。6.3基于人工免疫系統(tǒng)的計(jì)算機(jī)安全6.3.1 概述隨著計(jì)算機(jī)及網(wǎng)絡(luò)的迅速發(fā)展，由于計(jì)算機(jī)操作系統(tǒng)及應(yīng)用軟件漏洞及固有缺陷造成的計(jì)算機(jī)系統(tǒng)破壞也日益嚴(yán)重，就象人類(lèi)每天都受到外部毒素、細(xì)菌等病原體的威脅和入侵一樣，計(jì)算機(jī)系統(tǒng)也受到病毒和黑客入侵的困擾，所造成的信息安全問(wèn)題也十分嚴(yán)重。由于免疫系統(tǒng)與計(jì)算機(jī)系統(tǒng)在面對(duì)外部危險(xiǎn)或威脅方面表現(xiàn)出的相似性，人工免疫系統(tǒng)的應(yīng)用在最初就很自然的擴(kuò)展到計(jì)算機(jī)安全領(lǐng)域。免疫系統(tǒng)的學(xué)習(xí)、記憶、識(shí)別能力以及其對(duì)抗原病原體的靈活性、有效性使人們自然而然的將其與計(jì)算機(jī)安全系統(tǒng)聯(lián)系起來(lái)。這里的計(jì)算機(jī)安全包括單機(jī)、主機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)及相應(yīng)的文件、信息安全。人工免疫系統(tǒng)概念在計(jì)

24、算機(jī)安全領(lǐng)域應(yīng)用比機(jī)器學(xué)習(xí)等領(lǐng)域更為廣泛。最初由Forrest率領(lǐng)的研究小組提出了基于陰性選擇的人工免疫系統(tǒng)模型ARTIS，并基于此模型設(shè)計(jì)了最早的人工免疫計(jì)算機(jī)安全系統(tǒng)123124。此后，人工免疫系統(tǒng)在計(jì)算機(jī)病毒111516125126127、電子郵件128129130、入侵檢測(cè)5-10 12 13 17-19 57 60 66 68-84 90 132-135、計(jì)算機(jī)文件136、風(fēng)險(xiǎn)評(píng)估137等計(jì)算機(jī)安全方面都得到了應(yīng)用。IBM公司最早利用免疫系統(tǒng)隱喻設(shè)計(jì)了商業(yè)化計(jì)算機(jī)安全系統(tǒng)，但沒(méi)有實(shí)現(xiàn)任何免疫系統(tǒng)機(jī)制138。文獻(xiàn)4、6、124、139、140、141對(duì)人工免疫系統(tǒng)計(jì)算機(jī)安全應(yīng)用進(jìn)行了一

25、般性研究。采用的免疫機(jī)制主要有陰性選擇、克隆選擇、危險(xiǎn)理論、樹(shù)突細(xì)胞、APC、淋巴細(xì)胞以及免疫組成隱喻等，有一些系統(tǒng)結(jié)合多主體134 142、模糊143等概念。目前，在計(jì)算機(jī)安全領(lǐng)域的應(yīng)用已經(jīng)成為人工免疫系統(tǒng)的代表性應(yīng)用領(lǐng)域1。本節(jié)主要分幾個(gè)方面：計(jì)算機(jī)病毒、電子郵件、入侵檢測(cè)等進(jìn)行介紹。國(guó)內(nèi)外大量關(guān)于人工免疫系統(tǒng)的文獻(xiàn)集中在這個(gè)領(lǐng)域。本節(jié)主要介紹一些基本思想和方法，能夠體現(xiàn)人工免疫系統(tǒng)異常檢測(cè)的效果和特性。具體的應(yīng)用可參見(jiàn)參考文獻(xiàn)和有關(guān)書(shū)籍。6.3.2 基于免疫的計(jì)算機(jī)安全系統(tǒng)6.3.2.1 基于免疫的計(jì)算機(jī)安全系統(tǒng)基本設(shè)計(jì)思想所有這些模型仍然處于發(fā)展階段，沒(méi)有真正有效解決實(shí)際問(wèn)題的模型。多

26、數(shù)已經(jīng)建立的人工免疫系統(tǒng)方法都只實(shí)現(xiàn)人類(lèi)免疫系統(tǒng)的眾多機(jī)制中的一小部分。因?yàn)槿祟?lèi)免疫系統(tǒng)的本質(zhì)是非常復(fù)雜和精細(xì)的，從免疫學(xué)角度看到的免疫反應(yīng)是細(xì)胞、化學(xué)信號(hào)、生化酶等多種因素協(xié)調(diào)的結(jié)果，很難在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)完美的免疫過(guò)程。為了開(kāi)發(fā)簡(jiǎn)單、適用的計(jì)算機(jī)安全系統(tǒng)而將免疫系統(tǒng)簡(jiǎn)化可能有損人工免疫系統(tǒng)的性能。人們希望建立一個(gè)類(lèi)似人類(lèi)免疫系統(tǒng)的計(jì)算安全系統(tǒng)，具有與人類(lèi)免疫系統(tǒng)一樣的性能，如錯(cuò)誤耐受、適應(yīng)性和自己監(jiān)測(cè)。如果人類(lèi)免疫系統(tǒng)的重要組分的作用都能被正確地理解并實(shí)現(xiàn)，則表明基于人工免疫方法改進(jìn)計(jì)算機(jī)安全系統(tǒng)是有希望的。一個(gè)計(jì)算機(jī)安全系統(tǒng)的重要屬性是可信性、整體性和有效性140。文獻(xiàn)140最先提出了計(jì)

27、算機(jī)免疫學(xué)的概念，將計(jì)算機(jī)安全系統(tǒng)與免疫系統(tǒng)進(jìn)行了對(duì)比研究，指出了可用于計(jì)算機(jī)安全系統(tǒng)的免疫系統(tǒng)特性。表6.2 免疫系統(tǒng)與人工免疫系統(tǒng)的計(jì)算機(jī)安全屬性對(duì)比計(jì)算機(jī)安全屬性免疫系統(tǒng)人工免疫系統(tǒng)整體性免疫系統(tǒng)通過(guò)多種機(jī)制確保機(jī)體及自身不受破壞通過(guò)多種方式保護(hù)數(shù)據(jù)信息不受破壞?？捎眯栽谑艿讲≡w襲擊情況下仍能工作確保計(jì)算機(jī)及信息在需要的時(shí)候可以使用準(zhǔn)確性防止自身免疫疾病防止誤警有效性免疫細(xì)胞采用多樣方式發(fā)現(xiàn)危險(xiǎn)信號(hào)，清除病原體確保計(jì)算機(jī)系統(tǒng)信息不受破壞可信性免疫系統(tǒng)沒(méi)有可信屬性確保系統(tǒng)只對(duì)授權(quán)用戶工作表6.2給出了免疫系統(tǒng)與人工免疫系統(tǒng)在計(jì)算機(jī)安全屬性方面的比較。如果所設(shè)計(jì)的人工免疫系統(tǒng)能夠具有這五個(gè)

28、屬性，則可表明它的優(yōu)越性，但由于計(jì)算機(jī)安全問(wèn)題的復(fù)雜性，目前的研究水平還很難做到。表15.15給出免疫系統(tǒng)與計(jì)算機(jī)系統(tǒng)在安全方面的相似性比較。表6.3 免疫系統(tǒng)與計(jì)算機(jī)系統(tǒng)在安全方面的相似性免疫系統(tǒng)計(jì)算機(jī)系統(tǒng)免疫系統(tǒng)高度復(fù)雜性、高度連接性，多種組分之間的相互作用計(jì)算機(jī)網(wǎng)絡(luò)高度復(fù)雜性、高度連接，網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互作用對(duì)于有意或無(wú)意地引入的外部微組織的脆弱性，可能導(dǎo)致系統(tǒng)感染，使性能下降甚至崩潰。系統(tǒng)中被引入的敵意代碼（包括計(jì)算機(jī)病毒）造成系統(tǒng)脆弱性，導(dǎo)致對(duì)信息和服務(wù)未授權(quán)連接或者服務(wù)拒絕外部微組織以及生物系統(tǒng)細(xì)胞由建筑塊縮氨酸組成敵意代碼以及計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行軟件由同樣的建筑塊組成基本宏命令外部微

29、組織和健康細(xì)胞之間的區(qū)域在于建筑塊基因序列中敵意代碼和計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行軟件之間區(qū)別在于建筑塊序列中免疫系統(tǒng)能檢測(cè)、識(shí)別和中和多數(shù)外部微組織信息安全系統(tǒng)能檢測(cè)、識(shí)別多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)上的襲擊表6.3給出了目前多數(shù)人工免疫系統(tǒng)應(yīng)用到的部分免疫系統(tǒng)機(jī)制。文獻(xiàn)提出了利用生物多樣性設(shè)計(jì)計(jì)算機(jī)安全系統(tǒng)的思想，指出由于目前計(jì)算機(jī)及網(wǎng)絡(luò)在操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)計(jì)方面的標(biāo)準(zhǔn)化、規(guī)范化恰恰造成了計(jì)算機(jī)安全系統(tǒng)的脆弱性。免疫系統(tǒng)的多樣性保護(hù)機(jī)制為設(shè)計(jì)計(jì)算機(jī)安全系統(tǒng)多樣化保護(hù)措施提供了思路。但這樣將會(huì)造成生產(chǎn)和使用成本上升。表6.4 免疫系統(tǒng)機(jī)制在計(jì)算機(jī)安全的應(yīng)用免疫系統(tǒng)用于計(jì)算機(jī)/網(wǎng)絡(luò)系統(tǒng)陰性選擇入侵檢測(cè)、病毒免疫

30、應(yīng)答病毒危險(xiǎn)理論入侵檢測(cè)、病毒固有或非特異入侵檢測(cè)體液免疫、細(xì)胞介導(dǎo)入侵檢測(cè)免疫耐受、獨(dú)特型網(wǎng)絡(luò)垃圾郵件、風(fēng)險(xiǎn)評(píng)估基因庫(kù)否自己非己識(shí)別入侵檢測(cè)、垃圾郵件、病毒、風(fēng)險(xiǎn)評(píng)估、文件克隆選擇入侵檢測(cè)、病毒、風(fēng)險(xiǎn)評(píng)估免疫記憶入侵檢測(cè)樹(shù)突細(xì)胞、APC異常檢測(cè)、垃圾郵件許多利用統(tǒng)計(jì)學(xué)方法、離散數(shù)學(xué)、形式語(yǔ)言和數(shù)字仿真方法用于人工免疫計(jì)算機(jī)安全系統(tǒng)設(shè)計(jì)。建立一個(gè)人工免疫計(jì)算機(jī)安全系統(tǒng)的數(shù)學(xué)模型是必要的，國(guó)內(nèi)一些學(xué)者在這方面進(jìn)行了非常有意義的工作79137。6.3.2.3 基于免疫機(jī)制的計(jì)算機(jī)安全系統(tǒng)基本步驟建立基于免疫機(jī)制的計(jì)算機(jī)安全系統(tǒng)基本步驟可以歸納如下：1. 免疫系統(tǒng)的分析和量化描述。一方面可利用多種數(shù)

31、學(xué)、計(jì)算及仿真方法結(jié)合安全外問(wèn)題描述免疫系統(tǒng)機(jī)制，另一方面可借鑒計(jì)算免疫學(xué)以及最近的生物學(xué)研究成果分析免疫系統(tǒng)性能，用于有關(guān)計(jì)算機(jī)安全問(wèn)題。2. 描述算法。利用建立的方法和模型開(kāi)發(fā)免疫細(xì)胞的個(gè)體及集體行為算法，可以用多主體系統(tǒng)理論分析它們的合作行為。3. 軟件實(shí)現(xiàn)。建立基于上述數(shù)學(xué)模型、規(guī)則和算法的軟件，實(shí)現(xiàn)對(duì)這些模型的測(cè)試和檢查是必要的。4. 仿真環(huán)境。設(shè)計(jì)一個(gè)仿真環(huán)境證實(shí)模型。5. 系統(tǒng)分析。對(duì)仿真結(jié)果統(tǒng)計(jì)學(xué)分析，應(yīng)該包括其對(duì)網(wǎng)絡(luò)脆弱性的影響的評(píng)估，結(jié)果反饋并改進(jìn)所設(shè)計(jì)的系統(tǒng)。人工免疫計(jì)算機(jī)安全系統(tǒng)設(shè)計(jì)同樣需要多學(xué)科合作，包括：先進(jìn)的控制理論、數(shù)學(xué)、計(jì)算機(jī)科學(xué)、計(jì)算機(jī)工程、生物學(xué)、信息學(xué)、

32、計(jì)算機(jī)程序等。將計(jì)算機(jī)免疫系統(tǒng)與現(xiàn)有人侵檢測(cè)技術(shù)、防病毒技術(shù)結(jié)合，開(kāi)發(fā)新型的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。6.3.3 入侵檢測(cè)6.3.3.1 基于免疫的入侵檢測(cè)概述入侵是指系統(tǒng)的未授權(quán)用戶試圖或已經(jīng)竊取了系統(tǒng)的訪問(wèn)權(quán)限，以及系統(tǒng)的被授權(quán)用戶超越或?yàn)E用了系統(tǒng)所授予的訪問(wèn)權(quán)限，而威脅或危害了網(wǎng)絡(luò)系統(tǒng)資源的完整性、機(jī)密性或有效性的行為集合。其中，完整性是指防止網(wǎng)絡(luò)系統(tǒng)資源被非法刪改和破壞；機(jī)密性是指防止網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的非法泄漏；有效性是指網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)資源可以被授權(quán)用戶隨時(shí)正常地訪問(wèn)和程序資源能夠按期望的方式、作用正常地運(yùn)行。入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)是計(jì)算機(jī)軟

33、件系統(tǒng)，用于自動(dòng)檢測(cè)上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。有些入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵特征后還試圖做出某些響應(yīng)，以遏制或阻止對(duì)系統(tǒng)的威脅或破壞。入侵檢測(cè)系統(tǒng)主要用兩種技術(shù)：異常檢測(cè)技術(shù)和誤用檢測(cè)144-146，或者分為基于主機(jī)的和基于網(wǎng)絡(luò)的入侵檢測(cè)，已經(jīng)有許多實(shí)現(xiàn)這些技術(shù)的傳統(tǒng)方法，但都存在各自的優(yōu)點(diǎn)和缺點(diǎn)，沒(méi)有一種能夠滿足所有要求和絕對(duì)安全的技術(shù)方法。這就為人工免疫系統(tǒng)提供了充分的發(fā)展空間。國(guó)內(nèi)外近十年發(fā)表了許多該方向的研究論文（參見(jiàn)前面列舉文獻(xiàn)）。文獻(xiàn)79和文獻(xiàn)80關(guān)于淋巴細(xì)胞的邏輯語(yǔ)義模型為入侵檢測(cè)研究提供了全新的思路。6.3.3.2 基于網(wǎng)格的多主體免疫入侵檢測(cè)系

34、統(tǒng)模型該模型給出了抗體、抗原，自己、非己和主體的完整定義和數(shù)學(xué)模型132，提出了成熟監(jiān)測(cè)主體和動(dòng)態(tài)記憶主體等概念，給出了理論分析和實(shí)驗(yàn)結(jié)果。該模型研究人員在免疫入侵檢測(cè)系統(tǒng)、基于免疫的計(jì)算機(jī)安全系統(tǒng)風(fēng)險(xiǎn)評(píng)估等方面作了比較多的理論研究工作，提出的模型在人工免疫入侵檢測(cè)相對(duì)比較完善、系統(tǒng)。圖6.6中給出了該模型的基本結(jié)構(gòu)。圖6.7給出MoAs在網(wǎng)格環(huán)境中的進(jìn)化。未成熟MoAs成熟MoAsMoAMoAMoABoACoA節(jié)點(diǎn)節(jié)點(diǎn)節(jié)點(diǎn)監(jiān)測(cè) 監(jiān)測(cè)殺死監(jiān)測(cè)當(dāng)檢測(cè)到入侵時(shí)克隆自己刺激刺激進(jìn)入網(wǎng)格環(huán)境入侵檢測(cè)模型新 MoAs的產(chǎn)生隨機(jī)產(chǎn)生圖6.6 基于網(wǎng)格的入侵檢測(cè)模型132自己集合記憶MoAs記憶MoA成熟M

35、oAs成熟MoA當(dāng)記憶MoAs數(shù)達(dá)到或者超過(guò)給定最大數(shù)時(shí)，最近使用的記憶MoAs退化為成熟MoAs。匹配充分多的抗原死亡匹配新自己匹配新自己或者在生命期中不活化圖6.7 網(wǎng)格環(huán)境中MoAs的進(jìn)化132危險(xiǎn)理論在計(jì)算機(jī)免疫系統(tǒng)的應(yīng)用6.4 基于危險(xiǎn)理論的計(jì)算機(jī)免疫系統(tǒng)英國(guó)諾丁漢大學(xué)的Uwe Aickelin小組最早對(duì)危險(xiǎn)理論應(yīng)用于入侵檢測(cè)進(jìn)行了研究1581591160，認(rèn)為基于危險(xiǎn)理論的入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)將集中研究如何通過(guò)對(duì)各種警報(bào)的對(duì)比做出反應(yīng)從而檢測(cè)到入侵攻擊。Aickelin小組針對(duì)危險(xiǎn)理論應(yīng)用于入侵檢測(cè)的研究，主要成果是將凋亡警報(bào)

36、與壞死警報(bào)同入侵攻擊行為聯(lián)系了起來(lái)，利用兩者之間的相關(guān)性作為危險(xiǎn)信號(hào)的基礎(chǔ)，使用關(guān)聯(lián)算法作為危險(xiǎn)模式的算法，并且針對(duì)警報(bào)自動(dòng)調(diào)節(jié)檢測(cè)系統(tǒng)使其具有較強(qiáng)的自適應(yīng)性。對(duì)比起基于SNS模式的IDS，他們提出的理論具有可以檢測(cè)未知攻擊、誤報(bào)率低和不受規(guī)模限制等顯著特點(diǎn)。但是并未提供完善可行的算法模型，并且在現(xiàn)實(shí)中凋亡與壞死之間的區(qū)別可能并沒(méi)有想象中那么明顯。文獻(xiàn)161提出了基于危險(xiǎn)模式的免疫算法，用于入侵檢測(cè)。文獻(xiàn)42提出了基于人工抗原提呈細(xì)胞(Artificial Antigen Presenting Cell，AAPC)危險(xiǎn)數(shù)據(jù)獲取方法，觀察危險(xiǎn)可疑數(shù)據(jù)chunks/點(diǎn)的結(jié)合，是首次提出人工抗原提呈細(xì)胞模型。文獻(xiàn)162提出了數(shù)字免疫系統(tǒng)，利用危險(xiǎn)理論對(duì)IBM早期開(kāi)發(fā)商業(yè)免疫系統(tǒng)進(jìn)行了全新的設(shè)計(jì)和改進(jìn)。文獻(xiàn)163將數(shù)學(xué)微分思想用于數(shù)字變化的感知，提出了一種新的異常感知模型，可用于對(duì)計(jì)算機(jī)系統(tǒng)危險(xiǎn)信號(hào)及變化的感知。文獻(xiàn)39將危險(xiǎn)理論用于電話系統(tǒng)檢測(cè)。文獻(xiàn)40提出了基于危險(xiǎn)理論的傳感器網(wǎng)絡(luò)異常檢測(cè)。危險(xiǎn)理論只需要對(duì)發(fā)出危險(xiǎn)信號(hào)附近的危險(xiǎn)區(qū)域的有害抗原識(shí)別和響應(yīng)，并不需要對(duì)所有異