外文翻译-基于免疫的网络安全风险评估.docx

中国科学F辑信息科学2005卷48 No.5 557-578英文原文为PDF格式，下载后双击即可打开另存基于免疫的网络安全风险评估李涛计算机科学系，四川大学，成都 610065，中国（电子邮箱：）接收 2004年3月9日；修订2005年7月10日摘要：根据抗体浓度和病原体入侵强度，我们在这里提出了基于免疫学的模型，用于网络安全风险评估(Insre)。在Insre中，给出了网络安全领域中的自己，异己，抗体，抗原和淋巴细胞的概念和正式定义。然后建立自身耐受，克隆选择，成熟淋巴细胞的生命周期，免疫记忆和免疫监视的数学模型。建立上述模型，提出了一个用于网络安全风险评估的定量计算模型，它是基于抗体浓度的计算建立的。通过使用Insre，网络攻击的种类和强度，以及网络安全的风险等级可以进行定量计算并实时得到。我们的理论分析和实验结果反映了Insre对于网络安全实时风险评估而言是一种好的解决办法。关键词：人工免疫系统 攻击检测 网络安全 风险评估DOI: 10.1360/04yf0140网络安全有两种风险评估方法：静态和实时。静态方法通过静态评估网络价值、安全漏洞，和安全事件1，如，COBRA1），OCTAVE2等发生的频率来评估网络。专注于攻击系统的静态因素时，静态方法仅可以对过去网络面对的安全风险做一个的粗略评估，不能实时评估网络易受到的网络攻击的风险。此外，他们不能检测即将到来的新网络攻击，因此他们对网络安全的复杂环境没有自适应能力3。与静态风险评估的研究相反，对网络安全实时风险评估的研究仍在摸索阶段并只有有限的研究可用。1997年，Jonsson and Olovsson4分析了基于马尔可夫模型的攻击者行为，并根据系统被攻击者破坏的概率，预测了系统可靠性。1999年，Ortalo等人5提出基于特权图为在UNIX中的已知安全脆弱性的一个安全漏洞评估方法。2002年，Madan等人6提出了一个状态转换模型来描述当系统遇到来自网络攻击时的系统状态，并且提出了一个用于评估安全漏洞和可靠性的方法。2004年，Chu等人7 为网络安全提出了一个介于静态和实时评估的方法。这个模型能根据一些简单突然变化事件，如操作状态改变，元件缺失等来粗略估计网络安全。根据被攻击者破坏的已知安全漏洞的概率或时间消耗，上述方法主要致力于网络可靠性的评估。然而，他们无法正确评估网络所面临的系统风险。例如，他们无法评估网络正在面对但未被破坏的的风险，对于DDoS攻击无计可施。此外，他们不能有效区分不同种类的攻击，并对于未知攻击无检测能力。结果，在实际网络环境中，这些方法的有效性和实时能力无法满足网络安全风险评估的要求。在计算机网络安全和人体中的生物免疫系统（BIS）之间实际上有一个直接类比。它们都需要在一个变化的环境8-13中维持稳定性。在1958年，Burnet14提出克隆选择理论，第一次解释了免疫反应的特点：只有被抗原激活的细胞能够进行克隆过程。在1993年，Kepler and Perelson15发展了克隆选择理论，并讨论了体细胞突变理论，这在克隆选择中是一项重要变异。1994年，Forrest 等人16提出了阴性选择算法（NSA）。之后，Hofmeyr 和Forrest 等人17-19为人工免疫系统(AIS)提出了一个通用框架，并在ARTIS的基础上建立了一个计算机免疫系统(CIS)，ARTIS被称为LISYS并极大得促进了CIS的研究。例如，使用手机代理去监视网络活动，Dasgupta 和Harmer 等人20,21建立了基于代理，在ARTIS上的CIS体系结构。Kim22提出了一个动态克隆选择(DynamiCS)的算法，其中，可实时得改变自己的定义。Kim同样也提出了另一个基于实现CIS的ARTIS。人类免疫系统由一系列复杂的细胞和保护器官对抗感染的微粒组成。许多不同种类的淋巴细胞（B细胞，T细胞等）分布在人类全身，人类免疫系统能从自己中区分异己，并立刻消灭异己。一旦B细胞和抗原之间的亲和力达到一定临界值，B细胞会进行自我克隆并产生许多抗体来抓取更多抗原，导致抗体浓度的急剧增加。当抗原被消灭时，克隆过程将会受到抑制，抗体浓度会下降。在正常情况下，人体中所有种类的抗体浓度是稳定的。因此，抗原入侵强度可以通过计算在人体免疫系统中的所有种类抗体浓度来评估。根据抗体浓度和病原体入侵强度之间的关系，在这里我们提出一个用于网络安全风险评估(Insre)的基于免疫的模型。在Insre中，给出了网络安全领域的自己，异己，抗体和淋巴细胞的概念和正式定义。然后建立了自身耐受，克隆选择，成熟淋巴细胞的生命周期，免疫记忆和免疫监视的数学模型。在建立了上述模型后，提出了一个用于网络安全风险评估的定量模型，它是基于抗体浓度计算的。通过使用Insre，网络攻击的种类和强度，以及网络安全风险等级可以定量、实时得计算。除了实时风险评估，Insre介绍了一种通过计算最大血缘谱系以分类网络攻击的新方法，并通过检查最大血缘谱系的基因序列描述每个等级的特点，其中最大血缘谱系和它的基因序列分别是被检测到攻击的种类和特征信息。此外，Insre已经为模拟在BIS中接收疫苗和疫苗接种的过程建立了一个完整程序，提供了一个快速抵抗类似网络攻击的新方法。此外，Insre采用了集合代数方法以定量描述在CIS中的主要元素，如，自己/异己，抗体/抗原，淋巴细胞，自身耐受，克隆选择，成熟淋巴细胞的生命周期，免疫记忆，免疫监视，等。没有变量或变量赋值，只有表达式。因此，所有在Insre中的所有集合的进化可以同时实现23。1 提出模型给出字符串集合,网络协议(IP)包在网络中转移。抗原(Ag)是IP包的特征，由下式给出 （1）其中, 是自然数（常数），是字符串的长度。模拟抗原递呈细胞的功能(APCs),其中，IP包b的特点，如IP源地址和目的地址，端口数，协议类型，IP标志，IP整体数据包长度，TCP/UDP/ICMP字段，等，被提取为抗原决定簇。在一个网络攻击检测系统中，异己模式代表了IP包来自计算机网络攻击，而自己模式是正常认可的网络服务交易和无恶意背景杂斑，如此, (2)对于任意,运算符和被定义为 (3)在Insre中，一个淋巴细胞用作检测器以识别异己抗原（网络攻击），并由下式给出 (4)其中d是用于同抗原匹配的淋巴细胞抗体，p是抗体d的抗体浓度，age是抗体d的细胞年龄，count(亲和力)是同抗体d匹配的抗原数量，R是实数集合，N是自然数集合。d,p,age和count也同样被分别称为淋巴细胞的d,p,age和count字段。为了便于使用淋巴细胞x的字段，下标运算符“.”用于提取x的特定字段，如x. fieldname = the value of field fieldname of x. (5)淋巴细胞集合B包含了两个子集：成熟淋巴细胞(Tb)和记忆淋巴细胞(Mb) 。成熟淋巴细胞是对自身耐受但未被抗原激活的淋巴细胞。记忆淋巴细胞从成熟淋巴细胞进化而来，该成熟淋巴细胞在其生命周期中与足够多的抗原匹配。因此，我们有 (6) (7)其中是在D中的匹配关系，由下式定义 (9)其中，()是基于x和y间亲和力的：如果亲和力比某个特定临界值大，那么返回1，否则，返回0 。在Insre中，亲和力函数可以是欧氏距离，曼哈顿距离，汉明距离，r-连续位匹配规则，等13,21。使代表抗体基因库。是未成熟淋巴细胞，由下式给出 (10)其中未成熟细胞字段的概念和下标运算符“.”是为了提取未成熟细胞的特定字段，与淋巴细胞相同，请参照公式（5）。1.1 自己进化在一个真实网络环境中，由于安全漏洞（如，后门）的存在，某些网络活动，在先前被视为正常行为，而在漏洞修复后被禁止。此外，随着时间的迁移，网络管理员也许会打开更多的端口并提供更多的服务。也就是说，一些在过去被禁止的网络活动，现在将被允许。因此，正常网络活动的动态更新问题也出现了。总而言之，在时间t的自己集合从t-1时刻的进化而来，其中突变抗原和新自己集合在时间t分别是被消除和增加的。因此，我们有其中其中用于将抗原区分为自己或异己：如果其返回1，则x是异己抗原，否则，x是自己抗原。模拟生物免疫系统的共刺激且外部信号表明x是自己抗原，外部信号通常为网络安全管理员的反应。在这个模型中有两个重要的点。1)自己免疫监视：该模型通过自己免疫监视将及时消除变异了的自己抗原()。未成熟淋巴细胞对于变异了的自己抗原的耐受因而受到阻碍。因此，假阴性错误（即，一个不正常的网络活动被检测为是正常的）就减少了。2)自己的动态生长：当该模型工作时，它能通过将新自己抗原（）增加Self集合中，以扩展自己的描述范围。因此，假阳性错误（即，一个正常的网络活动被检测为一个不正常的）就减少了。1.2 抗体基因库其中其中是原始抗体基因，是在时间t被抗原激活的成熟淋巴细胞的抗体基因（即，检测到一些新攻击，保存了相应抗体基因，有关详细信息,请参阅第1.4节），且是在时间t同自己抗原匹配的记忆淋巴细胞的抗体基因集合（即，发生了假阳性错误，有关详细信息,请参阅第1.6节）。用作主要继承基因，因此新抗体的更优基因可以通过一些进化策略（如，基因剪辑，遗传算子）产生。然而,被认作错误基因和不能再满足当前网络要求的抗体基因，需要从抗体基因库中删除。抗体基因库Agd用于在骨髓模型中产生未成熟淋巴细胞的抗体（有关详细信息,请参阅第1.3节）。1.3 骨髓模型（自身耐受模型）等式（20）在骨髓中促进淋巴细胞生长，其中代表了未成熟淋巴细胞随机产生，是连续自然数。在耐受过程之后一步，是中幸存的未成熟细胞集合。未成熟细胞需要经历（1，耐受期）步耐受过程并在此后进化为成熟细胞。是经历了步耐受过程并在时间t进化为成熟细胞的未成熟细胞集合。是在时间t随机产生的新未成熟细胞集合。 的产生基于Agd（1.2节所示），其中关键步骤是产生未成熟细胞抗体。未成熟细胞新产生的抗体通常由两部分组成：一些随机产生的抗体；其他起源于Agd，推导方法包括基因剪辑，基因演算法，等。我们提出的骨髓模型是基于动态自身耐受，其中外部系统可以在任意时刻将新自己元素添加到Self(t)或从Self(t)中移除变异了的自己元素。由于自身耐受过程是动态的，该模型具有良好的适应能力。新增加的自己抗原将使模型产生能耐受那些新自己元素的新成熟淋巴细胞。然而，在这些新自己元素添加到Self(t)之前的成熟淋巴细胞可能无法耐受这些新自我元素。因此，在Insre中可能存在两种不同的淋巴细胞：一种是对特定抗原耐受的，但是另一种不能。这些细胞间的竞争通过外部系统进行仲裁（共刺激，请参考等式（15）。1.4 克隆选择其中其中模拟了淋巴细胞进化为下一代细胞的过程。是同相应抗原匹配的淋巴细胞集合，其中淋巴细胞和抗原的亲和力提高了。P(t)是同抗原匹配的淋巴细胞集合，然而，相应亲和力并未增加。是匹配异己抗原并在时间t被克隆的记忆细胞集合。是成熟细胞集合，其亲和力超过了特定值（0），该特定值意味着淋巴细胞将被激活，克隆并在时间t进化为记忆细胞，也就是说可以检测到一些新的网络攻击。和的元素也被称为免疫细胞克隆，它将克隆并产生更多淋巴细胞以解决相似和更为强烈的攻击。淋巴细胞对抗原有两种可能反应。一个是初级反应，它是由成熟细胞（）产生的,并需要一个亲和力累积过程，也就是成熟细胞尝试学习和识别之前未遇到过的抗原，因而需要一段长学习期。因此初级反应的效率相对较低。另一个是二级反应，由记忆细胞（）产生，比初级反应更快更强。一旦和抗原匹配，记忆细胞将立即被激活。在此时，不需要更多的学习过程。1.5 成熟淋巴细胞生命周期其中等式（29）描述了成熟淋巴细胞的生命周期，其中模仿了成熟细胞进化为下一代细胞的过程（对于, 和P(t)，请参考1.4节）。是在时间t从骨髓模型产生的新成熟细胞集合。是由免疫克隆产生的新细胞集合，其中新细胞经历了变异和自身耐受过程。是将在时间t进化为记忆细胞的成熟细胞克隆集合。是在生命周期（0）未与足够抗原（）匹配或在时间t将自己抗原分类成异己的淋巴细胞集合。是记忆细胞克隆集合。是模拟克隆过程，其中每个克隆过程产生个新细胞,其抗体通过等式（35）改变。克隆细胞的数量与在当前系统中基因与那些克隆细胞的基因相似的细胞的细胞数量成反比，其中Family(x)是淋巴细胞集合，这些淋巴细胞的抗体同x的抗体相似，且是当前系统在t-1时刻包括了记忆细胞和成熟细胞的淋巴细胞数量。模拟了细胞变异的过程，其中新细胞的抗体与x的相似。变异的目标是新克隆的淋巴细胞能识别一些被捕获抗原的变异。因此，促进了系统多样性。在成熟淋巴细胞生命周期中，淋巴细胞无法有效得发挥对通过克隆选择过程被消灭的抗原分类的功能。然而淋巴细胞能有效发挥分类将进化为记忆细胞的抗原的功能。因此，当他们再次入侵系统时，相似抗原能被迅速检测到。1.6 动态免疫记忆模型其中 (44)K是网络中计算机的数量，k是当前计算机的序列号。是第i台计算机的。 等式(37)描述了记忆淋巴细胞的动态进化。描述了记忆细胞进化为下一代细胞的过程。是从成熟细胞进化来的新记忆细胞集合。模仿了记忆细胞的死亡：如果记忆细胞同被确定为自己抗原的抗原匹配，也就是说，假阳性错误发生，那么这个记忆细胞将被消灭。是在时间t被激活记忆细胞集合，其抗体浓度增加。是在时间t未被抗原激活的记忆细胞集合，其抗体浓度应被减少。(0,自然数)是记忆细胞的抗体浓度维持期。当记忆细胞y克隆时，包括刚从成熟细胞进化而来的新记忆细胞的克隆，我们根据等式(39)或等式(42)提高抗体浓度，其中，y.p, 分别是抗体浓度增加，当前抗体浓度和奖励因子（检测连续类似攻击）。然而，如果在期间记忆细胞不能同任何抗体匹配，根据理论1，抗体浓度将会减少至0，也就意味着这种攻击被消灭了（注意，这里x.age意味着x多久未被激活）。然而，如果一个记忆细胞在期间同抗原匹配，其抗体浓度会累积（见等式(39)）,这意味着这种攻击持续增强。是在时间t的网络中其他机器的被激活成熟细胞集合。当成熟细胞被抗原激活时（即，检测到新攻击），它将被送给其他机器（就像疫苗）。因此，这些机器将能抵抗相似网络攻击。模仿了从其他机器中接收疫苗的过程（就像接种疫苗）。在动态免疫系统记忆模型中，记忆细胞的死亡能减少假阳性和假阴性错误概率。此外，动态免疫记忆模型，独立于上述所提出的模型，能克服在传统入侵检测系统中高错误率的缺点，提高自适应能力。定理1.如果记忆淋巴细胞不能同任何抗原匹配并在期间进行自我克隆，其抗体浓度将会减至0 。证明.假定记忆细胞x和抗原匹配并自我克隆。那么根据(39)和(42)，x.age = 0。注意，x.age在这里意味有多少代x未再次与异己抗原匹配。为了方便起见，假定代表了x在age代的抗体浓度，其中，然后根据(40),抗体浓度是当。定理 2. 假定一个记忆淋巴细胞在很长一段时间内持续捕捉相似抗原（即，类似攻击），那么相应抗体浓度将变成，其中。证明. 假设记忆细胞y在t = 1后持续捕捉类似抗原（即，类似攻击），从式(42)，我们有，在t步之后，从式(39)，我们有因此，相应记忆细胞y的抗体浓度将成为，其中，。然而，当，时，浓度将趋于。1.7 免疫监视输入抗原的更新期是。也就是说，在中，集合Ag内的抗原全部被新抗原替换。和分别是在时间t被检测为异己和自己抗原的抗原集合。是同成熟淋巴细胞匹配的抗原，然而，这些细胞并未被激活。换句话说，包含了不确定异己抗原。包含了，这意味着，如果这不是确定异己抗原元素，抗原被当成自己抗原。也就是说，免疫监视模型采取了攻击耐受策略。1.8 实时风险评估在讨论网络安全风险之前，我们首先给出了在中，Consanguinity关系的定义：给出, , , X 是由Consanguinity产生的血亲类。如果X是血亲类在任何元素和X元素之间没有任何Consanguinity关系，X被称为最大血亲类。显然Consanguinity关系是自反和对称的，但不传递。使，即，在两个记忆淋巴细胞x和y之间有Consanguinity关系，我们知道x和y有类似抗体基因。因此，被x和y检测到的攻击应来自相同攻击类型。假定在中的每个元素是二维空间的一个点。对于任意,如果，x和y存在边。因此所有的所有元素能组成一个图，被称为血亲图。为了方便起见，画血亲图时，有向边被无向边取代，从一个顶点开始到这个点的闭合曲线可忽略。根据最大血亲类的定义，我们有：定理 3. 在血亲图中一个孤立的点是一个最大血亲类；在最大完全子图中的所有点形成一个最大血亲类；不是一个最大完全子图的一条边的两点，同样组成一个最大血亲类。由图1所示，最大血亲类是。 图1. 血亲图给出, , , ,其中是中的最大血亲类。 （即，是中的最大血亲类，它有最多元素）,我们称为最大血亲类系。根据的定义，我们有,其中。以上描述证明了：定理4. 在中的最大血亲类系是中的一个划分。如图1所示，在中的最大血亲类系是c, d, f, g, a, h, b, e。假定是中的最大血亲类系，使意为的基因，也就是，包含中记忆细胞的所有抗体基因。给出，我们称是在中最大血亲类系的基因序列。显而易见得，和被分别被视为和的基本特征。根据基因序列的定义，以及定理4，我们有定理5.定理 5. 在中最大血亲类系基因序列中的任何两类基因是不同的。定理 6. 假定是在时间t的记忆淋巴细胞集合。在中的记忆细胞代表了在时间t系统受到的网络攻击的数量和种类，其中在中记忆细胞的抗体浓度预示着系统在时间t面对的网络风险等级。证明. 等式 (48)意味着来自免疫细胞克隆的免疫反应，以及抗原识别。等式 (29) 和 (37)预示着成熟细胞在进化为记忆细胞的过程中，当他们进行自我克隆时，成熟细胞将从成熟细胞集合中被立即删除。根据抗体指令系统的完备性理论24, 在系统中免疫细胞抗体的集合能覆盖所有抗原空间。因此，在系统中的记忆细胞记录了在过去系统遭受的网络攻击的数量和种类。等式 (26), (31) 和(34)预示着成熟细胞的抗体浓度是0，也就意味着细胞没有遇到任何异己抗原或遇到的抗原是不确定异己抗原。等式(26), (31), (34), (39), (40), (42) 和(43) 展示了只有记忆细胞抗体浓度可能大于0。从式 (39) 和(40), 我们知道记忆细胞抗体浓度持续增加意味着在期间，系统处于持续的网络攻击。由于记忆细胞抗体浓度是只在期间（如同报警期）累计和维持的，如果记忆细胞在期间未被激活，根据定理1，其抗体浓度将会减小到0。也就是说，这个细胞的警报被清除了。因此，记忆细胞抗体浓度预示着在单位时间内系统遭受到的网络攻击强度。因此网络安全风险可以通过计算记忆细胞抗体浓度被准确预测。定理 7. 给出了时间t计算机k遭受来自n种网络攻击时的最大血亲类系 ，其中每种攻击种类的特点是，的攻击强度与成正比。整体攻击强度与成正比。 证明. 根据定理6，代表了计算机k在时间t遭受到的计算机攻击的数量和种类。从定理4，是的一个划分。因此系统在时间t遭受到来自种的网络攻击。其中，攻击特点是。此外，给出,其中 x.p 是类型 x.d. 的攻击强度，从的定义，包含着与x类似的所有攻击，因此的攻击强度与成正比。整体攻击强度与成正比。 Q.E.D. 假定在网络中有K台计算机，在计算机中的记忆淋巴细胞集合是。在所有计算机种的记忆淋巴细胞集合为。在M中最大血亲类系是。从定理7，我们有：定理 8. 整个网络在时间t遭受了来自种的网络攻击，其中每种攻击类型的特征是。攻击的攻击强度与成正比，整个攻击强度与成正比。由于每种攻击的危险和每台计算机的重要性是不同的，当计算网络安全风险时，必须考虑到他们。使意为计算机k在时间t遇到的风险，其中预示着系统处于极度危险中，预示着系统没有危险。越大，系统面对的风险越高。假定是在计算机k中第i种攻击的危险因数。根据定理6和7，我们有：定理 9.计算机k在时间t遇到的第i种攻击的安全风险是,整个风险是 假定是网络中计算机k的重要因数，是网络中第i种攻击的危险因数，根据定理6和8，我们有定理10：定理 10. 在时间t网络面对的第i种攻击的安全风险， 是 ,且整个风险定理 11.计算网络安全风险的时间和空间的复杂性与网络中所有记忆淋巴细胞的数量成线性关系。证明. 由于新攻击的产生是很少的，且新攻击产生时只影响在某个时刻的风险计算（在这个时刻，最大血亲类系和需要重新计算以获得更多攻击类型的准确信息），当考虑到风险计算的时间和空间复杂性时，和的重新计算可大体上忽略不计。对于任意计算机k ，我们从定理9得知，的时间复杂性是,其中，c (0)是在累计一个记忆细胞的抗体浓度时所耗费的时间 ，由于和每种攻击的危险系数合并在中， 的空间复杂性主要是由和组成的。对于 的空间复杂性，考虑到最坏情况 。那么的空间复杂性是同的相同。因此的空间复杂度是，其中 c(0)是一个记忆细胞需求的空间。对于在网络环境中R(t)的时间和空间复杂度，考虑到最坏的情况。之后，根据定理10，R(t)的时间复杂性是。由于,每个攻击的危险因数,和在每台计算机在网络中合并的重要因数, R(t)的空间复杂性是 Q.E.D.网络安全风险评估的时间和空间复杂性是不太重要的，因为其在记忆淋巴细胞上是线性的。我们的实验结果也显示网络安全风险计算与实际网络攻击是同时发生的，且几乎没有延迟，因此它有实时计算能力。2 仿真在网络中共有40太计算机处于监视之下，被监视的网络提供了一些如WWW, FTP, Email, 等的服务，他们分别能被端口号识别。网络受到20种攻击的攻击，如syn flood, land, smurf, teardrop,. ,等。抗原是96位长的二进制字符串，其合并了源/目标地址，端口号，协议类型，IP标志，IP总体数据包长度，TCP/UDP/ICMP 字段, 等. 总而言之，正常网络活动是几乎无改变的，耐受期 (如果正常网络活动频繁改变，可能大于1) 。匹配功能采取r-连续位匹配原则（r=8）。由于受到计算机能力的限制，如，内存大小，运算速度，等，在系统中淋巴细胞的数量被限制在小于300，然而，淋巴细胞越多，系统性能越好。克隆相似淋巴细胞的比例因数被设定为1，由于机器能力的限制，它应当尽可能得大。抗原更新期的值应尽可能大（这里， =50）如果确定没有IP包丢失，那么淋巴细胞可能获得跟多检测时间。 成熟细胞的活动阀值和生命周期的选择原则能保证较高检测率(TP) 和较低错误率(FP)。图2 和图3 显示了在TP 和FP上的和影响,当 = 10, = 90 K时能获得一个满意的结果。在实验中，网络环境下的计算机A, B, C,.的重要因数被分别随机设为0.5, 0.2, 0.8,.。syn flood, land, smurf, teardrop,.的危险因数被分别随机设为0.8, 0.5, 0.9, 0.5,.。通过定理9和10能评估整个网络和一台特定计算机面对的一些攻击和一个特定攻击的安全风险，其中，。根据定理2获得抗体浓度系数和的值。从定理1，当攻击结束时，抗体浓度维持期()将暂时确保抗体浓度处于保持在一个较高的水平。这在实际网络环境中是十分重要的，因为假如相同攻击在短时间内再次发生，网络能保持一个高警戒度。的值与警报期有关。图4显示了，和在检测风险值上的影响。在实验中，在网络遭受攻击时，和的选择原则能用于确保一个较高的匹配率，即，检测风险曲线和攻击强度曲线上的匹配率（攻击包/秒，在攻击结束时测量）。实验结果显示，当=0.001，=0.9998和=5000时，能获得一个满意的匹配率图3.在TP/FP上生命周期的影响图2.在TP/FP上活动阀值的影响图 4.抗体参数，和在检测风险值上的影响 (a) 网络面对的真实攻击强度曲线(b)当= 4000时，的影响. (c)，和在检测风险值 = 0.001, = 0.9998时，的影响一台计算机或整个网络面对的所有攻击和特定攻击的安全风险，是分别进行评估的。图5 分别显示了计算机A面对的整体攻击(图5(a), 计算了如syn flood, land, 等的所有攻击)和单个攻击(图 5(b), 在所有攻击中的一个风险，如， syn flood 风险) 。图6 分别显示了整个网络面对的整体攻击(图6(a) 和单个攻击 (图6(b), syn flood 风险)。我们从图5 和图6 中发现，当网络攻击发生以及攻击强度增强时，相应的评估风险也会同时增加。此外，当攻击强度减小时，相应评估风险也会同步减小。然而，当减小斜率主要与抗体浓度维持期有关时，安全风险曲线的减小斜率比攻击强度的小。这在实际网络环境中是十分重要的，因为如果相同攻击在短时间内再次发生，网络能保持一个高警报等级。如在图5(a)中所示, 攻击强度减小的趋势是从时间0-20，然而，相应风险值减小缓慢，系统仍保持一个较高警报等级；当在时间21时，高强度攻击突然发生，攻击风险值会迅速升高；从时间21-37，网络攻击强度的提高是不明显的，但是只保持在一个相对较高的位置，然而，评估的风险依旧在上升，并在时间37时，到达最大值。这与真实网络环境一致：网络攻击越强，时间越长，系统面对的危险越大。图6. 整个网络面对的真实攻击强度曲线和风险评估曲线。(a) 整个攻击强度和风险评估(b) syn flood 攻击强度和风险评估图5.计算机A面对的真实攻击强度曲线和风险评估曲线。 (a) 整个攻击强度和风险评估(b) syn flood 攻击强度和风险评估实验结果显示风险评估与网络面对的真实攻击是一致的，这也意味着该模型能很好得