（计算机应用技术专业论文）免疫识别模型和算法及其在病毒检测中的应用研究.pdf

摘蟠 p 圆科学技术天学硕上学位沦文 摘要 随着计算机技术特别是网络技术的迅猛发展，新的计算机病毒的产生和传播 速度越来越快危害也越来越大。现有的反病毒技术主要是基于特征码匹配的方 法，对于已知病毒可以准确快速地检测，但难以识别与处理未知的新病毒。因此， 探索新环境下的计算机反病毒技术已经成为计算机安全研究的一个重要领域。 生物免疫系统是一个具有很强自我保护功能的系统，能够有效识别已知和未 知抗原。以此为基础的人工免疫方法蕴含着生物体抵御外界病毒的机制，对设计 新的计算机反病毒技术带来了很大的启发。 本论文旨在抽取生物免疫系统中所蕴含的识别机割，结合病毒检测的实际需 求，设计用于病毒检测的免疫识别模型和算法，并将其应用在“网络病毒和恶意 代码检测系统”中。 本文具体的研究工作主要有以下几个方面： ( 1 ) 借鉴生物免疫系统“根据自我识别非我”的思想，提出并实现了一种 新的注册表异常行为检测技术，用于恶意脚本的识别。该技术实时截获进程所修 改的注册表项，基于自我集来判断当前注肪表行为是否异常。文中以i n t e m e t e x p l o r e r 浏览器为例给出了具体实现方法。实际测试实验的结果表明了该技术的 有效性和可行性。 ( 2 ) 深入挖掘生物免疫系统中的抗体生长和成熟机制，首先设计了一个检 测器白适应变化的基本免疫识别模型和算法；然后借鉴t 细胞分化发育中的阳性 阴性选择机制对该模型加以改进，设计了一个检测器和自我集均自适应变化的 改进免疫识别模型和算法，在一定程度上弥补了自我集无法完整获取的缺陷。对 实际病毒的检测实验结果证明了模型和算法的有效性以及改进的积极意义。 ( 3 ) 将以上研究工作应用在“网络病毒与恶意代码检测系统”中。实际测 试表明，该系统对网络病毒和恶意代码具有良好的检测效果，充分验证了本论文 所提出的模型和算法的有效性和实用性。 本论文通过抽取生物免疫系统中所特有的免疫识别机制，设计了基于自我集 的注册表异常行为检测技术以及自适应免疫识别模型和算法，并将其应用在“网 络病毒与恶意代码检测系统”中。本文的工作不仅对现有的反病毒技术具有补足 作用，并且对计算机安全新机制的研究具有启发意义。 关键词：人工免疫：免疫识别；病毒检测 a b s t r a c t r ，凋科学救术大+ 顿 # 他沦文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e r t e c h n o l o g y , e s p e c i a l l yt h en e t w o r k t e c h n o l o g y , m o r ea n dm o r ed a n g e r o u sc o m p u t e rv i r u s e sa r em a d en o ti nah i g hs p e e d c u r r e n ta n t i v i r u st e c h n o l o g i e sa r em o s t l yb a s e do nc h a r a c t e rc o d em a t c h i n g w h i c h c a nd e t e c tk n o w nv i r u s e sf a s ta n dp r e c i s e l y b u tt h i sm e t h o dc a nn o tr e c o g n i z ea n d p r o c e s st h eu n k n o w nv i r u s e s s o ，e x p l o r i n gn e wv i r u s e sd e t e c t i o nt e c h n o l o g yw i l l b e c o m eo n eo f t h em o s ti m p o r t a n tf i e l d si nt h ec o m p u t e rs e c u r i t yr e s e a r c h b i o l o g i c a li m m u n es y s t e mh a sas t r o n gs e l f - p r o t e c t i o nf u n c t i o n ，w h i c hc a nr e c o g n i z e b o t hk n o w na n du n k n o w na n t i g e n s b a s e do nt h eb i o l o g i c a li m m u n es y s t e m ，a r t i f i c i a l i m m u n es y s t e mc o n t a i n st h ev i r u sd e f e n s i v em e c h a n i s mo fb i o l o g i c a lo r g a n i s m s i t i l l u m i n a t e st h er e s e a r c ho f n e wa n t i v i r u st e c h n o l o g y t h ea i mo ft h i st h e s i si se x t r a c t i n gt h er e c o g n i t i o nm e c h a n i s mo fb i o l o g i c a li m m u n e s y s t e m ，d e s i g n i n gi m m u n er e c o g n i t i o nm o d e l sa n da l g o r i t h m sf o rv i r u s e sd e t e c t i o n ， a n d a p p l y i n gt h e mi nt h e n e t w o r kv i r u s e sa n dm a l i c i o u sc o d e sd e t e c t i o ns y s t e m ” t h em a r ew o r ko f t h i st h e s i sc a nb es u m m a r i z e di n t ot h r e em a j o ra s p e c t sa sf o l l o w s ： 1 ) i n s p i r e db yt h ei d e a “r e c o g n i z en o n - s e l fb ys e l f o fb i o l o g i c a li m m u n es y s t e m t h i st h e s i sp u t sf o r w a r da n di m p l e m e n t san o v e lr e g i s t r yt a b l ea n o m a l yb e h a v i o r s d e t e c t i n gt e c h n o l o g yf o rd e t e c t i n gm a l i c i o u ss c r i p t s f i r s t l yt h i st e c h n o l o g y c o n s t r u c t st h es e l f - s e t b yc o l l e c t i n g n o r m a lr e g i s t r yt a b l eb e h a v i o r so f a p p l i c a t i o n s ，a n dt h e nt oj u s t i f yw h e t h e rc u r r e n tr e g i s t r yt a b l eb e h a v i o r so ft h e c o r r e s p o n d i n ga p p l i c a t i o nb e l o n gt ot h es e l f - s e to rn o t ，a n dd e t e c tw h e t h e rt h e c u r r e n tb e h a v i o r sa r ea b n o r m a l t h ed e t a i l e di m p l e m e n t a t i o n sa r ed e s c r i b e db y t a k i n gi n t e m e te x p l o r eb r o w s e rf o re x a m p l e ，a n dt h ep r a c t i c a le x p e r i m e n t s r e s u l t sp r o v et h a tt h i st e c h n o l o g yi sf e a s i b l ea n de f f e c t i v e ， 2 ) d e e p l ye x p l o r i n gt h eb i o l o g i c a lm e c h a n i s m o fa n t i b o d yg r o w t ha n dm a t u r i t y , t h i s t h e s i sd e s i g n sad e t e c t o rs e l f - a d a p t i v eb a s i ci m m u n er e c o g n i t i o nm o d e la n d a l g o r i t h m r e f e r e n c i n gt h ep o s i t i v e n e g a t i v es e l e c t i o nm e c h a n i c i nt h et - c e l l m a t u r i t y , t h i st h e s i st h e nm a k e ss o m ei m p r o v ea n dd e s i g n sa s e l f s e ts e l f - a d a p t i v e a d v a n c e di m m u n er e c o g n i t i o nm o d e la n da l g o r i t h m e x p e r i m e n t so ns e v e r a lr e a l v i r u s e sp r o v et h ee f f e c t i v e n e s so ft h i sm o d e la n da l g o r i t h ma n dp o s i t i v em e a n i n g o f t h ei m p r o v e m e n t 3 1t h ea b o v ew o r k sa r ea p p l i e di nt h e “n e t w o r kv i r u s e sa n dm a l i c i o u sc o d e s a b s t m c t 中国科学技术大学硕士学位论文 d e t e c t i o ns y s t e m ”r e s u l to fp r a c t i c a lt e s t ss h o w sag o o de f f e c t t h i ss u f f i c i e n t l y v a l i d a t e st h ee f f e c t i v e n e s sa n dp r a c t i c a b i l i t yo ft h em o d e l sa n da l g o r i t h m si nt h i s t h e s i s i n s p i r e db yt h eu n i q u er e c o g n i t i o nm e c h a n i s mo fb i o l o g i c a li m m u n es y s t e m ，t h i s t h e s i sd e s i g n san o v e lr e g i s t r yt a b l ea n o m a l yb e h a v i o r sd e t e c t i n gt e c h n o l o g ya n d s e l f - a d a p t i v ei m m u n er e c o g n i t i o nm o d e l sa n da l g o r i t h m s ，a n dt h e na p p l i e st h e mi nt h e “n e t w o r kv i r u s e sa n dm a l i c i o u sc o d e sd e t e c t i o ns y s t e m ”w o r k si nt h i st h e s i sn o t o n l yc a nb e ac o m p l e m e n t a r yp a r tt oc u r r e n ta n t i v i r u st e c h n o l o g y , b u ta l s oc a n i l l u m i n et h er e s e a r c ho f c o m p u t e rs e c u r i t y k e yw o r d s ：a r t i f i c i a li m m u n i t y ；i m m u n er e c o g n i t i o n ；v i r u s e sd e t e c t i o n i l l ： l 啦绪沦 叶1 l _ 1 4 科学技术大学欢士学位论文 第1 章绪论 伴随着计算枫的普及，计算机病毒就像挥之不去的幽灵般困扰着使用计算机 的人们。与人类和生物病毒的斗争史惊人地相似，个个旧病毒被击败的同时 新的病毒却不断的产生、泛滥。随着i n t e r n e t 的产生和发展新的计算机病海的 产生、传播速度越来越快，危害也越来越大，现有的反病毒技术已经跟不上病毒 的发展速度。因此，探索新环境下的计算机反病毒技术已经成为计算机安全研究 的个重要领域。 生物免疫系统是一个具有很强自我保护功能的系统，以此为基础的人工免疫 系统( a r t i f i c i a li m m u n es y s t e m ) 蕴含着生物体抵御外界病毒的机制。和计算机 病毒舫治有着天然的相通性，对设计新的计算机反病毒技术具有重要的借鉴意义 和广阔的应用前景。 本章首先对计算机病毒和当前的反病毒技术做一综述，然后介绍人工免疫系 统的相关概念、特点和发展史，最后是基于人工免疫的病毒检测研究现状以及本 文的研究内容介绍。 第1 节计算机病毒和病毒检测技术 在设计新的计算机病毒检测技术之前，必须深入了解计算机病毒本身和现有 的病毒检测技术。本节首先介绍了计算机病毒的概念、特点以及发展简史：然后 通过统计数据分析了i n t e r n e t 的高速增长所带来的计算机病毒发展新趋势；最后 列举了当前常用的病毒检测技术，并逐一分析了优缺点。 1 1 1 计算机病毒概述 什么是计算机病毒? 中华人民共和国计算机信息系统安全保护条例中明 确指出：“计算机病毒，是指人为编写的破坏计算机功能、破坏计算机数据，影 响计算机使用，并能自我复制的计算机小程序。” 这段定义虽然简短，但反映了计算机病毒的四大特点【l 】： 程序性( 可执行性) ：计算机病毒是一段可执行的代码，寄生在其他程序 上，享有宿主程序所能得到的权限。 第1 章绪沦 卜l 呵科学坎术人节颇i ：。似沧史 传染性：计算机病毒会通过各种媒介，以非常快的速度尽i 可能地感染更 多的计算机。 潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马j ： 发作，而是会隐藏一段时间，大量复制自身，等待时机成熟后再进行破 坏。 可触发性：因某个事件或数值的出现，诱使病毒实施感染或进行攻击。 触发条件可能是时间、日期、文件类型或某些特定数据等。 计算机病毒首次被确认是在一九八三年，但当时并没有引起人们的重视。赢 到一九八七年计算机病毒才开始受到世界范围内的普遍重视。我国于- - t l j k ) l v 首次发现计算机病毒。至今，全世界已发现近数万种病毒，并且还在高速度的增 加。图1 1 显示了2 0 0 1 年至2 0 0 2 年我国计算机的病毒感染率。从图中可以看出， 超过五分之四的计算机都曾感染过病毒，而且这个数字还在迅速增长中 2 】。 1 0 0 8 0 6 0 4 0 2 0 o 计算机病毒感染率 团2 0 0 1 年 囫2 0 0 2 年 是否 图1 1 我国计算机的病毒癌染率( 来源：国家计算机病毒应急处理中心) 图1 2 显示了汁算机病毒在我国所造成的破坏的具体分类。, t , tr ”叮以霸， 计算机病毒的不仅破坏性极大，而且破坏的方式多种多样，从较轻的浏览器配罱 被修改n ；l b - 常严重的数据丢失，给计算机用户造成时间和金钱上的巨大损火。 第1 啦绪论f l 圆科学技术大学颅士学位沦文 病毒破坏的情况 0 数据部分孟失 系统无法使用 母浏览器配冒被修改 冒网络无法使用 雹使用受般 圈受到远程控制 口不知道 一数据全部丢失 图1 2 病毒破坏的具体情况分类( 来源：国家计算机病毒应息处理中心) 在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术 出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。病毒发展过程可 简单划分为以下若干阶段f 3 】： 1 d o s 引导阶段：1 9 8 7 年，计算机病毒主要是引导型病毒。当时的计算机一 般需要通过软盘启动。引导型病毒利用软盘的启动原理工作，它们修改系统 启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写 中断，并在系统存取磁盘时进行传播。具有代表性的是“小球”和“石头” 病毒。 2 d o s 可执行阶段：1 9 8 9 年，可执行文件型病毒出现。它们利用d o s 系统加 载执行文件的机制工作，病毒代码在系统执行文件时取得控制权，修改d o s 中断，在系统执行中断调用时进行传染，并将自己附加在可执行文件中，使 文件长度增加。代表性病毒为“耶路撒冷”，“星期天”病毒。 3 伴随硝阶段：1 9 9 2 年，伴随型病毒出现。它们利用d o s 加载文件的优先顺 序进行工作，感染e x e 文件时生成一个和e x e 同名的扩展名为c o m 伴随 体：感染c o m 文件时。改为原来的c o m 文件为同名的e x e 文件，再产生 一个原名的伴随体，文件扩展名为c o m 。这样，用户在运行e x e 文件时， 被d o s 加载的将是它的c o m 伴随体，病毒就取得了控制权。这类病毒的特 点是不改变原来的文件，清除病毒时只要将其伴随体删除即可。具有代表性 的是“金蝉”病毒。 4 多形( p o l y m o r p h i c ) 阶段：1 9 9 4 年，多形病毒( 又称“幽灵病毒”) 首次出 现。该病毒使用汇编语言编写，每感染一次就产生不同的代码。例如“一半” 病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的 第l 啦绪论吲科学技术大学硕七学f - ) ! 论文 数据中。检测这类病毒就必须能对这段数据进行解码，加大了检测的难度。 5 生成器阶段：1 9 9 5 年，在汇编语言中，一些数据的运算放在不同的通用寄存 器中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响 运算的结果。这样，一段解码算法就可以由生成器生成。具有典掣代表的足 “病毒制造机”v c l ，它可以在瞬间制造出成于上万种不同的病毒，检测时 就不能使用传统的特征识别法而是需要在宏观上分析指令，解码后扫描病 毒。 6 原始网络蠕虫阶段：1 9 9 5 年，随着网络的普及，病毒开始利用网络进行传播。 第一个网络病毒，“英里斯蠕虫”是典型的代表，它不占用除内存以外的任 何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址 进行传播，在几小时内导致因特网堵塞。这件事就像是计算机界的一次大地 震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使 更多的计算机专家重视和致力于计算机病毒研究。 7 视窗阶段：1 9 9 6 年，随着w i n d o w s 系列操作系统的日益普及，w i n d o w s 平 台下的病毒开始出现，它们修改w i n d o w s 下的可执行文件( p e 文件) 。典型 的代表是d s 3 8 7 3 ，这类病毒的机制更为复杂，它们利用保护模式和a p i 调 用接口工作，清除方法也比较复杂。 8 宏病毒阶段：1 9 9 6 年，m i c r o s o f t 公司为了扩充o f f i c e 软件的功能在其中 加入了v b a 编程语言，使用这种脚本语言可以很容易地编写出一些在揲作 文档时自动运行的病毒。由于o f f i c e 软件应用极为广泛，所以宏病毒传播的 速度快，造成的破坏极大，而且o f f i c e 文档的格式没有被公开，这类病毒的 查杀比较困难。 9 网络病毒阶段：1 9 9 7 年至今，随着i n t e m e t 的发展，各种利用互联网传播的 病毒开始出现，并迅速发展起来，给计算机用户带来了巨大的损失。具有代 表性的网络病毒包括邮件病毒、蠕虫病毒和恶意脚本等。下一小节：恪对网络 时代的病毒做专门的介绍。 在此需要说明的是，对病毒名称，各个反病毒软件的定义不尽相同有时对 同一一种病毒会报出不同的名称。在本文中，除非特殊说明，均使用n o r t o nv i r u s d e f i n i t i o n 所定义的病毒名 4 】。 1 1 2i n t e r n e t 时代病毒发展的新趋势 在过去的数年中，随着网络技术的发展，i n t e m e t 呈爆炸式增长。从1 9 8 8 年 挪l 啦绪沦 倒科学技术大学碰士学位论文 刮1 9 9 7 年的十年问，i n t e m e t 的# 饥数从8 0 ，0 0 0 台暴涨至1 6 ，1 4 6 ，0 0 0 台。增加了 2 0 0 多倍。i n t e m e t 剧户数鲢的增，! j 门速度也令人吃惊，近几年i n t e r a c t 以每年一亿 个新用户的速度在e 涨- 也就是浣，每秒钟有接近4 个新用户进入i n t e r a c t 。图 1 3 显示了1 9 9 6 年至2 0 0 1 年i n t e m e t 用户的增跃趋势。 n u m b e ro fi n t e r n e tu s e r s 1 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 1 y e a r $ 图1 - 3 全球i n t e r n e t 用户的增长趋势( 来源：c o m p u t e ri n d u s t r y a l m a n a c ) 随着i n t e r n e t 使用者的飞速增多，计算机病毒的数量以及计算机遭受病毒攻 击的次数也在猛增。图l 一4 为位于美国r 内基梅隆大学的全球计算机应急处理工 作小组( c e r t ：c o m p u t e re m e r g e n c yr e s p o n s et e a m ) 在1 9 9 6 至2 0 0 1 年间收到 的病毒攻击事件报告次数统计图。 一黑。嚣赣菰。嚣二蠢蠹一i 兰 鼍：j = 篓： 4 1 _ ij 嚣g ! 瓣i ：攀、_ 鬻；，篙雾 ”鬈矗誊z ，未嚣o 气乒舒鼍_ 曩。嚣 囊“囊鬻熏蠢t 糕蕞 。弓奠、未 夕曩。；i 二慧薯： j 耄莓。摹馨蠢j 。、戮一。 1 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 1 y e a r 图1 - 4 计算机病毒攻击事件报告次数统计图( 来源：c e r t ) 是什么原因导致了计算机病毒的大爆发? 从图1 5 中可以得到一些启示。该 图是国际计算机安全协会( i c s a ：i n t e r n a t i o n a lc o m p u t e rs a f ea s s o c i a t i o n ) 所统 计的在1 9 9 6 至2 0 0 1 年间各种类型计算机病毒所占比例的变化图。从图中可以看 出，随着i n t e r n e t 的发展，文件型病毒从鼎盛时期的9 0 降到了5 以下，已经 o o o 0 0 o 0 0 一 一 一 一 一 一 | | 。 兽：是呈口芒呈竺o；oe主 筇1 章绪沦 p l 弼科举技术大学硕士学位沧文 逐渐退出了计算机病毒的舞台；取而代之的是e m a i l 病毒和其他的网络病毒，已 经占据了当前计算机病毒的9 0 以上。 口 ， 。广、- ， _ 1 r 7 、 侪 嘛 、 矾 靠 l i n t 1 玳f 帏 彬 、一一一、一，7 u 。一 。、：百 ：! 1 mf 晰1 1 4 1 0f 嘲翔0瑚 4 1 b 舶，k _ 一日删- 虹m d r hc m o 岫 l 圈1 - 5 各种类型计算机病毒所占比例的变化图( 来源：i c s a ) 通过对上述统计数据的分析可以得到以下结论：在网络时代，计算机病毒的 数量和种类都发生了巨大的变化 5 】。在数量上，已经有超过4 0 0 0 0 种病毒被发 现，是网络时代之前数量的1 0 倍以上，而且还在以每周1 0 种新病毒的速度山现： 在种类上，网络病毒已经取代了文件型病毒的地位，占据了病毒总数的九成以上。 这种趋势通过表1 1 所示的2 0 0 1 年和2 0 0 2 年中国和世界最流行的十种病毒也可 以反映出来。2 0 0 2 年的世界十大病毒基本上都被网络病毒所占据，而中国十大 病毒里也只有c i h 是文件型病毒。 表1 1 最流行的十种病毒列表( 来源：国家计算机病毒应急处理中心) 地区 中国 世界中国世界 排蔷2 0 0 1 年5 月 2 0 0 1 年5 月2 0 0 2 年5 月2 0 0 2 年5 月 l c i hv b s v b s w g x e x p l o i t k l e z h 2f u n t o v e m a g i s t r n i m d a e l k e m 3 b i n g h e h y b r i s b i n g h e b a d t r a n s 4w 9 7 m m a r k e rb a d t r a n sj s s e e k e r m a g i s t r - b 5m t x a p o l o g yh a p p y t i m e k t e z e 6 t r o j a n e r a s e v b s k a k ，w o r m f u n l o v e m a g i s t r - a 2 l ； 氍绪沧扣翻科学技术大学硕士学位论文 7b ov b s v b s w g zk 1 n i m d a a 8y a iw 9 7 m m a r k e rc i hn i m d a - d 9w y x i b y m e r g o p s i r c a m a l o t r o j a n g d o o r f u n l o v e t r o j a n n e t t h i e f f u n l o v e 网络病毒大体上可以分为三类：e m a i l 病毒、蠕虫病毒和恶意脚本。网络病 毒的特点主要有： 主动通过网络和邮件系统传播，传播速度极快。由于病毒主要通过网络 传播，因此一种新病毒出现后，可以迅速通过i n t e r n e t 传播到世界各地。 在2 0 0 2 年世界十大病毒中，k l e z 、n i m d a 、s i r c a m 等都可以通过邮件传 播其中k l e z 和n i m d a 还可以通过扫描网络主动复制自己，因此在一两 天内就传播到世界的主要计算机网络，在各大反病毒公司做出反应并更 新反猜毒软件之前就造成了许多国家计算机网络的瘫痪。 由高级语言编写，新病毒出现速度快。同文件型病毒大多由汇编语言编 写不同，很多病毒使用高级语言编写，如“爱虫”是脚本语言病毒，“美 丽杀”是宏病毒。因此，它们容易编写。并且很容易被修改生成很多病 毒变种。“爱虫”病毒在十几天中，出现三十多种变种。“美丽杀”病毒 也生成三、四种变种，并且此后很多宏病毒都是使用了“美丽杀”的传 染机理。这些变种的主要传染和破坏的机理与母本病毒一致，只是某些 代码作了改变。但对于传统的反病毒软件来说，就只能被动地更新自己 的病毒库，来识别变种病毒和新病毒。 难以控制。网络病毒一旦在网络中传播、蔓延，很难控制。往往在用户 准备采取防护措施时候，已经遭受病毒的侵袭。 难以根治。以2 0 0 3 年流行的“冲击波”病毒为例，该病毒的大爆发已经 过去一年了，但在网络上仍然经常可以发现中毒的机器在扫描网络。 可以由病毒生成工具生产。以往计算机病毒都是编程高手制作的，但是 随着病毒制作门槛的降低，出现了一些病毒生成工具，可以批量的生产 病毒。“库尔尼科娃”病毒就是这些产品中的佼佼者，曾经进入了病毒排 行榜的前十名。由于这类工具在网络上可以很容易地获得，使得现在新 病毒出现的频率超出以往任何时候。 和网络入侵技术相结合。随着计算机病毒的编制技术的不断提高，病毒 可以执行更多的功能。过去的病毒只能通过用户运行来被动地复制自身， 现在的部分网络病毒可以利用一些初级的入侵技术主动地传播，如扫描 第1 章缨沦 卜删科学技术人节艘j 学他论文 网络，利用漏洞入侵，并在中毒机器上留下后门等，更具有危害性。 在上述特征中，最根本的是病毒的传播和更新速度快，其他的特征可以看作 是这两个特征所导致的结果。 1 1 3 传统反病毒技术介绍与分析 传统的反病毒技术分为硬件和软件两大类。其中硬件技术主要指的是防病毒 卡，它是一种固化在r o m ( r e a do n l ym e m o r y 。只读存储器) 中的程序，通过 动态驻留内存来监视计算机的运行情况，其主要缺点是降低计算机性能、检测率 低、应用范围狭窄、升级困难等，已经被软件技术所取代。 传统的病毒检测软件技术主要有以下四种： 1 特征代码法 特征代码法是当前应用最为广泛的病毒检测技术，几乎所有的商业反病毒软 件都使用了该方法。其实现步骤为：( 1 ) 采集已知病毒样本；( 2 ) 抽取特征代码， 在保持唯一性的前提下尽可能短；( 3 ) 根据所有已知病毒的特征代码对待检测文 件进行扫描。如果扫描发现其中含有病毒特征代码，由于特征代码与病毒一一对 应，便可以断定，被检测文件中带有何种病毒。 特征代码法是检测已知病毒的最简单、最准确、开销最小的方法，并且可识 别出病毒的名称。其最大的缺点就是无法识别未知的病毒，对从未见过的新病毒， 自然无法知道其特征代码，因而无法去检测这些新病毒。采用病毒特征代码法的 检测工具，面对不断出现的新病毒，必须不断更新病毒特征库，否则检测工具便 会老化，逐渐失去实用价值。另外，该方法还面临着特征码爆炸的危险，随着己 知病毒数量的增多，特征代码集将会逐渐增大，导致检测速度的下降。 2 校验和法 校验和法的基本步骤是：( 1 ) 计算正常文件内容的校验和：( 2 ) 把校验和保 存在安全的地方：( 3 ) 定期或每次使用文件前检查文件现在内容算出的校验和与 原来保存的校验和是否一致。进而发现文件是否感染病毒。 校验和法的优点是既能发现己知病毒，也能发现未知病毒。但是，该方法对 文件内容的变化太敏感，又不能区分正常程序引起的变动，因而常常误报：并且 该方法对文件的运行速度也有很大的影响。因此，校验和法检测病毒的实用性较 差，很少被现在的反病毒软件所采用。 3 行为监测法 蒴i 嚣绪沦巾圆科学技术大学碰士学位论文 利用病毒的某些特有行为来监测病毒的方法，称为行为监测法。通过对病毒 多年的观察研究发现，有一些行为是病毒的共同行为，而且比较特殊：而在正常 程序中，这些行为则比较罕见。行为监测法在程序运行时监视其行为如果发现 了，痫毒行为则立即报警。这些作为监测病毒的行为特征有：修改主引导扇区、 修改d o s 系统内存总最、对c o m 和e x e 文件做写入动作等。 jj ：为监测法的主要优点是可以发现未知病毒。但是现有的行为监测法应用范 刖有限，一般只能应用于比较简单的d o s 系统，而w i n d o w s 操作系统下的程 序行为非常复杂，不仅难以总结出直接可用于检测的病毒行为判据，而且需要更 加高效的智能监测算法。因此，尽管行为监测法具有未知病毒检测能力，但是在 进一步推广使用之前，依然还有很多问题需要深入探索和研究。 4 虚拟执行法 虚拟执行法主要用于检测多态型病毒。因为多态型病毒代码实施密码化，而 且每次所用密钥不同，因此每次感染之后其病毒代码都会变化。对于这类病毒， 很可能无法找出能作为特征代码的稳定代码段。 虚拟执行法创建一个虚拟机，使得病毒以为是在真实的操作系统中执行，等 病毒将自身解密之后，或者用特征代码法扫描病毒的本体，或者继续在虚拟机上 执行病毒本体并用行为监测法进行检测。 该方法一般在d o s 系统下用作特征代码法的补充模块。由于w i n d o w s 操 作系统的复杂性，目前还没有能够快速虚拟w i n d o w s 系统的方法，所以虚拟 执行法一般只能应用在d o s 环境下。 从以上的分析可以看出，传统的病毒检测技术很好的解决了对己知病毒的检 洲，但是对于未知病毒却没有一个成熟可行的检测方法。i n t e m e t 时代的网络病 毒对现有的反病毒技术产生了巨大的冲击，新出现的病毒往往在反病毒软件做出 反应之前，就已经在世界各地泛滥开来，造成了巨大的破坏。因此新一代的病 毒检测技术不仅要能准确的识别已知的病毒，而且要能对变种病毒甚至是未知的 新病毒具有一定的识别能力，这样才能抵御i n t e m e t 时代层出不穷的新病毒的冲 i 圭亍。 第2 节人工免疫系统概述 2 0 世纪后半叶，计算机科学和生命科学的互相交叉渗透产生了一系列令人瞩 第1 章绪论 小圆科学技术人学钡匕学位沦史 目的研究新方向，如神经计算、进化计算等。研究生物体信息处理系统的生理功 能和作用机理，从中抽取出相应的计算模型应用于各个领域，是它们的共同特征。 在抵御外界病毒入侵方面，生物免疫系统所表现出来的优良特性给计算机科学家 们以极大的启示促进了人工免疫系统的研究。本节首先对生物免疫机制馓一简 介，然后介绍了人工免疫系统的定义、特点以及发展史。 1 2 1 生物免疫机制简介 免疫( i m m u n i t y ) 是指机体接触抗原性异物( 如病菌、病毒等) 后能够，： 生的一种特异性生理反应，生物体免疫系统通过识别和排除抗原性异物维持门身 内环境的稳定 6 ，7 。 1 生物免疫系统的组成 免疫系统是生物体执行免疫功能的机构，是产生免疫应答的物质基础。通常 可将免疫系统分为免疫器官，免疫细胞和免疫分子三大类： i ) 免疫器官：免疫器官包括中枢免疫器官和外周免疫器官。中枢免疫器官 主要包括骨髓和胸腺，是产生免疫细胞的场所。外周免疫器官则包括脾、 淋巴结、粘膜免疫系统等。外周免疫器官又称二级免疫器官，是t 细胞、 b 细胞定居的场所。也是它们识别外来抗原后发生免疫应答的所在位 置。 2 ) 免疫细胞：免疫细胞主要有淋巴细胞、单核吞噬细胞等抗原呈递细胞和 粒细胞等炎症反应细胞。最基本的两种免疫细胞为b 细咆和t 细胞，它 们都是淋巴细胞。b 细胞是由骨髓产生的淋巴球，从它表面呵产生“y ” 形状的蛋白质即抗体。t 细胞则在胸腺中发育成熟，经血液和淋巴循 环周游全身，以多种方式，直接或间接地抑制和杀伤微生物或肿瘤细胞， 从而保护机体。 3 1 免疫分子：包括抗体、补体分子、细胞因子等。抗体为一类免疫球蛋白， 是最重要的免疫分子。这些免疫分子的功能各不相同，主要是溶菌、杀 菌、调节多种细胞的生理功能等。 2 生物免疫识别的过程和特点 生物免疫系统最基本的功能就是识别自我和非我，并将非我的抗原分子分类 清除，以此保护生物体不受外界抗原的侵害 8 】。其中，免疫识别机制是生物免 疫系统的基础。 第1 市绪论中圆科学技术人学硕l 学位论文 免疫识别的功能是由免疫细胞完成的，其基本过程是由免疫细胞表面受体 ( p a t a t o p e ) 和外来抗原表位( e p i t o p e ) 相结合，通过受体和表位问的匹配东识别抗 原。两者吻合的越好，亲和度越高，反之越低，如图1 6 所示。 ) 1 ：麒 低亲年度中等亲和度高亲和度 图1 - 6 受体和表位的绑定 参与免疫识别的免疫细胞主要有两大类：b 细胞和t 细胞。它们识别不同类 型的抗原，从而引起不同类型的免疫反应，即b 细胞介导的体液免疫和t 细胞 介导的细胞免疫： 1 1t 细胞介导的细胞免疫 凡是由免疫细胞发挥效应以清除异物的作用即称为细胞免疫，参与的细胞称 为免疫效应细胞。细胞免疫包含非特异性细胞免疫和特异性细胞免疫两种类型。 非特异性细胞免疫是指效应细胞表面没有受体，无需激活就可以识别和清除抗原 的免疫反应，如巨噬细胞m o 和杀伤细胞k 。本论文主要关注特异性细胞免疫。 由于效应t 细胞具有抗原识别受体，它们必需经抗原激发才能活化发挥其效 应细胞的作用，因此t 细胞介导的细胞免疫是特异性细胞免疫。在无抗原激发的 情况下，效应t 细胞呈现不活化状态。当抗原进入机体后，t 细胞在抗原呈递细 胞或靶细胞的刺激下活化增殖并分化为效应t 细胞清除抗原【8 】。 2 1b 细胞介导的体液免疫 b 细胞上的抗原受体，有时也叫b 细胞受体，是一个细胞表面免疫球蛋白分 子。抗原入侵后，首先是巨噬细胞等抗原提呈细胞对抗原进行提呈，产生抗原识 别位与m h c 分子相结合的稳定的螺旋结构复合物( 即“m h c + 肽”) ：然后是t h 2 细胞被该复合物激活：最后是b 细胞被t h 2 细胞激活，亲和度高的b 细胞大量 分化增殖，产生大量抗体( 具有与b 细胞同样的受体) ，进而消灭抗原。 在b 细胞介导的体液免疫中，抗原的识别与清除是通过巨噬细胞、t 细胞、 b 细胞等相互作用协同完成的。图1 7 简要地描述了b 细胞介导的体液免疫对t 细胞依赖抗原的识别和效用过程【9 】。 第1 章绪论 中周科学技术人学颁 ：学位论史 机原入侵 巨噬纲胞 一 图1 - 7b 细胞介导的体液免疫 生物体免疫识别机制对于维持生物体的正常生命活动是极端重要的，它具有 以下特点： 1 ) 识别自我和非我，只消灭非我而不伤害自我。病菌是非我，所以被消灭； 自身的细胞却不会受到免疫系统的攻击。做器官移植时，外来器官是非 我，所以常因自身免疫系统的排斥而移植失败。 2 ) 通过自我来识别非我。生物免疫系统最主要的功能就是区分自我和非我， 并将非我异物分类、清除并消灭。而对于生物体来说，外界的物质数量 非常之大，不可能完全描述和记忆。因此，生物免疫系统采取的解决办 法是，先定义清楚自我集，即属于自己或对自己无害的物质，当有外界 物质进入时，用自我集来检测该物质，判断其是否为有害物质。 3 ) 记忆性。记忆分为两种，终身记忆和临时记忆。终身记忆是指一旦对某 种抗原有了免疫性，终身都有免疫性。而临时记忆则不同，以前可以免 疫的，慢慢的可以退化而不再具有免疫能力。 4 ) 特异性。某种抗体只对特定抗原起作用，对其他抗原不起作用。 3 克隆选择学说 生物学家对免疫现象的研究早在1 9 世纪就已经开始，他们提出了若干理论 免疫学说和模型，来解释生物免疫的过程。其中最著名的，也是被大部分免疫学 家所接受的免疫理论就是f m b u m e t 在1 9 5 7 年提出的克隆选择学说【1 0 】。 克隆选择学说认为，免疫细胞在胚胎发育阶段先广泛地生成，再接受自身抗 原的刺激，使得自身反应性细胞克隆在早期即被淘汰杀死。故发育成熟的免疫系 统不会对自身抗原产生应答，但却仍保留对异物抗原的应答能力。外界抗原进入 后，机体根据免疫细胞表面受体和抗原表位间耦合的紧密程度来选择出高匹配度 的那部分免疫细胞，使之激活并增殖，产生专门针对该抗原的抗体，引起适当的 免疫反应，最终将其清除。图1 8 是一个基于克隆选择学说的免疫抽象模型。 第1 章绪沦 巾遁科学技术大学硬士学位论文 抗原 ooooo 朱成熟免疫细胞 抗体 图1 8 基于克隆选择学说的免疫抽象模型 1 2 2 人工免疫系统的定义和特点 什么是人工免疫系统? 一般认为，人工免疫系统是一类基于生物免疫系统的 功能、原理、基本特征以及相关理论免疫学说而建立的用于解决各种复杂问题的 计算系统 1l k 生物免疫系统是一个自适应、自学习、自组织的并行处理和分布协调复杂系 统，其中蕴涵了丰富且有效的信息处理机制。因此，抽取生物免疫系统独有的计 算机制，建立人工免疫模型和系统，己成为当前生命科学和计算机科学交叉学科 的研究热点之一。它对解决各种关系到国民经济和社会发展的复杂问题，包括模 式识别、自动控制、网络入侵检测、病毒免疫识别和复杂优化问题求解等，具有 十分引入注目的现实意义和发展前景。 生物免疫系统的基本功能是识别自我和非我，并将非我分类清除。与神经系 统、遗传进化系统相类似，生物免疫系统也是一个自适应、自学习的系统，具有 学习和记忆等功能。但是，由于各自功能的不同，免疫系统和神经系统、遗传进 化系统所蕴含的学习机制是各不相同的，它具有以下几大特点 7 ，1 2 ，1 3 】： 人工免疫系统是一个非集中控制的、分布式的系统具有极强的并行处 理能力。 人工免疫系统中的基本单元免疫细胞是功能各异的自主体，每一个 个体都是一个可能的解。 人工免疫系统中抗体( 或免疫细胞) 是通过进化学习等机制来获得最佳 抗体以清除抗原的，通过亲和