（计算机应用技术专业论文）基于人工免疫系统的蠕虫检测与响应技术研究.pdf

西北大学硕士学托论文 摘要 计算机蠕虫这种自传描的恶意程序近来对i n t e r n 吐产生了巨大豹威胁，同时 它们的传播和感染能力还在不断地提升。在这种频繁攻击的环境岫f ，仅仅使用传 统人工补丁的方法来保护系统变得不是报有效。然而，当前的自动化蠕虫检测与 响应方祛仍然存在报多障碍，其中一个最重要的问题是检测系统产生大最的肯定 误刿错误。针对这个问题，本文提出一种基于人工免疫系统的自动化蠕虫检测与 响应解决方案，并讨论了人工免疫系统豹多种特拄，包括：记忆性、耐受性、动 态学习、自适应和多样性，以及它们对检测系统健壮性和肯定误判的影响。 本文描述了一个通用的人工免疫系统架构。简要她介绍了免疫概念，详细地 说明了人工免疫系统的组成和各部分借鉴的等价生物机制，包括：免疫问题的定 义、检铡器及其渊练、记忆性、灵敏性、共屡刺激、检测器的生命周期、表选形 式和响应方式。 提出了一种应用子蠕虫检测与响应的新型人工免疫系统模型：基于彳细胞 的协同自动化蠕虫检测与响应系统。该模型采用了t 细胞状态分化的策略机制。 详细描述了检 嗳 系统模型的全局结构和组成部分，弱对说明了这个策珞是怎样稠 用t 细胞的免疫性和耐受性来帮助系统有效地完成蠕虫检测与响应工作。 展示了基于t 纲胞的检测与响应系统模拟的设计与实现，分析了实验结果， 评估了策略对降低蠕虫检测与响应系统中肯定误判的影响。 对将来的工作进行了展望，同时说明了几种埘现肯工作有意义的应用技术。 关键词：蠕虫人工免疫系统t 细胞肯定误判模拟 西北大学硕士学位论文 s t u d yo fw o r m d e t e c t i o na n dr e s p o n s eb a s e do n a r t i f i c i a li m m u n e s y s t e m a b s t r a c t t h ec o m p u t e rw o r m s ，at y p eo fs e l f - p r o p o g a t i n gm a l i c i o u sc o d er e p r e s e n t sa s i g n i f i c a n tt h r e a ti nr e c e n tt i m e sa st h ea b l i l i t yo f t h e s ep r o g r a m st os p r e a da n di n f e c t s y s t e m sh a si n c r e a s e dd r a m a t i c a l l y u n d e rs u c hac o n s t a n t l yh o s t i l ee n v i r o n m e n t ，t h e t r a d i t i o n a lm a n u a lp a t c h i n ga p p r o a c ht op r o t e c t i n gs y s t e mi sc l e a r l yn o te f f e c t i v e h o w e v e r ，c u r r e n ta u t o m a t e dd e t e c t i o na n dr e s p o n s ea p p r o a c hh a san u m b e ro f s i g n i f i c a n th u r d l e st oo v e r c o m e o n eo f t h em o s tn o t e w o r t h yo b s t a c l ei st h eh i g hf a l s e p o s i t i v ee r r o rp r o b l e m t h eo b j e c t i v eo ft h i sp a p e ri st op r o p o s eas o l u t i o nt ot h i s p r o b l e mb yb u i l d i n ga na u t o m a t e dw o r md e t e c t i o na n dr e s p o n s es y s t e mb a s e do nt h e a r t i f i c i a li m m u n es y s t e m ( s ) ，a n dt od i s c u s sm a n yp r o p e r t i e so fa i s ，i n c l u d i n g m e m o r y ，e r r o rt o l e r a n c e ，d y n a m i cl e a r n i n g ，a d a p t a t i o na n dd i v e r s i t y ，w h i c hi m p a c t t h er o b u s t n e s sa n df a l s ep o s i t i v eo ft h ed e t e c t i o ns y s t e m f i r s t l y ，ac o m m o na r c h i t e c t u r e o fa i si sd e s c r i b e d i nt h i ss e c t i o n ，t h e i m m u n o l o g i c a lc o n c e p t i o nw i l lb eb r i e f l yi n t r o d u c e di nn e c e s s i t y ，a n dt h ee q u i v a l e n t b i o l o g i c a lm e c h a n i s m st h a ti n p i r e dt h em o d e ls h a l lb ed e s c r i b e di nd e t a i l ，i n c l u d i n g t h ed e f i n i t i o no ft h ei m m u n ep r o b l e m ，d e t e c t o r sa n dt h e i rt r a i n i n g ，m e m o r y ， s e n s i t i v i t y ，c o s t i m u l a t i o n ，d e t e c t o r sl i f e c y c l e ，r e p r e s e n t a t i o n sa n dr e s p o n s e s e c o n d l y ，an o v e la i sm o d e lf o rw o r md e t e c t i o na n dr e s p o n s ei sp r o p o s e d ：t h et c e l lb a s e dc o o p e r a t i v ea u t o m a t e dw o r md e t e c t i o na n dr e s p o n s es y s t e m ，t h a ta d o p t s n u m e r o u sm e c h a n i s m si n s p i r e df r o mt h ed i f f e r e n t i a t i o ns t a t e so ftc e l l s i nt h i s s e c t i o n ，t h eo v e r a l la r c h i t e c t u r ea n dc o m p o n e n t so ft h ea i st h a ta d o p t st c e l li n s p i r e d m e c h a n i s m si sd e s c r i b e di nd e t a i l ，a n di ti si l l u s t r a t e dh o wt h i ss t r a t e g yf a c i l i t a t i n gt h e d e t e c t i o na n dr e s p o n s es y s t e mw i t htc e l li m m u n i t ya n dt o l e r a n c e i i 西北大学硕士学位论文 c o n s e q u e n t l y ，t h ed e s i g na n di m p l e m e n t a t i o no ft h ep r e v i o u s l ym e n t i o n e dw o r m d e t e c t i o na n dr e s p o n s es y s t e ms i m u l a t i o no nt h en e t w o r ks i m u l a t o ri sp r e s e n t e d t h e e n dp a r to ft h i ss e c t i o na n a l y z e st h er e s u l t so ft h es i m u l a t i o ne x p e r i m e n t ，a n da s s e s s e s t h ei m p a c to fr e g u l a t i n gf a l s ep o s i t i v ee r r o rf o rt h ew o r md e t e c t i o na n dr e s p o n s e s y s t e mb yt c e l li m m u n i t ya n dt o l e r a n c e a tl a s t ，t h ep a p e rc o n c l u d e sw i t hd e t a i l so ff u t u r ew o r k a n do t h e rt e c h n o l o g yt h a t m a yf a c i l i t a t ec u r r e n ta p p l i c a t i o n k e yw o r d s ：w o r m ，a r t i f i c i a li m m u n es y s t e m ( a i s ) ，tc e l l ，f a l s ep o s i t i v e ， s i m u l a t i o n i i i 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。 学校有权保留并向国家有关部门或机构送交论文的复印件和电子版。 本人允许论文被查阅和借阅。本人授权西北大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。同时授权中国科学技术信息研 究所等机构将本学位论文收录到中国学位论文全文数据库或其它 相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名：毛牟指导教师签名： 训3 年苫月哆e l2 男年石月2 乡日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果。据我所知，除了文中特别加以标注和致谢的地方外，本论文不包含其他人已经 发表或撰写过的研究成果，也不包含为获得西北大学或其它教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示谢意 学位论文作者签名：越石刁 i l ，口子年月2 弓e l 谣北大学硕士学位论文 第一章前言 本章首先介绍了课题的研究背景和意义，随后阐明了课题研究的主要内容和 目的，最后给出了论文的章节安排。 1 1 研究的背景和意义 计算机蠕虫这个名词是从生物学中引入的概念，这一设想首次被提出是在 j o h nb r u n n e r 于1 9 7 5 年的经典科幻小说“t h es h o c k w a v er i d e r ，【i 】中，后来在 1 9 8 2 年由x e r o xp a r c 的j o h nf s h o c h 等人最早引入计算机领域，并由x e r o x p a r c 的研究人员编写了最早的蠕虫，用来尝试分布式计算。1 9 8 8 年1 1 月2 日， 历史上第一个具有规模型传播的网络蠕虫m o r r i s 发作，它通过f i n g e r d 、s e n d m a i l 、 r e x e c r s h 这3 种系统服务中存在的漏洞进行传播，几天之内造成6 0 0 0 多台i n t e m e t 服务器被感染而瘫痪。蠕虫发展到今天，从技术上参考了各种恶意程序的攻击特 点和设计方式，尤其是与早期的计算机病毒技术的融合，使得病毒和蠕虫之间的 界限日趋模糊，有些蠕虫既可以独立传播，又可以附加在正常的程序和数据之上 进行传播【2 】。所以经典的蠕虫定义只能描述蠕虫的特有行为而非一般行为： “a w o r mi sap r o g r a mt h a tc a nr u ni n d e p e n d e n t l ya n dc a np r o p a g a t eaf u l l yw o r k i n g v e r s i o no fi t s e l ft oo t h e rm a c h i n e s i ti sd e r i v e df r o mt h ew o r dt a p e w o r m ，ap a r a s i t i c o r g a n i s mt h a tl i v e si n s i d eah o s ta n du s e si t sr e s o u r c e st om a i n t a i ni t s e l f t 3 1 ，。 从规模上说，近年来出现的蠕虫其传播速度之快和影响范围之广已经超过了 人工应对能力的极限，从1 9 8 8 年计算机紧急响应小组( c e i h ) 成立以来，统计 到的计算机蠕虫安全事件呈指数级增长，其中的最大威胁之一是导致网络拥塞。 针对计算机蠕虫的处理，人们从传统的后期清除转向前期预防，从单纯静态 补丁处理转向结合动态的自动检测技术，如何智能的响应蠕虫传播行为已经成为 了很现实的研究问题。而受自然免疫系统的启发去设计基于人工免疫机制的蠕虫 检测与响应系统就是一种智能检测的努力，这样就可以将被动检测蠕虫和主动检 测蠕虫相结合，可以检测清除已知的蠕虫，同时可以自适应地检测、阻断部分未 西北大学硕士学位论文 知蠕虫，进一步可以触发相应的响应机制，和其它防御系统互动，共同构成有效 的检测、预警和防预系统。 1 2 国内外研究现状 目前计算机蠕虫研究主要集中在实体结构、功能结构、传播模型以及自动化 与智能化蠕虫处理技术方面。其中文掣4 胴描述的蠕虫实体结构与功能结构综合 了国内外近年的研究结果并给出了最新的发展。 在蠕虫传播方面，大量的研究工作已经展开。近年代表性的研究包括：n w e a v e r 对一种能够快速传播的理想蠕虫w a r h o l 蠕虫的传播过程进行的简单 模拟，w a r h o l 蠕虫装配了有漏洞的主机列表，在他的实验中模拟出这种理论上 的蠕虫可以在1 5 分钟之内感染9 0 0 万台主机；s t a n i f o r d 将生物医学中的传染病 s i 模型引入到了对计算机蠕虫的分析中，提出了一种基于微分方程的数学模型； f r a u e n t h a l 在s i 模型的基础上考虑感染主机的状态，提出了s i r 模型；z o u 通过 加入人为控制和网络流量对蠕虫传播的影响因素将传染病模型改进为一种双因 素模型；区别于基于微分方程的扩散模型c h e n 提出了一种离散的数学模型 a a w p 模型。齐文华【6 】等人发展和试验了当p 2 p 网络采用p o w e rl a w 分布度量 时，文献【7 】【8 】中阐述的p 2 p 蠕虫传播模型，这为具有相同分布特性的i n t e m e t 提 供了蠕虫传播规律的参考数据。 在自动化与智能化蠕虫处理技术领域，各种自动化方法，包括人工智能与知 识系统、蠕虫对抗技术以及人工免疫系统和形式化的遗传、免疫算法等被引入蠕 虫处理过程中。例如，2 0 0 0 年，i b m 在s t e v er w h i t e 的指导下启动蠕虫对抗的 项目，力求开发一个自动检测和防御蠕虫的软硬件环境。d u gs o n g 等人对蠕虫 引起的网络流量统计特征做了研究，力图通过对网络流量异常检测实现对网络蠕 虫的防范。马洪江【9 】等人设计了一种基于免疫机制的蠕虫检测防御框架，从整体 上阐述了采用人工免疫系统解决蠕虫检测问题的可行性。侯朝桢【1 0 】等人从控制 论的角度论述了计算机免疫和生物免疫的相似性，讨论了在计算机防病毒领域中 应用m u l t i a g e n t 控制技术构筑计算机仿自然免疫系统的可行性和实用性。s h o f m e y r 和s f o r r e s t 】细节地描述了怎么把免疫系统映射进现实的计算机安全 2 西北大学硕士学位论文 领域，以及怎样定位、构造一种解决问题的方式。 1 3 研究的目的和内容 本文的目的是提出一种受自然免疫系统( i m m u n es y s t e m ，i s ) 思想启发的 关于自动化蠕虫检测与响应问题的解决方法。以前的采用人工免疫系统 ( a r t i f i c i a li m m u n es y s t e m ，a i s ) 解决计算机安全问题的研究主要集中在检测未 知的入侵攻击f 1 2 】【1 3 】，通常方法是检测不规则的反常事件，例如非正常的网络流 量模式或者非正常的系统调用序列。然而这些系统解决非平凡问题的可靠性仍然 是个疑问，其中一个重要的原因是它们至今没有说明在现实环境中是否能够实现 低量的肯定误判旧【1 3 】。 本文中没有发展这些现有的人工免疫系统，而是提出一种新型的人工免疫系 统模型基于t 细胞免疫性与耐受性的蠕虫检测与响应系统，试图通过它来 改善自动化蠕虫检测与响应中的健壮性和肯定误判问题。这个模型采用受自然免 疫系统中t 细胞分化启发得到的机制。t 细胞的分化状态可以分组成一些特定的 状态子集，而这些子集被用来定义t 细胞的种类。由于归类，每种t 细胞的角 色在自然免疫系统的整体免疫性与耐受性中能够被观察到产生独有贡献的方面。 本文仔细地讨论了每种t 细胞子集的重要性质与生理机制，。以及它们影响系统 全局免疫性与耐受性的方式，并设计了基于t 细胞免疫性与耐受性的人工免疫 系统模型，它具有协同自动化蠕虫检测与响应系统的操作方式。论文以提出人工 免疫系统的研究问题作为开始，描述了人工免疫系统的整体架构，随后借鉴了自 然免疫系统中t 细胞的免疫与耐受机制提出了种新型自动化蠕虫检测与响应 系统模型，给出了它的设计框架和具体的功能结构，接着使用模拟的方法分析和 评估了这个模型对蠕虫检测系统健壮性与降低肯定误判的影响，最后文章总结了 该系统模型的特性并为今后工作进行计划和展望。 1 4 论文结构和章节安排 本文接下来的章节安排如下： 第二章主要介绍人工免疫系统的通用架构，包括描述它借鉴的自然免疫系统 西北大学硕士学位论文 的特性、组成结构。然后从人工免疫系统每个组成部分的作用角度出发，描述其 功能细节以及之间的交互过程，从整体上说明一个现实的计算机问题怎么放入人 工免疫系统的框架内。 第三章提出了一种按照人工免疫系统框架设计的蠕虫处理系统：基于t 细 胞免疫性与耐受性的蠕虫检测与响应免疫系统，先从自然免疫系统领域出发，阐 述了蠕虫检测与响应系统中关键单元的生理学参考物- t 细胞，它的功能、角 色、状态与它们之间的交互过程，随后进入文章重点描述怎样把t 细胞的 免疫、耐受机制映射进蠕虫检测与响应系统中，进一步的描述了该系统的功能结 构和交互过程，并从策略角度说明t 细胞的免疫性和耐受性如何帮助检测系统 改善健壮性和肯定误判。 第四章展示了蠕虫检测与响应模拟系统的设计与实验。本章按照第三章的分 析框架与设计策略在n s 2 网络模拟平台下设计并实现了基于t 细胞的蠕虫检测 与响应模拟系统，并对其实验结果进行分析和评估。 第五章对全文进行总结，同时说明了几种对现有工作有意义的应用技术，并 对未来工作做了进一步的计划和展望。 4 西北大学硕士学位论文 第二章人工免疫系统的基本架构 本章介绍了人工免疫系统的基本特征，详细地描述了人工免疫系统与自然免 疫系统对应的各个功能等效物，从整体上说明计算机问题怎样表示一个免疫系 统，为以后人工免疫系统在具体领域中的应用，例如第三章介绍的基于t 细胞 的蠕虫检测与响应系统提供基础支持。 2 1 免疫系统的基本特征 自然免疫系统由大量的细胞和分子组成，它们以多种不同的方式相互作用来 检测和清除被感染的细胞或病原体。这些相互作用依赖于化学结合过程，所以它 们是局部化的：免疫系统细胞表面被受体分子覆盖，其中一些受体和病原体化学 结合，而另一些受体和其它免疫系统细胞或分子结合，作用是启动这个复杂系统 中的信号传输通道，这种信号传输通道是免疫响应的媒介。大多数免疫细胞通过 血液和淋巴系统参与身体的循环，构成一个分布式检测与响应的动态系统，这个 系统是不存在中心控制的，并且具有较少的层级组织结构。对病原体的检测和清 除实际上是数以万亿计的细胞通过简单的局部规则相互作用而实现的。对此的推 论是自然免疫系统针对个别组成部分的失败以及对免疫系统自身的攻击具有很 强的健壮性。 检测病原体的问题经常被描述为：从“非自身”中区分出“自身”它们 分别是身体和病原体的组成元素。然而，许多病原体并不是有害的，并且清除它 们的免疫响应可能会对身体有伤害。这些情况下，选择不去响应会更有利于健康， 所以更准确地说免疫系统面临的问题是区分“有害的非自身 和其它部分1 4 】【1 5 】。 所以通常的观点是，“非自身 是任何对身体有害的病原体的同义词，而“自身 是无害物质，包括所有正常功能的身体细胞的同义词。 一旦病原体被检测出来，免疫系统必须以某种途径清除它们。不同的病原体 需要使用不同的方式清除，而把免疫系统中完成这个功能的细胞叫做效应细胞。 免疫系统面临的清除问题是，为特定种类的病原体选择合适的效应细胞来清除它 西北大学硕士学位论文 们。 在章节2 9 中简要地介绍了免疫系统中的响应问题，而文章的其它部分主要 集中在检测问题上。 2 2 人工免疫系统的组成 本章节描述了人工免疫系统的一种通用架构。人工免疫系统是紧密根据自然 免疫系统建模的，下面在描述人工免疫系统的过程中，同时说明了模型中的各部 分借鉴了哪些等价的生物机制。这里只是在必要时偶尔地提及免疫学的细节知 识，参考文献【16 1 。 2 2 1 免疫问题的定义 在自然免疫系统中，所有的在自身与非自身之间的辨别都基于在蛋白质链间 形成的化学结合作用。为了保持一般性，这里将蛋白质链建模成具有固定长度z 的二进制串。自然免疫系统能够根据蛋白质差别从非自身中区分出自身部分，人 工免疫系统定位相似的一种问题，定义如下：由所有长度为z 的二进制串组成的 集合构成全局域u ，u 被划分为两个不相交的子集，自身元素构成的子集s 和非 自身元素构成的子集，即u = s u ，snn = 囝。人工免疫系统首要解决的就是 一个辨别或者说分类任务：从u 中给定任意一个二进制串，要么认为它是正常 状态并归类为自身集s ，要么认为它是异常状态并归类为非自身集。 人工免疫系统会产生两种类型的辨别错误：当一个自身串被当作异常归类时 发生肯定误判错误( f a l s ep o s i t i v ee r r o r ) ；反之，当一个非自身串被当作正常归 类时发生否定误判错误( f a l s en e g a t i v ee r r o r ) 。自然免疫系统也会产生相似的错 误：当检测和清除病原体失败时发生假阴性错误，而当免疫系统攻击身体细胞， 例如自体免疫反应时，发生假阳性错误。在生物体中，这两种错误都是有害的， 所以自然免疫系统依靠自身进化来最小化这些错误。相似地，人工免疫系统的目 标也是最小化这两种错误。例如在图2 1 中，平面上每个点表示一个串，如果点 在阴影内则是自身，否则是非自身部分，免疫检测系统试图用将串归类为正常或 异常的方法来描绘这两个集合的边界。 6 西北大学硕士学位论文 全局域 图2 1 ：由二迸制串组成的全局域的二维平面表示 当现实世界的问题映射到这种抽象时，自身与非自身集合可能并不是不相交 的，因为一些串可能兼具自身与非自身的性质。在这种情况下，将串归为一类或 者另一类的分类法将会导致无法避免的错误，本文不考虑这种情况。然而，这却 表明了为应用领域选择正确性质的重要性：选择能够可靠地区分自身与非自身的 蛋白质等价物是至关重要的。 2 2 - 2 检测器 经过实验研究与证实，自然免疫系统由许多不同类型的细胞和分子组成。人 工免疫系统中，通常简化引入的一个基本类型的检测器是仿效一类免疫细胞 淋巴细胞。检测器的生命周期将在章节2 2 7 描述，参考图2 4 。这个检测器结合 了b 细胞、t 细胞和抗体的性质。人工免疫系统和自然免疫系统相似的是它由大 量的移动检测器组成，并且它们在分布的环境中移动。可以将分布式环境建模为 一个图g = ( v ，e ) ，每一个顶点，v 都表示一个检测器本地集合，称为一个检测 结点，并且这些检测器通过边从一个顶点迁移到下一个顶点。这个图模型可以提 供一种局部化概念：检测器只能在同一个顶点中和其它检测器发生交互。这个局 部化概念的作用在章节2 2 5 中具体描述。 淋巴细胞在其表面有成千上万的识别受体。这些受体和特定病原体的某个区 域称为抗原决定部位，之间具有结合性。结合作用依赖化学结构和电荷完成 的，因此受体可以和一小类相似的抗原决定部位结合。化学结合作用发生的可能 性越大，受体和抗原决定部位之间的吸引力就越强。在人工免疫系统中，抗原决 定部位和受体都可以建模为固定长度，的二进制串，它们之间的化学结合作用建 7 西北大学硕士学位论文 模为近似串匹配，每一个检测器和一个表示受体特征的二进制串相关联。 常用的近似匹配规则包括度量加权平均距离和编辑距离，但是这里采用一种 更加符合免疫学的模糊规则，称为卜临近位规则：如果两个串具有长度为r 的相 同临近位，那么认为它们匹配，参考图2 2 。厂是一个阀值并且决定了检测器的 特异性，它是一种一个单独检测器能够匹配的串子集大小的指示。例如，如果 r = l ，那么匹配就是准确的，意味着检测器仅仅能够匹配和它相同的一种串，而 r = o 时，匹配就变成最泛化的，意味着检测器可以匹配每一个长度为，的串。 0 1 1 0 1 0 0 1 0 10 1 0 0 11 0 1 0 0 111 0 1111 0 1 1 11 0 1 l1 1 0 1 匹配不匹配 图2 2 ：在临近位匹配规则下的匹配过程 使用这种带有阀值的部分匹配规则，例如厂- 临近位规则的一个结果是，在使 用的检测器数量和它们的特异性之间进行权衡，即检测器的特异性增长时，完成 一定级别检测的检测器的数量也会增长。最优的，值是可以让需要的检测器数量 最小，并且仍然能够提供很好的辨别能力。 当一个淋巴细胞的受体和抗原决定部位结合时，它就会被激活。激活会改变 淋巴细胞的状态，并且触发一系列相互作用导致对病原体的清除，这个在章节 2 2 9 中讨论。仅当和抗原决定部位结合的受体数量超过某一阀值时，一个淋巴 细胞才会被激活。例如第三章引入的t 细胞，其上几百个受体发生结合，才满 足激活条件。在受体和抗原决定部位之间的化学结合键不能长时间持续，所以一 个淋巴细胞要被激活，必须在一个短的时间段内结合足够数量的受体。激活阀值 可以如下建模：一个检测器必须满足在一个给定的时间段内至少匹配7 _ 个串，它 才被激活。实现方式可以使用让检测器累计匹配数量，而当时间段超时后将它衰 减，例如引入：存在口地 的概率在任意时间片后匹配数目减一，它表示在受体 和抗原决定部位间结合键断开的概率。一旦一个检测器被激活，则它的匹配数目 就会复位到零。 西北大学硕士学位论文 2 。2 3 训练检测系统 淋巴细胞又称为否定检测器，因为它们被训练为和非自身的元素结合。比如， 当一个淋巴细胞被激活时，免疫系统就会做出非自身被发现的响应。这种简单的 学习形式被称为耐受训练，因为淋巴细胞被训练成可以对自身细胞耐受。 淋巴细胞在创建时是随机产生受体的，所以在最开始它们既可以自身结合又 可以和非自身结合。拿一类淋巴细胞t 细胞来说，它们在一个单独位置即胸 腺接受耐受训练，胸腺是紧挨在胸骨之后的一个器官。t 细胞在胸腺中发育成熟， 并且如果它们在发育期被试图激活的话就会通过一个固定的细胞活动过程死掉。 大多数自身蛋白质都会在胸腺中检查，所以那些到成熟仍然存活并离开胸腺的t 细胞就会对几乎所有的自身蛋白质具有耐受性。这个过程称为否定选择，因为那 些在胸腺中没有被激活的t 细胞被选择存活下来。 人工免疫系统采用了基于自然免疫系统的否定选择算法，参考图2 3 【1 7 】。它 们之间的主要区别是：人工免疫系统中没有在一个单独的位置累积自身集合，而 是使用了更加异步的形式和分布式的耐受训练。在图2 3 中，候选的否定选择检 测器表示为黑色圆圈，它们被随机产生。如果它们和任意某个在自身集合中的串 匹配，比如任一由检测器覆盖的点落在自身集合中，它们会被删除然后重新产生。 这个过程一直重复，直到有了一个不匹配任何自身串的有效否定选择检测器集 合。 _ _ 引f 。 ：洲描f 串 丫丫 接受检测器 删除监测器 v 图2 3 ：否定选择算法 9 西北大学硕士学位论文 人工免疫系统中，每一个检测器在创建时都包含一个随机产生的位串作为模 拟受体，并在时间段丁内保持不成熟状态，丁称为耐受训练周期。在这个时间段 内，检测器被暴露在环境中接受自身串的匹配，同时也接受非自身串的匹配。如 果检测器匹配了任意的位串，则删除这个检测器。如果在耐受训练周期中检测器 没有发生匹配，它将变为一个成熟的检测器。而当成熟检测器发生的匹配数量超 过它的匹配阀值时就变为激活状态，当激活后它一般不会被删除掉一旦以后也 可以通过下调共同刺激来删除它( 参考章节2 2 6 ) ，这时它会通知异常已经被检 测出来的信号。显然上面过程的一个假设是：在耐受训练周期中，那些和自身串 匹配的非成熟检测器与相应的自身串相遇的概率很高，而和非自身串匹配的非成 熟检测器相遇相应的非自身串的概率很低。 2 2 4 记忆性 自然免疫系统拥有自适应的响应，表现为：当它遇到某种病原体时，可以学 习代表病原体特征的蛋白质结构，并且“记住”这些结构，以便未来对相同病原 体产生快速且有效的响应。这种机制称为基于记忆的检测，因为自然免疫系统“记 住”了这些已知病原体的结构来方便未来的响应。基于记忆的检测系统是在非自 身中的一个子集上训练的，方式是检测这个子集中的特定元素。当自然免疫系统 遇到一个以前没有遇见过的类型的病原体时，它发起一个初始响应，这个初级响 应可能会使用若干个星期来清除感染。在这个初始响应过程中，自然免疫系统学 习识别这种以前未见过的异质模式。当自然免疫系统后来再遇到相同类型的病原 体时，它会发起二次响应，二次响应是高效的，通常不会达到重感染的临床指标。 二次响应显示了基于记忆的检测的功效。 在自然免疫系统中基于记忆的检测还有另一个重要性质：它是联想式记忆的 o s 。当新的病原体和以前遇到的具有结构关系时，记忆检测允许自然免疫系统 检测出这些新的病原体。免疫作用就是基于这一概念，即接种一个无害的病原体 形式：比如a 是一种被人工削弱的病毒，它会诱导免疫系统初始响应并产生足 量的可以和这种病原体的有害类型b 交叉反应的记忆细胞。这些记忆细胞将可 以保证自然免疫系统会对任意b 的感染发起二次响应。这个过程在自然免疫系 l o 西北大学硕士学位论文 统中称为亲和性成熟( a f f i n i t ym a t u r a t i o n ) 。 人工免疫系统使用和基于记忆的检测类似的一种形式。当在一个结点中的多 个检测器被相同的非自身串s 激活时，它们进入一个竞争过程来选择出记忆检测 器。那些和s 在r - 临近位规则下最紧匹配的检测器将被选择为记忆检测器。这些 记忆检测器复制自己，然后传播到临近的结点中。因此，串s 的表现形式在结点 图中被分布开。未来s 的出现将会被在任意结点中迅速地检测出来，因为匹配s 的检测器在所有结点中存在。另外，记忆检测器应当有一个降低的激活阀值，比 如1 = 1 ，这样使它们对以前遇到的非自身串可以更迅速地激活，即它们对那些串 具有很高的灵敏性，这样就模拟了自然免疫系统中迅速的二次响应。 2 2 5 灵敏性 自然免疫系统中的检测事件经常会导致某种通信附近其它免疫细胞的化学 物质，称为细胞因子的产生。为了将此建模，使用了结点图的局部性概念。每一 个检测结点d ，g = 1 ，2 ，iyi ) 都有一个本地灵敏性级别6 0 f ，它模拟了在身体中局 部区域表现出的细胞因子浓度。在d ，的检测器的激活阀值定义为丁- ( i f ，这表明 本地的灵敏性越高，激活阀值就越低。只要在结点d ，的一个成熟检测器的匹配 数量从0 变为1 ，则将n 的灵敏级别增加1 。灵敏级别同样是一个暂态量：当超 时后，它会以给定的衰减参数的比例衰减，它表示了f 被减1 的概率。这个 机制确保了，倘若在短时间里出现全异的非自身串，它仍能被检测出来。 2 2 6 共同刺激 事实上，自然免疫系统中的耐受训练并不像章节3 3 中描述的那样直截了当。 一些自身蛋白质从来都没有在胸腺中呈现过，所以在胸腺中集中接受耐受训练的 淋巴细胞在成熟后很可能和这些蛋白质结合，产生自免疫反应( a u t o i m m u n e r e a c t i o n ) 。而实际上这并不会发生，比如拿t 细胞来说，因为t 细胞必须同时 需要共同刺激才会激活。例如，在和蛋白质结合称为信号一之外，t 细胞必 须被第二种信号共同刺激。这个第二种信号通常是当身体以某种方式受损害时产 生的化学信息素。第二种信号可以来自免疫系统的细胞也可以来自身体的其它细 西北大学硕士学位论文 胞。当t 细胞在没有信号二出现的情况下接收到信号一时，它会死掉。因此， 自反应的t 细胞那些和自身结合的t 细胞将会在健康的组织中被删除掉。 类似地，在人工免疫系统中也不能假定在耐受训练周期里一个检测器将会和 所有的s s 中的串相遇，所以很有可能在检测器成熟后，它会匹配一些在s 中 的串。这里有一种实现共同刺激的粗略形式。理想情况下，第二信号应当由系统 的其它组成部分提供，但是这里的近似方法是使用一个人工算子来提供第二信 号。当一个检测器d 被一个串s 激活时，它发送一个信号给一个人工算子，并给 定一个时间段五称为共同刺激延迟，在此期间人工算子判断s 是否真的属于非 自身。如果算子判断s 确实是非自身，那么第二信号就返回给d 。如果算子判断 s 实际上是自身，那么没有信号发回给d ，同时d 会被删除掉并且由一个新的、 未成熟的检测器替换。因此，一个人工算子当发现肯定误判时需要做的是不发出 任何回应，系统将会自动地改正自己去阻止在未来发生的肯定误判错误。 2 2 7 检测器的生命周期 如果检测器的生存都是不确定的并且只在它们未接收到共同刺激时死掉，那 么大多数检测器只有一次未成熟期。那些在检测器未成熟就出现的非自身串在未 来是不会被检测出来的，因为所有的检测器已经容忍它们并将保持这种耐受性。 在自然免疫系统中这不会产生问题，因为淋巴细胞是典型的短期生存只有几 天的细胞，所以新的、未成熟的淋巴细胞总是在出现，整个淋巴细胞的组成保持 动态变化。人工免疫系统中引入一种相似的方法：每一个检测器一旦成熟就有 p d e a ， 的概率死掉。当它死亡后，会由新的随机产生的未成熟检测器替代。最终， 每个检测器或早或晚地死亡，除了那些记忆检测器。图2 4 表示了一个检测器的 生命周期：检测器包含一个随机产生的位串，在耐受训练周期丁中它是未成熟的。 如果在这个时间段中它和任意串匹配则会死亡，并由一个新的随机产生的检测器 代替；如果它通过耐受训练存活下来，那么它变为一个成熟的原始的检测器，并 具有期望为1 p d e a ， 的生存时间片。如果检测器累计了足够的匹配数量超过了激 活阀值r ，它就被激活。如果激活检测器没有接收到共同刺激，那么它仍然死亡。 如果它接收到共同刺激，那么它进入变为记忆检测器的竞争过程。一旦成为记忆 1 2 酬北大学硕士学位论文 检测嚣，它的生存期就变为不确定的，并且只需一次匹配就可以被激活。现在， 唯不能被检测出来的非自身串就是那些持续出现并使所有新检测器耐受的非 自身串，这表示了：否定误判只在非自身出现频率很高时会发生，而这违背了人 工免疫系统模型基于的一个基本假设。 摊蔷群生新扮 检测器代替死 亡的 在耐撮埘练周 期中抽任意串 | 匹配 在雨 受训练周 絮中没鸯匹配 成熟嘤始状y 壁驾激活 拳厂弋 剐哪 在生存对闾片 内没有超过微缺步赫 一活阀值 刺：2 敌 共同扫j 激 一次 死亡严f记忆状态 图2 4 ：检测器的生命周期 配 记忆检测器是常规有限寿命的一个例外。在自然免疫系统中，记忆细胞是长 觏生存的，这保证了它蜘识别的模式不会在常规的生命周期结束对丢失。相似地， 人工免疫系统中的记忆检测器也是长期生存的：可以通过调解减少共同刺激使它 们死亡。这个机制的一个问题是，最终所有的检测器都可以变为记忆检测器，这 样就降低了由动态检测器组成带来的优势。为了解决这个问题，系统可以限制记 忆检测器的数量不超过总共检测器数爨的比例胧彳o p i ，其中， p i = p i 落a o ，d 内的次数随机实验次数 设q i 是在i 上纠正后的肯定误判率统计量。那么，按照p i 的定义， q i = i 上纠正后仍发生的误判次数随机实验次数 即有，e ( q i ) 一q t ( i 上的随机实验次数专) ，而 滔北大学硕士学位论文 硼) = 去喜朋j ) = g ( n = 1 3 0 ) 耳q ) 就可以表示纠正后的检测系统整体的肯定误刿率。 图4 5 是1 0 0 次s i r 模型蠕虫传播过程中任意d n 结点i 上的q i 的统计，可 以看出q t 均值在q - - 0 1 5 附近。这和模拟检测系统的实现有关，因为 c o s t i m u l a t i o n _ o p e r a t o r 是靠c o s t i m u l a t o r y _ d e n s i t y ，i l 12 _ d e n s i t y ，i l 一4 _ _ d e n s i t y 的算术平均值作为判定危险信号是囱身引起的概率，而它们都是取值在 o ，1 】区间 的随机值，所以判定危险信号是自身弓| 起的概率很容易推算出是o 5 ，而 q = p x o 5 = o 。1 5 。 总体来说，在模拟过程中，t 细胞检测方法对清除a n 中蠕虫的影响很小， 这可熊和d n - a n 蠕虫模拟平台的a n 部分使用s i r 模型有关，因为s i r 模型是 个既定的数学模型。在d n 规模远小于a n 时，它的a n 蠕虫清除统计量受d n 中系统的影喃很小，这可以弓| 入其它充分考虑清除细节的蠕虫传播模型毙如 w a w 模型【5 1 来改进，在论文【4 6 1 中详细描述了该模型，并设计实现了基于体系对 抗的蠕虫防街系统a e g i s 的模拟实验，萁中的分毒厅结果可与本实验做参照对比。 在实验中，t 细胞检测方法对帮助检测系统降低肯定误判率有一定效果，然而， 模拟实验中的随机算子不能充分表现t 细胞的协丽调解作用。重要翡是t 细脆 检测方法更倾向是一种分布式应用技术，只有在实际应用中才能体现它作为处理 单元的耐受性和免疫往。 4 。5 本章小结 本章酋先介缁了n s 2 网络模拟器，以及n s 2 自带的d n a n 蠕虫传播模拟 框架的组织结构。然后在这个d n a n 蠕虫传播模拟平台上，配置符合p o w e rl a w 分布拓扑筑s i r 蠕虫传播模型，将这个模型 乍为蠕煦检测与响应系统的运行基 础。紧接着给出了第三章描述的基于t 细胞免疫性与耐受性的蠕虫检测与响应 系统的设计框架，包括其关键部分的楣互关系，并在配置完成的d n a n 蠕虫传 播模拟平台上实现。最后给出了蠕虫传播模拟过程的实验结果和分析，进_ 步对 4 7 西北大学硕士学位论文 基于t 细胞的蠕虫检测与响应系统的设计模型进行评估。 4 8 西北大学硕士学位论文 第五章总结与展望 5 1 本文的工作总结与创新 本文将人工免疫系统原理应用在i n t e r n e t 蠕虫的检测与响应处理领域，目的 是利用免疫系统最大的特点，即是免疫记忆特性、抗体的自我识别能力和免疫的 多样性来检测网络中的蠕虫。文章的重点放在设计一种新型的自动化蠕虫检测与 响应策略与架构上，希望通过这个架构来降低已有的自动化检测系统中的存在的 较高的肯定误判错误。本文的主要工作包括： 、 ( 1 ) 介绍了人工免疫系统的架构，包括人工免疫系统的特性、组成结构和工 作机制，描述了其每个组成结构的功能细节、它们之间的相互作用，以及怎样达 到人工免疫系统的整体免疫特性，并讨论了计算机问题该怎么映射到人工免疫系 统中。 ( 2 ) 受生物免疫学中的t 细胞处理特定病原体的这种自适应免疫现象的启 发，提出了一种基于t 细胞免疫性与耐受性的协同自动化蠕虫检测与响应系统。 描述了人工t 细胞的各个状态和分化过程，以及这些人工t 细胞是如何组织在 一起，如何交互完成自身对整体系统的免疫性和耐受性的贡献。本文希望通过这 个系统的运行策略来为自动化的蠕虫检测与响应系统提供更健壮的设计方法。 ( 3 ) 针对提出的基于t 细胞的蠕虫检测与响应系统的策略方法，通过在n s 2 网络模拟器中d n a n 蠕虫传播模拟平台下的设计与实现，完成对模拟检测与响 应系统的实验，分析了s i r 蠕虫传播模型的实验结果并对检测系统的耐受性进行