（计算机软件与理论专业论文）人工免疫系统及其在计算机病毒检测中的应用.pdf

y 65 4 7 3 3 人工免疫系统及其在计算机病毒检测中的应用 计算机软件与理论专业 研究生许春指导教师伍良富、李涛 计算机病毒对计算机安全和觋络安全构成极大的威胁，随着变形病毒在网络上 的飞速蔓延，传统防御病毒的手段和工具显示出越来越多的缺陷。其中最关键的问 题是传统方法无法准确检测病毒特别是新的变形病毒。 借鉴生物免疫系统高度并行、高度准确地识别非自体细胞的特性，可以建立 个基于人工免疫理论的病毒检测系统，通过检测器动态克隆选择、遗传变异等手段 确保系统能够识别新的病毒，具有良好的自适应性、自稳定性和鲁捧性。研究人工 免疫系统，不仅对计算机病毒防治、网络安全等具有重要的实用价值，对人工智能 研究也具有深远的理论价值。 基于动态克隆选择算法，本文建立了一个用于病毒检测的人工免疫模型 a i s v d m ( v k u s d e t e c t i o nm o d e lb a s e 0 1 3 a r t i f i c i a li m m u n e s y s t e m ) ，构造了动态的免 疫细胞，定义了免疫细胞产生、成长、进化、变异、死亡的生命过程，实现了每一 个阶段的免疫机理。该模型不仅能够识别检测器库中定义的病毒，也能够识别变形 病毒，克服了传统病毒防治工具的缺陷。本文通过实验仿真，验证了该系统良好的 动态性和自适应性，取得了较好的效果。 具体来说，本文的成果如下： 1 提出并实现了a i s v d m 模型，该模型设计了记忆检测器，能够实现二 次应答；设计检测器的生命周期，实现系统的动态性和自适应性：设计了检测 器的遗传变异，实现了检测器的多样性，确保系统具有良好的自稳性和鲁棒性。 2 设计并实现了自体和非自体。自体是7 9 个有代表性的正常的可执行文 件组成的集合，这些文件很容易被病毒感染，非自体是由4 8 种病毒特征码组 成，这些病毒特征码经过变异，就是新的变形病毒。变形病毒是考验系统自适 应性的重要方面。 3 设计并构造了免疫细胞。实验中，检测器就是免疫细胞，系统能够动 态产生检测器，经历自体耐受过程，检测器可以成长为具有免疫功能的成年检 测器，检测器可以经历变异成功识别新的变形病毒。 4 设计并实现动态克隆选择原理，依据该原理，检测器在抗原的协同刺 激下可以经过可控变异，能够迅速识别同一家族螅病毒，也可以经过随机变异 识别不同家族的新病毒。 5 设计并实现了免疫学习过程。该过程使初始产生的系统具有一定免疫 功能，为免疫系统的进化提供了一个基础条件。 关键词：人工免疫系统，克隆选择原理，免疫变异，计算机病毒检测，免疫学 习，自体耐受，免疫应答 i i a r t i f i c i a li m m u n e s y s t e m a n dt h e a p p i l i c a t i o ni n d e f e n d i n g v i r u s m a j o rc o m p u t e rs o f t w a r e & t h e o r y s t u d e n tx uc h u na d v i s o rw u l i a n gf u ，l i t a o c o m p u t e r v i r u sb r i n ga b o u th u 辨t h r e a t e nt oc o m p u t e ra n dn e t w o r ks e c u r i t y , 、i mt h e i n c r e a s i n gw i d es p r e a do fd e f o r m e dv i r u so nn e t w o r k ，t h et r a d i t i o n a lm e t h o d sa n dt o o l s o fd e f e n d i n gv i r u ss h o wm o r ea n dm o r ed e f e c t s ，a n dt h ek e yp r o b l e mi st r a d i t i o n a l m e t h o d sc a l ln o te x a c te x a m i n ev i r e se s p e c i a l l yt h ed e f o r m e dv i r u s b e c a u s eb i o l o g yi r f f m l r l es y s t e mh a st h ec h a r a c t e r so f d i s t i n g u i s hs e l fc e l l sw i t hh i g h p a r a l l e la n dh i g he x a c t l y , w ec a ne s t a b l i s h av i r u sd e t e c t es y s t e mw h i c hb a s e do na r t i f i c a l i m m u n et h e o r y , t h r o u g ht h em e t h o d so f d y n a m i cc l o n es e l e c t i o n ，h e r e d i t ya n dm u a t i o n a n ds oo n ，d e t e c t e r sm a k et h es y s t e md i s t i n g u i s ht h en e wv i r u s t h es y s t e mh a sg o o d s e l f - a d a p t a b i l i t y , s e l f - s t a b i l i t ya n dr o b u s t y t h es t u d yo f a r t i f i c a li l i l m l j l l es y s t e m n o to n l y h a st h e i m p o r t a n tp r a c t i c a l v a l u ei nd e f e n c ef r o mc o m p u t e rv i r u s ，b u ta l s oh a st h e p r o f o u n dt h e o r y v a l u ei na r f i f i c a li n t e l l i g e n c er e s e a r c h b a s e do na r i t i f i c i a li l - f l l i l t l n e s y s t e m ，t h i s t h e s i se s t a b l i s hav i r u sd e t e c t i o n m o d e l ：a i s v d m ，t h es y s t e mc r e a t e dt h ed y n a m i ci m r r l l l r l ec e l l s ，d e f i n e dt h ep r o c e s s f r o mb i r t h ，g r o w t h ，e v o l u t i o n ，m a u t i o nt od e a t ho fi n l r f t a n ec e l l sa n dr e a l i z ei l t i d 2 u r t e m e c h a n i s mo ne a c hs t a g e t h es y s t e mc o m p e n s a t et h ed e f e c t so fw a d i t i o n a lt o o l so f a g a i n s tv i r u s ，i tn o to n l yc a nd i s t i n g u i s ht h ev i r u sd e f m e db u ta l s oc a nd i s t i n g u i s ht h e d e f o r m e dv i r u s t h i st h e s i s p r o v e d t h e s y s t e m h a v e g o o dd y n a m i c s t a t ea n d s e l f - a d a p t a b i l i t yt h r o u g he x p e r i m e n l i tg a i n e dg o o de f f e c t s i np a r t i c u l a r , t h ea c h i e v e m e n to f t h i st h e s i sa sf o l l o w s ： 1 av i r u sd e t e c t i o nm o d e lb a s e do i la r t i f i c i a li l i l m u n e s y s t e m i s p r e s e n t e d t h e m e m o r yd e t e c t e r sa r ed e s i g n e dt or e a l i z es e c o n dr e s p o n s e ；w ed e s i g n et h el i f e c y c l eo f d e t e c t e r st or e a l i z et h ed y n a m i ca n d s e l f - a d a p t a t i o no f t h es y s t e m ；a n dw e i l l d e s i g n et h eh e r e d i t ya n dm u a t i o no f d e t e c t e r si no r d e rt or e a l i z et h ed i v e r s i t yo f d e t e c t e r s ，r e a l i z et h eg o o ds e l f - s t a b i l i t ya n dm b u s t yo f t h ea i s v d m 2 w ed e s i g n ea n dr e a l i z es e l f - b o d ya n dn o n - s e l f - b o d yo ft h es y s t e m as e to f s e l f - b o d yb e c a m e f r o ms o m e r e g u l a re x e c u t a b l ef i l e s ，a n dt h e s ef i l ec a r lb ee a s i l y i n f e c t e db yv i r u s t h es e to f n o n - s e l f - b o d yb e c a m ef r o m5 0k i n d sv i r u sc h a r a c t e r c o d e s ，t h e s ec h a r a c t e rc o d e st u r nt of l e wd e f o r m e dv i r u st h r o u g hm u a t i o n 。t h e d e f o r m e dv i r u si si m p o r t a n ta s p e c ti nt e s tt h es e l f - a d a p t a t i o no f t h es y s t e m 3 w e d e s i g n et h ei m m l l r l ec e l l s i nt h i se x p e r i m e n t , d e t e c t e r sa r ei l t l l l l u n ec e h s ，t h e s y s t e mc a r ld y n a m i cp r o d u c ed e t e c t e r s ，t h r o u g ht h ep r o c e s s o fs e l f - t o l e r a n c e ， d e t e c t e r sc a n _ g r o wt om a t u r ed e r c c t e r sw h i c hh a v ei _ r n n m l n er m c t i o n , d e r e c t e r sc a n s u c c e s s f u ld i s t i n g u i s ht h en e wd e f o r m e dv i r u st h r o u g hm u a t i o n 4 w er e a l i z et h ed y n a m i cc l o n es e l e c t i o na l g o r i t h m w i t ht h ec o r p o r a t es m n u l a t eo f a n t i g e n ，d e t e c t e r st h r o u g h c o n t r o l e dm u a t i o nc a nd i s t i n g u i s ht h e f a m i l y v i r u s r a p i d l y , i t a l s oc a nd i s t i n g u i s hd e f f e r e n tf a m i l yv i r u st h r o u g hr a n d o mm u a t i o n 5 w ed e s i g n ea n dr e a l i z et h ep r o c e s so fi l t i l n u n es t u d y r h r o u g ht h ep r o c e s st h e i n i t i a l s y s t e mg a i ns o m ei i l l r f l r d l l e f u n c t i o n , hp r o v i d eab a s i cc o n d i t i o nf o rt h e e v o l u t i o no f t h ei m m u n e s 3 r s t e m k e y w o r d s ：a r t i f i c a li m m u n e s y s t e m ，c l o n e s e l e c t i o n t h e o r y ，硫l l n u l l em u a t i o n ，c o m p u t e r v i r u sd e t e c t ，i m r n l m es t u d y ，s e l f - t o f l e r a n c e ，i n l l l a n n er e s p o n s e i v 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 1 绪论 1 1 课题研究背景 1 1 1 计算机病毒的产生、发展方向以及对人类的危害 1 1 1 1 计算机病毒的概念 在中华人民共和国计算机信息系统安全保护条例中有明确定义：计算机 病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影 响计算机使用并且能够自我复制的组计算机指令或者程序代码”。 1 1 1 2 计算机病毒的起源 早在1 9 4 9 年，计算机先驱冯诺依曼在复杂自动机组织论里已经勾画 出病毒程序的蓝图；l o 年后a t & t 的贝尔实验室中，程序员道格拉斯麦耀、 维特维索基司和罗伯莫里斯作出了一种叫“磁心大战”的电子游戏，是计 算机病毒公认的祖先。 1 9 8 3 年1 1 月3 日，弗雷德科恩博士研制出一种在运行过程中可以复制自 我的破坏性程序，伦艾德勒曼将它命名为计算机病毒，在v a x l l 7 5 0 计算机 系统上运行，第一个病毒程序试验成功。 1 1 1 3 网络环境下计算机病毒与“黑客入侵”相结合，以网络为攻击目标 早期计算机病毒主要是感染宿主计算机，破坏系统文件或者修改硬件信息 等，但是随着计算机网络的应用和发展，计算机病毒传播途径由移动磁盘转向计 算机网络和i n t e m e t ，对人们的危害也从单一宿主主机转向计算机网络和i n t e m e t 。 至此，计算机病毒与“黑客入侵”合二为一，成为对计算机安全和网络安全的主 要威胁。 1 9 8 8 年1 1 月3 日，美国有6 0 0 0 台计算机感染病毒，造成i n t e r n e t 不能正常 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 通信。这次病毒攻击网络，影响很大，引起世界轰动。 第一次“海湾战争”期间，美军将计算机病毒用于实战，成功地破坏了对方 的指挥网络系统，这是计算机病毒第一次应用在战争中，并发挥了巨大的作用。 2 0 0 0 年5 月4 日，通过i n t c m e t 电子邮件传播的“爱虫”病毒迅速在世界各 地蔓延，造成i n t e r n e t 上大量的计算机系统破坏。 2 0 0 t 年9 月1 8 日，“尼姆达”病毒首先在美国出现，当日下午，有超过1 3 0 0 0 0 台服务器和个人电脑受到感染。一天之内，“尼姆达”病毒通过i n t e m e t 几 乎传遍了世界上的每个角落，损失不计其数。 2 0 0 2 年9 月2 4 日，中国公安部公共信息网络安全监察局公布了我国计算机 病毒疫情网上调查的结果。结果显示计算机病毒仍是网络安全的主要威胁。 2 0 0 3 年一年新出现的病毒高达2 万种，传播速度更是惊人：8 月份爆发的“冲 击波”病毒使得全国8 5 5 7 的网络用户遭到破坏或影响；“大无极变种f ”病 毒使超过9 0 的电子邮箱收到带毒邮件，带毒主机1 分钟就可以发送3 0 0 封病 毒邮件，导致网络带宽被迅速占用，严重影响网络运行。 1 1 1 4 变形病毒对计算机安全和网络安全的危害 当某些计算机病毒编制者通过修改某种计算机病毒的代码，使其能够躲过现 有计算机病毒检测程序时，可以称这种新出现的计算机病毒是原来被修改计算 机病毒的变形。当这种变形的计算机病毒继承了父计算机病毒的主要特征时， 就被称为是其父计算机病毒的一个变种。 m u t a t i o ne n g i n e 是较早期的变形病毒，该病毒能将普通病毒改造成为变形病 毒，这些病毒具有多态性、多变性，甚至没有一个连续的字节是相同的，从而 使以往的搜索病毒的方法不知所措。 自1 9 9 2 年发现了国内第一例变形病毒“d o c t o r 至今，已经发现了许许多多 变形病毒。这些病毒能将自身的代码变换成为亿万种样贴附在被感染的文件中， 可变代码为数千亿种。计算机反病毒专家王江民先生说：“变形病毒将会是今 后病毒发展的主要方向之一”。 变形病毒主要有以下四种类型： 一维变形病毒：该病毒每传播到一个目标后，其自身代码与前一目标中的病 2 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 毒代码几乎没有三个连续的字节相同，但是这些代码其相对空间的排列位置是 不变的。在这类病毒中，个别的病毒感染系统后，遇到检测时能够进行自我加 密和解密，或者自我消失。有时列目录时能消失增加的字节数，或加载跟踪时 病毒能破坏跟踪或者逃之天天。 二维变形病毒：除具备一维变形病毒的特性外，那些变化的代码间的排列 距离( 相对空间位置) 也是变化的。在二维变形病毒中，有的能用特殊的方式 或混在正常的系统命令中去修改系统关键内核，并与之溶为体，或干脆另创 建一些新的中断调用功能。有的感染文件的字节数不定，或与文件融为一体。 三维变形病毒：具备二维变形病毒的特性，且能分裂后分别潜藏在几处， 当病毒引擎被激发后能自我恢复成一个完整的病毒。病毒在附着体上的空间位 置在第一台机器硬盘的主引导区，另外几个部分也可能潜藏在覆盖文件中，也 可能另开垦一块区域潜藏等等。而在一台被感染的机器内，病毒又改变了其潜 藏的位置。 四维变形病毒：具备三维变形病毒的特性，且随时间动态变化。如在染毒 的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成另一个 样子，再次开机后在内存里又是一个不同的样子。四维变形病毒大部分具备网 络自动传播功能，在网络的不同角落里到处隐藏。 另外，还有一些高级病毒专门攻击、扰乱破坏社会的信息、政治、经济秩 序，它们有可能接受机外遥控信息，也可以向外发出信息。如在多媒体机上可 通过视频、音频、无线电或互联网收发信息；也可以通过计算机的辐射波，向 外发出信息；还可潜藏在连接i n t e m e t 网的计算机中，收集密码和重要信息，再 悄悄的随着主人通信时，将重要信息发出去。这些变形病毒的智能化程度相当 高。 1 1 2 传统计算机病毒检测方法的成功及缺陷分析 2 】 传统检测病毒的方法很多，主要有： 软件模拟法，这些方法依据的原理不同， 各有所长。 特征代码法、校验和法、行为监测法、 实现时所需开销不同，检测范围不同， 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 1 1 2 1 特征代码法 特征代码法被早期应用于s c a n 、c p a v 等著名病毒检测工具中。特征代码 法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤如下： 采集已知病毒样本，病毒如果既感染c o m 文件，又感染e x e 文件，对这 种病毒要同时采集c o m 型病毒样本和e x e 型病毒样本。 在既感染c o m 文件又感染e x e 文件的病毒样本中，要抽取两种样本共有 的代码。将特征代码纳入病毒数据库。 打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病 毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以 断定，被查文件中患有何种病毒。 特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、 依据检测结果，可做梓毒处理。 其缺点是：不能检 贝l ；i 未知病毒：搜集已知病毒的特征代码。费用开销大： 在网络上效率低( 在网络服务器上，因长时间检索会使整个网络性能变坏) 。 1 1 2 2 校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件 中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算 出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种 方法叫校验和法，它既可发现已知病毒又可发现未知病毒。 校验和法的优点是：方法简单：能发现未知病毒；被查文件的细微变化也 能发现。 其缺点是：不能识别病毒名称、种类；由于病毒感染并非文件改变的唯一 原因，遇到已有软件版本更新、变更口令、修改运行参数等情况，校验和法常 常会误报警；该方法对于隐蔽性病毒无效，因为隐蔽性病毒进驻内存后，会自 动剥去染毒程序中的病毒代码，能使染毒文件算出正常的校验和。 璺坐查兰婴主丝壅二= 三墨墨墨堡垦墨壅生竺垫塑兰堕型! 竺壁旦 1 1 2 3 行为监测法 利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。通过对病 毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常 程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行 为，立即报警。 行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。 行为监测法的短处：检测工具的高度敏感性可能产生误报警、不能识别病 毒名称、实现时有一定难度。 1 1 3 常用防病毒工具的成功与缺陷 常用防治病毒的工具有：病毒防火墙、入侵检测系统、杀毒软件、后门补 丁等。这些工具对于防范病毒入侵和查杀病毒起到了重要的作用，在病毒防治 领域取得了很大的成功，但是也存在一些不足之处。 1 1 3 1 病毒防火墙 防火墙实质上就是一种隔离控制技术，从逻辑上看它既是一个分析器又是 一个限制器。它要求所有进出的网络数据流都应该通过它，并且所有穿过它的 数据流都必须由安全策略和计划的确认和授权。因此，传统防火墙在控制不安 全服务、控制站点访问、集中安全保护、强化私有权、记录e l 志等方面的功能 对防止外部攻击取得了巨大的成功。 病毒防火墙提供基于病毒库的病毒扫描功能，通过强大的特征匹配和关键 字检查可以阻塞包含匹配内容的数据流。但是，对于已经进入内部的病毒和对 后门进行的攻击就无能为力了【3 。 1 13 2 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段，无须转 发任何流量，而只需要在网络上被动、无声息的收集它所关心的报文即可。对 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵 知识库，与这些流量特征进行智能分析比较匹配。根据预设的阈值，匹配耦合 度高的报文流量将被认为是攻击，入侵检测系统将根据相应的配置进行报警或 进行有限度的反击。 i d s 检测策略主要有：统计法异常检测和基于规则的检测【4 】。 统计法异常检测技术包括收集一段时间内合法用户的相关数据，然后使用 统计方法来考察用户行为，以很高的准确度来判断该行为是否合法用户行为。 该方法能有效发现冒充者。 基于规则的检测技术包括定义一组规则，然后用它们来确定某一行为是否 是入侵者行为。该方法能发现误用者。 i d s 技术的缺陷：不能识别未知病毒、杀毒能力弱。 1 1 3 3 杀毒软件 大多数的杀毒软件都是基于一定的规则库，按照一定匹配规则，来检测、清 除病毒的，因此，要查杀新病毒，就必须不停更新病毒库，这就要求高速的网 络通信能力。 1 1 3 4 操作系统升级 操作系统后门往往成为病毒和“黑客”攻击的主要阵地，病毒利用后门漏洞 可以直接进入用户终端，破坏用户程序或者阻断网络。因此，用户要不断地给 系统打补丁，升级操作系统，要求网络速度较高。 1 1 4 人工免疫原理在反病毒上的应用研究 1 ，1 4 1 人工免疫理论的哲学思想 生物和人类在与生物病毒残酷斗争过程中，生物免疫系统给人类留下了深 刻印象。生物学家、医学家、免疫学家都从不同的领域研究这个十分复杂又很 精密的系统，希望以免疫学理论为基础，用人工免疫的方法解决人们生活中的 四j 大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 问题。早在1 9 7 4 年，丹麦学者j e m e 提出了免疫系统的第一数学模型【5 ，为人 工免疫理论奠定了基础。1 9 8 6 年，f a r m e rj d ，p a c k a r d n h 和p e r e l s o n a s 在( ( t h ei m m u n es y s t e m ，a d a p t i o na n dm a c h i n el e r n i n g ) ) 中首次提出了免疫网 络的数学描述，认为人工智能可以从免疫系统中得到启发【6 】。同年， g w h o f f i - n a n n 建立了一个新颖的神经网络模型 7 1 ，分析了神经网络和免疫系统 的相似性与不同点，将免疫系统和神经网络进行比较，启发了更多的人来研究 和提出新的免疫网络模型。此后，人工神经网络的研究进入了高潮，大量研究 成果被广泛应用到各个领域。给人们展示了模仿生物某些系统的机制，可以给 人们提供长期以来梦寐以求的解决方案 8 】。 计算机病毒的发展，特别是变形病毒和网络病毒肆虐，使得反病毒研究者 越来越难以找到一个可以满足人们需要的防治病毒的方法。人工免疫的研究可 以绘人们一些启发。因为面对大量的变形病毒，防治计算机瘸毒的研究陷入一 个如何使计算机系统识别哪些是系统应用程序( “自己”) ，哪些是病毒( “非己”) 的基本问题中。而生物免疫系统能精确识别“自体”和“非自体”。再一次让人 们感受到，研究人工免疫也许能为防治病毒和防御黑客入侵提供一个新途径。 1 1 4 2 人工免疫理论的基本框架及其在反病毒上的成功应用 人工免疫理论的基本原则是，把计算机系统( 或者网络系统) 看做“自体”， 把病毒( 或入侵) 看做“非自体”或者“抗原”，与已知病毒相对应的可以生成 “抗体”，该抗体能够识别“抗原”。“抗体”按照一定的算法进行变异和进化， 可以实现免疫应答( 即一次应答识别新“抗原”，二次应答识别“旧抗原”) ，并 保持自适应性和自稳定性的特征。所以说，基于人工免疫理论的反病毒方法能 够自适应地识别新病毒。 美国公司i b m 【9 是较早地把人工免疫理论应用到防治病毒的研究单位，他 们提出的反病毒综合方案【k e p h 9 7 a ，k e p h 9 7 b 】取得了巨大的成功。 1 2 课题来源 本课题是四川大学李涛教授主持的“大规模网络入侵动态取证、实时风险 一一 婴型查兰堡圭笪奎二= 三叁壅墨堑丝墨垄生墨塑竖丝型生塑壁旦 一 检测与控制技术”项目的一部分，该项目受国家自然科学基金、教育部博士点 基金资助，主要研究人工免疫理论在计算机网络安全领域的应用。 本子项目主要是探索用人工免疫理论进行动态检测计算机病毒的方法。项 目建立了人工免疫病毒检测模型a i s v d m ，对算法进行了讨论和实现，并且做 了仿真实验，取得了较好的效果。 1 3 本文的工作 本文的主要工作如下： 1 设计并实现了一个病毒检测模型a i s v d m 。a i s v d m 具有动态 性、自适应性等特点，不仅能够识别已经定义的病毒，重要的是能 够识别病毒变种和新病毒，例如：c u s t o m s 、d a t a c r i m e 、b a b y 、h v 、 j e r u s a l e m 、t i n y 、2 8 5 0 等家族系列病毒。 2 采用了动态克隆选择算法作为免疫细胞遗传变异的主要算法，该算 法能从机理上确保系统的免疫功能的实现。 3 采用了可控变异和随机变异两种算法，使系统能很快识别变形病毒， 也能较快识别新病毒。 4 设计并实现了免疫细胞( 检测器) 的生命过程，为系统的动态性、 多样性、自适应性、鲁棒性提供了技术基础。 5 提出并建立了疑似病毒库，把那些次检测不能完全判断的外来细 胞作为疑似病毒，存放在疑似病毒库中。为检测器变异后再检测， 提供一个缓冲条件，该方法成功地降低了错误率。 6 设计并实现了免疫学习算法，获得了一个具备基本免疫功能的系统， 并且该系统能够再学习和进化。 1 4 本文的内容安排 第一章：介绍了新形势下，传统防治病毒的方法存在很多缺陷和不足 简单指出人工免疫方法用于病毒检测的优势以及本文的工作。 第二章：重点介绍了自然免疫的基本理论以及人工免疫的仿生机理， 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 阐述了人工免疫在计算机安全与网络安全上的应用。 第三章：重点阐述了人工免疫模型和算法。 第四章：提出并实现a i s v d m 模型，作了仿真实验，对实验结果做了分 析。 第五章：总结了人工免疫的成功之处，也客观地指出存在的问题以及 今后研究的方向。 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 2 人工免疫理论的起源、发展及其应用 近年来，人们不断从生物系统获得灵感，提出了若干采用计算途径实现的 学习系统，包括人工神经网络( a n n ) 、遗传算法( g a ) 、蚁群系统( a n ts y s t e m ) 等1 1 0 1 。它们分别从大脑神经系统、自然进化过程和蚂蚁群体觅食、筑巢等社会 活动启发而来。人工免疫理论是借鉴生物免疫原理而提出来的，为人们解决实 际问题提出了一种新的思路。 2 1 自然免疫系统【1 1 1 自然免疫系统是高度复杂的系统，对检测和消除病原体显示出精确的能力， 同时它是大规模并行自适应信息处理系统。这些特性都是人工智能研究者梦寐 以求的。因此，研究并模拟自然免疫系统，是人工免疫研究的第一步工作。 2 、1 1 自然免疫和免疫系统的概念 免疫( i m m u n e ) 是指肌体对感染具有抵抗能力而不患疫病或传染病。免疫 系统( i m m u n es y s t e m ) 是由免疫活性分子、免疫细胞、免疫组织和器官组成的 复杂系统，具有识别机制，能够从人体自体细胞( 被感染的细胞) 或自体分子 ( s e l f m o l e c u l e s ) 和外因感染的微组织中检测并消除病毒等病原体。 免疫系统能够“记忆”每一种感染源，当同样的感染再次发生时，免疫系 统会更迅速地反应并更有效地处理，这在免疫学上叫免疫应答。 免疫系统能和其他几个系统及器官相互作用调节身体的状态，保障身体处 于稳定、正常的功能状态。 2 1 2 免疫系统组成 免疫系统是由淋巴系统、免疫细胞、 了更好地理解免疫机理，下面简单介绍一 免疫组织和器官组成的复杂系统。为 些概念。 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 2 1 2 1 淋巴器官及其功能 淋巴器官是免疫系统的一个重要组成部分。淋巴器官分为中枢淋巴器官， 由骨髓和胸腺组成，执行生成免疫细胞的功能，功能性b 细胞就是在骨髓中生 成的，胸腺中产生能够进行免疫应答的t 细胞：外周淋巴器官，由淋巴结、脾、 扁桃体等组成，成熟免疫细胞在这些部位执行应答功能。 2 1 _ 2 2 免疫细胞 免疫细胞是实现免疫功能的主要执行者，主要有两种类型：t 细胞和b 细 胞。 1 b 细胞 b 细胞是免疫系统的本质部分，一般都是在骨髓中发育成熟的。b 细胞存 在于血液、淋巴结、脾、扁桃体等组织和器官中，主要有三个功能：产生抗体， 提呈抗原和分泌细胞因子参与免疫调节。 每一个b 细胞都被设定( 基因编码) 产生一种特异的抗体( 抗原受体的简 称，即a n t i b o d y ，a b ) 。抗体是b 细胞识别抗原( a n t i g e n ，a g ) 后增殖分化为浆 细胞所产生的种特异蛋白质( 免疫球蛋白) ，能够识别并结合其他特异蛋白质。 b 细胞清除病原体、分泌抗体结合抗原，要受到辅助t 细胞的激活，当辅 助t 细胞对b 细胞的刺激超过某一闽值( 该阈值与抗体与抗原的结合程度有关) 之后，b 细胞开始变大分裂，干百次复制自己，以非常高频率在基因中点变异， 基因对抗体分子编码，该机制在免疫学上叫做体细胞高频变异( s o m a t i c h y p e m u a t o n ) 。相反，如果刺激水平降低到一定阈值，b 细胞不再复制自己，到 了一定时间则会死亡。 2 t 细胞 t 细胞在胸腺中产生，它的功能主要是调节其他细胞的活动以及直接袭击 宿主感染细胞。t 细胞分为两类：毒性t 细胞和调节t 细胞。调节t 细胞又分 为辅助性t 细胞和抑制性t 细胞。 毒性t 细胞能够清除病毒等入侵者。t 细胞一旦被激活，就会向病毒( 细 胞) 注入毒素，杀死病毒细胞。所以毒- | 生t 细胞是维护免疫秩序的警察，没有 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 毒性t 细胞，免疫系统就不能实现免疫功能。 辅助性t 细胞的功能主要是刺激b 细胞，传递当前病毒入侵的信息，激活 b 细胞。抑制性t 细胞的功能主要是抑制b 细胞的分裂。没有抑制性t 细胞， 就可能出现免疫过度的现象。 2 1 2 3 抗体 抗体是b 细胞识别抗原后克隆扩增分化为浆细胞所产生的一种蛋白质分 子，也叫免疫球蛋白分子。抗体有两种功能部位，一个是保持相对静态稳定的 稳定区( 一般称为c 区) ，不同的抗体之间，c 区的结构是相同的；另一个是能 够与多种抗原结合的变化区( 一般称为v 区) ，抗体识别抗原主要是v 区决定， 并且，某种抗体只能识别某些有v 区决定的抗原，这叫做特异性识别。 抗体的功能主要是：特异性地结合抗原。抗体结合抗原主要是由v 区确定， 某一种抗体只能和与其v 区匹配的抗原的表位互补，借助静电力、氢键以及范 德华力等次级键相结合，这种结合是可逆的，并受p h 值、温度和电解浓度的影 响。 2 1 2 4m h c 复合体 在动物体内，有一组抗原，其编码基因是一组紧密连锁的基因群，称为主 要组织相容性复合体( m a j o rh i s t o c o m p a t i b i l i t yc o m p l e x ，m h c ) 。 m h c 的主要功能有：参与对抗原处理：约束免疫细胞间相互作用；参与对免疫 应答的遗传控制；诱导自身或同种淋巴细胞反应：参与t 细胞分化过程等。 2 1 3 免疫机制 自然免疫系统内容丰富，机理复杂，研究免疫机制对于建立人工免疫模型 有着十分重要的作用。 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 213 1 免疫应答 免疫系统有两种免疫应答类型：一种是遇病原体后，首先并迅速起防卫作 用的称为固有性免疫应答( i n n a t ei m m u n er e s p o n s e ) ；另一种是适应性免疫应答 ( a d a p t i v ei m m u n er e s p o n s e ) a 固有免疫应答中，执行固有免疫功能的有皮肤和黏膜的物理阻挡作用及局 部细胞分泌的抑菌、杀菌物质的化学作用等。固有免疫在感染早期执行防卫功 能。 适应性免疫应答的执行者是t 及b 淋巴细胞。能被t 细胞及b 细胞识别并 刺激t 及b 细胞进行特异性免疫应答的病原体成分称为抗原( a n t i g e n ) 。t 及b 细胞识别病原体成分后活化，活化后并不即刻表现防卫功能，而是经免疫应答 过程，约4 5 天后才生成效应细胞，对已被识别的病原体施加杀伤清除作用。 适应性免疫应答是继固有性免疫应答之后发挥效应的，在最终清除病原体、促 进疾病治愈及在防止再感染中起主导作用。 适应性免疫应答又分为两种类型：初次及二次免疫应答。 抗 原 浓 度 图2 1 免疫压答 图2 1 表明当一种抗原侵入免疫系统后，系统有一个产生抗击抗原感染的抗 体的初始化过程。但是，几天之后，抗体的浓度水平开始下降，直到再次遇到 抗原。自适应免疫系统能够学习和记忆特异种类的病原体。初次应答是对以前 未见过的病原体的应答过程。初次应答学习过程很慢，发生在初次感染的前几 天，要用几周的时间清除感染。而二次应答则对遇到的同样抗原的反应非常迅 速，无须重新学习。二次免疫应答对引起初始免疫反应及造成免疫系统b 细胞 和抗体数量迅速增加的抗原是特异的。这种二次免疫应答要归功于免疫系统内 四川大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 存留的b 细胞，这样当抗原或类似抗原再次入侵时，不用再重新生成抗体，因 为已经有抗体存在了，这意味着身体准备抗击一切再感染。 2 13 2 免疫系统的特异识别 1 特异识别原理 免疫系统特异识别是抗体结合特异抗原的过程。识别抗原是免疫系统实现 免疫功能的第一步。免疫系统中的识别发生在分子水平，并基于抗体决定基和 抗原决定基的抗原部分之间的形状互补( s h a p ec o m p l e m e n t a r i t y ) 发生。当抗体 具有单一种类的受体时，抗原可以有多个抗原决定基，意味着单个抗原能够被 不同抗体分子识别。 发生免疫系统识别的抗体决定基和抗原决定基结构越互补，结合越可能发 生，结合的强度称为亲和力( a f f n i t y ) 。二者的匹配关系可以比喻为生活中的 把钥匙开一把锁的关系。但是这种匹配不需要完全一致，而是只需大致匹配互 补就可以。结合导致b 细胞进入活化状态开始克隆，实际上就是克隆选择。 2 特异识别过程 抗体是特异的，因为一种抗体只强烈地结合几个类似的抗原决定基结构或 模式。这种特异陛扩展到淋巴细胞本身，淋巴细胞表面的抗体都能结合抗原决 定基，有多个同样的抗体是有益的：首先，通过频繁采样，使淋巴细胞估计其 对给定抗原决定基的亲和力。亲和力增加，能够发生结合的抗体数也增加。其 次，具有多个抗体使淋巴细胞能够估计在其邻近位置的抗原决定基数。结合的 抗体越多，邻近的病原体越多。最后，单特异性( m o n e s p e c i f i c i t y ) 对免疫应答 是非常重要的，因为如果淋巴细胞不是单特异性，对一种病原体的应答会诱导 对其他无关的抗原决定基的应答，将导致免疫混乱，这是非常危险的。 淋巴细胞的性能受亲和力强烈影响：一个淋巴细胞只有在结合的抗原数超 过某个阈值时才被激活。这样，如果其抗体对特异抗原决定基结构有足够高的 亲和力，及如果在淋巴细胞附近存在足够数量病原体，淋巴细胞会被病原体激 活。 3 克隆选择与遗传变异 b u r n e r 1 2 】于1 9 5 9 年提出了克隆选择学说，它的基本思想是免疫细胞随机 四川i 大学硕士论文人工免疫系统及其在计算机病毒检测中的应用 形成多样性的细胞克隆，每一个克隆细胞都表达与父代同一特异性的受体，在 众多抗体细胞中，只有那些能够识别抗原的细胞才能被免疫系统选择并保留下 来并大量繁殖，而那些不能识别抗原的细胞一般不再繁殖。 克隆选择与达尔文的自然选择过程十分类似：和病原体亲和力最高的抗体 是最适应的，将被最大量地复制：那些亲和力低于一定闽值的抗体将不被复制， 而且将在生命周期结束后死亡。 抗体的多样性主要是由b 细胞和t 细胞的动态繁殖和遗传变异来保证。我 们知道，b 细胞和t 细胞都有一定的生命周期，超过一定的生命周期，它们都 要死亡或进化，同时也会有大量的新一代b 细胞和t 细胞出生，新一代b 细胞 和t 细胞都带有一定父代细胞的特性，但也有一定自己本身的特性，这就是变 异。因此，b 细胞和t 细胞能表达特异性的种类是巨量的。比如，一个动物， 它的b 细胞上能表达1 0 1 0 种不同的抗体，而t 细胞上能有超过1 0 6 个不同的受 体。 2 1 4 免疫系统的进化 免疫系统的进化是免疫学习、免疫记忆的结果。免疫细胞的克隆选择和遗 传变异对免疫系统的进化做出重要贡献。变异负责提供产生高度多样化的抗体 可变区，克隆选择的发生使只有能够成功地与抗原结合的抗体才能产生，并作 为免疫记忆细胞保持下来。 2