专利名称:一种基于协作免疫网络进化算法的病毒检测方法
技术领域:
本发明涉及一种病毒检测方法,尤其涉及一种基于协作免疫网络进化算法的病毒检测方法,属于计算机网络、信息安全、人工免疫系统的交叉技术应用领域。
背景技术:
计算机病毒的发展,特别是变形病毒和网络病毒肆虐,使得反病毒研究者越来越难以找到一个可以满足人们需要的防治病毒的方法。人工免疫的研究带给人们一些启发。因为面对大量的变形病毒,防治计算机病毒的研究陷入一个如何使计算机系统识别哪些是系统应用程序(“自己”),哪些是病毒(“非己”)的基本问题中。生物免疫系统是由器官、细胞和分子组成的一个复杂系统,在该系统中通过免疫细胞的相互作用来实现准确地识别“自我/非我”、学习记忆、和发起特异性免疫应答等功能。生物免疫系统所具备的这些特点让 越来越多的人致力于将人工免疫原理应用于防治病毒和防御黑客入侵方面。计算机人工免疫原理是基于生物免疫原理而提出来的,具有许多优良的特性,如耐受性,分布性,鲁棒性,自学习性和多样性等。人工免疫理论的基本原则是,把计算机系统看做“自体”,把病毒(或入侵)看做“非自体”或者“抗原”,与已知病毒相对应的可以生成“抗体”,该抗体能够识别“抗原”,“抗体”按照一定的算法进行变异和进化,可以实现免疫应答,并保持自适应性和自稳定性的特征。计算机免疫网络是对生物免疫系统的模拟,它具备强大的信息处理能力,且能自适应地识别已知和未知病毒,因此,基于免疫原理的病毒检测方法可有效提高网络系统的安全性。人工免疫模型大致可以分成两类一类是基于克隆选择理论的模型,该模型中各个免疫细胞均为离散的,因此个别免疫细胞的识别能力突出,但忽略了免疫细胞整体的识别能力。另一类是基于免疫网络理论的模型,该模型认为免疫系统是一个由免疫细胞组成的能够互相识别、刺激和协调的动态平衡网络。目前典型的免疫网络理论模型是TimmiS等提出的资源受限人工免疫系统和de Casto等人提出的aiNet人工免疫网络。aiNet免疫网络把整个免疫系统看成一个由免疫细胞组成的能够相互作用的网络,通过免疫细胞之间的连接相互协作,保持免疫网络中的细胞处于稳定状态。aiNet免疫网络模型是一个边界加权图,该模型通过计算抗体与抗原之间的亲和力,对亲和力高的抗体进行克隆变异和网络抑制后,剩余抗体之间以亲和力为权值建立连接。但是,aiNet免疫网络模型存在过分依赖网络抑制来降低冗余度、运算量大、执行速度慢等问题。
发明内容
本发明所要解决的技术问题在于克服现有技术的不足,对现有aiNet免疫网络模型进行改进,提供一种基于协作免疫网络进化算法的病毒检测方法。本发明的基于协作免疫网络进化算法的病毒检测方法,包括免疫网络构建的步骤,免疫网络协作进化的步骤,以及利用协作进化后的免疫网络进行病毒检测的步骤,所述免疫网络构建的步骤,包括步骤I、定义自我集为正常的程序代码集合,定义非我集为网络中出现过的已知病毒的特征码集合,将非我集元素信息进行拆分,得到基因片段并将其加入基因库;
步骤2、通过选取基因库中的基因片段随机组合产生一个未成熟检测器集;
步骤3、将由基因库生成的未成熟检测器集与自我集进行耐受训练,计算未成熟检测器与自我集中所有元素的亲和力,若该检测器不与任何自我元素匹配则将此检测器加入成熟检测器集合;
步骤4、将所有成熟检测器作为免疫网络的节点,计算其中任意两个成熟检测器之间的亲和力,若两个成熟检测器之间的亲和力大于一预设的阈值,则在它们之间建立连接边,并以其亲和力作为该边的权值;否则,成熟检测器对应的节点之间无连接。上述技术方案在生成成熟检测器的过程中引入非我集,并通过非我集元素信息拆分所获得的基因片段的随机组合产生未成熟检测器集,从而提高成熟检测器的生成效率,降低运算所需开销。进一步地,所述免疫网络协作进化的步骤,包括
步骤5、成熟检测器的选择通过下式计算各成熟检测器对非我集的适应度,并删除免疫网络中对非我集的适应度低于一预设阈值的成熟检测器
权利要求
1.一种基于协作免疫网络进化算法的病毒检测方法,包括免疫网络构建的步骤,免疫网络协作进化的步骤,以及利用协作进化后的免疫网络进行病毒检测的步骤,其特征在于,所述免疫网络构建的步骤,包括 步骤I、定义自我集为正常的程序代码集合,定义非我集为网络中出现过的已知病毒的特征码集合,将非我集元素信息进行拆分,得到基因片段并将其加入基因库; 步骤2、通过选取基因库中的基因片段随机组合产生一个未成熟检测器集; 步骤3、将由基因库生成的未成熟检测器集与自我集进行耐受训练,计算未成熟检测器与自我集中所有元素的亲和力,若该检测器不与任何自我元素匹配则将此检测器加入成熟检测器集合; 步骤4、将所有成熟检测器作为免疫网络的节点,计算其中任意两个成熟检测器之间的亲和力,若两个成熟检测器之间的亲和力大于一预设的阈值,则在它们之间建立连接边,并以其亲和力作为该边的权值;否则,成熟检测器对应的节点之间无连接。
2.如权利要求I所述基于协作免疫网络进化算法的病毒检测方法,其特征在于,所述·免疫网络协作进化的步骤,包括 步骤5、成熟检测器的选择通过下式计算各成熟检测器对非我集的适应度,并删除免疫网络中对非我集的适应度低于一预设阈值的成熟检测器
3.如权利要求2所述基于协作免疫网络进化算法的病毒检测方法,其特征在于,所述对选择出的成熟检测器进行克隆是根据对非我集的适应度从低到高形成等差级数关系,具体按照以下方法设适应度最低的成熟检测器巧克隆的数量为Si,最高的成熟检测器\克隆的数量为4,则成熟检测器集丨,U中每个被刺激的抗体^ )的克隆数目通过下式计算
4.如权利要求3所述基于协作免疫网络进化算法的病毒检测方法,其特征在于,所述成熟检测器的变异采用自适应变异方法,具体为随进化代数动态调整抗体变异步长I具体按照下式
5.如权利要求4所述基于协作免疫网络进化算法的病毒检测方法,其特征在于,所述网络抑制是指根据浓度分区进行网络抑制,具体为首先计算变异后得到的记忆检测器的浓度值,然后按照浓度值将记忆检测器集划分为P个子集,分别计算在每个子集内部检测器之间的亲和力,最后删除每个子集内部检测器之间亲和力高于抑制阈值巧的记忆检测器;协作免疫网络中记忆检测器的浓度值
6.如权利要求I一5任一项所述基于协作免疫网络进化算法的病毒检测方法,其特征在于,所述利用协作进化后的免疫网络进行病毒检测的步骤为提取待检测样本文件的特征码,并计算该特征码与所述记忆检测器集中各记忆检测器的亲和力,如亲和力大于预先设定的匹配阈值,则判断该样本文件为病毒;否则判断为正常文件。
全文摘要
本发明公开了一种基于协作免疫网络进化算法的病毒检测方法,属于网络安全技术领域。本发明通过不同类型免疫细胞之间的相互协作不断优化免疫网络中的检测器。在进化过程中引入非我集,根据检测器对非我集的适应度对成熟检测器进行克隆选择;同时,通过进化代数来更新变异步长自适应的改变成熟检测器的变异方式,并提出基于浓度分区的网络抑制策略,从而在提高网络细胞多样性的同时降低检测器的冗余度。本发明结合了进化学习和人工免疫技术的优越性,充分利用二者的优点,提高了网络病毒的检测效率。
文档编号G06F21/22GK102750490SQ20121007892
公开日2012年10月24日 申请日期2012年3月23日 优先权日2012年3月23日
发明者张少娴, 张登银, 柴倩, 程春玲 申请人:南京邮电大学