CN1866267A - 基于正常模型的人工免疫*** - Google Patents
基于正常模型的人工免疫*** Download PDFInfo
- Publication number
- CN1866267A CN1866267A CNA2006100929738A CN200610092973A CN1866267A CN 1866267 A CN1866267 A CN 1866267A CN A2006100929738 A CNA2006100929738 A CN A2006100929738A CN 200610092973 A CN200610092973 A CN 200610092973A CN 1866267 A CN1866267 A CN 1866267A
- Authority
- CN
- China
- Prior art keywords
- allosome
- computation layer
- immune system
- artificial immune
- normal model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Medical Treatment And Welfare Office Work (AREA)
Abstract
一种基于***正常模型的人工免疫***,该***可用硬件和软件实现,该***由固有免疫计算层、适应性免疫计算层和并行免疫计算层构成。固有免疫计算层利用***的正常模型建立自体数据库,根据自体数据库的检索检测全部自体。该正常模型由正常***中所有正常组件的时空属性唯一确定。适应性免疫计算层利用神经网络或示例学***衡各个计算机上的负载。
Description
技术领域:
本发明涉及一种基于正常模型的人工免疫***,是一种对企业计算机***的各个功能子***进行异常检测、病毒预防、非法入侵防御、故障诊断、异常***修复的人工免疫***。
背景技术:
人工免疫***由人类的自然免疫***灵感启发而来,其生物医学理论基础是克隆选择理论、阴性/阳性选择理论、免疫耐受学说、抗体分子结构学说等。自然免疫***的必要生物基础是人体能根据DNA特征区分外来对象是自体,还是异体。但是,传统的人工免疫***仅仅模拟克隆选择机制、阴性/阳性选择机制、免疫学习机制等,没有建立***的正常模型,以严格定义人工免疫***的自体。也正因为***的正常模型没有建立,***异常的检测率就受异常知识限制,其值通常不可能达到100%。正常模型的构建为自体检测提供了严格的依据,其自体检测率可达100%。根据自体和异体之间关系,异体检测率也可达100%。
传统的异常检测技术是根据异常的特征信息直接检测***中的异常,这种技术通过智能方法可以提高其检测率为98%左右,但是从理论上不可能达到100%的检测率,因为未知的异常总是变化莫测。这样,也降低了下一步的异常识别率、异常消除率以及***修复率。因此,基于异常特征的异常检测技术存在许多问题。
传统上,未知异常的识别都是根据经验半自动识别,智能技术采用率不高,对未知异常的识别能力十分有限。并且,未知异常的二次识别效率并不比第一次识别效率高多少,未知异常的识别过程存在效率瓶颈问题。随着未知异常的迅速增加,***的异常识别能力可能会出现崩溃的危机。因此,受自然免疫***优良的异常识别和负载平衡能力启发,很需要设计出一种人工免疫***。
由于所建立的人工免疫***是有正常模型的,***的正常组件表示在自体数据库中,因此,异常检测建立在对自体数据库的查询基础上。因为自体都是已知的,所以自体检测是简便的,且检测率高达100%,基于自体数据库的异常检测也是简便的,且检测率也能高达100%。***的异常组件或外来入侵目标的识别信息存储在异体数据库中,已知异体的识别建立在对异体数据库的查询基础上,未知异体的识别建立在机器学习基础上。
基于正常模型的人工免疫***由自然免疫***灵感启发而来的,是一种对计算机信息***的异常进行检测、识别、消除和***修复的***,它具有企业应用***的正常模型和三层结构的免疫计算***。基于正常模型的人工免疫***研究得到了国家自然科学基金项目(60404021)的部分资助。为了描述***的正常状态,正常模型采用时空属性表示法,包括文件的最后修改时间属性和绝对路径属性。该三层结构免疫计算***按照固有免疫和适应性免疫两种类型分别处理已知的异体和未知的异体。
现在自动的***修复技术在企业领域应用很少,手工的***修复往往要消耗人力资源,带来一些人为错误,***修复效率和精度不高,对于危险环境和无人环境的企业应用***无法适应。因此,迫切需要提出一种新的***恢复技术。
发明内容:
本发明的目的在于针对现有技术的上述不足,提供一种新的基于正常模型的人工免疫***,以解决现有技术中异常检测率不够高、未知异常识别能力不够强的问题,以及现有***修复技术存在的自动化问题,为计算机应用***的异常检测、识别、消除和***修复提供新的途径。
为实现这样的目的,本发明提出的基于正常模型的人工免疫***不同于传统的人工免疫***。该***具有一个正常模型及其对应的自体数据库,这种正常模型为了对***正常状态进行描述,使用了正常***中所有正常组件的时空属性,包括正常文件的最后修改时间和绝对路径名,其特征在于:计算机***的正常模型唯一确定***的正常状态,通过正常模型及其自体数据库进行自体检测和异体检测,达到100%检测率。这种人工免疫***建立了***的正常模型,可实现100%的异常检测率;也不同于传统的***恢复技术,其***修复建立在智能的人工免疫***基础上,其自动化程度更高;通过神经网络或示例学习,可实现对未知异常的学习。
此外,该人工免疫***具有固有免疫计算层、适应性免疫计算层和并行计算层等。
附图说明:
图1给出了人工免疫***的正常模型示意图。
图2给出了人工免疫***的三层结构。
图3给出了BP神经网络的示例。
具体实施方式:
以一个Web***为例,本发明按照以下步骤构建基于正常模型的人工免疫***。
1、构建Web***的正常模型
在构建Web***的正常模型时,首先要对***从结构上进行正确划分,即将***划分为若干个功能组件,其中一些组件对实现***的整体功能是必要的。此Web***由100个HTML网页文件和一些目录组成,主要完成某企业信息的概要介绍功能。Web***的正常状态由其所有HTML网页文件的正常状态唯一确定,也就是说只有当其全部文件的状态都是正常的时,整个Web***的状态才是正常的;只要有一个文件的状态是异常的,整个Web***的状态就是异常的。
一般的,Web***的正常模型可描述为:
式中,S表示Web***
N(·)表示正常函数,
ci表示Web***S的HTML网页文件之一
100是Web***S的HTML文件总数
pi表示文件ci的空间属性,即绝对路径名
t表示时间属性
<pi,ti>表示文件ci的时空属性二元组
从上式可以看出,Web***S的正常状态N(S)与其每个文件ci的正常状态N(ci)都有关系,而且由其每个文件的绝对路径名pi和共同的时间属性t唯一确定。这种唯一确定性是可以证明的,根据这种特性可以将每个文件的时空属性封装为一个对象,作为记录存储在自体数据库中,以便于免疫计算机制对其进行存取操作,如图1所示。这里,自体数据库采用Oracle等关系数据库管理***。
当人工免疫***的状态正常时,通过编程方法提取人工免疫***中各个正常组件的空间属性和时间属性,并将这些时空属性记录存储在自体数据库中。人工免疫***在应用服务器上运行,自体数据库和异体数据库存储在数据库服务器上。编程方法包括Java语言的File类中文件绝对路径的读取方法和文件最后修改时间的读取方法。在软件***中,其组件体现为一些文件。在计算机世界中一个组件的空间属性是唯一的,包括文件的绝对路径;其时间属性也是不可以更改的,因为时间不可倒流。由组件的时空属性构成的记录实际上是一种免疫对象,在人工免疫***的免疫逻辑中对这些对象进行存取和计算根据自体记录检测***中的某个目标是否为自体。
2、构建固有免疫计算层
人工免疫***的三层结构包括固有免疫计算层、适应性免疫计算层和并行免疫计算层,如图2所示。固有免疫计算层的建立是人工免疫***设计的基础,是三层免疫计算模型的第一层。适应性免疫计算层比固有免疫计算层智能更高,并行免疫计算层比固有免疫计算层和适应性免疫计算层计算速度更快。异体数据库用来表示和存储所有已知异体的特征信息,包括异体的类型、异体的激活方式、异体的传播方式和异体的破坏方式等。建立人工免疫***时,根据已积累的异体经验在异体数据库中添加了许多已知异体的记录,这些记录就构成了固有免疫计算层中异体识别的基础。
固有免疫计算层主要负责自体/异体的完全检测和已知异体的识别,固有免疫计算层由自体数据库、基于数据库查询的检测器、异体数据库和基于数据库查询的识别器组成。其中,异体数据库是固有免疫计算层和适应性免疫计算层共享使用的,采用Oracle数据库管理***。异体数据库存储和异体有关的特征信息,包括病毒的字符串特征、病毒的传播特征等。
固有免疫计算层读取待检测文件的时空属性,即绝对路径名和最后修改时间,将这些属性值与自体数据库中的记录相匹配,根据匹配的结果查询出此文件的时空属性是否在自体数据库中。如果此文件的时空属性在自体数据库中,那么此文件是自体。否则,此文件是异体。
基于Web***的正常模型,固有免疫计算层检测出所有的自体,而Web***中的其余目标就判定为异体。对于这些异体,固有免疫计算层访问异体数据库,查询有关这些异体的特征信息。如果在异体数据库中查到了与待查异体的特征相匹配的记录,就判定此待查异体为一个已知的异体。如果在异体数据库中找不到任何与某个待查异体的特征相匹配的记录,就判定此待查异体为未知的,就要送到适应性免疫计算层继续识别。这里,数据库查询建立在Oracle等关系数据库的Select查询子句基础上。
3、构建适应性免疫计算层
适应性免疫计算层是人工免疫***的智能中心,具有一定的学习能力,建立在神经网络、示例学习等机器学习机制的基础上。适应性免疫计算层负责识别、学习和记忆未知的异体,并消除已识别的异体,还要进行最大限度的***修复,如图2所示。适应性免疫计算层由未知异体的学习器、未知异体的记忆器、共享的异体数据库、异体消除器和***修复器组成。
对未知异体的学习,适应性免疫计算层采用BP神经网络、RBF神经网络或者示例学习机制。用于未知异体学习的BP神经网络分为三层,如图3所示。其中,输入层表示异体的关键特征,包括异体的文件名、编码语言、传播方式、引擎、特征串和破坏方式等;隐藏层表示已知异体的类型;输出层知异体的消除方案。示例学习机制建立在所有已知异体的特征空间基础上,寻找未知异体在此特征空间中最相近的已知异体。未知异体学习器的输入是未知异体的特征信息,其输出是与未知异体最相似的已知异体及其相似度。
上述BP神经网络使用以下计算公式进行学习,存储学习的结果,从而将未知异体转换为已知异体。
式中,P表示此BP神经网络的性能指标;y表示此BP神经网络的训练输入;z表示输出节点;dyz表示训练输入y在节点z的期望输出;dj表示第j个节点的期望输出;Oyz表示训练输入y在节点z的实际输出;Oj表示第j个节点的实际输出;Wi→j表示连接第i层节点和第j层节点的权值;ΔWi→j表示其权值的变化;r表示学习比率;βj表示第j个节点的值;εz表示输出节点的误差。
BP神经网络的作用是识别未知的异体,其方法就是该神经网络的学习。未知异体记忆器将未知异体的学习结果构建成新的已知异体记录,并将此记录存储到异体数据库中,编制其相应的查询索引。
异体消除器包括操作***的删除命令、进程杀死命令、邮件删除命令以及这些操作命令的组合批处理命令,异体消除器每次消除一个异体都会写入日志记录。
使用所述异体消除器消除异体前,异体区分器根据所述正常模型及自体数据库将所述计算机***处于异常状态的功能组件与其它外来异体区分开来,区分的标准是检查异体的绝对路径名是否与自体数据库的一个记录属性相匹配。如果匹配,就判定该异体为处于异常状态的功能组件。并且,将这些异常功能组件的绝对路径名存储到临时数据库中,以供***恢复时调用,来找到所述计算机***中要恢复的功能组件。
***修复器在应用***的正常模型、安全备份***和异体消除日志记录的基础上工作,根据异常组件的消除记录高精度地修复此组件,从应用***的安全备份***中将其备份组件替换已消除的组件,或者使用硬件修复工具修复此组件。根据正常模型的唯一确定性,只要已消除的组件可以修复,就能将所有受损的组件全部修复成功,这样应用***就能从整体上完全修复。
4、构建并行免疫计算层
并行免疫计算层是一个并行计算机,属于硬件设备,如图2所示。这个并行计算机由易于升级的模块组件组成,是一个多星拓扑网络,所有节点和服务器用快速以太网或兆比特交换机连接起来。每个节点由多个微处理机、1GB内存、网卡、数GB的硬盘和支持对称多处理机的带总线主板构成。该并行计算机的主要组件包括前端节点、服务节点、计算节点、交换机和并行输入/输出子***。前端节点为用户使用和控制整个并行计算机提供界面,来编译和调试程序,以及提交和监视任务。服务节点存放网络文件***和认证后台程序。计算节点遵循服务节点的指令,来执行最终的数字分解。并行输入/输出***通过隧道对处理机群开放,提供大量的存储和存储空间与计算节点之间高速的数据访问。需要开发并行软件来连接各种并行计算组件,并达到最优的***性能。最基本的并行软件包括三大部分:操作***、通信库和任务控制***。
当异体数量超过单个计算机能承受的计算量时,并行免疫计算层用来提供并行计算,将总的计算量均衡地分配到各个计算机上,以缓解单个计算机的计算负荷,提高整个人工免疫计算***的效率和可靠性。因为并行免疫计算层将单个计算机的负荷控制在正常的范围内,这样就增强了各个计算机上免疫计算的可靠性。因此,并行免疫计算层为固有免疫计算层和适应性免疫计算层提供了强大的计算基础组织,以满足大量计算的需要。
上述仅为一个实例,这个实例所采用的正常模型和人工免疫***可以推广到其他计算机***,用来实现异常检测、病毒预防、非法入侵防御、故障诊断和异常***修复。
Claims (8)
1.一种用于企业计算机***的基于正常模型的人工免疫***,用于对企业计算机***进行异常检测、病毒预防、非法入侵防御、故障诊断、异常***修复,所述计算机***划分为若干个功能组件,由每个组件的时空属性唯一确定该组件的状态,由所有组件的正常状态唯一确定所述计算机***的正常状态,基于所述计算机***的正常状态建立其正常模型及与该正常模型对应的自体数据库,该自体数据库存储所述计算机***中所有处于正常状态的功能组件的时空属性,包括最后修改时间和绝对路径名;所述人工免疫***包括:
固有免疫计算层,用于根据所述正常模型和自体数据库检测自体和异体,并识别已知的异体;
具有学习能力的适应性免疫计算层,包括神经网络或示例学习机制,用于识别、学习和记忆未知的异体,消除所有异体,并修复受损的所述计算机***;
异体数据库,用于存储已知异体的特征信息,固有免疫计算层和适应性免疫计算层都使用异体数据库;
所述人工免疫***的特征在于:所述计算机***的正常模型唯一确定***的正常状态,通过正常模型及自体数据库进行自体检测和异体检测,达到100%检测率。
2.根据权利要求1所述的人工免疫***,其特征在于:所述固有免疫计算层包括自体数据库、基于自体数据库查询的自体/异体检测器、异体数据库和基于异体数据库查询的已知异体识别器。
3.根据权利要求1或2所述的人工免疫***,其特征在于:所述适应性免疫计算层还包括一个未知异体记忆器,用于将已学习的未知异体特征存储到异体数据库中,使之成为新的已知异体。
4.根据权利要求1或2所述的人工免疫***,其特征在于:所述适应性免疫计算层还包括一个异体消除器,用于消除已识别的异常文件、异常进程、异常邮件等异体。
5.根据权利要求1或2所述的人工免疫***,其特征在于:所述适应性免疫计算层还包括一个异体区分器,基于所述正常模型及自体数据库将所述计算机***中处于异常状态的功能组件与其它外来异体区分开来,并将这些异常功能组件的绝对路径名存储到临时数据库中,以供***恢复时调用。
6.根据权利要求1或2所述的人工免疫***,其特征在于:所述适应性免疫计算层还包括一个***恢复器,基于所述正常模型和所述临时数据库根据异体的识别信息修复***的受损部分。
7.根据权利要求1或2所述的人工免疫***,其特征在于:还设置有一个并行免疫计算层,用来将单个计算机上的计算量分配到多个计算机上,为固有免疫计算层和适应性免疫计算层提供强大的计算基础组织,提高整个人工免疫***的计算效率和可靠性。
8.根据权利要求1或2所述的人工免疫***,其特征在于:设置有基于Java的网络接口和可视化数据显示部分,用于Web信息***的安全保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100929738A CN1866267B (zh) | 2006-06-14 | 2006-06-14 | 基于正常模型的人工免疫*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100929738A CN1866267B (zh) | 2006-06-14 | 2006-06-14 | 基于正常模型的人工免疫*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1866267A true CN1866267A (zh) | 2006-11-22 |
| CN1866267B CN1866267B (zh) | 2012-08-22 |
Family
ID=37425285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100929738A Expired - Fee Related CN1866267B (zh) | 2006-06-14 | 2006-06-14 | 基于正常模型的人工免疫*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1866267B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101950334A (zh) * | 2010-08-05 | 2011-01-19 | 武汉大学 | 基于计算机免疫的信息***危险感知方法及*** |
| CN102436252A (zh) * | 2010-09-29 | 2012-05-02 | 清华大学 | 一种基于免疫危险理论的流程工业的故障诊断方法和*** |
| CN103544431A (zh) * | 2012-07-09 | 2014-01-29 | 腾讯科技(深圳)有限公司 | 一种对非法程序的免疫方法、***及装置 |
| CN109870909A (zh) * | 2019-03-01 | 2019-06-11 | 中国人民解放军陆军装甲兵学院 | 一种基于rbf神经网络和自适应搜索的人工免疫算法 |
| CN111460451A (zh) * | 2020-03-27 | 2020-07-28 | 南京云白信息科技有限公司 | 一种基于病毒疫苗技术的软件防病毒感染***及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100393046C (zh) * | 2005-12-06 | 2008-06-04 | 南京邮电大学 | 一种类似生物免疫机制的入侵检测方法 |
-
2006
- 2006-06-14 CN CN2006100929738A patent/CN1866267B/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101950334A (zh) * | 2010-08-05 | 2011-01-19 | 武汉大学 | 基于计算机免疫的信息***危险感知方法及*** |
| CN101950334B (zh) * | 2010-08-05 | 2012-08-08 | 武汉大学 | 基于计算机免疫的信息***危险感知方法及*** |
| CN102436252A (zh) * | 2010-09-29 | 2012-05-02 | 清华大学 | 一种基于免疫危险理论的流程工业的故障诊断方法和*** |
| CN102436252B (zh) * | 2010-09-29 | 2014-01-01 | 清华大学 | 一种基于免疫危险理论的流程工业的故障诊断方法和*** |
| CN103544431A (zh) * | 2012-07-09 | 2014-01-29 | 腾讯科技(深圳)有限公司 | 一种对非法程序的免疫方法、***及装置 |
| CN103544431B (zh) * | 2012-07-09 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 一种对非法程序的免疫方法、***及装置 |
| CN109870909A (zh) * | 2019-03-01 | 2019-06-11 | 中国人民解放军陆军装甲兵学院 | 一种基于rbf神经网络和自适应搜索的人工免疫算法 |
| CN111460451A (zh) * | 2020-03-27 | 2020-07-28 | 南京云白信息科技有限公司 | 一种基于病毒疫苗技术的软件防病毒感染***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1866267B (zh) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9990421B2 (en) | Phrase-based searching in an information retrieval system | |
| CN108427720B (zh) | ***日志分类方法 | |
| CA2513852C (en) | Phrase-based searching in an information retrieval system | |
| CN107430612B (zh) | 查找描述对计算问题的解决方案的文档 | |
| CN1169074C (zh) | 用于检索一个事件数据库的基于事件的推理***和方法 | |
| AU2005203239B2 (en) | Phrase-based indexing in an information retrieval system | |
| CA2513850C (en) | Phrase identification in an information retrieval system | |
| US7580929B2 (en) | Phrase-based personalization of searches in an information retrieval system | |
| US7584175B2 (en) | Phrase-based generation of document descriptions | |
| US20100030773A1 (en) | Multiple index based information retrieval system | |
| CN1866267B (zh) | 基于正常模型的人工免疫*** | |
| CN115841105B (zh) | 一种基于事件类型层级关系的事件抽取方法、***及介质 | |
| CN110609901B (zh) | 一种基于向量化特征的用户网络行为预测方法 | |
| Fu et al. | ISCAS_ICIP at MWPD-2020 Task 1: Product Matching Based on Deep Entity Matching Frameworks. | |
| CN117827882B (zh) | 一种基于深度学习的金融数据库sql质量评分方法、***、设备和可存储介质 | |
| Li et al. | Constructing information systems based on schema reuse | |
| CN118093735A (zh) | 多源异构数据的流式数据仓库的实现方法、***和介质 | |
| Jumaa et al. | Detecting Fuzzy Duplicates in Data Sets | |
| Tan | Redundancy in Specifications | |
| Bashar et al. | A Role based Address Cleaner | |
| Doll et al. | Linking Deutsche Bundesbank Company Data Technical Report 2021-05 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 Termination date: 20170614 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |