專(zhuān)利名稱(chēng):基于正常模型的人工免疫系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于正常模型的人工免疫系統(tǒng),是一種對(duì)企業(yè)計(jì)算機(jī)系統(tǒng)的各個(gè)功能子系統(tǒng)進(jìn)行異常檢測(cè)、病毒預(yù)防����、非法入侵防御、故障診斷����、異常系統(tǒng)修復(fù)的人工免疫系統(tǒng)。
背景技術(shù):
人工免疫系統(tǒng)由人類(lèi)的自然免疫系統(tǒng)靈感啟發(fā)而來(lái)�,其生物醫(yī)學(xué)理論基礎(chǔ)是克隆選擇理論、陰性/陽(yáng)性選擇理論�����、免疫耐受學(xué)說(shuō)����、抗體分子結(jié)構(gòu)學(xué)說(shuō)等。自然免疫系統(tǒng)的必要生物基礎(chǔ)是人體能根據(jù)DNA特征區(qū)分外來(lái)對(duì)象是自體���,還是異體����。但是�����,傳統(tǒng)的人工免疫系統(tǒng)僅僅模擬克隆選擇機(jī)制���、陰性/陽(yáng)性選擇機(jī)制����、免疫學(xué)習(xí)機(jī)制等����,沒(méi)有建立系統(tǒng)的正常模型,以嚴(yán)格定義人工免疫系統(tǒng)的自體���。也正因?yàn)橄到y(tǒng)的正常模型沒(méi)有建立���,系統(tǒng)異常的檢測(cè)率就受異常知識(shí)限制,其值通常不可能達(dá)到100%��。正常模型的構(gòu)建為自體檢測(cè)提供了嚴(yán)格的依據(jù)�,其自體檢測(cè)率可達(dá)100%。根據(jù)自體和異體之間關(guān)系����,異體檢測(cè)率也可達(dá)100%。
傳統(tǒng)的異常檢測(cè)技術(shù)是根據(jù)異常的特征信息直接檢測(cè)系統(tǒng)中的異常,這種技術(shù)通過(guò)智能方法可以提高其檢測(cè)率為98%左右���,但是從理論上不可能達(dá)到100%的檢測(cè)率���,因?yàn)槲粗漠惓?偸亲兓獪y(cè)�。這樣,也降低了下一步的異常識(shí)別率��、異常消除率以及系統(tǒng)修復(fù)率���。因此��,基于異常特征的異常檢測(cè)技術(shù)存在許多問(wèn)題��。
傳統(tǒng)上�����,未知異常的識(shí)別都是根據(jù)經(jīng)驗(yàn)半自動(dòng)識(shí)別���,智能技術(shù)采用率不高,對(duì)未知異常的識(shí)別能力十分有限�。并且�,未知異常的二次識(shí)別效率并不比第一次識(shí)別效率高多少���,未知異常的識(shí)別過(guò)程存在效率瓶頸問(wèn)題�。隨著未知異常的迅速增加����,系統(tǒng)的異常識(shí)別能力可能會(huì)出現(xiàn)崩潰的危機(jī)�。因此,受自然免疫系統(tǒng)優(yōu)良的異常識(shí)別和負(fù)載平衡能力啟發(fā)��,很需要設(shè)計(jì)出一種人工免疫系統(tǒng)���。
由于所建立的人工免疫系統(tǒng)是有正常模型的�,系統(tǒng)的正常組件表示在自體數(shù)據(jù)庫(kù)中���,因此,異常檢測(cè)建立在對(duì)自體數(shù)據(jù)庫(kù)的查詢(xún)基礎(chǔ)上��。因?yàn)樽泽w都是已知的�,所以自體檢測(cè)是簡(jiǎn)便的,且檢測(cè)率高達(dá)100%���,基于自體數(shù)據(jù)庫(kù)的異常檢測(cè)也是簡(jiǎn)便的��,且檢測(cè)率也能高達(dá)100%���。系統(tǒng)的異常組件或外來(lái)入侵目標(biāo)的識(shí)別信息存儲(chǔ)在異體數(shù)據(jù)庫(kù)中,已知異體的識(shí)別建立在對(duì)異體數(shù)據(jù)庫(kù)的查詢(xún)基礎(chǔ)上�,未知異體的識(shí)別建立在機(jī)器學(xué)習(xí)基礎(chǔ)上����。
基于正常模型的人工免疫系統(tǒng)由自然免疫系統(tǒng)靈感啟發(fā)而來(lái)的�,是一種對(duì)計(jì)算機(jī)信息系統(tǒng)的異常進(jìn)行檢測(cè)����、識(shí)別����、消除和系統(tǒng)修復(fù)的系統(tǒng),它具有企業(yè)應(yīng)用系統(tǒng)的正常模型和三層結(jié)構(gòu)的免疫計(jì)算系統(tǒng)�。基于正常模型的人工免疫系統(tǒng)研究得到了國(guó)家自然科學(xué)基金項(xiàng)目(60404021)的部分資助���。為了描述系統(tǒng)的正常狀態(tài)�,正常模型采用時(shí)空屬性表示法��,包括文件的最后修改時(shí)間屬性和絕對(duì)路徑屬性���。該三層結(jié)構(gòu)免疫計(jì)算系統(tǒng)按照固有免疫和適應(yīng)性免疫兩種類(lèi)型分別處理已知的異體和未知的異體�����。
現(xiàn)在自動(dòng)的系統(tǒng)修復(fù)技術(shù)在企業(yè)領(lǐng)域應(yīng)用很少,手工的系統(tǒng)修復(fù)往往要消耗人力資源�����,帶來(lái)一些人為錯(cuò)誤����,系統(tǒng)修復(fù)效率和精度不高,對(duì)于危險(xiǎn)環(huán)境和無(wú)人環(huán)境的企業(yè)應(yīng)用系統(tǒng)無(wú)法適應(yīng)����。因此,迫切需要提出一種新的系統(tǒng)恢復(fù)技術(shù)����。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)的上述不足���,提供一種新的基于正常模型的人工免疫系統(tǒng),以解決現(xiàn)有技術(shù)中異常檢測(cè)率不夠高�����、未知異常識(shí)別能力不夠強(qiáng)的問(wèn)題�,以及現(xiàn)有系統(tǒng)修復(fù)技術(shù)存在的自動(dòng)化問(wèn)題,為計(jì)算機(jī)應(yīng)用系統(tǒng)的異常檢測(cè)����、識(shí)別、消除和系統(tǒng)修復(fù)提供新的途徑���。
為實(shí)現(xiàn)這樣的目的��,本發(fā)明提出的基于正常模型的人工免疫系統(tǒng)不同于傳統(tǒng)的人工免疫系統(tǒng)���。該系統(tǒng)具有一個(gè)正常模型及其對(duì)應(yīng)的自體數(shù)據(jù)庫(kù),這種正常模型為了對(duì)系統(tǒng)正常狀態(tài)進(jìn)行描述����,使用了正常系統(tǒng)中所有正常組件的時(shí)空屬性�,包括正常文件的最后修改時(shí)間和絕對(duì)路徑名�,其特征在于計(jì)算機(jī)系統(tǒng)的正常模型唯一確定系統(tǒng)的正常狀態(tài),通過(guò)正常模型及其自體數(shù)據(jù)庫(kù)進(jìn)行自體檢測(cè)和異體檢測(cè)�,達(dá)到100%檢測(cè)率。這種人工免疫系統(tǒng)建立了系統(tǒng)的正常模型����,可實(shí)現(xiàn)100%的異常檢測(cè)率;也不同于傳統(tǒng)的系統(tǒng)恢復(fù)技術(shù)�,其系統(tǒng)修復(fù)建立在智能的人工免疫系統(tǒng)基礎(chǔ)上,其自動(dòng)化程度更高����;通過(guò)神經(jīng)網(wǎng)絡(luò)或示例學(xué)習(xí)�����,可實(shí)現(xiàn)對(duì)未知異常的學(xué)習(xí)����。
此外,該人工免疫系統(tǒng)具有固有免疫計(jì)算層��、適應(yīng)性免疫計(jì)算層和并行計(jì)算層等����。
圖1給出了人工免疫系統(tǒng)的正常模型示意圖����。
圖2給出了人工免疫系統(tǒng)的三層結(jié)構(gòu)����。
圖3給出了BP神經(jīng)網(wǎng)絡(luò)的示例。
具體實(shí)施例方式以一個(gè)Web系統(tǒng)為例��,本發(fā)明按照以下步驟構(gòu)建基于正常模型的人工免疫系統(tǒng)�。
1、構(gòu)建Web系統(tǒng)的正常模型在構(gòu)建Web系統(tǒng)的正常模型時(shí)�,首先要對(duì)系統(tǒng)從結(jié)構(gòu)上進(jìn)行正確劃分,即將系統(tǒng)劃分為若干個(gè)功能組件���,其中一些組件對(duì)實(shí)現(xiàn)系統(tǒng)的整體功能是必要的�。此Web系統(tǒng)由100個(gè)HTML網(wǎng)頁(yè)文件和一些目錄組成�����,主要完成某企業(yè)信息的概要介紹功能����。Web系統(tǒng)的正常狀態(tài)由其所有HTML網(wǎng)頁(yè)文件的正常狀態(tài)唯一確定�����,也就是說(shuō)只有當(dāng)其全部文件的狀態(tài)都是正常的時(shí)�,整個(gè)Web系統(tǒng)的狀態(tài)才是正常的���;只要有一個(gè)文件的狀態(tài)是異常的����,整個(gè)Web系統(tǒng)的狀態(tài)就是異常的��。
一般的�,Web系統(tǒng)的正常模型可描述為N(S)=Πi=1100N(ci)]]>=Πi=1100N(<pi,t>)]]>式中,S表示W(wǎng)eb系統(tǒng)N(·)表示正常函數(shù)���, ci表示W(wǎng)eb系統(tǒng)S的HTML網(wǎng)頁(yè)文件之一100是Web系統(tǒng)S的HTML文件總數(shù)pi表示文件ci的空間屬性��,即絕對(duì)路徑名t表示時(shí)間屬性<pi,ti>表示文件ci的時(shí)空屬性二元組從上式可以看出��,Web系統(tǒng)S的正常狀態(tài)N(S)與其每個(gè)文件ci的正常狀態(tài)N(ci)都有關(guān)系���,而且由其每個(gè)文件的絕對(duì)路徑名pi和共同的時(shí)間屬性t唯一確定���。這種唯一確定性是可以證明的�,根據(jù)這種特性可以將每個(gè)文件的時(shí)空屬性封裝為一個(gè)對(duì)象�,作為記錄存儲(chǔ)在自體數(shù)據(jù)庫(kù)中,以便于免疫計(jì)算機(jī)制對(duì)其進(jìn)行存取操作�����,如圖1所示���。這里���,自體數(shù)據(jù)庫(kù)采用Oracle等關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。
當(dāng)人工免疫系統(tǒng)的狀態(tài)正常時(shí)����,通過(guò)編程方法提取人工免疫系統(tǒng)中各個(gè)正常組件的空間屬性和時(shí)間屬性,并將這些時(shí)空屬性記錄存儲(chǔ)在自體數(shù)據(jù)庫(kù)中�����。人工免疫系統(tǒng)在應(yīng)用服務(wù)器上運(yùn)行�,自體數(shù)據(jù)庫(kù)和異體數(shù)據(jù)庫(kù)存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器上。編程方法包括Java語(yǔ)言的File類(lèi)中文件絕對(duì)路徑的讀取方法和文件最后修改時(shí)間的讀取方法。在軟件系統(tǒng)中�����,其組件體現(xiàn)為一些文件�。在計(jì)算機(jī)世界中一個(gè)組件的空間屬性是唯一的,包括文件的絕對(duì)路徑��;其時(shí)間屬性也是不可以更改的���,因?yàn)闀r(shí)間不可倒流���。由組件的時(shí)空屬性構(gòu)成的記錄實(shí)際上是一種免疫對(duì)象,在人工免疫系統(tǒng)的免疫邏輯中對(duì)這些對(duì)象進(jìn)行存取和計(jì)算根據(jù)自體記錄檢測(cè)系統(tǒng)中的某個(gè)目標(biāo)是否為自體��。
2�、構(gòu)建固有免疫計(jì)算層人工免疫系統(tǒng)的三層結(jié)構(gòu)包括固有免疫計(jì)算層、適應(yīng)性免疫計(jì)算層和并行免疫計(jì)算層���,如圖2所示��。固有免疫計(jì)算層的建立是人工免疫系統(tǒng)設(shè)計(jì)的基礎(chǔ)�,是三層免疫計(jì)算模型的第一層�����。適應(yīng)性免疫計(jì)算層比固有免疫計(jì)算層智能更高����,并行免疫計(jì)算層比固有免疫計(jì)算層和適應(yīng)性免疫計(jì)算層計(jì)算速度更快。異體數(shù)據(jù)庫(kù)用來(lái)表示和存儲(chǔ)所有已知異體的特征信息���,包括異體的類(lèi)型�、異體的激活方式��、異體的傳播方式和異體的破壞方式等���。建立人工免疫系統(tǒng)時(shí)����,根據(jù)已積累的異體經(jīng)驗(yàn)在異體數(shù)據(jù)庫(kù)中添加了許多已知異體的記錄����,這些記錄就構(gòu)成了固有免疫計(jì)算層中異體識(shí)別的基礎(chǔ)。
固有免疫計(jì)算層主要負(fù)責(zé)自體/異體的完全檢測(cè)和已知異體的識(shí)別�����,固有免疫計(jì)算層由自體數(shù)據(jù)庫(kù)、基于數(shù)據(jù)庫(kù)查詢(xún)的檢測(cè)器�����、異體數(shù)據(jù)庫(kù)和基于數(shù)據(jù)庫(kù)查詢(xún)的識(shí)別器組成���。其中����,異體數(shù)據(jù)庫(kù)是固有免疫計(jì)算層和適應(yīng)性免疫計(jì)算層共享使用的�,采用Oracle數(shù)據(jù)庫(kù)管理系統(tǒng)。異體數(shù)據(jù)庫(kù)存儲(chǔ)和異體有關(guān)的特征信息��,包括病毒的字符串特征����、病毒的傳播特征等。
固有免疫計(jì)算層讀取待檢測(cè)文件的時(shí)空屬性���,即絕對(duì)路徑名和最后修改時(shí)間���,將這些屬性值與自體數(shù)據(jù)庫(kù)中的記錄相匹配,根據(jù)匹配的結(jié)果查詢(xún)出此文件的時(shí)空屬性是否在自體數(shù)據(jù)庫(kù)中���。如果此文件的時(shí)空屬性在自體數(shù)據(jù)庫(kù)中���,那么此文件是自體。否則���,此文件是異體����。
基于Web系統(tǒng)的正常模型�,固有免疫計(jì)算層檢測(cè)出所有的自體,而Web系統(tǒng)中的其余目標(biāo)就判定為異體�����。對(duì)于這些異體�����,固有免疫計(jì)算層訪(fǎng)問(wèn)異體數(shù)據(jù)庫(kù)���,查詢(xún)有關(guān)這些異體的特征信息�。如果在異體數(shù)據(jù)庫(kù)中查到了與待查異體的特征相匹配的記錄�����,就判定此待查異體為一個(gè)已知的異體。如果在異體數(shù)據(jù)庫(kù)中找不到任何與某個(gè)待查異體的特征相匹配的記錄�,就判定此待查異體為未知的,就要送到適應(yīng)性免疫計(jì)算層繼續(xù)識(shí)別�����。這里����,數(shù)據(jù)庫(kù)查詢(xún)建立在Oracle等關(guān)系數(shù)據(jù)庫(kù)的Select查詢(xún)子句基礎(chǔ)上。
3��、構(gòu)建適應(yīng)性免疫計(jì)算層適應(yīng)性免疫計(jì)算層是人工免疫系統(tǒng)的智能中心��,具有一定的學(xué)習(xí)能力��,建立在神經(jīng)網(wǎng)絡(luò)�����、示例學(xué)習(xí)等機(jī)器學(xué)習(xí)機(jī)制的基礎(chǔ)上�。適應(yīng)性免疫計(jì)算層負(fù)責(zé)識(shí)別、學(xué)習(xí)和記憶未知的異體����,并消除已識(shí)別的異體�����,還要進(jìn)行最大限度的系統(tǒng)修復(fù)�,如圖2所示��。適應(yīng)性免疫計(jì)算層由未知異體的學(xué)習(xí)器��、未知異體的記憶器�、共享的異體數(shù)據(jù)庫(kù)��、異體消除器和系統(tǒng)修復(fù)器組成�����。
對(duì)未知異體的學(xué)習(xí)�����,適應(yīng)性免疫計(jì)算層采用BP神經(jīng)網(wǎng)絡(luò)���、RBF神經(jīng)網(wǎng)絡(luò)或者示例學(xué)習(xí)機(jī)制��。用于未知異體學(xué)習(xí)的BP神經(jīng)網(wǎng)絡(luò)分為三層�,如圖3所示。其中����,輸入層表示異體的關(guān)鍵特征,包括異體的文件名����、編碼語(yǔ)言、傳播方式���、引擎��、特征串和破壞方式等����;隱藏層表示已知異體的類(lèi)型�;輸出層知異體的消除方案。示例學(xué)習(xí)機(jī)制建立在所有已知異體的特征空間基礎(chǔ)上����,尋找未知異體在此特征空間中最相近的已知異體。未知異體學(xué)習(xí)器的輸入是未知異體的特征信息,其輸出是與未知異體最相似的已知異體及其相似度���。
上述BP神經(jīng)網(wǎng)絡(luò)使用以下計(jì)算公式進(jìn)行學(xué)習(xí)���,存儲(chǔ)學(xué)習(xí)的結(jié)果,從而將未知異體轉(zhuǎn)換為已知異體����。
P=Σy(Σz(dyz-Oyz)2),]]>ΔWi→j=rOj(1-Oj)βjβj=ΣkWj→kOk(1-Ok)βk,]]>εz=dz-Oz式中,P表示此BP神經(jīng)網(wǎng)絡(luò)的性能指標(biāo)����;y表示此BP神經(jīng)網(wǎng)絡(luò)的訓(xùn)練輸入�;z表示輸出節(jié)點(diǎn);dyz表示訓(xùn)練輸入y在節(jié)點(diǎn)z的期望輸出�����;dj表示第j個(gè)節(jié)點(diǎn)的期望輸出���;Oyz表示訓(xùn)練輸入y在節(jié)點(diǎn)z的實(shí)際輸出��;Oj表示第j個(gè)節(jié)點(diǎn)的實(shí)際輸出�����;Wi→j表示連接第i層節(jié)點(diǎn)和第j層節(jié)點(diǎn)的權(quán)值�;ΔWi→j表示其權(quán)值的變化;r表示學(xué)習(xí)比率�����;βj表示第j個(gè)節(jié)點(diǎn)的值�����;εz表示輸出節(jié)點(diǎn)的誤差���。
BP神經(jīng)網(wǎng)絡(luò)的作用是識(shí)別未知的異體��,其方法就是該神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)�。未知異體記憶器將未知異體的學(xué)習(xí)結(jié)果構(gòu)建成新的已知異體記錄��,并將此記錄存儲(chǔ)到異體數(shù)據(jù)庫(kù)中��,編制其相應(yīng)的查詢(xún)索引�。
異體消除器包括操作系統(tǒng)的刪除命令、進(jìn)程殺死命令����、郵件刪除命令以及這些操作命令的組合批處理命令���,異體消除器每次消除一個(gè)異體都會(huì)寫(xiě)入日志記錄。
使用所述異體消除器消除異體前����,異體區(qū)分器根據(jù)所述正常模型及自體數(shù)據(jù)庫(kù)將所述計(jì)算機(jī)系統(tǒng)處于異常狀態(tài)的功能組件與其它外來(lái)異體區(qū)分開(kāi)來(lái),區(qū)分的標(biāo)準(zhǔn)是檢查異體的絕對(duì)路徑名是否與自體數(shù)據(jù)庫(kù)的一個(gè)記錄屬性相匹配�����。如果匹配�,就判定該異體為處于異常狀態(tài)的功能組件。并且����,將這些異常功能組件的絕對(duì)路徑名存儲(chǔ)到臨時(shí)數(shù)據(jù)庫(kù)中�����,以供系統(tǒng)恢復(fù)時(shí)調(diào)用���,來(lái)找到所述計(jì)算機(jī)系統(tǒng)中要恢復(fù)的功能組件����。
系統(tǒng)修復(fù)器在應(yīng)用系統(tǒng)的正常模型、安全備份系統(tǒng)和異體消除日志記錄的基礎(chǔ)上工作�,根據(jù)異常組件的消除記錄高精度地修復(fù)此組件,從應(yīng)用系統(tǒng)的安全備份系統(tǒng)中將其備份組件替換已消除的組件����,或者使用硬件修復(fù)工具修復(fù)此組件。根據(jù)正常模型的唯一確定性�,只要已消除的組件可以修復(fù),就能將所有受損的組件全部修復(fù)成功���,這樣應(yīng)用系統(tǒng)就能從整體上完全修復(fù)���。
4、構(gòu)建并行免疫計(jì)算層并行免疫計(jì)算層是一個(gè)并行計(jì)算機(jī)�����,屬于硬件設(shè)備�����,如圖2所示���。這個(gè)并行計(jì)算機(jī)由易于升級(jí)的模塊組件組成�����,是一個(gè)多星拓?fù)渚W(wǎng)絡(luò)�����,所有節(jié)點(diǎn)和服務(wù)器用快速以太網(wǎng)或兆比特交換機(jī)連接起來(lái)���。每個(gè)節(jié)點(diǎn)由多個(gè)微處理機(jī)��、1GB內(nèi)存����、網(wǎng)卡����、數(shù)GB的硬盤(pán)和支持對(duì)稱(chēng)多處理機(jī)的帶總線(xiàn)主板構(gòu)成。該并行計(jì)算機(jī)的主要組件包括前端節(jié)點(diǎn)�����、服務(wù)節(jié)點(diǎn)��、計(jì)算節(jié)點(diǎn)�、交換機(jī)和并行輸入/輸出子系統(tǒng)。前端節(jié)點(diǎn)為用戶(hù)使用和控制整個(gè)并行計(jì)算機(jī)提供界面�����,來(lái)編譯和調(diào)試程序�,以及提交和監(jiān)視任務(wù)。服務(wù)節(jié)點(diǎn)存放網(wǎng)絡(luò)文件系統(tǒng)和認(rèn)證后臺(tái)程序���。計(jì)算節(jié)點(diǎn)遵循服務(wù)節(jié)點(diǎn)的指令�����,來(lái)執(zhí)行最終的數(shù)字分解�。并行輸入/輸出系統(tǒng)通過(guò)隧道對(duì)處理機(jī)群開(kāi)放��,提供大量的存儲(chǔ)和存儲(chǔ)空間與計(jì)算節(jié)點(diǎn)之間高速的數(shù)據(jù)訪(fǎng)問(wèn)�。需要開(kāi)發(fā)并行軟件來(lái)連接各種并行計(jì)算組件,并達(dá)到最優(yōu)的系統(tǒng)性能���。最基本的并行軟件包括三大部分操作系統(tǒng)����、通信庫(kù)和任務(wù)控制系統(tǒng)。
當(dāng)異體數(shù)量超過(guò)單個(gè)計(jì)算機(jī)能承受的計(jì)算量時(shí)����,并行免疫計(jì)算層用來(lái)提供并行計(jì)算,將總的計(jì)算量均衡地分配到各個(gè)計(jì)算機(jī)上���,以緩解單個(gè)計(jì)算機(jī)的計(jì)算負(fù)荷�����,提高整個(gè)人工免疫計(jì)算系統(tǒng)的效率和可靠性���。因?yàn)椴⑿忻庖哂?jì)算層將單個(gè)計(jì)算機(jī)的負(fù)荷控制在正常的范圍內(nèi),這樣就增強(qiáng)了各個(gè)計(jì)算機(jī)上免疫計(jì)算的可靠性�。因此,并行免疫計(jì)算層為固有免疫計(jì)算層和適應(yīng)性免疫計(jì)算層提供了強(qiáng)大的計(jì)算基礎(chǔ)組織�����,以滿(mǎn)足大量計(jì)算的需要��。
上述僅為一個(gè)實(shí)例���,這個(gè)實(shí)例所采用的正常模型和人工免疫系統(tǒng)可以推廣到其他計(jì)算機(jī)系統(tǒng)��,用來(lái)實(shí)現(xiàn)異常檢測(cè)�����、病毒預(yù)防��、非法入侵防御����、故障診斷和異常系統(tǒng)修復(fù)�。
權(quán)利要求
1.一種用于企業(yè)計(jì)算機(jī)系統(tǒng)的基于正常模型的人工免疫系統(tǒng),用于對(duì)企業(yè)計(jì)算機(jī)系統(tǒng)進(jìn)行異常檢測(cè)����、病毒預(yù)防、非法入侵防御���、故障診斷�、異常系統(tǒng)修復(fù)����,所述計(jì)算機(jī)系統(tǒng)劃分為若干個(gè)功能組件,由每個(gè)組件的時(shí)空屬性唯一確定該組件的狀態(tài)�,由所有組件的正常狀態(tài)唯一確定所述計(jì)算機(jī)系統(tǒng)的正常狀態(tài)�����,基于所述計(jì)算機(jī)系統(tǒng)的正常狀態(tài)建立其正常模型及與該正常模型對(duì)應(yīng)的自體數(shù)據(jù)庫(kù)���,該自體數(shù)據(jù)庫(kù)存儲(chǔ)所述計(jì)算機(jī)系統(tǒng)中所有處于正常狀態(tài)的功能組件的時(shí)空屬性,包括最后修改時(shí)間和絕對(duì)路徑名�����;所述人工免疫系統(tǒng)包括固有免疫計(jì)算層����,用于根據(jù)所述正常模型和自體數(shù)據(jù)庫(kù)檢測(cè)自體和異體,并識(shí)別已知的異體�;具有學(xué)習(xí)能力的適應(yīng)性免疫計(jì)算層,包括神經(jīng)網(wǎng)絡(luò)或示例學(xué)習(xí)機(jī)制����,用于識(shí)別、學(xué)習(xí)和記憶未知的異體�����,消除所有異體,并修復(fù)受損的所述計(jì)算機(jī)系統(tǒng)����;異體數(shù)據(jù)庫(kù),用于存儲(chǔ)已知異體的特征信息���,固有免疫計(jì)算層和適應(yīng)性免疫計(jì)算層都使用異體數(shù)據(jù)庫(kù);所述人工免疫系統(tǒng)的特征在于所述計(jì)算機(jī)系統(tǒng)的正常模型唯一確定系統(tǒng)的正常狀態(tài)���,通過(guò)正常模型及自體數(shù)據(jù)庫(kù)進(jìn)行自體檢測(cè)和異體檢測(cè)���,達(dá)到100%檢測(cè)率。
2.根據(jù)權(quán)利要求1所述的人工免疫系統(tǒng)����,其特征在于所述固有免疫計(jì)算層包括自體數(shù)據(jù)庫(kù)、基于自體數(shù)據(jù)庫(kù)查詢(xún)的自體/異體檢測(cè)器���、異體數(shù)據(jù)庫(kù)和基于異體數(shù)據(jù)庫(kù)查詢(xún)的已知異體識(shí)別器�����。
3.根據(jù)權(quán)利要求1或2所述的人工免疫系統(tǒng)�����,其特征在于所述適應(yīng)性免疫計(jì)算層還包括一個(gè)未知異體記憶器����,用于將已學(xué)習(xí)的未知異體特征存儲(chǔ)到異體數(shù)據(jù)庫(kù)中,使之成為新的已知異體�。
4.根據(jù)權(quán)利要求1或2所述的人工免疫系統(tǒng),其特征在于所述適應(yīng)性免疫計(jì)算層還包括一個(gè)異體消除器���,用于消除已識(shí)別的異常文件�、異常進(jìn)程�����、異常郵件等異體�。
5.根據(jù)權(quán)利要求1或2所述的人工免疫系統(tǒng),其特征在于所述適應(yīng)性免疫計(jì)算層還包括一個(gè)異體區(qū)分器�,基于所述正常模型及自體數(shù)據(jù)庫(kù)將所述計(jì)算機(jī)系統(tǒng)中處于異常狀態(tài)的功能組件與其它外來(lái)異體區(qū)分開(kāi)來(lái),并將這些異常功能組件的絕對(duì)路徑名存儲(chǔ)到臨時(shí)數(shù)據(jù)庫(kù)中�����,以供系統(tǒng)恢復(fù)時(shí)調(diào)用����。
6.根據(jù)權(quán)利要求1或2所述的人工免疫系統(tǒng)�����,其特征在于所述適應(yīng)性免疫計(jì)算層還包括一個(gè)系統(tǒng)恢復(fù)器����,基于所述正常模型和所述臨時(shí)數(shù)據(jù)庫(kù)根據(jù)異體的識(shí)別信息修復(fù)系統(tǒng)的受損部分�。
7.根據(jù)權(quán)利要求1或2所述的人工免疫系統(tǒng)�����,其特征在于還設(shè)置有一個(gè)并行免疫計(jì)算層��,用來(lái)將單個(gè)計(jì)算機(jī)上的計(jì)算量分配到多個(gè)計(jì)算機(jī)上��,為固有免疫計(jì)算層和適應(yīng)性免疫計(jì)算層提供強(qiáng)大的計(jì)算基礎(chǔ)組織��,提高整個(gè)人工免疫系統(tǒng)的計(jì)算效率和可靠性�����。
8.根據(jù)權(quán)利要求1或2所述的人工免疫系統(tǒng)�����,其特征在于設(shè)置有基于Java的網(wǎng)絡(luò)接口和可視化數(shù)據(jù)顯示部分,用于Web信息系統(tǒng)的安全保護(hù)��。
全文摘要
一種基于系統(tǒng)正常模型的人工免疫系統(tǒng)��,該系統(tǒng)可用硬件和軟件實(shí)現(xiàn)����,該系統(tǒng)由固有免疫計(jì)算層、適應(yīng)性免疫計(jì)算層和并行免疫計(jì)算層構(gòu)成�。固有免疫計(jì)算層利用系統(tǒng)的正常模型建立自體數(shù)據(jù)庫(kù),根據(jù)自體數(shù)據(jù)庫(kù)的檢索檢測(cè)全部自體�����。該正常模型由正常系統(tǒng)中所有正常組件的時(shí)空屬性唯一確定��。適應(yīng)性免疫計(jì)算層利用神經(jīng)網(wǎng)絡(luò)或示例學(xué)習(xí)機(jī)制識(shí)別未知異體���,并將識(shí)別結(jié)果記憶到異體數(shù)據(jù)庫(kù)中�����,以供固有免疫計(jì)算層識(shí)別已知異體����。適應(yīng)性免疫計(jì)算層還消除異體和修復(fù)系統(tǒng)。并行免疫計(jì)算層提供并行計(jì)算機(jī)資源���,在負(fù)載過(guò)大時(shí)平衡各個(gè)計(jì)算機(jī)上的負(fù)載��。
文檔編號(hào)G06F11/00GK1866267SQ20061009297
公開(kāi)日2006年11月22日 申請(qǐng)日期2006年6月14日 優(yōu)先權(quán)日2006年6月14日
發(fā)明者龔濤 申請(qǐng)人:龔濤