專利名稱:基于計算機免疫的信息系統(tǒng)危險感知方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及信息安全技術領域����,尤其涉及一種基于計算機免疫的信息系統(tǒng)的危險 感知方法及系統(tǒng)�����。
背景技術:
隨著計算機和互聯(lián)網(wǎng)技術的發(fā)展�,信息系統(tǒng)在國民生產(chǎn)和日常生活中起到越來越 重要的作用。信息系統(tǒng)的安全狀況對系統(tǒng)的正常工作和穩(wěn)定運行至關重要��。因此����,捕捉信 息系統(tǒng)中可能出現(xiàn)的危險,發(fā)現(xiàn)信息系統(tǒng)中潛在的安全隱患���,是信息系統(tǒng)建設的一個重要 環(huán)節(jié)���,也是評估信息系統(tǒng)安全性和可靠性的重要依據(jù)。目前的信息系統(tǒng)均面臨著“內(nèi)憂”和“外患”兩種形式的威脅��。對外而言���,由于互聯(lián)網(wǎng)的普及和發(fā)展���,信息的共享程度越來越高,網(wǎng)絡上各種形式 的病毒��、木馬��、蠕蟲等惡意軟件泛濫�����,嚴重威脅著信息系統(tǒng)的安全����。對內(nèi)而言��,信息系統(tǒng)的功能越來越豐富���,集成化程度越來越高,運行環(huán)境也日趨復 雜�����。復雜性給信息系統(tǒng)帶來了不穩(wěn)定因素����,也導致了系統(tǒng)運行過程中容易出現(xiàn)失效甚至是 故障,帶來難以想象的后果����。同時,由于信息系統(tǒng)功能的不斷完善和發(fā)展�,其逐漸演變成具有動態(tài)性、開放性和 智能性的復雜巨型系統(tǒng)�����。要對這些巨型系統(tǒng)的安全狀態(tài)進行分析����,所面對的問題空間顯然 是海量的��。目前的傳統(tǒng)安全診斷和故障檢測方法都是基于特征碼、推理規(guī)則等手段進行安 全狀態(tài)的分析和判斷�。該類方法的共同特點是依賴于先驗知識。由此導致該類靜態(tài)分析 方法缺乏主動性和智能性�����,難以應對未知的危險�����。計算機免疫學是一門借鑒人體免疫系統(tǒng)的工作原理和機制�����,能夠自適應地解決計 算機領域中復雜問題的新興的學科���。免疫學中的危險理論認為免疫系統(tǒng)的功能是以機體 自身的健康狀態(tài)為中心�����,保護機體不受自身病變和外界入侵所帶來的有害物質的影響�����,捕 捉威脅生命系統(tǒng)健康的危險因素��,以實現(xiàn)生命體征平衡���、和諧���、健康的發(fā)展。2002年英國諾 丁漢大學的計算機免疫研究小組將生物免疫學中的危險理論引入計算機免疫學的研究中�����, 為計算機免疫學的發(fā)展提供了一條新的思路�。危險理論著重關注導致系統(tǒng)異常或“病變”的 潛在危險因素���,即危險信號����。該方法在一定程度上解決了抗原空間過大的問題��,將分析的抗 原空間縮小到一個合適的范圍����,提高了問題的解決效率�。但在危險理論的實際應用過程中����, 在危險信號的定義和捕獲問題上存在人工依賴性強、自適應性差和缺乏普適性等缺點�����。
發(fā)明內(nèi)容
針對上述存在的技術問題��,本發(fā)明的目的是提供一種基于計算機免疫的信息系統(tǒng) 危險感知方法及系統(tǒng)�,重點關注信息系統(tǒng)的開放性和抗原空間的海量性問題����,從信息系統(tǒng) 各種指標的變化中感知信息系統(tǒng)可能存在的危險,并將其定義為危險信號�����。該方法解決了 目前危險信號獲取和抗原提呈過程中存在的局限性問題和人工依賴問題���,實現(xiàn)了危險信號 的融合��,能有效地評估信息系統(tǒng)的健康狀態(tài)��。
為達到上述目的�����,本發(fā)明采用如下的技術方案一種基于計算機免疫的信息系統(tǒng)的危險感知方法①對信息系統(tǒng)中各種資源的使用情況進行實時采集�,獲取變化分析和危險發(fā)現(xiàn)所 需的數(shù)據(jù);②利用數(shù)值微分方法建立變化的表示機制���,從各種資源的使用情況中提取變化�����, 并以此作為危險分析的對象��;③模擬生物中的免疫機理��,構建人工抗原提呈細胞群體����,實現(xiàn)危險抗原的提呈��,從 而對信息系統(tǒng)運行的安全狀況做出綜合判定�。所述步驟②以實時采集到的數(shù)據(jù)為分析基礎����,構建數(shù)字微分分析器以完成變化的 分析與捕獲�,具體包括以下子步驟將采集到的各種資源指標作為分析對象,輸入到數(shù)字微分器中���,以時間為單位確 定變化比較窗口�����,以滑動窗口的方式將采集到的數(shù)據(jù)進行前后對比�;利用各種變化比較方法��,計算比較樣本點之間的差值����,超過預先設定的變化閾值 的指標即認為產(chǎn)生變化�����;微分分析器綜合各種距離分析公式����,以實現(xiàn)變化的微分描述�,并將這種變化作為 可能的危險信號��,供人工抗原提呈細胞進行群體分析�����,實現(xiàn)抗原的提呈���。所述步驟③的綜合判定過程進一步包括以下子步驟隨機生成第一代人工APC群體�,該APC群體上隨機裝配多個TLR受體�;根據(jù)TLR受體與抗原的結合程度計算TLR的適應值,綜合APC上多個TLR受體的 適應值��,計算得到APC適應值�;若計算得到的APC適應值大于激活閾值則APC細胞被激活,產(chǎn)生共刺激信號�;若人工APC群體中的共刺激信號總數(shù)大于共刺激閾值,則判定系統(tǒng)狀態(tài)有危險發(fā)生����。所述微分分析器采用的距離分析公式包括歐氏距離公式、絕對距離公式�、夾角余 弦公式、相關系數(shù)公式。一種基于計算機免疫的信息系統(tǒng)的危險感知系統(tǒng)實時狀態(tài)采集器模塊�,用于對信息系統(tǒng)中的常用指標進行周期性的采集,所采集 的指標具有任意性和普遍性����,采集的結果送入到數(shù)字微分分析器模塊,作為對系統(tǒng)中各種 變化和異常進行分析的依據(jù)��;數(shù)字微分分析器模塊�,利用差分近似微分方法描述變化,使用目標對象距離指數(shù) 或相似性指數(shù)來比較不同時間段內(nèi)檢測對象的特征差異����,根據(jù)給定的閾值判斷目標對象是 否發(fā)生變化;人工抗原提呈細胞融合分析模塊����,對數(shù)字微分分析器模塊中分析獲得的各種資源 變化情況進行融合���,以實現(xiàn)整個信息系統(tǒng)安全狀況的綜合判斷�����。所述實時狀態(tài)采集模塊包括掃描型采集器�,每隔一段時間主動地掃描采集對象 的信息,獲取采集數(shù)據(jù)���,該采集器主要針對變化快�,信息量較小的指標��;觸發(fā)型采集器����,僅當采集對象發(fā)生變化時才獲取這些變化的數(shù)據(jù),該采集器主要 針對變化慢�,信息量大的指標。所述數(shù)字微分分析器模塊中利用差分近似微分方法描述變化���,分別采用向前差分�、向后差分和中心差分的方法����。所述人工抗原提呈細胞融合分析模塊中,人工抗原提呈細胞APC通過表面TLR受 體來進行各種抗原的融合�,通過APC群體的綜合判斷來決定信息系統(tǒng)的安全狀況,其中人 工抗原提呈細胞APC的定義包括APC編號�����、APC適應值、APC標志位����;表面TLR受體的定義 包括TLR編號、TLR名稱���、TLR閾值�、TLR權重����。所述人工抗原提呈細胞融合分析模塊中,采用字符串精確匹配的方式實現(xiàn)TLR受 體與抗原的匹配���。本發(fā)明具有以下優(yōu)點和積極效果1)通過在信息系統(tǒng)中建立多種采集器��,對信息系統(tǒng)的多種性能指標進行較全面的 實時采集與匯總����,為信息系統(tǒng)的變化感知提供數(shù)據(jù)基礎��;2)認為變化是信息系統(tǒng)產(chǎn)生危險的潛在因素����,利用微分學的方法進行變化的描 述和發(fā)現(xiàn),縮小了問題空間���,提高了分析效率���,解決了目前危險信號定義依賴專家經(jīng)驗的問 題,實現(xiàn)了危險的自適應感知�;3)模擬人體免疫系統(tǒng)中抗原提呈細胞的功能,實現(xiàn)各種危險信號的關聯(lián)和融合�, 從整體上對系統(tǒng)的安全狀況進行綜合判定,降低誤報發(fā)生的可能性�����。
圖1是本發(fā)明提供的基于計算機免疫的信息系統(tǒng)的危險感知系統(tǒng)的功能結構圖��。圖2是本發(fā)明中資源采集器模塊的體系結構圖���。圖3是本發(fā)明中資源采集器的功能模塊圖�����。圖4是本發(fā)明中人工APC結構圖�����。
圖5是本發(fā)明中人工APC激活流程圖�。
具體實施例方式本發(fā)明提供一種基于計算機免疫的信息系統(tǒng)危險感知方法,其理論基礎為變化是危險發(fā)生的征兆和外在表現(xiàn)�����,無論是來自內(nèi)部的或外部的危險都表現(xiàn)為某 些系統(tǒng)行為或指標的變化���。本發(fā)明將計算機的各種資源使用情況作為函數(shù)����,以數(shù)學中描述 函數(shù)變化規(guī)律的微分學為工具����,動態(tài)、自適應地捕捉系統(tǒng)各種指標的變化�����,描述變化之間關 系�����,并以此作為危險進行信息系統(tǒng)安全狀況的分析���。本發(fā)明提供的基于計算機免疫的信息系統(tǒng)的危險感知方法����,利用數(shù)字微分方法發(fā) 現(xiàn)資源運行過程中的異常變化�����,并通過對這些變化的篩選來捕獲危險信號���。同時���,模擬人體 免疫系統(tǒng)中的抗原提呈細胞(APC),實現(xiàn)危險信號的接收和融合�����,具體來說包括以下步驟步驟1 對信息系統(tǒng)中各種資源的使用情況進行實時采集��,獲取變化分析和危險 發(fā)現(xiàn)所需的數(shù)據(jù)����;信息系統(tǒng)的正常運行有其固有的特征,對內(nèi)表現(xiàn)為各種模塊�����、函數(shù)之間的調用關 系,對外表現(xiàn)為各種系統(tǒng)資源CPU���、內(nèi)存����、網(wǎng)絡流量等的使用情況�。系統(tǒng)的內(nèi)部“病變”或受 到外部攻擊都不可避免地帶來內(nèi)部函數(shù)關系的異常變化,其外在表現(xiàn)為系統(tǒng)資源使用情況 的微小改變�����。通過對這些系統(tǒng)資源的實時采集���,捕獲各種變化的蛛絲馬跡����,是進行系統(tǒng)健康 診斷的基礎�����。
6
本發(fā)明對系統(tǒng)中的多種資源,如下表系統(tǒng)指標采集表所示的使用情況進行實時地 采集�。根據(jù)采集指標的特點,本發(fā)明構造的采集器分為兩類掃描型和觸發(fā)型����。掃描型采集器的特點是�����,采集器每隔一段時間主動地掃描采集對象的信息��,獲取 采集數(shù)據(jù)�,這類采集器主要針對如CPU、內(nèi)存等變化快����,信息量較小的指標;觸發(fā)型采集器 的特點是�����,僅當采集對象發(fā)生變化時才獲取這些變化的數(shù)據(jù)����,這類采集器主要針對注冊表 等變化慢,信息量大的指標���。表1 系統(tǒng)指標采集表
權利要求
一種基于計算機免疫的信息系統(tǒng)危險感知方法�,其特征在于,包括以下步驟①對信息系統(tǒng)中各種資源的使用情況進行實時采集���,獲取變化分析和危險發(fā)現(xiàn)所需的數(shù)據(jù)����;②利用數(shù)值微分方法建立變化的表示機制���,從各種資源的使用情況中提取變化��,并以此作為危險分析的對象��;③模擬生物中的免疫機理����,構建人工抗原提呈細胞群體��,實現(xiàn)危險抗原的提呈���,從而對信息系統(tǒng)運行的安全狀況做出綜合判定�。
2.根據(jù)權利要求1所述的基于計算機免疫的信息系統(tǒng)的危險感知方法,其特征在于 所述步驟②以實時采集到的數(shù)據(jù)為分析基礎����,構建數(shù)字微分分析器以完成變化的分析與捕獲,具體包括以下子步驟將采集到的各種資源指標作為分析對象����,輸入到數(shù)字微分器中,以時間為單位確定變 化比較窗口��,以滑動窗口的方式將采集到的數(shù)據(jù)進行前后對比���;利用各種變化比較方法,計算比較樣本點之間的差值�,超過預先設定的變化閾值的指 標即認為產(chǎn)生變化;微分分析器綜合各種距離分析公式�,以實現(xiàn)變化的微分描述,并將這種變化作為可能 的危險信號�,供人工抗原提呈細胞進行群體分析,實現(xiàn)抗原的提呈����。
3.根據(jù)權利要求1所述的基于計算機免疫的信息系統(tǒng)危險感知方法,其特征在于 所述步驟③的綜合判定過程進一步包括以下子步驟隨機生成第一代人工APC群體���,該APC群體上隨機裝配多個TLR受體�; 根據(jù)TLR受體與抗原的結合程度計算TLR的適應值,綜合APC上多個TLR受體的適應 值��,計算得到APC適應值���;若計算得到的APC適應值大于激活閾值則APC細胞被激活�����,產(chǎn)生共刺激信號�; 若人工APC群體中的共刺激信號總數(shù)大于共刺激閾值����,則判定系統(tǒng)狀態(tài)有危險發(fā)生。
4.根據(jù)權利要求2所述的基于計算機免疫的信息系統(tǒng)危險感知方法��,其特征在于 所述微分分析器采用的距離分析公式包括歐氏距離公式��、絕對距離公式����、夾角余弦公式、相關系數(shù)公式����。
5.一種基于計算機免疫的信息系統(tǒng)危險感知系統(tǒng)��,其特征在于����,包括實時狀態(tài)采集器模塊�����,用于對信息系統(tǒng)中的常用指標進行周期性的采集��,所采集的指 標具有任意性和普遍性�����,采集的結果送入到數(shù)字微分分析器模塊���,作為對系統(tǒng)中各種變化 和異常進行分析的依據(jù);數(shù)字微分分析器模塊�����,利用差分近似微分方法描述變化�����,使用目標對象距離指數(shù)或相 似性指數(shù)來比較不同時間段內(nèi)檢測對象的特征差異,根據(jù)給定的閾值判斷目標對象是否發(fā) 生變化�;人工抗原提呈細胞融合分析模塊,對數(shù)字微分分析器模塊中分析獲得的各種資源變化 情況進行融合�����,以實現(xiàn)整個信息系統(tǒng)安全狀況的綜合判斷����。
6.根據(jù)權利要求5所述的基于計算機免疫的信息系統(tǒng)危險感知系統(tǒng),其特征在于��,所 述實時狀態(tài)采集模塊包括掃描型采集器����,每隔一段時間主動地掃描采集對象的信息,獲取采集數(shù)據(jù)�,該采集器主 要針對變化快,信息量較小的指標����;觸發(fā)型采集器,僅當采集對象發(fā)生變化時才獲取這些變化的數(shù)據(jù)����,該采集器主要針對 變化慢�,信息量大的指標�。
7.根據(jù)權利要求5所述的基于計算機免疫的信息系統(tǒng)危險感知系統(tǒng),其特征在于�,所 述數(shù)字微分分析器模塊中利用差分近似微分方法描述變化,分別采用向前差分���、向后差分 和中心差分的方法���。
8.根據(jù)權利要求5所述的基于計算機免疫的信息系統(tǒng)危險感知系統(tǒng),其特征在于����,所 述人工抗原提呈細胞融合分析模塊中人工抗原提呈細胞APC通過表面TLR受體來進行各種抗原的融合,通過APC群體的綜 合判斷來決定信息系統(tǒng)的安全狀況�,其中人工抗原提呈細胞APC的定義包括APC編號、APC 適應值�、APC標志位�;表面TLR受體的定義包括TLR編號、TLR名稱�����、TLR閾值、TLR權重����。
9.根據(jù)權利要求5所述的基于計算機免疫的信息系統(tǒng)危險感知系統(tǒng),其特征在于���,所 述人工抗原提呈細胞融合分析模塊中����,采用字符串精確匹配的方式實現(xiàn)TLR受體與抗原的 匹配�����。
全文摘要
本發(fā)明涉及信息安全技術領域�,尤其涉及一種基于計算機免疫的信息系統(tǒng)危險感知方法及系統(tǒng)。本發(fā)明認為信息系統(tǒng)中的各種細微變化是危險產(chǎn)生的根源����,借鑒微分學的方法,通過對變化規(guī)律的分析�����,發(fā)現(xiàn)信息系統(tǒng)中的潛在危險并將其定義為危險信號��;結合免疫學中的危險理論原理,實現(xiàn)危險的自適應性捕獲���;模擬生物體中抗原提呈細胞的功能�����,構造了人工抗原提呈細胞集合��,實現(xiàn)了危險信號的融合�,最終為信息系統(tǒng)安全狀態(tài)的綜合分析提供依據(jù)���。本發(fā)明的實現(xiàn)原理亦可用于軟硬件的故障診斷�����、異常發(fā)現(xiàn)等領域�����,具有廣泛的應用前景����。
文檔編號G06F21/00GK101950334SQ20101025121
公開日2011年1月19日 申請日期2010年8月5日 優(yōu)先權日2010年8月5日
發(fā)明者傅軍, 楊超, 楊鶴, 梁意文, 艾勇, 董紅斌, 譚成予 申請人:武漢大學