专利名称:基于计算机免疫的信息系统危险感知方法及系统的制作方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种基于计算机免疫的信息系统的危险 感知方法及系统。
背景技术:
随着计算机和互联网技术的发展,信息系统在国民生产和日常生活中起到越来越 重要的作用。信息系统的安全状况对系统的正常工作和稳定运行至关重要。因此,捕捉信 息系统中可能出现的危险,发现信息系统中潜在的安全隐患,是信息系统建设的一个重要 环节,也是评估信息系统安全性和可靠性的重要依据。目前的信息系统均面临着“内忧”和“外患”两种形式的威胁。对外而言,由于互联网的普及和发展,信息的共享程度越来越高,网络上各种形式 的病毒、木马、蠕虫等恶意软件泛滥,严重威胁着信息系统的安全。对内而言,信息系统的功能越来越丰富,集成化程度越来越高,运行环境也日趋复 杂。复杂性给信息系统带来了不稳定因素,也导致了系统运行过程中容易出现失效甚至是 故障,带来难以想象的后果。同时,由于信息系统功能的不断完善和发展,其逐渐演变成具有动态性、开放性和 智能性的复杂巨型系统。要对这些巨型系统的安全状态进行分析,所面对的问题空间显然 是海量的。目前的传统安全诊断和故障检测方法都是基于特征码、推理规则等手段进行安 全状态的分析和判断。该类方法的共同特点是依赖于先验知识。由此导致该类静态分析 方法缺乏主动性和智能性,难以应对未知的危险。计算机免疫学是一门借鉴人体免疫系统的工作原理和机制,能够自适应地解决计 算机领域中复杂问题的新兴的学科。免疫学中的危险理论认为免疫系统的功能是以机体 自身的健康状态为中心,保护机体不受自身病变和外界入侵所带来的有害物质的影响,捕 捉威胁生命系统健康的危险因素,以实现生命体征平衡、和谐、健康的发展。2002年英国诺 丁汉大学的计算机免疫研究小组将生物免疫学中的危险理论引入计算机免疫学的研究中, 为计算机免疫学的发展提供了一条新的思路。危险理论着重关注导致系统异常或“病变”的 潜在危险因素,即危险信号。该方法在一定程度上解决了抗原空间过大的问题,将分析的抗 原空间缩小到一个合适的范围,提高了问题的解决效率。但在危险理论的实际应用过程中, 在危险信号的定义和捕获问题上存在人工依赖性强、自适应性差和缺乏普适性等缺点。
发明内容
针对上述存在的技术问题,本发明的目的是提供一种基于计算机免疫的信息系统 危险感知方法及系统,重点关注信息系统的开放性和抗原空间的海量性问题,从信息系统 各种指标的变化中感知信息系统可能存在的危险,并将其定义为危险信号。该方法解决了 目前危险信号获取和抗原提呈过程中存在的局限性问题和人工依赖问题,实现了危险信号 的融合,能有效地评估信息系统的健康状态。
为达到上述目的,本发明采用如下的技术方案一种基于计算机免疫的信息系统的危险感知方法①对信息系统中各种资源的使用情况进行实时采集,获取变化分析和危险发现所 需的数据;②利用数值微分方法建立变化的表示机制,从各种资源的使用情况中提取变化, 并以此作为危险分析的对象;③模拟生物中的免疫机理,构建人工抗原提呈细胞群体,实现危险抗原的提呈,从 而对信息系统运行的安全状况做出综合判定。所述步骤②以实时采集到的数据为分析基础,构建数字微分分析器以完成变化的 分析与捕获,具体包括以下子步骤将采集到的各种资源指标作为分析对象,输入到数字微分器中,以时间为单位确 定变化比较窗口,以滑动窗口的方式将采集到的数据进行前后对比;利用各种变化比较方法,计算比较样本点之间的差值,超过预先设定的变化阈值 的指标即认为产生变化;微分分析器综合各种距离分析公式,以实现变化的微分描述,并将这种变化作为 可能的危险信号,供人工抗原提呈细胞进行群体分析,实现抗原的提呈。所述步骤③的综合判定过程进一步包括以下子步骤随机生成第一代人工APC群体,该APC群体上随机装配多个TLR受体;根据TLR受体与抗原的结合程度计算TLR的适应值,综合APC上多个TLR受体的 适应值,计算得到APC适应值;若计算得到的APC适应值大于激活阈值则APC细胞被激活,产生共刺激信号;若人工APC群体中的共刺激信号总数大于共刺激阈值,则判定系统状态有危险发生。所述微分分析器采用的距离分析公式包括欧氏距离公式、绝对距离公式、夹角余 弦公式、相关系数公式。一种基于计算机免疫的信息系统的危险感知系统实时状态采集器模块,用于对信息系统中的常用指标进行周期性的采集,所采集 的指标具有任意性和普遍性,采集的结果送入到数字微分分析器模块,作为对系统中各种 变化和异常进行分析的依据;数字微分分析器模块,利用差分近似微分方法描述变化,使用目标对象距离指数 或相似性指数来比较不同时间段内检测对象的特征差异,根据给定的阈值判断目标对象是 否发生变化;人工抗原提呈细胞融合分析模块,对数字微分分析器模块中分析获得的各种资源 变化情况进行融合,以实现整个信息系统安全状况的综合判断。所述实时状态采集模块包括扫描型采集器,每隔一段时间主动地扫描采集对象 的信息,获取采集数据,该采集器主要针对变化快,信息量较小的指标;触发型采集器,仅当采集对象发生变化时才获取这些变化的数据,该采集器主要 针对变化慢,信息量大的指标。所述数字微分分析器模块中利用差分近似微分方法描述变化,分别采用向前差分、向后差分和中心差分的方法。所述人工抗原提呈细胞融合分析模块中,人工抗原提呈细胞APC通过表面TLR受 体来进行各种抗原的融合,通过APC群体的综合判断来决定信息系统的安全状况,其中人 工抗原提呈细胞APC的定义包括APC编号、APC适应值、APC标志位;表面TLR受体的定义 包括TLR编号、TLR名称、TLR阈值、TLR权重。所述人工抗原提呈细胞融合分析模块中,采用字符串精确匹配的方式实现TLR受 体与抗原的匹配。本发明具有以下优点和积极效果1)通过在信息系统中建立多种采集器,对信息系统的多种性能指标进行较全面的 实时采集与汇总,为信息系统的变化感知提供数据基础;2)认为变化是信息系统产生危险的潜在因素,利用微分学的方法进行变化的描 述和发现,缩小了问题空间,提高了分析效率,解决了目前危险信号定义依赖专家经验的问 题,实现了危险的自适应感知;3)模拟人体免疫系统中抗原提呈细胞的功能,实现各种危险信号的关联和融合, 从整体上对系统的安全状况进行综合判定,降低误报发生的可能性。
图1是本发明提供的基于计算机免疫的信息系统的危险感知系统的功能结构图。图2是本发明中资源采集器模块的体系结构图。图3是本发明中资源采集器的功能模块图。图4是本发明中人工APC结构图。
图5是本发明中人工APC激活流程图。
具体实施例方式本发明提供一种基于计算机免疫的信息系统危险感知方法,其理论基础为变化是危险发生的征兆和外在表现,无论是来自内部的或外部的危险都表现为某 些系统行为或指标的变化。本发明将计算机的各种资源使用情况作为函数,以数学中描述 函数变化规律的微分学为工具,动态、自适应地捕捉系统各种指标的变化,描述变化之间关 系,并以此作为危险进行信息系统安全状况的分析。本发明提供的基于计算机免疫的信息系统的危险感知方法,利用数字微分方法发 现资源运行过程中的异常变化,并通过对这些变化的筛选来捕获危险信号。同时,模拟人体 免疫系统中的抗原提呈细胞(APC),实现危险信号的接收和融合,具体来说包括以下步骤步骤1 对信息系统中各种资源的使用情况进行实时采集,获取变化分析和危险 发现所需的数据;信息系统的正常运行有其固有的特征,对内表现为各种模块、函数之间的调用关 系,对外表现为各种系统资源CPU、内存、网络流量等的使用情况。系统的内部“病变”或受 到外部攻击都不可避免地带来内部函数关系的异常变化,其外在表现为系统资源使用情况 的微小改变。通过对这些系统资源的实时采集,捕获各种变化的蛛丝马迹,是进行系统健康 诊断的基础。
6
本发明对系统中的多种资源,如下表系统指标采集表所示的使用情况进行实时地 采集。根据采集指标的特点,本发明构造的采集器分为两类扫描型和触发型。扫描型采集器的特点是,采集器每隔一段时间主动地扫描采集对象的信息,获取 采集数据,这类采集器主要针对如CPU、内存等变化快,信息量较小的指标;触发型采集器 的特点是,仅当采集对象发生变化时才获取这些变化的数据,这类采集器主要针对注册表 等变化慢,信息量大的指标。表1 系统指标采集表
权利要求
一种基于计算机免疫的信息系统危险感知方法,其特征在于,包括以下步骤①对信息系统中各种资源的使用情况进行实时采集,获取变化分析和危险发现所需的数据;②利用数值微分方法建立变化的表示机制,从各种资源的使用情况中提取变化,并以此作为危险分析的对象;③模拟生物中的免疫机理,构建人工抗原提呈细胞群体,实现危险抗原的提呈,从而对信息系统运行的安全状况做出综合判定。
2.根据权利要求1所述的基于计算机免疫的信息系统的危险感知方法,其特征在于 所述步骤②以实时采集到的数据为分析基础,构建数字微分分析器以完成变化的分析与捕获,具体包括以下子步骤将采集到的各种资源指标作为分析对象,输入到数字微分器中,以时间为单位确定变 化比较窗口,以滑动窗口的方式将采集到的数据进行前后对比;利用各种变化比较方法,计算比较样本点之间的差值,超过预先设定的变化阈值的指 标即认为产生变化;微分分析器综合各种距离分析公式,以实现变化的微分描述,并将这种变化作为可能 的危险信号,供人工抗原提呈细胞进行群体分析,实现抗原的提呈。
3.根据权利要求1所述的基于计算机免疫的信息系统危险感知方法,其特征在于 所述步骤③的综合判定过程进一步包括以下子步骤随机生成第一代人工APC群体,该APC群体上随机装配多个TLR受体; 根据TLR受体与抗原的结合程度计算TLR的适应值,综合APC上多个TLR受体的适应 值,计算得到APC适应值;若计算得到的APC适应值大于激活阈值则APC细胞被激活,产生共刺激信号; 若人工APC群体中的共刺激信号总数大于共刺激阈值,则判定系统状态有危险发生。
4.根据权利要求2所述的基于计算机免疫的信息系统危险感知方法,其特征在于 所述微分分析器采用的距离分析公式包括欧氏距离公式、绝对距离公式、夹角余弦公式、相关系数公式。
5.一种基于计算机免疫的信息系统危险感知系统,其特征在于,包括实时状态采集器模块,用于对信息系统中的常用指标进行周期性的采集,所采集的指 标具有任意性和普遍性,采集的结果送入到数字微分分析器模块,作为对系统中各种变化 和异常进行分析的依据;数字微分分析器模块,利用差分近似微分方法描述变化,使用目标对象距离指数或相 似性指数来比较不同时间段内检测对象的特征差异,根据给定的阈值判断目标对象是否发 生变化;人工抗原提呈细胞融合分析模块,对数字微分分析器模块中分析获得的各种资源变化 情况进行融合,以实现整个信息系统安全状况的综合判断。
6.根据权利要求5所述的基于计算机免疫的信息系统危险感知系统,其特征在于,所 述实时状态采集模块包括扫描型采集器,每隔一段时间主动地扫描采集对象的信息,获取采集数据,该采集器主 要针对变化快,信息量较小的指标;触发型采集器,仅当采集对象发生变化时才获取这些变化的数据,该采集器主要针对 变化慢,信息量大的指标。
7.根据权利要求5所述的基于计算机免疫的信息系统危险感知系统,其特征在于,所 述数字微分分析器模块中利用差分近似微分方法描述变化,分别采用向前差分、向后差分 和中心差分的方法。
8.根据权利要求5所述的基于计算机免疫的信息系统危险感知系统,其特征在于,所 述人工抗原提呈细胞融合分析模块中人工抗原提呈细胞APC通过表面TLR受体来进行各种抗原的融合,通过APC群体的综 合判断来决定信息系统的安全状况,其中人工抗原提呈细胞APC的定义包括APC编号、APC 适应值、APC标志位;表面TLR受体的定义包括TLR编号、TLR名称、TLR阈值、TLR权重。
9.根据权利要求5所述的基于计算机免疫的信息系统危险感知系统,其特征在于,所 述人工抗原提呈细胞融合分析模块中,采用字符串精确匹配的方式实现TLR受体与抗原的 匹配。
全文摘要
本发明涉及信息安全技术领域,尤其涉及一种基于计算机免疫的信息系统危险感知方法及系统。本发明认为信息系统中的各种细微变化是危险产生的根源,借鉴微分学的方法,通过对变化规律的分析,发现信息系统中的潜在危险并将其定义为危险信号;结合免疫学中的危险理论原理,实现危险的自适应性捕获;模拟生物体中抗原提呈细胞的功能,构造了人工抗原提呈细胞集合,实现了危险信号的融合,最终为信息系统安全状态的综合分析提供依据。本发明的实现原理亦可用于软硬件的故障诊断、异常发现等领域,具有广泛的应用前景。
文档编号G06F21/00GK101950334SQ20101025121
公开日2011年1月19日 申请日期2010年8月5日 优先权日2010年8月5日
发明者傅军, 杨超, 杨鹤, 梁意文, 艾勇, 董红斌, 谭成予 申请人:武汉大学