一种基于生物免疫的主动防御系统法及方法与流程

本发明涉及网络安全技术领域，特别是涉及一种面向云-端协同计算环境的基于生物免疫的主动防御系统法及方法。

背景技术：

计算机发展初期，出现单机计算机病毒等，一般采取安装单机杀病毒软件解决安全问题。随着网络的普及，出现了可以在网络中传播的蠕虫、木马等安全问题，可以安装具备云查杀的网络安全软件部分解决安全问题。当前，随着互联网、云计算、物联网、雾计算、边缘计算等新型网络计算模式的出现，网络应用愈加广泛，用户需求易变、环境异构、网络复杂，网络安全和性能问题更加突出。

目前解决网络安全问题的方法都存在如下问题：①只能防止已有的安全问题，如果出现新的系统漏洞或安全问题，需要等到安全软件、设备厂商推出解决方案，对软件或设备升级才能解决；②只能制止已经发生危害的安全行为，不能将潜伏在终端即将发生的安全隐患提前预警，提早解决；③终端面对安全问题多依靠自身的安装的安全软件解决，没有整合云端和终端的协同防御功能。

现有技术中，作者为任相花、由哈尔滨理工大学于2006年5月出版的硕士学位论文“一种基于生物免疫的入侵检测系统的研究与实现”提出了基于生物免疫的入侵检测系统，其由分布在不同节点的检测子集组成，结合导常检测与误用检测方法，用专家规则作为先天检测器检测一些已知的入侵，但它不能解决主动探知未知病毒和入侵；由《电子科技大学》于2012年出版的作者为陶旭“基于生物免疫的入侵检测方法研究”参考记忆细胞作用机制，设计一种基于生物免疫的信息检测方法，在常规入侵检测基础上，设计普通抗体、有效抗体和记忆抗体三种检测器，能对实现部分异常检测，但有一定误检率。

技术实现要素：

为克服上述现有技术存在的不足，本发明之目的在于提供一种基于生物免疫的主动防御系统法及方法，以整合云和端的资源，采用类生物免疫机制，基于改进nsa否定选择算法，训练抗原数据，识别软件流、数据流的各种行为，进行主动、整体安全防御，包括自动中止已知风险和恶意攻击等，探知和防范未知风险安全风险，并对风险进行预警。

为达上述及其它目的，本发明提出一种基于生物免疫的主动防御系统，包括：

终端，设有通过云端训练好的已知的行为库，通过类生物免疫机理，对基于内部和外部数据产生的行为进行本地检测、实时监控，进行第一级主动防御，并将未识别出的未知行为发送至云端；

云端，设有通过云端训练好的已知的行为库，收集所述终端发送的未知行为，引入深度学习，对未知行为进行云检测以及行为预警，并将处理结果实时推送至终端，进行第二级防御。

优选地，所述终端对基于内部和外部数据产生的行为利用行为库进行识别，于识别出不安全行为时对其进行截断终止，于识别不出时则进一步进行深度学习，于深度学习后确定为不安全行为时，将该行为截断终止，而将经深度学习后仍识别不出的未知行为传递给所述云端。

优选地，所述云端对所述终端传送的未知行为利用其拥有的全部学习样本、已知的所有抗体，基于改进的nsa否定选择算法，进行深度学习，检测所述未知行为是否为不安全行为，并将检测结果返回给所述终端。

优选地，所述云端若检测出所述未知行为为不安全行为，则生成二进制字符特征码的抗体，更新云端行为库，并将该二进制字符特征码的抗体下发给每个终端，更新各终端的行为库。

优选地，所述终端于进行深度学习识别过程中，若发现新的不安全行为，除将此行为终止外，还生成二进制字符特征码的抗体，并及时上传到所述云端，以更新所述云端的行为库，并由所述云端下发给每个终端，更新各终端的行为库。

优选地，于所述行为库的训练过程中，所述云端基于改进的nsa否定选择算法，将目前收集到的各种安全、不安全行为经过半监督深度学习，对行为进行分类，建立所述行为库，同时所述云端将行为库的常用部分，通过更新的方式主动推送给所述终端。

为达到上述目的，本发明还提供一种基于生物免疫的主动防御方法，包括如下步骤：

步骤s1，终端获取待检测数据；

步骤s2，终端对该待检测数据进行免疫应答，对于能识别或经过深度学习可识别的不安全行为进行截断终止，将不能识别的未知行为递交给云端；

步骤s3，于接收到所述终端递交的未知行为后，所述云端利用其拥有的全部学习样本、已知的所有抗体，基于改进的nsa否定选择算法，进行深度学习，检测未知行为是否为不安全行为，并将结果返回给终端。

优选地，步骤s2进一步包括：

利用所述终端的行为库对待检测数据进行识别；

若基于待检测数据进入终端产生的是已知不安全行为，则终端立即截断终止该行为；

若基于待检测数据进入终端产生的是未知行为，则终端进行深度学习识别，若经深度学习识别后发现是不安全行为，将该行为截断终止，若经深度学习识别后仍不能识别是否为不安全行为，则将其该未知行为递交云端，进行云端深度学习识别。

优选地，当终端进行深度学习识别过程中，发现新的不安全行为，除将此行为终止外，还生成二进制字符特征码的抗体，更新终端行为库，并及时上传到云端，以更新所述云端的行为库，并由所述云端下发给每个终端，更新各终端的行为库。

优选地，当识别出不安全行为后，大量克隆与之相对应的抗体，以将所述不安全行为杀死并清除于体内。

与现有技术相比，本发明一种基于生物免疫的主动防御系统法及方法通过整合云和端的资源，采用类生物免疫机制，基于改进nsa否定选择算法，训练抗原数据，识别软件流、数据流的各种行为，进行主动、整体安全防御，包括自动中止已知风险和恶意攻击等，探知和防范未知风险安全风险，并对风险进行预警。

附图说明

图1为本发明一种基于生物免疫的主动防御系统的系统架构图；

图2为本发明一种基于生物免疫的主动防御方法的步骤流程图；

图3为本发明具体实施例中亲合力计算过程示意图；

图4为本发明具体实施例中生物免疫实现过程示意图。

具体实施方式

以下通过特定的具体实例并结合附图说明本发明的实施方式，本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用，本说明书中的各项细节亦可基于不同观点与应用，在不背离本发明的精神下进行各种修饰与变更。

图1为本发明一种基于生物免疫的主动防御系统的系统架构图。如图1所示，本发明一种基于生物免疫的主动防御系统，包括：

终端10，终端(简称“端”)设有通过云端训练好的已知的行为库，通过类生物免疫机理，对基于内部和外部数据产生的行为进行本地检测、实时监控，进行第一级主动防御，并将未识别出的未知行为发送至云端20，具体地说，终端有一般的深度学习功能，其具备部分学习样本、普通计算能力以及常用抗体，用于识别一般不安全行为；

云端(简称“云”)20拥有一个云资源池，拥有通过云端训练好的已知的行为库，收集终端(“端”)10发送的未知行为，引入深度学习，进行云检测以及行为预警，将新行为实时推送至终端(“端”)10，进行第二级防御，也就是说，云端有超强的深度学习功能，具备全部学习样本、最强计算能力以及全部抗体，可用于识别终端不能识别出来的不安全行为。

在本发明中，行为库在云端训练形成，具体地，云端20基于改进的nsa否定选择算法，将目前收集到的各种安全、不安全行为经过半监督深度学习，对行为进行分类，建立行为库，同时云端20会将行为库的常用部分(具体哪些为常用部分由云端决定)，通过更新的方式主动推送给终端10。具体地，云端20采用类生物免疫机理，基于改进nsa否定选择算法，基于半监督的深度学习模型训练各种安全、不安全行为，将基于内部和外部数据产生的行为进行分类，包括：正常安全行为(自体)和非正常安全行为(异体)。

图2为本发明一种基于生物免疫的主动防御方法的步骤流程图。如图2所示，本发明一种基于生物免疫的主动防御方法，包括如下步骤：

步骤s1，终端获取待检测数据。当外部行为数据进入终端时，终端获取待检测数据。

步骤s2，终端对该待检测数据进行免疫应答，对于能识别或经过深度学习可识别的不安全行为进行截断终止，将不能识别的未知行为递交给云端。在本发明具体实施例中，免疫应答过程包括：基于外部数据进入终端产生的安全和不安全行为、原本在体内正常运行但现在发作的不安全行为(统一称为抗原)出现后，免疫系统会对表示行为的二进制字符串(抗原分子)进行识别(免疫应答)。免疫应答包括非特异性答应和特异性应答，非特异性应答为遇到抗原后，能迅速起防止作用的固有性免疫应用；特异性应答为遇到抗原后，需要通过终端自己或上传到云端服务进行深度学习才能识别并采取阻断措施的适应性应答，其中特异性应答又分为初次免疫应答和非初次免疫应答，初次免疫应答指没有见过的不安全行为(抗原)，免疫系统进行识别的时间稍长，非初次免疫应答指对再次遇到的不安全行为(抗原)能够作出快速反应的应答。免疫系统把正常的行为视为“自体”，不作任何处理，把不安全的行为视为“异体”，将其截断、终止、隔离。具体地，步骤s2进一步包括：

利用行为库对待检测数据进行识别。具体地，对于待检测数据获得二进制字符串特征码，行为库中存储有很多抗原数据的二进制字符串特征码，将对待检测数据获得的二进制字符串特征码于行为库中进行匹配；

若基于待检测数据进入终端产生的是已知不安全行为，则终端立即截断、终止此行为，此为“非特异性应答”。也就是说，若匹配成功，则认为该待测数据为不安全行为，则终端需立即截断终止该行为；

若基于待检测数据进入终端产生的是未知行为，则终端进行深度学习识别，若经深度学习识别后发现是不安全行为，将此行为截断、终止，此为“特异性应答”。具体地，终端的深度学习识别过程如下：终端将该未知行为，与自身行为库中数据，放入半监督的深度学习模型；分析用户和实体行为(ueba)，基于改进的nsa否定选择算法，识别用户行为，如果该深度学习模型的输出值大于表示不安全行为的数值(可为预设阈值)，则认定为不安全行为，否则则将其作为初次免疫应答，并将此行为递交云端，进行云端深度学习识别。

较佳地，可于终端设置一个时间阈值，如果在此时间阈值内，终端经深度学习识别后发现是不安全行为，则将其作为非初次免疫应答，终端可对其作出快速反应的应答，即截断终止该行为；如果超过此时间阈值，终端经深度学习识别后仍不能识别是否为不安全行为，则将其作为初次免疫应答，并将此行为递交云端，进行云端深度学习识别。

优选地，当终端进行深度学习识别过程中，发现新的不安全行为(即行为库中不存在的)，除将此行为终止外，还生成二进制字符特征码(即抗体)，并及时上传到云端，更新云端行为库，并由所述云端下发给每个终端，更新各终端的行为库。

在本发明具体实施例中，为了及时截断终止不安全，终端需要产生大量抗体，即进行克隆选择以截断终止不安全行为。具体地说，生物免疫系统实现主动防御的关键是抗体自动识别抗原(不安全行为)。和免疫系统识别发生在分子水平类似，本发明之主动防御系统将安全行为识别基于二进制字符串实现，免疫系统通过“抗体决定基”与“抗原决定基”二者的互补结构，计算亲合力，从而识别抗原(结合的可能性越大，亲合力越大，抗原可能性越大)。在主动防御模型中，针对不安全行为的二进制字符串，可以生成和其互补的二进制字符串特征码(抗体)，不安全行为的二进制字符串和特征码逐位相与结果为全0。具体如下图3所示。遇到待定行为(即未知行为)，在云-端协同计算环境，每一个终端将待定行为的二进制字符串进行深度学习，进一步判断行为是否安全。

也就是说，当发现抗原(不安全行为)后，大量克隆与之相对应的抗体，即与其互补的二进制字符串特征码(抗体)，以迅速将抗原杀死并清除体内。在主动防御模型中，发现不安全的行为后，直接将与之相对应的二进制字符特征码保留，上传云端，并及时更新到其它终端，以进行主动、整体、综合防御。

步骤s3，于接收到终端递交的未知行为后，云端利用其拥有的全部学习样本、已知的所有抗体，基于改进的nsa否定选择算法，进行深度学习，检测未知行为是否为不安全行为，并将结果返回给终端。云端的深度学习过程与终端类似，只是因为云端拥有全部学习样本、已知的所有抗体、最强大的计算能力，能识别终端不一定能识别的不安全行为。具体地，若识别结果为不安全行为，则将识别结果返回给终端，同时云端生成二进制字符特征码(即抗体)，并将新生成的二进制字符特征码(抗体)下发给每个终端，更新各终端的行为库。此即为学习记忆。也就是说，在本发明中，终端有一般的深度学习功能，其具备部分学习样本(不是全部)、普通计算能力以及常用抗体(不是全部)，能识别一般不安全行为；而云端有超强的深度学习功能，其具备全部学习样本(不排除有新样本添加)，最强计算能力，全部抗体，能识别终端不能识别出来的不安全行为。

以下将通过具体实施例来说明本发明的主动防御实现过程：

1.训练抗原数据，将行为分类

如图4所示，云端采用类生物免疫机理，基于改进nsa否定选择算法，训练抗原数据，将基于内部和外部数据产生的行为进行分类，包括：正常安全行为(自体)和非正常安全行为(异体)，并将行为库的常用部分，通过更新的方式主动推送给终端。图中抗原表示不安全行为，抗体为能识别行为是否安全行为的检测机制。

2.类生物免疫

2.1免疫应答

免疫应答过程包括：基于外部数据进入终端产生的安全和不安全行为、原本在体内正常运行但现在发作的不安全行为(统一称为抗原)出现后，免疫系统会对表示行为的二进制字符串(抗原分子)进行识别(免疫应答)。免疫应答包括非特异性答应和特异性应答，非特异性应答为遇到抗原后，能迅速起防止作用的固有性免疫应用；特异性应答为遇到抗原后，需要通过终端自己或上传到云端进行深度学习才能识别并采取阻断措施的适应性应答。特异性应答分为初次免疫应答和非初次免疫应答。初次免疫应答指没有见过的不安全行为(抗原)，免疫系统进行识别的时间稍长。非初次免疫应答指对再次遇到的不安全行为(抗原)能够作出快速反应的应答。免疫系统把正常的行为视为“自体”，不作任何处理，把不安全的行为视为“异体”，将其截断、终止、隔离。

例如，对于外部行为数据，当外部行为数据进入终端，实时识别行为，如果根据行为库判断是已知不安全行为，立即截断、终止此行为，此为“非特异性应答”；如果根据行为库确定是未知行为，终端则进行深度学习识别，如果发现是不安全行为，将此行为截断、终止，此为“特异性应答”，这里，终端可以设置一个时间阈值，如果超过此时间值，经深度学习仍不能识别是否为不安全行为，则确定为未知行为，将此行为递交云端，进行云端深度学习识别。对于在终端内部的行为检测，与外部行为类似，在此不予赘述。

2.2克隆选择

生物免疫系统实现主动防御的关键是抗体自动识别抗原(不安全行为)。和免疫系统识别发生在分子水平类似，主动防御模型将安全行为识别基于二进制字符串实现。免疫系统通过“抗体决定基”与“抗原决定基”二者的互补结构，计算亲合力，从而识别抗原(结合的可能性越大，亲合力越大，抗原可能性越大)。在主动防御模型中，针对不安全行为的二进制字符串，可以生成和其互补的二进制字符串特征码(抗体)，不安全行为的二进制字符串和特征码逐位相与结果为全0，具体如图3所示。也就是说，当终端通过免疫应答已识别不安全行为，且不安全行为在终端多处地方发现，此时需要终端主动、快速生成(克隆)大量能清除不安全行为的抗体，将遍布终端的不安全行为清除。

而对于未知行为，在云-端协同计算环境，每一个终端则会将未知行为的二进制字符串进行深度学习，进一步判断行为是否安全。终端在发现抗原后，会大量克隆与之相对应的抗体，以迅速将抗原杀死并清除于体内。在主动防御系统中，发现不安全的行为后，直接将与之相对应的二进制字符特征码保留，上传云端，并及时更新到其它客户端，以进行主动、整体、综合防御。

2.3学习记忆

本发明之免疫系统能够学习、记忆初次免疫应答的抗原，当机体再次遇到同一抗原时，会同记忆淋巴细胞产生并快速释放大量抗体进行免疫。主动防御系统和其类似，随机检测与实时检测相结合，当任一端发现不安全行为时，立即进行亲合力计算，超过阈值，触发二进制字符串特征码(抗体)生成，在保留到终端行为库的同时，上传到云端，再通过“云”端推送到所有终“端”，扩散到整个云-端协同计算整个环境。

3主动防御

免疫系统具有自主学习能力，能够随着环境的变化和接触抗原的改变，快速自适应环境变化，对新抗原进行识别和清除，并对特异性的抗原进行学习的记忆，实现对机体的自我保护。主动防御系统通过实时检测内部、外部数据的行为，云-端两级防御系统监控、分析，以及细胞克隆、克隆变异计算，及时发现新的不安全行为。具备自适应主动防御能力。

4.整体防御

免疫系统是由分布于机体内的免疫器官、免疫组织和免疫细胞等基本单元组成，这些基本单元相互作用，作为一个统一整体，为机体提供全局保护。主动防御系统和其类似，一方面各终端在网络输入输出接口、内存、存储设备等其它通过防御系统实时监控，另一方面各终端将发现的各种不安全行为，将其二进制字符串特征码(抗体)及时上传云端，实现整体防御的分布性和多样性。

5.反馈

主动防御过程中出现错误行为处理、错误预警，由人工及时反馈错误行为信息，通过半监督的深度学习，修正并动态调整、更新“云”和“端”的行为库。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下，对上述实施例进行修饰与改变。因此，本发明的权利保护范围，应如权利要求书所列。