系统中,将输入信号分为三种:PAMP信号:通常表示异常行为特征,PAMP信号增加会导致异常行为可信度的增加;危险信号DS:细胞非正常死亡可能产生的信号,通常表示系统中可能产生变化的一些行为;安全信号SS:细胞正常死亡可能产生的信号,通常表示系统中的正常行为,它对PAMP和DS信号有抑制作用。输出也分为三种:CSM(costimulatorymolecules)相互刺激分子:该值用于判断何时未成熟的DC细胞iDC开始进行分化,通常会设置迁移阈值,当CSM>迁移阈值时iDC开始进行分化;semi-mature半成熟DC细胞:semi-mature状态是iDC在接受组织内部信号所分化的状态,通常安全信号SS对产生此过程起到决定性作用,并且将该细胞搜集的所有抗原提呈为安全抗原;mature成熟DC细胞:DC接受各种内、外部信号会导致此状态的产生,PAMP信号和DS信号都会对此状态的产生起作用,因此成熟状态往往预示着危险。本系统中采集部件会采集个体上的各种数据,包括:CPU、内存、进程、网络流量、注册表变化、API调用、进程调用等。包括:
(1)PAMPs信号:采集键盘调用API
在系统中PAMP信号是特征信号,它来源于对键盘行为记录所调用的函数数量,作为PAMP信号。DS信号的生成:采集网络收发数据包时间差。一些危险的程序例如僵尸程序能够快速响应僵尸控制者所发出的命令,因此网络数据包的收发时间差很小。而正常网络事件数据包的收发时间差较大,设置最大时间差阈值mt,若收集到的数据包收发时间差大于mt则认为是安全的,若小于mt则可能产生危险,即在[0,mt]区间内的时间差将有可能产生危险。SS信号的生成:采集连续函数调用时间差。正常情况下,两个连续函数调用时间间隔较大。而一些危险的程序连续调用间隔较短,在此设定阈值,若连续函数调用时间差大于此阈值则设定安全信号SS的值。由上面的一些分析数据可以得到对应的PAMP信号、SS信号和DS信号的浓度值,这些值对semi-mature、mature、CSM三种输出信号的贡献度称为三种输入信号的权重。在系统中,权重是可以灵活进行配置的,根据系统的安全性需求,可以动态调整权重的大小。但是应该满足以下规则:PAMP信号对mature和CSM的贡献度是DS信号对其贡献度的2倍;PAMP信号和DS信号由于是有潜在危险的信号,因此对安全的semi-mature的贡献度为0;
(2)SS信号对semi-mature的贡献度最大
对于迁移信号CSM也具有贡献,但由于其安全性能,对mature的贡献度为负值。通过以上分析可以看到,系统中整个危险发现的机制中,没有任何预先定义的知识库或者规则库,而有效的实现了威胁抗原的发现,实现了整个系统的自适应性。同时可以看出,由于在系统内部的每台主机上部署免疫个体,所有的免疫个体上均包含有免疫算法,因此整个系统是分布式的,一台主机性能的好坏对整个系统影响不大,有较好的健壮性。
(3)结语
由于将整个系统分成多个层次,每个层次各司其职,因此整个系统有较好的扩展性和分布性。该系统能够较快的发现危险信息,并产生预警。同时各个免疫中心通过总控制台统一调度,能够有效的消除个体上的危险。然而如何进一步提高系统检测效率、如何更精确地设置DCA权重矩阵有待于进一步探索和研究。
作者:杨超 单位:湖北大学计算机与信息工程学院
相关专题:气象科技进展是核心吗 电子垃圾桶