资源描述:
《基于新型否定选择算法的计算机病毒检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
分类号密级太涯乳奥笔口二大学硕士学位论文目基于新型否定选择算法的计算机病毒检测技术研究英文并列题目群研究生姓名赵红霞学号专业计算机应用技术研究方向免疫算法导师姓名牛之贤张清华职称副教授教授学位授予单位太原理工大学论文提交日期地址山西太原太五轰理笔二二口吮学 声明本人郑重声明所呈交的学位论文,是本人在指导教师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含其他个人或集体己经发表或撰写过的科研成果。对本文的研究做出重要贡献的个人和集体,均己在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名日期关于学位论文使用权的说明本人完全了解太原理工大学有关保管、使用学位论文的规定,其中包括①学校有权保管、并向有关部门送交学位论文的原件与复印件②学校可以采用影印、缩印或其它子复制手段复制并保存学位论文③学校可允许学位论文被查阅或借阅④学校可以学术交流为目的,复制赠送和交换学位论文⑤学校可以公布学位论文的全部或部分内容保密学位论文在解密后遵守此规定。作者签名蒯曰粗日期导师签名必'挤,`日 太原理工大学硕士研究生学位论文基于新型否定选择算法的计算机病毒检测技术研究摘要计算机病毒检测系统是一种防护网络安全的系统,是被用来检测威胁或危害主机和计算机网络的代码。生物免疫系统是保护生物机体免受外部病原体危害的一种机制,其具有分布式并行处理、自组织、免疫记忆和鲁棒性等特性。传统的计算机病毒检测技术是一种被动防御技术,借鉴生物免疫系统与计算机病毒检测系统相似性,来提高病毒检测系统的性能。本文详细的分析了传统否定选择算法所存在的问题,并介绍了学者们在这些方面所作的改进和努力。根据切割空间生成检测器的算法原理,提出一种针对二进制串的新型的切割否定选择算法,此算法不仅可消除冗余的检测器,并可减少检测器的漏洞,还在一定程度上防止黑洞形成引入树状层次管理机制和禁忌搜索策略思想,在基于新型否定选择算法生成庞大的检测器的基础上,提出了一种将禁忌搜索算法与人工免疫算法相结合的新型禁忌人工免疫网络算法,在很大的程度上提高了检测器的搜索效率,更新效率,节省了内存占用率,此算法全局收敛性可以达到最优最后本文针对所选用的数据集数据,通过分析数据进行试验和测试,测试表明新型否定选择算法具有更高的检测效率,准确性和搜索速率。本文的主要工作如下分析传统否定选择算法和计算机病毒检测技术所存在的问题,总结诸多学者在这方面的改进方案和实施方法。根据切割空间的否定选择算法,提出一种应用于二进制生成串检测器的新型的切割否定选择算法,, 太原理工大学硕士研究生学位论文此算法生成的检测器有效的减少了检测漏洞,消除冗余的检测器,并通过递增阂值减少检测器存在的黑洞,使系统只需少量的检测器即可检测出较全面的非自体检测器。结合树状层次模型和禁忌搜索算法,提出一种新型的禁忌人工免疫网络算法,通过设置匹配迭代次数的闽值,对检测器施行禁忌表、记忆表和进化方向表之间的调度,通过对各个表里的检测器进行亲和力大小的排序,抑制检测器的个数,提高检测器的有效利用率和减少内存占用率。选取数据集,对数据进行实验和分析,来对算法进行验证,最后建立基于新型否定选择算法的计算机病毒检测系统,并进行性能分析。关键词人工免疫算法,否定选择算法,禁忌搜索,计算机病毒检测,切割,网络入侵 太原理工大学硕士研究生学位论文、,,,堪,卿,,们,,,,,,,一,们知叮,,,,,,,,邓,知,,, 太原理工大学硕士研究生学位论文,,山一一,洲玩旧,,,,,,,由,即,,,几,,, 太原理工大学硕士研究生学位论文目录第一章绪论……,……,……,……研究背景及意义……国内外研究动态……计算机病毒检测技术发展现状……计算机病毒发展历史及其特点……计算机病毒检测技术的发展现状……,……论文的研究内容……第二章计算机病毒检测与人工免疫原理…,……计算机病毒检测原理……计算机病毒的基本概念……计算机病毒的发展……,……计算机病毒的工作原理……计算机病毒检测技术……人工免疫系统……免疫系统的原理……巧人工免疫系统算法…,……,,……生物免疫系统与计算机病毒检测系统的相似性……计算机病毒检测系统和生物免疫系统的相似性……计算机病毒检测系统和生物免疫系统的区别……,基于生物免疫机理的计算机病毒检测系统的特性……,……本章小结……,……第三章新型否定选择算法…………,否定选择算法……传统否定选择算法……否定选择算法的性质二,……否定选择算法所存在的问题……,……问题的分析与解决……新型的否定选择算法…… 太原理工大学硕士研究生学位论文算法的原理……定义……定义……切割否定选择算法……的算法思想……的算法实现……仿真……本章小结……第四章禁忌搜索策略引用与应用……,……搜索策略的基础……搜索的基本原理……常用的搜索算法结构……禁忌搜索算法……禁忌搜索原理……禁忌搜索算法流程……禁忌人工免疫网络……,……免疫记忆机制……,……禁忌人工免疫网络算法的设计……禁忌人工免疫网络算法实现……禁忌人工免疫网络算法的全局收敛性……本章小结……,……第五章试验与分析……实验数据集……实验数据的选取……数据的分析……试验和分析……,……基于新型免疫算法的计算机病毒检测模型……模型的框架和组成……系统的工作流程。……实验分析…… 太原理工大学硕士研究生学位论文本章小结……第六章总结与展望……总结……,……展望……参考文献……,……附录……致谢……,……攻读学位期间发表的学术论文目录……攻读硕士学位期间参加的科研项目…… 太原理工大学硕士研究生学位论文图表图一计算机病毒发展史……,……图一测试……,……、……图一病毒工作原理伪代码……图一人体多层防御体系……图一初次和二次免疫应答……图一自身耐受……图一克隆选择过程……图一否定选择检测原理……图一检测器的生成原理……,……图一二维空间包含匹配算法的示意图……图一二维空间基于切割原理的检测器生成图……图一算法流程图……图一检测器检测阶段的流程图……图一自体数为……,……图一自体数为……图一同一问题的棵树不同解空间……图一正交关系图················……图一线性无关图···········……图一下降算法模型……,··············……图一树状层次管理及其检测器生成模型……图一传统树状模型左禁忌标志树状模型右……,……图一禁忌人工免疫网络算法模型……,……图一自体集用不同算法所需成熟检测器的数量…………图一计算机病毒检测模型框架图……,……图一检测器的生命周期····································……图一免疫学习模块流程图······················································……图一病毒检测模块流程图·········,·,·················································……图一疑似病毒处理流程图……,········································……表一生物免疫系统与计算机病毒检测系统的相似性……表一入侵数据个特征的信息……表一自体集的个数与入侵检测器个数的关系……表一自体集的分布与迭代次数的关系……表一恶意代码数据分析·······································……表一特征码改变位数和变异次数的关系……,,……表一未知病毒被不同检测器检测的迭代次数…,…… 太原理工大学硕士研究生学位论文第一章绪论研究背景及意义据市场机构一份最近市场调查报告,平均每年黑客攻击为美国大型机构带来的经济损失高达万美元,折合为其总营业额的。另据普华永道受英国贸易与工业部委托而进行的一项调查的结果显示,英国去年由于安全问题而导致的损失达到了亿美元,这一水平与两年前相比增长了左右。而最近中国一个网络犯罪案例更是让通信公司对安全问题有了进一步的重视,某高科技公司的工程师利用互联网多次侵入某移动通信公司充值中心数据库,窃取充值卡密码并向他人销售,造成该公司多万元人民币的损失。据预测,安全问题所造成的损失还将继续增长,越来越多的企业、用户己经意识到安全问题的严重性。从这方面,可以看到安全问题值得我们去研究和探讨。进入世纪以来,网络和信息系统特别是互联网的安全面临着严峻的挑战,严重的网络安全事件层出不穷。面对网络安全的严峻形势,必须采取有效的机制和策略来解决这个问题。计算机病毒检测技术是维护信息环节的一个重要环节,目前的计算机病毒检测技术主要是基于特征检测法,其基本方法是提取已知病毒样本的特征数据,并将此特征数据添加到病毒特征库中,在检测阶段通过搜索病毒特征库查找是否存在相匹配的病毒特征以发现病毒。此种办法只能用于检测已知的病毒,对于新出现的或未知的病毒的检测无能为力'。为了解决这一问题,各反病毒研究机构专家都在努力探讨病毒检测的智能方法。生物免疫系统是一个复杂的模式识别系统,在受到各种病原体入侵时,能够准确地识别“自体非自体”,对自体产生耐受,对非自体产生免疫应答,以使在不断变化的环境下保持自身的稳定性。目前,许多生物免疫机制和理论在人工免疫系统以得到了应用,包括细胞、树突细胞、细胞、抗体、抗原、免疫学习、免疫记忆、免疫网络理论、免疫危险理论、自己非己识别、阴性选择、亲合力、克隆选择理论、亲合力成熟、基因库、多样性、分布式、免疫应答、免疫耐受、免疫系统层次、固有免疫系统、适应免疫系统等等。但大多数生物免疫系统的性质只得到隐喻使用,并没有真正的在人工系统中得到实现。随着对免疫系统的认识不断深入,将会有更多的免疫机制得到应用。从 太原理工大学硕士研究生学位论文年召开的第七届人工免疫系统国际会议收录的一些文章已经体现了这一趋势'。国内外研究动态提出基于免疫机制入侵检测模型,在国外的代表主要是新墨西哥大学的、”小组的小组和伦敦大学的`、小组。小组致力于建立一套计算机免疫系统,提出用阴性选择算法来产生成熟检测器,并首次提出“计算机免疫学”一词。小组基于免疫机制的入侵检测模型是基于网络入侵的检测模型,在这个模型中,分布在网络中处于监听状态“混杂”模式的一组主机构成整个系统,每台主机是一个检测点。在每个检测点上,抗原是由请求包中的源地址、目的地址和服务端口三个属性构成的定长为的二进制符号串。模型中的否定检测器是免疫系统中细胞、细胞和抗体的综合体,数据结构与抗原相同,检测子与抗原的特导体互补结合以定长的连续位匹配函数来模拟。小组还提出了采用连续位匹配时,提高成熟检测子生成效率的方法。小组提出了一种实现入侵检测的免疫遗传模型,并提出了一种生成衡量不同危险级别的检测子和新的检测子结构的思想是该组的主要贡献欠缺在于其设计只是针对突发异常数据包的一类攻击,此类攻击很容易被发现,因此价值不高。幻小组描述了克隆选择、否定选择和检测子基因库进化三种免疫机制的应用。此模型中,用于免疫识别的抗原采用一种聚集结构,检测子的结构与抗原的结构相同,检测子与抗原通过所有各属性的匹配分值之和是否超过某个阐值而判定是否匹配。系统由中枢和周围二级组成。在中枢上存储着一个用于生成未成熟检测子的基因库,基因库最初是根据有关入侵的先验知识建立的,然后再利用成功检测到入侵的有效检测子的信息来进化,利用周围与中枢传送的成熟检测子进行入侵检测。在以上三个模型中,小组的模型较为新颖,研究较为实际、完整和深入。由于应用了免疫耐受机制,并且该模型采用分布式检测方式,己达到系统的多样性、健壮性、轻量级和可扩展性。不过该模型存在一些欠缺,主要是模型中参数较多,且各参数之间的相互关系与具体系统的资源、数据特点、应用环境、检测率和效率等因素的关系都不确定,对如何确定一组参数值才能获得较好的检测效果有待进一步研究。小组研究的内容只是其中的一个方面,即否定检测子和阳性检测子的比较以及否定检测 太原理工大学硕士研究生学位论文子的遗传生成算法。从原理和结构上看上去儿小组提出的模型不存在问题,且有待试验验证。国内的一些研究机构也在这方面进行了类似的研究工作,并取得了一定的进展,己经有了相当研究成果。年,靳蕃教授等人在《神经网络与神经计算机原理应用》一书中就己经指出“免疫系统所具有的信息处理与肌体防卫功能,从工程角度来看,具有非常深远的意义”。年国内已经有免疫计算的文章出现。从年开始有关人工免疫系统的博士硕士学位论文也相继涌现。到年月,已出版相关专著部以上,期刊文章也超过余篇,硕博学位论文余部。这些研究大都将人工免疫系统用于数值优化、工程优化以及计算机安全问题。在年以后提出的人工免疫系统的相关算法很多,而且这些算法几乎都是针对特定问题而言的,对算法复杂性、收敛性等证明深刻而具有普遍意义的研究成果还比较少。因此,免疫算法研究在解决其所存在问题的基础上,以至今后的研究重点集中在以下几方面免疫算法的有效性评价。目前的免疫算法多种多样,应用范围也很广泛,在研究中,在某一个特定的问题上一般只与有限的其他算法比较其性能,缺乏全面、有效的评价指标和体系。免疫算法在网络系统等复杂系统中的应用。由于免疫系统与神经网络和内分泌网络互相影响,免疫算法应用的新方向将成为网络智能。再者,免疫算法能增强复杂系统的鲁棒性,而且免疫性与鲁棒性之间存在的必然联系使得免疫算法将在鲁棒系统中得到较好的应用。免疫混合算法。现有的免疫算法多集中于已有的其他算法进行结合,主要是对进化算法的改进。免疫系统算法本身改进是难以获得彻底解决的。免疫算法的数学理论分析。免疫算法的理论研究迄今十分有限。在算法的稳定性、收敛性方面没有统一的理论,仅限于研究人员根据各自的问题给出的研究结果。面向工程应用的免疫算法模型。深入研究工程应用问题的非线性、组合性、约束性等特性,开展相应的算法研究和数值实验以及大规模的免疫工程应用研究,努力使人工免疫系统模型达到实用化。 太原理工大学硕士研究生学位论文计算机病毒检测技术发展现状计算机病毒发展历史及其特点随着网络的普及和广泛应用,计算机病毒的传播形式有了根本的改变,用户感染计算机病毒的几率大大增加。根据病毒的特性,可归纳病毒有一下几个特点高频度传播速度快,危害面广病毒制作技术新具有诱惑性病毒形式多样化有专门的病毒生成工具。从病毒的传播机制对计算机病毒的发展进行了回顾第代,需要人工触发刁`能复制和传播,通过邮件和文件共享达到繁殖,如、、等第代,能自动复制和传播,主动扫描寻找脆弱主机,通过网络繁殖,如、等第代,预先准备了脆弱目的机列表,结合多种攻击手段,攻击安全工具和产品。一一一一一一一一木马攻击木马攻击黑客攻丁卜病毒技术高级扫描工具价击技术一勺、一八丫力少书`卞一世布而“·、沐、盛一件、今飞—海拒绝服务攻击”往。汤——一万—一一—一一从一一尸三劫义持工全具卜一一。。、。,、。,八…`二图一计算机病毒发展史一当前大多数杀毒软件仍然使用病毒特征码扫描法来判断程序是否是恶意的。这种方法对于已知病毒的检测效率较高,但是必须依赖于计算机病毒程序特征代码,也就是必须发现病毒并经过分析后才能实施杀毒,对于新病毒和变种病毒却无能为力,这就使得防毒软件在病毒与反病毒的斗争中仍然处于需要频繁的升级但永远滞后于病毒的现状。基于特征码扫描技术不能检测未知病毒的缺点,启发式扫描、校验和法等针对未知病毒的检测技术不断被提出,但这些技术本身又存在着误报率高或实现困难等缺点,也难以满足社会上对于信息安全的需求。由英国著名的独立病毒测试中心以世界性组织病毒资料库作为病毒来源,仅对诊断率、误诊率的安全软件予以评奖, 太原理工大学硕士研究生学位论文它属于非商业性组织,不对参与评测的产品收取任何费用,以避免受到外界因素的影响。图一所示是月日消息,国际杀毒软件权威认证机构公布了最新一期测试报告耐一。,本次测试环境采用操作系统,测试结果表明,杀毒在手动扫描一与实时监控一两种模式下,均能检测出世界性组织所公布病毒清单中的所有病毒,并且没有一例误报。其中在蠕虫、多态变形病毒的手动扫描测试中,杀毒取得了几近满分的成绩分别是、瑞星与金山则分别为、和、。在木马扫描上,杀毒表现出了更大优势,取得了的优异成绩,瑞星为,金山毒霸高级版是。而在最为关键、难度也最高的“最新病毒检出率”测试中,杀毒同样取得了的好成绩,瑞星和金山则分别为和。圈蠕虫薰蒸蒸鬓鬓纂黔】鬓黔纂翼暴瓢瓢圈多态变形病毒瓢采璐缎麟淤莎妄翻龚璐羲撰奚重二薰燕蘸馨瓢鬃纂瓢黝口口最木马新病毒黔】蒸鬓缨麟纂鬓撇薰蘸瓢馨薰羹罐摹赢粼鬓】缨麟馨瀚麟鬓瀚鉴颧蘸鬓翠耀纂】珊戮鬓】】纂鬓】缨黝黝踢鬓鬓纂图一测试一计算机病毒检测技术的发展现状反病毒专家协会主要基于行为病毒检测,基于虚拟技术的病毒检测,基于图灵机形式化描述对计算机病毒的检测,基于集成神经网络的计算机病毒检测方法,基于关联规则的未知病毒检测方法的研究,并针对上述方法的优缺点,提出基于免疫原理的计算机病毒检测方法,实现一个具有生物免疫系统的高度并行、分布、自适应和自组织的系统,既能检查已知病毒,也能检验出未知病毒和变种病毒。基于行为病毒检测方法基于行为的病毒检测技术,就是利用病毒的特有行为特征来检测病毒的方法。其 太原理工大学硕士研究生学位论文检测是一种新的思路,因为这种监控方式对新出现的病毒及其变种能够最大可能地提前报警,从而最大程度地使电脑使用者避免许多损失。基于行为的病毒检测技术较以往的病毒检测技术主要有以下一些优点既可以检测已知病毒,同时还可发现未知病毒。不用构建庞大的病毒特征库。在实现的过程中引入了虚拟技术,可以最大限度的保证系统本身的安全。但这种病毒检测技术也有一个缺点,那就是很难完全避免误报这种情况。基于虚拟技术的病毒检测虚拟机技术是一种前沿的反病毒新技术。主要用来分析未知病毒和查、杀多态变形病毒。将采集到的病毒样本放到虚拟环境中执行。具体的思想是用程序代码虚拟、各个寄存器甚至是硬件端口。通过分析内存和寄存器以及端口的变化来了解程序的执行情况。当虚拟机技术加入病毒检测引擎中。但是该技术虚拟的执行速度比真正的慢多倍,所以在查、杀效率上有待于提高。采用虚拟机技术的反病毒检测引擎在实际工作中有很大的效率瓶颈问题。反病毒软件在使用虚拟机时,是将每个执行文件放入虚拟机中运行一段时间。发现异常后在代码还原的状态下继续使用特征匹配来检测病毒。因此多数情况下。虚拟机的使用是浪费了机器效率来换去查准率。基于图灵机形式化描述对计算机病毒的检测图灵机由一个有限状态控制器和一条无限长的存储带构成,控制器和存储带之间通过读写头来相互作用。在有限状态控制器的作用下,读写头在存储带上进行读、写和移动。开始时。存储带上只有输入串,其余存储单元为空。在算法的执行过程中,如果要在某个存储单元读、写字符。图灵机先将读写头移动到相应存储单元。从理论上讲,把判定过程中的“等价”从简单的“相同”定义为“功能的等价”就可以了。这一点验证起来相对复杂,但同样没有超出图灵机的计算能力,可以用这个条件进行判定。在实际应用中,判定两段代码是否功能等价需要大量的运算。但至少可以结合现有的软件模拟等技术进行一定程度的解决。此方法只是给出了一个理论上的定性的证明在实践中可能会面临运算开销较大等问题。基于集成神经网络的计算机病毒检测方法集成学习技术是机器学习的研究热点之一,而对神经网络的集成是集成学习的一个重要的研究方向。该方法可以显著地提高神经网络系统的泛化能力,被视为一种非常有效的学习方法。神经网络集成的泛化误差等于集成中个体网络的平均泛化误差和 太原理工大学硕士研究生学位论文平均差异度之差因此要增强神经网络集成的泛化能力一方面应尽可能提高个体网络的泛化能力另一方面应尽可能地增大集成中各网络之间的差异。基于关联规则的未知病毒检测方法数据挖掘是从大量数据中提取或“挖掘”出知识。具体说是对数据进行处理从而获得隐含的、事先未知的、潜在的而又非常有用的知识,这些知识可表示为模式。数据挖掘方法有多种其中比较常见的有关联规则、序列模式、数据分类、聚类分析等。利用数据挖掘在有效利用信息方面的优势,将病毒特征视为一类数据进行分析,能够从大量的数据中自动产生精确的适用的检测模型,使检测系统适用于未知病毒检测。此方法能够通过对以往的病毒文件和正常文件的学习提取出它们的特征码找出其中的关联规则进而实现对病毒的检测。近年来人工免疫技术的研究已经是一个重要的课题,人工免疫系统是一类基于生物免疫系统功能、原理、基本特征以及相关理论免疫学说而建立的用于解决各种复杂问题的计算系统。它实现了一种受生物免疫系统启发,通过学习外界物质的自然防御机理的学习技术。与计算机病毒对抗网络系统相符,应用免疫原理的计算机病毒检测系统更能对网络实现一种主动防御技术,在免疫原理的一些算法中结合上述几种方法,扬长避短更能完善此系统。论文的研究内容通过对生物免疫系统的仿生机理及当前各种计算机病毒检测技术的深入研究,寻找自适应防御计算机病毒检测模型探索出更为合理、更为简单,更实时性和有效性的免疫检测器生成以及其更新策略研究一种“自体”动态定义免疫模型及其实现所需的关键技术,解决适应动态对象能力差的缺点。总结起来,本文目的主要工作为如下几点针对当前的计算机病毒检测技术主要基于特征检测法这种检测办法只能用于检测已知的病毒对于新出现的病毒的检测无能为力。为了解决这个问题提出了几种方式,并指出各种优缺点。提出了一种基于人工免疫原理的新型自适应性计算机病毒检测的模型,模型结合分布式思想和检测器生命周期的概念,有效地实现了检测器动态更新。研究否定选择算法模型中检测器集的生成算法,针对否定选择算法中检测器生成存在的问题,如检测器生成冗余问题,检测器生成所存在的黑洞问题,检测器自适应差及效率问题,检测器收敛性问题,提出了响应的解决方法。 太原理工大学硕士研究生学位论文根据切割空间的否定选择算法思想,提出一种基于二进制串的切割否定选择算法,该算法有效的减少检测器的漏洞,同时防止检测器的冗余形成。通过对闰值逐渐递增设置相应减少检测器产生漏洞的可能。引入树状层次模型对检测器进行组织,改善检测器更新机制和维护效率,提高否定选择算法的检测效率,增强了否定选择算法的自适应性。针对庞大的数量检测器所存在的查找问题,根据禁忌搜索策略,提出一种新型的禁忌人工免疫网络算法,该算法通过对检测器的参数迭代次数设置不同的闰值,对禁忌表,记忆表,进化方向标进行适时调度,并根据各个表里检测器的亲和力大小,对表进行抑制处理,该模型不仅提高了搜索速率并且节省了内存的占用率。通过实验对算法的分析进行验证,通过监测算法所实现的准确率、误报率和漏报率等等来检测此算法的优越性,最后建立新型的免疫原理应用于计算机病毒检测技术的模型,并分析其可能性。 太原理工大学硕士研究生学位论文第二章计算机病毒检测与人工免疫原理计算机病毒检测原理计算机病毒的基本概念医学上的病毒定义是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。计算机病毒通常是指可以自我复制,以及向其他文件传播的程序。计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚。“计算机病毒”这一概念是年由美国著名科普作家“雷恩”在一部科幻小说《的青春》中提出,年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、圣诞树、黑色星期五等等年全世界的计算机病毒攻击十分猖撅,其中”米开朗基罗”病毒给许多计算机用户造成极大损失。年在“海湾战争”中,美军第一次将计算机病毒用于实战年出现针对杀毒软件的”幽灵”病毒,如一。年首次出现针对微软公司的”宏病毒”。年年被公认为计算机反病毒界的“宏病毒”年。年出现针对系统的病毒,如年被公认为计算机反病毒界的病毒年。年等完全通过传播的病毒的出现标志着的病毒将成为病毒新的增长点。计算机病毒的发展、引导阶段年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。年,引导型病毒发展为可以感染硬盘,典型的代表有”石头”。、可执行阶段年,可执行文件型病毒出现,它们利用系统加载执行文件的机制工作,代 太原理工大学硕士研究生学位论文表为”耶路撒冷”,”星期天”病毒,病毒代码在系统执行文件时取得控制权,修改中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。年,发展为复合型病毒,可感染和文件。、批处理型阶段年,伴随型病毒出现,它们利用加载文件的优先顺序进行工作。它感染文件时生成一个和同名的扩展名为伴随体它感染文件时,改为原来的文件为同名的文件,在产生一个原名的伴随体,文件扩展名为。这样,在加载文件时,病毒就取得控制权。、幽灵、多形阶段年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。、生成器阶段年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒之卜成器和交'卞机优产生了。具有典型代表的是”病毒制造机”。、网络、蠕虫阶段年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非操作系统中,”蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。、病毒阶段年,随着和的日益普及,利用进行工作的病毒开始发展,它们修改,文件,典型的代表是,这类病毒的机制更为复杂,它们利用保护模式和调用接口工作,清除方法也比较复杂。、宏病毒阶段年,随着功能的增强,使用宏语言也可以编制病毒,这种病毒使用类语言,编写容易,感染文档文件。在和出现的相同工作机制的病毒也归为此类。 太原理工大学硕士研究生学位论文、互连网阶段年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。年月日,前身印网络遭到蠕虫的攻击,导致瘫痪,其始作俑者为康奈尔大学计算机科学系研究生罗伯特·莫里斯。年,出现的班病毒是一个全新的新型病毒。这种病毒与下的传统病毒有很大不同,它使用面向的技术编制。该病毒是第一个直接攻击,导致硬件不能正常工作的计算机病毒。它主要感染的可执行程序,发作时破坏计算机芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。年月出现的梅丽莎病毒,是第一个通过电子邮件传播的病毒,短短小时之内就使美国数万台服务器、数十万台工作站瘫痪,造成损失高达亿美元。年出现的“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。出现当时导致了大量基于的七服务器瘫痪。年月出现的尼姆达病毒则利用了诸多系统漏洞,其传播速度更快,感染能力更强。计算机病毒的工作原理病毒程序一般都是由三个基本的功能模块引导模块、传染模块和破坏模块组成。引导模块负责将病毒引入内存,使得传染和破坏模块处于活动状态。其中,传染模块又由传染条件的判断部分与传染功能的实施部分构成破坏表现模块又由发作条件的判断部分和发作功能的实施部分构成。一个简单的病毒结构的伪代码如图一。受感染的程序首先执行病毒代码,第一行跳到病毒程序主体部分。第二行是一个特殊标一记,病毒可以通过它来平等目标程序是否已经感染了这种病毒。当调用程序时候,控制权转向病毒主体。病毒程序首先执行传染模块,查找可能未受感染的执行文件并感染它们。若干根据触发机制设定与否执行破坏模块。 太原理工大学硕士研究生学位论文。盯铆二汕一汕二二一祖一汕一一九一。介二``汕一的二雀五柳此名一公二二二飞叮。。二。二,名拍二一公苔一公一的尽`盆图一病毒工作原理伪代码罗一计算机病毒检测技术计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是病毒传染程序的一种逆过程。从原理上讲,只要病毒不进行破坏性的覆盖式写盘操作,病毒就可以被清除出计算机系统。安全稳定的计算机病毒清除工作完全基于准确、可靠的病毒检测工作。计算机病毒的清楚严格的讲是计算机病毒检测的延伸,病毒清除是在检测发现特定的计算机病毒的基础上,根据具体的病毒的清除方法从感染的程序中除去计算机病毒代码恢复文件的原有结构信息。计算机病毒检测是指通过一定的技术判断出计算机是否感染病毒的一种技术。病毒检测技术主要有两种一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式,文件长度的变化,在特征分类的基础上建立的病毒检测技术另一种是不针对具体的病毒程序自身检验技术,即对某个文件或数据段进行检验和计算机并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。计算机病毒检测分为手工检测和自动检测两大类。手工检测是指通过一些专业病毒 太原理工大学硕士研究生学位论文分析工具提供的功能进行病毒的检测。自动检测是指通过一些诊断软件来判断一个系统或一个软盘是否有毒的方法。当前最流行的杀毒软件都是一些扫描器,扫描的算法有多种,通常为了使杀毒软件功能更强大,会结合使用好几种扫描算法。一、特征串扫描特征串扫描是当前最主要的查杀毒方式,它主要通过检查文件、扇区和系统内存搜索新病毒,用特征串查找己知病毒。特征串就是病毒常用的代码特征。有的是通过算法来判断文件是否被某种病毒感染,一些杀毒软件也用它来检测变形病毒。这种扫描的缺点也很明显,当文件很长时,扫描所花的时间也越多不容易选出合适的特征串对新的计算机病毒的检测存在滞后性对变形病毒很无力容易产生误报不容易识别多维计算机病毒。不管怎样,基于特征串的计算机病毒扫描法仍是今天用的最为普遍地查计算机病毒的方法。二、启发式扫描启发式扫描通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的,但也最可能出现误报。三、扫描扫描的原理是计算磁盘中的实际文件或系统扇区的值校验和,这些值被杀毒软件保存到它自己的数据库中,在运行杀毒软件时,用备份的值与当前计算的值比较,可以知道文件是否已经被修改或被病毒感染。使用这种算法的扫描是强有力的反病毒工具的病毒都能在进入计算机时被检测出来。但这种杀毒方式天生就有一个缺点—效率很低。此算法只能在病毒开始传播时才能检测到,并不能检测出新文件的病毒,因为数据库中还没有值。四、行为判断有些行为是病毒的共有特征,而且比较特殊。在正常的程序中,这些行为比较罕见。当程序运行时监视其行为,如果发现病毒行为,立即报警。通过杀毒软件来截获那些对用户有病毒危险的行为,这种方法的优点在于可以在计算机病毒感染的早些发现并组织,但有些病毒可以越过这种保护,使得杀毒软件失效。五、病毒免疫免疫有两种一种是感染警告,另一种是阻止病毒感染。第一种免疫方式主要是预防那些把自己添加到文件末尾的病毒,每个文件都会检查。但有个致命的弱点无法检 太原理工大学硕士研究生学位论文测到诡秘病毒,所以实际上很少用这种免疫方式。第二种免疫方式主要是预防系统被某种特定病毒感染,由于不可能对所有的病毒采用免疫,这种免疫方式不通用。各种扫描都有优缺点,拥有一个病毒库是他们的基本特征,但病毒库过大时,查毒速度会变得很慢。那种杀毒技术更好各种杀毒软件的特点都会有些不同扫描文档、检测各种病毒的性能,能不能修复被感染的文件,扫描引擎是否能及时地更新,处理新病毒的速度。杀毒软件是否适应各种操作系统平台,不仅可以根据用户需要扫描,还要有能实时监控、网络查毒的能力。查毒速度等其他有用功能。检测计算机病毒,就是要从这些变化中找出某些本质性的变化,到计算机病毒寄生场所去检查,验明“正身”,确证计算机病毒的存在,并根据病毒感染文件或系统引起各种变化,作为清除病毒的依据。人工免疫系统人体防护系统是一个由物理、生理屏障,固有免疫系统以及适应性免疫系统组成一个多层是防护体系,如图一所示。其中物理、生理屏障以及固有免疫系统可以阻挡大量的病毒和细菌,但是不能有效防御对一些特殊的病毒。适应性免疫系统是人体的最后防线,主要用于防御和消除各种毒性较大、结构比较特殊的病毒,尤其是未知类型的病毒。由于适应性免疫系统针对的特定类型的病毒,所以又被称为特异性免疫系统。适应性免疫系统由大量的免疫分子、细胞、器官以及组织构成。通过它们之间的相互合作来完成免疫防御、免疫自适应性以及免疫监视杀死和清除异常变异细胞等功能。黔彝馨姗髦曰一付︸物丹丫瘫护崖一理那陈浏自免咬系统逸改止汉性免股系统又豪万菌细撇·摹一曝一书馨图一人体多层防御体系一一” 太原理工大学硕士研究生学位论文免疫系统的原理免疫系统是一种复杂的自适应系统,其主要作用是识别体内所有细胞与分子,消除病原体,保护生物体不受外部病原体的侵害。免疫系统不依靠任何中心控制,其具有分布式任务处理能力以及局部采取行动的智能,并通过起交流作用的化学信息构成网络,进而形成全局观念。免疫系统通过免疫防御,免疫稳定以及免疫监督实现对生物体的调节,保证生物体处于稳定、正常的功能状态。免疫系统分为两个具有内在联系的主要部分固有免疫系统和自适应免疫系统。固有免疫系统是生物体与生俱来的,不随特异病原体变化的免疫系统层次,固有免疫系统具有与病原体第一次遭遇就消灭它们的能力,是生物体抵抗病原体感染的第一道防线。自适应免疫系统也称适应性免疫系统,在淋巴细胞的克隆选择基础上识别出各种微生物,即使此种微生物从来没有“侵袭”过生物体。自适应免疫可以清除固有免疫系统所不能清除的病原体,同时,自适应免疫系统能够记住入侵的病原体特征,预防下一次袭击。固有免疫系统与自适应免疫系统通过多种细胞与分子之间的化学的交互作用共同检测并消除病原体,维护机体的长期稳定川,。相应的,免疫系统的免疫应答也具有两种类型固有性免疫应答和适应性免疫应答一。其中,固有性免疫应答通过皮肤和薪膜的物理阻挡作用以及局部细胞分泌的抑菌、杀菌物质的化学作用实现免疫功能。适应性免疫应答又称抗原特异性免疫应答,主要通过、淋巴细胞识别特定病原体实现防卫功能。适应性免疫应答又分为两种类型初次应答和二次应答。初次应答发生在免疫系统第一次遭遇某种病原体入侵时,此时免疫系统产生大量特定抗体,消除病原体。初次应答过程中,免疫系统能够学习并一记忆特异种类的病原体,产生免疫记忆,这样机体再次遇到同样的病原体时便产生二次应答,二次应答对引起初次响应造成细胞和抗体数量迅速增加的病原体是特异的如图一。 太原理工大学硕士研究生学位论文翻次望饭稗二次应拧度执体浓延拱很一一一一一一一︸︸卜三兰勺扑熟伯图一初次和二次免疚应答一人工免疫系统算法人工免疫系统中的算法主要有否定选择算法和克隆选择算法,与这俩种相关的主要是亲和力计算。否定选择算法自体耐受由淋巴细胞抗原识别受体的产生过程可知,淋巴细胞受体具有随机性和高频突变性,故可能结合自体而引发自免疫反应,自免疫反应是对机体有害的性征,免疫系统通过免疫耐受来抑制自免疫反应。免疫耐受是机体对自体抗原不应答的一种现象,即自体的抗原不能激活或细胞完成适应性免疫应答过程,不产生相应的适全胜免疫效应细胞,不能发起适应性免疫反应。箫海月余毛食,术另览熟免咬纷若翁止鑫庆又参髯又嗽篡亥餐决扩浪休登鹦葬与萝亲体结介六乡七厂二兔火图一自身耐受一免疫耐受是指免疫活性细胞接触抗原性物质时所表现的一种特异性的无应答状态。它是免疫应答的另一种重要类型,也是机体免疫调节的内容之一,其表现与正向免疫应答相反,也与各种非特异性的免疫抑制不同,后者无抗原特异性, 太原理工大学硕士研究生学位论文对各种抗原均呈现应答或低应答。人工免疫系统中所涉及到的否定选择算法主要是用来生成检测器,即将候选检测器与自体集匹配。如果发生匹配则删除,防止所生成的检测器与自体集发生匹配否则,此候选检测器即为成熟检测器。克隆选择算法变异克隆选择原理,于年提出克隆选择学说,该学说认为,免疫细胞是随机形成的多样性的细胞克隆,每一个克隆的细胞表达同一特异性的受体,当受刺激,细部表面受体特异识别并结合,导致细胞进行克隆扩增,产生大量后代细胞,合成大量相同特异性抗体。初好贡竹红特胞群体又又篡戈又嘿冬夕厂讣适应彝勺卜组水竺们乡子水患凭恳呱焦图一克隆选择过程一文献对克隆选择算法中提到低频变异【'。,'味口高频变异',',低频变异器借鉴克隆选择原理思想,优先选择生命期长的进行变异。低频变异原理针对合格检测器集合特别其中生命期较长的检测器,采用位变异、乞对和交叉变异、等方式。位变异指在数据片段的一个或多个关键位上进行取反变异交叉变异两个或多个数据通过交叉互换自己的数据片段来实现数据串的变异。高频变异模拟生物免疫系统的原始抗体生成过程,从而实现对未知入侵行为的识别。高频变异原理将选出的每个数据按照一定的规则打碎成多个数据片段,随机抽取一定的数据片段组成新的数据作为初始检测器数据。亲和力计算匹配原则',,年,提出了卜连续位匹配规则,即对两个字符串和,如果至少存在连续位相同,那么它们就是。连续位匹配的。如取。,那么对于至少连续位相同的两个字符串,它们是匹配的,否则就不匹配。 太原理工大学硕士研究生学位论文连续位匹配规则反映了两个字符串之间的一种相似性。若广,则无匹配条件二,则只要有位相同就能发生匹配若等于字符串长度,则就是完全匹配。所以值越大,分类就越细值越小,则分类越粗。针对连续位匹配所存在的缺点文献中提出一种加权匹配规则,即给每个数据片段一个加权系数,使整体系数之和为,设定一个闭值在与之间,当系数之和不小于此闭值时即为匹配,否则不匹配。文献中还涉及到海明距离匹配规则、欧几里德匹配规则和匹配规则。生物免疫系统与计算机病毒检测系统的相似性表一生物免疫系统与计算机病毒检测系统的相似性一生物免疫系统计算机病毒免疫系统自体正常的系统行为抗原计算机病毒或入俊细胞和细胞检测器抗原识别亲和力计算记忆细胞记忆检测器自体耐受否定选择算法细胞克隆克隆选择算法表一主要对生物免疫系统和计算机病毒检测系统进行比较,本节主要介绍生物免疫原理的诸多特性运用到计算机病毒检测系统,使该系统很大程度达到主动防御未知病毒。计算机病毒检测系统和生物免疫系统的相似性生物免疫系统与计算机病毒检测非常相似。这种相似主要表现在下面三方面生物免疫系统与计算机病毒检测系统的任务类似。生物免疫系统与计算机病毒检测系统所处的环境类似。生物免疫系统与计算机病毒系统所采用的检测方法类似。生物免疫系统的检测方法主要有两种一是根据“有害的非自身”的特点进行区分和消灭,另一方法是根据隐含定义的自身来区分“自身”与“有害非自身”,比如经过“阴性选 太原理工大学硕士研究生学位论文择”的淋巴细胞对抗体的检测。这两种方法非常类似计算机病毒检测系统所采用的滥用监测方法和异常检测方法。计算机病毒检测系统和生物免疫系统的区别虽然计算机病毒检测系统与生物免疫系统非常相似,但它们也有一定的差别。某种意义上计算机病毒检测系统所面临的任务比生物免疫系统更加困难。其原因在于,对于生物免疫系统,自身的定义是明确并且稳定的,构成生物体自身细胞的蛋白质终身不发生或极少发生变化。而在计算机病毒检测系统中,自身的定义不可能是明确和稳定的。对于一个计算机系统无论是他的资源包括协议、文件、所用到的操作系统、应用软件还是它的使用者,使用者的习惯都是随时间随时变化的。所以在计算机病毒检测系统,自身的定义是一个动态的过程。基于生物免疫机理的计算机病毒检测系统的特性免疫系统面临的主要问题是将不属于自己的东西与其他东西区别开来。一旦发现一个病原,免疫系统马上采取措施将其消灭。针对不同的病原采取不同的措施,完成此任务的部件叫检测器。对于不同的病原免疫系统要选择不同的检测器去消灭。基于生物免疫的计算机病毒检测系统要遵循以下原则分布式保护。免疫学的计算机病毒检测系统由分布于整个系统的多代理或部件组成。这些组件之间相互作用以提供对系统的完全的分布式保护没有控制中心或协同中心,因此不会由于某个节点的失败导致整个系统的崩溃。多样性。在计算机病毒检测系统中具有多种多样的组件,通过克隆提供多种多样模式识别,从而使系统能对多种多样的入侵进行检测。健壮性。系统中具有大量的足够多的组件,使得损失几个少数的组件也不会对系统的这个性能造成多大的影响。这种可任意使用的组件再加上整个系统控制的无`扫心化使得系统有较强的健壮性。适应性。系统具有自适应能力,能够通过学习越来越多准确地辨认病原地结构使得系统越来越有效地对付己知或未知入侵。适应性加上一记忆性可使系统获得免疫能力。一记忆性。系统能够记住由适应性学习得到的入侵病原的特征结构,仲系统在 太原理工大学硕士研究生学位论文以后遇到结构和特征相似的入侵时能迅速地做出反应,即二次应答,这种记忆特性也使系统能对已知地攻击进行检测,提高计算机检测的效率。隐含的策略描述。系统对“自我”的定义是通过试验隐式确定的,而不是通过明确的规则描述来定义的。这样系统不必担心由规则描述不当或由规则泄漏引起的安全问题。灵活性。系统能根据需要灵活的对资源进行分配。当系统遭受比较严重的侵袭时能动用较多的资源,产生较多的组件而在其他的时候,则动用较少的资源。可扩充性。从分布式处理的角度看,系统的各组件之间的通信与交互是局部化的,因此系统是可交互的,。也就是说,仅需要小量的开销就可以实现组件数量之间的增加。异常检测。通过多种手段使系统对新病原具有检测能力。在多数情况下,异常检测不如基于签名的检测有效。异常检测对于一个系统生存至关重要,因为在系统的生命周期中总是要遇到没有遇到未知病原。本章小结该章主要是介绍生物免疫系统和人工免疫原理的基础知识。介绍生物免疫原理特性如何应用于人工免疫原理系统,根据生物免疫系统与计算机病毒检测系统的相似性,使免疫原理应用于计算机病毒检测系统称为可能,并将生物免疫系统诸多特性运用到计算机病毒检测系统中,在很大程度上提高了对未知病毒的检测率,并对对计算机网络安全达到一种主动防御状态。基于生物免疫的计算机病毒检测实际上综合了异常和误用检测两种,这种方法新颖之处在于将生物的免疫原理应用到计算机网络安全保护。 太原理工大学硕士研究生学位论文第三章新型否定选择算法否定选择算法传统否定选择算法等研究人员研究开发的否定选择算法是基于免疫系统中的自体和非自体识别的原理抽象出来的算法。算法过程如下所述定义自体为一个长度为的字符串的多个集合,表示“自体,,一个受保护或者监督的集体。例如,可以是一个文件片段或者是某个系统与过程的活动模式产生检测器集合,中每一个检测器与任何中的字符串都不匹配通过将中的检测器与网络数据比较来监控是否有入侵发生。采用部分匹配规则,其中两个字符串当且仅当至少个连续位上一样时才发生匹配。是一个选择合适的参数,如果任何有网络数据与检测器匹配,则一定有异常发生。否定选择算法应用如图一所示开始一始夕产生候选检测器阅甲输入待测检测器自体交儿配删除产与检则器匹酉己洲一亘义“,咬检测器异常一、一一一丁一一一一,一卜、爹产、束结束闷—图一否定选择检测原理一一否定选择算法的性质否定选择算法的性质首先极易分布,每个检测器都能独立地行使功能,无需在检测器间交流或协调,因为每一个检测器只覆盖非自体的一部分,一组检测器可以分布在多个位置。第二种情况,当一个出现的模式不能匹配描述,即匹配失败情况,系统将保持自体描述和注意。如要做到这一点,或是在每个位置都有一个完整的检测器集合,产生检测系统的多个拷贝,或是位置之间必须连续通信,以协调它们的结果。匹配失败有 太原理工大学硕士研究生学位论文两种情况一是模型被一个位于其他位置的正检测器匹配二是它是不规则的。否定选择算法的第二个性质如果假设一个封闭世界和自体完整规定,就不会有错误肯定,这取决于如何选择检测器所以算法更适应动态或干扰数据,因为很难达到理想描述的情况。否定选择算法所存在的问题否定选择算法主要应用于检测器的生成,是个非常重要的环节。文献中归结传统的否定选择算法存在的问题主要有【”,当问题空间过大时算法时空复杂度成指数级递增,可行性不高。论闭空间的增加导致成熟检测器需求量的增加,传统的匹配方式和检测器生成算法严重影响到否定选择算法的生成效率和检测效率,使得算法可行性大幅度降低。检测效率较低,容易产生漏洞。即使使用上述各类算法产生一个完全的成熟检测器集合,也不意味着建立一个能匹配所有非自体串的检测器集合。冗余检测器较多,候补检测器产生的随机性导致较多检测器可检测出相同的异常数据动态的调节检测器的大小同样会使得某类检测器成为冗余检测器,从而导致检测效率的下降。用二进制字符串描述抗原和检测器不利于管理并且此种形式难以表示某些领域的信息,很难与其它人工免疫算法结合。自适应性是生物免疫系统中一类重要特性,但目前对于人工免疫系统仍是复杂的、函待解决的问题。大部分否定选择算法中检测器的管理方式较为简单,主要采用分集合保存的方式,将不同形态的检测器简单的存储于各类集合中,并随机进行调用。问题的分析与解决冗余问题自体集合是一个相对较为有限的空间,而非自体集合多数情况下近似于一个无穷的空间,要完全覆盖非自体空间就需要极其大量的检测器。而从实际应用的情况来看,有限的系统资源无法满足完全产生这些有效检测器的要求。故产生能覆盖整个非自体空间的检测器是不现实的。常用的方法是根据检测率的实际需要,只产生其中的部分检测器。 太原理工大学硕士研究生学位论文因此,若能扩大等量检测器的整体覆盖空间,就具有一定的实用价值。文献〔〕通过小生境策略找出重叠部分的检测器,在这部分检测器中依据检测器的匹配域值进行划分,对匹配域值低的检测器进行高频变异,对匹配阂值高的检测器进行低频变异。低频变异产生的检测器主要用来检测己知入侵的变异,高频变异产生的检测器主要用来检测未知入侵。通过对重叠检测器的变异操作,减少了检测器彼此的重叠性同时提高了系统对已知入侵变异和未知入侵的检测能力。文献对否定检测算法进行一定的改进。主要目的是使产生的有效检测器的覆盖空间互不相交,从而达到提高这些检测器的整体覆盖率。改进方法是在否定选择算法中增加一个排除重复检测器的过程,即排除检测器的重叠空间的可能性。漏洞问题根据匹配规则和自体集合,可能会有一些非自体串称之为“漏洞”永远也找不到检测器与之匹配。检测器生成可以分为固定检测器和变长检测器。固定检测器由于检测器检测范围的不可变性,容易引起漏洞的产生,造成系统检测率和检测效率均不高。可变检测器算法中候补检测器的空间生成位置存在不确定性,相同检测器可检测出部分相同的异常数据。因此需采用一种自适应的成熟检测器生成算法,在动态调整检测器检测范围的同时防止冗余的产生。文献【提到改进距离匹配规则,设定最大的匹配阂值和初始匹配闽值,在自体耐受中,候选检测器与自体集匹配达到时,值增,以此类推,直到不匹配,此检测器归为成熟检测器。文献【〕提出空间切割检测器,其发生在自体耐受的情况下,此种方法减小了自体边缘周围容易产生漏洞的可能性,达到成熟检测器自适应生成,可以动态调整检测器检测范围。通过此文献可知,矩形切割生成的检测器与固定或变长的检测器相比,可以用较少的成熟检测器检测同样区域的抗原,并且防止检测器生成漏洞。管理策略传统人工免疫系统中检测器的存储结构较为单一,主要体现在以下几个方面首先是系统随机保存检测器个体,使得检测器分布无任何规律其次,在检测阶段系统顺序调用检测器进行检测,很大程度上影响系统的检测效率最后当外部信息发送变动时,系统则需要重新定义自体集合,同时重新执行否定选择算法以产生相应的有效成熟检测器集合。文献阵主要利用禁忌算法的全局优化性能,其中有记忆表、禁忌表、候选解、特赦 太原理工大学硕士研究生学位论文准则。禁忌表禁忌那些在网络迭代中亲和度不再增加的细胞,并通并通过特赦准则赦免一些被禁忌的优良状态记忆表用于保存成熟的记忆细胞。禁忌搜索算法作为一种局部搜索能力很强的全局迭代寻优算法,可以很好地改善人工免疫网络算法早熟的问题。文献使用二叉树管理机制,层次型检测器组织策略和快速检测器更新机制,检测器淘汰机制中可使用最近最久未使用方法。所以,当自体变成非自体,需从自体集中删除该自体,由它所生成的检测器将会自动删除,防止生成误报。新型的否定选择算法算法的原理自体集和非自体集都是一,其中二戈,…,,,戈,…,,,,其中表示检测器状态,如方程式一,一【,。门,一定义卜待测检测器,二戈,…,,介与检测集匹配,有种状态,,和,设有个闲值,是最高匹配闭值,犷是初始匹配阂值,当满足匹配范围可以直接判断是,如方程一有俩种状态根据条件可以确定,如方程一。定义待测检测器与检测器集匹配如下三毛佑尹,…,卜表示当检测器与抗原的从第位开始存在不少于个连续相同的对应位时,两者匹配`为静态匹配闭值。护犷一了、一叹刀心刀,一犷'丫任'且任,,'一“似气'任'且任,,'定义自体集的定义,…,,,其中,…,代表自体集的特征码,二代表 太原理工大学硕士研究生学位论文此检测器状态为正常。网络是个动态环境,随着时间的推移,自体检测器也在变化,方程一所表示是时刻所存在的自体集,是由卜演变而来的,包含一次响应保留下来的,一和需要进行变异的叹神、一分别由方程一,一所示,还有时刻由待测检测器检测转变的和新增的、方程一所示,其中待测检测器转变包含,通过改变可将其归为夕。,一一况帅,。一况,全,二,。。`一卜,丫`。,,一戈,份`一一`一,日`。,,,,一任,竹任戈吻戈袖、,,且,凡,一,,即。,','定义非自体集的定义二,,…,,,其中,…,戈代表检测器的特征码,代表此检测器状态为异常。网络是个动态环境,随着时间的推移,非自体也在变化,方程一所表示是时刻所存在的非自体类别,是由卜演变而来的,包含一次响应保留下来的爪。,一和需要进行变异的孔。一分别由方程一,一所示,还有时刻由待测检测器检测转变的和新增的几方程一所示,其中待测检测器转变包含,通过改变可将其归为'为了防止检测器冗余,提高检测器的有效率,对非自体集进行耐受以排除相似或相近的检测器爪,方程一所示。了、忆夕、,了、,奋子一一几,,,`一日不少而,。一兀。、一兀。。,,`全。,,一`一才一`,丫,℃。才况,、才,一`,几。,。,一`一一,一`,日加,戈神,。,,一`,户`兀、一任,丫几汰。,,且丫,一,,即任',,'兀。。。。。。`一,,”`。爪认,猛、,,,,一 太原理工大学硕士研究生学位论文切割否定选择算法如图一所示,检测器的生成有固定检测器,变长检测器,和基于切割的检测器`,固定检测器由于检测器检测范围的不可变性,容易引起漏洞的产生,造成系统检测率和检测效率均不高。可变检测器算法中候补检测器的空间生成位置存在不确定性,相同检测器可检测出部分相同的异常数据,动态调节检测器的大小同样会使得某些检测器成为冗余检测器。因为需采用一种自适应的成熟检测器生成算法,在动态调整检测器检测范围的同时防止冗余的产生。燕一丫丫于霉丫…浑飞又蕊滋优、、乍盆`孟奋倪耘产嘿戮攘叫︸︸、伪、二`、。,必、会、、、七。。蒸一滩,图一检测器的生成原理一的算法思想矩形切割检测器可以有效的防止漏洞产生,同时与固定的和变长的检测器相比较,可以用较少的成熟检测器检测同样区域的抗原,并且有效防止检测器生成冗余。定义用于检查抗原的合法性,我们用维超立方体表示,超立方体中的每个边均平行或垂直于坐标轴才`,衅,…,衅`,畔,…,才`,`,,,…,,其中严和邪分别表示第维上超矩形检测器的最小和最大坐标值如图一所示一…礴一检测器完个包含抗原…一万霸一少士馋夔纷少卜检测器不包含抗原检测器部分一包碰含抗原图一二维空间包含匹配算法的示意图一一以二维空间为例,给出基于切割检测器生成算法的过程如图一所示。图中长度 太原理工大学硕士研究生学位论文最长,因此沿辅助线对检测器进行切割,生成和两个检测器同理按照的顺序分别沿、、辅助线继续进行切割,直到生成、、、四个检测器再检查这些检测器是否与自体匹配,如包含则重复上述步骤,直到所有检测器均与自体匹配,则完成构建检测器集。沿线进行切割得检测器「一入三再几一。一乙二二尸咨卜万`卜一名摄毛`小一一卜巨里二叫薰舅洲些一厂丈卜一住几…加叹爆阵布白姗沸跳李郎垄邻﹄州叫以﹁一卜空一沿线进行切割得检测一一几图一二维空间基于切割原理的检测器生成图一它瞻'一本文所涉及的是对于二进制代码串进行匹配闽值为固定,可变闺值,矩形切割方程一,此方程主要是对自体在耐受中匹配值达到时,进行相同部分取反。旧戈,①一为了看起来更显而易见,首先举一个例子来说明,假设有自体集,何个候选检测器其匹配如下所示自体集“候选检测器是、二川候选检测器是川假设其固定匹配闭值二,可变阂值。,匹配情况有以下几种,二进制字符串匹配的最大程度是,其值为则此检测器,为新的非自体检测器。,,二进制字符串匹配的最大程度是,其值则将其相同部分取反,则其检测器变为则变为非自体检测器,再将其与自体集匹配,其值为,则不进行变形。 太原理工大学硕士研究生学位论文的算法实现本文中的算法如图一所示脚—一一亨巨巨天舀而面一卜一。。二。已、一卜返,冲碑今一一一一「一里里一咖二侧动健州藏怡,`玉牛`了厂一卜琢,,、一而纷刁甲一枷,座钟习匹遣豆…匕、二益户图一算法流程图一训练阶段检测器生成算法步骤如图一所示卜匹配待测检测器与自体集,观察的匹配值当时,将相同的特征码取反变成新的检测器将,与匹配看是否小于,满足时变成非自体集双,,否则自增,返回即当时,看是否,满足时检测器为兀,,否则自增,直到不发生匹配,则为。检测器检测阶段算法步骤如图一所示待测检测器与检测器集相匹配,观察匹配值,当,全时,且属于自体集,进行算法当,时,且属于非自体集,删除该检测器防止产生冗余当,时,且属于,直到匹配值不等于,则属于兀即当,时,且属于,,,则属于一当,时,且属于,进行算法 太原理工大学硕士研究生学位论文叫匹…参壶、一…一了,一恤,一一一下令甲任。`、仄匕产艺二为习阅一,图一检测器检测阶段的流程图一仿真在自体集有限的条件下,比较,和算法的检测效率图一,图一,算法中检闭值固定,因此检测率上升趋势平稳且相对较低。又因相对自体长度较大容易造成漏洞产生,导致检测率低下,候选检测器产生的随机性也使得检测率难以提高。参与耐受自体数量为时,算法最高检测率只能达到,如图一自体数量为时候,最高检测率只有,如图一。算法动态改变检测器识别范围,使用识别范围较小的检测器以弥补漏洞的产生,并通过消除大量冗余提高检测效率,图中其检测率上升幅度相对算法较大,但当且仅当参与检测的成熟检测器数增加到一定范围内,才可提高其检测率到较高水平。算法只需较少成熟检测器即可识别较大范围的非自体抗原,保证较高检测率,当参与检测的成熟检测器数量一定时,其检测率明显具有优势进一步也可以看出,本算法成功的减少了漏洞的产生,只需相对较少的成熟检测器即可使得检测率维持在以上,有效的保证了人工免疫系统的安全性。 太原理工大学硕士研究生学位论文孤筑孤似拟众撇哄做姗哄姚哄巴召令一争一油一奋厂一一`一沙,淤,尸泌厂,,,`,闷卜一£份率熟扭黔尸扣肠石刁苏萄孙怜包策也心,图一自体数为一跳流矶呱饥。昧慨撇帆呱橄叭卜卜︸笋一。令一诵卜阅卜一令令一月卜从申护卜一叫知︸召习沁巴。一口厂尸一一一小一令峭卜丫花嗓妞带翻、重黔介汤切礴汤已`了椒协七亡图一自体数为一本章小结该章回顾了传统否定选择算法,分析了传统否定选择算法中所存在的问题,本文提出一种新的否定选择算法生成检测器的方法,该算法通过自体耐受生成检测器防止漏洞产生,能有效提高病毒的检测率通过递增改变闭值减少黑洞产生,有效阻止误报率产生通过对检测器集自体耐受防止检测集产生冗余。下一步的工作将对自体集的扩增造成的庞大数量的检测器在计算复杂度和搜索策略方面做进一步改进。 太原理工大学硕士研究生学位论文第四章禁忌搜索策略引用与应用搜索策略的基础搜索的基本原理搜索是人工智能中的一种基本方法,它被广泛的应用于问题的求解中。常见的搜索顺序调整策略包括启发式搜索策略启发式搜索是在搜索过程中根据问题的特点,加入一些具有启发性的信息,如从上一级路由器中找到相应的路由表来确定下一步搜索的路线,加速问题的求解过程。盲目搜索中最行之有效、应用最广泛的搜索策略就是宽度优先搜索和深度优先搜索。宽度优先搜索,又称为广度优先搜索,是一种逐层次搜索的方法。单源最短路径算法和最小生成树算法都采用了和宽度优先搜索类似的思想。合理组织输入数据,使其有序化数据有序化,就是将杂乱的数据,通过简单的分类和排序,变成有序的数据,从而加快搜索的速度。较优的初始解能使估界函数更准确,从而能够减去大部分明显无法达到最优解的分支,减小搜索的总量,提高程序运行效率。而较差的初始解却很难达到剪枝函数的上界,从而使剪枝函数基本不发挥作用。为了解决搜索算法对数据的这种依赖性,可以通过调整输入数据的顺序,来消除低效的情况。确定枚举顺序对于许多问题而言,在搜索时解向量,。,…,。的顺序是任意的。在其它条件相当的前提下,让取值最少的,优先搜索,可以较快得到答案。图一中关于同一问题的棵不同解空间树,可以体会到这种策略的潜力。人月声卜,今弃〔卜阅卒声`少嘴魂卜洲嘴卜甲月阅,,`民,,”户”””,,,,,,,,取值范围小的先搜索取值范围大的先搜索图一同一问题的裸树不同解空间一 太原理工大学硕士研究生学位论文图一中,如果从第层剪去棵子树,则从所有应当考虑的元组中一次消去个元组。对于图一伪,虽然同样从第层剪去棵子树,却只从应当考虑的元组中消去个元组。前者的效果明显比后者好。适当表达所求问题,消除搜索中的冗余有时候适当改变问题的描述方式,将会极大的提高程序的效率。一种改变方式是人为的对问题加入某些限制,减小搜索的总量。按照数据有序化的思想,可以用最小表示法用等价类中最小的那组数据代表整个等价类,用搜索算法生成所有的最小表示,他们必然是本质不同的解。这种方法无需判重,节省了空间。常用的搜索算法结构一、收敛性概念设迭代算法产生点列二理想的收敛性设是当任或产共,丫,满足时,称算法收敛到最优解。由于非线性规划问题的复杂性,实用中建立下列收敛性概念实用收敛性定义解集真产着裳秒理厉例一一咨一一川刁价夕二口厂三刀叨为者定趁买毛数,形分翻道收敛性设解集护必,为算法产生的点列。下列情况之一成立时,称算法收敛、日任·,必,丫,洲勺任意极限点任。全局收敛对任意初始点算法均收敛。局部收敛当`充分接近解时,算法才`收敛。二、收敛速度设算法产生点列,收敛到解,且笋,丫分以下三种情况 太原理工大学硕士研究生学位论文,一`线性收敛当值充分大时成立。一日超线性收敛`·,一'的`走'一'`一'二阶收敛,是使当充分大时有兰口,一定理丫,那么设算法点列超线性收敛于,且共,`,'一`,子口弓“一'三、二次终结性一个算法用于解正定二次函数的无约束极小时,有限步迭代可达最优解,则称该算法具有二次终结性。二次终结性共骊方向精确一维搜索。共扼方向定义卜设。、。对称正定,以”笋。,产笋。,满足澎`玩了二称了尹关于矩阵共扼。共扼向量组澎'澎…澎任均非零,满足沪从沪性''当单位矩阵时,了伙产一了了刀一口,即正交关系。图一正交关系图图一线性无关图一盯一当澎'澎“澎`澎…淤线性无关。…淤间关于正定矩阵两两共扼时,纷必了必产…嘶了叼二,以一了…,尹场一。尹伪尹一口尹尹,亥所一,尽履着逻云关·超线性收敛和二次终结性常用来讨论算法的优点。四、下降算法模型了`一口任。常用一种线性搜索的方式来求解迭代中从一点出发沿下降可行方向找一个新的、 太原理工大学硕士研究生学位论文性质有改善的点。设无。,任岸若存在占,使。兄劝,兄。,句,称为在无点的下降方向。可行方向设无。,任弃若存在占,使升兄,兄`,句称为见点的可行方向。同时满足上述两个性质的方向称下降可行方向。五、模型算法初始砂,任,了对`。点选择下降可行方向尹,线性搜索求兄、,新点“'一`兄灸`使、粉停图一下降算法模型一禁忌搜索算法禁忌搜索原理禁忌搜索汀认比或妞,简称的思想最早由提出,它是对局部领域搜索的一种扩展,是一种全局逐步寻优算法,是对人类智力过程的一种模拟。近年来在函数全局优化方面得到了较大的发展。文章主要利用禁忌算法的全局优化性能,其中邻域函数、禁忌表、候选解、特赦准则等概念构成了禁忌搜索的关键。邻域函数其作用就是指导如何由一组解来产生一组新的解,邻域函数的设计往往依赖于问题的特性和解的表达方式。需要结合具体问题进行分析。禁忌表保存最近被禁忌操作的表,禁忌表中的操作不能是下一步的搜索方向。其目的是阻止搜索过程中出现迂回循环、避免陷入局部最优。通过一记录前若干次的操作,禁止这些操作在近期内返回。在迭代一定次数后,禁忌表释放这些操作,使其重新参与运算。因此它是一个循环表。每迭代一次。将最近的一次操作放在禁忌表 太原理工大学硕士研究生学位论文的末端。而最早的一个操作就从表中释放出来。候选解由当前状态的邻域中,择优选取一些解而组成。这里的择优指的是所选的解在适配值、搜索方向等某一方面是优良的。特赦准则禁忌搜索迭代过程中,候选解的全部对象或某一对象会被禁忌。若解禁则其目标,值将有非常大的下降。这种情况下,为了达到全局最优,可以令一些禁忌对象重新可选,这种方法称为特赦,相应的规则称为特赦准则。特赦准则的应用使得某些状态解禁。以实现更高效的优化性能。禁忌搜索算法流程简单禁忌搜索的算法步骤可描述如下给定算法参数,随机产生初始解,置禁忌表为空。判断算法终止条件是否满足若是,则结束算法并输出优化结果否则,继续以下步骤。利用当前解的邻域函数产生其所有或若干邻域解,并从中确定若干候选解。对候选解判断特赦准则是否满足若成立,则用满足特赦准则的最佳状态替代成为新的当前解,即,并用与对应的禁忌对象替换最早进入禁忌表的禁忌对象,同时用替换“”状态,然后转步骤否则,继续以下步骤。判断候选解对应的各对象的禁忌属性,选择候选解集中非禁忌对象对应的最佳状态为新的当前解,同时用与之对应的禁忌对象替换最早进入禁忌表的禁忌对象元素。转步骤。同时,与传统的优化算法相比,算法的主要特点是在搜索过程中可以接受劣解,因此具有较强的“爬山”能力新解不是在当前解的邻域中随机产生,而或是优于“”的解,或是非禁忌的最佳解,因此选取优良解的概率远远大于其他解。由于算法具有灵活的一记忆功能和特赦准则,并且在搜索过程中可以接受劣解,所以具有较强的“爬山”能力,搜索时能够跳出局部最优解,转向解空间的其他区域,从而增强获得更好的全局最优解的概率,所以算法是一种局部搜索能力很强的全局迭代寻优算法。 太原理工大学硕士研究生学位论文禁忌人工免疫网络利用禁忌搜索算法改进人工免疫网络,引入一个灵活的存储结构和相应的禁忌准则以避免迁回搜索并通过特赦准则赦免一些被禁忌的优良状态保证多样化的有效搜索实现全局优化。在禁忌人工免疫网络算法中禁忌表用于记忆最近的一些迭代过程中亲和力没有增加的网络细胞并将这些细胞禁忌随机生成细胞时如果在禁忌表中的细胞形成的邻域内将不被引入网络当禁忌表中的细胞禁忌次数超过一定的闭值时将这些细胞特赦这样使得引入网络的随机生成的细胞有更好的分布性减少迂回搜索能够搜索到更多的极值点同时提高搜索全局最优点的速度从而提高人工免疫网络算法的全局搜索能力,快收敛速度。免疫记忆机制记忆化算法在求解的时候还是按着自顶向下的顺序,但是每求解一个状态,就将它的解保存下来,以后再次遇到这个状态的时候,就不必重新求解了。这种方法综合了搜索和动态规划两方面的优点,因而还是很有实用价值的。细胞经历免疫成熟过程后,具备了免疫一记忆功能,从而为下一次的免疫应答做好准备,可以达到免疫一记忆的目的。由于克隆选择没有设立一记忆细胞库,每次产生的优秀个体,没有得到特别的保存,而继续参加下一代的进化,有可能破坏原来的优秀特征,使搜索结果不稳定,且增加算法的冗余计算量。为了保护记忆细胞,增加了一个一记忆表。记忆细胞会不断地被更新,每次进行网络抑制时,如果网络中存在一个细胞,它在某个记忆细胞的邻域内,并且它的亲和力比该记忆细胞的大,该记忆细胞将被其替换。这样使得一记忆细胞逐渐趋近于局部极值,同时,通过更新替换,避免记忆表增长得太大。记忆细胞机制的引入,记忆表保存了搜索到的局部极值,使得这些局部极值对应的细胞不再参与细胞网络的迭代,从而使网络保持原有的规模,而不是逐渐增大,大大减少计算量。另外,当算法结束时,一记忆表中的记忆细胞和即将进入一记忆表的细胞就是所有的局部极值点,从中可以找到全局最优点。免疫一记忆保存了各个局部最优解,这对于多峰值函数优化具有重要意义。 太原理工大学硕士研究生学位论文禁忌人工免疫网络算法的设计本文中对庞大的检测器集使用树状层次管理模型进行管理,在免疫系统中随着时间的推移,流通的免疫系统中自体有可能变成非自体,而有些可疑集可能变成自体。每个检测器检测器的编号,由那个自体检测器生成的自体检测器编号,检测器的类型,状态正常,可疑,异常,禁忌标志,时间,自体检测器自体检测器编号,生成的检测器集合,检测器的类型,状态正常,可疑,异常,禁忌标志,时间,系统耐受选择只将待检测器与状态为正常的检测器进行匹配,如不匹配变为候选检测器包括可疑和异常,将候选检测器与记忆检测器状态为异常匹配时将其删除,候选检测器与检测器状态为异常或可疑不匹配时将其检测器设置为成熟检测器如图一所示。︷一一万一、卜川图一树状层次管理及其检测器生成模型一一当自体变成非自体,需从自体集中删除该自体,由它所生成的检测器将会发生改变,此时应删除由该检测器生成的所有检测器,防止生成误报。如果可疑检测器转变为自体,则将其状态改成正常。声,,、介了一片和`心,图一传统树状模型左禁忌标志树状模型右一如图一所示,在搜索具有标志的最后一个检测器时,假设等匹配一个检测器所用的时间为,以下是传统的广度优先搜索算法,深度优先算法与禁忌搜索算法的比较如表所示。表一两种模型搜索时间的比较一算法类别一般搜索时间最差搜索时间广度优先搜索深度优先搜索禁忌搜索 太原理工大学硕士研究生学位论文从表中可以看到对于树状层次管理禁忌搜索所用的时间是最短的,在寻到第一个目标检测器时,禁忌搜索使用的时间最短,其次是广度优先,但是对于叶子节点除最后节点时,深度优先于广度优先。禁忌人工免疫网络算法实现禁忌人工免疫算法,增加了禁忌表、记忆表和进化方向表。禁忌表用于存储网络中在迭代过程中一些亲和力没有增加的次数达到设定阂值的细胞,禁忌表记录细胞各变量取值、亲和力和禁忌次数记忆表存储记忆细胞,记录记忆细胞各变量取值和亲和力进化方向表用于存储网络中细胞变异时,细胞进化的方向。当网络中的细胞是新生成时,该细胞的方向初始值为。禁忌人工免疫网络算法的流程如图一所示。睑测器集全集候选检测器金卜算检测器集间的亲和度算法生成新的检测器集计算检测器集间新的的亲和度检测器中是否存在禁忌细胞将禁忌细胞加入禁忌表将禁忌表中的特赦细胞转到记忆表对禁忌表和记忆表进行抑制,,满足停条件司箱了出结朱图一禁忌人工免疫网络算法流程图一其中各参数的含义、新生成的检测器集吼。禁忌表 太原理工大学硕士研究生学位论文喘记忆表喘。方向列表,进化表占,禁忌闽值,当某个检测器的亲和力连续不匹配的次数超过这个闭值时,将该检测器加入禁忌表中占。特赦闭值,当存入禁忌表中的检测器连续禁忌时间超过这个阂值时,将该检测器加入一记忆表占抑制闭值,调节各个表里的检测器的个数,使检测器表中的值为最优占为死亡闽值,当检测器的值超过此值时检测器氏,为激活闭值,当成熟检测器的匹配次数达到此值时,即转入一记忆细胞。禁忌人工免疫网络算法实现步骤卜随机生成候选检测器与网络中所有的检测器集,计算它们之间的亲和力,通过形成初始网络、。即时间标志将所有的网络时间标志,并将所有网络检测器的亲和力标准化当时,当全时并将其检测器集存入记忆表喘,当时将其检测器集存放人成熟检测器表。,并计算下一次的进化方向当时将其加入禁忌表并将其,随着生存时间的积累十十,将禁忌表中禁忌次数达到特赦阂值戈时,将其检测器特赦,放入记忆表中防止搜索时发生局部收敛计算和喘中所有的细胞的亲和力,对其进行自体耐受,防止产生冗余,并巨抑制亲和力氏的检测器,防止占用过多的内存和。输出和中所有检测器。禁忌人工免疫网络算法的全局收敛性由禁忌人工免疫网络算法的流程可以看出,算法的每一代计算从检测器集中检测器开始,其分布反映了免疫网络的基本情况,其他检测器集实际上是检测器集、的一部分衍生体,由此可以通过研究不同代次免疫响应中检测器集、的变化来讨论算法的收敛性能。 太原理工大学硕士研究生学位论文检测器集的更新主要通过以下两个途径检测器集通过算法所得的新的检测器集吼通过亲和力计算和设置抑制闭值对检测器集中的检测器进行更新。检测器集在进行禁忌操作和抑制操作后,引入候选检测器到网络中更新那些被禁忌和抑制的检测器,在禁忌操作和抑制操作中,网络中的最大亲和力检测器都不会受到影响,也就是说,最大亲和力检测器会一直保留在网络中。由于算法中不断采用较优的候选检测器集取代序列中对应个体,因此该序列是一个随机过程。利用状态转移概率与极限理论对禁忌人工免疫网络算法进行收敛性分析,有如下定理定理在算法中,以免疫响应代数,十作为时刻坐标,、序列构成了一个有限状态的齐次链。证明严格证明需要涉及许多概率和随机过程方面的论证这里仅就定理作一定分析说明。每代网络检测器集、由个一个体构成,每个检测器的取值是有限的。一个体空间所含个体的数目最多为乙个,个一个体所构成的种群组合不会超过,因此在代检测器网络序列的状态是有限的,所有的个一个体组合构成了序列、的状态空间,记一检测器网络的状态空间为。“。状态有限性每代、中的个体是通过算法所形成的,本代中的个体分布可以完全确定下一代个体的分布概率,而与本代之前的分布无关。性更新过程中的各种操作都是与免疫进化的代数无关的,因而状态之间的转移只与构成状态的检测器个体有关,与免疫响应代数无关。齐次性因此,序列、构成了一个有限状态的齐次链。证毕。由于序列、是一个有限状态的齐次链,其状态转移概率可以用状态转移矩阵来表示。如果将检测器状态按亲和力从大到小进行排序,则改进的人工免疫网络算法有限状态链一步转移概率矩阵为 太原理工大学硕士研究生学位论文品凡…几尸弓卿。一凡品为下三角随机矩阵,其中弓,全,君,。则由以下定义定义对于对于齐次链,称弓为一步转移概率,全部弓,所组成的一个矩阵尸弓称为变换矩阵,变换矩阵是一个随机矩阵。川到少伙如果一个矩阵只。对所有,有弓,则称矩阵为非负的。眼以赳护如果一个非负矩阵尺。能通过行和列施加相同的变换,变换成以下形式尸一口为方阵则称矩阵为可规约的。同时不难得知,为可规约的随机矩阵,并满足定理。于是可以定义算法的收敛性如下定义设乙二井,才,,…,是一个随机变量序列,该变量代表时间步状态中网络中的最佳亲和力。如果公式一成立,其中厂。。,即全局最优值,则该算法以概率收敛到全局最佳解。螃,一'一`一定理设是可归约随机矩阵,其中吼。是一个基本随机矩阵,和不为,则的陌叮。,一斗的之斗叨昏`'`““一'`'“」是一个稳定的随机矩阵,其中尸的·尸',尸`尸。·尸的是唯一的,与初始分布无关,且满足月`,到兰君的二,丛引几。定理禁忌人工免疫网络算法以概率收敛全局最优解。设凡为从状态式到乓的转移概率,从保留最优检测器状态的角度来考虑若乓双,凡则由正态分布的概率密度函数来确定若满足乓式的所有形成的空间为,则弓一一艺弓乓〔 太原理工大学硕士研究生学位论文若满足,瓦,则弓一根据以上定理,可得所有包含在非全局最优状态中的概率收敛于,而所有包含在全局最优状态中的概率收敛于,因此有尸乙二厂,即算法收敛于全局最优解。本章小结本章针对第三章所提出的对于庞大数量的检测器的搜索策略进行改进,首先介绍搜索的基本原理和搜索算法的一般算法和算法所涉及的收敛性问题,其次,介绍了传统的禁忌搜索算法原理和其算法,并提出一种改进了禁忌人工免疫网络搜索算法,通过设置参数来代表检测器的迭代次数,其中禁忌表减少搜索所用的时间,根据记忆表可以知道亲和力最高的值局部极致,从进化方向表中可知检测器的发展方向,最后验证该算法的全局的最优收敛性。 太原理工大学硕士研究生学位论文第五章试验与分析实验数据集实验数据的选取选取经典数据集作为本次实验的实验数据。此数据集采自一个模拟的美国空军局域网上收集的个星期的网络连接数据,包括七个星期的训练数据和两个星期的测试数据,共计七百多万个网络连接,其训练数据集包含万个连接数据,测试数据集包含了万个连接数据。包含了种比较常见的网络入侵。此数据集归纳起来主要有以下四类〕拒绝服务攻击,是指一个或多个用户占据了大量的共享资源,使得系统没有剩余的资源给其它用户使用的攻击方式。该数据集中出现了种具体的攻击。未授权远程访问攻击,攻击是指在目标主机上没有账号的攻击者通过发送数据包以获得目标主机的本地访问权限的攻击方式。攻击方式非常多样化,一些是利用网络服务程序本身的缓冲区溢出漏洞,一些是利用网络安全策略的错误配置,另外的则是通过特洛伊木马,还有一些则通过破解密码来获得本地访问权限。此数据集中就出现了这样的种具体攻击。未授权获取超级用户权限的攻击,攻击是指在一台机器上获得系统的或用户权限或获得等操作系统管理员的权限。此类攻击有种。探测与扫描攻击探测与扫描攻击是指对计算机网络或服务器进行扫描,获取有效的地址、主机操作系统类型、活动端口号和安全漏洞等的攻击方式。攻击者往往会在攻击之前进行探测和扫描以获得尽可能多的目标主机信息。此类攻击共有种。经典数据集的每一条记录由个属性组成,其最后一个属性是行为状态属性,由“,,和`。,,两种。选取“,,即可为自体集,方便执行。前个属性分类如下基于单个网络连接的特征信息,如,冲,,, 太原理工大学硕士研究生学位论文,吵,,基于单一服务的特征信息,如,,一,,,一,`一`,一一,一,一罗仁基于单一主机的特征信息,,,,`夕,,,综合基于主机和基于服务的连接所得到的特征信息,称作基于时间的特征信息,,,,,,,,,。最后一个属性的“,,值由一下几种情况“”,“夕”,“一,,,“,,,“,,,“,,,“,,,“,,,“,,,“,,,“,,,“,,,“,,“”,“,,,“”,“”,“',“',,“”,“,,,“',。数据分布如下所示,,一`数据的分析从数据筛选分析数据来源三种协议不同的数据包分别是,和三种类型。从大量的数据集中所占的,所以为了便于对连接记录进行分析,观察个属性特征信息见附录选用具有代表性能体现出状态变化的个数据是连续的特征对样本数据进行预处理,得到长度为犯位的二进制字符串,匹配长度取值,匹配取值。 太原理工大学硕士研究生学位论文表一入侵数据个特征的信息一特征意义描述类型卜从源主机发往目的主机的数据连续从日的主机发往源主机的数据连续在当前连接的两秒内,连接到同一台主机的次数连续件连接过程中具有错误的百分率连续们同一服务连接所占的百分率连续不同服务的连接所,下'的百分率连续在当前连接的两秒内,属于同一个服务的连接次数连续订同一服务的连接中具有错误的百分率连续试验和分析由于数据量庞大,选取部分数据作为实验数据。本文选择抽样每个选取条数据作为训练数据,其中正常数据条,异常数据条。抽取正常数据作为自体集,训练集中的入侵数据包括攻击和攻击。选择三组测试数据、和,每组数据各条。第一组测试数据中正常数据条,入侵数据条。其中入侵数据包括已知入侵和未知入侵。第二组测试数据中正常数据条,入侵数据条。入侵数据的条全部为已知入侵数据。第三组测试数据中正常数据条,入侵数据条。入侵数据的条中条数据为已知入侵的变异,条数据为未知入侵。仿真实验实验采用测试数据进行测试,在入侵数据大于自体集数据的情况下,自体集是随机抽样,为使检测器的检测率达到,随着自体数的增加迭代次数在减少,需要的实验结果如表一所示。表一自体集的个数与入侵检测器个数的关系一一检测率自体检测器入侵检测器迭代次数漏报率一﹃一试验采用测试数据进行测试,通过对自体集不同的选择方式来判断自 太原理工大学硕士研究生学位论文体集的完整性对检测入侵检测器变化规律,本试验也使检测率达到,第一组数据是随机选出来的,第二组数据是每个选择出来,第三组以正态分布来选择,第四组以多簇型方式选出来,不同的分布类型需要的迭代次数也会随着改变。表一自体集的分布与迭代次数的关系检测率自体检测器入侵检测器迭代次数漏报率试验采用测试数据进行测试,通过对检测数据进行,在生成检测数的对比,为。实验结果如图一所示。宁一一、一一一一一一一一一一一一一一一一一一一一一…一一渗崛“叫一川卜养苏人一每丹获葵,。。占三拼漱,,二苦'伙翌憾一,委一'、导自体数景图一自体集用不同算法所需成熟检测器的数量一一勿笼试验分析试验结果表明在确保检测率达到,检测等量入侵检测器,在随着自体集数目递增的情况下,需要迭代的次数在递减,说明随着自体集的逐步完善,检测率会逐步提高,所用的时间会减少。试验结果表明,自体集不同分布情况影响检测器生成的迭代次数,表中随机选取数据,每个选取,正态分布选取,多簇性选取数据表明,自体集的全面覆盖率越大,所检测所需的迭代次数就越小。试验结果表明,使用,,三种不同的算法对自体集进行否定选择算法生成所需成熟检测器个数不同,表明算法在检测等量的入侵检测时所需生成的检测器个大大的减少,表明此算法的优越性。 太原理工大学硕士研究生学位论文基于新型免疫算法的计算机病毒检测模型模型的框架和组成本文所述模型定义自体集、检测器集和非自体集均为字母表,即字母表是二进制上长度为取,即长度为的位串。其中自体集是指合法的文件,而非自体集是指病毒文件和被病毒感染的文件。如图一所示函一一一一卜检测阶段一卜训练阶段成熟检测器咋小几一牲配一,一证瘫口体一盛随机生成的二进制串图一计算机病毒检测模型框架图一系统的工作流程一、检测器的生命过程如图一所示适应性是由三个不同的检测器群体相互协调实现的,它们是候选检测器,成熟检测器和一记忆检测器群体。随机生成的候选检测器经历自体耐受后进化为成熟检测器常用检测器识别病毒次数达到一定的闭值氏之后,进化为记忆检测器。如果成熟检测器在其生命周期占内,没有检测到病毒或检测病毒的个数没有达到激活阂值,则检测器死亡即将其在成熟检测器集中去除记忆检测器中的不识别病毒的次数累计到禁忌闭值占,时,将其存放入禁忌表中,禁忌表中累计的时间超过特赦闭值氏时将其重新加入到一记忆表中。二、免疫学习模块实现如图一所示,免疫学习的过程是系统初始化的过程。实验 太原理工大学硕士研究生学位论文中,我们用附录中的恶意代码作为记忆检测器集,图中,检测器表示第个检测器与病毒特征码匹配的次数,氏表示成熟检测器要进化为记忆检测器,检测到病毒的次数需达到的阂值。三、病毒检测模块实现如图一所示,系统经过免疫学习后,具备了基本的计算机病毒检测能力。病毒检测的过程其实也是检测器变异、系统进化的过程。其中,是变异次数,是检测器识别病毒的次数,氏是成熟检测器的激活闽值,病毒次数的闽值,占。是最大变异次数,是检测器库的当前代数。某个检测器,的克隆数目为,·`,一其中是计算机病毒特征,夕是克隆数目的上限值,为的长度,为,和的匹配度。候选检测器生成成熟检测器二,卜,禁忌检测器,卜,,图一检测器的生命周期叮一 太原理工大学硕士研究生学位论文恶意代码特征提取检测器生成,自身耐受变异生成新的检测器集并自身耐受成熟检测器集图一免疫学习模块流程图一可控变异检测器可控变异按如下原则进行随机选择的父代特征位即位的字符作为子代的字符,另外位中按照一定位上出现某字符的概率来选择。实验以个病毒特征码为样本,统计了在任何一位上,,出现的概率只和君,计算公式如下只,一只从其中,从和从分别表示,在第位出现的次数,是恶意代码样本总数。随机变异检测器随机变异选择位父代的特征码作为子代的字符,另外位随机选取。所以,随机变异得到的检测器相对于父代的差异较大,确保检测器的多样性。随机变异是为了识别新病毒而设计的。 太原理工大学硕士研究生学位论文感染文件抗原体特征提取建立临时检测器库二刁成熟检测器卜克隆选择加入到记忆检测器集可控变异随机变异晦时检测器集义一输出土结果一图一病毒检测模块流程图万一巧四、疑似病毒库如图一所示,如第三章所述,检测器的状态有三种正常,疑似,异常。有效的管理疑似数据对计算机病毒检测可以降低误报率。本文对疑似数据进行如下处理,使用个闭值,疑似病毒周期凡和最大进化代数氏,每经过一个占`调用病毒检测模块对疑似病毒检测一次。检测器凡不断进化,可能能够对文件作出最终判断。如果在疑似病毒检测最大进化代数占。内,不能确定该检测器是否为病毒,最终判断为非病毒,去掉此检测器。 太原理工大学硕士研究生学位论文一一—一〕一一一否厂且一、夭兰吧缈吧鹦注一叫输出结果二加一入疑似玉检测器一髯库—一一一一一可一一一异常检测器德吵卜一从疑似检王测器一集是甲、去掉此检测器图一疑似病毒处理流程图一实验分析实验在⑧⑧内存操作系统芯片的测试环境下进行。数据集是附录的数据集。实验参数设定如下占一,式一,氏一,氏,一,氏,一,乓一,氏一,卜,一,一。由附录共个恶意代码。根据数据集的分布,选取方式是以每个开头的字母为准选出个,抽样选取条数据作为训练数据集,异常数据为条,未知数据条。恶意代码数据分析表一有原始数据去掉相似部分。 太原理工大学硕士研究生学位论文表一恶意代码数据分析几」异常特征数据将其转换为二进制分析………………,…从图一中可以看到任何数据都是由个字节组成的,高位和地位组成,字母和数的的变化主要是最后四位,可以提取最后四位来作为一个作为一个基因,并将选取个这样的基因位作为一个特征数据,不足的补。以此方法来提取检测器集和异常检测器集。此数据集中的数据的大小来排列的。对于己知病毒原型,检测器不需要经过变异,系统就可以直接用记忆检测器匹配病毒,有实验数据可知,其中没有个检测器的特征符号是连续八个数据是相似的,所以此数据的提取方式对已知病毒的检测率为。变形病毒和未知病毒是对病毒检测系统的严峻考验,对所有新病毒的识别,系统都经历了变异过程,变异的次数随着异常数据变化的增加而增多,表一记录了模型采用可控变异时的实验数据。表一特征码改变位数和变异次数的关系肠一位位位位丙石由实验可知病毒与检测器差异越大,系统识别病毒需要检测器变异的次数就越多。变异越多,生成的抗体数量也就越大。抗体数量将直接影响系统的效率。未知病毒的特征信息与可知病毒的特征信息的差异性直接影响到检测器的检测效率。根据算法流程对病毒特征进行测试如表一,可以发现对于己知病毒的选取方式直接影响到检测器的检测率。其算法所使用的是可控编译,根据恶意代码的特征,直接思想是,选取相似的部分进行不变,不到位是用前面的数据特征进行填充,对后面的位根据,所出现比率的进行选择。其已知病毒是随机选取的,未知病毒是不包含在所选的己知病毒中恶意代码,观察期变异的次数才能发现病毒,进行系统性能分析, 太原理工大学硕士研究生学位论文其中变异位数是。表一未知病毒被不同检测器检测的迭代次数肠一、一一一`无法找到从实验中可知,对于相近的病毒检测需要变异次数比较少,等匹配次数达到次时,就需要随机变异来形成新的检测器,再进行对检测器的检测。计算机病毒检测器的生成通过三个方面声称,对正常文件特征码再进行否定选择时进行切割否定选择,这个属于训练阶段,对环境要求绝对安全,在检测阶段,通过成熟检测器的可控变异和随机变异生成新的检测器,本算法通过设置检测器的生命周期和设置抑制阂值对检测器进行精简,提高检测器的检测效率。本章小结本章主要是对数据集和病毒的恶意代码进行实验和分析,从几个方面来验证算法的优越性,并说明自体的分布于入侵检测器存在的联系,在等量的入侵检测器数目下,随着自体数目增多所需要的迭代次数在下降自体集的分布直接影响到检测等量的检测器所需要的迭代次数,说明自体集分布越均匀,检测效率会更高通过实验三说明,算法的优越性。通过分析恶意代码数据分析,最后设计了基于新型否定选择算法的计算机病毒检测模型框架,说明工作流程,并将其性能进行分析。 太原理工大学硕士研究生学位论文 太原理工大学硕士研究生学位论文第六章总结与展望总结本文通过对计算机病毒检测技术和否定选择算法研究现状的分析,总结了其面临的问题和需要进一步研究方向在深入研究和分析了否定选择算法之后,根据空间切割思想,提出了一种应用于二进制串的新型的切割否定选择算法,并设计了检测器管理策略,针对庞大检测器存在组织问题,根据禁忌搜索算法提出一种新型的禁忌人工免疫网络算法,不仅提高检测器的搜索速度还在一定程度上使网络实现自适应状态,最后通过试验分析验证切割否定选择算法的优越性,并且设计了基于新型否定选择算法的框架模型。展望人工免疫系统是一类轻量级的安全系统,随着生物免疫机制的研究进步和仿生学的扩展应运而生。该领域的研究刚刚起步,随着人工免疫学和人工智能的进一步发展,人工免疫系统研究领域所涉及的内容会越来越多。本文所做的工作仅仅是初步内容,在本文工作的基础之上,可以进一步的展开深入地研究工作下一步研究方向进一步对否定选择算法进行研究和发展,不仅在提高系统的准确率和检测效率的基础上,还应增强系统的自适应性、自学习性、多样性、鲁棒性。对人工免疫算法中的其余各类算法进行更深层次的了解,综合各个算法的优缺点,完善切割的否定选择算法,将基于切割的思想应用到免疫反馈模块中,完善一套基于切割的人工免疫系统。对网络抑制阂值和特赦闭值的设置,仍然需要先验知识和实验来确定虽然利用否定选择抑制虽然简便易于实现,但计算复杂度相对较高进化代数也需要人为干预,未能完全体现出免疫系统的自组织机理,尚缺乏一定的自主性。现在实验在理论上,开发具体的软件还存在着一定的差距,以后主要是把理论和技术相结合,开发一套主动防御的自适应的网站。 太原理工大学硕士研究生学位论文 太原理工大学硕士研究生学位论文参考文献莫宏伟,左兴权,毕晓君,人工免疫系统研究进展,智能系统学报,,,一赵云丰,付冬梅,一种改进的人工免疫网络优化算法及其性能分析,自然科学进展,,,一孙勇智,人工免疫系统模型、算法及其应用研究,【博士论文,浙江大学,,一【姜恩龙,张凤斌,杨洋,刘悦,基于海明匹配的连续位匹配规则的研究,哈尔滨理工大学学报,,,一李江涛,基于行为的病毒检测系统,北京交通大学硕士学位论文,年,,,,一,丫灿,,,一,,,,,,,一张波云,殷建平,张鼎兴等,基于集成神经网络的计算机病毒检测方法,计算机工程与应用,,,一【赖英旭,刘增辉,基于关联规则的未知病毒检测方法研究,计算机工程与应用,,,一,,,,,,一币,,,,,,一【张宇,人工免疫系统中阴性选择算法的研究,浙江大学硕士学位论文,年月【」罗一丹,蔡自兴,王勇,江中央,基于免疫重构的阴性选择算法,计算机科学,,,一【,,,,,,,,”一,”,,,一, 太原理工大学硕士研究生学位论文郭振河,谭营,刘政凯,基于阴性选择原则的一探测器生成算法,小型微型计算机系统,,,一,,,一,翻加,,,一「张清华,钱宇,肯布工,高廷玉等,采用在自己空间变异搜索来训练检测器的阴性选择算法,计算机应用,年第期【张清华,钱宇,青布工,高廷玉等,一种采用非己空间变异搜索的故障检测算法,计算机工程与应用,年卷期,一,即,,,,一【丘盯,,剐们。七万。比叩”,,,一仲巍,新型否定选择算法的研究,江苏大学硕士学位论文,年月,出,“一一,,,,,,,,,,,,,叶尔哗,张德平,概率论与随机过程,北京,科学出版社,,一黄席褪,张著洪,何传江,等,现代智能算法理论及应用,北京,科学出版社,,一一,一,一,,,,,一一,一,一一刀,,姜恩龙,基于否定选择的检测器生成算法研究,哈尔滨理工大学硕士学位论文,年,王占锋,基于动态克隆选择的入侵检测研究,哈尔滨工业大学硕士学位论文,年,罗印升,李人厚,张维玺,基于免疫机理的多峰值函数并行优化算法,系统仿真学报,,,一庄健,王娜,杜海峰,等,一种模糊人工免疫网络故障诊断策略,自然科学进展,,,一 太原理工大学硕士研究生学位论文罗一丹,蔡自兴,王勇,江中央,基于免疫重构的阴性选择算法,计算机科学,,,一【付玉珍,自适应免疫网络入侵检测模型的应用与研究,太原理工大学硕士学位论文,年秦晓倩,基于蜜罐的免疫病毒检测模型的设计,计算机工程与设计,,,一程永新,基于免疫原理的新型入侵检测模型及算法研究,电子科技大学硕士学位论文,刘辉,张凤斌,一种改进的基于否定选择的检测器生成算法,哈尔滨理工大学学报,年月,一,,,,族焦李成等,免疫优化计算,学习与识别,北京,科学出版社,,一李涛,计算机免疫学,北京,电子工业出版社,一【莫宏伟,人工免疫系统原理与应用,哈尔滨,哈尔滨工业大学出版社, 太原理工大学硕士研究生学位论文 太原理工大学硕士研究生学位论文附录附录数据属性特征表表基于单个网络连接的特征信息飞山`今护声幻刃雨二几峥刃”,表基于主机的网络流量的特征信息口`勺孕,”,,一刃一”,,万一”,,化刃”,一”,,一”罗,,刀 太原理工大学硕士研究生学位论文表基于时间的网络流量的特社信息万。加讼咒吻如勺尹们几七万入乞几嫩渭代、'”仃。厅'、'班们。】七】叮从,乃耀斤订、'”、、,,七附录,,数据包结构源端口一目的端口一序列号确认号头长度保留窗口大小校验和紧急指针选项填充数据图数据包结构源端口号目的端口号报文长度校验和 太原理工大学硕士研究生学位论文数据图数据报结构类型代码校验和标识符序号数据图数据包结构七附录恶意代码如表所示表恶意代码汇总妞】,颐,】'·从、℃,沮既胃…既滋 太原理工大学硕士研究生学位论文钻朋石铂即。找斤厅月之盯勿即侧兀任钻珍城即即石助、乞盯们比、七】巧尹自盯白叭记泊抽、乞 太原理工大学硕士研究生学位论文致谢本论文是在广东省自然科学基金项目受理编号和广东省省部产学研结合项目项目编号的支持下完成的,也是我攻读硕士学位期间所做工作的总结。在这里,谨向所有辅导和帮助过我的老师以及同学们致以诚挚的谢意。至此论文完成之际,我衷心感谢我的导师牛之贤副教授、张清华教授在两年多的研究生期间在学习、工作和生活上所给予的悉心指导和热情关怀。正是两位老师的关心和支持,才使我能够顺利地完成研究生阶段的学习。两位老师渊博的知识、宽广的胸怀、科学严谨的治学态度、诲人不倦的教育风范以及对问题的敏锐洞察力和准确的判断力,令我深深折服,并使我受益终生。在此,谨向导师致以崇高的敬意和真诚的感谢感谢软件与计算机学院的所有老师,他们在我工作和学习中都曾给予许多帮助,使我能在工作的同时顺利完成学业。感谢我的同学张慧娟,赵小华,常召叶,陈水霞,闰超,屈君瑞等同学对我的帮助,特别感谢朱月君,李晓明,邵龙秋,宋均正,田义强,高欢萍,金来专,宋继光对我在茂名学习期间帮助和关心,与他们之间进行的学术探讨与交流给我以许多有益的启示,使我有很大的收获。在和大家一起生活、一起工作的时间里,在相互交流、相互切磋的过程中获益良多,他们对学业的执着追求,让人感怀他们的幽默和睿智,让实验室充满了欢声笑语,与他们共渡的学习生涯,将是我一生中最难忘的一段时光,与他们结识,是我人生中最宝贵的财富。最后感谢我的父母和家人,是他们一直以来对于我的无微不至的关怀,默默支持我、鼓励我,这份情意是我毕生难以报答的。再一次感谢给予我的良师、我的朋友和我的家人,以及所有关心我的人,感谢两年来和我一起度过多姿多彩的研究生生活的所有人。祝他们生活得越来越美好 太原理工大学硕士研究生学位论文 太原理工大学硕士研究生学位论文攻读学位期间发表的学术论文目录赵红霞,张清华,牛之贤等,基于免疫原理的计算机计算机病毒技术分析与展望,茂名学院学报,,,一张清华,赵红霞,朱月君,一种新型的否定选择算法的研究,电子设计工程,己经录用年期一,一,,,已录用'张清华,朱月君,赵红霞,证据理论的免疫检测器在并发故障中的应用,电子设计工程,已经录用年期张清华,朱月君,姜峰,赵红霞,基于人工免疫和证据理论相结合的机组并发故障诊断,世界科技研究与发展,已经录用攻读硕士学位期间参加的科研项目【中国石化股份公司茂名分公司技术开发项目橡胶二线干燥机组、挤压机组智能故障诊断系统,年立项【广东省自然科学基金项目“基于免疫检测器证据理论集成的机组复合故障诊断技术”受理编号〔广东省省部产学研结合项目“自适应免疫网络入侵检测技术',项目编号
