第6讲 免疫系统与异常检测

1、 第6讲 免疫系统与异常检测学习目的：了解基于免疫系统机理的异常检测方法基本思想，以及免疫系统在计算机安全中的应用学习要点：基于阴性选择算法的异常检测算法，阴性选择算法在计算机安全的应用，危险理论在计算机信息系统安全的应用内容概述：免疫系统的能力之一是区分自己和非己物质。免疫系统的这个核心机制在人工免疫系统中经常用于异常检测。应该注意免疫系统远不是一个简单的基于异常检测和应答的系统，但可看作一般的、分布式的模式学习系统。这里异常检测是一个广义的概念，泛指对偏离各类不同系统所定义的正常状态的现象和行为的监测、发现和处理，包括后面提到的故障与错误检测、故障耐受、故障诊断、异常变化检测（如设备磨损）

2、等。随着研究不断深入，人工免疫系统在不同领域的应用日益广泛，其中众多的人工免疫系统开发与应用都试图实现免疫系统对病毒等病原体的高超地识别和抵御能力，在各类人工甚至自然系统中实现对异常现象的自动发现、及时处理。典型的有计算机安全123456-20、基于免疫原理的工业装备、设施的故障诊断21-31、故障检测32-35、故障耐受36、保安系统37等，涉及的行业包括通信3839等不同领域。这些应用所利用的免疫学原理主要是阴性选择、克隆选择、免疫网络等理论也得到一定应用，树突细胞4041、APC42等免疫细胞机制也逐渐得到重视和应用。基本的免疫学隐喻思想在一些应用中也很受重视。本章主要介绍比较典型的人工

3、免疫异常检测理论及应用研究，包括阴性选择算法、危险理论、免疫故障诊断、基于免疫的计算机安全系统等。图15.1给出了基于人工免疫系统的异常检测方法实现的基本思路。异常检测对象免疫原理免疫异常检测策略阴性选择免疫网络危险理论一般隐喻算法模型硬件工业设备等各类硬件系统软件（计算机程序）其他领域图6.1 人工免疫系统异常检测实现思路6.1 阴性选择算法6.1.1 基本定义经常用到的几个概念的定义：定义6.1 阴性选择算法是基于阴性选择原理开发的免疫算法。定义6.2 自己在免疫学中是指人体本身具有的各种分子、细胞。在异常检测情况隐喻为被检测系统的正常状态或系统本身的组件。定义6.3 非己在免疫学中是指不

4、属于人体本身具有的各种病原体。在异常检测情况隐喻为被检测系统的非正常状态或不属于系统本身的组件。定义6.4 形态空间是免疫算法编码实现的空间。定义6.5 空洞是指阴性选择算法检测器在形态空间中不能检测到的异常区域。15.1.2 问题描述43异常检测过程在免疫学中目的是识别问题空间中的一个新元素为自己或非己。问题空间可称为，其中一个维数值向量空间，其中是第i个属性。正常样本或者自己和异常样本或者非己是的子集，所以，以及。一个点，其中是一个n维数值向量。属于自体的元素表示为，的互补空间，非己空间定义为N，实数情况下，每个属性正规化到0.0,1.0中， 。 给定问题空间，对异常检测，特征函数为 (6

5、.1)用于区分自己和非己。目标在N中发现一个检测器集合，尽可能多的匹配非自体字符串，不匹配任何S中的自体字符串。设为检测器集合和每个集合元素匹配的一个子集。|越大在如下约束下产生的覆盖效果越好： （6.2） （6.3）失败概率定义为随机非自体字符串不被任何中检测器匹配的概率。 匹配概率定义为随机选择的字符串和检测器匹配根据特殊匹配规则匹配的概率。图15.2给出更清楚的例证43。UDSNCUdR检测到自己字符串未检测到空洞匹配匹配被匹配图6.1 字符串及其关系6.2 阴性选择算法6.2.1发展与研究概述自己和非己之间的区别被认为是复杂免疫系统中的主要机制之一。免疫阴性选择机制不仅用于机器学习，更

6、重要的是用于异常检测，尤其是计算机安全。人工阴性选择方法是自己/非己区别的计算模拟之一，首先设计用于变化检测。美国计算机安全专家Forrest最初在与免疫学家的合作研究中，受到该现象启发，首次提出了阴性选择算法44。因此，阴性选择算法最初指的是Forrest提出的算法，目前指代一类基于阴性选择机制及模型的算法。为了将多种阴性选择算法及模型区分开，本章将Forrest提出的阴性选择算法称为基本阴性选择算法。Forrest的研究小组和Dausgupt等其他研究人员对该算法进行了大量研究和改进。多年以来，基本阴性选择算法已经在许多不同中模型使用。尽管有多种改进措施，但基本阴性选择算法的主要特征仍然存

7、在。主要集中在自己非己匹配机制、检测器产生和表示方法、检测器覆盖性能等方面，并用于异常检测、故障诊断等问题45-50，成为人工免疫系统的一个重要研究方向。阴性选择算法的组成包括数据空间表示、检测器表示、匹配规则、检测器产生/清除机制。与不同策略的结合（包括与阳性选择等其他方法的结合）也是阴性选择算法发展的重要内容。数据表示是多数此类模型和算法之间的基本区别，它决定和限制可能的匹配规则、检测器的产生机制以及检测过程。匹配规则是阴性选择算法中的重要部分，它针对一个数据如何被认为发生匹配或者被检测器识别的问题给出定义，反过来使用何种匹配规则又依靠数据项和检测器的表示法。大量免疫启发的异常检测系统的研

8、究成果表明免疫方法在某种程度上是有益的，比如对已知和未知网络入侵的检测。但是，由于表示法（二进制等）及相应匹配规则等的缺陷，导致该类方法计算效率问题比较突出。为此，多种不同的表示法及匹配规则开发出来，如R-块规则，以及由海明形态空间改进到更有效的实数形态空间等等，使算法计算效率得到提高。阴性选择算法的关键问题是要能够产生足够多的覆盖非己空间的检测器，相当于免疫系统产生识别足够多的非己T细胞识别病原体，免疫系统只利用与病原体种类相比很少的免疫细胞就可以达到目的。这正是该类方法所期望达到的性质。但与免疫系统相比，二进制的阴性选择算法产生的检测器数量与问题是指数级关系51。文献52中对实数和海明形态

9、空间上阴性选择算法理论分析表明，在海明形态空间上的方法不适合实际的异常检测问题。Sankalp Balachandran 采用超矩形、超球型和改进超球型等形态空间设计检测器52。Fabio González提出了实数值阴性选择算法465354，Zhou 等 5556提出了规模可变向量实数阴性选择算法。Dasgupta 和Gonzalez 57将阴性选择进一步扩展为模糊分类，将一个点属于自己或非己的程度用成员函数来刻画，自己集合中一个点地成员隶属度越低，引起警报的可能性越大。Gomez 等.58也研究了模糊阴性选择分类问题，用模糊规则描述自己成员水平。Dasgupta等59将阴性选择算

10、法用于飞机故障检测。文献6061中将阴性选择算法用于时间序列数据异常检测。文献62讨论了基因库对阴性选择的覆盖率、识别率等方面的效果。阴性选择算法与其他方法也有结合，Dasgupta等63将阳性选择与阴性选择集合，阳性选择初始化“专家”群体，阴性选择用于清除匹配自己的样本。结合的过程嵌入到遗传算法中。Ceong 等 64提出对于两类问题的互补双重检测器集合，包括同时来自自己和非己的样本。由于它可以检测互补类别，误否定风险大大降低。Gonzalez65.将阴性选择与传统分类算法结合，阴性选择用于建立非己样本集合，然后将原始自己样本和产生的非己样本输入分类算法以得到检测结果。文献66总结到阴性选择

11、有严重的尺度问题，适合中等任务，比如过滤无效的检测器，代替产生完备检测器。对网络入侵问题，提出总的免疫系统模型由三个不同的进化阶段组成：阴性选择、克隆选择、基因库进化。Kim等67将克隆选择与阴性选择结合起来，用阴性选择产生的检测器实现记忆机制。国内在该研究方向也作了大量研究工作。主要集中在阴性选择算法中的自己集合建立6869，检测器生成7071727374、覆盖问题75，以及改进阴性选择算法767778。此外，文献7980提出了用于异常检测的淋巴细胞时间语义逻辑模型及演化策略。本书作者指导研究小组人员提出了变阈值阴性选择算法81，对如何生成最有效检测器集合达到最好覆盖效果进行了研究和分析82

12、。图15.3给出了阴性选择算法的发展线索。主要包括表示法、检测器产生方法等方面。NSA发展非严格自己非己定义新检测器产生算法新表示法混合免疫学习算法超球体模糊 If-Then规则超矩形严格If-Then 规则NSDR-小生境-拥挤RNSRRNSNSFDR多形态图6.2 阴性选择算法发展线索图表15.1给出了阴性选择算法的发展过程以及所采用的数据表示法和匹配规则。 表6.1 阴性选择算法的发展阶段作者与年份新特征/结论数据表示匹配规则Forrest et al, 199444阴性选择算法首次提出字符rcbDhaeseleer et al 92,97信息损失的分析字符rcbDasgupta et

13、al, 19996滑动窗口时间序列数据字符rcbDasgupta et al, 199945与阳性选择结合，多类字符加权位匹配Hofmeyr et al 122,123活化阈值,检测器生存期,协同刺激等.字符(49-位二进制)rcbWierzchon 93确定被检测的字符串数并产生检测器的方法二进制字符串rcbKim et al, 20017网络通讯的独特表示实数值字符RcbGonzalez et al, 200257与分类器结合实向量到中心点欧氏距离Balthrop et al, 200287R块匹配规则 字符(449-位二进制)r-块Esponda et al 99检测模式术语,检测器数分

14、析字符rcb, r-块, n-gram, d Hamming距离Ayara et al 84NSMutation检测器产生算法字符rcbDasgupta et al, 200386多层，不同组件实向量部分欧氏距离Branco et al, 200334利用进化系统补充检测器或者集合 实向量欧氏距离Ji et al, 200449最大化检测器实向量欧氏距离Esponda et al, 2004104反数据库字符表示r-块Ji et al, 200556检测器产生中的集成覆盖估计实向量欧氏距离6.2.2基本阴性选择算法15.2.2.1 算法定义与描述定义15.6 基本阴性选择算法是指早期基于免疫阴

15、性选择原理开发的用于计算机安全的免疫算法。(a)检测器集合产生(b)新情况检测开始产生随机候选检测器匹配自己样本?检测器足够?作为新检测器接受NoYesYesNo结束结束开始匹配任何检测器?输入新样本“非己”“自己!”NoYes图6.3 阴性选择算法示意图早期是指1994年代，Forrest最早提出阴性选择算法。基本阴性选择算法实际上可分为三个阶段：定义自己、产生检测器、监测异常的发生。但一般将定义自己与产生检测器阶段看作一个阶段，因此大致分两个阶段44：产生阶段和检测阶段。在产生阶段，给定一个称为自己集合S的已知模式集合，测试T细胞受体识别和结合自己模式的能力。如果T细胞受体识别来自自己集合

16、的字符串，则忽略它。否则作为一个竞争细胞进入检测器集合。检测器可用于监测系统的异常变化。设为自体集合，为亲合力阈值，为检测器总数，L为字符串长度。则基本阴性选择算法可描述为83： NSA= NSA_censor(S,N,L)+ NSA_monitor(,R,) （15.4）基本阴性选择算法的原理与框图如15.4下：图15.4（a）中给出检测过程。1. 初始化：假设要保护一个自己模式集合S，随机产生属性字符串，放在集合R0中。2. 亲合力评价：测试R0中产生的字符串是否匹配自己集合S中的字符串，由它们之间的亲合力决定是否发生匹配。3. 产生检测器集合：如果来自R0的一个字符串与S中至少一个字符串

17、的亲合力大于给定阈值，则认为该字符串识别一个自己模式，必须被清除（阴性选择）；否则见字符串引入检测器集合R0。Procedure R=NSA_censor(S,N,L) t1 While t<=N do / 产生N个检测器 For from 1 to N do, / rand(L) / 随机产生长度L的字符串 flag 0 For every s of S do /对每个S的元素,affaffinity(,s) /决定亲合力If aff>= then flag1;breakEndIf EndFor If flag=0 Radd(R, ) /加入到检测器R集合 tt+1 EndIf

18、EndWhileEnd Procedure(a) 产生检测器Procedure flag=NSA_monitor(,R,) For every s of do / 产生N个检测器 For every r of R do, / affaffinity(r,s) /决定亲合力If aff>= then flagnonself detected /flagEndIf End For EndForEnd Procedure(b) 检测阶段算法图6.4 阴性选择算法在产生一组检测器集合后，算法可用于监测自体集合中的变化或者跟踪异常情况。在监测阶段，一个受保护的字符串S*集合与检测器集合的元素相匹配

19、，集合S*可以是没有变化的集合S，也可以是一个全新的集合，由噪声干扰或者加入新元素的S组成。如果发生匹配识别，则检测到非己。图6.3（b）是检测阶段。阴性选择的检测阶段用图6.5算法（a）实现。检测器集合产生后，系统可以监测异常。这个过程在图6.5算法（b）给出。基本阴性选择算法是基于二进制表示法的。二进制阴性选择算法目前有一些理论支持4351。基本阴性选择算法的关键是决定两个模式之间的相似性的匹配规则的选择，可以在自己/非己（正常/异常）样本之间区分。该算法产生检测器的时间复杂性与自己数据规模成线性关系。算法中设置匹配阈值，估计检测器的规模需要确保一定程度的整体可靠性。如果阈值太小，不太可能

20、产生合理规模的检测器集合，因此需要调节阈值，提高检测器可靠性，降低误肯定风险。15.2.2.2 二进制表示理论上，二进制表示可以概括其他任何表示，因为任何数据项都是以二进制形式在计算机中实现的。但是，在高层表示定义的匹配规则一般不能直接翻译成二进制匹配规则或者规则。通常需要处理包括数值型数据、类别数据、布尔数据、文本数据等。处理这些数据类型的多数表示模式可分为两个基本类型：字符串表示和实数值向量表示。在字符串表示中，每个数据项或者一个检测器表示为在一个有限字母表上定义的字符串。字符串的长度通常固定。以上四个数据类型都可以用这个表示法处理。多数研究中使用的二进制表示是字符串表示的特殊情况。一般的

21、数据表示包括：二进制表示、高级字母表上的字符串、实数值向量及上述表示的混合。另一个方面，数据空间的表示不同时定义检测器表示。换句话说，数据空间表示和检测器表示一般不需要一样。通常在同样数据空间描述检测器，但是可以更详细，除非检测器是一个点。比如，如果一个检测器是一个n维实数空间中的超球体，它可以用一个n维点和半径表示。字符串表示包括二进制表示。阴性选择算法首先用于检测字符串中的变化44，字符串表示是自然地选择。同时，阴性选择算法早期版本有一个唯一的特征，也就是要处理的字符串实际上是任意长的。它们被分割成更短的片段或者在进一步处理前，预先定义长度的一些子字符串。这个过程类似APC处理和提呈抗原片

22、段的作用。作为预处理步骤，它与后面的算法没有很强的联系，所以以后多数工作都利用长度固定的字符串。然而我们需要知道的是直接处理任意长度字符串在许多情况下是有用的。将其分割成固定长度的方式可能丢掉比我们选择的长度更长的、有用的模式。文献51分析和比较了不同阴性选择算法的二进制表示规则：r邻近匹配、r块匹配、海明距离匹配以及R&T匹配。这样为任何阴性选择算法提供了选择不同匹配规则的参考。文献84综述了比较了二进制阴性选择算法的五种检测器产生模式：穷尽算法、线性算法、贪婪算法、二进制模版和NSMutation。最后一个方法是穷尽算法的改进版，引入体细胞超变异和清除冗余，以穷尽NS算法，更好的性

23、能。6.3基于人工免疫系统的计算机安全6.3.1 概述随着计算机及网络的迅速发展，由于计算机操作系统及应用软件漏洞及固有缺陷造成的计算机系统破坏也日益严重，就象人类每天都受到外部毒素、细菌等病原体的威胁和入侵一样，计算机系统也受到病毒和黑客入侵的困扰，所造成的信息安全问题也十分严重。由于免疫系统与计算机系统在面对外部危险或威胁方面表现出的相似性，人工免疫系统的应用在最初就很自然的扩展到计算机安全领域。免疫系统的学习、记忆、识别能力以及其对抗原病原体的灵活性、有效性使人们自然而然的将其与计算机安全系统联系起来。这里的计算机安全包括单机、主机、计算机网络及相应的文件、信息安全。人工免疫系统概念在计

24、算机安全领域应用比机器学习等领域更为广泛。最初由Forrest率领的研究小组提出了基于阴性选择的人工免疫系统模型ARTIS，并基于此模型设计了最早的人工免疫计算机安全系统123124。此后，人工免疫系统在计算机病毒111516125126127、电子邮件128129130、入侵检测5-10 12 13 17-19 57 60 66 68-84 90 132-135、计算机文件136、风险评估137等计算机安全方面都得到了应用。IBM公司最早利用免疫系统隐喻设计了商业化计算机安全系统，但没有实现任何免疫系统机制138。文献4、6、124、139、140、141对人工免疫系统计算机安全应用进行了一

25、般性研究。采用的免疫机制主要有阴性选择、克隆选择、危险理论、树突细胞、APC、淋巴细胞以及免疫组成隐喻等，有一些系统结合多主体134 142、模糊143等概念。目前，在计算机安全领域的应用已经成为人工免疫系统的代表性应用领域1。本节主要分几个方面：计算机病毒、电子邮件、入侵检测等进行介绍。国内外大量关于人工免疫系统的文献集中在这个领域。本节主要介绍一些基本思想和方法，能够体现人工免疫系统异常检测的效果和特性。具体的应用可参见参考文献和有关书籍。6.3.2 基于免疫的计算机安全系统6.3.2.1 基于免疫的计算机安全系统基本设计思想所有这些模型仍然处于发展阶段，没有真正有效解决实际问题的模型。多

26、数已经建立的人工免疫系统方法都只实现人类免疫系统的众多机制中的一小部分。因为人类免疫系统的本质是非常复杂和精细的，从免疫学角度看到的免疫反应是细胞、化学信号、生化酶等多种因素协调的结果，很难在一台计算机上实现完美的免疫过程。为了开发简单、适用的计算机安全系统而将免疫系统简化可能有损人工免疫系统的性能。人们希望建立一个类似人类免疫系统的计算安全系统，具有与人类免疫系统一样的性能，如错误耐受、适应性和自己监测。如果人类免疫系统的重要组分的作用都能被正确地理解并实现，则表明基于人工免疫方法改进计算机安全系统是有希望的。一个计算机安全系统的重要属性是可信性、整体性和有效性140。文献140最先提出了计

27、算机免疫学的概念，将计算机安全系统与免疫系统进行了对比研究，指出了可用于计算机安全系统的免疫系统特性。表6.2 免疫系统与人工免疫系统的计算机安全属性对比计算机安全属性免疫系统人工免疫系统整体性免疫系统通过多种机制确保机体及自身不受破坏通过多种方式保护数据信息不受破坏。可用性在受到病原体袭击情况下仍能工作确保计算机及信息在需要的时候可以使用准确性防止自身免疫疾病防止误警有效性免疫细胞采用多样方式发现危险信号，清除病原体确保计算机系统信息不受破坏可信性免疫系统没有可信属性确保系统只对授权用户工作表6.2给出了免疫系统与人工免疫系统在计算机安全属性方面的比较。如果所设计的人工免疫系统能够具有这五个

28、属性，则可表明它的优越性，但由于计算机安全问题的复杂性，目前的研究水平还很难做到。表15.15给出免疫系统与计算机系统在安全方面的相似性比较。表6.3 免疫系统与计算机系统在安全方面的相似性免疫系统计算机系统免疫系统高度复杂性、高度连接性，多种组分之间的相互作用计算机网络高度复杂性、高度连接，网络节点之间的相互作用对于有意或无意地引入的外部微组织的脆弱性，可能导致系统感染，使性能下降甚至崩溃。系统中被引入的敌意代码（包括计算机病毒）造成系统脆弱性，导致对信息和服务未授权连接或者服务拒绝外部微组织以及生物系统细胞由建筑块缩氨酸组成敌意代码以及计算机网络的运行软件由同样的建筑块组成基本宏命令外部微

29、组织和健康细胞之间的区域在于建筑块基因序列中敌意代码和计算机网络的运行软件之间区别在于建筑块序列中免疫系统能检测、识别和中和多数外部微组织信息安全系统能检测、识别多数计算机网络上的袭击表6.3给出了目前多数人工免疫系统应用到的部分免疫系统机制。文献提出了利用生物多样性设计计算机安全系统的思想，指出由于目前计算机及网络在操作系统、应用软件、硬件设计方面的标准化、规范化恰恰造成了计算机安全系统的脆弱性。免疫系统的多样性保护机制为设计计算机安全系统多样化保护措施提供了思路。但这样将会造成生产和使用成本上升。表6.4 免疫系统机制在计算机安全的应用免疫系统用于计算机/网络系统阴性选择入侵检测、病毒免疫

30、应答病毒危险理论入侵检测、病毒固有或非特异入侵检测体液免疫、细胞介导入侵检测免疫耐受、独特型网络垃圾邮件、风险评估基因库否自己非己识别入侵检测、垃圾邮件、病毒、风险评估、文件克隆选择入侵检测、病毒、风险评估免疫记忆入侵检测树突细胞、APC异常检测、垃圾邮件许多利用统计学方法、离散数学、形式语言和数字仿真方法用于人工免疫计算机安全系统设计。建立一个人工免疫计算机安全系统的数学模型是必要的，国内一些学者在这方面进行了非常有意义的工作79137。6.3.2.3 基于免疫机制的计算机安全系统基本步骤建立基于免疫机制的计算机安全系统基本步骤可以归纳如下：1. 免疫系统的分析和量化描述。一方面可利用多种数

31、学、计算及仿真方法结合安全外问题描述免疫系统机制，另一方面可借鉴计算免疫学以及最近的生物学研究成果分析免疫系统性能，用于有关计算机安全问题。2. 描述算法。利用建立的方法和模型开发免疫细胞的个体及集体行为算法，可以用多主体系统理论分析它们的合作行为。3. 软件实现。建立基于上述数学模型、规则和算法的软件，实现对这些模型的测试和检查是必要的。4. 仿真环境。设计一个仿真环境证实模型。5. 系统分析。对仿真结果统计学分析，应该包括其对网络脆弱性的影响的评估，结果反馈并改进所设计的系统。人工免疫计算机安全系统设计同样需要多学科合作，包括：先进的控制理论、数学、计算机科学、计算机工程、生物学、信息学、

32、计算机程序等。将计算机免疫系统与现有人侵检测技术、防病毒技术结合，开发新型的计算机网络安全系统。6.3.3 入侵检测6.3.3.1 基于免疫的入侵检测概述入侵是指系统的未授权用户试图或已经窃取了系统的访问权限，以及系统的被授权用户超越或滥用了系统所授予的访问权限，而威胁或危害了网络系统资源的完整性、机密性或有效性的行为集合。其中，完整性是指防止网络系统资源被非法删改和破坏；机密性是指防止网络系统内信息的非法泄漏；有效性是指网络系统数据资源可以被授权用户随时正常地访问和程序资源能够按期望的方式、作用正常地运行。入侵检测系统(Intrusion Detection System，IDS)是计算机软

33、件系统，用于自动检测上述入侵行为，并收集入侵证据，为数据恢复和事故处理提供依据。有些入侵检测系统在检测到入侵特征后还试图做出某些响应，以遏制或阻止对系统的威胁或破坏。入侵检测系统主要用两种技术：异常检测技术和误用检测144-146，或者分为基于主机的和基于网络的入侵检测，已经有许多实现这些技术的传统方法，但都存在各自的优点和缺点，没有一种能够满足所有要求和绝对安全的技术方法。这就为人工免疫系统提供了充分的发展空间。国内外近十年发表了许多该方向的研究论文（参见前面列举文献）。文献79和文献80关于淋巴细胞的逻辑语义模型为入侵检测研究提供了全新的思路。6.3.3.2 基于网格的多主体免疫入侵检测系

34、统模型该模型给出了抗体、抗原，自己、非己和主体的完整定义和数学模型132，提出了成熟监测主体和动态记忆主体等概念，给出了理论分析和实验结果。该模型研究人员在免疫入侵检测系统、基于免疫的计算机安全系统风险评估等方面作了比较多的理论研究工作，提出的模型在人工免疫入侵检测相对比较完善、系统。图6.6中给出了该模型的基本结构。图6.7给出MoAs在网格环境中的进化。未成熟MoAs成熟MoAsMoAMoAMoABoACoA节点节点节点监测 监测杀死监测当检测到入侵时克隆自己刺激刺激进入网格环境入侵检测模型新 MoAs的产生随机产生图6.6 基于网格的入侵检测模型132自己集合记忆MoAs记忆MoA成熟M

35、oAs成熟MoA当记忆MoAs数达到或者超过给定最大数时，最近使用的记忆MoAs退化为成熟MoAs。匹配充分多的抗原死亡匹配新自己匹配新自己或者在生命期中不活化图6.7 网格环境中MoAs的进化132危险理论在计算机免疫系统的应用6.4 基于危险理论的计算机免疫系统英国诺丁汉大学的Uwe Aickelin小组最早对危险理论应用于入侵检测进行了研究1581591160，认为基于危险理论的入侵检测系统(Intrusion Detection System,IDS)将集中研究如何通过对各种警报的对比做出反应从而检测到入侵攻击。Aickelin小组针对危险理论应用于入侵检测的研究，主要成果是将凋亡警报

36、与坏死警报同入侵攻击行为联系了起来，利用两者之间的相关性作为危险信号的基础，使用关联算法作为危险模式的算法，并且针对警报自动调节检测系统使其具有较强的自适应性。对比起基于SNS模式的IDS，他们提出的理论具有可以检测未知攻击、误报率低和不受规模限制等显著特点。但是并未提供完善可行的算法模型，并且在现实中凋亡与坏死之间的区别可能并没有想象中那么明显。文献161提出了基于危险模式的免疫算法，用于入侵检测。文献42提出了基于人工抗原提呈细胞(Artificial Antigen Presenting Cell，AAPC)危险数据获取方法，观察危险可疑数据chunks/点的结合，是首次提出人工抗原提呈细胞模型。文献162提出了数字免疫系统，利用危险理论对IBM早期开发商业免疫系统进行了全新的设计和改进。文献163将数学微分思想用于数字变化的感知，提出了一种新的异常感知模型，可用于对计算机系统危险信号及变化的感知。文献39将危险理论用于电话系统检测。文献40提出了基于危险理论的传感器网络异常检测。危险理论只需要对发出危险信号附近的危险区域的有害抗原识别和响应，并不需要对所有异