傅龍?zhí)?，?戈，陳騰林

（閩江學(xué)院，福建福州 350011）

一種基于免疫原理的云平臺病毒檢測方法

傅龍?zhí)?，?戈，陳騰林

（閩江學(xué)院，福建福州 350011）

伴隨著快速發(fā)展的信息技術(shù)，病毒日益成為廣大網(wǎng)民的安全威脅，云平臺及其客戶端遭受病毒侵害更為嚴重，每年病毒給世界各國帶來了巨大的損失，并為此投入了巨大的人力物力。借鑒生物對異體的識別能力，提出一種基于人工免疫原理的病毒檢測模型，通過自體耐受學(xué)習(xí)獲得成熟檢測器，利用成熟檢測器檢測非自體抗原。仿真實驗證明此方法病毒檢測率高，誤檢率低，并且具備很強的自適應(yīng)能力。

病毒檢測；人工免疫；云平臺；非自體抗原

隨著計算機的普及，病毒也越來越流行，每年遭受病毒破壞的計算機越來越多，所造成的后果越來越嚴重。大量用戶在云平臺中獲得相關(guān)服務(wù)的同時，病毒也獲得了更多更容易的入侵機會，因此，針對云平臺的病毒檢測顯得尤為重要。目前，主流的病毒檢測方法主要有特征碼檢測法、行為檢測法和啟發(fā)式監(jiān)測法等［1－2］。其中特征碼的檢測方法對已知病毒識別率較高［3］，對于病毒的變異體、未知病毒等束手無策；行為檢測法雖可監(jiān)測未知病毒，但誤檢率高［4］，如果病毒處于“潛伏期”或未運行，則該方法將陷入困境；啟發(fā)式監(jiān)測法主要針對多態(tài)性病毒，誤報率也很高，工作量較大［5］。針對傳統(tǒng)監(jiān)測方法的不足，本文借鑒生物對異體的識別能力，提出一種基于人工免疫原理的病毒檢測模型。

人工免疫技術(shù)的研究應(yīng)用是目前國內(nèi)外專家學(xué)者的重要熱點之一。1974年丹麥學(xué)者Jeme提出了第一個人工免疫數(shù)學(xué)模型；后來Forrest等提出了否定選擇算法和計算機免疫學(xué)概念；Lee等人通過從程序入口點開始提取一系列字符串區(qū)分自體與非自體，以實現(xiàn)病毒檢測，推動了計算機免疫系統(tǒng)的全面發(fā)展。國內(nèi)學(xué)者王琴琴等［6］提出了基于免疫理論的服務(wù)自適應(yīng)策略；高超等［7］在郵件網(wǎng)絡(luò)提出了基于介數(shù)的免疫策略；王維等［8］提出了基于免疫原理的病毒特征提取方法。上述學(xué)者在計算機的不同應(yīng)用領(lǐng)域都進行了積極探索，對傳統(tǒng)病毒防治方法提供了更多改進，并且取得良好成效。但針對云平臺的病毒檢測較少，云計算技術(shù)在大數(shù)據(jù)應(yīng)用越來越廣泛，因此，本文關(guān)于云平臺病毒檢測研究具有一定的現(xiàn)實應(yīng)用價值和重要意義。

1 免疫檢測模型原理

大量客戶訪問云平臺服務(wù)器時，部分客戶端不可避免地“夾雜”了各種不可預(yù)知的病毒，如果云平臺服務(wù)器一旦染毒，則訪問該平臺的所有客戶端都有被病毒入侵的風(fēng)險，為此本文擬在平臺服務(wù)器上搭建免疫病毒檢測器，模型體系結(jié)構(gòu)如圖1所示。為了有效檢測病毒，首先定義檢測器（分成未成熟檢測器和成熟檢測器），未成熟檢測器初次由系統(tǒng)隨機生成，以后由成熟檢測器不斷變異進化形成，未成熟檢測器經(jīng)過提呈（獲取特征值的過程）后形成自體抗原集合Sag，正常程序經(jīng)過提呈后得到抗體集合Ab，Ag和Ab經(jīng)過陰性選擇，即與抗體集合Ab匹配的抗原集合Ag被淘汰，存活的（不匹配的）形成成熟檢測器，這個過程即為自體耐受學(xué)習(xí)過程，也是初次應(yīng)答過程。當(dāng)成熟檢測器遭遇非自體抗原Nag時，則檢測器通過檢測算法執(zhí)行檢測操作，如果匹配成功，則識別了該抗原，即為免疫二次應(yīng)答。當(dāng)檢測器經(jīng)歷若干次迭代進化后，成熟檢測器的規(guī)模將不斷擴大，能識別的非自體抗原將更多，意味著識別能力越來越強。另外，為了提升效率，減輕系統(tǒng)負擔(dān)，采用LRU（最近最少使用）算法把部分成熟檢測器“淘汰”到記憶檢測器中，如果將來還需使用，則直接從記憶檢測器中調(diào)入，省去耐受學(xué)習(xí)過程。

圖1 病毒檢測模型體系結(jié)構(gòu)

2 免疫檢測模型

2.1 模型定義

借鑒生物免疫識別原理，把云平臺服務(wù)器中正常程序定義為自體，從客戶端上來的程序或數(shù)據(jù)作為有待檢測的非自體抗原，定義一組檢測器，通過檢測匹配算法識別外來數(shù)據(jù)是否是病毒。

定義1（定義域） 計算機的程序代碼（包括病毒程序）都是由二進制字符組成的字符串序列構(gòu)成的，設(shè)定義域I為長度為L的二進制字符集，描述為

定義2（自體集）計算機所有正常程序，即未被病毒感染的程序代碼序列稱為自體集（S），描述為

定義3（非自體集）除正常程序外，即病毒代碼序列或已被病毒感染的非正常程序代碼序列稱為非自體集（NS），描述為

定義4（抗原集）由自體抗原集合（Sag）和非自體抗原集合（Nag）（即抗原有可能是正常程序或者是被病毒感染的非正常程序）經(jīng)過提取其特征，形成抗原集合。本文采用文獻［8-9］提供的提呈方法，描述為

函數(shù)fObtain（k，L）表示對進入檢測器的程序進行特征提取，長度為L。

定義5（抗體集）正常程序在未被病毒感染前，經(jīng)過提呈后得到抗體集合（Ab），描述為

定義6（檢測器）檢測器分成未成熟檢測器和成熟檢測器，主要用于對非自體抗原的檢測。設(shè)檢測器為D，未成熟檢測器為Dn，成熟檢測器為Dm，描述為

其中：fmatch（g，b）為匹配函數(shù)，表示耐受過程，描述n個抗體與m個抗原進行匹配，β為自體耐受匹配程度閾值，如果函數(shù)返回1表示匹配成功，將被淘汰，否則耐受成功，成為成熟檢測器。

定義7（檢測函數(shù)）引用匹配函數(shù)實現(xiàn)對抗原的檢測操作，當(dāng)抗原進入檢測器，激發(fā)二次應(yīng)答，成熟檢測器對其進行檢測，描述為

上述函數(shù)表示n個成熟檢測與m個抗原匹配，如果匹配成功，返回結(jié)果1，表示檢測器識別了該抗原，即發(fā)現(xiàn)病毒。

2.2 算法實現(xiàn)

本研究模型涉及兩個算法，自體耐受算法和檢測算法。自體耐受過程通過未成熟檢測器與抗體集的匹配，產(chǎn)生成熟檢測器。在實際應(yīng)用中經(jīng)過連續(xù)迭代產(chǎn)生足夠數(shù)量的成熟檢測器，再利用成熟檢測器來檢測非自體抗原。

2.2.1 自體耐受算法

根據(jù)本文定義的定義域隨機生成一串二進制字符，作為初始的未成熟檢測器，把未成熟檢測器與抗體集循環(huán)匹配，如果匹配不成功則存活，成為成熟檢測器。成熟檢測器經(jīng)過進化變異形成未成熟檢測器，然后再經(jīng)歷耐受學(xué)習(xí)，這是一個迭代過程。當(dāng)成熟檢測器數(shù)量超過預(yù)設(shè)值，則根據(jù)LRU原則“淘汰”到記憶檢測器中，其流程如圖2所示，偽代碼描述如下。

圖2 自體耐受流程

2.2.2 檢測算法

從自體耐受算法獲得了足夠多（數(shù)量可根據(jù)精度需求自定）的成熟檢測器后，才能進行病毒檢測，如果成熟檢測器數(shù)量較少則檢測效果很弱，漏檢的概率較高，例如成熟檢測器集中只有一個或者為空集。經(jīng)過多次迭代產(chǎn)生足夠的成熟檢測器，則識別能力顯著增強。其偽代碼描述如下。

3 仿真實驗

為了驗證本模型的性能，本文設(shè)計了一個模擬仿真試驗，以收集的真實實驗數(shù)據(jù)為基礎(chǔ)，并與傳統(tǒng)的病毒檢測方法進行對比，來分析免疫模型的性能。

3.1 實驗環(huán)境

使用IBM服務(wù)器X3650M4作為實驗機，主要配置：CPU為Intel至強E5-2600，內(nèi)存4GB，500GB硬盤，操作系統(tǒng)為Microsoft Windows 2003，云平臺使用Google Compute Engine，開發(fā)工具為Visual Studio 2010。為了保證實驗機純凈環(huán)境，除操作系統(tǒng)自帶軟件外，不再安裝其它軟件。

3.2 實驗數(shù)據(jù)

本文選取美國哥倫比亞大學(xué)的數(shù)據(jù)測試集（2D Synthetic Data）［9］，從中選取500個病毒樣本，其中250個樣本包含其特征碼（即認為是已識別的病毒），另250個樣本不包含特征碼（即認為是未知病毒），300個正常程序樣本。從兩種病毒樣本中各隨機抽取200個作為非自體集，從正常程序樣本中隨機抽取250個作為自體集。設(shè)置成熟檢測器數(shù)量n＝1000，為了使成熟檢測器更具有代表性，耐受過程需要更為嚴格的匹配，本實驗自體耐受匹配程度閾值β＝0.03，而在病毒檢測過程中匹配程度閾值高一些意味著檢測精度更高，減低誤檢率，但如果設(shè)置過大誤檢率也會提高，經(jīng)過試驗，成熟檢測器匹配程度閾值設(shè)為β＝0.9較為合適。首先隨機生成未成熟檢測器，隨機選取正常程序樣本200個生成抗體，經(jīng)過自體耐受后生成若干成熟檢測器。本文為了方便比較，行為特征檢測法采用文獻［10］所介紹的基于行為特征的檢測方法。

3.3 實驗結(jié)果

通過實驗得到3種檢測方法的比較結(jié)果（見圖3）可以看出，免疫檢測模型在成熟檢測器數(shù)量較少時檢測率較低，這是因為當(dāng)成熟檢測器較少時識別能力比較有限。特征碼檢測法和行為特征檢測法兩條曲線受成熟檢測器數(shù)量的影響較小，這兩種檢測方法的檢測率維持在80%左右；當(dāng)成熟檢測器逐漸增多后免疫檢測模型有明顯優(yōu)勢，最高可達到98%。這得益于不斷的學(xué)習(xí)耐受，以獲取越來越多的成熟檢測器。云平臺是一個大數(shù)據(jù)量平臺環(huán)境，免疫檢測模型在這種環(huán)境下能夠得到充分的學(xué)習(xí)，不斷壯大成熟檢測器的規(guī)模，因此，能夠獲得很高的檢測率。

圖3 檢測率比較

本實驗還特別測試了誤檢率問題，由圖4可以發(fā)現(xiàn)，開始時免疫檢測模型誤檢率較高，在成熟檢測器較多時下降很快，甚至低于5%，而其他兩種檢測方法的誤檢率相對較高，原因在于特征碼檢測法針對已知病毒收集其特征碼，并進行比較，這種情況下檢測率很高，碰到隨機抽取的未知病毒就會出現(xiàn)誤檢的情況；行為特征檢測法存在的問題是病毒行為和正常程序行為難以界定，并無明顯的界線，這是其誤檢率較高的原因。

圖4 誤檢率比較

4 結(jié)束語

云平臺網(wǎng)絡(luò)環(huán)境復(fù)雜，隨時都可以遭遇病毒，本文針對性地提出了一種基于人工免疫檢測模型，通過自體不斷學(xué)習(xí)耐受，獲取越來越多的成熟檢測器，不斷提高病毒的識別能力，仿真實驗證明免疫模型明顯優(yōu)于另外兩種檢測方法，誤檢率較低；并且模型具備學(xué)習(xí)能力，迭代學(xué)習(xí)的次數(shù)越多，識別能力越強，因此，能適應(yīng)不斷變化的云平臺環(huán)境。

［1］AYDIN I，KARAKOSE M，AKIN E.An adaptive artificial immune system for fault classification［J］.Journal of Intelligent Manufacturing，2012，23（5）：1489-1499.

［2］Shiow-Yun Chang；Tsung-Yuan Yeh.An artificial immune classifier for credit scoring analysis［J］.Applied Soft Computing，2012，12（2）：611-618.

［3］WONG N，RAY P，STEPHENS G，et al.Artificial immune systems for the detection of credit card fraud：an architecture，prototype and preliminary results［J］.Information Systems Journal，2012，22（1）：53-76.

［4］BINH L N，HUYHN T L，PANG K K.Combating Mobile Spam through Botnet Detection using Artificial Immune Systems［J］.Journal of Universal Computer Science，2012，18（6）：750-774.

［5］SAMIGULINA G A.Development of decision support systems based on intellectual technology of artificial immune systems［J］.Automation and Remote Control，2012，73（2）：397-403.

［6］王琴琴，何青松，曾劍平，等.一種基于服務(wù)自適應(yīng)的系統(tǒng)可生存性策略［J］.計算機應(yīng)用與軟件，2010，27（8）：226-228.

［7］高超，劉際明，鐘寧，等.郵件網(wǎng)絡(luò)中基于介數(shù)的免疫策略研究［J］.計算機工程，2010，36（5）：18-20.

［8］王維，張鵬濤，譚營，等.一種基于人工免疫和代碼相關(guān)性的計算機病毒特征提取方法［J］.計算機學(xué)報，2011，34（2）：205-215.

［9］李超，劉以泓，邢丹丹.一種基于人工免疫的計算機病毒提取方法［J］.青島大學(xué)學(xué)報：自然版，2011，24（4）：62-64.

［10］劉帥，吳艷霞，馬春光，等.采用Win32API相關(guān)行為分析的未知病毒檢測方法［J］.計算機工程與應(yīng)用，2011，47（27）：119-121.

［責(zé)任編輯：劉文霞］

A method of virus detection on cloud platform based on immune mechanism

FU Long-tian，XU Ge，CHEN Teng-lin

（Minjiang University，F(xiàn)uzhou 350011，China）

With the rapid development of information technology，the virus has become the security threat of the majority of internet users，of which cloud platform and client have suffered from viruses more seriously.Every virus has caused many countries a great loss in the world，and also wasted a lot of manpower and material resources.By using the biological recognition ability for allogeneic，it proposes a detection model based on artificial immune principle to obtain a mature detector by self-tolerance study，which can detect the non self antigens.Simulation results show this method of virus detection with low false detection rate has a strong adaptive capacity.

virus detection；artificial immune；cloud platform；nonself antigens

TP3

A

1671-4679（2015）01-0032-04

2014-07-30

國家青年基金資助項目（61300156）；福建省教育廳資助項目（JB10119）

傅龍?zhí)欤?976－），男，講師，碩士，研究方向：信息安全.