计算机研究论文-先天免疫背景下的计算机病毒保守模式研究探讨Computer Virus Conserved Patterns Based on Innate-Immune System
据CSI/FBI信息安全统计数据,在过去的几年里,尽管差不多100%的计算机用户都安装了反病毒软件、防火墙软件,70-80%安装了入侵检测系统,但计算机病毒带来的经济损失在十二大类信息安全事件中依然名列前茅,甚至有愈演愈烈的趋势。这种现象产生的主要原因是由于新的攻击手段不断出现,各种加密变形技术的涌现,使得新型病毒和变种病毒出现的速度大大加快,而现有的基于已知病毒特征标识和系统先验知识的病毒检测方法表现出被动、滞后的特点,人们迫切需要更加简单高效的病毒检测与防范技术。本质上,计算机病毒的检测问题就是模式的识别问题,其中包括了对于病毒特征模式的描述和模式识别方法两个方面。基于病毒特征标识码的扫描方法能够准确地检测已知病毒,但由于特征标识码容易被改变,因而需要频繁更新用户端病毒特征标识库的内容。基于病毒行为特征的试探式扫描技术,通常需要静态或动态地识别程序中出现的行为特征代码,当各种变形和变种技术出现后,由于病毒程序中被随机地添加了一些无用的字符串,使得静态试探式扫描方法失去应有的效力,而动态试探式扫描方法是以占用系统资源导致主机运行效率明显下降为代价的,无法实现实时在线检测。基于系统正常行为模版的统计分析方法可以检测出未知病毒,但误警率较高。目前普遍采用的病毒特征码扫描技术和统计分析相结合的方法,收到了较好的效果,但用户端仍需要频繁下载病毒特征标识库,且以消耗系统资源为代价,一般的反病毒产品对于普通硬盘的单次扫描时间至少在1个小时以上。
本论文针对现有病毒检测技术存在的问题,受生物体先天性免疫系统最新研究成果的启发,提出计算机病毒的保守模式的概念,在计算机病毒保守模式的特征描述、特征提取、基于病毒保守模式特征规则的在线检测,以及基于计算机病毒保守模式的人工免疫系统模型方面进行了深入的研究,取得了一些成果。论文的主要工作概述如下:(1)提出了计算机病毒保守模式的概念论文首先从生物免疫系统的基本原理出发,分析了免疫系统对于异体入侵识别的方法,受生物体先天免疫系统最新研究成果——天然免疫识别分子对病原体保守性相关分子模式识别原理的启发,提出了计算机病毒保守模式的概念;给出计算机病毒保守模式的定义的数学描述;提出了基于知识树的病毒分类及结构分解方法,描述病毒的结构特征和运行机制之间的映射关系,为病毒的保守性特征向量模式的构成以及基于保守模式的病毒分类推理提供理论基础;采用向量空间模型来描述病毒的结构知识,有效减少了序列模式知识表达方法需要的数据存储空间,减少模式匹配需要的时间;提出了基于统计分析和对比分析的综合分析方法来提取计算机病毒的保守特征函数;(2)对于病毒模式识别问题中的关键技术——模式匹配算法进行了改进论文通过对已有的几种模式匹配算法的深入分析,提出了一种改进的快速多模式字符串匹配算法——NMSA算法,该算法采用AC算法的有限状态机原理构成模式树,又利用比BM算法有更大跳跃的启发函数保证比较大的移动,移动步长均优于AC算法和BM算法,以及AC_BM算法。
该算法无论在单模式匹配还是多模式匹配中都有较好的表现。理论分析和实验数据表明改进的算法明显减少模式匹配需要的时间。(3)将病毒的保守特征模式应用到网络入侵检测以实现病毒的在线检测由病毒保守特征函数构成IDS的检测规则以实现病毒的在线检测;提出基于病毒保守模式强规则的模糊专家系统分类推理方法,解决人工免疫系统中多个特征共同刺激的问题;采用决策树算法学习网络协议规则,实现协议分析预处理过程,提高网络数据负载的处理效率;实验测试结果表明我们的基于决策树的协议分析+改进的字符串模式匹配算法+基于保守模式强规则的计算机病毒检测和推理方法对于提高网络负载的检测效率、降低高速网络数据包的丢包率有非常明显的效果,可以实现病毒的在线检测。(4)提出了一种基于计算机病毒保守模式的人工免疫系统模型在已有的人工免疫系统模型分析的基础之上,提出了一种基于计算机病毒保守模式的人工免疫系统模型,对于新的人工免疫系统的结构、检测器的工作原理、检测器的分布、以及检测器的进化机制进行了详细的阐述。该模型具有自主性、适应性、可扩展性的特点,能够满足大规模的系统对于病毒检测的要求。本论文的目的在于建立一个仿生物体先天性免疫系统中天然免疫识别分子对于病原体保守性相关分子模式识别原理的人工先天性免疫系统模型,使得病毒的检测更加简单、高效,用户端不再需要频繁地更新病毒标识库的内容,可以实现病毒的在线检测。