外文翻譯-基于免疫的網(wǎng)絡(luò)安全風(fēng)險評估

中國科學(xué)F輯信息科學(xué)2005卷48 No.5 557-578 基于免疫的網(wǎng)絡(luò)安全風(fēng)險評估基于免疫的網(wǎng)絡(luò)安全風(fēng)險評估 李濤 計算機科學(xué)系，四川大學(xué)，成都 610065，中國（電子郵箱：）接收 2004 年3月9日；修訂2005年7月10日 摘要摘要：根據(jù)抗體濃度和病原體入侵強度，我們在這里提出了基于免疫學(xué)的模型， 用于網(wǎng)絡(luò)安全風(fēng)險評估(Insre)。在Insre中，給出了網(wǎng)絡(luò)安全領(lǐng)域中的自己，異己，抗 體，抗原和淋巴細(xì)胞的概念和正式定義。然后建立自身耐受，克隆選擇，成熟淋巴 細(xì)胞的生命周期，免疫記憶和免疫監(jiān)視的數(shù)學(xué)模型。建立上述模型，提出了一個用 于網(wǎng)絡(luò)安全風(fēng)險評估的定量計算模型，它是基于抗體濃度的計算建立的。通過使用 Insre，網(wǎng)絡(luò)攻擊的種類和強度，以及網(wǎng)絡(luò)安全的風(fēng)險等級可以進(jìn)行定量計算并實時 得到。我們的理論分析和實驗結(jié)果反映了Insre對于網(wǎng)絡(luò)安全實時風(fēng)險評估而言是一 種好的解決辦法。 關(guān)鍵詞：關(guān)鍵詞：人工免疫系統(tǒng) 攻擊檢測 網(wǎng)絡(luò)安全 風(fēng)險評估 DOI: 10.1360/04yf0140 網(wǎng)絡(luò)安全有兩種風(fēng)險評估方法： 靜態(tài)和實時。 靜態(tài)方法通過靜態(tài)評估網(wǎng)絡(luò)價值、 安全漏洞，和安全事件1，如，COBRA1 ），OCTAVE2等發(fā)生的頻率來評估網(wǎng)絡(luò)。 專注于攻擊系統(tǒng)的靜態(tài)因素時，靜態(tài)方法僅可以對過去網(wǎng)絡(luò)面對的安全風(fēng)險做一個 的粗略評估，不能實時評估網(wǎng)絡(luò)易受到的網(wǎng)絡(luò)攻擊的風(fēng)險。此外，他們不能檢測即 將到來的新網(wǎng)絡(luò)攻擊，因此他們對網(wǎng)絡(luò)安全的復(fù)雜環(huán)境沒有自適應(yīng)能力3。 與靜態(tài)風(fēng)險評估的研究相反，對網(wǎng)絡(luò)安全實時風(fēng)險評估的研究仍在摸索階段并 只有有限的研究可用。1997 年，Jonsson and Olovsson4分析了基于馬爾可夫模型的 攻擊者行為，并根據(jù)系統(tǒng)被攻擊者破壞的概率，預(yù)測了系統(tǒng)可靠性。1999 年，Ortalo 等人5提出基于特權(quán)圖為在 UNIX 中的已知安全脆弱性的一個安全漏洞評估方法。 2002 年，Madan 等人6提出了一個狀態(tài)轉(zhuǎn)換模型來描述當(dāng)系統(tǒng)遇到來自網(wǎng)絡(luò)攻擊時 的系統(tǒng)狀態(tài)，并且提出了一個用于評估安全漏洞和可靠性的方法。2004 年，Chu 等 人7 為網(wǎng)絡(luò)安全提出了一個介于靜態(tài)和實時評估的方法。這個模型能根據(jù)一些簡單 突然變化事件，如操作狀態(tài)改變，元件缺失等來粗略估計網(wǎng)絡(luò)安全。根據(jù)被攻擊者 破壞的已知安全漏洞的概率或時間消耗，上述方法主要致力于網(wǎng)絡(luò)可靠性的評估。 然而，他們無法正確評估網(wǎng)絡(luò)所面臨的系統(tǒng)風(fēng)險。例如，他們無法評估網(wǎng)絡(luò)正在面 對但未被破壞的的風(fēng)險，對于 DDoS 攻擊無計可施。此外，他們不能有效區(qū)分不同 種類的攻擊，并對于未知攻擊無檢測能力。結(jié)果，在實際網(wǎng)絡(luò)環(huán)境中，這些方法的 有效性和實時能力無法滿足網(wǎng)絡(luò)安全風(fēng)險評估的要求。 在計算機網(wǎng)絡(luò)安全和人體中的生物免疫系統(tǒng) （BIS） 之間實際上有一個直接類比。 它們都需要在一個變化的環(huán)境8-13中維持穩(wěn)定性。在 1958 年，Burnet14提出克隆選 擇理論， 第一次解釋了免疫反應(yīng)的特點： 只有被抗原激活的細(xì)胞能夠進(jìn)行克隆過程。 在 1993 年， Kepler and Perelson15發(fā)展了克隆選擇理論， 并討論了體細(xì)胞突變理論， 這在克隆選擇中是一項重要變異。1994 年，F(xiàn)orrest 等人16提出了陰性選擇算法 （NSA） 。之后，Hofmeyr 和 Forrest 等人17-19為人工免疫系統(tǒng)(AIS)提出了一個通用 框架， 并在 ARTIS 的基礎(chǔ)上建立了一個計算機免疫系統(tǒng)(CIS)， ARTIS 被稱為 LISYS 并極大得促進(jìn)了 CIS 的研究。例如，使用手機代理去監(jiān)視網(wǎng)絡(luò)活動，Dasgupta 和 Harmer 等人20,21建立了基于代理，在 ARTIS 上的 CIS 體系結(jié)構(gòu)。Kim22提出了一 個動態(tài)克隆選擇(DynamiCS)的算法，其中，可實時得改變自己的定義。Kim 同樣也 提出了另一個基于實現(xiàn) CIS 的 ARTIS。 人類免疫系統(tǒng)由一系列復(fù)雜的細(xì)胞和保護(hù)器官對抗感染的微粒組成。許多不同 種類的淋巴細(xì)胞（B 細(xì)胞，T 細(xì)胞等）分布在人類全身，人類免疫系統(tǒng)能從自己中 區(qū)分異己，并立刻消滅異己。一旦 B 細(xì)胞和抗原之間的親和力達(dá)到一定臨界值，B 細(xì)胞會進(jìn)行自我克隆并產(chǎn)生許多抗體來抓取更多抗原，導(dǎo)致抗體濃度的急劇增加。 當(dāng)抗原被消滅時，克隆過程將會受到抑制，抗體濃度會下降。在正常情況下，人體 中所有種類的抗體濃度是穩(wěn)定的。因此，抗原入侵強度可以通過計算在人體免疫系 統(tǒng)中的所有種類抗體濃度來評估。 根據(jù)抗體濃度和病原體入侵強度之間的關(guān)系，在這里我們提出一個用于網(wǎng)絡(luò)安 全風(fēng)險評估(Insre)的基于免疫的模型。在 Insre 中，給出了網(wǎng)絡(luò)安全領(lǐng)域的自己，異 己，抗體和淋巴細(xì)胞的概念和正式定義。然后建立了自身耐受，克隆選擇，成熟淋 巴細(xì)胞的生命周期，免疫記憶和免疫監(jiān)視的數(shù)學(xué)模型。在建立了上述模型后，提出 了一個用于網(wǎng)絡(luò)安全風(fēng)險評估的定量模型， 它是基于抗體濃度計算的。 通過使用 Insre， 網(wǎng)絡(luò)攻擊的種類和強度，以及網(wǎng)絡(luò)安全風(fēng)險等級可以定量、實時得計算。 除了實時風(fēng)險評估，Insre 介紹了一種通過計算最大血緣譜系以分類網(wǎng)絡(luò)攻擊的 新方法，并通過檢查最大血緣譜系的基因序列描述每個等級的特點，其中最大血緣 譜系和它的基因序列分別是被檢測到攻擊的種類和特征信息。此外，Insre 已經(jīng)為模 擬在 BIS 中接收疫苗和疫苗接種的過程建立了一個完整程序，提供了一個快速抵抗 類似網(wǎng)絡(luò)攻擊的新方法。 此外，Insre采用了集合代數(shù)方法以定量描述在CIS中的主要元素，如，自己/異己， 抗體/抗原， 淋巴細(xì)胞， 自身耐受， 克隆選擇， 成熟淋巴細(xì)胞的生命周期， 免疫記憶， 免疫監(jiān)視，等。沒有變量或變量賦值，只有表達(dá)式。因此，所有在Insre中的所有 集合的進(jìn)化可以同時實現(xiàn)23。 1 提出模型提出模型 給出字符串集合=0,1 i=1 i ,網(wǎng)絡(luò)協(xié)議(IP)包在網(wǎng)絡(luò) 中轉(zhuǎn)移。抗原(Ag)是 IP 包的特征，由下式給出 Ag=a,b a D,b , a =l,a = APCs b ( ) （1） 其中D = 0,1 l , l是自然數(shù)（常數(shù)） ， a是字符串a(chǎn)的長度。APCs b ( )模擬抗原 遞呈細(xì)胞的功能(APCs),其中，IP 包 b 的特點，如 IP 源地址和目的地址，端口數(shù)， 協(xié)議類型，IP 標(biāo)志，IP 整體數(shù)據(jù)包長度，TCP/UDP/ICMP 字段，等，被提取為抗原 決定簇。 在一個網(wǎng)絡(luò)攻擊檢測系統(tǒng)中，異己模式Nonself Ag()代表了 IP 包來自計算機 網(wǎng)絡(luò)攻擊，而自己模式Self Ag()是正常認(rèn)可的網(wǎng)絡(luò)服務(wù)交易和無惡意背景雜斑， 如此 Self Nonself = Ag, Self Nonself = (2) 對于任意x Ag,運算符APCs和APCs被定義為 x APCsSelfiffx.a APCs(Self) x APCsSelfiffx.a APCs(Self) # $ % & % (3) 在 Insre 中，一個淋巴細(xì)胞用作檢測器以識別異己抗原（網(wǎng)絡(luò)攻擊） ，并由下式 給出 B =d, p,age,count d D, p R,age N,count N (4) 其中 d 是用于同抗原匹配的淋巴細(xì)胞抗體，p 是抗體 d 的抗體濃度，age 是抗體 d 的細(xì)胞年齡，count(親和力)是同抗體 d 匹配的抗原數(shù)量，R 是實數(shù)集合，N 是自然 數(shù)集合。d,p,age 和 count 也同樣被分別稱為淋巴細(xì)胞的 d,p,age 和 count 字段。為了 便于使用淋巴細(xì)胞 x 的字段，下標(biāo)運算符“.”用于提取 x 的特定字段，如 x. fieldname = the value of field fieldname of x. (5) 淋巴細(xì)胞集合 B 包含了兩個子集：成熟淋巴細(xì)胞(Tb)和記憶淋巴細(xì)胞(Mb) 。成 熟淋巴細(xì)胞是對自身耐受但未被抗原激活的淋巴細(xì)胞。記憶淋巴細(xì)胞從成熟淋巴細(xì) 胞進(jìn)化而來，該成熟淋巴細(xì)胞在其生命周期中與足夠多的抗原匹配。因此，我們有 Tb= x x B,y Selfx.d,y Matchx.count 0），該特定 值意味著淋巴細(xì)胞將被激活，克隆并在時間 t 進(jìn)化為記憶細(xì)胞，也就是說可以檢測 到一些新的網(wǎng)絡(luò)攻擊。 Mclonet( ) 和Tclone t( ) 的元素也被稱為免疫細(xì)胞克隆，它將克隆 并產(chǎn)生更多淋巴細(xì)胞以解決相似和更為強烈的攻擊。 淋巴細(xì)胞對抗原有兩種可能反應(yīng)。一個是初級反應(yīng)，它是由成熟細(xì)胞（Tclone） 產(chǎn)生的,并需要一個親和力累積過程，也就是成熟細(xì)胞嘗試學(xué)習(xí)和識別之前未遇到過 的抗原，因而需要一段長學(xué)習(xí)期。因此初級反應(yīng)的效率相對較低。另一個是二級反 應(yīng)，由記憶細(xì)胞（ Mclone ）產(chǎn)生，比初級反應(yīng)更快更強。一旦和抗原匹配，記憶細(xì)胞 將立即被激活。在此時，不需要更多的學(xué)習(xí)過程。 1.5 成熟淋巴細(xì)胞生命周期成熟淋巴細(xì)胞生命周期 其中 等式（29）描述了成熟淋巴細(xì)胞的生命周期，其中Tb t( ) 模仿了成熟細(xì)胞進(jìn)化為 下一代細(xì)胞的過程（對于Tnew t( ) , Tb t( )和 P(t)，請參考 1.4 節(jié)）。Tnewt( ) 是在時間 t 從骨髓模型產(chǎn)生的新成熟細(xì)胞集合。是由免疫克隆產(chǎn)生的新細(xì)胞集合，其中新細(xì) 胞經(jīng)歷了變異和自身耐受過程。Tclone t( ) 是將在時間 t 進(jìn)化為記憶細(xì)胞的成熟細(xì)胞克 隆集合。Tdead t( ) 是在生命周期（0）未與足夠抗原（ 0 ）匹配或在時間 t 將自 己抗原分類成異己的淋巴細(xì)胞集合。 Mclonet( ) 是記憶細(xì)胞克隆集合。 T clone_new t( ) 是模擬克隆過程，其中每個克隆過程產(chǎn)生 . B t1 () Family x ( ) ! “ “ “ # $ $ $ 0 () 個新 細(xì)胞,其抗體通過等式（35）改變。克隆細(xì)胞的數(shù)量與在當(dāng)前系統(tǒng)中基因與那些克隆 細(xì)胞的基因相似的細(xì)胞的細(xì)胞數(shù)量成反比，其中 Family(x)是淋巴細(xì)胞集合，這些淋 巴細(xì)胞的抗體同 x 的抗體相似，且 B t1 () 是當(dāng)前系統(tǒng)在 t-1 時刻包括了記憶細(xì)胞和 成熟細(xì)胞的淋巴細(xì)胞數(shù)量。 fvariationx ( ) 模擬了細(xì)胞變異的過程，其中新細(xì)胞的抗體與 x 的相似。變異的目標(biāo)是新克隆的淋巴細(xì)胞能識別一些被捕獲抗原的變異。因此， 促進(jìn)了系統(tǒng)多樣性。 在成熟淋巴細(xì)胞生命周期中，淋巴細(xì)胞無法有效得發(fā)揮對通過克隆選擇過程被 消滅的抗原分類的功能。然而淋巴細(xì)胞能有效發(fā)揮分類將進(jìn)化為記憶細(xì)胞的抗原的 功能。因此，當(dāng)他們再次入侵系統(tǒng)時，相似抗原能被迅速檢測到。 1.6 動態(tài)免疫記憶模型動態(tài)免疫記憶模型 其中 Tother_machine_clone t( )=Tclone i t( ) i= 1,.,k (),ik (44) K 是網(wǎng)絡(luò)中計算機的數(shù)量，k 是當(dāng)前計算機的序列號。Tclone i t( )是第 i 臺計算機的 Tclonet( )。 等式(37)描述了記憶淋巴細(xì)胞的動態(tài)進(jìn)化。Mb 描述了記憶細(xì)胞進(jìn)化為下一代細(xì) 胞的過程。Mnew是從成熟細(xì)胞進(jìn)化來的新記憶細(xì)胞集合。Mdead模仿了記憶細(xì)胞的死 亡：如果記憶細(xì)胞同被確定為自己抗原的抗原匹配，也就是說，假陽性錯誤發(fā)生， 那么這個記憶細(xì)胞將被消滅。Mclone t( ) 是在時間 t 被激活記憶細(xì)胞集合，其抗體濃度 增加。 Mb t( ) 是在時間 t 未被抗原激活的記憶細(xì)胞集合，其抗體濃度應(yīng)被減少。 (0,自然數(shù))是記憶細(xì)胞的抗體濃度維持期。當(dāng)記憶細(xì)胞 y 克隆時，包括剛從 成熟細(xì)胞進(jìn)化而來的新記憶細(xì)胞的克隆，我們根據(jù)等式(39)或等式(42)提高抗體濃度， 其中1 0 ()，y.p, 2 0()分別是抗體濃度增加，當(dāng)前抗體濃度和獎勵因子（檢測連 續(xù)類似攻擊）。然而，如果在 期間記憶細(xì)胞不能同任何抗體匹配，根據(jù)理論 1， 抗體濃度將會減少至 0，也就意味著這種攻擊被消滅了（注意，這里 x.age 意味著 x 多久未被激活）。然而，如果一個記憶細(xì)胞在 期間同抗原匹配，其抗體濃度會累 積（見等式(39)）,這意味著這種攻擊持續(xù)增強。 Tother_machine_clone t( )是在時間 t 的網(wǎng)絡(luò)中其他機器的被激活成熟細(xì)胞集合。當(dāng)成熟 細(xì)胞被抗原激活時（即，檢測到新攻擊），它將被送給其他機器（就像疫苗）。因 此，這些機器將能抵抗相似網(wǎng)絡(luò)攻擊。Tother_machine_clone t( )模仿了從其他機器中接收疫 苗的過程（就像接種疫苗）。 在動態(tài)免疫系統(tǒng)記憶模型中， 記憶細(xì)胞的死亡能減少假陽性和假陰性錯誤概率。 此外，動態(tài)免疫記憶模型，獨立于上述所提出的模型，能克服在傳統(tǒng)入侵檢測系統(tǒng) 中高錯誤率的缺點，提高自適應(yīng)能力。 定理定理 1.如果記憶淋巴細(xì)胞不能同任何抗原匹配并在 期間進(jìn)行自我克隆， 其抗 體濃度將會減至 0 。 證明.假定記憶細(xì)胞 x 和抗原匹配并自我克隆。那么根據(jù)(39)和(42)，x.age = 0。 注意， x.age 在這里意味有多少代 x 未再次與異己抗原匹配。 為了方便起見， 假定 Page 代表了 x 在 age 代的抗體濃度，其中0 0()。也就是說，在中，集合Ag內(nèi)的抗原全部被新抗 原替換。AgNonselft( )和AgSelft( )分別是在時間t被檢測為異己和自己抗原的抗原集合。 QAgt( )是同成熟淋巴細(xì)胞匹配的抗原， 然而， 這些細(xì)胞并未被激活。 換句話說，QAgt( ) 包含了不確定異己抗原。AgSelft( )包含了QAgt( )，這意味著，如果這不是確定異己抗 原元素，抗原被當(dāng)成自己抗原。也就是說，免疫監(jiān)視模型采取了攻擊耐受策略。 1.8 實時風(fēng)險評估實時風(fēng)險評估 在討論網(wǎng)絡(luò)安全風(fēng)險之前， 我們首先給出了在Mb中， Consanguinity 關(guān)系的定義： 給出X Mb, x,y X, x,y Consanguinity, X 是由 Consanguinity 產(chǎn)生的血 親類。如果 X 是血親類在任何 Mb X 元素和 X 元素之間沒有任何 Consanguinity 關(guān) 系，X 被稱為最大血親類。 顯然 Consanguinity 關(guān)系是自反和對稱的，但不傳遞。使 x,y Consanguinity ， 即，在兩個記憶淋巴細(xì)胞 x 和 y 之間有 Consanguinity 關(guān)系，我們知道 x 和 y 有類似 抗體基因。因此，被 x 和 y 檢測到的攻擊應(yīng)來自相同攻擊類型。 假定在Mb中的每個元素是二維空間的一個點。對于任意x,y Mb,如果 x,y Consanguinity，x 和 y 存在邊。因此所有Mb的所有元素能組成一個圖，被稱 為血親圖。為了方便起見，畫血親圖時，有向邊被無向邊取代，從一個頂點開始到 這個點的閉合曲線可忽略。 根據(jù)最大血親類的定義，我們有： 定理定理 3. 在血親圖中一個孤立的點是一個最大血親類；在最大完全子圖中的所有點 形成一個最大血親類；不是一個最大完全子圖的一條邊的兩點，同樣組成一個最大 血親類。 由圖1所示，最大血親類是b , a,c, a,h, c,e, f, c,d, f,g 。 圖1. 血親圖 給出= A1,A2,.,An, Mb 1 = Mb, Mb i = MbAj 1j 0 (),整個風(fēng)險是rkt( )=c 2 1+e ix.p xAit( ) 1 % & ( ) * * * c 0 () 假定k0 k1()是網(wǎng)絡(luò)中計算機k的重要因數(shù)，i0 i1()是網(wǎng)絡(luò)中第i種攻擊 Cigenet( )的危險因數(shù)，根據(jù)定理6和8，我們有定理10： 定理定理 10. 在時間t網(wǎng)絡(luò)面對的第i種攻擊Cigenet( )的安全風(fēng)險Rit( )， 是 c 2 1+e ix.pk k j1jk,xMt( ) b j & ( )( * + ( ,( - . / / / / / / 0 1 2 2 2 2 2 2 xCit( ) 1 - . / / / / / / / / 0 1 2 2 2 2 2 2 2 2 c 0 () ,且整個風(fēng)險 R t( )= ! c 2 1+e ix.pk k j1jk,xMt( ) b j ( ) *) + , ) -) . / 0 0 0 0 0 0 1 2 3 3 3 3 3 3 xCit( ) . / 0 0 0 0 0 0 1 2 3 3 3 3 3 3 i=1 m 1 . / 0 0 0 0 0 0 0 0 1 2 3 3 3 3 3 3 3 3 ! c 0 () 定理定理 11.計算網(wǎng)絡(luò)安全風(fēng)險的時間和空間的復(fù)雜性與網(wǎng)絡(luò)中所有記憶淋巴細(xì)胞的數(shù) 量成線性關(guān)系。 證明證明. 由于新攻擊的產(chǎn)生是很少的，且新攻擊產(chǎn)生時只影響在某個時刻的風(fēng)險計算 （在這個時刻，最大血親類系t( )和 t( )需要重新計算以獲得更多攻擊類型的準(zhǔn)確 信息），當(dāng)考慮到風(fēng)險計算的時間和空間復(fù)雜性時，t( )和 t( )的重新計算可大體 上忽略不計。 對于任意計算機k ， 我們從定理9得知，rkt( )的時間復(fù)雜性是O c Mb k t( ) (),其中， c (0)是在累計一個記憶細(xì)胞的抗體濃度時所耗費的時間 ，由于 gene t( )和每種攻擊 的危險系數(shù)i合并在t( )中， rkt( )的空間復(fù)雜性主要是由t( )和Mb k t( )組成的。 對 于 rkt( )的空間復(fù)雜性，考慮到最壞情況t( )= Mb k t( ) 。那么t( )的空間復(fù)雜性是 同Mb k t( )的相同。因此rkt( )的空間復(fù)雜度是O 2 ! c Mb k t( ) ()，其中 c(0)是一個記憶 細(xì)胞需求的空間。 對于在網(wǎng)絡(luò)環(huán)境中R(t)的時間和空間復(fù)雜度，考慮到最壞的情況 t( )=Mb k t( )= M t( ) k=1 K 。之后，根據(jù)定理10，R(t)的時間復(fù)雜性是O c M t( ) ()。由 于genet( ),每個攻擊的危險因數(shù)i,和 t( )在每臺計算機在網(wǎng)絡(luò)中合并的重要因數(shù) k, R(t)的空間復(fù)雜性是O 2 ! c M t( ) () Q.E.D. 網(wǎng)絡(luò)安全風(fēng)險評估的時間和空間復(fù)雜性是不太重要的，因為其在記憶淋巴細(xì)胞 上是線性的。我們的實驗結(jié)果也顯示網(wǎng)絡(luò)安全風(fēng)險計算與實際網(wǎng)絡(luò)攻擊是同時發(fā)生 的，且?guī)缀鯖]有延遲，因此它有實時計算能力。 2 仿真仿真 在網(wǎng)絡(luò)中共有 40 太計算機處于監(jiān)視之下，被監(jiān)視的網(wǎng)絡(luò)提供了一些如 WWW, FTP, Email, 等的服務(wù)，他們分別能被端口號識別。網(wǎng)絡(luò)受到 20 種攻擊的攻擊，如 syn flood, land, smurf, teardrop,. ,等?？乖?96 位長的二進(jìn)制字符串，其合并了源/ 目標(biāo)地址，端口號，協(xié)議類型，IP 標(biāo)志，IP 總體數(shù)據(jù)包長度，TCP/UDP/ICMP 字段, 等. 總而言之，正常網(wǎng)絡(luò)活動是幾乎無改變的，耐受期=1 (如果正常網(wǎng)絡(luò)活動頻 繁改變，可能大于 1) 。匹配功能采取 r-連續(xù)位匹配原則（r=8）。由于受到計算 機能力的限制，如，內(nèi)存大小，運算速度，等，在系統(tǒng)中淋巴細(xì)胞的數(shù)量被限制在 小于 300，然而，淋巴細(xì)胞越多，系統(tǒng)性能越好?？寺∠嗨屏馨图?xì)胞的比例因數(shù)被 設(shè)定為 1，由于機器能力的限制，它應(yīng)當(dāng)盡可能得大?？乖缕诘闹祽?yīng)盡可能大 （這里， =50）如果確定沒有 IP 包丟失，那么淋巴細(xì)胞可能獲得跟多檢測時間。 成熟細(xì)胞的活動閥值和生命周期的選擇原則能保證較高檢測率(TP) 和較低錯誤 率(FP)。圖 2 和圖 3 顯示了在 TP 和 FP 上的和影響,當(dāng) = 10, = 90 K 時能 獲得一個滿意的結(jié)果。 在實驗中，網(wǎng)絡(luò)環(huán)境下的計算機 A, B, C,.的重要因數(shù)被分別隨機設(shè)為 0.5, 0.2, 0.8,.。 syn flood, land, smurf, teardrop,.的危險因數(shù)被分別隨機設(shè)為 0.8, 0.5, 0.9, 0.5,.。 通過定理9和10能評估整個網(wǎng)絡(luò)和一臺特定計算機面對的一些攻擊和一個特定 攻擊的安全風(fēng)險，其中，c = ! c =1。根據(jù)定理 2 獲得抗體濃度系數(shù)1和2的值。 從定理 1，當(dāng)攻擊結(jié)束時，抗體濃度維持期( ! )將暫時確?？贵w濃度處于保持在 一個較高的水平。這在實際網(wǎng)絡(luò)環(huán)境中是十分重要的，因為假如相同攻擊在短時間 內(nèi)再次發(fā)生，網(wǎng)絡(luò)能保持一個高警戒度。 ! 的值與警報期有關(guān)。圖 4 顯示了1，2 和 ! 在檢測風(fēng)險值上的影響。在實驗中，在網(wǎng)絡(luò)遭受攻擊時，1，2和!的選擇原 則能用于確保一個較高的匹配率， 即， 檢測風(fēng)險曲線和攻擊強度曲線上的匹配率 （攻 擊包/秒，在攻擊結(jié)束時測量） 。實驗結(jié)果顯示，當(dāng)1=0.001，2=0.9998 和!=5000 時，能獲得一個滿意的匹配率 圖 2.在 TP/FP 上活動閥值的影響 圖 3.在 TP/FP 上生命周期的影響 一臺計算機或整個網(wǎng)絡(luò)面對的所有攻擊和特定攻擊的安全風(fēng)險，是分別進(jìn)行評 估的。圖5 分別顯示了計算機A面對的整體攻擊(圖5(a), 計算了如syn flood, land, 等 的所有攻擊)和單個攻擊(圖 5(b), 在所有攻擊中的一個風(fēng)險， 如， syn flood 風(fēng)險) 。 圖6 分別顯示了整個網(wǎng)絡(luò)面對的整體攻擊(圖6(a) 和單個攻擊 (圖6(b), syn flood 風(fēng) 險)。我們從圖5 和圖6 中發(fā)現(xiàn)，當(dāng)網(wǎng)絡(luò)攻擊發(fā)生以及攻擊強度增強時，相應(yīng)的評估 風(fēng)險也會同時增加。此外，當(dāng)攻擊強度減小時，相應(yīng)評估風(fēng)險也會同步減小。然而， 當(dāng)減小斜率主要與抗體濃度維持期 ! 有關(guān)時，安全風(fēng)險曲線的減小斜率比攻擊強度 的小。 這在實際網(wǎng)絡(luò)環(huán)境中是十分重要的， 因為如果相同攻擊在短時間內(nèi)再次發(fā)生， 網(wǎng)絡(luò)能保持一個高警報等級。 如在圖5(a)中所示, 攻擊強度減小的趨勢是從時間0-20， 然而，相應(yīng)風(fēng)險值減小緩慢，系統(tǒng)仍保持一個較高警報等級；當(dāng)在時間21時，高強 度攻擊突然發(fā)生，攻擊風(fēng)險值會迅速升高；從時間21-37，網(wǎng)絡(luò)攻擊強度的提高是不 明顯的，但是只保持在一個相對較高的位置，然而，評估的風(fēng)險依舊在上升，并在 時間37時，到達(dá)最大值。這與真實網(wǎng)絡(luò)環(huán)境一致：網(wǎng)絡(luò)攻擊越強，時間越長，系統(tǒng) 面對的危險越大。 圖 4.抗體參數(shù)1，2和!在檢測風(fēng)險值上的影響 (a) 網(wǎng)絡(luò)面對的真實攻擊強度曲線(b)當(dāng)!= 4000時， 1，2的影響. (c)，和在檢測風(fēng)險值1 = 0.001, 2= 0.9998時，!的影響 實驗結(jié)果顯示風(fēng)險評估與網(wǎng)絡(luò)面對的真實攻擊是一致的，這也意味著該模型能 很好得預(yù)測網(wǎng)絡(luò)風(fēng)險。 當(dāng)計算機或網(wǎng)絡(luò)遭受到網(wǎng)絡(luò)攻擊時，系統(tǒng)性能會降低，我們根據(jù)這一點將安全 風(fēng)險劃分為7個等級，并在表1中列出。在實驗期間，我們發(fā)現(xiàn)計算機或整個網(wǎng)絡(luò)的 性能隨著安全風(fēng)險的上升而下降。當(dāng)安全風(fēng)險等級到達(dá)“較高”等級時，計算機或 網(wǎng)絡(luò)也許會停止工作。且當(dāng)安全風(fēng)險到達(dá)“最高”等級時，在20個實驗中，有16個 實驗的系統(tǒng)崩潰。 然而當(dāng)其風(fēng)險等級處于“較低”以下時，系統(tǒng)運行良好。為了定量得實現(xiàn)Insre 與實際的關(guān)聯(lián)性，進(jìn)行了一些統(tǒng)計實驗。實驗在20種攻擊下進(jìn)行了200次。表1也顯 示了Insre的準(zhǔn)確率。為了測試Insre的準(zhǔn)確性，也開展了相應(yīng)的比較實驗（見表2）