[发明专利]混合式对等网络中基于免疫算法的病毒检测方法

权利要求书

1.一种混合式对等网络中基于免疫算法的病毒检测方法，其特征在于，包括以下步骤：

步骤1)初始化记忆检测器；

步骤2)病毒检测；

步骤3)新生成的记忆检测器共享；

步骤4)利用疑似病毒库判断普通节点无法判断的可疑样本。

2.根据权利要求1所述混合式对等网络中基于免疫算法的病毒检测方法，其特征在于，初始化记忆检测器包括以下步骤：

步骤101)定义自我集为正常的程序代码集合，定义非我集为网络中出现过的已知病毒的特征码集合，随机生成初始未成熟检测器；

步骤102)将随机生成的初始未成熟检测器与自我集进行耐受训练，利用否定选择算法将初始未成熟免疫细胞中与自我集匹配概率达到预先设定的阈值r₀的检测器删除，剩下的为首次成熟检测器；

步骤103)将首次成熟检测器与非我集进行匹配，丢弃匹配概率低于预先设定的阈值r₁的免疫细胞，剩下的成为二次成熟检测器；

步骤104)将入侵抗原和所有成熟免疫细胞进行匹配，若不匹配则删除该免疫细胞；若匹配成功，则此成熟检测器被激活；如在预先设定的时间内成熟检测器中的免疫细胞与抗原匹配次数达到预先设定的次数，则此成熟检测器成为记忆检测器。

3.根据权利要求1所述混合式对等网络中基于免疫算法的病毒检测方法，其特征在于，病毒检测包括以下步骤：

步骤201)将可疑样本文件与记忆检测器进行匹配，若匹配结果高于预先设定的阈值r₂，判断该可疑样本文件为网络中出现过的已知病毒，检测结束；否则，计算记忆检测器与非我集中免疫细胞的亲和力，选择亲和力高于预先设定的阈值r₃的一个子集进行克隆变异，得到变异后的检测器；

步骤202)系统随机生成N个未成熟检测器加入变异后得到的检测器集合，将所得的检测器集合与自我集进行自我耐受，丢弃匹配结果大于预先设定的阈值r₄的免疫细胞，得到一个新的检测器；其中N为预先设定的整数；

步骤203)将可疑样本文件与步骤202)生成的新的检测器进行匹配，若匹配结果大于预先设定的阈值r₅，判断该可疑文件样本为新出现的病毒，同时节点将检测出新病毒的检测器加入记忆检测器；否则，节点提取可疑文件样本的特征码提交服务器，检测结束。

4.根据权利要求1所述混合对等网络中基于免疫算法的病毒检测方法，其特征在于，新生成的记忆检测器共享包括以下步骤：

步骤301)普通节点向服务器发送新的记忆检测器生成消息，此消息中包括本节点的地址信息；

步骤302)服务器收到消息后在网络中广播生成新的记忆检测器的普通节点的地址；

步骤303)其它节点收到服务器的广播消息后，根据服务器提供的生成新的记忆检测器的普通节点地址，直接与该节点交互，获取新的记忆检测器，实现记忆检测器的共享。

5.根据权利要求1所述混合对等网络中基于免疫算法的病毒检测方法，其特征在于，利用疑似病毒库判别普通节点无法判断的可疑样本包括以下步骤：

步骤401)服务器收到普通节点提取到的可疑文件样本的特征码后将其保存至预先设置于服务器中的疑似病毒库；

步骤402)服务器观察网络中其它节点发送的可疑文件样本的特征码，如在预先设定的时间内网络中其它节点向服务器发送相同可疑文件样本特征码的节点数占总节点数比例达到预先设定的阈值r₆，则服务器判断该可疑文件为网络中新出现的病毒；否则，服务器判断该可疑文件为正常文件；

步骤403)服务器将判断结果反馈给普通节点：若该可疑文件为正常文件，服务器将判断结果返回给请求判断的节点；否则，服务器向网络中的节点发布网络中出现新的病毒消息；普通节点收到消息后，判断自身节点有无新病毒的免疫细胞，如果有，节点就不做处理，如果没有，节点分析新病毒的特征码，生成免疫细胞。