[发明专利]混合式对等网络中基于免疫算法的病毒检测方法

说明书

技术领域

本发明涉及对等网络中基于免疫算法病毒检测技术，属于计算机网络、信息安全、人工免疫系统的交叉技术应用领域。

背景技术

计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。早期计算机病毒主要是感染宿主计算机，破坏系统文件或者修改硬件信息等，但是随着计算机网络的应用和发展，计算机病毒传播途径由移动磁盘转向计算机网络和因特网，对人们的危害也从单一宿主主机转向计算机网络和因特网。

计算机病毒的发展，特别是变形病毒和网络病毒肆虐，使得反病毒研究者越来越难以找到一个可以满足人们需要的防治病毒的方法。人工免疫的研究带给人们一些启发。因为面对大量的变形病毒，防治计算机病毒的研究陷入一个如何使计算机系统识别哪些是系统应用程序(“自己”)，哪些是病毒(“非己”)的基本问题中。生物免疫系统是由器官、细胞和分子组成的一个复杂系统，在该系统中通过免疫细胞的相互作用来实现准确地识别“自我/非我”、学习记忆、和发起特异性免疫应答等功能。生物免疫系统所具备的这些特点让越来越多的人致力于将人工免疫原理应用于防治病毒和防御黑客入侵方面。

计算机人工免疫原理是基于生物免疫原理而提出来的，具有许多优良的特性，如耐受性，分布性，鲁棒性，自学习性和多样性等。人工免疫理论的基本原则是，把计算机系统看做“自体”，把病毒(或入侵)看做“非自体”或者“抗原”，与已知病毒相对应的可以生成“抗体”，该抗体能够识别“抗原”，“抗体”按照一定的算法进行变异和进化，可以实现免疫应答，并保持自适应性和自稳定性的特征。因此，基于人工免疫理论的病毒检测方法能够自适应地识别新病毒。把人工免疫原理应用到病毒检测中，可以提高系统性能，如完整性，自适应性，健壮性等。例如，一篇中国发明专利文献(申请号为200410022159.X，授权公告号为CN1235108C)中公开了一种计算机病毒检测和识别方法，该方法模拟生物免疫系统，将免疫原理用于特征代码法，并结合行为监测法等传统的计算机病毒检测方法，通过监控计算机系统来检测和发现计算机病毒并获得病毒样本，然后在学习识别阶段通过使用变异进化以及样本文本分析来获得病毒码特征。该方法将生物免疫原理应用于计算机病毒检测，能够检测已知和未知病毒。但该方法仅局限于单个主机的病毒检测，未能与计算机网络相结合；而且在检测器生成过程中仅采用了传统的否定选择算法的自我耐受过程，具有一定的局限性。

对等网络是一种新的网络体系结构，是一种利用因特网边缘资源(存储、计算、内容等等)、非中心化的、自组织的、且所有的或大部分联系是对称的分布式系统。对等网络中节点之间地位都是等同的，即每一个节点可以进行对等的通信，各节点同时具有资源的接收、存储、发送和集成及其对资源的搜索和被搜索功能等。对等网络按照中央化程度分为纯分布式对等网络、集中式对等网络以及混合式对等网络。混合式对等网络集中了纯分布式对等网络的去中心化和集中式对等网络快速查找的优势，是一种网络结构更加灵活的对等网络。混合式对等网络除了具备共享网络中各节点的能力和资源、提高网络资源的利用效率等优点外，同时具有网络性能、可扩展性较好，较容易管理的特点。

如果能够利用混合式对等网络的对等性及直接通信的特点，并结合免疫原理进行计算机网络病毒的检测，不但可以将病毒检测扩展到整个网络，还可以提高病毒检测效率，降低网络中新出现病毒的漏检率。

发明内容

本发明的目的是将基于免疫算法的病毒检测方法与混合式对等网络自身的特点相结合，提出一种混合式对等网络中基于免疫算法的病毒检测方法。

本发明的方法主要是将免疫算法中的否定选择算法和克隆选择算法应用于对等网络中进行病毒检测，网络中的节点共享生成的记忆检测器。在检测未知病毒过程中，在网络中预先设定阈值，当网络中的节点通过自身检测器进行二次匹配后无法判断样本文件是否为病毒时，节点提取样本文件特征码发送至服务器，服务器将该文件特征码加入疑似病毒库，一段时间内，若网络中其它节点向服务器发送相同文件特征码次数超过预先设定的阈值，则服务器判断此可疑文件为病毒，并向网络中的节点发布该消息，使节点做相应处理，分析此病毒特征生成免疫细胞。

混合式对等网络中基于免疫算法的病毒检测方法详细设计：