[发明专利]基于计算机免疫的间谍软件自适应诱导与检测方法

权利要求书

1.一种基于计算机免疫的间谍软件自适应诱导与检测方法，其特征在于：包括

以下周而复始执行的步骤：

1)根据间谍软件行为的本质特征，从被监测系统中获取所有运行程序的隐藏外在表现、收集信息和泄露信息3类行为信息；

2)在获取到程序行为信息后，根据一定的规则，将这些行为信息转换成计算机免疫系统能够识别的信号和抗原；

3)模拟人体中的免疫机理，构建人工NK群体，它们能根据抑制信号和活化信号之间的平衡，发现系统中存在的异常情况；

4)在发现异常的情况后，人工NK自身会被激活，并开始释放诱导因子，“设局”引诱间谍软件表现出明显的恶意活动；

5)在释放诱导的同时，人工NK群体还会激活人工APC与其协同工作，人工APC群体能根据有诱导和无诱导时程序行为的差异，检测间谍软件，并根据检测的效果，向人工NK群体反馈诱导的作用效果，使人工NK种群能通过对反馈信息的学习，逐渐进化出较好的诱导方式。

2.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

所述人工NK的构成包括人工NKR集合、细胞适应值、细胞激活度、细胞状态和细胞所携带的诱导因子，其中人工NKR的构成包括受体类别（人工激活受体和人工抑制受体2类）、受体所识别信号的信号源、感知到信号的浓度和该人工NKR的权重。

3.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

所述人工APC的构成包括人工TLR集合、细胞寿命、用来保存捕获抗原的抗原储池和细胞状态，其中人工TLR的构成包括表明该人工TLR识别哪种收集或泄露信息行为的类型type、诱导期内累计与type相匹配行为的计数器、非诱导期内累计与type相匹配行为的计数器、激活阈值、激活状态和权重。

4.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

步骤1中获取的隐藏外在表现、收集信息和泄露信息3类行为主要包括以下具体行为：

1）隐藏外在表现具体包括隐藏文件、进程及自启动注册表项的行为；

2）收集信息行为具体包括按键记录、鼠标活动记录、屏幕截取、浏览网址记录、网页内容记录等行为；

3）泄露信息行为具体包括通过网络将信息发送到远程主机的行为。

5.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

步骤2中将获取的行为信息转换为计算机免疫系统能够识别的信号和抗原的具体方式如下：

抑制信号来源于程序隐藏外表的行为。当系统中没有或仅有极少量的隐藏外表行为时，说明系统处于正常状态，则产生该类信号。隐藏外表的行为越少，该信号的值就越大。

活化信号来源于程序收集信息的行为。当系统中有较多的收集信息行为时，认为系统中存在间谍软件的可能性较大，则产生该类信号。收集信息行为越多，该信号的值就越大。

危险信号来源于有无诱导影响下各程序在收集信息和泄露信息方面表现出的行为数量差异，这个数量差异与诱导因子模拟用户活动总数的比值反映了程序对诱导因子的响应情况，比值越大，说明程序受诱导因子刺激表现出的收集和泄露信息行为越多，系统中存在间谍软件的概率也越大，因此危险信号的值也越大。

抗原为运行程序的进程号，从每条行为信号中提取，表明产生该行为的进程。