[发明专利]一种新型计算机网络病毒防御系统

权利要求书

1.一种新型计算机网络病毒防御系统，其特征在于，所述新型计算机网络病毒防御系统包括：

端口检测模块，与主控模块连接，用于计算机系统开启进程端口进行实时检测；

病毒监测模块，与主控模块连接，用于用于侦测各客户端在取得因特网通讯服务的过程中该客户端流量中是否存在可疑文件；以监控各客户端的网络流量方式作为侦测是否下载可疑文件的依据，其中通讯服务为电子邮件收发、网页浏览、实时通讯、端对端软件文件分享以及FTP文件传输；

所述病毒监测模块利用相关度和冗余度的概念定义一组最小化的目标函数，用以评价雷达辐射源信号特征子集的质量；其中相关度倾向保留所有与数据结构关联紧密的特征，而冗余度则会排除与已选特征相关度高的特征；二者作为膜微粒群算法的适应度函数；

相关度目标采用熵度量指标，定义如下：

f1(x)=-Σi=1NΣj=1N(sijlg sij+(1-sij)lg(1-sij))]]>

s_ij＝exp(-aD_ij),

其中，N是客户端信号数据样本的个数；a是权重系数，D_ij是样本i和样本j在x所表示的特征子集下的欧式距离；D_a表示所有样本在全空间下欧式距离的平均值。S_ij的取值必须归一化到[0，1]；当选择的特征子集合理时，样本i和样本j若属于同类，则S_ij的取值很小，反之越大；从而f₁(x)选取最小值；

冗余度目标则利用相关系数，当相关系数绝对值越小，特征子集所包含的冗余越小；目标函数定义如下：

f2(x)=1nΣj=1dΣk=1dxjxk|cjk|-nx]]>

cjk=Σi=1N(bij-baj)(bik-bak)Σi=1N(bij-baj)2Σi=1N(bik-bak)2]]>

其中，n_x表示客户端信号特征子集的个数；d是总的特征个数；x_j和x_k分别表示x中第j个和第k个元素的取值；b_ij表示第i个样本在第j个特征上的取值，b_aj表示所有样本在第j个特征上的均值。因此，在特征子集规模确定时，冗余度小的特征子集对应的目标函数f₂(x)越小；

所述客户端信号特征选择方法具体包括：

步骤一，计算Pareto前沿点，根据相关度和冗余度目标函数计算雷达信号特征个体的适应度，并求出当前字符个体中的Pareto前沿点，时间复杂度为O(N²)；

步骤二，初始化外部档案，Pareto前沿点数量小于预设数值R，则直接将所有点存入外部档案中；Pareto前沿点数量大于预设数值，根据公式(5)计算所有Pareto前沿点的拥挤距离，从拥挤距离最小的点开始逐一删除，直至备选存入外部档案的Pareto前沿点数量与预设数值相等；然后将这些前沿点存放在外部档案中；

式中，n表示目标函数的个数，d_i表示第i个字符对象的在种群中的拥挤距离，表示种群中第m个目标函数取得的最大值，表示种群中第m个目标函数取得的最小值，和是第i个字符对象在第m维两侧最临近点的第m个目标函数值，其中

步骤三，调用分裂规则创建基本膜，完成准备工作后，表层膜内开始分裂生成M个基本膜；分裂基本膜数量M与外部档案的Pareto前沿点数量相等；然后将这些存档的Pareto前沿点作为该基本膜内种群的最优个体；最后，将其余各个个体放入距离自身最近的Pareto前沿点所在基本膜中，时间复杂度为O(N×R)；

步骤四，基本膜内独立执行粒子群算法，各个基本膜内，以最先存入外部档案内的Pareto前沿点为种群最优个体，运用公式(3)X_t+1＝X_t+V_t+1和和公式(2)V_t+1＝ω×V_t+c₁×rand()×(pBest-X_t)+c₂×rand()×(gBest-X_t)，

Π＝(V,T,C,μ,ω₁,…,ω_m,(R₁,ρ₁),…(R_m,ρ_m))，计算新的个体速度和位置。并根据最新的位置重新计算适应度；其中，公式(3)中，V_t，V_t+1分别是第t和第t+1次飞行的速度；X_t，X_t+1分别是经过第t和第t+1次飞行后粒子落在的位置；公式(4)中，V为字母表，其所包含元素为字符对象。它是对细胞内新陈代谢元素、物质的抽象；为输出字母表；为催化剂，这些元素在细胞进化过程中即不发生变化，也不产生新的字符。但在某些进化规则中必需有它的参与才能执行，如果不存在规则将无法被执行；μ是包含m个膜的膜结构，各个膜及其所围的区域用标号集H表示，H＝{1,2,…,m}，其中m称为该膜系统的度；ω_i∈V^*(1≤i≤m)表示膜结构μ中的区域i里面含有对象的多重集，V^*是V中字符组成的任意字符对象的集合；R_i(1≤i≤m)是进化规则的有限集，每一个R_i是与膜结构u中的区域i相关联的，ρ_i是R_i中的偏序关系，称为优先关系，表示规则R_i执行的优先关系。R_i的进化规则是二元组(u,v)，通常写成u→v，v中字符可以属于V也可以不属于V，但当某规则执行后产生了不属于V的字符对象时，执行该规则后膜被溶解；u的长度即u所含字符对象的个数称为规则u→v的半径；

步骤五，溶解；完成各自的粒子群算法后，各个基本膜破裂，将新产生的字符(个体)重新释放到表层膜内；

步骤六，计算前沿点，放入外部档案；计算步骤五中所有被释放到表层膜字符的Pareto前沿点；并将这些点存入外部档案中；

步骤七，计算非支配排序，更新外部档案，判断外部档案字符数量是否超出限制，如果超出限制，重新档案内所有字符的拥挤距离；从拥挤距离最小的点开始逐一删除，直至外部档案内字符数量与预设数值相等，时间复杂度为O(D×2R×log(2R))；

步骤八，迭代，判断当前状态是否满足结束循环的条件；如果不满足，则继续执行步骤三；如果满足，执行输出外部存档内的所有字符步骤；

分析模块，与主控模块连接，用于当病毒监测模块监测到客户端在取得网络通讯服务过程中该客户端流量中存在有可疑文件时，在取得网络通讯服务过程中客户端发生网络流量异常的情形，捕捉客户端在取得网络通讯服务过程中的可疑文件的可疑文件样本，并暂存于数据库中以供判断该可疑文件样本中是否存在网络病毒以及该网络病毒可能执行的恶意行为，并生成该可疑文件样本对应的网络病毒行为分析报告；

主控模块，与端口检测模块、病毒监测模块、分析模块、病毒特征库模块、病毒特征匹配模块、病毒隔离模块、病毒查杀模块连接，用于将端口检测模块、病毒监测模块、分析模块数据信息进行存储与处理分析，并对病毒程序进行防御措施；

所述主控模块估计时频重叠信号的双谱方法包括：

接收的时频重叠信号的表达式如下：

y(t)＝x₁(t)+x₂(t)+…x_p(t)+n(t)；

其中x_i(t)表示第i个分量信号，p为分量信号个数，n(t)表示高斯噪声信号，y(t)表示接收的时频重叠信号，其三阶累积量的表达式如下：

C_3y(τ₁,τ₂)＝E[y(t)y(t+τ₁)y(t+τ₂)]；

其中，τ₁，τ₂为两个不同时延；由三阶累积量的性质，高斯噪声的三阶累积量恒等于零，上式表示为：

C3y(τ1,τ2)=C3x1(τ1,τ2)+C3x2(τ1,τ2)+...+C3xp(τ1,τ2);]]>

令即C_3y(τ₁,τ₂)＝C_3x(τ₁,τ₂)；

对C_3y(τ₁,τ₂)进行二次傅里叶变换可得到时频重叠信号的双谱B_3y(ω₁,ω₂)：

B_3y(ω₁,ω₂)＝B_3x(ω₁,ω₂)＝X(ω₁)X(ω₂)X^*(ω₁+ω₂)；

其中，ω₁，ω₂为两个不同频率；

所述主控模块时频重叠MASK的信号模型表示为：

x(t)=Σi=1Nsi(t)+n(t);]]>

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

P(f)=sinπfTπf;]]>

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期；

病毒特征库模块，与主控模块连接，用于存储各类病毒特征信息数据；

病毒特征匹配模块，与主控模块连接、病毒查杀模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库模块内的病毒特征比对，并将对比结果发送到病毒查杀模块进行处理；

病毒隔离模块，与主控模块连接，用于利用模拟服务进程与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

病毒查杀模块，与病毒特征匹配模块、防止病毒反复感染模块连接，用于对病毒特征匹配模块匹配结果进行处理，如果匹配成功则进行查杀，如果没有匹配成功则记录存储查杀信息记录；

防止病毒反复感染模块，与病毒查杀模块连接，用于对病毒查杀模块查杀病毒后，防止病毒被清除后重新释放出病毒和进程，实现再生的能力。