外文翻譯-基于免疫的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

中國(guó)科學(xué)F輯信息科學(xué)2005卷48 No.5 557-578 基于免疫的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估基于免疫的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估 李濤 計(jì)算機(jī)科學(xué)系，四川大學(xué)，成都 610065，中國(guó)（電子郵箱：）接收 2004 年3月9日；修訂2005年7月10日 摘要摘要：根據(jù)抗體濃度和病原體入侵強(qiáng)度，我們?cè)谶@里提出了基于免疫學(xué)的模型， 用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估(Insre)。在Insre中，給出了網(wǎng)絡(luò)安全領(lǐng)域中的自己，異己，抗 體，抗原和淋巴細(xì)胞的概念和正式定義。然后建立自身耐受，克隆選擇，成熟淋巴 細(xì)胞的生命周期，免疫記憶和免疫監(jiān)視的數(shù)學(xué)模型。建立上述模型，提出了一個(gè)用 于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的定量計(jì)算模型，它是基于抗體濃度的計(jì)算建立的。通過使用 Insre，網(wǎng)絡(luò)攻擊的種類和強(qiáng)度，以及網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)等級(jí)可以進(jìn)行定量計(jì)算并實(shí)時(shí) 得到。我們的理論分析和實(shí)驗(yàn)結(jié)果反映了Insre對(duì)于網(wǎng)絡(luò)安全實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估而言是一 種好的解決辦法。 關(guān)鍵詞：關(guān)鍵詞：人工免疫系統(tǒng) 攻擊檢測(cè) 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)評(píng)估 DOI: 10.1360/04yf0140 網(wǎng)絡(luò)安全有兩種風(fēng)險(xiǎn)評(píng)估方法： 靜態(tài)和實(shí)時(shí)。 靜態(tài)方法通過靜態(tài)評(píng)估網(wǎng)絡(luò)價(jià)值、 安全漏洞，和安全事件1，如，COBRA1 ），OCTAVE2等發(fā)生的頻率來評(píng)估網(wǎng)絡(luò)。 專注于攻擊系統(tǒng)的靜態(tài)因素時(shí)，靜態(tài)方法僅可以對(duì)過去網(wǎng)絡(luò)面對(duì)的安全風(fēng)險(xiǎn)做一個(gè) 的粗略評(píng)估，不能實(shí)時(shí)評(píng)估網(wǎng)絡(luò)易受到的網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。此外，他們不能檢測(cè)即 將到來的新網(wǎng)絡(luò)攻擊，因此他們對(duì)網(wǎng)絡(luò)安全的復(fù)雜環(huán)境沒有自適應(yīng)能力3。 與靜態(tài)風(fēng)險(xiǎn)評(píng)估的研究相反，對(duì)網(wǎng)絡(luò)安全實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估的研究仍在摸索階段并 只有有限的研究可用。1997 年，Jonsson and Olovsson4分析了基于馬爾可夫模型的 攻擊者行為，并根據(jù)系統(tǒng)被攻擊者破壞的概率，預(yù)測(cè)了系統(tǒng)可靠性。1999 年，Ortalo 等人5提出基于特權(quán)圖為在 UNIX 中的已知安全脆弱性的一個(gè)安全漏洞評(píng)估方法。 2002 年，Madan 等人6提出了一個(gè)狀態(tài)轉(zhuǎn)換模型來描述當(dāng)系統(tǒng)遇到來自網(wǎng)絡(luò)攻擊時(shí) 的系統(tǒng)狀態(tài)，并且提出了一個(gè)用于評(píng)估安全漏洞和可靠性的方法。2004 年，Chu 等 人7 為網(wǎng)絡(luò)安全提出了一個(gè)介于靜態(tài)和實(shí)時(shí)評(píng)估的方法。這個(gè)模型能根據(jù)一些簡(jiǎn)單 突然變化事件，如操作狀態(tài)改變，元件缺失等來粗略估計(jì)網(wǎng)絡(luò)安全。根據(jù)被攻擊者 破壞的已知安全漏洞的概率或時(shí)間消耗，上述方法主要致力于網(wǎng)絡(luò)可靠性的評(píng)估。 然而，他們無法正確評(píng)估網(wǎng)絡(luò)所面臨的系統(tǒng)風(fēng)險(xiǎn)。例如，他們無法評(píng)估網(wǎng)絡(luò)正在面 對(duì)但未被破壞的的風(fēng)險(xiǎn)，對(duì)于 DDoS 攻擊無計(jì)可施。此外，他們不能有效區(qū)分不同 種類的攻擊，并對(duì)于未知攻擊無檢測(cè)能力。結(jié)果，在實(shí)際網(wǎng)絡(luò)環(huán)境中，這些方法的 有效性和實(shí)時(shí)能力無法滿足網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的要求。 在計(jì)算機(jī)網(wǎng)絡(luò)安全和人體中的生物免疫系統(tǒng) （BIS） 之間實(shí)際上有一個(gè)直接類比。 它們都需要在一個(gè)變化的環(huán)境8-13中維持穩(wěn)定性。在 1958 年，Burnet14提出克隆選 擇理論， 第一次解釋了免疫反應(yīng)的特點(diǎn)： 只有被抗原激活的細(xì)胞能夠進(jìn)行克隆過程。 在 1993 年， Kepler and Perelson15發(fā)展了克隆選擇理論， 并討論了體細(xì)胞突變理論， 這在克隆選擇中是一項(xiàng)重要變異。1994 年，F(xiàn)orrest 等人16提出了陰性選擇算法 （NSA） 。之后，Hofmeyr 和 Forrest 等人17-19為人工免疫系統(tǒng)(AIS)提出了一個(gè)通用 框架， 并在 ARTIS 的基礎(chǔ)上建立了一個(gè)計(jì)算機(jī)免疫系統(tǒng)(CIS)， ARTIS 被稱為 LISYS 并極大得促進(jìn)了 CIS 的研究。例如，使用手機(jī)代理去監(jiān)視網(wǎng)絡(luò)活動(dòng)，Dasgupta 和 Harmer 等人20,21建立了基于代理，在 ARTIS 上的 CIS 體系結(jié)構(gòu)。Kim22提出了一 個(gè)動(dòng)態(tài)克隆選擇(DynamiCS)的算法，其中，可實(shí)時(shí)得改變自己的定義。Kim 同樣也 提出了另一個(gè)基于實(shí)現(xiàn) CIS 的 ARTIS。 人類免疫系統(tǒng)由一系列復(fù)雜的細(xì)胞和保護(hù)器官對(duì)抗感染的微粒組成。許多不同 種類的淋巴細(xì)胞（B 細(xì)胞，T 細(xì)胞等）分布在人類全身，人類免疫系統(tǒng)能從自己中 區(qū)分異己，并立刻消滅異己。一旦 B 細(xì)胞和抗原之間的親和力達(dá)到一定臨界值，B 細(xì)胞會(huì)進(jìn)行自我克隆并產(chǎn)生許多抗體來抓取更多抗原，導(dǎo)致抗體濃度的急劇增加。 當(dāng)抗原被消滅時(shí)，克隆過程將會(huì)受到抑制，抗體濃度會(huì)下降。在正常情況下，人體 中所有種類的抗體濃度是穩(wěn)定的。因此，抗原入侵強(qiáng)度可以通過計(jì)算在人體免疫系 統(tǒng)中的所有種類抗體濃度來評(píng)估。 根據(jù)抗體濃度和病原體入侵強(qiáng)度之間的關(guān)系，在這里我們提出一個(gè)用于網(wǎng)絡(luò)安 全風(fēng)險(xiǎn)評(píng)估(Insre)的基于免疫的模型。在 Insre 中，給出了網(wǎng)絡(luò)安全領(lǐng)域的自己，異 己，抗體和淋巴細(xì)胞的概念和正式定義。然后建立了自身耐受，克隆選擇，成熟淋 巴細(xì)胞的生命周期，免疫記憶和免疫監(jiān)視的數(shù)學(xué)模型。在建立了上述模型后，提出 了一個(gè)用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的定量模型， 它是基于抗體濃度計(jì)算的。 通過使用 Insre， 網(wǎng)絡(luò)攻擊的種類和強(qiáng)度，以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等級(jí)可以定量、實(shí)時(shí)得計(jì)算。 除了實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估，Insre 介紹了一種通過計(jì)算最大血緣譜系以分類網(wǎng)絡(luò)攻擊的 新方法，并通過檢查最大血緣譜系的基因序列描述每個(gè)等級(jí)的特點(diǎn)，其中最大血緣 譜系和它的基因序列分別是被檢測(cè)到攻擊的種類和特征信息。此外，Insre 已經(jīng)為模 擬在 BIS 中接收疫苗和疫苗接種的過程建立了一個(gè)完整程序，提供了一個(gè)快速抵抗 類似網(wǎng)絡(luò)攻擊的新方法。 此外，Insre采用了集合代數(shù)方法以定量描述在CIS中的主要元素，如，自己/異己， 抗體/抗原， 淋巴細(xì)胞， 自身耐受， 克隆選擇， 成熟淋巴細(xì)胞的生命周期， 免疫記憶， 免疫監(jiān)視，等。沒有變量或變量賦值，只有表達(dá)式。因此，所有在Insre中的所有 集合的進(jìn)化可以同時(shí)實(shí)現(xiàn)23。 1 提出模型提出模型 給出字符串集合=0,1 i=1 i ,網(wǎng)絡(luò)協(xié)議(IP)包在網(wǎng)絡(luò) 中轉(zhuǎn)移。抗原(Ag)是 IP 包的特征，由下式給出 Ag=a,b a D,b , a =l,a = APCs b ( ) （1） 其中D = 0,1 l , l是自然數(shù)（常數(shù)） ， a是字符串a(chǎn)的長(zhǎng)度。APCs b ( )模擬抗原 遞呈細(xì)胞的功能(APCs),其中，IP 包 b 的特點(diǎn)，如 IP 源地址和目的地址，端口數(shù)， 協(xié)議類型，IP 標(biāo)志，IP 整體數(shù)據(jù)包長(zhǎng)度，TCP/UDP/ICMP 字段，等，被提取為抗原 決定簇。 在一個(gè)網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)中，異己模式Nonself Ag()代表了 IP 包來自計(jì)算機(jī) 網(wǎng)絡(luò)攻擊，而自己模式Self Ag()是正常認(rèn)可的網(wǎng)絡(luò)服務(wù)交易和無惡意背景雜斑， 如此 Self Nonself = Ag, Self Nonself = (2) 對(duì)于任意x Ag,運(yùn)算符APCs和APCs被定義為 x APCsSelfiffx.a APCs(Self) x APCsSelfiffx.a APCs(Self) # $ % & % (3) 在 Insre 中，一個(gè)淋巴細(xì)胞用作檢測(cè)器以識(shí)別異己抗原（網(wǎng)絡(luò)攻擊） ，并由下式 給出 B =d, p,age,count d D, p R,age N,count N (4) 其中 d 是用于同抗原匹配的淋巴細(xì)胞抗體，p 是抗體 d 的抗體濃度，age 是抗體 d 的細(xì)胞年齡，count(親和力)是同抗體 d 匹配的抗原數(shù)量，R 是實(shí)數(shù)集合，N 是自然 數(shù)集合。d,p,age 和 count 也同樣被分別稱為淋巴細(xì)胞的 d,p,age 和 count 字段。為了 便于使用淋巴細(xì)胞 x 的字段，下標(biāo)運(yùn)算符“.”用于提取 x 的特定字段，如 x. fieldname = the value of field fieldname of x. (5) 淋巴細(xì)胞集合 B 包含了兩個(gè)子集：成熟淋巴細(xì)胞(Tb)和記憶淋巴細(xì)胞(Mb) 。成 熟淋巴細(xì)胞是對(duì)自身耐受但未被抗原激活的淋巴細(xì)胞。記憶淋巴細(xì)胞從成熟淋巴細(xì) 胞進(jìn)化而來，該成熟淋巴細(xì)胞在其生命周期中與足夠多的抗原匹配。因此，我們有 Tb= x x B,y Selfx.d,y Matchx.count 0），該特定 值意味著淋巴細(xì)胞將被激活，克隆并在時(shí)間 t 進(jìn)化為記憶細(xì)胞，也就是說可以檢測(cè) 到一些新的網(wǎng)絡(luò)攻擊。 Mclonet( ) 和Tclone t( ) 的元素也被稱為免疫細(xì)胞克隆，它將克隆 并產(chǎn)生更多淋巴細(xì)胞以解決相似和更為強(qiáng)烈的攻擊。 淋巴細(xì)胞對(duì)抗原有兩種可能反應(yīng)。一個(gè)是初級(jí)反應(yīng)，它是由成熟細(xì)胞（Tclone） 產(chǎn)生的,并需要一個(gè)親和力累積過程，也就是成熟細(xì)胞嘗試學(xué)習(xí)和識(shí)別之前未遇到過 的抗原，因而需要一段長(zhǎng)學(xué)習(xí)期。因此初級(jí)反應(yīng)的效率相對(duì)較低。另一個(gè)是二級(jí)反 應(yīng)，由記憶細(xì)胞（ Mclone ）產(chǎn)生，比初級(jí)反應(yīng)更快更強(qiáng)。一旦和抗原匹配，記憶細(xì)胞 將立即被激活。在此時(shí)，不需要更多的學(xué)習(xí)過程。 1.5 成熟淋巴細(xì)胞生命周期成熟淋巴細(xì)胞生命周期 其中 等式（29）描述了成熟淋巴細(xì)胞的生命周期，其中Tb t( ) 模仿了成熟細(xì)胞進(jìn)化為 下一代細(xì)胞的過程（對(duì)于Tnew t( ) , Tb t( )和 P(t)，請(qǐng)參考 1.4 節(jié)）。Tnewt( ) 是在時(shí)間 t 從骨髓模型產(chǎn)生的新成熟細(xì)胞集合。是由免疫克隆產(chǎn)生的新細(xì)胞集合，其中新細(xì) 胞經(jīng)歷了變異和自身耐受過程。Tclone t( ) 是將在時(shí)間 t 進(jìn)化為記憶細(xì)胞的成熟細(xì)胞克 隆集合。Tdead t( ) 是在生命周期（0）未與足夠抗原（ 0 ）匹配或在時(shí)間 t 將自 己抗原分類成異己的淋巴細(xì)胞集合。 Mclonet( ) 是記憶細(xì)胞克隆集合。 T clone_new t( ) 是模擬克隆過程，其中每個(gè)克隆過程產(chǎn)生 . B t1 () Family x ( ) ! “ “ “ # $ $ $ 0 () 個(gè)新 細(xì)胞,其抗體通過等式（35）改變?？寺〖?xì)胞的數(shù)量與在當(dāng)前系統(tǒng)中基因與那些克隆 細(xì)胞的基因相似的細(xì)胞的細(xì)胞數(shù)量成反比，其中 Family(x)是淋巴細(xì)胞集合，這些淋 巴細(xì)胞的抗體同 x 的抗體相似，且 B t1 () 是當(dāng)前系統(tǒng)在 t-1 時(shí)刻包括了記憶細(xì)胞和 成熟細(xì)胞的淋巴細(xì)胞數(shù)量。 fvariationx ( ) 模擬了細(xì)胞變異的過程，其中新細(xì)胞的抗體與 x 的相似。變異的目標(biāo)是新克隆的淋巴細(xì)胞能識(shí)別一些被捕獲抗原的變異。因此， 促進(jìn)了系統(tǒng)多樣性。 在成熟淋巴細(xì)胞生命周期中，淋巴細(xì)胞無法有效得發(fā)揮對(duì)通過克隆選擇過程被 消滅的抗原分類的功能。然而淋巴細(xì)胞能有效發(fā)揮分類將進(jìn)化為記憶細(xì)胞的抗原的 功能。因此，當(dāng)他們?cè)俅稳肭窒到y(tǒng)時(shí)，相似抗原能被迅速檢測(cè)到。 1.6 動(dòng)態(tài)免疫記憶模型動(dòng)態(tài)免疫記憶模型 其中 Tother_machine_clone t( )=Tclone i t( ) i= 1,.,k (),ik (44) K 是網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)量，k 是當(dāng)前計(jì)算機(jī)的序列號(hào)。Tclone i t( )是第 i 臺(tái)計(jì)算機(jī)的 Tclonet( )。 等式(37)描述了記憶淋巴細(xì)胞的動(dòng)態(tài)進(jìn)化。Mb 描述了記憶細(xì)胞進(jìn)化為下一代細(xì) 胞的過程。Mnew是從成熟細(xì)胞進(jìn)化來的新記憶細(xì)胞集合。Mdead模仿了記憶細(xì)胞的死 亡：如果記憶細(xì)胞同被確定為自己抗原的抗原匹配，也就是說，假陽性錯(cuò)誤發(fā)生， 那么這個(gè)記憶細(xì)胞將被消滅。Mclone t( ) 是在時(shí)間 t 被激活記憶細(xì)胞集合，其抗體濃度 增加。 Mb t( ) 是在時(shí)間 t 未被抗原激活的記憶細(xì)胞集合，其抗體濃度應(yīng)被減少。 (0,自然數(shù))是記憶細(xì)胞的抗體濃度維持期。當(dāng)記憶細(xì)胞 y 克隆時(shí)，包括剛從 成熟細(xì)胞進(jìn)化而來的新記憶細(xì)胞的克隆，我們根據(jù)等式(39)或等式(42)提高抗體濃度， 其中1 0 ()，y.p, 2 0()分別是抗體濃度增加，當(dāng)前抗體濃度和獎(jiǎng)勵(lì)因子（檢測(cè)連 續(xù)類似攻擊）。然而，如果在 期間記憶細(xì)胞不能同任何抗體匹配，根據(jù)理論 1， 抗體濃度將會(huì)減少至 0，也就意味著這種攻擊被消滅了（注意，這里 x.age 意味著 x 多久未被激活）。然而，如果一個(gè)記憶細(xì)胞在 期間同抗原匹配，其抗體濃度會(huì)累 積（見等式(39)）,這意味著這種攻擊持續(xù)增強(qiáng)。 Tother_machine_clone t( )是在時(shí)間 t 的網(wǎng)絡(luò)中其他機(jī)器的被激活成熟細(xì)胞集合。當(dāng)成熟 細(xì)胞被抗原激活時(shí)（即，檢測(cè)到新攻擊），它將被送給其他機(jī)器（就像疫苗）。因 此，這些機(jī)器將能抵抗相似網(wǎng)絡(luò)攻擊。Tother_machine_clone t( )模仿了從其他機(jī)器中接收疫 苗的過程（就像接種疫苗）。 在動(dòng)態(tài)免疫系統(tǒng)記憶模型中， 記憶細(xì)胞的死亡能減少假陽性和假陰性錯(cuò)誤概率。 此外，動(dòng)態(tài)免疫記憶模型，獨(dú)立于上述所提出的模型，能克服在傳統(tǒng)入侵檢測(cè)系統(tǒng) 中高錯(cuò)誤率的缺點(diǎn)，提高自適應(yīng)能力。 定理定理 1.如果記憶淋巴細(xì)胞不能同任何抗原匹配并在 期間進(jìn)行自我克隆， 其抗 體濃度將會(huì)減至 0 。 證明.假定記憶細(xì)胞 x 和抗原匹配并自我克隆。那么根據(jù)(39)和(42)，x.age = 0。 注意， x.age 在這里意味有多少代 x 未再次與異己抗原匹配。 為了方便起見， 假定 Page 代表了 x 在 age 代的抗體濃度，其中0 0()。也就是說，在中，集合Ag內(nèi)的抗原全部被新抗 原替換。AgNonselft( )和AgSelft( )分別是在時(shí)間t被檢測(cè)為異己和自己抗原的抗原集合。 QAgt( )是同成熟淋巴細(xì)胞匹配的抗原， 然而， 這些細(xì)胞并未被激活。 換句話說，QAgt( ) 包含了不確定異己抗原。AgSelft( )包含了QAgt( )，這意味著，如果這不是確定異己抗 原元素，抗原被當(dāng)成自己抗原。也就是說，免疫監(jiān)視模型采取了攻擊耐受策略。 1.8 實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估 在討論網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之前， 我們首先給出了在Mb中， Consanguinity 關(guān)系的定義： 給出X Mb, x,y X, x,y Consanguinity, X 是由 Consanguinity 產(chǎn)生的血 親類。如果 X 是血親類在任何 Mb X 元素和 X 元素之間沒有任何 Consanguinity 關(guān) 系，X 被稱為最大血親類。 顯然 Consanguinity 關(guān)系是自反和對(duì)稱的，但不傳遞。使 x,y Consanguinity ， 即，在兩個(gè)記憶淋巴細(xì)胞 x 和 y 之間有 Consanguinity 關(guān)系，我們知道 x 和 y 有類似 抗體基因。因此，被 x 和 y 檢測(cè)到的攻擊應(yīng)來自相同攻擊類型。 假定在Mb中的每個(gè)元素是二維空間的一個(gè)點(diǎn)。對(duì)于任意x,y Mb,如果 x,y Consanguinity，x 和 y 存在邊。因此所有Mb的所有元素能組成一個(gè)圖，被稱 為血親圖。為了方便起見，畫血親圖時(shí)，有向邊被無向邊取代，從一個(gè)頂點(diǎn)開始到 這個(gè)點(diǎn)的閉合曲線可忽略。 根據(jù)最大血親類的定義，我們有： 定理定理 3. 在血親圖中一個(gè)孤立的點(diǎn)是一個(gè)最大血親類；在最大完全子圖中的所有點(diǎn) 形成一個(gè)最大血親類；不是一個(gè)最大完全子圖的一條邊的兩點(diǎn)，同樣組成一個(gè)最大 血親類。 由圖1所示，最大血親類是b , a,c, a,h, c,e, f, c,d, f,g 。 圖1. 血親圖 給出= A1,A2,.,An, Mb 1 = Mb, Mb i = MbAj 1j 0 (),整個(gè)風(fēng)險(xiǎn)是rkt( )=c 2 1+e ix.p xAit( ) 1 % & ( ) * * * c 0 () 假定k0 k1()是網(wǎng)絡(luò)中計(jì)算機(jī)k的重要因數(shù)，i0 i1()是網(wǎng)絡(luò)中第i種攻擊 Cigenet( )的危險(xiǎn)因數(shù)，根據(jù)定理6和8，我們有定理10： 定理定理 10. 在時(shí)間t網(wǎng)絡(luò)面對(duì)的第i種攻擊Cigenet( )的安全風(fēng)險(xiǎn)Rit( )， 是 c 2 1+e ix.pk k j1jk,xMt( ) b j & ( )( * + ( ,( - . / / / / / / 0 1 2 2 2 2 2 2 xCit( ) 1 - . / / / / / / / / 0 1 2 2 2 2 2 2 2 2 c 0 () ,且整個(gè)風(fēng)險(xiǎn) R t( )= ! c 2 1+e ix.pk k j1jk,xMt( ) b j ( ) *) + , ) -) . / 0 0 0 0 0 0 1 2 3 3 3 3 3 3 xCit( ) . / 0 0 0 0 0 0 1 2 3 3 3 3 3 3 i=1 m 1 . / 0 0 0 0 0 0 0 0 1 2 3 3 3 3 3 3 3 3 ! c 0 () 定理定理 11.計(jì)算網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的時(shí)間和空間的復(fù)雜性與網(wǎng)絡(luò)中所有記憶淋巴細(xì)胞的數(shù) 量成線性關(guān)系。 證明證明. 由于新攻擊的產(chǎn)生是很少的，且新攻擊產(chǎn)生時(shí)只影響在某個(gè)時(shí)刻的風(fēng)險(xiǎn)計(jì)算 （在這個(gè)時(shí)刻，最大血親類系t( )和 t( )需要重新計(jì)算以獲得更多攻擊類型的準(zhǔn)確 信息），當(dāng)考慮到風(fēng)險(xiǎn)計(jì)算的時(shí)間和空間復(fù)雜性時(shí)，t( )和 t( )的重新計(jì)算可大體 上忽略不計(jì)。 對(duì)于任意計(jì)算機(jī)k ， 我們從定理9得知，rkt( )的時(shí)間復(fù)雜性是O c Mb k t( ) (),其中， c (0)是在累計(jì)一個(gè)記憶細(xì)胞的抗體濃度時(shí)所耗費(fèi)的時(shí)間 ，由于 gene t( )和每種攻擊 的危險(xiǎn)系數(shù)i合并在t( )中， rkt( )的空間復(fù)雜性主要是由t( )和Mb k t( )組成的。 對(duì) 于 rkt( )的空間復(fù)雜性，考慮到最壞情況t( )= Mb k t( ) 。那么t( )的空間復(fù)雜性是 同Mb k t( )的相同。因此rkt( )的空間復(fù)雜度是O 2 ! c Mb k t( ) ()，其中 c(0)是一個(gè)記憶 細(xì)胞需求的空間。 對(duì)于在網(wǎng)絡(luò)環(huán)境中R(t)的時(shí)間和空間復(fù)雜度，考慮到最壞的情況 t( )=Mb k t( )= M t( ) k=1 K 。之后，根據(jù)定理10，R(t)的時(shí)間復(fù)雜性是O c M t( ) ()。由 于genet( ),每個(gè)攻擊的危險(xiǎn)因數(shù)i,和 t( )在每臺(tái)計(jì)算機(jī)在網(wǎng)絡(luò)中合并的重要因數(shù) k, R(t)的空間復(fù)雜性是O 2 ! c M t( ) () Q.E.D. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的時(shí)間和空間復(fù)雜性是不太重要的，因?yàn)槠湓谟洃浟馨图?xì)胞 上是線性的。我們的實(shí)驗(yàn)結(jié)果也顯示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)計(jì)算與實(shí)際網(wǎng)絡(luò)攻擊是同時(shí)發(fā)生 的，且?guī)缀鯖]有延遲，因此它有實(shí)時(shí)計(jì)算能力。 2 仿真仿真 在網(wǎng)絡(luò)中共有 40 太計(jì)算機(jī)處于監(jiān)視之下，被監(jiān)視的網(wǎng)絡(luò)提供了一些如 WWW, FTP, Email, 等的服務(wù)，他們分別能被端口號(hào)識(shí)別。網(wǎng)絡(luò)受到 20 種攻擊的攻擊，如 syn flood, land, smurf, teardrop,. ,等?？乖?96 位長(zhǎng)的二進(jìn)制字符串，其合并了源/ 目標(biāo)地址，端口號(hào)，協(xié)議類型，IP 標(biāo)志，IP 總體數(shù)據(jù)包長(zhǎng)度，TCP/UDP/ICMP 字段, 等. 總而言之，正常網(wǎng)絡(luò)活動(dòng)是幾乎無改變的，耐受期=1 (如果正常網(wǎng)絡(luò)活動(dòng)頻 繁改變，可能大于 1) 。匹配功能采取 r-連續(xù)位匹配原則（r=8）。由于受到計(jì)算 機(jī)能力的限制，如，內(nèi)存大小，運(yùn)算速度，等，在系統(tǒng)中淋巴細(xì)胞的數(shù)量被限制在 小于 300，然而，淋巴細(xì)胞越多，系統(tǒng)性能越好。克隆相似淋巴細(xì)胞的比例因數(shù)被 設(shè)定為 1，由于機(jī)器能力的限制，它應(yīng)當(dāng)盡可能得大。抗原更新期的值應(yīng)盡可能大 （這里， =50）如果確定沒有 IP 包丟失，那么淋巴細(xì)胞可能獲得跟多檢測(cè)時(shí)間。 成熟細(xì)胞的活動(dòng)閥值和生命周期的選擇原則能保證較高檢測(cè)率(TP) 和較低錯(cuò)誤 率(FP)。圖 2 和圖 3 顯示了在 TP 和 FP 上的和影響,當(dāng) = 10, = 90 K 時(shí)能 獲得一個(gè)滿意的結(jié)果。 在實(shí)驗(yàn)中，網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī) A, B, C,.的重要因數(shù)被分別隨機(jī)設(shè)為 0.5, 0.2, 0.8,.。 syn flood, land, smurf, teardrop,.的危險(xiǎn)因數(shù)被分別隨機(jī)設(shè)為 0.8, 0.5, 0.9, 0.5,.。 通過定理9和10能評(píng)估整個(gè)網(wǎng)絡(luò)和一臺(tái)特定計(jì)算機(jī)面對(duì)的一些攻擊和一個(gè)特定 攻擊的安全風(fēng)險(xiǎn)，其中，c = ! c =1。根據(jù)定理 2 獲得抗體濃度系數(shù)1和2的值。 從定理 1，當(dāng)攻擊結(jié)束時(shí)，抗體濃度維持期( ! )將暫時(shí)確?？贵w濃度處于保持在 一個(gè)較高的水平。這在實(shí)際網(wǎng)絡(luò)環(huán)境中是十分重要的，因?yàn)榧偃缦嗤粼诙虝r(shí)間 內(nèi)再次發(fā)生，網(wǎng)絡(luò)能保持一個(gè)高警戒度。 ! 的值與警報(bào)期有關(guān)。圖 4 顯示了1，2 和 ! 在檢測(cè)風(fēng)險(xiǎn)值上的影響。在實(shí)驗(yàn)中，在網(wǎng)絡(luò)遭受攻擊時(shí)，1，2和!的選擇原 則能用于確保一個(gè)較高的匹配率， 即， 檢測(cè)風(fēng)險(xiǎn)曲線和攻擊強(qiáng)度曲線上的匹配率 （攻 擊包/秒，在攻擊結(jié)束時(shí)測(cè)量） 。實(shí)驗(yàn)結(jié)果顯示，當(dāng)1=0.001，2=0.9998 和!=5000 時(shí)，能獲得一個(gè)滿意的匹配率 圖 2.在 TP/FP 上活動(dòng)閥值的影響 圖 3.在 TP/FP 上生命周期的影響 一臺(tái)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)面對(duì)的所有攻擊和特定攻擊的安全風(fēng)險(xiǎn)，是分別進(jìn)行評(píng) 估的。圖5 分別顯示了計(jì)算機(jī)A面對(duì)的整體攻擊(圖5(a), 計(jì)算了如syn flood, land, 等 的所有攻擊)和單個(gè)攻擊(圖 5(b), 在所有攻擊中的一個(gè)風(fēng)險(xiǎn)， 如， syn flood 風(fēng)險(xiǎn)) 。 圖6 分別顯示了整個(gè)網(wǎng)絡(luò)面對(duì)的整體攻擊(圖6(a) 和單個(gè)攻擊 (圖6(b), syn flood 風(fēng) 險(xiǎn))。我們從圖5 和圖6 中發(fā)現(xiàn)，當(dāng)網(wǎng)絡(luò)攻擊發(fā)生以及攻擊強(qiáng)度增強(qiáng)時(shí)，相應(yīng)的評(píng)估 風(fēng)險(xiǎn)也會(huì)同時(shí)增加。此外，當(dāng)攻擊強(qiáng)度減小時(shí)，相應(yīng)評(píng)估風(fēng)險(xiǎn)也會(huì)同步減小。然而， 當(dāng)減小斜率主要與抗體濃度維持期 ! 有關(guān)時(shí)，安全風(fēng)險(xiǎn)曲線的減小斜率比攻擊強(qiáng)度 的小。 這在實(shí)際網(wǎng)絡(luò)環(huán)境中是十分重要的， 因?yàn)槿绻嗤粼诙虝r(shí)間內(nèi)再次發(fā)生， 網(wǎng)絡(luò)能保持一個(gè)高警報(bào)等級(jí)。 如在圖5(a)中所示, 攻擊強(qiáng)度減小的趨勢(shì)是從時(shí)間0-20， 然而，相應(yīng)風(fēng)險(xiǎn)值減小緩慢，系統(tǒng)仍保持一個(gè)較高警報(bào)等級(jí)；當(dāng)在時(shí)間21時(shí)，高強(qiáng) 度攻擊突然發(fā)生，攻擊風(fēng)險(xiǎn)值會(huì)迅速升高；從時(shí)間21-37，網(wǎng)絡(luò)攻擊強(qiáng)度的提高是不 明顯的，但是只保持在一個(gè)相對(duì)較高的位置，然而，評(píng)估的風(fēng)險(xiǎn)依舊在上升，并在 時(shí)間37時(shí)，到達(dá)最大值。這與真實(shí)網(wǎng)絡(luò)環(huán)境一致：網(wǎng)絡(luò)攻擊越強(qiáng)，時(shí)間越長(zhǎng)，系統(tǒng) 面對(duì)的危險(xiǎn)越大。 圖 4.抗體參數(shù)1，2和!在檢測(cè)風(fēng)險(xiǎn)值上的影響 (a) 網(wǎng)絡(luò)面對(duì)的真實(shí)攻擊強(qiáng)度曲線(b)當(dāng)!= 4000時(shí)， 1，2的影響. (c)，和在檢測(cè)風(fēng)險(xiǎn)值1 = 0.001, 2= 0.9998時(shí)，!的影響 實(shí)驗(yàn)結(jié)果顯示風(fēng)險(xiǎn)評(píng)估與網(wǎng)絡(luò)面對(duì)的真實(shí)攻擊是一致的，這也意味著該模型能 很好得預(yù)測(cè)網(wǎng)絡(luò)風(fēng)險(xiǎn)。 當(dāng)計(jì)算機(jī)或網(wǎng)絡(luò)遭受到網(wǎng)絡(luò)攻擊時(shí)，系統(tǒng)性能會(huì)降低，我們根據(jù)這一點(diǎn)將安全 風(fēng)險(xiǎn)劃分為7個(gè)等級(jí)，并在表1中列出。在實(shí)驗(yàn)期間，我們發(fā)現(xiàn)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)的 性能隨著安全風(fēng)險(xiǎn)的上升而下降。當(dāng)安全風(fēng)險(xiǎn)等級(jí)到達(dá)“較高”等級(jí)時(shí)，計(jì)算機(jī)或 網(wǎng)絡(luò)也許會(huì)停止工作。且當(dāng)安全風(fēng)險(xiǎn)到達(dá)“最高”等級(jí)時(shí)，在20個(gè)實(shí)驗(yàn)中，有16個(gè) 實(shí)驗(yàn)的系統(tǒng)崩潰。 然而當(dāng)其風(fēng)險(xiǎn)等級(jí)處于“較低”以下時(shí)，系統(tǒng)運(yùn)行良好。為了定量得實(shí)現(xiàn)Insre 與實(shí)際的關(guān)聯(lián)性，進(jìn)行了一些統(tǒng)計(jì)實(shí)驗(yàn)。實(shí)驗(yàn)在20種攻擊下進(jìn)行了200次。表1也顯 示了Insre的準(zhǔn)確率。為了測(cè)試Insre的準(zhǔn)確性，也開展了相應(yīng)的比較實(shí)驗(yàn)（見表2）