Network state Suspicion model Research Ground on Ground On immune state immune state transformed
1.1 Introduction
In network ， with circumstance , hour, and required changed ， network Security detection request can all the more highly active , self adapting , extendible, to insure entire network's perfection, confidentiality and usability. Ground on invasiondetection systemdetection system's networksecuritydetection systemmostly use anomaly detection and misusedetection two technology. Whereas these have much similar place with creature Immunization, so artificialimmunity design to Network Security detection already takingdefinite payoff. At first distributing type artificialimmunitysystem model ARTIS[55][56][57] by professor Forrest, and also distributing type multi -agent computer immune system Ground On immunogenic rational by professor Ballet [58] and Network Invasion detection model ground on dynamic state colonelselection by Professor Kim [59][60][61] and so on .Yet these returns none so soundness, presence part of defect. For instance check the net Security detection system's auto/no check adopt for static state description, flexibility favorable, insatiability wants and needs of verity networkenvironment, so system misstatement rate , missing rate higher .On the other hand immunes detection corpuscle(detector) in that evolution weed course thong lack dynamic buffering Mechanism, some to invasiondetection ponderability want functionary detector only by in a certain period of time originallytherewith commensurate permanent electrode furnace form change into auto-bring about should detector stand lost go down the drain .
本文提出一种基于人工免疫的可以实现免疫状态转换的网络安全态势觉察模型NSSPM(Network Security Situation Perception Model)，在模型中定义了不变自体、已变自体、非自体、抗原、抗体、疫苗等概念，阐述了免疫细胞的动态演化模型，对未成熟检测器的生成采用抗体基因库重组变异与随机产生相结合的方法[62]，并为成熟检测器和记忆检测器设立了3种免疫状态：活跃态、阻塞态、苏醒态，同时设立了相应的状态转移过程：挂起过程、释放过程、激活过程。该模型解决了计算机免疫系统中自体、非自体的动态描述问题，能够实现对网络中已知和未知入侵行为的检测，具有分布式、自学习、鲁棒性等特点；还提出一种基于抗体浓度的记忆免疫检测树，通过动态调整结点顺序，使每次检测时，按照抗体浓度从高到低提取检测器，进行匹配抗原，当抗体浓度随着网络攻击的变化而变化时，及时的调整树中结点顺序，使浓度高的检测器先于浓度低的检测器进行匹配抗原，从而减少无效匹配次数，提高检测效率。
1.2 NSSPM体系结构
整个模型中，主要由抗原集、未成熟检测器集合、成熟检测器集合、记忆检测器集合、自体等组成。模型中主要包括两个主要过程，分别是虚线表示的免疫检测器识别抗原入侵的过程和实现表示的免疫检测器进化的过程，这两个过程同时进行，又相互影响。
检测过程如下：IP包经过抗原提呈得到抗原集合Ag，Ag被记忆检测器Mb、成熟检测器Tb检测后，分为自体Self和非自体NonSelf，将非自体从Ag中删除，剩下的抗原作为自体。初始的自体集合是根据经验预先设置的。

图 3 1 NSSPM体系结构图

免疫检测器进化过程如下：初始的未成熟检测器集合Ib(0)是预先设置的，后续的未成熟检免疫测器集合是部分是随机产生，部分由抗体基因重组变异而成；未成熟检测器集合中免疫细胞经历自体耐受期α后，若没有被删除，将成为成熟检测器集合中的免疫细胞；成熟检测器集合中的免疫细胞在生命周期内与抗原的亲和力达到一定阀值时，将成为记忆检测器中一员，否则将从成熟检测器中删除；成熟检测器中免疫细胞在成为记忆检测器一员的同时，被拆解成基因片段放入抗体基因库中。记忆检测器中的免疫细胞如果与自体匹配或者长期没有与抗原产生亲和力，将导致死亡。
1.3 网络安全态势觉察模型NSSPM
在生物免疫系统中，免疫细胞具有一定的生命周期，经历一个从产生到死亡的动态变化过程。在网络环境下，由于要求的变化、环境的变化等等，正常的网络行为和非正常的网络行为也在不断变化。因此，图3 1 模型的相关组成部分中，自体、非自体、抗原、抗体、各种免疫检测器等都随着时间和环境的变化在不断变化。
1.4.1 自体动态变化
在计算机网络中，为确保网络安全，我们必须知道什么是正常的网络行为，什么是非正常的网络行为。而由于对需求或者环境的变化，如一些以前认为是正常的网络行为，由于新的漏洞的发现或者对网络安全要求的增强，可能这样的网络行为将被禁止；相反一些以前被禁止的网络行为，由于网络安全设备的提高或者需要增加新的服务，可能相应的网络行为将认为是正常的网络行为。在本模型中，自体 代表正常网络行为，非自体 代表可疑网络行为，这些，决定了网络中没有永远不变的自体，自体将根据网络安全管理者的要求而动态变化的。在本模型中将自体分为未变自体和已变自体。

（3-14）
未变自体动态变化
初始未变自体为设置好的自体集合。其生成流程图如下：

（3-15）
在初始状态时，自体 为预先设置的自体集。在 时，在 时刻的未变自体集合 上加入新产生的自体集合 ，同时删除发生变异的自体 ，就得到 时刻的自体集合。 时刻经过记忆检测器和成熟检测器检测的抗原，不是攻击则变为自体，形成 ；同样， 时刻若检测器y与自体x匹配，在协同刺激时确定x为非自体时，自体x将死亡，形成 。 为自体变异为非自体的集合。
未变自体自从成为自体就没有任何变异，但未变自体库却在不断变化。使得自体不断得到扩充，更加完备，满足了真实网络环境中网络行为动态变化的情形，而对于一些由于网络安全和应用要求而将正常网络行为变为异常网络行为的情况，通过协调刺激，使相应自体死亡。这些大大降低了错误否定率。错误否定是指将非法的网络行动认为正常的网络行为。
已变自体动态变化
已变自体初始为空，其变化过程如下：

（3-16）
在 时刻，已变自体集合 为增加从变异历史集合 中变异而来的自体，同时从 时刻已变自体集合 中删除t时刻发生变异的已变自体 。 集合中元素x在上t-1时刻属于已变自体集合 ，但在 时刻，检测器与x匹配，且通过协同刺激确定x已变异为非自体。
由于已变自体变异性很大,在本模型中进行缓存，如果已变自体再次变成非自体时,将被释放。已变自体主要用于由于一些经常改变的网络安全行为或者有时临时的安全行为，提高系统检测效率。

1.4.2 抗体基因库动态变化

（3-17）
G(t)代表t时刻的抗体基因库中抗体基因的集合，在初始状态（t＝0）时，抗体基因库G(t)为初始设置的正常基因库，以概率分析方式随机产生串 。 t>0时，抗体基因库在不断变化，加入由于产生新的记忆检测器而带来的基因片段，这些基因片段组成集合Gnew(t)；同时，记忆检测器由于与自体匹配或者久未激活，就会死亡，这样相应的基因片段也要从抗体基因库中删除，t时刻这些被删除的基因片段组成集合Gvar(t)。
1.4.3 未成熟检测器动态变化
未成熟检测的产生
未成熟检测器是生成成熟检测器、记忆检测器的基础。主要由下面2种方式按照一定比例构成：随机产生，由抗体基因库基因片断组合产生。这样在保持以前父代优势特性的同时，又能使新产生的未成熟检测器具有多样性。

（3-18）
表示t时刻新生成的未成熟检测器。其中 表示随机生成的未成熟检测器， 是t时刻基因交叉生成的未成熟检测器。 和 为二者之间生成的比例参数。对基因片段 和 ，各随机选择单个交叉点，两两配对进行交叉操作，产生新的基因片段 。为了避免盲目交叉，交叉只在相同类型的基因片段之间进行。这样产生的新的未成熟检测器由于遗传了较好的优势抗体基因，可以更快的训练成为成熟检测器，同时有更好的检测抗原的能力。
自体耐受
未成熟检测器的变化如下：

（3-19）
未成熟检测器都必须经历自体耐受，自体耐受过程如下：

（3-20）
其中 为耐受期，大于等于1， 表示 时刻从未成熟检测器进化为成熟检测器的集合。任何一个未成熟检测器都必须经历耐受模型中的否定选择，删除那些能识别自体的为未成熟检测器， 时刻经历过耐受期的未成熟检测器就加入 。
自体耐受使得新生未成熟检测器对正常网络行为的耐受，同时也能很好解决突发网络事件的发生。
1.4.4 成熟检测器动态变化
成熟检测器状态间转换过程的原理分析
如果成熟免疫检测器在生命周期（ ）内匹配到一定数目（ ）的抗原，将会被激活而进化为记忆免疫检测器，否则死亡。成熟检测器在其生命周期内，匹配抗原的时，也具有一个动态演化过程。
成熟检测器包括活跃态成熟检测器、阻塞态成熟检测器、苏醒态成熟检测器。
成熟检测器首先处于活跃态，可用于检测。活跃态成熟免疫检测器与抗原匹配，如果在生命周期 内，活跃态成熟检测器，积累的亲和力超过匹配阈值 ，就进化为记忆检测器。在与抗原匹配过程中，如果活跃态成熟检测器与不变自体匹配，由于不变自体不具有变异性，那么些活跃态成熟测器直接死亡。
当活跃态成熟检测器与已变自体匹配时，我们动态缓存此类活跃态检测器，将该活跃态成熟检测器转换为阻塞态成熟检测器。在检测器阻塞过程中，如果与此阻塞态检测器匹配的自体没有转换为非自体时，此检测器保持阻塞状态；当与之匹配的（动态）自体转换为非自体时，该阻塞态成熟检测器被释放，转换为苏醒态成熟检测器。其中，保持阻塞状态的检测器，如果在它的生命周期 内未被释放，则判定其死亡，并从阻塞态检测器集合中将其删除。
苏醒态成熟检测器，首先与其在阻塞过程中新加入的自体抗原进行耐受，通过耐受的苏醒态成熟检测器，将激活为活跃态成熟检测器，未通过耐受的根据与之匹配的自体类型进行相关操作：与已变自体匹配的苏醒态检测器将再次挂起，转换为阻塞态成熟检测器；与未变自体匹配的苏醒态检测器则直接从苏醒态检测器集合中删除。
1. 各转换状态定义
定义成熟检测器的状态，有以下几种状态：
Q1（initial） 检测器的初始状态，当抗原经自体耐受，经 个耐受期，就进去了激活状态。
Q2（workon）检测器的激活状态，此状态的检测器具有一定的生命周期 ，在生命周期内，该检测器与抗原的亲和力累积到一定的阈值，该状态的成熟检测器就进化为记忆检测器；
Q3（holdon）检测器的挂起状态，当激活状态的检测器或经挂起后释放的检测器，与已变自体匹配时，检测器就时入Q3状态；
Q4（release）检测器的释放状态，当与Q3状态的检测器匹配的已变自体变为非自体时，挂起状态的检测器被释放；另外，处于Q4状态的检测器如果与它在Q3状态向Q4这个状态转变的这段时间内加入的自体不匹配时，此检测器就被激活。
Q5（evolve）检测器的进化状态，当Q2状态的检测器，在生命周期内，与抗原的亲和力累积到一定的阈值，该检测器就时化为记忆检测器，作为记忆检测器的初始状态。
Q6(death)检测器的死亡状态，是检测器集合在整个进化过程中，被淘汰部分。
2. 各转换事件说明
每个检测器处于不同状态情况下，要经历不同的事件，这些事件的定义如下：
E1：检测器与未变自体匹配。
E2：检测器与已变自体匹配。
E3：检测器与自体不匹配。
E4： 检测器的生命周期内，亲和力达到阈值。
E5： 检测器的年龄值超过了生命周期。
E6： ，通过协同刺激确定已变自体x变异成非自体。
E7: ，E7表示未成熟细胞经历了耐受期为 的耐受事件。
3. 状态转换图

图 3 5成熟检测器状态转换图
4. 状态转换矩阵

表3 1 成熟检测器状态转换矩阵
状态 事件 Q1
（init） Q2
(workon) Q3
(holdon) Q4
(release) Q5
(evolve) Q6
(death)
E1 Tb_active
Tb_revive
E2 Tb_active Tb_revive
E3 Tb_active
E4 Tb_active
E5 Tb_active
Tb_wait
E6 Tb_wait
E7 Ib
各状态成熟检测器演化过程原理分析
1. 活跃态成熟检测器动态变化

图 3 6 活跃态成熟检测器流程图

（3-21）
方程（3-21）是当未成熟检测器进化为活跃成熟检测器后的定义。

（3-22）
方程（3-22）表示每匹配一次，活跃成熟检测器的年龄age增加1。

（3-23）