技術領域

本發明涉及對等網絡中基于免疫算法病毒檢測技術，屬于計算機網絡、信息安全、人工免疫系統的交叉技術應用領域。

背景技術

計算機病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。早期計算機病毒主要是感染宿主計算機，破壞系統文件或者修改硬件信息等，但是隨著計算機網絡的應用和發展，計算機病毒傳播途徑由移動磁盤轉向計算機網絡和因特網，對人們的危害也從單一宿主主機轉向計算機網絡和因特網。

計算機病毒的發展，特別是變形病毒和網絡病毒肆虐，使得反病毒研究者越來越難以找到一個可以滿足人們需要的防治病毒的方法。人工免疫的研究帶給人們一些啟發。因為面對大量的變形病毒，防治計算機病毒的研究陷入一個如何使計算機系統識別哪些是系統應用程序(“自己”)，哪些是病毒(“非己”)的基本問題中。生物免疫系統是由器官、細胞和分子組成的一個復雜系統，在該系統中通過免疫細胞的相互作用來實現準確地識別“自我/非我”、學習記憶、和發起特異性免疫應答等功能。生物免疫系統所具備的這些特點讓越來越多的人致力于將人工免疫原理應用于防治病毒和防御黑客入侵方面。

計算機人工免疫原理是基于生物免疫原理而提出來的，具有許多優良的特性，如耐受性，分布性，魯棒性，自學習性和多樣性等。人工免疫理論的基本原則是，把計算機系統看做“自體”，把病毒(或入侵)看做“非自體”或者“抗原”，與已知病毒相對應的可以生成“抗體”，該抗體能夠識別“抗原”，“抗體”按照一定的算法進行變異和進化，可以實現免疫應答，并保持自適應性和自穩定性的特征。因此，基于人工免疫理論的病毒檢測方法能夠自適應地識別新病毒。把人工免疫原理應用到病毒檢測中，可以提高系統性能，如完整性，自適應性，健壯性等。例如，一篇中國發明專利文獻(申請號為200410022159.X，授權公告號為CN1235108C)中公開了一種計算機病毒檢測和識別方法，該方法模擬生物免疫系統，將免疫原理用于特征代碼法，并結合行為監測法等傳統的計算機病毒檢測方法，通過監控計算機系統來檢測和發現計算機病毒并獲得病毒樣本，然后在學習識別階段通過使用變異進化以及樣本文本分析來獲得病毒碼特征。該方法將生物免疫原理應用于計算機病毒檢測，能夠檢測已知和未知病毒。但該方法僅局限于單個主機的病毒檢測，未能與計算機網絡相結合；而且在檢測器生成過程中僅采用了傳統的否定選擇算法的自我耐受過程，具有一定的局限性。

對等網絡是一種新的網絡體系結構，是一種利用因特網邊緣資源(存儲、計算、內容等等)、非中心化的、自組織的、且所有的或大部分聯系是對稱的分布式系統。對等網絡中節點之間地位都是等同的，即每一個節點可以進行對等的通信，各節點同時具有資源的接收、存儲、發送和集成及其對資源的搜索和被搜索功能等。對等網絡按照中央化程度分為純分布式對等網絡、集中式對等網絡以及混合式對等網絡?；旌鲜綄Φ染W絡集中了純分布式對等網絡的去中心化和集中式對等網絡快速查找的優勢，是一種網絡結構更加靈活的對等網絡?；旌鲜綄Φ染W絡除了具備共享網絡中各節點的能力和資源、提高網絡資源的利用效率等優點外，同時具有網絡性能、可擴展性較好，較容易管理的特點。

如果能夠利用混合式對等網絡的對等性及直接通信的特點，并結合免疫原理進行計算機網絡病毒的檢測，不但可以將病毒檢測擴展到整個網絡，還可以提高病毒檢測效率，降低網絡中新出現病毒的漏檢率。

發明內容

本發明的目的是將基于免疫算法的病毒檢測方法與混合式對等網絡自身的特點相結合，提出一種混合式對等網絡中基于免疫算法的病毒檢測方法。

本發明的方法主要是將免疫算法中的否定選擇算法和克隆選擇算法應用于對等網絡中進行病毒檢測，網絡中的節點共享生成的記憶檢測器。在檢測未知病毒過程中，在網絡中預先設定閾值，當網絡中的節點通過自身檢測器進行二次匹配后無法判斷樣本文件是否為病毒時，節點提取樣本文件特征碼發送至服務器，服務器將該文件特征碼加入疑似病毒庫，一段時間內，若網絡中其它節點向服務器發送相同文件特征碼次數超過預先設定的閾值，則服務器判斷此可疑文件為病毒，并向網絡中的節點發布該消息，使節點做相應處理，分析此病毒特征生成免疫細胞。

混合式對等網絡中基于免疫算法的病毒檢測方法詳細設計：