否定选择算.ppt

否定选择算法 否定选择算法  1.1 算法功能 1994年，Forrest，Perelson等人提出的否定选择算法成功的模拟了免疫系统识别自我和非 我的免疫耐受过程。这种识别能力源于T细胞(免疫细胞的一种)表面的受体可检测到外来抗原。 在T细胞的产生过程中，通过伪随机遗传重组过程来形成，然后这些细胞通过一个检测过程即 否定选择过程，在胸腺的T细胞(未成熟的T细胞)，对自身蛋白有反应的被破坏，只有那些不与 自身蛋白结合的T细胞可以离开胸腺(成熟的T细胞)此后，这些成熟的细胞就在体内血液中循 环，完成免疫功能，保护身体不受外来抗原损害。 目前，免疫细胞的自体耐受主要由否定选择算法来实现。在入侵检测领域里，使用否定选 择算法生成检测器。 1.2 算法描述 否定选择算法 (如图3.1所示)可概括如下: (1)定义自体为一个长度为L的字符串的集合，S表示“自体”—一个受保护或者监督的集体。例 如，S可以是一个文件片段或者是某个系统与过程的活动模式; (2)产生检测器集合R，每一个R中检测器与任何S中的字符串都不匹配; (3)通过不断地将R中的检测器与S比较来监控S的改变。采用部分匹配规则，两个字符串当且仅 当至少在r个连续 位上一样时才发生匹配，是一个被选定的合适的参数，监督S变化。检测 器与S连续匹配，如果任何检测器都匹配，则一定有变化发生。  否定选择算法  2.2 检测能力 2.3 否定选择算法存在的问题 使用否定选择算法产生的检测器覆盖异己空间越大说明检测器的检测能力也就 越强。理想情况下，检测器的容量越大，则覆盖异己空间也就越广。但实际情况 是，自体集合是一个相对较为有限的空间，而非自体集合多数情况下近似于一个 无穷的空间，要完全覆盖异己空间就需要极其大量的检测器。而从实际应用的情 况来看，有限的系统资源无法满足完全产生这些有效检测器的要求。故产生能覆 盖整个非自体空间的检测器是不现实的。同时，根据3.2.4结论2也为该观点提供 了理论基础:有限的检测器可以保护大量的自体数据集。 现在的问题是如何在检测器容量确定的情况下，尽可能多的覆盖异己空间。 Forrest提出的否定选择算法中，使用r一连续位匹配规则产生的检测器会存在 黑洞，使得覆盖异己空间变小。 Forrest否定选择算法中全长串的:一连续位匹配规则会存在两类漏洞:交叉漏洞 和限长漏洞。 (1)限长漏洞 限长漏洞是漏洞串h至少有一个r位窗口不在S，其它窗口能够和S匹配。 例如:S={110010}，l=3，r=2，则h=101就是一个限长漏洞。因为检测h的检测串必须 以10开头或者以01结尾，但是任何这样的检测串都会与自体匹配而不能生成。 (2)交叉漏洞 交叉漏洞是一个串h不在自我集S中，h中的所有窗口与S相邻窗口交叉。 2.3 否定选择算法存在的问题 下面用有向非循环图DAG来描述这个漏洞。设s={0002，1011}，l=4，r二2，则相应的DAG图(如图3.2所示) 3.黑洞问题讨论 3.1 黑洞产生的原因 尽管希望构造一个完整的有效检测器集合，但是总会有一些Nonself字符串无法被检测到，这些Nonself串就称为“黑洞”。图3.3给出了黑洞的直观形象表达，在形态空间中，self集与Nonself集的界面往往是不规则的，而匹配闽值是固定的，因此有一些Nonself不能被任何检测器检测。 3.2减少黑洞数目 对于给定字符串长度L和匹配闭值r下带有固定匹配率的r连续位匹配算法不可避免地会 出现这样的检测黑洞。对于固定不变的Self集合，不同“形状”的检测器可以覆盖不同的 Nonself集，产生不同的检测黑洞，如果能将不同“形状”的检测器共同作用，那么必然可以 减少黑洞的存在。如图3.4所示 3.3漏洞的判定算法 在描述算法之前首先给出以下几个定义。 定义3.1字符串的r模板:在长度为L的字符串中，只对r个连续位置进行定义，其它l-r个位置的字符可以任意取值，这样的字符串称为字符串r模板。 定义3.2第i头模板:是指从字符串的第i个位置开始有确定的定义，则该模板是第i模板。 定义3.3第j尾模板:是指从字符串的第j+l个位置开始没有确定的定义，则该模板是第j尾模板。 例如，*011***就是一个长