CN103593610B - 基于计算机免疫的间谍软件自适应诱导与检测方法 - Google Patents

Abstract

本发明借鉴人体免疫系统中自然杀伤细胞（Natural Killer,NK）诱导潜伏病毒的原理，首次将其引入到计算机免疫系统（Artificial Immune System,AIS）中，提出了基于人工NK细胞的计算机免疫方法来自适应地发现潜伏的间谍软件。在该系统中，人工NK能通过学习和演化，自适应地发现未知间谍软件存在的蛛丝马迹，并释放一些间谍软件感兴趣的“诱饵（诱导因子）”，引诱其实施恶意活动。之后，通过感知和关联这些被激发的恶意活动，免疫系统可以实现间谍软件的最终识别，从而提高间谍软件的检测率。本发明提出的方法能够发现已知和未知的间谍软件，尤其对隐蔽性强的间谍软件具有良好的检测效果。

Description

基于计算机免疫的间谍软件自适应诱导与检测方法

技术领域

本发明属于信息安全技术领域，发明了一种基于计算机免疫的间谍软件自适应诱导与检测方法。

背景技术

从创始之初的恶作剧，到网络犯罪的帮凶，再到网络战的秘密武器，恶意软件在目的、隐蔽性和复杂性等方面，始终没有停下演化的步伐。近年来，随着互联网应用的普及，一种以窃取有价值信息为目的的恶意软件——间谍软件(Spyware)正在成为政府、企业和个人信息资产的头号威胁。

与病毒、蠕虫等传统恶意软件大张旗鼓地搞破坏不同，间谍软件的目的不是破坏计算机系统或在网络中蔓延，而是通过窃取计算机中的隐私或机密信息，为黑客或情报机构带来利益，属于典型的高级持续性威胁(Advanced Persisting Threat,APT)。间谍软件通常由国家或大型组织操控，受政治或经济利益驱使，以特定的政府或企业为攻击目标，采用极具隐蔽性的技术手段，能够在不被察觉的情况下窃取机密或隐私信息，给政府、企业和个人带来巨大的危害，甚至有可能危及社会稳定和国家安全。2012年在伊朗等中东国家肆虐的“火焰(Flame)”恶意软件就是典型代表。

检测技术是防御间谍软件的有效手段之一。目前，间谍软件的检测技术延续了恶意软件检测的思路，总体上分为以下两大类：

1.基于特征码的间谍软件检测方法

基于特征码的方法是目前商用反间谍软件产品常用的检测方法。该方法与杀毒软件的原理类似：用特征库保存已发现的间谍软件的代码特征，若待检测软件的特征存在于特征库中，则该软件被视为间谍软件。由于间谍软件的特征是由安全专家人工分析获得，这种方法具有极高的准确性；然而，该方法最大的不足是无法发现新的或变种的间谍软件，因为特征库中没有这些间谍软件的特征。

2.基于行为的间谍软件检测方法

基于行为的方法不是去寻找特殊的代码特征，而是通过刻画程序的行为来检测间谍软件。自适应、低误报和反潜伏是这类方法期望达到的目标。

早期的行为检测方法关注程序的某一类行为。根据间谍软件需要发送截获的信息这一特点，Shaw等人通过监视本机向未知的或未授权的地址发起连接的方式，检测系统中潜在的间谍软件；而Borders等人构建了通过分析主机外发HTTP流量的Web Tap系统以发现间谍软件。此外，还有许多学者分别从随系统或应用程序启动、隐藏文件、设置系统“钩子”、自我修复和自动安装的行为出发检测间谍软件。单行为的检测方法能发现部分未知的间谍软件，但由于正常应用程序也会有同样的行为，该方法的误报率较高。

为了解决这个问题，多行为关联检测的方法[应运而生。该方法通过将程序的多种行为进行综合分析，降低了间谍软件检测的误报率。这一类的方法主要有动态分析的方法、基于规则的方法和统计学方法。

同时，也有多名学者提出了基于诱导的检测方法来使潜伏的间谍软件表现出显著的活动。这种诱导作用是通过模拟特定的用户活动来实现的，如网络请求模拟、按键模拟和多种活动模拟。尽管这些方法在一定程度上降低了检测的漏报率，但它们使用的诱导手段是静态的、缺乏自适应性的，因此不能发现不同类别的间谍软件。

在基于行为的检测方法中，借鉴机体免疫系统对抗各类病原体原理的计算机免疫系统(AIS)，尤其是以先天免疫系统原理为核心的第二代AIS，由于具有自适应、误报率低、响应快等特点，在间谍软件检测中取得了较好的效果。这些方法借鉴近期备受关注的免疫学“危险模型”学说，通过定义、探察和融合危险信号来发现未知的间谍软件。但在检测潜伏性强的间谍软件时，这些方法也容易因不能产生显著的危险信号而发生漏报。

总的来看，现有的基于行为的检测方法已不同程度的具备了自适应、低误报和反潜伏的能力，但还没有一种方法能同时具备这三种特性。

发明内容

发明目的：鉴于现有间谍软件检测方法的不足，本发明借鉴免疫系统中自然杀伤细胞(NK)诱导潜伏病毒的原理，首次将其引入到计算机免疫系统(AIS)中，与借鉴免疫系统中抗原提呈细胞(APC)行为原理而构建的人工APC一同构成了多细胞协作的计算机免疫系统(如图1所示)，以自适应地检测潜伏的间谍软件。在该系统中，人工NK能通过学习和演化，自适应地发现未知间谍软件存在的蛛丝马迹，并释放一些间谍软件感兴趣的“诱饵(诱导因子)”，引诱其实施恶意活动。之后，人工APC通过感知和关联这些被激发的恶意活动，实现间谍软件的最终识别。

技术方案：本发明包括如下技术方案：

一种基于计算机免疫的间谍软件自适应诱导与检测方法，包括以下周而复始

执行的步骤：

1)根据间谍软件行为的本质特征，从被监测系统中获取所有运行程序的隐藏外在表现、收集信息和泄露信息3类行为信息；

2)在获取到程序行为信息后，根据一定的规则，将这些行为信息转换成计算机免疫系统能够识别的信号和抗原；

3)模拟人体中的免疫机理，构建人工NK群体，它们能根据抑制信号和活化信号之间的平衡，发现系统中存在的异常情况；

4)在发现异常的情况后，人工NK自身会被激活，并开始释放诱导因子，“设局”引诱间谍软件表现出明显的恶意活动；

5)在释放诱导的同时，人工NK群体还会激活人工APC与其协同工作，人工APC群体能根据有诱导和无诱导时程序行为的差异，检测间谍软件，并根据检测的效果，向人工NK群体反馈诱导的作用效果，使人工NK种群能通过对反馈信息的学习，逐渐进化出较好的诱导方式。

所述人工NK的构成包括人工NKR集合、细胞适应值、细胞激活度、细胞状态和细胞所携带的诱导因子，其中人工NKR的构成包括受体类别(人工激活受体和人工抑制受体2类)、受体所识别信号的信号源、感知到信号的浓度和该人工NKR的权重。

所述人工APC的构成包括人工TLR集合、细胞寿命、用来保存捕获抗原的抗原储池和细胞状态，其中人工TLR的构成包括表明该人工TLR识别哪种收集或泄露信息行为的类型type、诱导期内累计与type相匹配行为的计数器、非诱导期内累计与type相匹配行为的计数器、激活阈值、激活状态和权重。

步骤1中获取的隐藏外在表现、收集信息和泄露信息3类行为主要包括以下具体行为：

1)隐藏外在表现具体包括隐藏文件、进程及自启动注册表项的行为；

2)收集信息行为具体包括按键记录、鼠标活动记录、屏幕截取、浏览网址记录、网页内容记录等行为；

3)泄露信息行为具体包括通过网络将信息发送到远程主机的行为。

步骤2中将获取的行为信息转换为计算机免疫系统能够识别的信号和抗原的具体方式如下：

抑制信号来源于程序隐藏外表的行为。当系统中没有或仅有极少量的隐藏外表行为时，说明系统处于正常状态，则产生该类信号。隐藏外表的行为越少，该信号的值就越大。

活化信号来源于程序收集信息的行为。当系统中有较多的收集信息行为时，认为系统中存在间谍软件的可能性较大，则产生该类信号。收集信息行为越多，该信号的值就越大。

危险信号来源于有无诱导影响下各程序在收集信息和泄露信息方面表现出的行为数量差异，这个数量差异与诱导因子模拟用户活动总数的比值反映了程序对诱导因子的响应情况，比值越大，说明程序受诱导因子刺激表现出的收集和泄露信息行为越多，系统中存在间谍软件的概率也越大，因此危险信号的值也越大。

抗原为运行程序的进程号，从每条行为信号中提取，表明产生该行为的进程。

步骤3中所述人工NK群体发现系统中存在异常情况的过程进一步包含以下子步骤：

1)生成初始人工NK群体，其中每个细胞上随机装配多个人工NKR；

2)使用人工NK群体中的所有细胞去识别步骤(2)产生的信号中的抑制信号和活化信号，这个过程通过每个细胞上的人工NKR与信号的匹配过程完成，当人工NKR的类别与信号类别相符，即人工抑制受体匹配抑制信号，人工激活受体能匹配活化信号，且实际信号源与人工NKR所识别的信号源相符时，人工NKR与信号匹配成功；

3)根据细胞中所有人工NKR与每个信号的匹配情况，计算每个细胞的激活度AV和适应值fitness，如果激活度大于预定的激活阈值，则将人工NK的状态设置为激活。激活的细胞越多，则说明系统中存在异常情况的概率越大；激活度与适应值计算公式如下：

${\mathrm{AV}}^{\′}=AV+\underset{mNKRS}{\Σ}Affinity*Weight;$

${\mathrm{fitness}}^{\&prime;}=\left\{\begin{array}{cc}fitness+C_f*N_{mat}/(N_{mat}+N_{semi}),& N_{mat}>N_{semi}\\ fitness-C_f*N_{semi}/(N_{mat}+N_{semi}),& N_{mat}<N_{semi}\end{array}\right.;$

AV和AV’分别表示在感知到某个信号的前后人工NK的激活度，mNKRs表示感知到该信号的人工NKR集，Affinity表示人工NKR的亲和度，Weight表示人工NKR的权重，fitness和fitness’分别为NK变化前后的适应值，C_f为适应值变化系数，N_mat表示成熟的APC数量，N_semi表示半成熟的APC数量；

4)识别完所有信号后，人工NK种群会依据细胞的适应值，删除适应值低于预定阈值的细胞，并通过杂交和变异的方式补充新的细胞，使种群得到进化。

步骤4中人工NK释放诱导因子的主要方式为模拟用户活动，如按键、文件创建和删除、网页浏览、网络请求等。模拟用户活动的类别决定了诱导因子的类型；

每个诱导因子的作用过程通过至少2个周期完成，每个周期又先后分为诱导期和非诱导期2个等长的时间阶段，在诱导期，诱导因子模拟相应类别的用户活动；而在非诱导期，诱导因子不模拟用户活动。

步骤5中人工APC群体的激活、检测间谍软件、向人工NK群体反馈诱导的作用效果过程进一步包含以下步骤：

1)在释放诱导因子的同时，人工NK种群还会通过改变人工APC状态的方式活化人工APC群体中的部分细胞；

2)活化的人工APC处于不成熟状态，与诱导因子配合，开始利用其人工TLR分别累计诱导因子不同时期(诱导期和非诱导期)的收集和泄露信息行为的数量，通过计算诱导期与非诱导期泄露信息行为数量的差异与诱导因子模拟用户活动的总数的比值，人工TLR生成危险信号。同时，人工APC还会获取产生泄露信息行为的进程ID，将它们保存在细胞中，以进行进一步的分析；

3)人工APC综合所有人工TLR生成的危险信号计算该细胞的成熟度Mature，若Mature超过预定的阈值时，说明有较强的证据表明系统中存在间谍软件，此时的APC会转变到成熟状态，并将其捕获的所有抗原标记为“危险”；否则，APC会转变为半成熟状态，并将其捕获的所有抗原标记为“安全”，计算公式如下：

$Mature=\frac{{\mathrm{\&Sigma;}}_{i=1}^{N_{TLR-A}}{\mathrm{DS}}_i*{\mathrm{TLR}}_i.Weight}{{\mathrm{\&Sigma;}}_{i=1}^{N_{TLR-A}}{\mathrm{TLR}}_i.Weight}$

N_TLR-A是激活的TLR的总数，TLR_i是第i个激活TLR的值，DS_i是第i个激活TLR生成的危险信号的值，Weight表示人工NKR的权重；

4)综合多个人工APC对其捕获抗原的分类结果，计算每类抗原(以抗原的活跃进程名称分类)的恶意抗原系数MAC，若MAC大于预定的阈值时，则说明该类抗原为间谍软件，计算公式如下：

MAC_i＝D_i/∑Antigen；

MAC_i表示第i类抗原的MAC值，D_i表示上下文为“危险”的第i类抗原数，∑Antigen表示所有提呈抗原的总数；

5)在人工APC种群完成了群体决策后，会向人工NK种群反馈所释放诱导因子的诱导效果。反馈的结果是改变诱导因子类别的比重，及携带该类诱导因子的人工NK的适应值。当成熟的人工APC数量多于半成熟的人工APC数量，则增大该诱导因子类别的比重和携带该类诱导因子的人工NK的适应值。反之，则降低该类诱导因子的比重和携带该类诱导因子的人工NK的适应值。

所述人工NK种群的进化主要包含以下步骤：

1)删除人工NK细胞种群中适应值低于预定阈值的细胞；

2)利用杂交的方式生成与删除细胞等量的新细胞。在这个过程中，不断从现有的种群中选择两个适应值高的父体细胞，通过遗传算法中单点杂交的方式交换父体细胞的人工NKR序列，产生两个新生的人工NK，直至生成足够的新生细胞。新生细胞重组了父代细胞的人工NKR“基因”，并继承了种群中比例较大的诱导因子。

3)按一定的概率对新生的细胞进行变异，包括将人工NKR和诱导因子分别变异成另外一种类型。

有益效果：本发明的优势主要体现以下几个方面：

1.借鉴人体先天免疫系统中NK发现潜伏病毒的原理，首次将NK引入到计算机免疫系统中，以应对间谍软件潜伏的特性。通过学习和演化，人工NK种群能自适应地释放合适的诱导因子，引诱未知的间谍软件表现出明显的活动，降低它们逃避检测的可能。

2.在本发明提出的诱导因子的基础上，从系统中程序对诱导因子响应的角度，给出了危险信号的定义方式。与原有计算机免疫系统从对系统造成危害角度定义危险信号相比，采用这种定义方式的计算机免疫系统在检测潜伏间谍软件时，能生成更显著的危险信号，进而提高了潜伏间谍软件的检测率。

3.本发明基于自适应的计算机免疫方法，采用诱导策略，从多种行为出发检测间谍软件，同时具备了自适应、低误报和反潜伏的能力，相比现有方法具有显著的整体能力优势。

附图说明

图1是基于计算机免疫的间谍软件诱导与检测原理示意图；

图2原型系统中程序外在表现类采集器的“交叉扫描”原理示意图；

图3人工NK的生命周期示意图。

具体实施方式

下面将结合附图对本发明的技术方法进行详细说明。基于计算机免疫的间谍软件自适应诱导与检测方法和系统的实施过程主要分为5个步骤，每个步骤的具体实施方案如下所示：

1.系统行为感知

尽管间谍软件行事比较低调，但为了达到获利的目的，必然会实施某些行为。对这些行为的感知，是计算机免疫系统发现潜伏间谍软件的起点。间谍软件的固有行为主要分为以下三类：

1)隐藏外表行为

间谍软件通常会隐藏自身的存在，这主要是通过对自身文件、进程及相关注册表项(用于间谍软件的自启动)的隐藏来实现的。由于正常应用程序很少具有此类行为，因此当这种行为出现时，可认为系统中存在间谍软件的可能性很大。但没有这种行为时，也不能断定系统中不存在间谍软件。

2)收集信息行为

收集信息是间谍软件必须要实施的行为。这些行为的种类较多，包括按键记录、鼠标活动记录、屏幕截取、浏览网址记录、网页内容记录等。虽然它们是间谍软件的重要行为特征，但孤立来看每个行为，都有可能是正常应用程序的行为。

3)泄露信息行为

泄露信息也是间谍软件必须要实施的行为。间谍软件泄露信息的方式通常包括将截获的信息保存在文件中，或通过网络(利用邮件、FTP、即时消息等)发送到远程主机。与间谍软件收集信息的行为类似，单独来看每个泄露信息的行为，无论是文件访问还是网络发送，都很可能是正常程序实施的。

从上述三类行为可以看出，间谍软件的行为具有与正常应用程序行为相似的特点。因此，在检测间谍软件时，不能依赖单独的行为，而要结合上下文，将这些行为综合考虑，以降低伪肯定率。

对这些行为的获取通过系统行为采集器来完成，以Windows NT操作系统为例，需要的采集器如下，它们采集的具体指标如表1所示：

1)隐藏进程采集器：获取系统中所有隐藏进程的信息。

2)系统关键目录隐藏文件采集器：获取指定关键目录下隐藏文件和文件夹的信息。

3)隐藏自启动注册表项采集器：获取指定自启动注册表项隐藏键值或隐藏子项的信息。

4)Win32API调用采集器：拦截具有收集信息或泄漏信息(保存在文件中或网络发送)功能的Win API调用，记录这些调用的时间、名称、调用的进程。

表1原型系统中的采集器及采集指标

程序外在表现类采集器利用了“交叉扫描”原理，从Windows操作系统的应用层和内核层分别获取文件、进程和注册表的信息，并通过比较这些信息间的差异，发现程序隐藏自身外在表现的行为，具体原理如图2所示。

Win32API调用采集器利用微软的Detours工具库，通过调用工具库中的相关API，构造全局钩子(Hook)程序，以截获相应的API调用。

2.信号与抗原提取

在获取到程序行为信息后，人工组织会根据一定的规则，将这些行为转换成计算机免疫系统能够识别的信号(包含抑制信号、活化信号和危险信号)和抗原，交由人工NK群体和人工APC群体处理。本步骤首先介绍人工NK群体要处理的抑制信号和活化信号的实施方案，危险信号和抗原将在步骤5中详细说明。

1)抑制信号

抑制信号来源于程序隐藏外表的行为。当系统中没有或仅有极少量的隐藏外表行为时，说明系统处于正常状态，则产生该类信号，以抑制NK激活。隐藏外表的行为越少，该信号的值就越大。式4-1给出了抑制信号的计算方法，其中x表示隐藏外表的行为的频率。进程、文件、注册表等体现了程序外在表现的不同侧面，是抑制信号的不同信号源，其T_ih也不同。

2)活化信号

活化信号来源于程序收集信息的行为。当系统中有较多的收集信息行为时，认为系统中存在间谍软件的可能性较大，则产生该类信号，以激活人工NK。收集信息行为越多，该信号的值就越大。式4-2给出了活化信号的计算方法，其中x表示收集信息行为的频率。收集信息行为的种类很多(如用户按键收集、文件操作活动收集等)，每类行为都是活化信号的不同信号源，其T_al和T_ah也不同。

3.异常情况发现

在收到抑制和活化信号后，人工NK群体能根据它们之间的平衡，发现系统中存在的不同寻常的情况。例如，当活化信号的比重较大时，说明系统中发生了较多的间谍活动，此时人工NK群体中的部分细胞会被激活，以进一步求证是哪个程序使得系统中发生了这样的异常。

NK细胞表达

机体中NK的识别能力由其表面的受体(NK cell Receptor,NKR)决定，而应答作用主要由其分泌的细胞因子决定。因此，抽取机体NK的基本要素，本发明构造的人工NK表示为以下五元组：

NK(NKRs,Fitness,AV,Status,IC)

1)NKRs：每个人工NK包含N_NKR个人工NKR，机体中NKR的分为杀伤细胞抑制受体(Killer cell Inhibitory Receptor,KIR)和杀伤细胞活化受体(Killer cell ActivatingReceptor,KAR)两类，人工NKR同样也分为人工KIR和人工KAR两类，共同决定是否激活人工NK。

2)Fitness：在演化的过程中，人工NK种群总是在不断地淘汰不适应的细胞。适应值量化了人工NK的适应情况。该值越大，说明适应情况越好。且在人工NK种群进行应答时，该细胞的诱导因子被采用的概率也较高。

3)Activating Value(AV)：累积人工NKR感知的信号对人工NK的作用，并最终决定人工NK能否激活。活化信号增加细胞的激活度，而抑制信号降低细胞的激活度。

4)Status：人工NK有激活和未激活两种状态。人工NK初始处于未激活状态，此时的细胞仅累积感知的信号。在激活度超过一定阈值后，人工NK会转变为激活状态，并开始释放诱导因子。

5)Induction Cytokine(IC)：每个人工NK都能释放一种特定的诱导因子，以特异性地引诱间谍软件活动。由于间谍软件关注的活动具有多样性，人工NK以种群的形式保持了诱导因子的多样性，并能在演化的过程中，逐渐地筛选出优良诱导因子组合。

人工NKR是人工NK的主要组成部件之一，用来感知抑制信号和活化信号。本文提出的人工NKR表达为以下四元组：

NKR(Type,Sig_Source,Sig_Concentration,Weight)

1)Type：人工NKR的类别说明了该NKR是人工KIR还是人工KAR。人工KIR识别抑制信号，人工KAR识别活化信号。

2)Sig_Source：每类信号(活化信号或抑制信号)可以根据不同的信号源定义多个信号。Sig_Source则用来表示该人工NKR(人工KAR或人工KIR)能识别此类信号中的哪个信号源。

3)Sig_Concentration：表示该人工NKR感知信号的浓度大小，即信号的值。

4)Weight：来自不同信号源的信号反映系统异常与否的程度是不同的，因此感知相应信号的人工NKR的权重也不同。人工KAR的Weight＞0，人工KIR的Weight＜0。

每个人工NKR仅能识别来自一个信号源的信号。因此，若要识别产生自多个信源的信号以对异常进行综合判断，人工NK就需要组合不同的受体。不同的受体组合使得每个人工NK能识别的信号组合也是不同的，这种多样性成为了人工NK种群演化和适应的基础。

免疫识别与应答

人工NK种群中的每个细胞都具有独立感知和处理信号的能力。这些细胞通过人工NKR集来感知抑制信号或活化信号，并不断累积信号对自身的作用，以决定是否进入激活状态。当人工NK种群中有大量细胞被激活时，说明种群发现了系统中发生的异常，此时需要“设局”引诱潜伏间谍软件暴露目标。人工NK种群的免疫识别算法1所示。

算法1人工NK种群的免疫识别算法

在算法1中，激活度(AV)是单个人工NK识别过程的核心，其计算公式如式3所示。AV和AV’分别表示在感知到某个信号的前后人工NK的激活度。mNKRs表示感知到该信号的人工NKR集。

4.间谍软件诱导

在发现异常的情况后，人工NK群体会“设局”引诱间谍软件现身，利用激活的人工NK细胞释放诱导因子。一旦间谍软件落入圈套，就会在诱导的刺激下，表现出显著的间谍行为。这有利于人工APC群体通过识别这些行为发现潜伏的间谍软件。

一旦被激活，人工NK就会释放诱导因子引诱潜伏间谍软件现身。由于间谍软件具有对用户活动敏感的特点，本文通过模拟用户活动(如按键、文件操作等)的方式来实现诱导因子。如果间谍软件不能分辨出人工合成的用户活动和真实用户活动的区别，那么它们就会响应(记录并发送)人造的用户活动，从而暴露了自身的存在。

诱导因子(IC)可以被定义为由激活的人工NK释放的，能激发间谍软件活动的n个模拟用户活动的序列，记为IC＝{UA₁,UA₂,…,UA_n}，其中UA_i(1≤i≤n)是单个模拟的用户活动，且有time(UA_i)≤time(UA_j)。time(UA_i)指UA_i作用的时间。具体来看，诱导因子可以表达为以下六元组：

IC(K_UA，R，C₀，T_I，T_N，f)

1)K_UA：诱导因子的类别，描述该诱导因子模拟何种用户活动，如按键、文件创建和删除、网页浏览、网络请求等等。

2)R：诱导因子发挥作用的周期数。诱导因子的效应具有周期性的特点。每个周期分为诱导期和非诱导期先后两个时间段。诱导因子仅在诱导期内生成模拟的用户活动。

3)C₀：每个周期开始时诱导因子的浓度(即单位时间模拟用户活动次数的多少)。

4)T_I：诱导期的时间跨度，也是诱导因子的作用时间。

5)T_N：非诱导期的时间跨度，也是诱导因子作用的间隔时间。在本文中，设T_I＝T_N。程序在这两个等长的阶段中行为的差异为发现间谍软件提供了依据。

6)f：在一个周期内，诱导因子浓度随时间变化的函数，记为f(t):(0,T_I+T_N)→R⁺∪{0}。

每个激活的人工NK都会释放诱导因子。这些诱导因子的种类和数量通常会很多。为不影响诱导的整体效果，人工NK种群不会使释放的诱导因子立即发挥效应，而是依据浓度大小选择少数几种合适的诱导因子，将它们合成后再使其发挥效应。合成后的诱导因子序列IC({IC₁,IC₂,...,IC_n})具有以下属性：

1)有IC_i.K_UA≠IC_j.K_UA(i≠j)，即诱导因子的类别不重复。

2)有time(IC_i+1)＝time(IC_i)+(IC_i.T_I+IC_i.T_N)*IC_i.R，其中time(IC_i)表示IC_i发挥作用的开始时间，即所有诱导因子的效应具有时序性。

在释放IC的同时，人工NK种群还会释放刺激信号以指导人工APC种群与IC协同工作。通过比较程序在IC诱导期和非诱导期活动的差异，人工APC种群能够发现潜伏的间谍软件。

5.间谍软件识别

在释放诱导的同时，人工NK群体还会激活人工APC，与其协同工作。人工APC群体能根据有诱导和无诱导时程序行为的差异，识别危险的程序，即间谍软件，并根据识别的效果，向人工NK群体反馈诱导的作用效果，使人工NK种群能通过对反馈信息的学习，逐渐进化出较好的诱导方式。

人工抗原提呈细胞表达

本发明借鉴机体APC的结构和行为原理，提出了人工APC。它们同样以种群的形式存在，并能与人工NK种群释放的诱导因子协同工作，通过关联危险信号和抗原，最终判定间谍软件的存在。

抽取机体中APC的基本要素，本文构造的人工APC表示为以下四元组：

APC(TLRs,Lifespan,AgPool,Status)

1)TLRs：每个APC包含N_TLR个人工TLR，负责感知人工组织传递来的收集和泄露信息行为数据，生成并向细胞内部传导危险信号。APC融合各TLR传导的危险信号，通过不同的分化方向表达所处环境是否安全。

2)Lifespan：每个APC都有一定的寿命。在寿命期内，APC会收集危险信号和抗原，并对它们进行融合。当寿命达到时，APC会根据融合的结果，为收集的抗原赋予一定的上下文(“危险”或“安全”)，表明这些抗原的恶意性。

3)AgPool：用来保存APC在寿命期内捕获的所有抗原。

4)Status：借鉴机体中APC的生命周期，人工APC在其寿命期内会经历不同的状态。不同状态下APC的行为也有较大的差异。

人工TLR是人工APC的核心组件，其具体结构表达为以下六元组：

TLR(Type,CountI,CountN,Threshold,Status,Weight)

1)Type：每个TLR仅能感知一种收集或泄露信息行为。因此，APC中必须包含多种TLR，才能全面感知收集和泄露信息行为。Type用来表示该TLR具体感知哪类行为。

2)CountI：在诱导期内，若TLR收到与其Type相匹配的行为，则CountI加1。

3)CountN：在非诱导期内，若TLR收到与其Type相匹配的行为，则CountN加1。

4)Threshold：通过分析CountI与CountN的差异，并结合诱导因子的信息，可以得出诱导因子的响应比，当该响应比超过Threshold时，该TLR即被激活。

5)Status：表明该TLR目前是否处于激活状态。激活的TLR会传导危险信号，对APC的成熟起促进作用。

6)Weight：每类TLR对APC成熟的影响不同，Weight量化了这种不同。

危险感知与群体决策

单个APC通过危险感知和抗原提呈，判断其捕获抗原的恶意性。APC群体对不同类别抗原恶意性的综合判断，最终形成先天免疫系统对间谍软件程序的判断。

1)危险信号传导与抗原捕获

在NK种群的刺激下，APC被激活，开始与诱导因子协同工作，将发生于诱导因子不同时期(诱导期和非诱导期)的收集和泄露信息行为分开累积，以便比较有无诱导影响下这些行为的差异。这个差异是APC生成危险信号的基础。

由于诱导因子不会影响正常应用程序，因而无论在诱导期还是非诱导期，正常应用程序实施收集和泄露信息行为的数量是差别不大的，因此将诱导期的行为数减去非诱导期的行为数，可以将正常应用程序相关的“背景行为”减去，留下的即是在诱导期内，程序因诱导刺激而产生的收集或泄露信息行为。通过计算这部分行为数量与诱导因子中模拟用户活动数量的比值，可以得知程序在某类行为方面对诱导因子的响应情况。对于每个TLR，这个响应比的计算方式如式4所示。

r越大，说明被监测系统对诱导因子越敏感，系统中存在间谍软件的概率也越大。因为诱导因子伪造的特定用户活动会激发间谍软件实施大量的记录与泄露信息活动。当r超过TLR的阈值Threshold时，该TLR就会被活化，向APC传导危险信号。而危险信号的值DS＝r。

此外，在累积收集和泄露信息行为的同时，APC还会获取与这些行为相关的抗原(产生这些行为的进程ID)，将它们保存在AgPool中，以进行进一步的分析。

2)单个细胞的危险感知与抗原提呈

每个活化的TLR都会向APC传导危险信号。这些危险信号从不同的角度，描述了收集或泄漏信息行为对诱导因子的响应程度。要准确判断间谍软件是否存在，APC必须要综合各方面的危险信号(证据)，计算该APC的成熟度Mature，如式5所示。其中N_TLR-A是激活的TLR的总数，DS_i是第i个激活TLR生成的危险信号的值。

若Mature超过某个阈值T_M时，说明有较强的证据表明系统中存在间谍软件此时的APC会转变到成熟状态，并将其AgPool内的所有抗原(疑犯)标记为“危险”。否则，APC会转变为半成熟状态，并将其AgPool内的所有抗原标记为“安全”。

3)细胞群体决策

单个APC对抗原恶意性的判断可能会出现错误。因此，本文采用APC群体来对抗原的恶意性进行判断，以降低分类错误的可能性。APC种群中的每个成熟细胞都会对其捕获的抗原进行分类，通过计算每类抗原(以抗原的活跃进程名称分类)的恶意抗原系数(Malicious Antigen Coefficient,MAC)，可以判定哪类抗原是间谍软件，具体计算方法如式6所示。其中MAC_i表示第i类抗原的MAC值，D_i表示上下文为“危险”的第i类抗原数，∑Antigen表示所有提呈抗原的总数。

MAC_i＝D_i/∑Antigen(式6)

若MAC_i大于某个阈值T_MAC，则说明第i类抗原为间谍软件。若所有的N类抗原中有N_m类恶意抗原，则T_MAC的一般计算方法为T_MAC＝N_m/N。

综合上述过程，APC的危险与抗原提呈的过程如算法2所示。

算法2人工APC的危险感知与抗原提呈算法

人工NK与人工APC的交互

人工APC种群与人工NK种群有两种类型的交互：NK种群对APC种群的刺激和APC种群向NK种群反馈当前效应的诱导因子作用。下面分别讨论这两种交互。

1)人工NK种群对人工APC种群的刺激

NK种群在释放诱导因子IC({IC₁,IC₂,...,IC_n})时，也会同时释放刺激信号，向APC种群传达IC信息。APC种群在收到刺激信号后，会依据IC₁活化部分细胞，然后这些不成熟的细胞便开始与发挥效应的IC₁配合，进行危险感知和抗原提呈。在这些细胞寿命达到后，APC种群再依据IC₂活化部分细胞。如此循环往复，直到IC_n作用结束。

在依据IC_i活化细胞时，为了与其协同工作，APC种群活化细胞的数量N_APC-A＝IC_i.R，IC_i.R表示IC_i的周期数，每个细胞的寿命计算方式如式7所示。其中，APC_j.lifspan表示第j个人工APC的寿命，IC_i.T_I和IC_i.T_N分别是IC_i的诱导期时长和非诱导期时长。

如此一来，活化人工APC的寿命就会各不相同，避免了用相同的时间窗口融合不同危险信号时，易发生的间谍软件逃避检测情况的出现。

2)人工APC种群对人工NK种群的反馈

在APC种群完成了群体决策后，会向NK种群反馈所释放诱导因子的诱导效果。反馈的结果是改变诱导因子类别的比重，及携带该类诱导因子的NK的适应值。当因子的效果较好时(成熟的APC数量N_mat多于半成熟的APC数量N_semi)，则增大该诱导因子类别的比重和携带该类诱导因子的NK的适应值。反之，则降低该类诱导因子的比重和携带该类诱导因子的NK的适应值。具体计算公式如式8和式9所示。

其中w和w’分别为改变前后某类诱导因子的比重，C_w为比重变化系数。

其中fitness和fitness’分别为NK变化前后的适应值，C_f为适应值变化系数。

多次的反馈会使得效果好的某类诱导因子的比重远远大于诱导效果不好的诱导因子类别。并且，效果不好的诱导因子类别容易因携带细胞适应值过低而被淘汰。这有助于NK种群通过演化选择出诱导效果好的诱导因子类别组合。

人工NK种群演化

随着物种的进化，机体的NK种群也在演化。通过不断地杂交和变异、优胜劣汰，NK种群能够累积优良的基因，实现对当下流行潜伏病毒的高效识别和应答。借鉴NK种群的演化机制，本节提出了人工NK种群的演化机制，包括种群初始化、细胞适应值计算和细胞的更替。在这个演化的过程中，每个人工NK的状态在不断发生变化，形成了人工NK的生命周期，如图3所示。

初始的人工NK处于新生态，仅能感知系统环境中的信号，不能实施免疫应答。在经历了足够多的信号，激活度超过阈值(AV≥T_A)后，人工NK会进入激活态，不仅能感知信号，还能释放特定类型的诱导因子。在人工NK识别每一个信号后，需要对其适应情况进行评估。当适应值过小时(Fitness＜T_F)，认为该细胞不再适应当前的环境，会进入死亡态，并被新生的细胞替代。新生细胞将继承现有种群的优势“基因”，并以一定的概率变异以获得多样性。

1)种群初始化

在人工NK种群发挥作用之前，需要首先生成N_NK个人工NK。这个种群的初始化过程步骤如下：

首先，将不同类别的诱导因子比重设置为p_K1＝p_K2＝...＝p_Kn＝1，这意味着新生人工NK携带每种IC的概率(根据式10计算)是相同的。在初始化后，当人工NK种群收到反映其释放IC效果的反馈信号时，会调整相应类别诱导因子的比重。比重越大，新生人工NK采用该类IC的概率也越大。

其次，设置N_NK个人工NK的各项参数。其中，人工NKR集和诱导因子的初始化需要使用随机方法。

2)适应值评估

在初始化后，人工NK的适应情况评估，能帮助种群保留识别和诱导效果好的细胞，淘汰不适应的细胞。这个评估的过程是通过人工NK的适应值计算完成的，具体计算方法如式11所示。其中，fitness和fitness’分别表示在经历信号前后人工NK的适应值，C_decay为适应值的衰减系数，mNKRs为识别到该信号的NKR集。

由式11可以看出，识别了信号的细胞的适应值会增加，且增加幅度与识别到该信号的人工NKR的数量呈正比。未能识别信号的细胞的适应值会在原有的基础上降低。如此一来，长期没有识别到信号的细胞的适应值就会不断衰减，当小于一定的阈值(T_NK)时就会被淘汰(细胞状态变为“死亡”)。随着低适应值细胞的淘汰和高适应值细胞的保留，人工NK种群就会逐渐具备适应当前环境的能力。

3)细胞更替

在经历了一定数量的信号后，人工NK种群会进行细胞的更替，以保持种群的适应性，主要过程如下：

1)淘汰不适应的细胞：删除种群中状态为“死亡”的细胞。

2)杂交生成新细胞：利用杂交的方式生成与淘汰细胞等量的新细胞。在这个过程中，不断从现有的种群中选择两个合适的父体杂交，产生两个新生的人工NK，直至生成足够的新生细胞。新生细胞重组了父代细胞的NKRs“基因”，并继承了种群中比例较大的诱导因子。

3)新生细胞变异：按一定的概率对新生的细胞进行变异，包括人工NKR的变异和诱导因子的变异，变异概和率分别为P_{m_NKR}和P_{m_IC}。

Claims (8)

1.一种基于计算机免疫的间谍软件自适应诱导与检测方法，其特征在于：包括

以下周而复始执行的步骤：

1)根据间谍软件行为的本质特征，从被监测系统中获取所有运行程序的隐藏外在表现、收集信息和泄露信息3类行为信息；

2)在获取到程序行为信息后，根据一定的规则，将这些行为信息转换成计算机免疫系统能够识别的信号和抗原；

3)模拟人体中的免疫机理，构建人工NK群体，它们能根据抑制信号和活化信号之间的平衡，发现系统中存在的异常情况；

4)在发现异常的情况后，人工NK自身会被激活，并开始释放诱导因子，“设局”引诱间谍软件表现出明显的恶意活动；

所述人工NK释放诱导因子的主要方式为模拟用户活动，包括按键、文件创建和删除、网页浏览、网络请求，模拟用户活动的类别决定了诱导因子的类型；

每个诱导因子的作用过程通过至少2个周期完成，每个周期又先后分为诱导期和非诱导期2个等长的时间阶段，在诱导期，诱导因子模拟相应类别的用户活动；而在非诱导期，诱导因子不模拟用户活动；

5)在释放诱导的同时，人工NK群体还会激活人工APC与其协同工作，人工APC群体能根据有诱导和无诱导时程序行为的差异，检测间谍软件，并根据检测的效果，向人工NK群体反馈诱导的作用效果，使人工NK种群能通过对反馈信息的学习，逐渐进化出较好的诱导方式。

2.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

所述人工NK的构成包括人工NKR集合、细胞适应值、细胞激活度、细胞状态和细胞所携带的诱导因子，其中人工NKR的构成包括受体类别、受体所识别信号的信号源、感知到信号的浓度和该人工NKR的权重，所述受体类别包括人工激活受体和人工抑制受体2类。

3.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

所述人工APC的构成包括人工TLR集合、细胞寿命、用来保存捕获抗原的抗原储池和细胞状态，其中人工TLR的构成包括表明该人工TLR识别哪种收集或泄露信息行为的类型type、诱导期内累计与type相匹配行为的计数器、非诱导期内累计与type相匹配行为的计数器、激活阈值、激活状态和权重。

4.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

步骤1中获取的隐藏外在表现、收集信息和泄露信息3类行为主要包括以下具体行为：

1)隐藏外在表现具体包括隐藏文件、进程及自启动注册表项的行为；

2)收集信息行为具体包括按键记录、鼠标活动记录、屏幕截取、浏览网址记录、网页内容记录；

3)泄露信息行为具体包括通过网络将信息发送到远程主机的行为。

5.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

步骤2中将获取的行为信息转换为计算机免疫系统能够识别的信号和抗原的具体方式如下：

抑制信号来源于程序隐藏外表的行为：当系统中没有或仅有极少量的隐藏外表行为时，说明系统处于正常状态，则产生该类信号，隐藏外表的行为越少，该信号的值就越大；

活化信号来源于程序收集信息的行为：当系统中有较多的收集信息行为时，认为系统中存在间谍软件的可能性较大，则产生该类信号，收集信息行为越多，该信号的值就越大；

危险信号来源于有无诱导影响下各程序在收集信息和泄露信息方面表现出的行为数量差异，这个数量差异与诱导因子模拟用户活动总数的比值反映了程序对诱导因子的响应情况，比值越大，说明程序受诱导因子刺激表现出的收集和泄露信息行为越多，系统中存在间谍软件的概率也越大，因此危险信号的值也越大；

抗原为运行程序的进程号，从每条行为信号中提取，表明产生该行为的进程。

6.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

步骤3中所述人工NK群体发现系统中存在异常情况的过程进一步包含以下子步骤：

1)生成初始人工NK群体，其中每个细胞上随机装配多个人工NKR；

2)使用人工NK群体中的所有细胞去识别步骤2产生的信号中的抑制信号和活化信号，这个过程通过每个细胞上的人工NKR与信号的匹配过程完成，当人工NKR的类别与信号类别相符，即人工抑制受体匹配抑制信号，人工激活受体能匹配活化信号，且实际信号源与人工NKR所识别的信号源相符时，人工NKR与信号匹配成功；

3)根据细胞中所有人工NKR与每个信号的匹配情况，计算每个细胞的激活度AV和适应值fitness，如果激活度大于预定的激活阈值，则将人工NK的状态设置为激活，激活的细胞越多，则说明系统中存在异常情况的概率越大；激活度与适应值计算公式如下：

${\mathrm{AV}}^{\&prime;}=AV+\underset{mNKRs}{\&Sigma;}Affinity*Weight;$

${\mathrm{fitness}}^{\&prime;}=\left\{\begin{array}{cc}fitness+C_f*N_{mat}/(N_{mat}+N_{semi}),& N_{mat}>N_{semi}\\ fitness-C_f*N_{semi}/(N_{mat}+N_{semi}),& N_{mat}<N_{semi}\end{array}\right.;$

AV和AV’分别表示在感知到某个信号的前后人工NK的激活度，mNKRs表示感知到该信号的人工NKR集，Affinity表示人工NKR的亲和度，Weight表示人工NKR的权重，fitness和fitness’分别为NK变化前后的适应值，C_f为适应值变化系数，N_mat表示成熟的APC数量，N_semi表示半成熟的APC数量；

4)识别完所有信号后，人工NK种群会依据细胞的适应值，删除适应值低于预定阈值的细胞，并通过杂交和变异的方式补充新的细胞，使种群得到进化。

7.根据权利要求1所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

步骤5中人工APC群体的激活、检测间谍软件、向人工NK群体反馈诱导的作用效果过程进一步包含以下步骤：

1)在释放诱导因子的同时，人工NK种群还会通过改变人工APC状态的方式活化人工APC群体中的部分细胞；

2)活化的人工APC处于不成熟状态，与诱导因子配合，开始利用其人工TLR分别累计诱导因子诱导期和非诱导期两个不同时期的收集和泄露信息行为的数量，通过计算诱导期与非诱导期泄露信息行为数量的差异与诱导因子模拟用户活动的总数的比值，人工TLR生成危险信号；同时，人工APC还会获取产生泄露信息行为的进程ID，将它们保存在细胞中，以进行进一步的分析；

3)人工APC综合所有人工TLR生成的危险信号计算该细胞的成熟度Mature，若Mature超过预定的阈值时，说明有较强的证据表明系统中存在间谍软件，此时的APC会转变到成熟状态，并将其捕获的所有抗原标记为“危险”；否则，APC会转变为半成熟状态，并将其捕获的所有抗原标记为“安全”，计算公式如下：

$Mature=\frac{{\mathrm{\&Sigma;}}_{i=1}^{N_{TLR-A}}{\mathrm{DS}}_i*{\mathrm{TLR}}_i.Weight}{{\mathrm{\&Sigma;}}_{i=1}^{N_{TLR-A}}{\mathrm{TLR}}_i.Weight}$

N_TLR-A是激活的TLR的总数，TLR_i是第i个激活TLR的值，DS_i是第i个激活TLR生成的危险信号的值，Weight表示人工NKR的权重；

4)综合多个人工APC对其捕获抗原的分类结果，计算每类抗原的恶意抗原系数MAC，若MAC大于预定的阈值时，则说明该类抗原为间谍软件，计算公式如下：

MAC_i＝D_i/∑Antigen；

MAC_i表示第i类抗原的MAC值，D_i表示上下文为“危险”的第i类抗原数，∑Antigen表示所有提呈抗原的总数；

5)在人工APC种群完成了群体决策后，会向人工NK种群反馈所释放诱导因子的诱导效果，反馈的结果是改变诱导因子类别的比重，及携带该类诱导因子的人工NK的适应值；当成熟的人工APC数量多于半成熟的人工APC数量，则增大该诱导因子类别的比重和携带该类诱导因子的人工NK的适应值；反之，则降低该类诱导因子的比重和携带该类诱导因子的人工NK的适应值。

8.根据权利要求4所述的基于计算机免疫的间谍软件自适应诱导与检测方法，

其特征在于：

所述人工NK种群的进化主要包含以下步骤：

1)删除人工NK细胞种群中适应值低于预定阈值的细胞；

2)利用杂交的方式生成与删除细胞等量的新细胞：在这个过程中，不断从现有的种群中选择两个适应值高的父体细胞，通过遗传算法中单点杂交的方式交换父体细胞的人工NKR序列，产生两个新生的人工NK，直至生成足够的新生细胞；新生细胞重组了父代细胞的人工NKR“基因”，并继承了种群中比例较大的诱导因子；

3)按一定的概率对新生的细胞进行变异，包括将人工NKR和诱导因子分别变异成另外一种类型。