PAMP信號資訊網絡論文

系統中，將輸入信號分爲三種：PAMP信號：通常表示異常行爲特徵，PAMP信號增加會導致異常行爲可信度的增加；危險信號DS：細胞非正常死亡可能產生的信號，通常表示系統中可能產生變化的一些行爲；安全信號SS：細胞正常死亡可能產生的信號，通常表示系統中的正常行爲，它對PAMP和DS信號有抑制作用。輸出也分爲三種：CSM（costimulatorymolecules）相互刺激分子：該值用於判斷何時未成熟的DC細胞iDC開始進行分化，通常會設定遷移閾值，當CSM>遷移閾值時iDC開始進行分化；semi-mature半成熟DC細胞：semi-mature狀態是iDC在接受組織內部信號所分化的狀態，通常安全信號SS對產生此過程起到決定性作用，並且將該細胞蒐集的所有抗原提呈爲安全抗原；mature成熟DC細胞：DC接受各種內、外部信號會導致此狀態的產生，PAMP信號和DS信號都會對此狀態的產生起作用，因此成熟狀態往往預示着危險。本系統中採集部件會採集個體上的各種數據，包括：CPU、內存、進程、網絡流量、註冊表變化、API調用、進程調用等。包括：

（1）PAMPs信號：採集鍵盤調用API

在系統中PAMP信號是特徵信號，它來源於對鍵盤行爲記錄所調用的函數數量，作爲PAMP信號。DS信號的生成：採集網絡收發數據包時間差。一些危險的程序例如殭屍程序能夠快速響應殭屍控制者所發出的命令，因此網絡數據包的收發時間差很小。而正常網絡事件數據包的收發時間差較大，設定最大時間差閾值mt，若收集到的數據包收發時間差大於mt則認爲是安全的，若小於mt則可能產生危險，即在[0,mt]區間內的時間差將有可能產生危險。SS信號的生成：採集連續函數調用時間差。正常情況下，兩個連續函數調用時間間隔較大。而一些危險的程序連續調用間隔較短，在此設定閾值，若連續函數調用時間差大於此閾值則設定安全信號SS的值。由上面的一些分析數據可以得到對應的PAMP信號、SS信號和DS信號的濃度值，這些值對semi-mature、mature、CSM三種輸出信號的貢獻度稱爲三種輸入信號的權重。在系統中，權重是可以靈活進行配置的，根據系統的`安全性需求，可以動態調整權重的大小。但是應該滿足以下規則：PAMP信號對mature和CSM的貢獻度是DS信號對其貢獻度的2倍；PAMP信號和DS信號由於是有潛在危險的信號，因此對安全的semi-mature的貢獻度爲0；

（2）SS信號對semi-mature的貢獻度最大

對於遷移信號CSM也具有貢獻，但由於其安全性能，對mature的貢獻度爲負值。透過以上分析可以看到，系統中整個危險發現的機制中，沒有任何預先定義的知識庫或者規則庫，而有效的實現了威脅抗原的發現，實現了整個系統的自適應性。同時可以看出，由於在系統內部的每臺主機上部署免疫個體，所有的免疫個體上均包含有免疫算法，因此整個系統是分佈式的，一臺主機性能的好壞對整個系統影響不大，有較好的健壯性。

（3）結語

由於將整個系統分成多個層次，每個層次各司其職，因此整個系統有較好的擴展性和分佈性。該系統能夠較快的發現危險資訊，併產生預警。同時各個免疫中心透過總控制檯統一調度，能夠有效的消除個體上的危險。然而如何進一步提高系統檢測效率、如何更精確地設定DCA權重矩陣有待於進一步探索和研究。