5.3.2 检测器的激活与变异
在自然免疫系统中激活的B细胞分裂增殖,形成生发中心,生发中心存活下来的B细胞,或分化成浆细胞,或成为记忆细胞离开生发中心。记忆细胞能够自动提取病菌抗原的签名,当再次检测到相同或相似的病菌抗原时,记忆细胞迅速活化,产生大量抗原特异的Ig,从而发起快速的免疫应答。如第二章所述,记忆细胞是长寿细胞,其二次免疫应答的能力可持续相当长的时间甚至终身。基于此原理,激活成功的检测器增殖变异,转化为成熟检测器(类比于浆细胞)或记忆检测器(类比于记忆细胞)。
某一检测器d∈SN(di)被激活成功,意味着发现了入侵,向系统报警。同时检测器d增殖为m个个体,并发生突变。所谓突变是指个体在SN(di)的空间识别域内随机的移动。在区间范围[-r,r]内取随机数pi(i=1,2,3,…,n),检测器d的突变定义如下:
选择其中最优的个体即突变后的检测器d其识别域覆盖最大数目的异常事件ab:
其中j=1,2,…,m。
被选择的检测器di不一定属于集合M,其依概率γ转化为记忆检测器(类比于记忆细胞)或成熟检测器(类比于浆细胞),di转化为成熟检测器的概率比成为记忆检测器要大得多。当di转化为记忆检测器时,记为MEM(di)或dmem,而当di转化为成熟检测器时,则以di为中心,以r为半径的球形区域,构造一个成熟检测邻域,示意某类入侵行为较集中地出现在该区域,需要重点检测,而原有的SN(di)将被清除。经历否定选择后,形成的检测器集,称为成熟检测器集MN(di):
其中‖·‖为欧几里得范数。
通过检测器的激活与变异机制,图5-3中的SN(di)和SN′(di)将会被更合适的检测器群MN(di)所替代,如图5-8所示。
图5-8 MN(di)的二维示意图
图5-3和图5-8显示了检测器的活化与克隆选择使检测器的识别域逐渐涵盖未知入侵行为的特征空间,同时使IAIDM模型初始运行时产生的检测器集规模得到精简,提高了模型入侵检测的有效性和实时性,体现了模型具有自学习和自适应的能力。MN(di)、MEM(di)与SN(di)之间在生命周期、激励与响应等方面存在异同:
(1)MN(di)由一组成熟检测器组成,拥有较长的生命周期即T-II(其中II代表二级生命周期),记成熟检测器为dT-II,其激活的概率也较SN(di)大,体现在调节系数α和激励系数β较大,例如α=0.002和β=0.780。某一dT-II∈MN(di)被激活,其激活响应机制与SN(di)一样,即进行克隆选择并转化为新的MN(di)或MEM(di),而旧的MN(di)被清除。同样的,当T-II=0时,MN(di)被清除。
(2)MEM(di)为单个检测器,拥有无限的生命周期,除非由于自我空间发生更新,导致其发生自反应才会被清除。MEM(di)一旦捕获异常模式以1的概率被激活。
图5-9显示了dT-I和dT-II激活概率的变化范围。
图5-9 dT-I和dT-II激活概率的变化范围
对于dT-I系数α取0.001,对于dT-II系数α取0.002,系数β=0.768,k(Ti)的激励强度在[1,2]之间
如上所述,IAIDM模型的检测器有三种存在形式:初始检测器dT-I、成熟检测器dT-II和记忆检测器dmem,并形成三种检测器集:SN(di)、MN(di)与MEM(di)。多个检测器集的识别域在模式空间U可能会发生相互交叠覆盖,即某一异常事件可能刺激多个检测器集中的多个检测器,发生交叉刺激。为防止因交叉刺激使活化响应发生链式反应,采用优先权机制和率先活化机制,前者对应不同类的检测器集,后者对应同类的检测器集。检测器集SN(di)、MN(di)与MEM(di)捕获当前异常事件的优先次序:
率先活化机制是指同种类的检测器以同等的优先权限捕获当前异常事件,选择最先被激活成功的检测器集发出活化响应,并屏蔽其他检测器集中的刺激反应。对于记忆检测器来说,由于其捕获到异常模式后是以1的概率被激活,当异常事件刺激到多个dmem时,我们随机选择其中一个dmem发出活化响应,同时剥夺其他的dmem、dT-I或dT-II响应反应的机会,即模拟免疫系统中当多个细胞对同一抗原起反应时,如有激活状态的记忆细胞,那么其他的B细胞是不可能绑定成功的机制。
类比于小节3.2中免疫系统的B细胞进化阶段和形式,IAIDM模型中检测器的演变阶段和形式如图5-10所示。
图5-10 检测器的演变阶段和形式
由检测器的活化及刺激原理可知,在运行初期IAIDM模型中无任何检测器,模型一旦捕获到异常的事件记录,检测模型才产生相应的SN(di),体现“静则勿动,变才需求”的灵活检测策略。SN(di)在其生命周期内未被激活则被认为其所识别的异常事件是噪声数据,因此该SN(di)被消除,如果其中一个检测器d∈SN(di)被激活成功,表明发现入侵行为并向系统报警,同时活化状态的d增殖为多个个体,在SN(di)的空间识别域内随机的移动,选择其中最优的个体并以较小的概率γ转化MEM(di),否则生成MN(di),同时原有的SN(di)被消除。与SN(di)一样,MN(di)在其生命周期内未被激活则被消除,其激活响应机制与SN(di)一样,即进行克隆选择并转化为新的MN(di)或MEM(di),而旧的MN(di)被清除。MEM(di)以无限的生命周期驻留在模型中,保留了对入侵特征模式的永久记忆。图5-11给出了IAIDM模型对异常事件的检测框图。
图5-11 IAIDM模型的检测顺序框图
图5-11的说明:
(1)判断条件s∈Bj(j=1,2,…,m)。检验网络行为模式s=(s1,…,sn)是否落在Bj,是则判为异常。
(2)判断条件identify(d,s):寻找已经存在的能识别模式s的所有检测器
只需要在Bj所覆盖的空间内寻找,也就是说Bj维持了其区域内当前所有的检测器群的记录,检查s被哪些检测器群的识别域所包含。没有则产生新的检测器群SN(di)。
(3)identify(d,s)以下的检测框图。依据优先权机制和率先活化机制,计算检测器的激活概率,发出相应的活化响应。
由于采用优先权机制和率先活化机制,当无异常事件被呈现时,IAIDM模型中最终只存在MEM(di),而其他形式的检测器将逐渐消亡。三种检测器中SN(di)的活化概率最低,是模拟免疫系统的初次应答机制,用于对未知异常行为的检测,为避免误报采用较低的活化概率以慎重处理。MN(di)或MEM(di)模拟免疫系统的二次应答机制,MN(di)拥有较长的生命周期和较高的活化概率,而MEM(di)拥有无限的生命周期和其活化概率为1,对已知或类似入侵行为的检测率较高。可见,IAIDM模型中检测器由SN(di)向MN(di)和MEM(di)的进化过程,实际上是IAIDM模型对未知入侵行为的一个自我学习和自我适应的过程,使模型的性能得到逐步的提高。