模块化免疫神经网络模型在计算机病毒分类检测中的应用

这样随机产生的二进制串96个为一组，模拟的IP数据包，一共产生96万个二进制串组合。

4.2 抗体自体库仿真训练(自体库的建立)

使用这1万条数据进行自体库的建立和神经网络的学习。在不断调整抗体自体库的同时，使自体库的解空间在最大程度上得到提高，最后趋近与一个稳定的自体库接集合。利用建立好的抗体检测库检测未知的29万条数据纪录。仿真试验算法如下：

4.3 病毒入侵检测算法的仿真训练

建立起自体库后，进行病毒入侵检测算法的仿真试验，步骤如下：

首先，引入新的一组数据向量，与自体库也就是所谓的记忆细胞匹配，如果在一定的阈值范围内匹配度很高，则认为该向量为入侵行为，并把匹配度提升1；相反，如果匹配度不高，则找出记忆细胞里与之亲和力较大的进行权值的调整，达到两者之间的最优匹配度，然后把新的向量作为抗体集合加入到记忆细胞，重复操作，完成后统计结果。

检测算法仿真程序如下：

4.4 实验结果统计

在模式识别领域中，Receiver OperatingCharacteristics(ROC)曲线用于比较不同分类检测算法的性能。曲线下的面积越大，则算法分类检测性能越好越稳定。图5为该模型与遗传算法模型以及传统抗体模型的基于MATLAB环境下的仿真测试ROC图。可见，集成新型抗体模型网络ROC曲线下方的面积要大于其它2个网络模型的面积。说明基于模块化的免疫神经网络模型的计算机病毒检测模型性能要优于其它2个，正好支持了文献[2]的结论。文献[2]对基于n-gram的恶意代码检测取得了很好的效果，一共测试了8种分类器，结果如图5、图6，其中Boosted J48性能最优。

分析以上实验数据，可得到以下结果：

1)由表1可知，自体库选得过小，会造成单抗体的高扰动率，频繁更新抗体群，缺乏抗体的多样性，覆盖范围减小。

2)自体库过大，会造成训练网络的时间增多。拟采用200条为自体库大小，对这30万条数据记录通过新模型进行检测，并与单免疫算法模型和传统的抗体网络模型进行对比，如表2。虽然此网络模型在时间上略逊于其他两种已知算法模型，但在准确率上却有明显的提高。

5 小结

由实验可知，基于免疫算法和神经网络的新型网络模型降低了传统的病毒入侵检测模型的误报率和漏报率，提高了免疫系统的学习效率和系统的智能化程度，在系统的容错性上也有较大的改善，对提高系统的检测能力具有重要意义。