Гибридная искусственная иммунная система защиты компьютера от процессов с аномальной активностью тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Ваганов, Михаил Юрьевич

0.2.1 Введение

Искусственные иммунные системы могут быть определены в виде вычислительных систем, сочетающих в себе теоретическую иммунологию, функции иммунной системы, ее принципы и алгоритмы, с помощью которых осуществляется решение различных прикладных задач. Области их разработки и применения формируются из смежных областей таких как искусственные нейронные сети и эволюционные алгоритмы. Искусственные иммунные системы широко применялись в различных областях, таких как распознавание образов и классификация, оптимизация, анализ данных, компьютерная безопасность и робототехника. Для начала приведем описание основных иммунных механизмов в живых организмах, чтобы в дальнейшем можно было проводить аналогии с искусственными иммунными системами.

0.2.2 Основы иммунных систем

Все живые существа обладают иммунной системой, сложность которой отличается в зависимости от их характерных черт. Например, некоторые растения обладают защитными шипами, обеспечивающими сохранность от нападения хищников. Со своей стороны животные, имеющие в составе организмов костный скелет (позвоночные животные), сумели развить крайне эффективную и сложную иммунную систему. Данная система включает в себя огромные совокупности клеток, молекул, а также внутренние органы, которые объединяются с единой целью поддержания жизни. При построении искусственных иммунных систем, как правило, опираются

на функционирование иммунной системы позвоночных животных, более конкретно - иммунной системы человека. Это связано с интересными особенностями, с биологической и вычислительной точек зрения, гигантским доступным знанием о ее функционировании, а также широкими возможностями использования при проектировании искусственных иммунных систем. Иммунная система выполняет несколько видов задач. Совместно с другими системами организма она поддерживает устойчивый режим работы жизненно важных функций, так называемый гомеостаз. Однако ее наиболее значимая роль состоит в защите организма от атак болезнетворных агентов, патогенов, а также ликвидации неработоспособных клеток. Микроорганизмы, такие как вирусы, бактерии, грибы и паразиты классифицируются в качестве болезнетворных микроорганизмов, поскольку ввиду проникновения внутрь организма человека способны вызывать различные заболевания. Таким образом, основная проблема, с которой сталкивается иммунная система, это распознавание болезнетворных микроорганизмов. Сами по себе патогены не могут быть напрямую распознаны компонентами иммунной системы. Объектами распознавания в этом случае выступают небольшие структурные элементы данных микроорганизмов, называемые антигенами. После распознавания (идентификации) болезнетворного агента, в целях ликвидации вероятности заболевания или препятствия его развитию, иммунная система становится ответственной за его устранение. Однако существует некоторое количество иных задач, которые иммунная система обязана решать в целях корректной идентификации и устранения инфекционных агентов. Одна из таких задач -распознавание тканей организма, так называемых собственных. Как и патогены, клетки и молекулы организма человека имеют антигены, в данном случае собственные антигены, также распознаваемые

иммунной системой. В целях проведения различия между собственными антигенами и антигенами, представленными инфекционными агентами, последние получили название чужеродных антигенов. Процесс распознавания собственных и чужеродных антигенов (т.е. непосредственно относящихся и не относящихся к организму человека) получил название распознавание свой/чужой.

Физиология иммунных систем

В организме человека имеются два органа, ответственные за образование и развитие иммунокомпетентных клеток: костный мозг и тимус (зобная железа). Костный мозг представляет собой область, где вырабатываются и развиваются некоторые кровяные клетки. В свою очередь зобная железа - это орган, куда мигрирует и где развивается класс иммуноцитов, названных Т-клетками. Существует несколько типов иммунокомпетентных клеток, однако в дальнейшем мы сосредоточим свое внимание на лимфоцитах. Лимфоциты представляют собой белые кровяные клетки, главным образом специализирующиеся на распознавании патогенов. Существует два основных типа лимфоцитов образующихся в костном мозге: В-клетки и Т-клетки. Те лимфоциты, которые развиваются внутри костного мозга, именуются В-клетками, в свою очередь те, которые мигрируют и развиваются в зобной железе (тимусе), соответственно Т-клетками. Оба типа клеток имеют на своей поверхности рецеп-торные молекулы, ответственные за распознавание антигенных образов, проявляемых патогенами или некоторыми из их фрагментов

[5].

Костный мозг

Костный мозг представляет собой мягкую ткань, расположенную в полости тазовых костей. Более определенно, это участок, где образуются кровяные клетки, некоторые из которых впоследствии видоизменяются в В-клетки. Во время превращения кровяной клетки в В-клетку, на ее поверхности образуется молекула антитела. Антитела выполняют две основные функции:

1) связывание (распознавание) антигенов,

2) функции эффектора.

Область, имеющая название переменной области, наиболее всего подвержена изменениям и ответственна за распознавание антигенов. Другая область, именуемая постоянной областью, может иметь несколько разновидностей, и ответственна за присоединение антитела к поверхности клетки, а также выполнение функций эффектора. Первоначально антитела присоединены к поверхности В-клетки, однако в ходе иммунной реакции могут быть выброшены в кровяной поток. Молекулы антител образуются в костном мозге посредством процессов перегруппировки ДНК. Для формирования молекулы антитела гены, содержащиеся в нескольких генных библиотеках, последовательно соединяются друг с другом.

Распознавание образов в иммунной системе

Распознавание образов в иммунной системе происходит преимущественно на молекулярном уровне. Поверхностные рецепторы В-и Т-клеток имеют определенную «форму», которая должна совпадать с формой антигена. Существуют и другие особенности, вовлеченные в процесс распознавания антигенов посредством клеточных рецепторов. И В- и Т-клетки в целях распознавания антигенов используют поверхностные рецепторы. Отличительными признаками

данных рецепторов являются их базовая конструкция (антитела и ТСЯ) и типы распознаваемых антигенов. В то время как антитела могут свободно распознавать и связывать многие типы антигенов, ТСИ способны распознавать лишь антигены, представленные молекулами нашего собственного организма также называемого главный комплекс гистосовместимости (ГКГ). Таким образом, ТОЛ способны распознавать исключительно молекулы, известные как комплексы пептидов/ГКГ. В свою очередь пептиды - это переработанные (фрагментарные) части антигена. Важно отметить, что распознавание в иммунной системе строится на комплементарности форм. Антигены и клеточные рецепторы для связывания друг с другом обязаны иметь комплементарные формы. Данное связывание вызывает иммунную реакцию, то есть реакцию иммунной системы на патоген, к которому относится распознанный системой антиген.

Клональная селекция

Ранее уже был рассмотрен процесс образования иммунных клеток и то, каким образом происходит распознавание антигенов. Однако теперь встает вопрос: что происходит вследствие распознавания? После успешного распознавания следует адаптивная иммунная реакция. Важный механизм защиты иммунной системы состоит в воспроизводстве клеток, способных распознавать и связывать антигены [2]. Воспроизводство клеток в иммунной системе основано на клонировании (митозе), то есть создании клеток-потомков, являющихся копиями родительских клеток подвергнутых мутациям. Данная пролиферация (быстрое размножение) приводит к производству клона клеток одинакового типа. Вследствие мутаций все клетки внутри клона являются подобными, однако, имеющими некоторые различия касающиеся способности распознавания антигена, вызвавшего

иммунную реакцию. Механизм селекции гарантирует, что клетки-потомки (внутри клона) наиболее эффективно распознающие антиген, вызвавший реакцию системы, будут отобраны в целях увеличения срока их службы; данные клетки именуются клетками памяти. В соответствии с описанной стратегией процесс эволюции формирует наши иммунные системы таким образом, чтобы они были способны справляться с антигенами, с которыми столкнулись в прошлом. Указанный принцип также используется при вакцинации. Весь процесс распознавания антигенов, клеточной пролиферации и дифференциации клеток памяти получил название клональной селекции.

Аффинное созревание

Термин аффинное созревание относится к объединенным процессам мутации, влияющим на сегменты связывающих рецепторов, и селективному процессу, гарантирующему выживание вариантного потомства, наилучшим образом соответствующего данному антигену. Аффинность указывает на степень связываемости клеточного рецептора с антигеном. Чем выше аффинность, тем сильнее свя-зываемость и, следовательно, выше иммунное распознавание и ответная реакция. Иммунная реакция называется адаптивной, если позволяет клеточным рецепторам в течение мутации, сопровождаемой селективным процессом, адаптироваться к антигенам. Со своей стороны, это гарантирует, что последующие столкновения с определенным типом антигенов приведут к более мощным ответным реакциям. Поскольку лимфоциты являются соматическими клетками, то есть клетками, не вовлеченными в процесс воспроизводства, мутация, проходящая во время аффинного созревания, именуется соматической мутацией. При этом частоты мутации протекающей во время клонирования (воспроизводства) имеют более высокие пока-

затели; данная мутация обозначается термином соматическая гипермутация. Соматическая гипермутация предполагается обратно пропорциональной аффинности клетки: чем выше аффинность клеточного рецептора с антигеном, тем ниже частота мутации, и наоборот. Это еще одна стратегия иммунной системы, позволяющая сохранять варианты (клетки-потомки) с высокими показателями аффинности, одновременно с этим предлагающая более высокую вероятность генерации главных вариантов выбранного рецептора. Будучи обратно пропорциональной соматической мутации, интенсивность клеточной пролиферации прямо пропорциональна антигенной аффинности клетки. При вторжении чужеродного антигена в среду организма иммунные клетки распознают данный антиген с различными степенями аффинности. После чего данные клетки подвергаются процессам клональной селекции и аффинного созревания. При этом число потомков клетки пропорционально ее аффинности (связываемости) с антигеном: чем выше аффинность, тем выше число производимого потомства, и наоборот.

Распознавание свой/чужой

Если иммунная система способна распознавать любой антигенный образ (форму), комплементарный рецепторам иммунных клеток, каким образом иммунная система ведет себя, когда сталкивается с собственным антигеном? Ответ на этот вопрос достаточно сложен, противоречив и затрагивает различные механизмы работы В-и Т-клеток. Ограничимся рассмотрением процесса тимусной негативной селекции Т-клеток. Данный процесс ответственен за устранение всех Т-клеток, рецепторы которых распознают и связывают собственные антигены представленные в зобной железе. Зобная железа (тимус) представляет собой орган, расположенный в верхней

области грудной клетки, к которому, будучи произведенными в костном мозге, мигрируют некоторые белые кровяные клетки (наивные Т-клетки). После чего внутри тимуса данные недоразвившиеся или наивные Т-клетки подвергаются процессу негативной селекции. Ти-мусный кровяной барьер со своей стороны предотвращает присутствие внутри зобной железы чужеродных антигенов. Таким образом, все антигены представленные в зобной железе являются собственными. Как следствие, наивные Т-клетки, распознающие собственные антигены удаляются из популяции. В свою очередь Т-клетки не распознающие собственные антигены становятся иммунными клетками, т.е. клетками, осуществляющими иммунную реакцию. Затем данные клетки выбрасываются в кровяной поток и патрулируют организм в поиске чужеродных антигенов (представленных молекулами ГКГ).

Теория иммунной сети

Клональная селекция представляет собой теорию, использующуюся для объяснения того, каким образом иммунная система реагирует на чужеродные антигены. Негативная селекция, напротив, является стратегией, используемой иммунной системой в целях устранения аутореактивных клеток, то есть клеток распознающих собственные антигены. Однако существует еще один важный вопрос: каким образом взаимодействуют клетки иммунной системы? Рассматривая данный аспект Ерни [1], предложил сетевую теорию в рамках иммунных систем. Данную теорию достаточно сложно доказать экспериментально, причиной тому является ее опровержение со стороны некоторых специалистов по иммунологии. Несмотря на противоречия по поводу обоснованности предложенной теории иммунной сети, ее концепция является достаточно интересной, нашедшей широкое

применение при конструировании искусственных иммунных систем. Для краткости, теория иммунной сети говорит о том, что молекулы антител имеют некоторое количество рецепторов, которые со своей стороны могут быть распознаны другими молекулами антител. Таким образом, антитела способны распознавать не только чужеродные, но и собственные антигены, т.е. представленные другими антителами. Как результат данного взаимного распознавания внутри иммунной системы возникает коммуникационная сеть, получившая название иммунной сети. В соответствии с этой новой перспективой иммунных взаимодействий для поддержания динамического поведения иммунной системы чужеродный антиген более не является необходимым. Взаимодействия иммунных клеток приводят к поведению внутри сети схожему с поведением внутри биологической иммунной системы, состояние которого также может нарушаться чужеродными антигенами. Антитело АЫ, распознающее чужеродный антиген Ag, способно распознавать другое антитело АЬ2. Поскольку Ag и АЬ2 распознаются одним и тем же антителом АЫ, говорится, что АЬ2 является внутренним образом антигена Ag.

0.2.3 Искусственные иммунные системы

Определим искусственную иммунныю систему заимствуя принцип, в соответствии с которым искусственные иммунные системы определяются в качестве вычислительных систем, инспирированных теоретической иммунологией, функциями биологической иммунной системы, ее принципами и механизмами, применяемых в контексте решения различных прикладных задач. Данное определение сочетает в себе некоторые из вышеупомянутых аспектов, проводя тонкую грань между искусственной иммунной системой и теоретической иммунологией - грань контекстной применимости. Тогда как работы

над теоретической иммунологией обычно нацелены на моделирование и обеспечение наилучшего понимания иммунных процессов, а также непосредственно на лабораторные эксперименты, работы в области искусственных иммунных систем находят применение при решении вычислительных задач, в сфере проектирования, а также других областях исследований. В рамках формирования искусственной нейронной сети множество искусственных нейронов подвергается необходимой систематизации. В целях извлечения знаний нейронные сети проходят адаптивный процесс, именуемый обучением, который изменяет значения некоторых параметров сети. Таким образом, в упрощенной форме, структурная схема проектирования искусственной нейронной сети включает в себя множество искусственных нейронов, модель взаимосвязи данных нейронов и алгоритм обучения. В эволюционных алгоритмах присутствует множество «искусственных хромосом» представляющих популяцию индивидов, которые многократно проходят процессы воспроизводства, наследственных изменений и селекции. В результате данного адаптивного процесса возникает популяция эволюционировавших искусственных индивидов. Структурная схема в данном случае будет соответствовать генетическому представлению индивидов внутри популяции, плюс процедуры оценки, воспроизводства, наследственных изменений и селекции. Резюмируя вышесказанное, любая схема проектирования вычислительных алгоритмов требует, по крайней мере, следующих базовых компонентов:

• схема представления элементов системы;

• набор механизмов оценки взаимодействий индивидов со средой и друг с другом. Среда как правило моделируется при использовании множества входных воздействий, одной или нескольких фитнесс-функций или же других средств;

• процедуры адаптации, управляющих динамикой системы, то есть тем, каким образом поведение системы меняется с течением времени.

Упомянутые аспекты составляют фундамент предложенной структурной схемы проектирования искусственных иммунных систем, включающей в себя: представление, используемое для создания абстрактных моделей иммунных клеток, молекул и внутренних органов; множество функций, названных аффинными, количественно определяющих взаимодействия данных «искусственных элементов», а также ряд универсальных алгоритмов, управляющих динамикой искусственной иммунной системы.

Схема представления

Ранее, В- и Т-клетки рассматривались как одни из наиболее важных клеток иммунной системы. Было отмечено, что данные клетки имеют поверхностные рецепторы, формы которых комплементарны формам антигенов, позволяющие им распознавать болезнетворные агенты и выполнять функцию эффектора. По этой причине именно иммунные клетки и молекулы являются моделируемыми элементами и используются для построения искусственных иммунных систем. Перелсон и Остер [14] первые предложили концепцию пространства форм (Б). Принимая во внимание тот факт, что распознавание антигенов выполняется клеточными рецепторами, понятие пространства форм позволяет количественно описать их взаимодействия. Как и в биологических иммунных системах, в концепции пространства форм Э степень связываемости (степень соответствия или аффинности) между антигенным рецептором (АЬ или ТСЛ) и антигеном (Ag), определяется посредством областей комплементарности. Множество признаков, описывающих соответ-

ствующие свойства молекулы с точки зрения распознавания, называют ее обобщенной формой. Обобщенная форма антитела описывается множеством Ь параметров. Таким образом, точка в Ь-мерном пространстве форм описывает обобщенную форму области связывания антитела относительно его фактических способностей связывания различных типов антигенов. Популяция (совокупность) N индивидов (клеточных рецепторов) соответствует пространству форм с ограниченной областью V, содержащей N точек. Поскольку взаимодействия антиген-антитело рассчитываются исходя из областей комплементарности, антигенные детерминанты также характеризуются посредством обобщенных форм, комплементы которых лежат в пределах той же области V. Предполагается, что каждое антитело в основном взаимодействует с антигенами, чьи комплементы лежат в пределах небольшой прилежащей области. Данная область, характеризуемая параметром , именуется порогом аффинности. Область, пользуясь данным определением, именуется областью распознавания. Однако не исключен тот факт, что антиген может иметь различные формы, т.е. являться некоторой разновидностью одного и того же антигена. Поскольку любое антитело способно распознавать все антигены, комплементы которых лежат в пределах, считается, что конечное число антител способно распознать практически бесконечное число точек (Ag) находящихся внутри. Это связано с перекрестной реактивностью, когда схожие образы, располагающиеся в соседних областях пространства форм, могут быть распознаны посредством одной и той же формы антитела при условии соответствующего значения параметра. Различные улучшения данной концепции были описаны в работах [15, 16].

Модели пространства форм и способы определения аффинности

Модель пространства форм (или тип представления), используемая в контексте моделирования антигенов и антител, частично определяет способ вычисления их аффинности. Математически, обобщенная форма молекулы (га), антитела (АЬ) и антигена (Ад), может быть представлена в виде строки атрибутов (набора координат) т = (шх, Ш2, ...гап), га € С Ш1" или других более сложных структур, таких как нейронные сети или сеть Петри (за получением информации о более сложных структурах рекомендуем обратиться к работам [8, 9, 57]). Поскольку аффинность Ад-АЬ связана с расстоянием, ее значение может быть оценено посредством любой меры расстояния между двумя векторами или строками, такой как Евклидово, Манхэттена или расстояние Хемминга. Следовательно, если координаты антитела и антигена представлены в виде АЬ = (АЬ1,АЬ2,...АЬь} и Ад = (Ад\, Ад2, ...Адь) соответственно, то расстояние Б между ними может быть определено как:

В =

\

¿(АЬ-Ад^ (0.1)

1=1 ь

0 = ^Г\АЪ1-Адг\ (0.2)

г=1

ь

£> = Х> (0.3)

г=1

где уравнение (1) соответствует Евклидову расстоянию, уравнение (2) - расстоянию Манхэттена и уравнение (3) - расстоянию Хемминга. Учитывая схему представления молекул, формализм пространства форм определяет пространство Б с ограниченной областью V, где представлены все молекулы. Если предположить, что распознается указанный антиген, возможно ввести понятие аффинного

ландшафта в качестве представления пространства всех возможных аффинностей участков связывания данного антигена (антитела или ТС Я). Большое количество существующих моделей искусственных иммунных систем предполагают бинарное пространство форм, то есть пространство, в котором молекулы представляются в виде двоичных последовательностей (битовых строк). В данном случае, аффинность между битовыми строками антитела и антигена может быть определена посредством использования различных критериев. Наиболее часто используемыми являются:

• расстояние Хемминга (уравнение (3)),

• г-смежное битовое правило,

• множественное г-смежное битовое правило.

Расстояние Хемминга может быть определено путем применения оператора альтернативной дизъюнкции (ХОЛ) к бинарным строкам, г-смежное битовое правило определяет количество г-смежных комплементарных символов между двумя строками. Во множественном г-смежном битовом правиле протяженные комплементарные области, предположительно, могут представлять интерес в целях обнаружения сходных характеристик внутри симметричных областей молекул.

Генерация начальных совокупностей

Иммунные клетки и молекулы вырабатываются в костном мозге. Гены, используемые в процессе кодирования рецепторных молекул, хранятся в различных генных библиотеках. Кодирование молекул происходит посредством конкатенации сегментов различных генов, случайным образом выбранных из всех генных библиотек. В целях

создания атрибутивных строк, соответствующих иммунным рецепторам, используются модели костного мозга. Важно отметить, что до настоящего момента не делалось никакого различия между клеткой и ее рецептором - оба элемента представлялись посредством атрибутивных строк. Это главным образом связано с тем, что каждая иммунная клетка на своей поверхности имеет несколько рецепторов одинаковой формы. Во время рассмотрения моделей иммунных сетей также будут проанализированы более сложные модели клеток. Простейшей моделью костного мозга является модель, способная генерировать атрибутивные строки длиной равной Ь в , используя генератор (псевдо-) случайных чисел. В случае вещественного пространства форм определяется интервал, в котором находится значение т, а именно - т Е [0,1]ь В случае пространства форм Хемминга строка, представляющая т, должна быть составлена из элементов принадлежащих предопределенному алфавиту, например т £ 0,1 для двоичных последовательностей (битовых строк). Более сложные, и привлекательные с биологической точки зрения, модели создания совокупностей иммунных клеток требуют использования генных библиотек, при помощи которых молекулы перегруппировываются или подвергаются процессу эволюции. Хайтауэр [3], Перел-сон [6, 7] и Опри [10] в целях изучения влияний эволюции при генном кодировании молекул антител использовали генетический алгоритм. Особенность данного кодирования заключалась в том, что не все гены, существующие в генотипе (полное собрание генов) выражались в фенотипе (проявленные молекулы антител). В подобных моделях библиотеки генных сегментов содержат в себе гены, рекомбиниру-емые с целью генерации молекул антител. Другая важная особенность указанной модели состоит в том, что при относительно малом количестве генов возможна генерация большого количества различ-

ных рецепторных молекул (атрибутивных строк). Предполагая, что искусственная иммунная система содержит библиотеки, каждая из которых представлят собой набор элементов, возможна генерация молекул антител.

0.2.4 Алгоритмы и методы

Для описание этапов проектирования искусственной иммунной системы предположим, что атрибутивные строки в большинстве случаев являются подходящими представлениями клеточных рецепторов и антигенов. Вследствие этого основное внимание будет уделено способам оценки их взаимодействий, а также генерации начальной совокупности строк при использовании модели костного мозга. Тип атрибутов, со своей стороны, призван частично определить функцию оценки взаимодействий (распознавания) клеточных рецепторов со средой (антигенами), а также друг с другом (другими рецепторами). Следующий шаг проектирования соответствует применению некоторых (стандартных) итеративных процедур адаптации, которые будут управлять поведением искусственной иммунной системы в течение продолжительного времени. Алгоритмы, полученные вследствие моделирования процессов описанных ранее, в изначальном виде либо некоторым образом модифицированные, нашли широкое применение при решении различных прикладных задач. Таким образом, в настоящее время они являются одними из базовых итеративных процедур адаптации, применяемых в искусственной иммунной системе.

Клональная селекция

В целях разработки соответствующего алгоритма для решения таких задач, как машинное самообучение, распознавание образов

и оптимизация, авторы статьи [60] в своей работе сосредоточились на механизме клональной селекции и процессе аффинного созревания. Их алгоритм был протестирован на простой задаче распознавания двоичных символов, а также задачах многомодальной и комбинаторной оптимизации; более определенно задаче коммивояжера (ТЭР). Основные аспекты иммунных систем, принятые во внимание при разработке алгоритма названного СЬОМАЬС, включали в себя: селекцию и клонирование наиболее задействуемых клеток пропорционально их антигенной аффинности; уничтожение бесполезных (незадействованных) клеток; аффинное созревание и селекцию клеток пропорционально их антигенной аффинности; а также формирование и поддержание многообразия. Алгоритм CLONALG работает следующим образом:

1. Исходя из условий задачи, сгенерировать в пространстве форм множество N вариантов решения (совокупностей антител);

2. Выбрать клеток с наивысшими показателями аффинности по отношению к множеству распознаваемых антигенов или оптимизируемой функции;

3. Осуществить клонирование (сгенерировать идентичные копии) п выбранных клеток. Количество копий пропорционально их аф-финностям: чем выше аффинность, тем больше размер клона (число потомков);

4. Подвергнуть высокочастотной мутации (гипермутации) п выбранных клеток пропорционально их аффинности: чем выше показатель, тем ниже частота мутации (см. далее);

5. Для формирования новой совокупности провести повторную выборку мутированных клонов с наивысшими показателями аффинности;

6. Заменить клетки с низкими показателями аффинности на но-

вые;

7. Повторить Шаги 2-6 до выполнения критерия остановки.

Авторы характеризуют CLONALG как эволюционно-подобный алгоритм с основными возможностями популяционно-основанного поиска, управляемый механизмами воспроизводства, наследственной вариантности и селекции. Однако важно отметить тот факт, что хотя CLONALG и является категорией эволюционных алгоритмов, его разработка предполагала использование моделей иммунных систем. В противоположность этому, стандартные эволюционные алгоритмы разрабатывались под влиянием неодарвинистской теории эволюции. Таким образом, в первом случае (CLONALG) теория эволюции использовалась в целях объяснения того, каким образом функционирует алгоритм, в последнем же случае данная теория применялась непосредственно для конструирования алгоритма. При этом имеет место некоторое количество существенных различий между CLONALG и, например, генетический алгоритм CLONALG, в отличие от обычного генетического алгоритма, способен осуществлять не только селекцию пропорционально показателям аффинности, но, кроме того, и мутацию, также пропорциональную данным показателям. Однако алгоритмы имеют и схожие черты, например, способность кодирования индивидов популяции. При сравнении, например, с эволюционными стратегиями, опять же, существует некоторое количество различий. Эволюционные стратегии работают с ве-щественнозначным кодированием, в то время как CLONALG оперирует с двоичным представлением, кроме того, аффинная мутация в CLONALG не регулируется Гауссовым распределением. Таким образом, независимо от того какой тип эволюционных алгоритмов сравнивается с CLONALG, всегда наличествует достаточное количество различий в императивах их возникновения и методиках вычислений,

со своей стороны способных оправдать утверждение CLONALG в качестве эволюционного алгоритма инспирированного иммунологией.

Аффинное созревание

В целях поддержания и повышения многообразия антител иммунная система использует механизм, именуемый соматической гипермутацией. Данный механизм также позволяет иммунной системе увеличивать аффинность (способность распознавания) антител по отношению к отдельным антигенам; данный процесс получил название аффинное созревание. Поскольку формализм пространства форм позволяет представление любых клеточных рецепторов и антигенов посредством атрибутивных строк, существует возможность использования различных алгоритмов с целью внесения вариаций при кодировании данных элементов. Подобные алгоритмы могут соответствовать операторам мутации, применяемым в эволюционных алгоритмах (одно- и многоточечная мутация битовых строк и индуктивная мутация вещественных векторов), и предопределять соответствующее пространство форм. Важный аспект соматической гипермутации состоит в том, что каждый вариант решения (атрибутивная строка) будет иметь независимую частоту мутации пропорционально его аффинности по отношению к чужеродному антигену. Таким образом возможные решения, расположенные на вершинах аффинного ландшафта, будут иметь меньшие частоты мутации, в то время как решения находящиеся на большом расстоянии от оптимальных подвергнутся мутации с более высокими частотами. Основная идея данного подхода заключается в том, что варианты решения близкие к локальному оптимуму должны настраиваться с высокой точностью, тогда как решения, далекие от оптимума, могут проходить

большее количество шагов по направлению к нему или другой области аффинного ландшафта. Однако трудность состоит в том, что зачастую априори неизвестно об оптимальных решениях функции (или задачи). В этом случае, оценивается относительная аффинность каждого возможного решения на каждом временном шаге путем масштабирования (нормализации) данных значений. Инверсия экспоненциальной функции может использоваться в целях установления зависимости между частотой гипермутации и нормализованной аффинностью. Кеплер и Перелсон [16] предложили оптимальный способ управления аффинным созреванием в рамках иммунной реакции, отличный от приведенного выше. Они предположили, что развитие иммунной реакции путем соматической гипермутации будет отмечаться стремительным и существенным увеличением аффинности в направлении антигена, вызвавшего реакцию. Таким образом, оптимальный режим мутации будет соответствовать такому, где циклы скоростной мутации чередуются с циклами свободной мутации.

Негативная селекция

Процесс негативной селекции Т-клеток призван уничтожать клетки, рецепторы которых способны распознавать собственные антигены. Таким образом, все Т-клетки, прошедшие указанный процесс, способны распознавать лишь чужеродные антигены. Данная идея представляется весьма интересной в контексте разработки алгоритмов, предотвращающих необычное или аномальное поведение системы. Вдохновленные ею Форрест с коллегами [7, 48, 51, 63, 65, 66, 68] разработали алгоритм обнаружения аномалий, основанный на негативной селекции Т-клеток внутри тимуса. Данный алгоритм был назван алгоритмом негативной селекции, и его первоначальное

применение имело место в области компьютерной безопасности. Интересная особенность предложенного алгоритма заключалась в том, что он способен применяться в контексте таких задач как распознавание образов, позволяя хранить информацию о множестве образов неизвестных системе. Алгоритм негативной селекции достаточно прост и работает следующим образом. Надлежит обеспечить сохранность множества собственных образов 5 (строк); сгенерировать множество опознавателей образов А, так называемых детекторов, которые бы не соответствовали строкам, принадлежащим Я. Итеративный процесс генерации множества А может быть описан следующим образом.

1. Случайным образом сгенерировать атрибутивные строки и поместить их во множество Р

2. Определить аффинности всех строк в Р и «собственном» множестве $

3. Если аффинность какой-либо строки Р по отношению к хотя бы одной строке 5 больше или равна установленному порогу аффинности £, то данная строка Р считается «собственной» и должна быть удалена (негативно выбрана). В противном случае строка Р принадлежит «чужому» множеству и помещается во множество А.

0.2.5 Модели иммунных систем

Оригинальная теория иммунных сетей, предложенная Ерни [1], предполагала динамическое поведение иммунной системы даже в отсутствии чужеродных антигенов. Данное представление отличалось от методов клональной и негативной селекции, поскольку предполагало, что В-клетки способны к взаимораспознаванию. Что со своей стороны наделило бы иммунную систему определенным типом поведения, а также коммуникационной сетью клеточных рецепторов.

Некоторые специалисты по теоретической иммунологии, движимые целью привнести новые методики объяснения принципов функционирования иммунных систем, заинтересовались созданием моделей иммунных сетей. С того момента как исследователям, занимающимся вычислительной обработкой, стали доступны упомянутые работы, возникла крайняя заинтересованность в применении новых, основанных на иммунологии моделей с целью решения задач внутри различных прикладных областей, таких как вычисления, проектирование и т.д. Первые сетевые модели были главным образом основаны на множествах дифференциальных уравнений, регулирующих изменения размеров совокупностей молекул антител и В-клеток. Мы классифицируем указанные модели в качестве непрерывных моделей иммунных сетей. Подобные модели широко использовались разработчиками искусственных иммунных систем в таких областях как робототехника, оптимизация и управление. Иммунные сети также способствовали разработке сетевых моделей машинного самообучения, главным образом применяемых при анализе данных. Данные модели классифицируются в качестве дискретных моделей иммунных сетей, поскольку основываются не на дифференциальных уравнениях, а на итеративных процедурах адаптации или уравнениях в конечных разностях. Сравнение Дискретных Моделей Иммунной Сети. Хотя оба алгоритма на первый взгляд кажутся подобными, между ними имеются существенные различия в таких аспектах, как базовый компонент сети, схема представления, сетевые взаимодействиях и механизм управления популяциями. В алгоритме БАШ базовым элементом является В-клетка, состоящая из атрибутивной строки антитела, показателя уровня активации и индикатора распределения ресурсов, тогда как в aiNet таким элементом прежде всего является атрибутивная строка антитела. При этом, подобно

тому, как уровень активации является частью В-клетки в алгоритме RAIN, аффинность антитела по отношению к антигенами и другими антителам в алгоритме aiNet также может быть рассмотрена в качестве внутреннего параметра В-клетки. В целях определения уровня активации В-клеток, алгоритм RAIN использует разностное дифференциальное уравнение предложенное Фармером. Уровень активации учитывает сетевые взаимодействия, а также стимул со стороны антигена, таким образом, влияя на выживание и воспроизводство В-клеток. Аналогичным образом aiNet использует показатель аффинности для количественного определения степени антигенного распознавания и степени взаимодействия с другими антителами внутри сети. Однако данные процедуры вычислений выполняются на разных временных отрезках обучения, и не объединяются в единое уравнение как в алгоритме RAIN. В целях предотвращения экспоненциального роста популяции сетевых клеток, оба алгоритма используют соответствующую стратегию управления. В алгоритме RAIN используется механизм распределения ресурсов, обеспечивающий выживание наиболее задействуемых В-клеток. Это способствует контролю в отношении размера сети, а также созданию репрезентативного внутреннего образа генеральной совокупности антигенов. Напротив, aiNet уменьшает избыточность внутри сети путем удаления сходных антител, основываясь на степени их подобия (аффинности) в сравнении с другими антителами. Следствием этого является контроль размера совокупности.

Алгоритм RAIN конструирует топологическое представление антигенных образов. Это делает возможной идентификацию важных атрибутов, содержащихся в пределах генеральной совокупности антигенов, таких как кластеры и взаимосвязи среди компонентов данных. В дополнение к этому, для визуализации структуры сети был

спроектирован специальный программный механизм. Со своей стороны в алгоритме а1Ме1 в целях наблюдения за пространственным распределением генеральной совокупности антигенов создано приведенное дискретное множество антител. В целях интерпретации результатов работы aiNet могут использоваться различные методики представления графов, а также методики иерархической кластеризации, такие как минимальные остовные деревья и древовидные диаграммы. В качестве основных комментариев, касающихся обоих алгоритмов обучения, важно отметить тот факт, что результирующие сети обладают структурами, схожими со структурами непрерывных сетей. Поведение популяции сетевых клеток есть функция антигенных и сетевых взаимодействий, прибавленная к эффектам метадинамики, т.е. притоку новых элементов и уничтожению неза-действуемых. В дополнение к вышесказанному стоит отметить тот факт, что хотя оба алгоритма первоначально были реализованы с использованием действительнозначных векторов в Евклидовом пространстве форм, они совсем не обязательно ограничены данным пространством.

0.2.6 Сравнение искусственных иммунных систем с нейронными сетями и эволюционными алгоритмами

В предыдущем разделе была представлена упрощенная структурная схема проектирования искусственных иммунных систем. В целях построения данной схемы были отобраны существующие алгоритмы (наиболее часто используемые) обладающие обширными областями применения. Теперь, когда были представлены описание и структура искусственной иммунной системы, настало время обратить внимание на некоторые общие черты и различия между искусственными иммунными системами, искусственными нейронными

сетями и эволюционными алгоритмами. Акцент в настоящем разделе будет сделан на базовых компонентах предложенной структурной схемы:

• Представление: что является основными признаками, характеризующими элемент данной системы, и в чем выражается отличие данной системы от других концепций;

• Функции: какие виды функций управляют взаимодействиями элементов системы друг с другом и средой;

• Алгоритмы: какие схемы управляют адаптацией внутри каждой из стратегий, например, эволюционный процесс, обучение или правила вывода.

В популяционно-основанных искусственных иммунных системах клетки и молекулы в пространстве форм представляются посредством атрибутивных строк. В сетевых искусственных иммунных системах в дополнение к атрибутивным строкам существуют связи между сетевыми клетками и молекулами, а также другие параметры, такие как аффинность и количественные показатели уровня активации. Нейронные сети формируются с использованием искусственных нейронов, обычно состоящих из активационных функций, показателей сил связи и пороговых значений активации. Искусственные нейроны являются математическими моделями биологических нейронов, осуществляющими скалярное произведение вектора входных данных и вектора весовых коэффициентов, после чего применяющими активационную функцию к данному произведению в целях получения выходных данных. Важно отметить, что в популяционно-основанных искусственных иммунных системах иммунные клетки - в основном дискретные элементы, ответственные за хранение информации о среде. Напротив, в контексте сетевых искусственных

иммунных систем иммунные клетки представляют собой процессоры данных, определяющие аффинность по отношению к собственным и чужеродным антигенам (основываясь на соответствующем методе вычисления). Со своей стороны эволюционные алгоритмы используют строки, символизирующие собой отдельные хромосомы. По существу, нет никакого различия между хромосомой в эволюционном алгоритме и атрибутивной строкой в популяционных искусственных иммунных системах.

В рамках искусственных иммунных систем в большинстве своем существует два типа функций, используемых в целях количественного определения взаимодействий отдельных клеток и молекул: фитнесс- и аффинные функции. Фитнесс-функции используются, когда качество элементов искусственной иммунной системы оценивается в рамках задачи не предполагающей их сравнения с другими элементами, в последнем случае используется аффинная функция. Это означает, что, например, в задачах распознавания образов, где иммунная клетка сравнивается с другой атрибутивной строкой, в целях оценки степени их взаимодействия (подобия или различия) будет использоваться мера аффинности (уравнения (1)-(3)). Эволюционные алгоритмы для оценки качества каждого индивида популяции относительно среды в основном используют фитнесс-функции. Адаптация в рамках искусственных иммунных систем может затрагивать различные концепции, такие как обучение и/или эволюционные процессы. Популяционно-основанные искусственные иммунные системы в большинстве своем имеют эволюционный тип адаптации. В отличие от них модели иммунных сетей в своих алгоритмах адаптации могут иметь сочетания эволюционных процессов и (не)контролируемого обучения. Большинство нейронных сетей используют алгоритм обучения (например, правило Хэб-

ба или обратное распространение ошибок) или правила (например, псевдо-обратный метод в дискретных сетях Хопфилда [17]), относящиеся к одной из трех основных концепций: контролируемое, неконтролируемое и стимулированное обучение.

0.2.7 Обзор гибридных моделей

После знакомства с областью искусственных иммунных систем и рассмотрения общих черт и различий между искусственными иммунными системами, искусственными нейронными сетями и эволюционными алгоритмами, акцент будет смещен в сторону обзора научных публикаций, рассматривающих гибридные модели искусственных иммунных систем с искусственными нейронными сетями и эволюционных алгоритмов. Наиболее всестороннее, с теоретической точки зрения, сравнение данных концепций с искусственными иммунными системами, приведено в работах [45, 46]. В сущности, искусственные иммунные системы и эволюционные алгоритмы имеют огромный потенциал взаимодействия с искусственными иммунными системами. Большое количество научных публикаций предпринимали различные попытки интеграции одной или нескольких упомянутых концепций с искусственными иммунными системами, затрагивая при этом модели искусственных нейронных и иммунных сетей, или иммунные и эволюционные алгоритмы. Предлагаемая статья со своей стороны сосредоточится на том, каким образом данные концепции используют преимущества интеграции.

Искусственные иммунные системы и искусственные нейронные сети

Компромиссное соотношение между иммунной и нервной системами имело место с ранних дней существования теоретической иммунологии. Однако появление теории иммунной сети, предложен-

ной Ернн в 1974 [1], послужило в качестве императива отдельным научным исследователям детально изучить обе системы и попытаться проследить новые параллели между ними. Вследствие подобного комплексного исследования модели иммунной сети нашли применение в качестве новаторских подходов при проектировании и совершенствовании моделей нейронных сетей, и наоборот. В работах [11, 37], предпринята одна из первых попыток сравнения искусственных иммунных систем с моделями искусственных нейронных сетей. При этом основной акцент в работе делается на рассмотрении биологических нервной и иммунной систем. Следующая попытка была предпринята де Кастро и фон Зубеном, где авторы сравнивали сконструированную ими модель искусственной иммунной сети (aiNet) с искусственными нейронными сетями, в основном сосредоточившись на самообучающихся нейронных сетях. Хоффман совместно с коллегами [4], в целях разработки модели нейронной сети использовали некоторые аналогии между теорией иммунной сети и центральной нервной системой. Иммунная система была рассмотрена в качестве L-мерной совокупности, содержащей огромное количество сингулярных точек символизирующих собой аттракторы. Обучение в данной системе соответствовало изменению мощностей управляющих воздействий передаваемых сети, с сохранением фиксированной силы связи между клетками. Указанный метод отличался от стандартных искусственных нейронных сетей, в которых вектора весовых коэффициентов адаптировались к входным данным. В своих работах Вертосик и Келли [13], высказали предположение о том, что иммунная система может представлять собой альтернативную парадигму построения архитектуры нейронной сети. Основываясь на теории Параллельной Распределенной Обработки (PDP), они предприняли попытку преобразовать теорию иммунных сетей в иммунную сеть

PDP.

В итоге однозначно не было представлено ни одного алгоритма обучения, тем не менее, было высказано определенное мнение о том, что поведение иммунной системы во время обучения является неконтролируемым. Основываясь на иммунной метадинамике, то есть способности ввода новых клеток и молекул внутрь системы, а также уничтожения бесполезных, Аббаттиста с коллегами [12] сконструировали дискретную ассоциативную сеть. Данная сеть использовалась в целях определения совокупности точек в пространстве форм Хемминга. Лучшие точки совокупности принимались в качестве аттракторов, символизирующих сетевые блоки памяти. Как и в случае дискретной сети Хопфилда [17], данный алгоритм включал в себя фазу обучения (накопления) и фазу повторного вызова. В рамках своего исследования, авторы разработали развивающуюся логическую конкурентную сеть, основанную на механизме клональ-ной селекции и процессах аффинного созревания внутри иммунной системы. Главные особенности предложенного алгоритма состояли в конкурентном обучении, автоматической генерации сетевой архитектуры с фазами роста и отсечения, а также двоичном представлении силы связи в пространстве форм Хемминга. Процедура корректировки веса представляла собой поиск посредством управляемой мутации, моделирующий процесс аффинного созревания совокупности антител таким образом, что веса (антитела) становились более совершенными комплементами распознаваемых антигенов. Кроме того, де Кастро и фон Зубен, предложили новый подход к разработке алгоритма имитации отжига основанного на модельном представлении иммунной системы. Указанный метод был использован в задаче инициализации многослойных нейронных сетей прямого распространения, обученных при использовании алгоритма обрат-

ного распространения ошибок. Авторы утверждали, что корреляция между качеством начальных сетевых весов и качеством выходных данных сети может быть приравнена к качеству начальной совокупности антител и качеству иммунологической реакции. Вместе с тем были получены модельные представления принципов создания многообразия антител, с использованием концепции Евклидова пространства форм. Также авторы предложили алгоритм способный генерировать множество начальных весовых векторов, достаточно разнородных для снижения вероятности схождения прямопо-точной нейронной сети к локальному оптимуму. Модель иммунной сети описанная ранее, использовалась де Кастро и фон Зубе-

ном, с целью применения неконтролируемого метода к определению числа и позиции радиальных базисных функций, используемых в сетях РБФ. Основными задачами алгоритма являлась кластеризация и фильтрация не помеченных числовых множеств данных. В целях представления молекул авторы использовали Евклидово пространство форм. В данном случае антитело соответствовало возможному центру сети РБФ, при этом антиген был приравнен входному образу.

Искусственные иммунные системы и эволюционные алгоритмы

Огромное количество разрабатываемых в настоящее время искусственных иммунных систем можно охарактеризовать в качестве обладающих адаптацией сродни эволюционному алгоритму. Настоящий раздел посвящен краткому изложению работ, напрямую рассматривающих эволюционный алгоритм в качестве составного компонента обработки данных или в целях увеличения показателей производительности комбинирующими данный алгоритм с искусственной иммунной системой. При этом акцент будет помещен на искусственные иммунные системы, ответственнык за формирование раз-

новидностей и многообразных популяций, а также системы, интегрируемые с генетическими алгоритмоми или концепцией генетического программирования.

В целях исследования процессов распознавания образов и обучения в искусственных иммунных системах Форрестом и его коллегами [6] использовалась бинарная модель иммунной системы. В их работе генетический алгоритм был использован в целях изучения возможностей поддержания многообразия и способности обобщения искусственных иммунных систем. В данном случае, обобщение означает обнаружение общих схем, распространенных среди множества антигенов. Многообразие популяции напротив, соответствует множеству индивидов, способных к широкому охвату аффинного ландшафта. В своей работе авторы использовали простое бинарное пространство форм Хемминга с целью представления молекул и расстояние Хемминга в качестве критерия определения аффинности. Хайтауэр с коллегами [69] сосредоточили свое внимание на исследовании влияния эволюционных процессов в контексте генетического кодирования молекул антител и применении эволюционного алгоритма при производстве начальных совокупностей клеток и молекул искусственной иммунной системы. Для более детального ознакомления с исследованиями в данной области мы рекомендуем обратиться к работам Перелсона [15], а также Форреста и Опри [10]. Поттер и де Йонг предложили разработанный ими метод концептуального обучения, в котором ко-эволюционный генетический алгоритм использовался с целью построения искусственной иммунной системы, антитела которой были способны различать примеры и контр-примеры, т.е. собственные и чужеродные антигены. Кроме того, авторы исследовали механизмы управления многообразием и механизмы обобщения полученных искусственных иммунных систем. Йо (1999) со

своей стороны предположил, что возможности иммунной системы по адаптации и распознаванию образов (схем) могут быть преимущественно использованы с целью увеличения производительности генетических алгоритмов в задачах структурной оптимизации. Его исследование сосредоточилось на двух аспектах: использование возможностей иммунной системы по усилению сходимости Генетического Алгоритма и управление построением ограничений оптимизации, основанной на применении генетических алгоритмов.

Харт и Росс остановились на исследовании возможности эволюционирования искусственных иммунных систем посредством применения генетического алгоритма, а также последующего использования данной системы для производства множеств описаний, совместно покрывающих диапазон прогнозируемых и непрогнозируемых ограничений. Их модель включала в себя эволюционные процессы, использующие генные библиотеки, аффинное созревание и механизм клональной селекции. Дасгупта с коллегами [11] предложили так называемый иммуногенетический метод распознавания спектра в химическом анализе. В разработанном ими методе стандартный генетический алгоритм использовался в целях создания библиотеки специалистов для осуществления

централизованного управления распознаванием спектра. В свою очередь Николаев совместно с коллегами (1999) предложили иммунную интерпретацию Генетического Программирования. В данном иммунном генетическом программировании, по аналогии с моделью иммунной сети, последовательный поиск управлялся посредством динамической фитнесс-функцией. Управляющие программы получали фактические преимущества при сопоставлении важных примеров, а также подвергались определенному воздействию в целях более совершенного согласования несходных примеров. Фитнесс-функция

состояла из двух воздействующих друг на друга динамических моделей:

• модель для распространения программ, сопоставляющих наиболее важные примеры;

• модель для коррекции важности примеров относительно числа распознающих программ.

0.2.8.Выводы

Таким образом, на основе содержания данной главы можно сделать следующие выводы:

1. Искусственные иммунные системы обладают дополнительными возможностями по сравнению с традиционными средствами защиты компьютерных систем от вторжений.

2. Искусственные иммунные системы должны обладать основными свойствами биологических иммунных систем.

3. Искусственные иммунные системы способны поддерживать определенный уровень защищенности компьютерной системы.

0.3 Архитектура гибридной системы

противодействия аномальной активности процессов

0.3.1 Общая характеристика разрабатываемой системы

Все процессы, работающие в компьютерной системе, в той или иной мере используют ресурсы системы. Причем для каждого процесса существует типичное поведение по отношению к объему запрашиваемых ресурсов. Для процессов, интерактивно взаимодействующих с пользователем, невозможно заранее предсказать объем запрашиваемых ресурсов. Однако статистически можно выделить некоторую область значений, в рамках которой остается величина потребляемых ресурсов при решении задач, типичных для данного процесса. Под аномальным поведением будем понимать запросы на ресурсы в объемах выходящих за рамки типичных. Аномальное поведение может возникать либо вследствие выхода процесса из нормального режима функционирования, либо по причине внедрения вредоносного кода в основной код программы-источника. Обе этих ситуации могут нанести вред компьютерной системе и поэтому требуют отслеживания и реагирования со стороны подсистемы безопасности. Для предотвращения возникновения подобных ситуаций необходима система выявления причин возникновения аномальной активности. Эти задачи могут быть решены в рамках искусственной иммунной системы с привлечением систем искусственного интеллекта.

Разрабатываемая система проектировалась исходя из следующих требований, вытекающих из свойств искусственных иммунных систем:

1. Наличие начального иммунитета к некоторому набору вредо-

носного программного обеспечения. То есть после установки и запуска системы компьютер способен противодействовать определенному воздействию со стороны вирусов. Данное требование соответствует наличию врожденного иммунитета у живых организмов. Также сюда могут быть отнесены прививки, которые делаются живым организмам в раннем возрасте.

2. Способность обнаруживать новое вредоносное программное обеспечение по аномальной активности, порождаемых им процессов. Данное требование соответствует способности живых организмов обнаруживать вторжение инфекций.

3. Вычисление характерных параметров обнаруженных вредоносных процессов. Данная задача относится к наиболее трудных, так как сводится к автоматическому выделению сигнатур вирусных программ. Однако в нашем случае задача несколько упрощается тем, что рассматриваются только вредоносные программы с аномальной активностью, то есть четко известно какого типа инструкции должны содержаться в программе.

4. Автоматическое реагирование на вновь появляющиеся вредоносные программы. То есть должен быть реализован алгоритм распознавания свой/чужой, выявляющий угрозы безопасности компьютерной системе.

5. Формирование защитных мер, противодействующих выявленным вредоносным программам. То есть система должна формировать антигены, соответствующие каждому выявленному компьютерному вирусу.

0.3.2 Работа в штатном режиме

Общая схема функционирования искусственной иммунной системы в штатном режиме приведена на рисунке 0.3.2.

РОССИИСь- , I

г О С УДА р с Т В Е Н нл я? БИВЛИОТРК-Д "" |

Рис. 1: Алгоритм работы искусственной иммунной системы в штатном режиме

При запуске приложения в системе происходит проверка является ли оно новым. Для выявления новых ведется список обработанных приложений. Если приложение не является новым, то производится проверка, не помещено ли приложение в карантин. Если приложение в карантине, то оно блокируется. Снять блокировку может только пользователь в «ручном» режиме. Если приложение не помещено в карантин, то оно запускается на выполнение средствами операционной системы.

В том случае, когда происходит запуск не исполнявшегося ранее приложения, запускается алгоритм проверки наличия вредоносных участков кода. В случае присутствия последовательности команд присущих вредоносным программам происходит блокировка приложения и выдается запрос пользователю с предупреждением о воз-

можной «зараженности» приложения. Если пользователь разрешает запуск приложения, то оно переходит в режим выполнения, а искусственная иммунная система в режим слежения. В случае запрета пользователем на выполнение приложение помещается в карантин. Если в результате проверки на наличие вредоносного кода таковой не обнаружен, происходит запуск приложения и переход искусственной иммунной системы в режим слежения.

В режиме слежения система периодически сканирует основные параметры процесса детектируя аномальное поведение. В случае обнаружения завышенного потребления ресурсов система генерирует сигнал тревоги и выдает сообщение пользователю. Если пользователь подтверждает аномальное поведение, происходит анализ исполняемого кода, соответствующие данные добавляются к обучающему множеству, а приложение помещается в карантин. Если пользователь определяет поведение процесса как нормальное, то обновляется профиль нормального поведения и продолжается процесс слежения за процессом.

0.3.3 Преобразование программного кода в последовательность блоков инструкций

Для предварительного анализа исполняемых файлов, служащих источниками для процессов, необходимо провести исследование исполняемого кода, вызывающего аномальное потребление ресурсов. В большинстве случаев исходный код недоступен, поэтому приходится оперировать двоичным исполняемым кодом. Более того внедряемые вирусные инструкции отсутствуют в исходном коде коде на языке высокого уровня.

Исполняемый код естественным образом разбивается на блоки инструкций, такие как циклы, подпрограммы и так далее. Потребле-

ние ресурсов требует некоторой логически завершенной последовательности команд, которая, как правило, образует отдельный блок. Отдельными же блоками реализованы и внедряемые вирусы. Выделение вредоносных участков кода может быть реализовано с помощью следующего алгоритма:

1. Дизассебмлирование процесса.

2. Поиск стоп-точек (начало и конец процедуры).

3. Выделение блоков команд.

4. Отбрасывание операндов.

5. Запись последовательностей инструкций.

Структура типичного исполняемого файла в операционной системе Windows выглядит следующим образом: В качестве примера

Base of Image Header

MS-DOS 2.0 Section - (for MS-DOS compatibility, only)

MS-DOS 2.0 Compatible EXE Header

Unused

OEM identifier

OEM Information

Offset to PE Header

MS-DOS 2.0 Stub Prggram arid

Relocation Table

Unused

PE Header (Aligned on 8-byte boundary)

Section Headers

import Pages Import information Export information Base relocations Resource information

Рис. 2: Структура PE файла

рассмотрим фрагмент результата дизассемблирования исполняемого файла notapad.exe (32bit) пактом IDA Pro:

loc_ 10007287:\\

fmulp st(l), st\\

fstp [ebp+var_2C]\\

fldl\\

fstp [ esp+5Ch+var _4C ] \ \

fid [ebp+var_3C]\\

fsub qword ptr [edi+98h]\\

call sub_10006ABD\\

lea eax , [ esi —1]\\

add esp, 18h\\

mov [ebp+var_18], eax\\

fadd ds : dbl_100B64D8\\

loc 10007312:\\

mov eax, ebx\\

mov [ebp+var_18], ebx\\

fild [ebp+var_18]\\

test eax, eax\\

jge short loc_100072CD\\

sub_ 10006CE8 endp

Под последовательностью инструкций будем понимать набор команд ассемблера без операндов, ограниченную служебными словами loe или loe и sub. Тогда после обработки фрагмента кода поучаем следующий набор инструкций.

fmulp fstp fldl fstp fid fsub call lea add mov mov mov fild test jge fadd

Как видим в данном фрагменте программы удалось выделить две последовательности инструкций.

Безусловно предлагаемый метод обладает достаточно большим количеством погрешностей. Например, отбрасывание операндов может сделать одинаковыми разные по смыслу и назначению фрагменты кода. Одна и та же инструкция может просто заносить число в ячейку памяти, либо выделять область памяти в стеке программы. Тем не менее приближение, не учитывающее операнды, становиться вполне приемлемым при обучении системы на достаточно большом объеме входных данных.

0.3.4 Активность процессов

Для отслеживания активности процессов используются детекторы фиксирующие обращения к тем или иным ресурсам системы. Каждый детектор играет роль триггера, генерирующего сигнал при наступлении определенного события. Все сигналы последовательно записываются в некоторый общий поток событий, привязанный к каждому процессу. Для того, чтобы отличать одно событие от другого был построен реестр вызовов для различных состояний системы, согласно которому каждый вызов был ассоциирован с уникальным числовым значением. Анализируя частоту использования вызовов нормальными и вредоносными приложениями, из реестра были удалены вызовы, использующиеся в более, чем 80% и менее чем 10% всех приложений. Наиболее часто используемые вызовы соответствуют обычным действиям, выполняемым всеми процессами. Редкие вызовы используют специализированные программы, устанавливаемые с ведома пользователя. Для удобства, все детекторы были разбиты на несколько групп, характеризующих их область применимости:

1. Работа с файлами.

2. Работа с сетью.

3. Работа с реестром.

4. Работа политиками безопасности.

5. Управление сервисами.

6. Управление установкой приложений.

Таким образом, активность процесса была представлена в виде последовательности сигналов детекторов. Поток вызовов был разбит на блоки, длинной 12 элементов, где каждый элемент представляет собой числовое значение ассоциированное с вызванным методом.

Для определения является ли поведение аномальным были использованы два подхода - алгоритм отрицательного отбора и ней-росетевой подход.

В качестве нейронной сети был выбран трехслойный персептрон с сигмоидальной функцией отклика. Входной слой содержит 12 нейронов, выходной - один нейрон. Для реализации нейронной сети использовалась библиотека проекта ЕАК]М.

0.3.5 Генерация детекторов для метода отрицательного отбора

Для повышения эффективности процесса обработки входных сигналов предлагается использовать алгоритм в котором набор детекторов генерируется таким образом, что каждый из них не совпадает с нормальных шаблоном активности. Рассмотрим две строки

А = <2\¥ЕЕГУиЮР

в = гхсшгиывт.

Будем считать, что строки частично совпадают, если совпадают к смежных позициях. В приведенном выше примере, строки считают-

ся совпадающими при г < 3. Пусть т - длинна заданного алфавита, I - длинна строки, к - число символов, необходимое для соблюдения условия частичного совпадения. Как показано в [ссылка], вероятность совпадения двух строк Рт определяется с помощью следующего выражения:

Рт ~ тк(1-к)(т-1) Г (°-4)

т

+ 1

Легко проверить, что при увеличении длинны строки /, значение Рт растет линейно, а при увеличении к - уменьшается экспоненциально. При увеличении числа символов в алфавите, значение Рт резко уменьшается. На первом этапе работы алгоритма генерации, в качестве детекторов используются строки, отображающие значение сенсоров системы в процессе работы известных вредоносных процессов. На следующих стадиях, генерация кандидатов в детекторы происходит с применением классического генетического алгоритма.

Для ускорения работы алгоритма генерации детекторов необходимо определить оптимальное число детекторов, позволяющих обнаруживать аномальную активность с требуемой точностью. Для дальнейшего изложения нам потребуется определить следующие переменные:

Ыт - число детекторов, получившихся в результате работы алгоритма генерации

АГд - число детекторов, оставшихся после проверки на совпадение с шаблонами нормальной активности, и последующего удаления N3 - число шаблонов нормальной активности Рт - вероятсность совпадения двух строк

/ = (1 — Рт)Нз - вероятность несовпадения случайной строки с

каким-либо шаблоном нормальной активности

Pf - вероятность того, что оставшиеся ./Уд шаблонов не способны

обнаружить аномальную активность

В случаях, когда значения Рт достаточно малы, а Л^ - наоборот достаточно велики, выражение для / можно представить в виде:

/ = (1 - Рт)Мз = (0.5)

Таким образом

Ад = № (0.6)

и

^ = ( 1 - Рт)н» (0.7)

В случаях, когда значения Рт достаточно малы, а Ад - достаточно велики, выражение для Pf можно представить в виде:

Р/ = (1 - Рт)Мн = е~РтМя (0.8)

Используя 0.6 получаем:

—1пР1

Яд = №) = —в-^ (0.9)

Для АГдо имеем:

Таким образом, зная значения заданной вероятности обнаружения аномальной активности (1 — Р/), число шаблонов нормальной активности N3, число символов алфавита га, длину строки I, а так же число символов, необходимых для соблюдения условия частичного совпадения строк, мы можем выбрать необходимое количество детекторов Адо.

0.3.6.Выделение сигнатур процессов

Для определения вредоносных участков кода был разработан алгоритм выделения сигнатур последовательных команд:

1. Производим дизассемблирование исполняемого кода.

2. Отбрасываем параметры, оставляя только коды команд.

3. Разбиваем всю последовательность команд на блоки ограниченные характерными командами.

4. Каждому исполняемому коду сопоставляется сигнатурный вектор из 0 и 1, показывающий присутствие тех или иных блоков команд.

Таким образом, каждый исполняемый файл можно представить в виде вектора в многомерном Евклидовом пространстве, осями координат которого являются уникальные последовательности инструкций.

где Р - вектор, характеризующий программу г, ~р\ - булево значение, определяющее, встречается ли последовательность инструкций к в программе г, - количество нахождений инструкции к в программе г.

Полученная сигнатура используется в двух случаях:

1. Определение наличия вредоносного кода в новых приложениях.

2. При обнаружении аномальной активности.

Наличие вредоносного кода в приложении определяется с помощью еще одной нейросети (трехслойного персептрона), на вход которой подается сигнатурный вектор приложения.

Литература

[1] Jerne N.K. The immune system // Sci. Am. 1973. V.229. №1. 6. P. 52-60.

[2] Jerne N.K. Towards a network theory of immune system // Ann. Immunol. (Inst. Pasteur). 1974. V.125C. P.373-389.

[3] Hightower R., Forrest S., Perelson A.S., The evolution of emergent organization in immune system gene libraries // In: Proc. of the 6th international conference of genetic algorithms, Pittsburg, 1995. San Francisco, Ca.: Morgan Kaufmann, 1995.

[4] Hoffman G.W. A neural network model based on the analogy with immune system // J. Ther. Biol. 1986. V.122. №1. 6. P.33-67.

[5] Dasgupta D., Atton-Okine N., Immunity-based systems: A survey // In: Proc. of the IEEE international conference no systems, man and cybernetics, Orlando, Florida, October 12-15, 1997.

[6] Forrest S., Javornik B., Smith R., Perelson A.S., Using genetic algorithms to explore pattern recognition in the immune system // Evol. Comp. 1993. V.l, №3. P.191-211.

[7] Forrest SPerelson A.S., Allen L., Cherukuri R., Self-nonself discrimination in a computer // In: Proc. of IEEE symposium on research in security and privacy, Oakland, CA, 16-18 May 1994. P.202-212.

[8] de Castro L.N., Von Zuben F.J., Immune and neural network models: theoretical and empirical comparisons //Int Journal of Computer Intelligence and Applications V.l, №3. P.239-257.

[9] de Castro L.N., Timmis. J., Artificial immune systems: a novel paradigm for pattern recognition //In: Artificial Neural Networks in Pattern Recognition, Alonso L., Corchado J., Fyfe C. (eds), P. 67—84. University of Paisley.

[10] Oprea M., Forrest S., How the immune system generates diversity: pathogen space coverage with random and evolved antibody libraries // In: Proc of GECCO'99, P.1651-1656.

[11] Dasgupta D., Cao Y., Cao Y.: An immunogenetic approach to spectra recognitions // In: Proc of GECCO'99, P. 149-155.

[12] Abbattista F., Di Gioia G., Di Santo G., Farinelli M., An associative memory based on the immune networks // In: Proc of 2nd Online Workshop on Evolutionary Computation, Nagoya, Japan.

[13] Vertosick F.T., Kelly R.H., Immune network theory: A role for parallel distributed processing? //J. Immunology, 1989. V.66, P.l-7.

[14] Perelson A.S., Oster G.F., Theoretical studies of clonal selection: minimal antibody repertoire size and reliability of self-nonself discrimination // J. Theor Biol, 1979. V.81, P.645-670.

[15] Perelson A.S., Hightower R., Forrest 5., Evolution and somatic learning in V-region genes //J. Res Immunol. 1996. V.147, P.202— 208.

[16] Kepler T.В., Perelson A.S., Somatic hypermutation in В cells // J. Theor Biol. 1993. V.164, P.37-64.

[17] Hopfield J.J, Neurons with graded response have collective computational properties like those of two-state neurons // In: Proc Natl Acad Sci USA V.81, P.3088-3092.

[18] Головко В.А. Нейронные сети: обучение, организация, применение // Нейрокомпьютеры и их применение : учеб. пособие. М.: Наука, 2001.

[19] Галушкин А.И. Нейронные сети. Основы теории // М.: Горячая линия - Телеком, 2010.

[20] Дуда Р., Харт П. Распознавание образов и анализ сцен // М.: Мир, 1976.

[21] Круглов В.В., Дли М.И., Годунов Р.Ю. Нечеткая логика и искусственные нейронные сети // Физматлит, 2001.

[22] Хайкин С. Нейронные сети: полный курс // М.: Вильяме, 2006.

[23] Доленко С.А., Орлов Ю.В., Персианцев И.Г., Шугай Ю.С. Адаптивное построение иерархических нейросетевых классификаторов // Нейрокомпьютеры: разработка, применение, 2005, N1-2, С.4-11.

[24] К.Асаи, Д,Ватада, С.Иван Прикладные нечеткие системы // М.: Мир, 1993.

[25] Еремин Д.М., Гарцеев И.Б. Искусственные нейронные сети в интеллектуальных системах управления // М.: МИРЭА, 2004.

[26] Савельев А. В. На пути к общей теории нейросетей. К вопросу о сложности // журнал «Нейрокомпьютеры: разработка, применение», Радиотехника, 2006. N4-5. С.4-14.

[27] Fogel D.B., Michalewicz T., Evolutionary Computation 1: Basic Algorithms and Operators // Institute of Physics Publishing, 2000.

[28] Blake C.L., Merz C.J., UCI repository of machine learning databases. 1998. http://www.ics.uci.edu/ mlearn/MLRepository.html.

[29] Dasgupta D., González F., An Immunity-Based Technique to Characterize Intrusions in Computer Networks // In: Journal IEEE Transactions on Evolutionary Computation. 2002. V.6, P.281-291.

[30] Dasgupta D., F. González F., Anomaly detection using real-valued negative selection // In: special issue of the Journal of Genetic Programming and Evolvable Machines. 2003. V.4. P.383^403.

[31] Dasgupta D., KrishnaKumar K., Wong D., Berry M., Negative selection algorithm for aircraft fault detection // In: Proceedings of Third International Conference on Artificial Immune Systems. 2004, P. 1-13.

[32] Denning D., An intrusion-detection model // In: IEEE computer society symposium on research in security and privacy. 1986. P. 118— 31.

[33] Dasgupta D., Douglas R., A structured Genetic Algorithm // Research Report IKBS. 1993. V.3.

[34] Dasgupta D., Gonzalez F., An immunity-based technique to characterize intrusion in computer networks // IEEE Transactions on Evolutionary Computation. 2002. V.6. P. 1081-1088.

[35] Dasgupta D., Forrest S., Tool Breakage Detection in Milling Operations using a Negative-Selection Algorithm // Technical Report. 1995. V.5.

[36] Dasgupta D., Forrest 5., Novelty detection in time series data using ideas from immunology // In: Proceedings of the International Conference on Intelligent Systems. 1996. P.82—87.

[37] 12. Dasgupta D., Yu S., Majumdar N.S., MILA - multilevel immune learning algorithm // In: Proceedings of the Genetic and Evolutionary Computation Conference. 2003. P. 183—194.

[38] Eskin E., Arnold A., Prerau M., Portnoy L., Stolfo S., A geometric framework for unsupervised anomaly detection: Detecting intrusions in unlabeled data // In: Conference Data Mining for Security Applications. 2002. Kenwood.

[39] Keogh E., Lonardi S., Chiu B.Y., Finding surprising patterns in a time series database in linear time and space //In Proceedings of the eighth ACM SIGKDD international conference on knowledge discovery and data mining. 2002. Alberta, Canada.

[40] Keogh E., Lin J., Fu A., HOT SAX: Finding the Most Unusual Time Series Subsequence: Algorithms and Applications /. In: Proceedings of ICDM. 2005.

[41] Provost F., Fawcett T., Kohavi R., The case against accuracy estimation for comparing induction algorithms //In: Proceedings of 15th International Conference On Machine Learning. 1998. San Francisco, CA, Morgan Kaufmann. P.445-453.

[42] González F., Dasgupta D., An imunogenetic technique to detect anomalies in network traffic // In: Gecco: proceedings of the genetic and evolutionary computation conference. 2002. New York. P.1081— 1088.

[43] González F., Dasgupta D., Gómez J., The effect of binary matching rules in negative selection // In: Proceedings of the Genetic and

Evolutionary Computation Conference. 2003. Chicago, IL, Springer. P. 195-206.

[44] Fabio Gonzalez, Dipankar Dasgupta, and Luis Fernando Nino, A randomized realvalue negative selection algorithm // In: Proceedings of Second International Conference on Artificial Immune System. 2003.

[45] Gonzalez F., Dasgupta D., Kozma R., Combining negative selection and classification techniques for anomaly detection // In: Congress on Evolutionary Computation. 2002. Hawaii.

[46] González. F. A study of Artificial Immune Systems Applied to Anomaly Detection. PhD. Dissertation. 2003.

[47] Esponda F., Forrest S., Helman P., A Formal Framework for Positive and Negative Detection Schemes // In: the proceedings of IEEE Transactions on Systems, Man, and Cybernetics. 2002.

[48] Xiaoshu H., Dai. H., Constructing Detectors in Schema Complementary Space for Anomaly Detection // In: Genetic and Evolutionary Computation Conference. 2002. Springer-Verlag, Berlin.

[49] Haiyu H., Zhu J., Dozier G., Artificial Immunity Using Constraint-Based Detectors. 2002.

[50] Balthrop J., Esponda F., S. Forrest S., Glickman M., Coverage and Generalization in an Artificial Immune System //In: Proceedings of the Genetic and Evolutionary Computation Conference. 2002. P.3-10. Morgan Kaufmann. New York.

[51] Liu J.S., Monte Carlo Strategies // In: Scientific Computing. 2001. Springer-Verlag.

[52] Hamaker J.S., Boggess Non-euclidean distance measures in AIRS, an artificial immune classification system // In: Proceedings of 2004 Congress on Evolutionary Computation. 2004, P. 1067— 1073. Portland, OR.

[53] Gómez J., González F.A., Dasgupta. D., An Immuno-Fuzzy Approach to Anomaly Detection // In: the Proceedings of the IEEE International Conference on Fuzzy Systems. 2003.

[54] Shapiro J.M., Lamont G.B., Peterson G.L., An Evolutionary Algorithm to Generate Hyper-Ellipsoid Detectors for Negative Selection // In: proceedings of Genetic and Evolutionary Computation Conference. 2005. Washington, DC.

[55] MadhaviLatha K., An Agent-Based Intrusion Detection System for Wireless LANs // In: Master's Thesis. 2003. The University of Memphis.

[56] Castro L.N., Timmis J., Artificial Immune Systems: A New Computational Approach. 2002. London. UK: Springer-Ver lag.

[57] Lin J., Keogh E., Lonardi S., Chiu. B., A Symbolic Representation of Time Series, with Implications for Streaming Algorithms // In: proceedings of the 8th ACM SIGMOD Workshop on Research Issues in Data Mining and Knowledge Discovery. 2003. San Diego, CA.

[58] Gonzalez L.J., Cannady A Self Adaptive Negative Selection Approach for Anomaly Detection // In: Genetic and Evolutionary Computation Conference. 2004. Seattle.

[59] Ayra M., Timmis J., de Castro R., Duncan RNegative Selection: How to generate detectors // In: proceedings of the 1st International Conference on Artificial Immune Syatems (TCARIS). 2002. P.89-98. Canterbury, UK.

[60] Breunig M., Kriegel H., Sander. J., Lof, Identifying density-based local outliers // In: Proceedings of ACM SIGMOD, International Conference on Management of Data. 2000.

[61] Harmer P., Williams G., Gnusch P.D., Lamont G., An Artificial Immune System Architecture for Computer Security Applications // In: IEEE Transactions on Evolutionary Computation. 2002. V.6, N.3. P.252-280.

[62] D'haseleer P., Forrest S., Helman P., An Immunological Approach to Change Detection: Algorithms, Analysis and Implications // In: Proceedings of the 1996 IEEE Symposium on Computer Security and Privacy. 1996.

[63] Canham R.O., Tyrrell A.M., A Multilayered Immune System for Hardware Fault Tolerance within An Embryonic Array // In: Proceedings of 1st International Conference on Artificial Immune Systems. 2002. University of Kent at Canterbury, UK.

[64] Hofmeyr A., Forrest. S., Architecture for an artificial immune system // In: Evolutionary Computation. 2000. V.8. P.443—473.

[65] Forrest S., Perelson A., Allen ICherukuri R., Self-nonself discrimination in a computer // In: proceedings of IEEE Symposium on Research in Security and Privacy. 1994.

[66] Mahfoud S.W., A comparison of parallel and sequential niching methods // In: 6th Int. Conf. on Genetic Algorithms. 1995. P. 136143.

[67] Hofmeyr S.A., Forrest S., Architecture for an artificial immune system // In: Evolutionary Computation. 2000. V.8. P.443-473.

[68] Somayaji A., Hofmeyr S.A., Forrest S., Principles of a computer immune system // In: Proceedings of the Second New Security Paradigms Workshop. 1997.

[69] Lane T. Machine learning techniques for the computer security. 2000. PhD thesis, Purdue University.

[70] Yoshikiyo T.Y., Fault detection by mining association rules from house-keeping data // In: proceedings of international symposium on artificial intelligence, robotics and automation in space. 2001. Montreal, Canada.

[71] Lee W. Stolfo S. Data mining approaches for intrusion detection // In: Proceedings of the 7th USENIX security symposium. 1998. San Antonio, TX.

[72] Ji Z., Dasgupta D., Augmented Negative Selection Algorithm with Variable-Coverage Detectors // In: Congress on Evolutionary Computation. 2004. Portland, Oregon (U.S.A.).

[73] Ji Z., Dasgupta D., Real-Valued Negative Selection using Variable Sized Detectors // In: Genetic and Evolutionary Computation Conference. 2004. Seattle.

[74] Ji Z., Dasgupta D., Estimating the detector coverage in a Negative Selection Algorithm // In: Genetic and Evolutionary Computation. 2005. Washington DC.

[75] A slam J., Cremonini M., Kotz D., Rus D., Using Mobile Agents for Analyzing Intrusion in Computer Networks // In: Proceedings of the Workshop on Mobile Object Systems at ECOOP. 2001.

[76] Dasgupta D., Brian H., Mobile Security Agents for Network Traffic Analysis // In: Proceedings of the second DARPA Information

Survivability Conference and Exposition II (DISCEX-II). 2001. Anaheim, California.

[77] Dasgupta D., Gonzalez F., Yallapu K., Gomez J., Yarramsetti R., Dunlap G., Greaves M., Cougaar based Intrusion Detection System // In: Technical Report . 2002. N.2.

[78] Gomez J., Dasgupta D., Evolving Fuzzy Rules for Intrusion Detection // In: Proceedings of the Information Assurance Workshop. 2002. NY: West Point.

[79] Helmer G. G., Wong K., Honavar VMiller L., Intelligent Agents for Intrusion Detection // In: Proceedings, IEEE Information Technology Conference. 1998. P. 121-124. NY: Syracuse.

[80] Obitko Marek, An introduction to genetic algorithms. http://cs.felk.cvut.cz/ xobitko/ga/

[81] Pfleeger C.P., Security in computing. 2003. New Jersey: Third edition by Prentice Hall.

[82] Roque A., Architecture of Intrusion Detection using Intelligent Agents. 2003. Miami: Florida International University.

[83] Smith A. B., An Examination of an Intrusion Detection Architecture for Wireless Ad Hoc Networks //In: the 5th National Colloquium for Information System Security Education. 2001.

[84] Darrell W., A Genetic Algorithm Tutorial. 1993. Technical Report. P.93-103.

[85] Goldberg. D.E., Genetic algorithms in search, optimization, and machine learning // Addison-Wesley Publishing Co., Inc., 1989.