2.2 危險理論與危險模型分析

危險理論和危險模型是本章提出的三級模塊式檢測系統模型的理論基礎，因此本節首先分析危險理論與自我非我識別理論的不同，以明確本章采用危險模型、放棄自我非我模型的設計思路，然后詳細討論危險模型及其工作原理。

2.2.1 危險理論與自我非我識別理論的區別

1．危險理論的基本原理

Matzinger認為免疫系統確實能夠區分一部分自我和非我，但不是僅僅依據對外來物質的識別就作出免疫響應。她認為這是一種對身體受到有害刺激時的反應，而不僅僅是針對外來物質的簡單響應。

按照危險理論描繪的免疫響應圖如圖2-1所示[161]。受到損害的細胞發出危險信號，于是鄰近區域的抗原被抗原提呈細胞捕獲，然后抗原提呈細胞運動到本地淋巴節點，將抗原提呈給淋巴細胞。實際上，危險信號在其周圍建立起一個危險區域，只有在這個危險區域中的B細胞匹配到抗原后才會受到刺激，進而經歷克隆擴增過程。不能匹配抗原或者距離太遠不在危險區域之內的B細胞不會被激勵[161]。

在危險理論中，危險的程度是由細胞受到的損害程度來衡量的，當細胞出現非自然死亡（unnatural death），如細胞應激（cell stress）或裂解細胞死亡（lytic cell death）時，會發出危險信號，指示細胞受損。

2．自我非我識別理論

自我非我識別理論的生物學原理[162][163]為：免疫系統的主要能力在于能夠對外來入侵者或抗原作出響應，但不對“自我”物質作出響應。為實現這個功能，免疫系統需要分辨外來的、可能是病原的入侵者與非外來的物質之間的不同點。這種能力可以通過主要組織相容性復合體（major histocompatability complex, MHC）來實現。該復合體對任一個體都具有唯一性，所以可作為用于識別“自我”成分的標識。另外，免疫系統中的細胞通過陰性選擇過程對自我耐受而趨于成熟。借助MHC和這種免疫耐受（tolerance），生物免疫系統能夠識別出外來物質并向與免疫響應有關的主要效應細胞發出必要的信號。

因此，自我非我觀點認為淋巴細胞在匹配到一定數量的外來抗原后會引發免疫響應，因而對自我和非我的識別是免疫系統的關鍵。

3．危險理論與自我非我識別理論的異同分析

按照危險理論，外來物質對系統的入侵是有區別的，可能是“非我但無害（non-self but harmless）”的，也可能是“自我但有害（self but harmful）”的。所以與自我非我識別理論一樣，危險理論也需要區分自我和非我，因而該理論并沒有完全否定自我非我識別。

這兩個理論的區別在于對問題“應該對誰產生響應”的回答不同。自我非我觀點認為免疫系統應該對身體以外的物質，或者說非我、異己性產生免疫響應，因此當檢測到一定數量的非我時，就會啟動免疫響應以消滅外來物質。而危險理論則認為免疫系統應該對危險產生免疫響應，而不是對非我產生響應，因此只有當身體受到傷害時，才會啟動免疫響應。所以在危險理論中，會允許身體中存在無害的非我。

可以說，在危險理論看來，自我非我識別只是啟動免疫響應的條件之一，如果沒有危險信號，這種識別將導致對自體的免疫耐受。

根據自我非我識別理論設計的檢測系統，一般將系統的正常行為視為自我，異常行為如網絡攻擊、計算機病毒、系統故障等視為非我。系統通過陰性選擇建立表示非我的檢測子集合，通過抗體抗原間的匹配進行檢測。當檢測系統識別出一定數量的非我時，就認為出現了一次異常行為，從而產生報警。由于在實際的應用環境中正常行為經常改變，很難找到合適的覆蓋非我的檢測子集合，其中常常會包含一定數量的自我，因此這種方法往往誤報較多。

而按照危險理論來設計檢測系統時，僅僅有非我的出現并不會產生報警，只有當危險信號出現時，系統才會認為發生了異常，進而發出報警信號。這種檢測方法可以在一定程度上減少誤報的發生[164][165]。這是本章放棄自我非我識別理論而采用危險理論設計檢測系統的原因。

2.2.2 危險模型

1．危險模型的工作原理[166]

Matzinger在1994年提出的危險模型如圖2-2所示。

該模型共含有如下3個信號：

·信號1：抗原識別（antigen recognition）信號，當免疫細胞（B細胞或T輔助細胞）匹配到抗原或由APC提呈的抗原片斷時發出的信號。

·信號2：協同刺激信號，由APC提供，用于刺激T輔助細胞，從而引起免疫響應。

·信號0：危險或報警信號，由受損或異常死亡的細胞發出，用于刺激APC產生協同刺激信號。

Matzinger認為抗原提呈細胞（APC）必須首先受到激勵才能提供協同刺激信號，而APC是否被激勵取決于它周圍細胞的健康狀況，與非我識別信號無關。只有在信號0（Sig0）的刺激下，APC才會發出協同刺激信號。由于健康細胞或細胞的凋亡（apoptosis）不會發出信號0，因而APC不會受到刺激，只有受損細胞（distessed cell）或細胞的壞死（necrosis）才會對APC產生激勵。

危險模型的基本工作原理如下：

免疫響應的最終控制信號是由受損或應激（stressed）細胞發出的危險信號。信號1的出現僅表明免疫系統發現外來物質。在正常情況下，APC不會提供協同刺激信號，因而不會產生免疫響應。即只有信號1而沒有信號2的情況不會引起免疫響應而導致免疫耐受。也就是說，外來物質如果不對身體造成傷害，就不會導致免疫響應。只有當細胞非正常死亡或受到損傷出現危險信號，即出現信號0后，APC才會被該信號刺激，發出信號2，從而導致免疫系統產生免疫響應。因為信號2是由信號0刺激而得到的，因此在危險模型中，危險信號是啟動免疫響應的控制信號。另外，APC不但能提供啟動響應的協同刺激信號，Greensmith[167]等人還發現APC具有結合由病原體和身體組織產生的外部和內部信號，并據此作出適當響應的能力。Aickelin[161]等人也認為APC的刺激是根據不同信號間的關聯結果產生的，這種刺激將導致免疫響應。

2．危險信號

危險信號可由經歷應激、損傷或異常死亡的內部組織發出，也可由外來病原體發出[168]。目前危險信號的確切性質還不十分清楚，但只要能指出在特定區域內出現的系統重要異常，就可能是一個“積極”（positive）的信號。系統的工作也可以是基于多個危險信號的聯合，其中每個信號要求不同的響應。Secker[169]等人認為危險信號應該是能夠指示系統出現異常但仍有時間修復的信號。Aickelin[161]等人認為危險信號是指系統遭受有限的損害后必須被快速、自動地檢測到以將損失減至最低的信號。

在實際應用中，可根據需要確定危險信號，此時信號的實際物理意義可能不再與危險有關，可以是其他決定免疫響應的基礎信號。例如，對于入侵檢測，Aickelin[161]等人認為危險信號可以是指出內存使用量過高或過低、不正常的磁盤活動、文件更改頻率過高等現象的信號。在數據挖掘的應用中，Secker等人[169]設計自適應郵箱過濾系統時，在考慮了幾種可能后，如郵件信息大小異常、收件箱異常占滿或含有大量未讀信息等，將危險信號定義為郵箱含有過量信息。Aickelin[161]等人在挖掘用戶感興趣的文檔時，將危險信號定義為“發現一條有價值的信息”，或者更進一步定義為“用戶興趣”，而且當用戶的興趣發生改變時，危險信號也隨之改變。

根據危險理論建立的危險模型更能反映免疫系統的本質特性，因此根據危險模型設計的檢測系統更接近于生物免疫系統的功能，尤其是將危險信號作為檢測系統產生報警的依據，可以起到降低誤報率的作用。

上述理論分析說明利用危險理論來實現系統異常行為的檢測能夠獲得更好的效果，因此已有不少學者對此進行嘗試，提出了一些方法，但是這些方法都沒有基于完整的危險模型，有些僅僅利用了其中的一部分作用機理，有些則只是給出了初步的檢測模型設想，而沒有給出具體的實現方法。總之，由于對危險理論的研究還不完善，因此對危險理論的應用研究仍處于初步階段。

本書模擬了危險模型中的大部分生物免疫學概念和作用機理，設計并實現了相應的功能部件，提出了一個比較完備的檢測應用模型。