2.3 三級模塊式自適應(yīng)檢測系統(tǒng)模型結(jié)構(gòu)設(shè)計(jì)

在設(shè)計(jì)時(shí)主要模擬了危險(xiǎn)模型中3個(gè)基本信號和抗原提呈細(xì)胞的生物學(xué)概念及功能，并利用免疫獨(dú)特型網(wǎng)絡(luò)和數(shù)據(jù)融合算法進(jìn)行實(shí)現(xiàn)，構(gòu)成了基于免疫的三級模塊式自適應(yīng)檢測系統(tǒng)（immune-inspired three-level-module adaptive detection system, ITADS）模型，以下簡稱為三級模塊式檢測系統(tǒng)。

2.3.1 三級模塊式檢測系統(tǒng)模型的結(jié)構(gòu)及實(shí)現(xiàn)方法

依據(jù)危險(xiǎn)模型設(shè)計(jì)并實(shí)現(xiàn)的三級模塊式檢測系統(tǒng)如圖2-3所示，主要由三級模塊構(gòu)成：多變異模式獨(dú)特型網(wǎng)絡(luò)檢測模塊、模板可調(diào)式APC融合模塊和自適應(yīng)響應(yīng)模塊。

第1級是多變異模式獨(dú)特型網(wǎng)絡(luò)檢測模塊（multi-mutation-pattern idiotypic network detection module，以下簡稱為MIND模塊），由一組檢測器構(gòu)成。該模塊的功能模擬了信號1（抗原識別信號）的作用，用于區(qū)分正常和異常行為，并給出相應(yīng)的檢測信號。檢測器的設(shè)計(jì)采用的是模式識別方法，即將所有行為視為正常和異常兩類，通過對正常和異常行為的學(xué)習(xí)，利用模式匹配將待測試行為的類別屬性確定出來。這種方法結(jié)合了異常檢測和誤用檢測兩種方法，有助于改善檢測性能。

第2級是模板可調(diào)式APC融合模塊（template-adjustable APC fusion module，以下簡稱為TAF模塊）。該模塊的功能模擬了抗原提呈細(xì)胞APC的關(guān)聯(lián)功能，借助一種數(shù)據(jù)融合算法——決策模板算法得以實(shí)現(xiàn)。其中，本級模塊輸出的檢測信號模擬的是信號2（協(xié)同刺激信號），用于啟動(dòng)下一級模塊。系統(tǒng)出現(xiàn)異常時(shí)檢測到的信號模擬的是信號0（危險(xiǎn)信號），當(dāng)系統(tǒng)不能根據(jù)已有知識進(jìn)行檢測時(shí)，可以依據(jù)此信號作出判斷，即有危險(xiǎn)信號就認(rèn)為是異常行為，否則就認(rèn)為是發(fā)生了變化的正常行為。決策模板算法用于關(guān)聯(lián)上一級模塊產(chǎn)生的多個(gè)檢測信號，為了實(shí)現(xiàn)對危險(xiǎn)信號的關(guān)聯(lián)，對決策模板算法的融合結(jié)果重新進(jìn)行了定義，見2.3.4節(jié)。

第3級是自適應(yīng)響應(yīng)模塊（adaptive response module，以下簡稱為AR模塊），該模塊的功能模擬了免疫響應(yīng)的作用。在免疫學(xué)中，免疫響應(yīng)用于大量產(chǎn)生抗體以殺死入侵的病毒和細(xì)菌。對于一般的檢測系統(tǒng)，不需要對異常作深入處理，因此本級模塊首先要實(shí)現(xiàn)的功能就是報(bào)警。除此之外，該模塊還用于對系統(tǒng)進(jìn)行在線調(diào)整，即學(xué)習(xí)新的正常和異常行為模式以適應(yīng)變化的環(huán)境，使得本章設(shè)計(jì)的檢測系統(tǒng)不再需要定期更新，而且能夠提高對未知異常行為的檢測能力。

總之，仿照危險(xiǎn)模型提出的三級模塊式檢測模型的特點(diǎn)在于：第一，對于難以給出檢測結(jié)果的情況，如已知行為的特征發(fā)生變化或出現(xiàn)新的異常行為，本系統(tǒng)將危險(xiǎn)信號作為是否報(bào)警的依據(jù)。這樣做的結(jié)果是，一方面可以起到減少誤報(bào)、增加檢測準(zhǔn)確度的作用，另一方面可以增強(qiáng)檢測未知異常行為的能力。第二，系統(tǒng)實(shí)現(xiàn)了在線調(diào)整，可以實(shí)時(shí)學(xué)習(xí)新出現(xiàn)的正常和異常行為特征，能夠自動(dòng)適應(yīng)環(huán)境的變化，不需要定期更新。

為便于表述和理解，下面首先將提出的三級模塊式檢測系統(tǒng)模型與危險(xiǎn)模型中的相關(guān)生物免疫學(xué)概念進(jìn)行對照，以便進(jìn)一步說明本章的設(shè)計(jì)方法。

2.3.2 三級模塊式檢測系統(tǒng)模型與危險(xiǎn)模型的概念對照

三級模塊式檢測系統(tǒng)模型與危險(xiǎn)模型中的相關(guān)免疫學(xué)概念對照如表2-1所示，從中可清楚地看出本書所借鑒的免疫學(xué)概念和原理。

在表2-1中，危險(xiǎn)模型中各信號的概念及功能參見2.2.2節(jié)。三級模塊式檢測系統(tǒng)模型中含有3種信號：初級檢測信號、最終檢測信號和危險(xiǎn)信號，分別與危險(xiǎn)模型中的信號1、信號2和信號0相對應(yīng)，其基本工作原理也是按照相應(yīng)的免疫學(xué)原理進(jìn)行設(shè)計(jì)的。

雖然提出的檢測系統(tǒng)模型是按照危險(xiǎn)模型中的免疫學(xué)概念和原理設(shè)計(jì)的，但是為滿足各種檢測的應(yīng)用需求，本章對危險(xiǎn)模型中的信號1、免疫響應(yīng)操作和危險(xiǎn)信號的作用重新進(jìn)行了設(shè)計(jì)。

第一，本章采用模式識別的方法來實(shí)現(xiàn)初步檢測，因此初級檢測信號有兩種：正常和異常。而如果按照危險(xiǎn)模型的信號1來定義，則MIND模塊的輸出結(jié)果只有一種信號，即指示出現(xiàn)異常。然而，這種檢測方法相當(dāng)于基于異常的檢測方法，誤報(bào)率高。

第二，本章為正常和異常行為設(shè)計(jì)了不同的響應(yīng)操作，ITADS將根據(jù)TAF模塊發(fā)出的最終檢測信號來啟動(dòng)適當(dāng)?shù)捻憫?yīng)。而在危險(xiǎn)模型中，免疫響應(yīng)操作總是產(chǎn)生大量抗體以將入侵的抗原消除。

第三，在本章提出的ITADS模型中，危險(xiǎn)信號僅僅是啟動(dòng)對未知異常行為進(jìn)行響應(yīng)的控制信號。也就是說，對于已知的異常行為，根據(jù)其行為特征就可作出準(zhǔn)確判斷，從而立即啟動(dòng)對異常行為的響應(yīng)，不需要等待危險(xiǎn)信號的刺激。但是對未知異常行為，系統(tǒng)無法作出明確的判斷，因此需要依靠危險(xiǎn)信號。這與在危險(xiǎn)模型中危險(xiǎn)信號負(fù)責(zé)啟動(dòng)免疫響應(yīng)的作用不同。這樣設(shè)計(jì)的目的在于加快系統(tǒng)對已知異常行為的響應(yīng)速度，從而降低由異常行為帶來的損失。

2.3.3 系統(tǒng)的第一級模塊——多變異模式獨(dú)特型網(wǎng)絡(luò)檢測模塊

本級模塊包括若干個(gè)檢測器，用于對待測試數(shù)據(jù)進(jìn)行初步測試。本章采用Giacinto [170]給出的方法，將需要檢測的特征分組進(jìn)行測試，讓每個(gè)檢測器負(fù)責(zé)檢測其中的部分特征，這樣所有檢測器可完成對整個(gè)特征空間的檢測。由于這里的檢測器采用模式識別的方法，從而將檢測問題轉(zhuǎn)化為對正常和異常這兩類行為模式進(jìn)行識別的問題。因此，檢測器的工作過程可分為兩個(gè)階段，第一個(gè)是檢測器的訓(xùn)練階段，使檢測器學(xué)習(xí)已知正常和異常行為的特征，具備對這兩種行為模式的識別能力。第二個(gè)是檢測階段，將待測試的行為特征與已知特征進(jìn)行比較，得出檢測結(jié)果。

每個(gè)檢測器的輸入是經(jīng)過提取并分組的行為特征。檢測器會根據(jù)檢測結(jié)果給出初級檢測信號：正常或異常，這些信號會被本級模塊轉(zhuǎn)換成對應(yīng)的行向量輸出到下一級模塊。

由于具有學(xué)習(xí)和記憶能力，神經(jīng)網(wǎng)絡(luò)廣泛用于模式識別的應(yīng)用。但大部分神經(jīng)網(wǎng)絡(luò)一旦訓(xùn)練完成并投入使用，除非重新訓(xùn)練，否則很難改變或得到及時(shí)調(diào)整。因此在用作檢測器時(shí)，意味著需要定期更新，否則無法完成對新特征尤其是新異常行為的學(xué)習(xí)。因此，本章經(jīng)過分析和實(shí)驗(yàn)驗(yàn)證，最終選擇由人工獨(dú)特型網(wǎng)絡(luò)來實(shí)現(xiàn)檢測器，從而提出了多變異模式獨(dú)特型網(wǎng)絡(luò)自適應(yīng)檢測器。由于人工獨(dú)特型網(wǎng)絡(luò)除了具有學(xué)習(xí)和記憶能力之外，自身還具有動(dòng)態(tài)調(diào)整能力，可通過在網(wǎng)絡(luò)中生成對應(yīng)抗體來實(shí)現(xiàn)對新數(shù)據(jù)特征的實(shí)時(shí)學(xué)習(xí)，因而不再需要定期更新，使據(jù)此實(shí)現(xiàn)的檢測器能夠適應(yīng)變化的工作環(huán)境。詳細(xì)說明將在第3章給出。

2.3.4 系統(tǒng)的第二級模塊——模板可調(diào)式APC融合模塊

本級模塊模擬APC結(jié)合多種信號的能力，用于對初級檢測信號以及危險(xiǎn)信號進(jìn)行關(guān)聯(lián)，并據(jù)此給出最終的檢測信號。本章采用了決策模板算法[171]來實(shí)現(xiàn)對初級檢測結(jié)果的融合。由于本章將危險(xiǎn)信號作為識別未知異常行為的依據(jù)，因此對決策模板算法的融合結(jié)果重新進(jìn)行了定義，增加了可疑信號，以便能夠利用危險(xiǎn)信號。

檢測前，預(yù)先根據(jù)已知的正常和異常行為特征建立檢測模板。檢測時(shí)，首先將接收到的來自上一級模塊的初級檢測信號進(jìn)行融合以構(gòu)建當(dāng)前行為的決策輪廓（decision profile），然后將其與兩個(gè)檢測模板分別進(jìn)行比較，根據(jù)比較結(jié)果可得到3種信號：正常、異常和可疑。這里給出了這3種信號的定義，如定義2.1所示。

定義2.1 設(shè)正常和異常行為的模板為DT1和DT2，當(dāng)前數(shù)據(jù)的決策輪廓與DT1和DT2的相似度分別為S1和S2。

如果S1，S2＜St1或者d=|S1-S2|＜St2，則Fout=SS；

如果S1，S2>St1，d>St2，且S1>S2，則Fout=SN；

如果S1，S2>St1，d>St2，且S2>S1，則Fout=SA。

其中，Fout為融合結(jié)果，SS、SN和SA分別代表可疑信號、正常信號和異常信號。St1與St2為兩個(gè)相似閾值，根據(jù)它們所起的作用，一般St1在0.5以下，St2在0.5左右，具體值可在檢測系統(tǒng)投入使用前通過實(shí)驗(yàn)選取。它們的值越大，產(chǎn)生的可疑信號就越多。如果檢測模板比較準(zhǔn)確，則它們可取較小的值。4個(gè)參數(shù)DT1、DT2、S1和S2的詳細(xì)計(jì)算方法將在第4章給出。

當(dāng)決策輪廓與兩個(gè)模板的相似度都比較低，或者與兩個(gè)模板的相似度值比較接近時(shí)，將產(chǎn)生可疑信號。而決策模板算法原來的定義方法總是選擇與當(dāng)前輪廓相似程度最高的模板的類別作為最終結(jié)果，因此不會產(chǎn)生可疑信號。對于行為特征經(jīng)常發(fā)生變化的環(huán)境，此方法很難保證結(jié)果的正確性。

本級模塊向下一級模塊輸出的最終檢測信號有兩種：正常和異常。當(dāng)Fout為SN和SA，即融合結(jié)果為正常和異常信號時(shí)，說明當(dāng)前行為輪廓與正常或異常模板的近似程度比較高，模塊可據(jù)此直接給出最終檢測信號。而當(dāng)Fout為SS，即融合結(jié)果為可疑信號時(shí)，說明行為輪廓與已知模板相比得不到明確的結(jié)果，模塊需要根據(jù)危險(xiǎn)信號進(jìn)一步判斷。如果有危險(xiǎn)信號，模塊將輸出異常信號；否則就輸出正常信號。

通常在出現(xiàn)未知異常或已知行為發(fā)生較大改變時(shí)，多數(shù)會出現(xiàn)可疑信號，此時(shí)危險(xiǎn)信號可以幫助系統(tǒng)作出正確判斷。理論分析表明這種方法有助于降低誤報(bào)率和漏報(bào)率，增加檢測的準(zhǔn)確度。

2.3.5 系統(tǒng)的第三級模塊——自適應(yīng)響應(yīng)模塊

本級模塊的任務(wù)有兩個(gè)：一是發(fā)出報(bào)警信號并給出該行為的特征信息；二是用當(dāng)前數(shù)據(jù)調(diào)整檢測系統(tǒng)。系統(tǒng)的在線調(diào)整包括兩個(gè)方面，一個(gè)針對檢測器；另一個(gè)針對檢測模板。

在第一級模塊中采用人工獨(dú)特型網(wǎng)絡(luò)實(shí)現(xiàn)檢測器，已在檢測的同時(shí)通過生成抗體完成對新數(shù)據(jù)的學(xué)習(xí)，使檢測器獲得實(shí)時(shí)調(diào)整。檢測模板的在線調(diào)整是指系統(tǒng)可以將新出現(xiàn)的正常和異常特征加入對應(yīng)的行為模板中。為實(shí)現(xiàn)這個(gè)目的，這里對Kuncheva提出的決策模板算法[171]進(jìn)行了改進(jìn)，提出了模板可調(diào)式自適應(yīng)決策融合算法，有關(guān)該算法的詳細(xì)說明將在第4章給出。按照該自適應(yīng)決策融合算法，檢測系統(tǒng)可及時(shí)根據(jù)新的行為特征調(diào)整對應(yīng)檢測模板。當(dāng)該行為再次出現(xiàn)時(shí)，由于其特征已知，因此系統(tǒng)會迅速給出檢測結(jié)果，而不必再依賴危險(xiǎn)信號。這種方法的好處是既提高了檢測的準(zhǔn)確度又加快了系統(tǒng)對異常作出反應(yīng)的速度。

根據(jù)上一級模塊發(fā)出的最終檢測信號，本級模塊將啟動(dòng)對應(yīng)的操作。也就是說，對于異常信號，響應(yīng)操作包括發(fā)出報(bào)警信號，并用當(dāng)前數(shù)據(jù)調(diào)整檢測器和異常模板；對于正常信號，響應(yīng)操作為用當(dāng)前數(shù)據(jù)調(diào)整檢測器和正常模板。