阴性选择法

阴性选择法是由Forrest在1994年提出算法，该算法在AIS中得到了广泛的应用，是AIS的核心算法之一。该算法的过程如图：

1.定义自我集S，以及表示自我的长度为l的字符串。

2.定义部分匹配规则，匹配阈值以及期望达到的系统匹配失败率等参数。（此处多用r-contiguous匹配规则）

3.随机产生长度为l的字符串作为未成熟的检测器。

4.计算每个未成熟检测器和自我集中的每一个个体的适应度/匹配度（看是否超过阈值）

5.超过阈值，即匹配成功，则删除该检测器。若未匹配成功，则加入成熟检测器集R。

6.通过不断地将R中的检测器与S比较起到监控S的目的。

其中，成熟检测器的数量NR，不会随着自我集NS的增加而增加，但是生成NR的时间会随着NS规模的增加而成呈指数增加，随着初始检测器数目NRo的增加而线性增长。

利用Forrest阴性选择算法，可以令系统以相对较小的代价取得很高的系统安全。因为系统匹配失败率随着NR的增长而指数增长。

要想对阴性选择算法进行改进，就需要减少成熟检测器集数量NR，因为成熟检测器集监测待保护数据的时间复杂度与有效检测器的个数呈线性关系。

阴性选择中两种匹配规则：

1.连续r位匹配规则：两个长度为l的二进制字符串a、b，当且仅当他们在r或多于r个连续位上有相同字符时，称它们在连续r位匹配规则下匹配。

公式：P=[1+(l-r)/2]*1/2^r

2.海明距离匹配规则：两个长度为l的二进制字符串a、b，当他们在r或多于r个相同位置上有相同字符时，称它们在海明距离匹配规则下匹配。

其中，在同等匹配精度的要求下，海明距离匹配规则的阴性选择算法所需要的成熟检测器数目远小于连续r位匹配规则。

海明距离匹配规则法优势：

1.相对于连续r位匹配规则，海明距离匹配规则的阴性选择算法的成熟期检测器集更小，系统检测带保护字符串（自我集）的实时性更好。

2.匹配精度r是可变的。可以减少黑洞数量，提高系统安全性。

其思想的精髓是在达到一定系统匹配失败率Pf的要求下，大幅度减少所需的有限检测其数量。系统匹配失败率就是全部的成熟检测器和一个自我字符串进行匹配，匹配失败。

而在动态匹配精度r的作用下，生成的成熟检测器中也必须含有标记r的位置，以表示匹配精度不同的检测器。而在这些成熟的检测器R中，较大的rx（单一匹配精度）检测器会随着自我集S的增大而增多，较小的rx检测器则会大幅度减少。即较大匹配精度的检测器在成熟检测器集中所在的比例随着自我集合的增大而上升。 在Pf一定的前提下，随着r范围的右移（边界数同时增大），所需的有效检测器数随之增大。

连续r位匹配规则中高效的成熟检测器生成算法：

1.线性时间检测器生成算法

2.贪婪检测器生成算法

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

黑洞：个人理解黑洞就是一个不能与任何一个有效检测器匹配的（即不能被任何一个检测器检测出来的）非我字符串。也就是说，一旦有一个检测器可以与黑洞中的字符串相匹配，那么就会有自我集中的字符串也与这个检测器相匹配。

ps：有效检测器属于成熟检测器集。

“黑洞”的数量是采用部分匹配方式的阴性选择算法所不可回避的问题。黑洞空间的大小确定了采用阴性选择算法系统的系统匹配失败率Pf所能达到的底线。而黑洞的大小是由匹配精度r决定的。另外，黑洞的数目还与自我集中元素个数和自我元素的相似度有关，自我集元素越相似，对应的黑洞数量越少。

这里我们要知道，在成熟检测器检对待检测字符串（未知字符串）进行检测时，只要出现一个检测器与该字符串匹配，则可以判定，该字符串属于非我集。