曲思龍　富春巖　于占龍　周虹　葛茂松

摘要：云安全是安全領(lǐng)域防病毒、防入侵的一個(gè)新的研究方向，現(xiàn)在還有很多技術(shù)問題急待解決。借鑒人工免疫系統(tǒng)的一些優(yōu)點(diǎn)，提出了云安全免疫系統(tǒng)。本文結(jié)合云計(jì)算的特點(diǎn)，對免疫云安全系統(tǒng)中關(guān)鍵技術(shù)進(jìn)行了研究

關(guān)鍵詞：云安全；人體免疫；人工免疫系統(tǒng)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）18-0038-02

1 引言

隨著云計(jì)算、云存儲(chǔ)的出現(xiàn)，隨之而來出現(xiàn)的就是云安全。云安全可通過網(wǎng)絡(luò)中大量的客戶端對網(wǎng)絡(luò)中存在的異常行為進(jìn)行監(jiān)測，以獲取互聯(lián)網(wǎng)中木馬、病毒等惡意程序的信息，這些信息被送到服務(wù)器端進(jìn)行分析處理后，系統(tǒng)再把相應(yīng)的解決方案發(fā)到每一個(gè)客戶端[1-2]。

人工免疫系統(tǒng)是一個(gè)高度并行、分布、自適應(yīng)和自組織的系統(tǒng)，同時(shí)又具有很強(qiáng)的學(xué)習(xí)、識(shí)別、記憶和特征提取能力。云安全借鑒了這些優(yōu)點(diǎn)，提出了云安全免疫系統(tǒng)。本文就是為更好保障云環(huán)境下數(shù)據(jù)運(yùn)行的安全，以人體免疫系統(tǒng)的運(yùn)行機(jī)理為理論依據(jù)，借鑒其功能特性，在人工免疫和計(jì)算機(jī)免疫系統(tǒng)的基礎(chǔ)上，結(jié)合云計(jì)算的特點(diǎn)，設(shè)計(jì)了相應(yīng)的運(yùn)行機(jī)制和相關(guān)算法。實(shí)驗(yàn)表明，我們的免疫算法對自我集特征數(shù)據(jù)和異常特征數(shù)據(jù)具有較高的識(shí)別度，能較好地保障云數(shù)據(jù)的安全。

2 人工免疫系統(tǒng)

人工免疫系統(tǒng)（Artificial Immune System， AIS）是將生物免疫系統(tǒng)的原理和相應(yīng)的機(jī)制應(yīng)用在計(jì)算機(jī)領(lǐng)域，發(fā)展起來的一種智能系統(tǒng)。借鑒了生物免疫系統(tǒng)的許多特性，例如：分布性、多樣性、可自動(dòng)應(yīng)答和能進(jìn)行自我維護(hù)等特性?；谏锩庖呦到y(tǒng)的一些算法，人工免疫系統(tǒng)衍生出了一些人工免疫算法，算法具有自主學(xué)習(xí)的特性、還具備良好的系統(tǒng)應(yīng)答性，對外界的干擾具有一定的系統(tǒng)自平衡維持的能力。人工免疫系統(tǒng)可以模擬生物免疫系統(tǒng)，除了具有基本的自主學(xué)習(xí)、記憶和識(shí)別等功能外，還具有較強(qiáng)的模式分類的功能，尤其是在處理分析多模態(tài)問題方面，具有很好的智能性和魯棒性[3]。將這些算法用于防病毒軟件和安全控制模塊中，可提高系統(tǒng)入侵檢測的可靠性和適應(yīng)性。

3 免疫云安全系統(tǒng)

免疫云安全系統(tǒng)的原理與人體的免疫系統(tǒng)非常相似。人體免疫系統(tǒng)能夠防止病原體侵害，保護(hù)人體健康的機(jī)理可以借鑒到免疫云安全系統(tǒng)的研究上來。免疫云安全系統(tǒng)是一種分布式的體系結(jié)構(gòu)。

3.1 免疫云安全系統(tǒng)防御模型

它充分借鑒了人體免疫系統(tǒng)中的分層防御的思想，分為三層防御系統(tǒng)，如圖1所示：第一層利用位于客戶端節(jié)點(diǎn)的常見抗體數(shù)據(jù)庫實(shí)現(xiàn)防御功能，第二層利用服務(wù)器端的抗體數(shù)據(jù)庫實(shí)現(xiàn)防御功能，第三層是利用B細(xì)胞算法的決策生成實(shí)現(xiàn)防御功能。這三層防御通過一些關(guān)鍵算法實(shí)現(xiàn)了在節(jié)約資源和帶寬，并合理利用服務(wù)器端并行計(jì)算能力的情況下，保證了云環(huán)境中大數(shù)據(jù)的安全性。

3.2 免疫云安全系統(tǒng)免疫規(guī)則

假設(shè)有免疫系統(tǒng)M，有免疫器官Q(mào)1...Qn，如果存在Qi? M，那么，Qi? Qj =φ， i，j∈1...n 表明，在同一個(gè)免疫系統(tǒng)，正常的免疫器官是不會(huì)相互排斥的，它們之間如果出現(xiàn)了相互排斥對方的情況，就出現(xiàn)了“排異”現(xiàn)象。

假設(shè)有免疫器官Q(mào)，免疫組織Z1...Zm，如果存在Zi? Q，那么，Zi? Zj =φ， i，j∈1...m 表明，在同一個(gè)免疫器官中，正常免疫組織之間是沒有沖突的，也就是說正常情況下，一個(gè)免疫器官的免疫組織之間是不存在排斥現(xiàn)象的。一旦出現(xiàn)了排斥的現(xiàn)象，則說明該免疫器官存在病變了。

假設(shè)有免疫組織Z，免疫細(xì)胞x1...xk， 如果滿足xi? Z， 那么，xi? xj =φ， i，j∈1...m表明，在同一個(gè)免疫組織中，正常的免疫細(xì)胞之間是不存在排斥現(xiàn)象的。如果免疫細(xì)胞之間存在了相互排斥現(xiàn)象，那么，就說明該免疫組織中存在了病變。

假設(shè)有免疫組織Zm，免疫細(xì)胞x1...xk， 如果滿足xi? Zm， 有免疫組織Zn，免疫細(xì)胞y1...yk， 如果滿足yi? Zn， 那么一定存在d（xi，xj）>d（xm，yk）表明，在同一個(gè)免疫組織中的免疫細(xì)胞之間存在的差異性一定要大、要多樣，這些都是建立在生物學(xué)的生物組織進(jìn)化的理論之上的。

3.3 多維免疫算法思想

首先，要對免疫器官的各參數(shù)進(jìn)行初始化，這些參數(shù)包括免疫組織數(shù)，免疫細(xì)胞數(shù)，免疫組織中的最低匹配度等； 其次，要進(jìn)行免疫器官中是否要增加新免疫組織的判斷，判斷結(jié)果為真則繼續(xù)，否則結(jié)束；還要進(jìn)行免疫組織增擴(kuò)的操作，就是利用組織克隆選擇的操作以及多維變異這樣的方式生成新的免疫組織中的免疫細(xì)胞；然后再進(jìn)行免疫器官中，免疫組織匹配度的計(jì)算，如果免疫器官匹配度達(dá)到了預(yù)期值，則生成新免疫組織的操作結(jié)束。

3.4 免疫云安全系統(tǒng)安全策略

我們從免疫云安全系統(tǒng)的安全結(jié)構(gòu)上進(jìn)行了改造和加強(qiáng)，提出了要從安全系統(tǒng)的架構(gòu)上來解決安全缺陷和安全隱患的問題，盡量減少安全缺陷和安全隱患的發(fā)生，從而提高系統(tǒng)的安全性。要想提高免疫云安全系統(tǒng)治理安全隱患的能力，需要有全局的觀念要進(jìn)行全面的治理，統(tǒng)一的部署，需要在各個(gè)層面都進(jìn)行相應(yīng)的管理和監(jiān)控。

在外圍，利用云安全技術(shù)，可以利用已有的云安全技術(shù)中所提供的強(qiáng)大的計(jì)算及數(shù)據(jù)處理能力，將來自于系統(tǒng)外部的入侵和攻擊“拒之門外”。這樣，既能節(jié)約設(shè)備、又能簡化系統(tǒng)，還能提高了免疫云安全系統(tǒng)的可靠性和安全性。

在第二層，我們利用人工免疫技術(shù)，在防火墻和虛擬專用網(wǎng)絡(luò)后面加設(shè)具有人工免疫檢測功能的主機(jī)和代理，建立免疫云安全系統(tǒng)架構(gòu)下特有的、分布式的人工免疫入侵檢測系統(tǒng)。此入侵檢測系統(tǒng)具有自我學(xué)習(xí)能力，可進(jìn)行主動(dòng)防御，可提高系統(tǒng)對抗外界入侵和攻擊的能力達(dá)到進(jìn)一步提高系統(tǒng)安全性的目的。

系統(tǒng)的深度防御是利用云安全系統(tǒng)獲取的病毒資料數(shù)據(jù)和入侵攻擊的相關(guān)信息及數(shù)據(jù)，還有人工免疫入侵檢測系統(tǒng)所檢測到的病毒和入侵?jǐn)?shù)據(jù)，經(jīng)過數(shù)據(jù)挖掘，經(jīng)過一些規(guī)則分析，再進(jìn)行人工智能處理，就形成了系統(tǒng)特有的具有防入侵、殺病毒、防篡改等功能的安全知識(shí)數(shù)據(jù)庫。利用這個(gè)系統(tǒng)特有的知識(shí)數(shù)據(jù)庫，配合上述所說的免疫云安全系統(tǒng)內(nèi)部的深度防御策略和安全部件，就可實(shí)現(xiàn)智能化的、深度的防御功能。

如上所述，云安全負(fù)責(zé)保護(hù)系統(tǒng)外部的網(wǎng)絡(luò)；利用人工免疫技術(shù)與防火墻配合可針對內(nèi)部網(wǎng)絡(luò)和中間層面進(jìn)行防護(hù)；而深度防御體系則可進(jìn)行口令和底層數(shù)據(jù)的保護(hù)。

4 結(jié)束語

傳統(tǒng)的云安全技術(shù)在進(jìn)行海量數(shù)據(jù)處理時(shí)，動(dòng)態(tài)性、智能性不夠好，占用較多帶寬，為更好保障云下數(shù)據(jù)運(yùn)行的安全性，以在人工免疫和計(jì)算機(jī)免疫系統(tǒng)為基礎(chǔ)，結(jié)合云計(jì)算特點(diǎn)，對免疫云安全系統(tǒng)的防御模型、免疫規(guī)則、多維免疫算法、系統(tǒng)安全策略等進(jìn)行了研究，通過實(shí)驗(yàn)表明，我們提出的免疫云安全系統(tǒng)能在具有較高識(shí)別率前提下有效減少節(jié)點(diǎn)存儲(chǔ)和交互傳遞的時(shí)間開銷，加快查找過程，提高了系統(tǒng)的整體性能。

參考文獻(xiàn)：

[1] 李暉，孫文海，李鳳華.公共云存儲(chǔ)服務(wù)數(shù)據(jù)安全及隱私保護(hù)技術(shù)綜述[J].計(jì)算機(jī)研究與發(fā)展，2014，51（7）：1397-1409.

[2] 劉川意，林杰，唐博.面向云計(jì)算模式運(yùn)行環(huán)境可信性動(dòng)態(tài)驗(yàn)證機(jī)制[J].軟件學(xué)報(bào)，2015，25（3）：662-674.

[3] 陶旭.基于生物免疫的入侵檢測方法研究[D].成都：電子科技大學(xué)，2012.