胡愛群，方蘭婷，李濤

基于仿生機理的內(nèi)生安全防御體系研究

胡愛群1,2，方蘭婷1,2，李濤1,2

（1. 東南大學網(wǎng)絡空間安全學院，江蘇 南京 210096；2. 紫金山實驗室，江蘇 南京 211100）

針對防火墻、入侵檢測、防病毒等外殼式防御技術來不及檢測、分析和過濾惡意流量，防御機制沒有與網(wǎng)絡設備的安全狀態(tài)關聯(lián)，導致安全效能低的問題，提出一種基于仿生機理的內(nèi)生安全防御體系。模仿生物體的高效安全防御機理，在設計和建造信息系統(tǒng)時，將巨量安全機制部署進入網(wǎng)絡的每一個安全部件中，通過網(wǎng)絡互聯(lián)將所有節(jié)點中的安全組件關聯(lián)在一起，對網(wǎng)絡進行全面、深度的安全態(tài)勢感知和防御，并通過人工智能“大腦”不斷地自主學習和演進，提升發(fā)現(xiàn)未知威脅和自動處理威脅的能力。通過構建全新的內(nèi)生安全防御體系，將安全體系和信息系統(tǒng)高度融合，能夠解決現(xiàn)有信息系統(tǒng)防御效率低、無法處理高速率數(shù)據(jù)、不能應對未知威脅等問題，使網(wǎng)絡具有“與生俱來、自主成長”的安全防御能力，滿足“業(yè)務高可用、安全高效率”的信息系統(tǒng)發(fā)展需求。

內(nèi)生安全；防御機制；仿生安全；自主學習

1 引言

隨著5G無線網(wǎng)絡進入商用階段，5G不僅在數(shù)據(jù)傳輸速率、連接數(shù)密度、端到端時延、峰值速率和移動性等關鍵性能上比前幾代移動通信系統(tǒng)更加豐富，而且能為實現(xiàn)海量設備互聯(lián)和差異性服務場景提供技術支持。同時，下一代網(wǎng)絡的廣泛運用，各類寬帶、移動業(yè)務蓬勃發(fā)展，應用類型日益精細區(qū)分，信息系統(tǒng)規(guī)模不斷擴大。5G和下一代網(wǎng)絡的發(fā)展，帶來了更多的安全問題，這為內(nèi)生安全防御機理提供了驗證和實踐的機遇。

1.1 外殼式防御無法適應網(wǎng)速和應用的高速發(fā)展

信息系統(tǒng)的安全性將對包括實體經(jīng)濟在內(nèi)的社會、經(jīng)濟領域的安全造成重大影響。未來信息系統(tǒng)將為大量垂直行業(yè)服務，如AR/VR、遠程駕駛、無線機器人、遠程醫(yī)療、大視頻、無人機、工業(yè)互聯(lián)網(wǎng)等。信息系統(tǒng)靈活、高效、融合、開放的特性使創(chuàng)新業(yè)務在交通、工業(yè)等行業(yè)快速融合，使垂直行業(yè)的應用更加多樣化，孕育新興信息產(chǎn)品和服務，創(chuàng)新行業(yè)應用，重塑產(chǎn)業(yè)發(fā)展模式。因此，信息系統(tǒng)在保證安全性的同時，需要將信息快速有效地進行傳輸，避免惡意流量、惡意軟件、非法接入等帶來的危害。

如圖1所示，現(xiàn)有的信息系統(tǒng)通過在網(wǎng)絡節(jié)點部署防火墻、防病毒軟件、入侵檢測系統(tǒng)來保障網(wǎng)絡數(shù)據(jù)傳輸?shù)陌踩?，這是一種“外殼式”防御方法。

防火墻是設置在用戶網(wǎng)絡和外界之間的一道屏障，防止不可預測的、潛在的破壞侵入用戶網(wǎng)絡。防火墻在開放和封閉的界面上構造一個保護層，屬于內(nèi)部范圍的業(yè)務，依照協(xié)議在授權許可下進行；外部對內(nèi)部網(wǎng)絡的訪問受到防火墻的限制。

圖1 外殼式防御系統(tǒng)

Figure 1 Shell-based security system

防病毒軟件通過掃描過濾技術，完成病毒查殺工作。例如，在防病毒軟件中植入文件掃描過濾技術，防范有病毒的文件，或者在網(wǎng)絡網(wǎng)關上配置反病毒軟件，過濾含病毒的網(wǎng)站。

入侵檢測系統(tǒng)是一個動態(tài)的防御系統(tǒng)，它是對防火墻和防病毒軟件的補充。入侵檢測系統(tǒng)能通過分析、審計記錄，識別系統(tǒng)中任何不應該發(fā)生的活動，并采取相應的措施報告并制止入侵活動。入侵檢測系統(tǒng)的主要功能包括：監(jiān)測并分析用戶和系統(tǒng)的活動情況；檢查系統(tǒng)的配置和漏洞；評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；管理操作系統(tǒng)日志，并識別違反安全策略的用戶活動。

然而，5G移動網(wǎng)絡架構日趨復雜，數(shù)據(jù)量呈指數(shù)級增長，數(shù)據(jù)來源更加豐富，內(nèi)容更為細化，網(wǎng)絡數(shù)據(jù)分析的維度更廣泛。同時，隨著移動終端設備性能的增長，數(shù)據(jù)源發(fā)送速率更快，對安全信息采集的速度要求越來越高，漏洞日益增多，影響更加廣泛。這些變化使外殼式防御體系面臨問題：①防火墻來不及深度過濾；②入侵檢測系統(tǒng)來不及檢測入侵；③防病毒軟件來不及發(fā)現(xiàn)病毒。這些問題導致了信息網(wǎng)絡和信息安全“兩張皮”的外殼式防御方法無法保證逐漸一體化的巨流量信息網(wǎng)絡安全。因此，需要提出一種全新的安全防御體系，將安全體系和信息系統(tǒng)高度融合，使信息系統(tǒng)在安全防御過程中，既能有效地避開威脅，又不影響正常的信息傳輸過程，同時可以不斷調(diào)整和提高應對威脅的能力。

1.2 安全防御成為信息系統(tǒng)的負擔和應用發(fā)展的障礙

隨著信息系統(tǒng)規(guī)模的擴大，網(wǎng)絡上的數(shù)據(jù)正呈爆炸式的增長速度。大數(shù)據(jù)時代的到來不僅為傳統(tǒng)安全問題提供了新的分析思路，也給現(xiàn)有的數(shù)據(jù)分析理論和方法帶來了新需求和新問題。其中，數(shù)據(jù)的大體量、高維度使早期的集中式防御方法面臨高存儲、高計算復雜度等挑戰(zhàn)。

近年來，隨著網(wǎng)絡分布式計算的發(fā)展，安全防御研究思路逐漸從集中式單點檢測向分布式檢測方案轉(zhuǎn)變[1-2]。例如，文獻[3]通過分離數(shù)據(jù)與控制平臺為網(wǎng)絡提供高度開放性和可編程性，針對已有工作中SDN主動防御框架缺乏考慮網(wǎng)絡瓶頸的問題，提出了分布式欺騙防御系統(tǒng)。文獻[4]提出了在實時環(huán)境中檢測分布式拒絕服務（DDoS，distributed denial of service）攻擊的方法，通過人工神經(jīng)網(wǎng)絡（ANN）算法區(qū)分DDoS攻擊流量與真實流量的特定特征。文獻[5]提出了一種完全分布式的框架，用于研究面對多個攻擊者發(fā)起的分布式拒絕服務攻擊時，多代理系統(tǒng)的協(xié)同行為。總體而言，相對于集中式的單點檢測，分布式的混合型機制能夠利用位于網(wǎng)絡中不同位置的節(jié)點進行全面的攻擊檢測和響應，從而盡早確認攻擊流量并在源端進行防御。

在構建分布式的混合型防御體系過程中，其中一個需要解決的問題是如何讓安全防御不成為整個通信系統(tǒng)的負擔。在現(xiàn)有的分布式防御體系中，所有傳播的信息必須先通過安全檢測系統(tǒng)。當數(shù)據(jù)體量很大時，安全檢測系統(tǒng)嚴重降低了流量傳輸?shù)乃俣?。在安全檢測速度跟不上流量傳輸速率的情況下，實際應用中會通過簡化安全防御策略來提高信息傳輸速度，進而導致系統(tǒng)安全防御效果嚴重下降。例如，現(xiàn)有的入侵檢測系統(tǒng)通常部署在網(wǎng)絡的主干節(jié)點，對吞吐性能要求高，大量的應用級檢測、過濾計算造成了嚴重的計算瓶頸，因此很多研究機構只是進行較低層次的數(shù)據(jù)包分析，限制了系統(tǒng)的使用效果。

除了不讓安全防御成為系統(tǒng)負擔，另一個待解決的問題是如何創(chuàng)建聯(lián)動機制，綜合分析和處理各個安全狀態(tài)采集器之間的信息。隨著信息載體類型和網(wǎng)絡互聯(lián)互通方式的增多，客觀上為攻擊者提供了更多的潛在入口和可利用途徑，傳統(tǒng)的防御體系沒有聯(lián)動機制，難以處理每個采集器之間的關聯(lián)關系。例如，防火墻大多采用“一刀切”的防御方法，對所有可疑數(shù)據(jù)包進行攔截，缺少對信息系統(tǒng)自身的分析和聯(lián)動，而對系統(tǒng)不構成威脅的數(shù)據(jù)包進行分析和攔截進一步影響了效率。因此，需要提出一種聯(lián)動處理方法，在不影響信息系統(tǒng)速度的情況下綜合分析所有的信息。

2 相關概念

2.1 生物神經(jīng)系統(tǒng)

生物神經(jīng)系統(tǒng)給安全防御研究提供了新思路。首先，生物在面臨外部威脅時，往往能夠產(chǎn)生合理的、適度的反應。例如，當人體的手接觸到蠟燭的火焰時，人往往只會移開手，而不是反應過度地從此不再接觸火。這是一種基于自身認識對外部攻擊的適度響應。其次，生物體內(nèi)擁有的強大免疫系統(tǒng)能夠抵御病毒的內(nèi)部入侵，這是一種內(nèi)部攻擊發(fā)生后的免疫行為。最后，生物針對未知的威脅，通過自我學習，逐漸地具備防備此類威脅的能力。例如，嬰兒可以通過對外界的不斷感知，學習走路，防止摔倒，自身的免疫力也能夠通過“免疫記憶”的方式逐漸提高，這是一種“自我生長”的能力。

生物的這種安全防御能力是與生物自身高度融合的，是一種“內(nèi)生”的安全機制，這種能力在系統(tǒng)的目標、結構及工作模式上與信息系統(tǒng)安全防御具有高度相似性，給研究者極大的啟示。因此，在信息系統(tǒng)中構造類似于生物防御系統(tǒng)的內(nèi)生安全機制是理想的主動防御措施，引起了網(wǎng)絡安全研究者的重視。總體來看，目前內(nèi)生安全的研究主要包括3部分：計算機免疫、擬態(tài)安全和智能安全。

Forrest等[6]提出了計算機系統(tǒng)中的類似生物免疫的模型，并在計算機上建立了一個人工免疫系統(tǒng)。在這個模型中，每臺主機是一個檢測節(jié)點，整個系統(tǒng)由分布在網(wǎng)絡中處于監(jiān)聽狀態(tài)的一組主機構成。此外，Kim和Dasgupta兩個研究小組分別開展了基于陰性選擇模型的入侵檢測系統(tǒng)的研究，提出了各自的抗體和抗原匹配算子并研究了檢測器的生成算法[7-8]。Luo等借鑒生物免疫系統(tǒng)的抗體生長和成熟機制[9-10]，提出并解決了檢測器自適應生成問題、檢測器分配問題。周建國等[11]采用人工免疫模型建立了面向廣播式局域網(wǎng)的入侵檢測模型的框架。但由于信息系統(tǒng)現(xiàn)有體系架構的限制，構建的免疫防御的機制缺乏應用環(huán)境的支撐，通常應用在檢測系統(tǒng)內(nèi)部的病毒攻擊方面。

生物規(guī)避風險的一種行為是通過偽裝躲避攻擊，這就是“擬態(tài)現(xiàn)象”，即一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環(huán)境，從而使一方或雙方受益的生態(tài)適應現(xiàn)象[12]。一些研究者根據(jù)擬態(tài)現(xiàn)象提出相應的安全防御方法，代表性的方法就是鄔江興提出的“擬態(tài)防御”[13]，該方法基于生物的擬態(tài)現(xiàn)象，提出了一種通過類似擬態(tài)偽裝的方式進行主動隱匿，較大程度上增加了攻擊的難度。擬態(tài)防御旨在隱藏受保護目標，使攻擊行為難以實施[14-15]。

智能安全是使用人工智能的方法對威脅進行分析，具有發(fā)現(xiàn)未知威脅的效果。近年來，人工智能在網(wǎng)絡安全領域的應用初顯端倪，從影響力和科技水平來看，人工智能的下一個熱點會是網(wǎng)絡安全，人工智能將是下一代安全解決方案的核心[16-17]。MIT的CSAIL實驗室與初創(chuàng)公司PatternEX共同開發(fā)的端到端系統(tǒng)“AI2”，可以不斷學習來自安全分析員的反饋，從而對新發(fā)生的事件進行預測，其準確率是類似的自動化網(wǎng)絡攻擊檢測系統(tǒng)的2.92倍，誤報率是同類的安全解決方案的1/6[18-19]。一些知名安全廠商開始了從使用以簽名為基礎的反病毒和反惡意軟件產(chǎn)品到采用不再依賴現(xiàn)有惡意軟件定義的機器學習模式來檢測威脅的轉(zhuǎn)變。

2.2 網(wǎng)絡空間安全

敵對勢力的破壞、黑客攻擊、惡意軟件侵擾、利用計算機犯罪、隱私泄露等，對信息安全構成了極大威脅。除此之外，科學技術的進步對信息安全提出新的挑戰(zhàn)。由于量子和DNA 計算機具有并行性，從而使許多現(xiàn)有公鑰密碼在量子和DNA 計算機環(huán)境下不再安全。因此，網(wǎng)絡空間安全的形勢是嚴峻的。

生物的防御系統(tǒng)同時處理大量的攻擊信息，不會影響到生物的其他功能。因此，需要基于生物防御系統(tǒng)研究出一種不影響信息系統(tǒng)其他功能的安全防御方法。

生物的神經(jīng)系統(tǒng)神秘而復雜，研究根據(jù)已知的神經(jīng)科學知識，建立網(wǎng)絡安全防御機制是一個復雜的問題。生物的安全防御系統(tǒng)具有各個結構和功能相互合作又各不影響的特性，理想的網(wǎng)絡安全防御體系也應該具有這樣的特性。若要實現(xiàn)這一特性，需要實現(xiàn)以下功能：①安全和功能組件高度融合；②大腦為安全風險決策；③整體協(xié)作達到安全。這種基于生物神經(jīng)系統(tǒng)建立的安全防御機制叫作內(nèi)生安全。

3 內(nèi)生安全體系

傳統(tǒng)的安全防御體系通常是在反惡意軟件、網(wǎng)絡流量異常檢測、網(wǎng)絡安全運營和系統(tǒng)安全性評估等具體領域孤立地開展。智能安全是使用人工智能的方法對威脅進行分析，具有發(fā)現(xiàn)未知威脅的效果[16-17]。

內(nèi)生安全從仿生學的角度，構建基于生物神經(jīng)系統(tǒng)的信息系統(tǒng)內(nèi)生安全體系。和現(xiàn)有的智能安全研究的區(qū)別是：內(nèi)生安全將人體仿生系統(tǒng)、免疫、人工智能與5G移動通信網(wǎng)絡進行融合，參考人體神經(jīng)系統(tǒng)分布式感知的特性布置巨量感知器，實時監(jiān)測系統(tǒng)各部分變化，使用人工智能的方法構造類人腦的安全中心，通過匯總的信息做出決策，從而對外部入侵進行合理反制，對內(nèi)部入侵進行免疫式防御。仿生體現(xiàn)在感知網(wǎng)絡的部署、類人腦的學習和決策、外部入侵的適度反制上，免疫體現(xiàn)在對內(nèi)部入侵的標記和防御上，是一種基于仿生免疫的內(nèi)生安全機制。根據(jù)仿生免疫的思想，攻克構建與信息系統(tǒng)高度融合的仿生免疫體系，設計分布式細粒度威脅感知與反制機制，設計與信息系統(tǒng)并行融合的多層傳輸網(wǎng)絡，建立不可復制的接入控制機制，使用人工智能的方法構建具有學習、處理、決策能力的安全中心等基礎理論問題。在5G網(wǎng)絡中部署感知、響應、免疫、安全中心這些關鍵安全部件，通過人工智能“大腦”的自主學習和演進，通過感知、判斷、對抗和反制、自主生長等生物與生俱來的自主反應能力，形成分布式細粒度威脅感知與反制、多層安全防御網(wǎng)絡、類腦安全控制和自主進化和決策等安全機理。建立“與生俱來、自主成長”的安全防護體系，主動應對信息系統(tǒng)面臨的安全威脅，打造全新的安全體系架構。

3.1 目標與路線

內(nèi)生安全旨在解決由于網(wǎng)絡的快速發(fā)展和信息系統(tǒng)規(guī)模的擴大使安全防御系統(tǒng)來不及檢測威脅的問題和無法處理未知威脅的問題。即在設計、建造未來的信息通信系統(tǒng)時，把與安全相關的要素部署進入信息系統(tǒng)的每一個環(huán)節(jié)中，通過人工智能“大腦”的自主學習和演進，主動應對信息系統(tǒng)面臨的安全威脅，形成系統(tǒng)級的安全防護體系，且不會顯著影響通信系統(tǒng)的業(yè)務可用性。使內(nèi)生安全系統(tǒng)具有以下能力。

1) 感知能力，能夠感知局部和整體運行環(huán)境的安全性，獲取相關信息。

2) 判斷能力，能夠根據(jù)感知到的信息進行分析、計算與判斷。

3) 對抗和反制能力，能夠消滅威脅，甚至可以反過來攻擊對方的防御系統(tǒng)。

4) 自主生長能力，能夠通過與運行環(huán)境的交互作用，使自己能夠適應環(huán)境變化，應對安全事件。通過體系模型的研究提出適用于信息網(wǎng)絡的內(nèi)生安全架構與內(nèi)生安全機制，并對各部分的接口進行標準化規(guī)范。

3.2 基本概念

圖2給出了內(nèi)生安全防御體系的系統(tǒng)框圖，內(nèi)生安全通過在各類安全功能之間建立橋梁，使彼此能夠交互信息，創(chuàng)建一個高度智能化的安全體系，自動化應對安全事件。以信息系統(tǒng)為對象，研究覆蓋終端、基站、核心網(wǎng)、應用系統(tǒng)在內(nèi)的仿生免疫體系整體架構，提出各部分功能部件融入安全功能的標準，在不降低系統(tǒng)運行效率的情況下實現(xiàn)系統(tǒng)的內(nèi)生安全防護，使信息系統(tǒng)在安全上具有感知能力、判斷能力、對抗和反制能力、自主生長能力。

圖2 內(nèi)生安全防御體系

Figure 2 Endogenous security defense system

面向信息系統(tǒng)，以功能部件為基本單位，研究和部署大量類人體神經(jīng)系統(tǒng)的分布式的細粒度威脅感知器和傳導機制，實時全面掌握系統(tǒng)的安全態(tài)勢；在安全部件中增加安全反制防御部分，把威脅或破壞消滅在局部，而不至于擴散到系統(tǒng)。在感知與反制基礎上，建立各種機制之間的關聯(lián)和分析方法，構建高度并行融合的安全事件多層傳輸網(wǎng)絡，形成多層的安全神經(jīng)網(wǎng)，提高安全決策的效率；研究和設計仿生免疫安全體系所需的網(wǎng)絡協(xié)議，滿足免沖突、安全性、高效性等要求。

研究基于類腦智能的信息系統(tǒng)安全決策機制，構建智能安全中心，該安全中心可以并行高效地處理多模態(tài)海量數(shù)據(jù)，自主分析數(shù)據(jù)之間的關聯(lián)性、決策和自學習進化，判斷事件的安全本質(zhì)特性并及時做出反饋，從而根據(jù)發(fā)現(xiàn)的風險產(chǎn)生對系統(tǒng)的控制決策，并將控制命令傳達給系統(tǒng)中的多個模塊聯(lián)動執(zhí)行，實現(xiàn)系統(tǒng)風險最小化的信息網(wǎng)絡高效防護，維護信息系統(tǒng)的整體安全性。

3.3 內(nèi)生安全體系與模型

隨著計算機網(wǎng)絡規(guī)模和復雜性的不斷增大，網(wǎng)絡的脆弱性越來越強。面對網(wǎng)絡攻擊技術的不斷革新，傳統(tǒng)的安全技術顯得“力不從心”。網(wǎng)絡入侵不可避免，網(wǎng)絡難免會遭受安全事件的損害從而存在安全風險。

人體面臨各種威脅時，往往能夠產(chǎn)生合理的、適度的反應。而現(xiàn)行的一些防火墻，往往會選擇隔離此類威脅，從而大大影響了用戶體驗。此外，人體針對未知的威脅，會通過自我學習，逐漸地具備防備此類威脅的能力。例如，嬰兒可以通過對外界的不斷感知，而逐漸提高自我的免疫力。因此，研究人體對外界威脅的智能反應對信息系統(tǒng)安全具有重要意義，在人體防御過程中，既能有效地避開威脅，又不會影響正常的日常生活，同時可以不斷調(diào)整和提高應對威脅的能力。

通過參考相關生物學文獻發(fā)現(xiàn)，正是遍布全身的神經(jīng)元為人體提供了這樣的能力。神經(jīng)元通過對周圍環(huán)境的感知以及分級的神經(jīng)系統(tǒng)，為大腦做出合適的判決提供了源源不斷的信息，如溫度、表面粗糙度、濕度等。神經(jīng)系統(tǒng)（nervous system）是機體內(nèi)對生理功能活動的調(diào)節(jié)起主導作用的系統(tǒng)，主要由神經(jīng)組織組成，分為中樞神經(jīng)系統(tǒng)和周圍神經(jīng)系統(tǒng)兩大部分。中樞神經(jīng)系統(tǒng)包括腦和脊髓，周圍神經(jīng)系統(tǒng)包括腦神經(jīng)和脊神經(jīng)。傳感器既用于實現(xiàn)各種功能，又用來實現(xiàn)安全目的。

除此之外，人體還具有一套免疫系統(tǒng)，免疫系統(tǒng)具有免疫監(jiān)視、防御、調(diào)控的作用，包括先天免疫和獲得性免疫。免疫系統(tǒng)包含免疫器官、免疫細胞、免疫分子。通過免疫系統(tǒng)能夠識別入侵（非己）；識別惡意程序（清除腫瘤）；保護自身安全（自身功能的穩(wěn)定）。

上述人體安全系統(tǒng)主要特征在于遍布系統(tǒng)的海量傳感器、綜合分析處理中心、遍布系統(tǒng)的聯(lián)動的應對處理模塊。將人體的神經(jīng)系統(tǒng)進行抽象，與信息系統(tǒng)進行類比，可以得到如圖3所示的抽象類比結構，該結構主要包含3部分。

圖3 人體神經(jīng)系統(tǒng)與仿生免疫抽象類比

Figure 3 Comparison between human nervous system and bionic immunity

（1）安全感知神經(jīng)元是安全架構的底層組織，包含安全傳感和防護反制功能，能夠感知安全相關事件數(shù)據(jù)，將事件反饋并進行防護機制的實施。安全傳感包括網(wǎng)絡正常行為的描繪、數(shù)據(jù)包深度檢測、可疑活動的偏離行為、前端設備的運行情況等，將數(shù)據(jù)進行實時上報。防護功能包含傳統(tǒng)的安全機制，如加密、訪問控制、阻斷等；也包含一些功能性措施，如降低負載、提高運行速度等。

（2）智能決策中心是安全架構的大腦，通過不斷學習、自我完善，使安全防御的各個結構和功能相互合作又各不影響。通過類腦安全控制并行處理體系的數(shù)據(jù)，實現(xiàn)多任務整合、歸納和決策。通過自主進化決策對潛在的風險自主學習，實現(xiàn)安全性能的自我提升。智能決策中心具有整合、歸納和決策能力，對各部分神經(jīng)元匯聚的數(shù)據(jù)進行分析，并根據(jù)已有的經(jīng)驗進行防護部署。對收集到的來自分布式前端設備的數(shù)據(jù)進行集中化處理，描繪出潛在的安全缺口。在數(shù)據(jù)分析的過程中采用先進的交叉數(shù)據(jù)規(guī)律邏輯分析，用于辨別基于多種類設備和多層信息邏輯的缺口和威脅。智能決策中心具有自學習和自適應能力，在已知的缺口上使用機器學習技術，實現(xiàn)前瞻性安全防護和異常行為辨別。根據(jù)已有的專家知識庫提供設備異常行為的辨別方法，當可疑和可能的惡意活動發(fā)生時采取措施。在安全防護措施實施時，根據(jù)全網(wǎng)和全系統(tǒng)的運行情況進行核心任務防御機制的部署，確保核心功能的穩(wěn)定運行。

（3）上行和下行傳輸通道，包含安全數(shù)據(jù)匯集和策略分發(fā)的機制和協(xié)議，提供上下行通道數(shù)據(jù)防護協(xié)議，確保采集數(shù)據(jù)的快速、完整上報和下行防護策略的正確配置。

3.4 滿足巨量感知、響應與免疫的多層高效安全機制

傳統(tǒng)的入侵檢測、防火墻、病毒檢測等技術屬于被動防御手段[20]，只能對系統(tǒng)局部進行檢測，獲取的信息之間缺乏關聯(lián)。近年來，網(wǎng)絡安全態(tài)勢感知技術逐漸引起研究人員的興趣[21-22]。網(wǎng)絡態(tài)勢感知技術可以從全局的角度識別、理解和分析威脅時間和空間環(huán)境中的元素，把握網(wǎng)絡整體安全狀況及預測未來變化趨勢。這類方法從大量數(shù)據(jù)中辨識網(wǎng)絡中的攻擊活動，融合這些信息對網(wǎng)絡的安全態(tài)勢進行實時評估和監(jiān)控，并進行有效響應。然而，由于網(wǎng)絡攻擊的隨機性和不確定性，網(wǎng)絡安全態(tài)勢變化成為一個復雜的非線性過程，傳統(tǒng)的態(tài)勢感知模型無法依據(jù)網(wǎng)絡環(huán)境威脅的變化主動調(diào)整整個系統(tǒng)的防御策略，同時缺乏自適應性，無法識別未知攻擊，不能防范日益嚴重的網(wǎng)絡安全威脅。

生物防御系統(tǒng)是一個高度并行、分布、自適應、自組織的系統(tǒng)，具有很強的學習、識別、記憶和特征提取能力，具有強大的信息處理能力。信息系統(tǒng)的內(nèi)生安全系統(tǒng)希望從生物防御系統(tǒng)的運行機制中獲取靈感，構建高度并行融合的多層安全防御網(wǎng)絡，用于解決網(wǎng)絡空間安全的實際問題。

生物防御系統(tǒng)具有以下威脅防御能力：在攻擊發(fā)生前規(guī)避風險；在攻擊發(fā)生后免疫風險。為了在信息系統(tǒng)中實現(xiàn)類似的安全防御能力，巨量感知、響應與免疫的多層高效安全機制的研究重點包括兩方面。

（1）以功能部件為基本單位，研究和部署大量類人體神經(jīng)系統(tǒng)的分布式的細粒度威脅感知器和傳導機制，實時全面掌握系統(tǒng)的安全態(tài)勢；在安全部件中增加安全反制防御部分，把威脅或破壞消滅在局部，而不至于擴散到系統(tǒng)。部署反制系統(tǒng)，在遇到威脅后，反制對方的攻擊系統(tǒng)。

（2）在感知與反制基礎上，建立各種機制之間的關聯(lián)和分析方法，構建高度并行融合的安全事件多層傳輸網(wǎng)絡，形成多層的安全神經(jīng)網(wǎng)絡，提高安全決策的效率。研究和設計仿生免疫安全體系所需的網(wǎng)絡協(xié)議，滿足免沖突、安全性、高效性等要求。

3.5 類腦安全控制中心

受腦信息處理機制啟發(fā)，借鑒腦神經(jīng)機制和認知行為機制，發(fā)展類腦智能已成為近年來人工智能與計算科學領域的研究熱點[23]。已有的人工智能算法大多被設計用來執(zhí)行特定任務，需要大量的數(shù)據(jù)集和強大的運算能力，才能獲得執(zhí)行任務的能力。相較而言，人腦更擅長處理多任務，快速實現(xiàn)多感覺整合、歸納以及決策，而且只需要非常低的能耗。

美國國家科技委員會于2016年10月發(fā)布了題為“為人工智能的未來做好準備”的報告[24]，劃定美國人工智能發(fā)展路線和策略，報告用專門的章節(jié)闡述“人工智能和網(wǎng)絡安全”，描繪了當前和未來人工智能在網(wǎng)絡安全領域的美好藍圖。英國也高度重視智能網(wǎng)絡攻防的研究，并開展了人工智能應用于軍事網(wǎng)絡防御的相關演習。此外，歐盟將“人腦工程計劃”列入未來新興旗艦技術項目；日本、韓國、加拿大等先后發(fā)布大腦發(fā)展戰(zhàn)略和共識；艾倫研究所、谷歌公司、微軟公司等研究機構和企業(yè)，紛紛加入該項目。

我國神經(jīng)科學與人工智能界已經(jīng)初步提出“腦科學和類腦研究”和“人工智能2.0”計劃[25-26]概念。該腦科學和類腦研究以“一體兩翼”為基礎操作框架，關注腦認知科學的基礎知識、神經(jīng)精神性疾病的診斷與干預、類腦研究[27]?！叭斯ぶ悄?.0”涉及大數(shù)據(jù)智能、群體智能、跨媒體智能、人機混合增強智能、自主智能系統(tǒng)等領域。類腦研究是內(nèi)生安全體系的研究重點，內(nèi)生安全中類腦安全控制技術的研究重點包括3方面。

（1）研究基于類腦智能的網(wǎng)絡安全控制技術，維護系統(tǒng)的整體安全性，可以并行高效地處理海量數(shù)據(jù)，分析數(shù)據(jù)之間的關聯(lián)性，判斷事件的安全性并及時做出反饋。

（2）在重視類腦智能的網(wǎng)絡安全控制技術前沿理論研究的基礎上，應積極開展計算神經(jīng)科學研究，充分利用神經(jīng)科學研究成果，挖掘人腦智能機制，建立類腦智能新理論，開發(fā)類腦人工智能算法和新模型。一方面，類腦人工智能的技術突破，需要有新理論、新算法、新模型的支撐；另一方面，加強人工智能技術與產(chǎn)品的研發(fā)、應用和產(chǎn)業(yè)化發(fā)展，可以反過來助力神經(jīng)科學研究與創(chuàng)新。

（3）將人工智能的自我學習過程與人類已經(jīng)積累的大量高度結構化的安全知識相融合，使內(nèi)生安全體系擁有高度感知、邏輯推理、抽象思維等高級認知功能。

3.6 自主進化和決策

學習與記憶是人類和動物認識世界的基礎之一，理解人類如何在不確定的環(huán)境中做出適應性反應，是基于人類防御系統(tǒng)構建內(nèi)生安全體系的重要理論基礎。

傳統(tǒng)的安全防御系統(tǒng)的方法是試圖建立一個完全安全的系統(tǒng)。然而，在實踐中，建立完全安全的系統(tǒng)是不可能的。首先，設計和實現(xiàn)一個整體安全的系統(tǒng)相當困難。其次，現(xiàn)有的加密方法、訪問控制和保護模型等本身存在一定問題。最后，安全系統(tǒng)會受到不可控因素的影響，如內(nèi)部用戶的攻擊等。

既然建立完全安全的系統(tǒng)是不現(xiàn)實的，而且現(xiàn)有的安全技術措施具有各種不足。那么一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應的安全輔助系統(tǒng)，該系統(tǒng)能夠在不影響現(xiàn)有系統(tǒng)工作及網(wǎng)絡性能的前提下進行學習和自我完善，并為系統(tǒng)提供對內(nèi)部和外部攻擊以及誤操作有效的保護手段。

人體防御系統(tǒng)具有良好的多樣性、耐受性、免疫記憶、分布式并行處理、自組織、自學習、自適應和魯棒性等特點。計算機系統(tǒng)的安全問題與人體防御系統(tǒng)所遇到的問題具有驚人的相似性，兩者都是在不斷變化的環(huán)境中維持系統(tǒng)的穩(wěn)定性，這將為生物防御系統(tǒng)引入網(wǎng)絡空間安全防御研究領域提供充分的理論依據(jù)。

安全資源的消耗無法應對當前海量的檢測需求，因此需要在確保系統(tǒng)安全的情況下，解決安全防御帶來的過量系統(tǒng)負擔問題。利用模擬生物的自適應能力優(yōu)化安全決策，實現(xiàn)去中心化或者部分去中心化的安全防護，降低消耗。在局部完成主要的安全感知和決策的工作，保證系統(tǒng)的運行效率，同時最小化安全風險，實現(xiàn)高效的信息網(wǎng)絡防護體系。模擬人體防御系統(tǒng)的自我學習機制，不斷提高安全系統(tǒng)的防御能力。自主進化和決策的研究重點包括以下3方面。

（1）多模態(tài)感知整合研究，生物的大腦整合不同模態(tài)的感知信息從而做出最優(yōu)化的判斷，這是生物智能發(fā)展的重要基礎，內(nèi)生安全研究需要基于生物的整合判斷的方式，通過整合不同模態(tài)的感知信息，用于解決網(wǎng)絡空間系統(tǒng)中遇到的實際問題。

（2）決策行為的研究，決策是從多種選項中挑選出結果的思維或認知過程，是生物在不確定的環(huán)境中做出的適應性反應，內(nèi)生安全體系需要根據(jù)生物的決策行為做出對網(wǎng)絡攻擊事件的適應性反應。

（3）學習與記憶機制，學習與記憶是人體認識世界的基礎之一，因此，內(nèi)生安全應該以人體的學習與記憶為基礎，開展自我進化的研究。

4 結束語

內(nèi)生安全的體系參考人體神經(jīng)系統(tǒng)分布式感知的特性布置巨量感知器，實時監(jiān)測系統(tǒng)各部分變化，使用人工智能的方法構造類人腦的安全中心，通過匯總的信息做出決策，從而對外部入侵進行合理反制，對內(nèi)部入侵進行免疫式防御。

內(nèi)生安全體系的研究方向包括以下3方面：①滿足巨量感知、響應與免疫的多層高效安全機制，主要研究如何部署大量分布式的細粒度威脅感知器、傳導機制和安全反制防御機制，以及如何建立各種機制之間的關聯(lián)和分析方法；②類腦安全控制中心，主要研究基于類腦智能的網(wǎng)絡安全控制技術、計算神經(jīng)科學研究、融合人工智能的自我學習過程和人類已經(jīng)積累的安全知識；③自主進化和決策，主要研究學習與記憶機制、決策行為的研究、多模態(tài)感知整合研究。

通過構建內(nèi)生安全防御體系，最終能夠解決現(xiàn)有通信網(wǎng)絡防御效率低、無法處理高速率數(shù)據(jù)、不能應對未知威脅等問題，使安全體系和信息系統(tǒng)高度融合，安全體系可以主動應對信息系統(tǒng)面臨的安全威脅，形成系統(tǒng)級的安全防護體系，且不會顯著影響信息系統(tǒng)其他功能的可用性。

[1] YAN Q, YU F R, GONG Q, et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: a survey, some research issues, and challenges[J]. IEEE Communications Surveys & Tutorials, 2015, 18(1): 602-622.

[2] WANG K, DU M, MAHARJAN S, et al. Strategic honeypot game model for distributed denial of service attacks in the smart grid[J]. IEEE Transactions on Smart Grid, 2017, 8(5): 2474-2482.

[3] 徐明迪, 高楊, 崔峰. 基于 SDN 的分布式欺騙防御系統(tǒng)[J]. 通信學報, 2018, 39(A2): 54-60.

XU M D, GAO Y, CUI F. Distributed deception defense system based on SDN[J]. Journal on Communications, 2018, 39(A2): 54-60.

[4] SAIED A, OVERILL R E, RADZIK T. Detection of known and unknown DDoS attacks using artificial neural networks[J]. Neurocomputing, 2016, 172: 385-393.

[5] XU W, HU G, HOD W, et al. Distributed secure cooperative control under denial-of-service attacks from multiple adversaries[J]. IEEE Transactions on Cybernetics, 2019: 1-10

[6] FORREST S, HOFMEYR S A, SOMAYAJI A. et al. A sense of self for UNIX processes[C]//In Proceedings of the 1996 IEEE Symposium on Security and Privacy. 1996: 120-128.

[7] GONZALEZ D. An immunogenetic approach to intrusion detection[R]. 2001.

[8] BENTLEY K. The artificial immune model for network intrusion detection[C]//The 7th EUFIT'99. 1999.

[9] LUO W J, ZHANG S H, LIANG W, et al. NIDS research advance based on artificial immunology[J]. Journal of University of Science and Technology of China, 2002, 22(5): 520-531.

[10] BECK G, HABICHT G S. Immunity and the inverte-brates[J]. Scientific American, 1996, 275(5): 60-66.

[11] 周建國. 網(wǎng)絡入侵檢測的免疫學建模及其仿真研究[D]. 北京: 北京航空航天大學, 2002.

ZHOU J G. Simalation and modeling of immunology network intrinsion detection[D]. Beijing: Beijing University, 2002.

[12] Mimic octopus. Wikipedia, the free encyclopedia[EB].

[13] 鄔江興. 網(wǎng)絡空間擬態(tài)防御研究[J]. 信息安全學報，2016，1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[14] HU H C, WU J X, WANG Z P, et al. Mimic defense: a designed-in cybersecurity defense framework[J]. IET Information Security, 2017, 12(3): 226-237.

[15] HU H C, WANG Z P, CHENG G Z, et al. MNOS: a mimic network operating system for software defined networks[J]. IET Information Security, 2017, 11(6): 345-355.

[16] BUCZAK A, GUVEN E. A survey of data mining and machine learning methods for cyber security intrusion detection[J]. IEEE Communications Surveys & Tutorials, 2015, 18(2): 1153-1176.

[17] HAREL Y, GAL I B, ELOVICI Y. Cyber security and the role of intelligent systems in addressing its challenges[J]. ACM Transactions on Intelligent Systems and Technology. 2017, 8(4): 49.

[18] DONG Y, HAN Q L. Guest editorial special issue on new trends in energy internet: artificial intelligence-based control, network security, and management[J]. IEEE Transactions on Systems, Man, and Cybernetics, 2019, 49(8): 1551-1553.

[19] JESCHKE S, BRECHER C, SONG H B, et al. Industrial internet of things and cyber manufacturing systems[M]. Springer International Publishing, 2017: 3-19.

[20] 張煥國, 韓文報, 來學嘉, 等. 網(wǎng)絡空間安全綜述[J]. 中國科學: 信息科學, 2016, 46(2): 125-164.

ZHANG H G, HAN W B, LAI X J, et al. Cyber security overview[J]. Science China: Information Science, 2016, 46(2): 125-164.

[21] VINCENT L, TANNER A, BLARER A. Gaining an edge in cyberspace with advanced situational awareness[J]. IEEE Security & Privacy, 2015, 13(2): 65-74.

[22] 李艷, 王純子, 黃光球, 等. 網(wǎng)絡安全態(tài)勢感知分析框架與實現(xiàn)方法比較[J]. 電子學報, 2019, 47(4): 927-945.

LI Y, WANG C Z, HUANG G Q, et al. A survey of architecture and implementation method on cyber security situation awareness analysis[J]. Acta Electronica Sinica, 2019, 47(4): 927-945.

[23] POO M M, DU J L, LP N Y, et al. China brain project: basic neuroscience, brain diseases, and brain-inspired computing[J]. Neuron, 2016, 92: 591-596.

[24] BUNDY A. Review of preparing for the future of artificial intelligence[J]. AI and Society, 2017, 32(2): 285-287.

[25] PAN Y H. Heading toward artificial intelligence 2. 0[J]. Engineering, 2016, 2(4): 409-413.

[26] PAN Y H. Special issue on artificial intelligence 2. 0[J]. Frontiers of Information Technology & ElectronicEngineering, 2017, 18: 1-2

[27] 蒲慕明, 徐波, 譚鐵牛. 腦科學與類腦研究概述[J]. 中國科學院院刊, 2016, 31(7): 725-736.

PU M M, XU B, TAN T N. Brain science and brain-inspired intelligence technology-an overview[J]. Bulletin of Chinese Academy of Sciences, 2016, 31(7): 725-736.

Research on bionic mechanism based endogenous security defense system

HU Aiqun1,2, FANG Lanting1,2, LI Tao1,2

1. School of Cyber Science and Engineering, Southeast University, Nanjing 210096, China 2. Purple Mountain Laboratories, Nanjing 211100, China

Shell-based security defense technologies such as firewall, intrusion detection and anti-virus cannot be updated in a timely fashion upon identification of attacks. The security defense mechanism is not associated with the security status of network devices, resulting in low security performance. To solve the above problems, an endogenous security defense system based on the bionic security mechanism was proposed. Firstly, imitating the security defense mechanism of the organism, the endogenous security system integrated the security component with each other at the construction process. Secondly, the endogenous security associates all security components through network interconnection, and proposed a defense in depth and comprehensive approach to increase the security of a system. Finally, through the self-learning, endogenous security's ability of threat detection was continuous enhanced. By integrating the security system and information system, an endogenous security defense system was constructed. The endogenous security defense system can handle the challenges such as low defensive efficiency ratio, high-speed data processing, and unknown threats detection. The endogenous security system is an efficient security defense system of “innate growth and independent growth”. It meets the development needs of information systems with “high availability, security and high efficiency”.

endogenous security, defense mechanism, bionic security, independent learning

TP309.1

A

10.11959/j.issn.2096?109x.2021002

2020?05?08；

2020?07?03

方蘭婷，101012508@seu.edu.cn

國家自然科學基金（6162520）；至善青年學者支持計劃

The National Natural Science Foundation of China (6162520), Youth Scholar Program of SEU

胡愛群, 方蘭婷, 李濤. 基于仿生機理的內(nèi)生安全防御體系研究[J]. 網(wǎng)絡與信息安全學報, 2021, 7(1): 11-19.

HU A Q, FANG L T, LI T. Research on bionic mechanism based endogenous security defense system[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 11-19.

胡愛群（1964? ），男，江蘇如皋人，博士，東南大學教授、博士生導師，主要研究方向為網(wǎng)絡與信息安全、移動通信安全技術。

方蘭婷（1990? ），女，安徽六安人，博士，東南大學講師，主要研究方向為內(nèi)生安全技術、數(shù)據(jù)挖掘技術、人工智能技術。

李濤（1984? ），男，江蘇鎮(zhèn)江人，博士，東南大學講師，主要研究方向為安全評估、移動終端防護。