李玉峰，曹晨紅，李江濤，王鵬

（1. 上海大學(xué)，上海 200444；2. 網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室，江蘇 南京 211100；3. 中原工學(xué)院，河南 鄭州 451191）

1 引言

內(nèi)生安全，是網(wǎng)絡(luò)安全領(lǐng)域的新興概念與技術(shù)方向，是我國(guó)科學(xué)家最早針對(duì)網(wǎng)絡(luò)空間安全現(xiàn)狀的哲學(xué)性歸納與論述[1]。2016年，中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC）上，鄔江興院士發(fā)表了內(nèi)生安全的相關(guān)論述[2]，先后出版了關(guān)于擬態(tài)防御與內(nèi)生安全的中英文著作[3-4]。該理論體系的內(nèi)生安全問(wèn)題被抽象為兩類。一類是狹義內(nèi)生安全問(wèn)題，特指一個(gè)軟/硬件系統(tǒng)除預(yù)期的設(shè)計(jì)功能之外，總存在包括副作用、脆弱性、自然失效等因素在內(nèi)的非期望功能；另一類是廣義內(nèi)生安全問(wèn)題，專指在狹義內(nèi)生安全問(wèn)題之上，還包括對(duì)最終用戶不可見(jiàn)，或所有未向使用者明確聲明或披露過(guò)的軟/硬件隱匿功能，例如前門、后門、陷門等“暗功能”問(wèn)題。當(dāng)前，“查漏補(bǔ)缺”、加密認(rèn)證、沙箱蜜罐等傳統(tǒng)防御措施很難有效應(yīng)對(duì)基于內(nèi)生安全問(wèn)題的不確定性威脅，為此，該理論體系給出了基于內(nèi)生性安全機(jī)制的網(wǎng)絡(luò)空間擬態(tài)防御概念和技術(shù)。

奇安信集團(tuán)董事長(zhǎng)齊向東在2019年北京網(wǎng)絡(luò)安全大會(huì)（BCS2019）指出，面對(duì)不斷變化的網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)安全進(jìn)化到了“內(nèi)生安全”時(shí)代，信息系統(tǒng)需要不斷生長(zhǎng)出自適應(yīng)、自主和自成長(zhǎng)的安全能力[5]。他在第六屆世界互聯(lián)網(wǎng)大會(huì)企業(yè)家高峰論壇上還提出，通過(guò)建立“一個(gè)中心，五張濾網(wǎng)”的內(nèi)生安全體系，能極大降低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，從而真正保證業(yè)務(wù)安全[6]。其中，“一個(gè)中心”指的是安全運(yùn)營(yíng)中心，“五張濾網(wǎng)”指的是網(wǎng)絡(luò)、身份、應(yīng)用、數(shù)據(jù)和行為五張濾網(wǎng)。

本文從生物免疫機(jī)制體現(xiàn)出的內(nèi)生性安全效應(yīng)出發(fā)，提出了生物免疫啟發(fā)下的一種內(nèi)生安全三層防御技術(shù)框架，針對(duì)框架中第二重防線帶來(lái)的挑戰(zhàn)進(jìn)行了技術(shù)分析，給出了可選擇的解決方案，分析了該框架的應(yīng)用場(chǎng)景。

2 生物免疫機(jī)制

生物免疫是一個(gè)高度復(fù)雜的系統(tǒng)，既有生物個(gè)體的免疫機(jī)制及系統(tǒng)，還有生物群體的免疫機(jī)理與機(jī)制，共同實(shí)現(xiàn)對(duì)各種已知和未知病毒的有效防御。

早期研究中，1994年Forrest等[7]和Kephart[8]在檢測(cè)惡意軟件方面的開(kāi)創(chuàng)性工作中強(qiáng)調(diào)了生物免疫對(duì)計(jì)算機(jī)安全的啟發(fā)；參考文獻(xiàn)[9-12]提出了使用免疫系統(tǒng)模型檢測(cè)計(jì)算機(jī)病毒問(wèn)題，參考文獻(xiàn)[13-14]等利用免疫系統(tǒng)的多層模型進(jìn)行身份識(shí)別和入侵檢測(cè)。近年來(lái)，使用機(jī)器學(xué)習(xí)（ML）技術(shù)的網(wǎng)絡(luò)免疫方法研究成為了一個(gè)熱點(diǎn)，可以通過(guò)ML檢測(cè)某個(gè)網(wǎng)絡(luò)傳輸模式或數(shù)據(jù)是否是惡意的[15-16]。正如參考文獻(xiàn)[17-18]中總結(jié)的一樣，以往研究基本都圍繞異常檢測(cè)展開(kāi)，類似生物免疫系統(tǒng)中區(qū)分非我（異常對(duì)象）和自我（被監(jiān)測(cè)系統(tǒng)的正常特征屬性集合）的檢測(cè)機(jī)制。參考文獻(xiàn)[18]還總結(jié)了5個(gè)檢測(cè)主題，即惡意進(jìn)程檢測(cè)、異常檢測(cè)、入侵檢測(cè)、掃描和洪水檢測(cè)以及欺詐檢測(cè)。惡意進(jìn)程的檢測(cè)是在主機(jī)級(jí)別完成的，而入侵、掃描和洪水的檢測(cè)更多是在網(wǎng)絡(luò)上處理的問(wèn)題。欺詐檢測(cè)主要分析垃圾郵件和網(wǎng)絡(luò)釣魚(yú)等問(wèn)題。

本文著重從系統(tǒng)層面考慮生物個(gè)體免疫系統(tǒng)對(duì)內(nèi)生安全的研究啟示。維基百科對(duì)免疫系統(tǒng)進(jìn)行了很全面的概述[19]。免疫系統(tǒng)通過(guò)分層防御保護(hù)生物體免受感染。在“分層防御”模型中，生物以三道防線抵御致病微生物的侵害：第一層物理屏障（如表皮）可以防止病原體，如細(xì)菌和病毒進(jìn)入生物體內(nèi)。病菌如果突破了第一道防線，那么緊接著第二道防線——先天性免疫系統(tǒng)就會(huì)產(chǎn)生迅速但非特異性的免疫反應(yīng)。先天免疫系統(tǒng)是生來(lái)就有的免疫系統(tǒng)，存在于所有的動(dòng)植物中，又稱為非特異性免疫、固有免疫、非專一性防御，包括一系列的細(xì)胞及相關(guān)機(jī)制，可以以非特異性的方式抵御外來(lái)感染，也就是說(shuō)先天免疫系統(tǒng)的細(xì)胞會(huì)非特異地識(shí)別并作用于病原體，是一種快速的、廣泛的免疫反應(yīng)[20]。人類在沒(méi)有疫苗的時(shí)候能夠戰(zhàn)勝新型病毒，依靠的主要就是非特異性免疫。如果病原體再次成功地逃過(guò)第二道防線，脊椎動(dòng)物體內(nèi)還有第三層保護(hù)，即后天免疫系統(tǒng)[21]，也稱為獲得性免疫、適應(yīng)性免疫、特異性免疫、專一性防御，是一種經(jīng)由與特定病原體接觸后，產(chǎn)生能識(shí)別并針對(duì)特定病原體的特異性免疫反應(yīng)，疫苗接種背后的原理，就是將一種來(lái)自于特定病原體的抗原引入機(jī)體，在不引發(fā)病理癥狀的前提下，使機(jī)體的免疫系統(tǒng)獲得對(duì)這種病原體的抵抗能力。最后，需要注意的是，先天免疫系統(tǒng)（非特異性免疫）和后天免疫系統(tǒng)（特異性免疫系統(tǒng)）是密切合作的，而不是互相排斥的[21]，非特異性免疫是特異性免疫發(fā)展的基礎(chǔ)，從個(gè)體發(fā)育來(lái)看，當(dāng)抗原物質(zhì)入侵機(jī)體以后，首先發(fā)揮作用的是非特異性免疫，而后產(chǎn)生特異性免疫。

3 生物免疫機(jī)制的內(nèi)生安全啟示

生物免疫機(jī)制能夠讓生物在不依賴外體的情況下，依靠本體的三重防線就能應(yīng)對(duì)各種已知和未知的病毒，體現(xiàn)出明顯的自主性、魯棒性，而且通過(guò)第二道防線和第三道防線的激活作用和密切合作不斷形成新的免疫記憶，使整個(gè)免疫系統(tǒng)呈現(xiàn)出典型的自適應(yīng)性和自成長(zhǎng)性。因此，一定意義上可以認(rèn)為，生物免疫是一種典型的內(nèi)生安全技術(shù)示例。

在脊椎動(dòng)物免疫機(jī)制的啟發(fā)下，若能建立類似的網(wǎng)絡(luò)安全技術(shù)框架，將有效應(yīng)對(duì)各種已知和未知的網(wǎng)絡(luò)安全威脅。該框架包括三層防御模型：第一層包括物理隔離等安全手段和加密保護(hù)等安全技術(shù)，建立類似人類皮膚的第一道防線，阻止未經(jīng)授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)；第二層建立類似人類的非特異性免疫能力。感知和應(yīng)對(duì)未知的安全威脅（未知漏洞、未知后門、未知陷門等），同時(shí)形成第三層防御的基礎(chǔ)；第三層建立類似人類的特異性免疫能力，在第二層防線感知到未知安全威脅后，分析給出該威脅的特征并為該威脅添加相應(yīng)的安全策略，使未知威脅變成已知特征的威脅，讓系統(tǒng)在面對(duì)同樣或類似安全威脅時(shí)能夠依靠類人的“免疫記憶”，檢測(cè)出威脅并進(jìn)行針對(duì)性防御。第三層防線的本質(zhì)是建立針對(duì)已知特定威脅的高度專門化的檢測(cè)策略和防御策略，產(chǎn)生類似專門疫苗的特定病毒防疫效應(yīng)。實(shí)際上，當(dāng)前的網(wǎng)絡(luò)防御措施中，如防火墻、入侵檢測(cè)（IDS）、IPS、防病毒軟件、漏洞修補(bǔ)等，其核心機(jī)理基本沿循威脅特征感知及防御的思路，首先必須獲得攻擊來(lái)源、攻擊特征、攻擊途徑、攻擊行為等先驗(yàn)知識(shí)的支撐，然后才能夠?qū)W(wǎng)絡(luò)威脅進(jìn)行高效的針對(duì)性識(shí)別和及時(shí)防御，因此，從機(jī)理上屬于“后天獲得性免疫”，可以歸類為第三層防御手段，其存在的主要問(wèn)題是自身無(wú)法有效抵御基于系統(tǒng)軟/硬件未知漏洞和未知后門等未知威脅（例如零日攻擊等）。

4 技術(shù)挑戰(zhàn)與解決方案

4.1 主要技術(shù)挑戰(zhàn)

綜上可以發(fā)現(xiàn)，建立類似脊椎動(dòng)物三層免疫模型的主要挑戰(zhàn)就在于第二層防線的建立，換言之，當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)缺乏一種系統(tǒng)內(nèi)生的能夠有效感知和應(yīng)對(duì)未知特征網(wǎng)絡(luò)威脅的非特異性防御能力。正因?yàn)榇?，網(wǎng)絡(luò)空間很難形成一整套體系化的內(nèi)生安全防線，常常呈現(xiàn)出一種“亡羊補(bǔ)牢”場(chǎng)景：一種未知的網(wǎng)絡(luò)威脅往往只能在爆發(fā)并造成危害后才會(huì)被發(fā)現(xiàn)和分析，建立針對(duì)該威脅的知識(shí)并添加到防御策略中，實(shí)現(xiàn)“未知”變“已知”，然后才能針對(duì)性防御。

要建立類生物的第二層防線，獲得一種系統(tǒng)內(nèi)生的非特異性的網(wǎng)絡(luò)防御能力，核心挑戰(zhàn)就在于要能感知和防御未知的網(wǎng)絡(luò)威脅，同時(shí)激活第三層防線建立“免疫記憶”。當(dāng)前，有很多研究能夠在不同程度上實(shí)現(xiàn)對(duì)未知威脅的檢測(cè)和防御。

有許多研究基于機(jī)器學(xué)習(xí)的方法檢測(cè)未知攻擊[22-24]。由于正常網(wǎng)絡(luò)流量是時(shí)變的，很難準(zhǔn)確建模，而且訓(xùn)練多個(gè)攻擊模型對(duì)特征選擇也有很高的要求，因此，這類方法雖然在一定程度上能檢測(cè)未知的入侵行為，但大多面臨檢測(cè)精度不高、誤報(bào)率較高等問(wèn)題。

還有很多研究提出了使用蜜罐技術(shù)檢測(cè)分析未知的網(wǎng)絡(luò)攻擊[25]。蜜罐使用具有很大的局限性，蜜罐收集的數(shù)據(jù)面很窄，而且蜜罐一旦被攻破，反而可以被利用發(fā)動(dòng)其他攻擊，因此，很多時(shí)候需要與其他安全措施配合使用。

很多研究認(rèn)為，類似零日攻擊等利用新漏洞或新技術(shù)的新型攻擊，很難用傳統(tǒng)安全方法檢測(cè)，但包括零日惡意軟件在內(nèi)，很多攻擊都會(huì)顯露出攻擊時(shí)的一些特殊行為，基于行為分析的未知攻擊檢測(cè)核心是用異常檢測(cè)查找這些異于常規(guī)的行為[26]。但由于不同的攻擊通常具有不同的網(wǎng)絡(luò)行為分布，因此該方法的使用有很大的局限性。

此外，還有一類以動(dòng)態(tài)防御為特征的技術(shù)能夠抵御未知網(wǎng)絡(luò)威脅。這類技術(shù)通過(guò)地址隨機(jī)化、指令隨機(jī)化、軟件多態(tài)化等技術(shù)動(dòng)態(tài)改變軟/硬件自身或其執(zhí)行環(huán)境，對(duì)軟/硬件進(jìn)行防御；或者通過(guò)對(duì)網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)配置或網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行動(dòng)態(tài)化、虛擬化和隨機(jī)化處理，改變網(wǎng)絡(luò)靜態(tài)性、確定性和相似性，有效抵御對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊；或者利用數(shù)據(jù)隨機(jī)化技術(shù)、N變體數(shù)據(jù)多樣化技術(shù)等，動(dòng)態(tài)化改變數(shù)據(jù)的格式、編碼或者表現(xiàn)形式，實(shí)現(xiàn)對(duì)數(shù)據(jù)的保護(hù)?；蛘咄ㄟ^(guò)可重構(gòu)技術(shù)、基于異構(gòu)平臺(tái)的應(yīng)用熱遷移技術(shù)、Web服務(wù)多樣化等動(dòng)態(tài)化技術(shù)，動(dòng)態(tài)改變平臺(tái)從而使平臺(tái)及其上的應(yīng)用環(huán)境呈現(xiàn)出不確定性，使攻擊者難以進(jìn)行有效攻擊。2011年，美國(guó)國(guó)家科學(xué)技術(shù)委員會(huì)提出了移動(dòng)目標(biāo)防御概念，該技術(shù)的核心思想致力于構(gòu)建一種動(dòng)態(tài)、異構(gòu)、不確定的網(wǎng)絡(luò)空間目標(biāo)環(huán)境增加攻擊者的攻擊難度，以系統(tǒng)的隨機(jī)性和不可預(yù)測(cè)性來(lái)對(duì)抗網(wǎng)絡(luò)攻擊[27]。參考文獻(xiàn)[28]中介紹了動(dòng)態(tài)目標(biāo)防御的基礎(chǔ)，基于軟件變化的動(dòng)態(tài)目標(biāo)防御方法，以及基于網(wǎng)絡(luò)和軟件棧配置的動(dòng)態(tài)目標(biāo)防御方法等。

綜合上述技術(shù)分析可以發(fā)現(xiàn)，這些技術(shù)或者僅能在一定程度上檢測(cè)并感知未知威脅；或者主要依靠偽裝或動(dòng)態(tài)化技術(shù)增加攻擊難度，從而實(shí)現(xiàn)對(duì)未知威脅的防御；或者準(zhǔn)確性不能確?；?qū)嵱眯允芟?，很難同時(shí)提供高可靠、高可信、高可用一體的對(duì)未知威脅的感知和防御能力。

4.2 DHR構(gòu)造的內(nèi)生安全效應(yīng)

動(dòng)態(tài)異構(gòu)冗余（dynamic heterogeneous redundancy，DHR）構(gòu)造，是為應(yīng)對(duì)網(wǎng)絡(luò)空間中基于未知漏洞、后門等未知威脅，提供一種基于內(nèi)生安全機(jī)理的普適性構(gòu)造方法[29]。

圖1 傳統(tǒng)構(gòu)造與DHR構(gòu)造的主要差別

信息系統(tǒng)傳統(tǒng)構(gòu)造與DHR構(gòu)造的主要差別如圖1所示，傳統(tǒng)構(gòu)造方法由單一執(zhí)行體完成確定的系統(tǒng)功能，其特性可以歸納為靜態(tài)性和單一性，攻擊者一旦掌握了該執(zhí)行體的漏洞或后門，執(zhí)行體可能就對(duì)攻擊者單向透明。DHR構(gòu)造的特性是動(dòng)態(tài)、異構(gòu)、冗余。DHR構(gòu)造主要包括分發(fā)代理、運(yùn)行執(zhí)行體集、裁決器、負(fù)反饋調(diào)度和異構(gòu)執(zhí)行體池。其中，分發(fā)代理負(fù)責(zé)將外部的輸入信號(hào)序列分發(fā)給運(yùn)行執(zhí)行體集中的各個(gè)功能等價(jià)異構(gòu)執(zhí)行體，這些執(zhí)行體完成處理后將結(jié)果矢量輸出給裁決器，裁決器對(duì)所有執(zhí)行體產(chǎn)生的輸出矢量組成可歸一化的裁決界面，然后通過(guò)大數(shù)裁決、迭代裁決等裁決準(zhǔn)則得到最終輸出結(jié)果。通過(guò)裁決若發(fā)現(xiàn)了某執(zhí)行體輸出異常，則負(fù)反饋調(diào)度器根據(jù)內(nèi)部預(yù)先設(shè)置的調(diào)度策略和智能學(xué)習(xí)算法，激活并下發(fā)指令會(huì)使相關(guān)部件動(dòng)態(tài)完成對(duì)該執(zhí)行體及當(dāng)前運(yùn)行環(huán)境的更換、遷移、清洗、重組、重構(gòu)等操作，這一過(guò)程是迭代執(zhí)行的，直至判決器異常情況消失或發(fā)生頻度低于某個(gè)設(shè)定的閾值為止。

DHR構(gòu)造建立在“相對(duì)正確公理”基礎(chǔ)之上。該公理可以通俗表述為：“人人都存在這樣或那樣的缺點(diǎn)，但極少出現(xiàn)獨(dú)立完成同樣任務(wù)時(shí)，多數(shù)人在同一個(gè)地點(diǎn)、同一時(shí)間、犯完全一樣錯(cuò)誤的情形”[4]。有研究者將其命名為“相對(duì)正確”公理(true relatively axiom，TRA)，也稱之為“共識(shí)機(jī)制”。實(shí)際上，成熟的非相似余度架構(gòu)（dissimilar redundancy structure，DRS）也是相對(duì)正確公理的一種實(shí)踐應(yīng)用。美國(guó)波音公司在開(kāi)發(fā)基于DRS架構(gòu)的飛行控制儀過(guò)程中，為確保軟/硬件的異構(gòu)性最大，采用了極為嚴(yán)格的工程管理手段和技術(shù)開(kāi)發(fā)方法，通過(guò)選拔不同教育背景、技術(shù)背景甚至文化背景的人員組成完全獨(dú)立的多個(gè)研發(fā)團(tuán)隊(duì)，各自使用不同的開(kāi)發(fā)語(yǔ)言和工具，以達(dá)到盡力避免或抑制共模故障或失效的目的。這種構(gòu)造的飛行控制器的失效概率低于10-11。采用DRS架構(gòu)設(shè)計(jì)的F16戰(zhàn)機(jī)飛行控制器的失效率也低于10-8。當(dāng)然，獲得超高可靠性的同時(shí)，這種開(kāi)發(fā)模式的代價(jià)也是非常高昂的。

DHR架構(gòu)集成了DRS架構(gòu)的異構(gòu)冗余屬性，因此同樣都是一種超高可靠性架構(gòu)。需要說(shuō)明的是，在異構(gòu)冗余之外，DHR架構(gòu)新導(dǎo)入了動(dòng)態(tài)性和隨機(jī)性，從而新增了抗網(wǎng)絡(luò)攻擊的性能。除了通過(guò)共識(shí)機(jī)制對(duì)已經(jīng)發(fā)現(xiàn)的異常執(zhí)行體進(jìn)行動(dòng)態(tài)替換之外，DHR架構(gòu)還建議不定期地對(duì)當(dāng)前運(yùn)行的異構(gòu)執(zhí)行體集合進(jìn)行隨機(jī)變換，或者對(duì)異構(gòu)執(zhí)行體進(jìn)行隨機(jī)重構(gòu)，又或是借助虛擬化等技術(shù)改變運(yùn)行環(huán)境等配置，從而使攻擊者很難再次復(fù)現(xiàn)以往曾成功的攻擊場(chǎng)景。從理論上講，攻擊者只有同時(shí)攻擊并控制超過(guò)一半以上的執(zhí)行體時(shí)，DHR構(gòu)造的信息系統(tǒng)才不再具有可信性。顯然，系統(tǒng)性能高度取決于異構(gòu)執(zhí)行體的數(shù)量。更多的異構(gòu)執(zhí)行體通常意味著攻擊難度的加大和裁決器輸出可信性的提高。參考文獻(xiàn)[4]的仿真表明，在不同強(qiáng)度的攻擊擾動(dòng)下，3個(gè)異構(gòu)執(zhí)行體的DHR架構(gòu)就能極地大增加攻擊的難度，使系統(tǒng)取得極高的可信性。因此，DHR架構(gòu)也是一種高可信的架構(gòu)。

綜合上述分析可以發(fā)現(xiàn)，DHR構(gòu)造具有顯著的內(nèi)生安全效應(yīng)。

（1）對(duì)未知威脅的感知和防御能力。在未知攻擊無(wú)法取得運(yùn)行執(zhí)行體多數(shù)優(yōu)勢(shì)情況下，DHR架構(gòu)顯然能夠借助“相對(duì)正確”公理的邏輯表達(dá)機(jī)制，在不依賴攻擊者先驗(yàn)知識(shí)或行為特征信息條件下提供高置信度的未知攻擊感知功能。而且，通過(guò)異構(gòu)冗余機(jī)制確保系統(tǒng)被攻擊時(shí)仍能保持輸出正常，消除未知攻擊的影響，因此DHR架構(gòu)能夠同時(shí)實(shí)現(xiàn)對(duì)未知威脅的感知和防御，滿足上述的第二重防線要求。此外，這種不依賴關(guān)于先驗(yàn)知識(shí)且不需要在目標(biāo)對(duì)象內(nèi)部設(shè)置任何探針的未知攻擊感知手段，可以結(jié)合設(shè)備的日志和異常數(shù)據(jù)快照，實(shí)現(xiàn)未知漏洞后門發(fā)現(xiàn)、惡意攻擊代碼捕獲、攻擊者溯源等，最終找到未知攻擊的相關(guān)特征并形成先驗(yàn)知識(shí)，激活第三層防線并形成“免疫記憶”。

（2）功能安全和網(wǎng)絡(luò)安全一體化保障能力。維基百科中將功能安全（functional safety）稱為機(jī)能安全，縮寫為FuSa，指的是系統(tǒng)或組成零件在接受輸入信號(hào)后，可以正常執(zhí)行動(dòng)作。目的是避免直接或間接（經(jīng)由設(shè)備或環(huán)境）造成人員傷亡、財(cái)產(chǎn)損失或環(huán)境污染等[30]。通俗意義上說(shuō)，功能安全指的是任一隨機(jī)故障、系統(tǒng)故障或共因失效都不會(huì)導(dǎo)致安全事故。功能安全一般可以借由平均故障間隔（MTBF）及安全故障失效比率（safe failure fraction，SFF）驗(yàn)證和衡量。維基百科中，將網(wǎng)絡(luò)安全（network security）聚焦在黑客通過(guò)基于網(wǎng)絡(luò)的入侵達(dá)到竊取敏感信息、造成企業(yè)網(wǎng)絡(luò)無(wú)法正常營(yíng)運(yùn)等目的，包括設(shè)備安全、軟件安全和信息安全。本質(zhì)上講，功能安全聚焦于系統(tǒng)或組件故障失效帶來(lái)的風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全聚焦于人為攻擊帶來(lái)的威脅。如前所述，DHR架構(gòu)的異構(gòu)冗余屬性使其能獲得高可靠性，能夠保障功能安全，在此基礎(chǔ)上，動(dòng)態(tài)特性的引入使其能獲得高可信性，能夠保障網(wǎng)絡(luò)安全，因此是一種能夠提供廣義魯棒控制的創(chuàng)新架構(gòu)。

5 一種生物免疫啟發(fā)下的內(nèi)生安全技術(shù)框架簡(jiǎn)介及應(yīng)用

5.1 框架簡(jiǎn)介

本文提出的生物免疫啟發(fā)下的一種內(nèi)生安全技術(shù)框架如圖2所示，左側(cè)部分是脊椎動(dòng)物免疫系統(tǒng)三道防線示意圖，右側(cè)是內(nèi)生安全技術(shù)框架對(duì)應(yīng)的三層防御示意圖。

該框架的第一層防線類似人類皮膚等物理屏障，對(duì)目標(biāo)信息系統(tǒng)進(jìn)行隔離、加密等防護(hù)；在第二層防線中，本文認(rèn)為可以通過(guò)DHR構(gòu)造等技術(shù)使目標(biāo)信息系統(tǒng)感知和應(yīng)對(duì)各種未知威脅，同時(shí)激活第三層防御，通過(guò)分析并獲得該未知威脅的特征，形成類人的“免疫記憶”，將“未知”威脅變成“已知”?；谙闰?yàn)知識(shí)的防火墻、IDS等各種傳統(tǒng)安全設(shè)備都可以服務(wù)于第三道防線，這些設(shè)備可以根據(jù)已知的“免疫記憶”快速地對(duì)各種威脅進(jìn)行針對(duì)性檢測(cè)和防御。

該框架的魯棒性、自主性、自適應(yīng)和自成長(zhǎng)性使其呈現(xiàn)出明顯的內(nèi)生安全效應(yīng)。一方面該框架有機(jī)融合了多重防線的技術(shù)優(yōu)點(diǎn)，使其自主具備了對(duì)已知和未知威脅的快速感知與防御能力；另一方面，通過(guò)防線間的免疫記憶激活與累加機(jī)制，使整個(gè)框架的防御能力能夠不斷地自適應(yīng)和自成長(zhǎng)，能夠更及時(shí)動(dòng)態(tài)地應(yīng)對(duì)威脅；此外，DHR構(gòu)造的異構(gòu)冗余機(jī)制還使框架具備了高可靠性。

5.2 框架應(yīng)用

網(wǎng)絡(luò)安全的狀況正在經(jīng)歷發(fā)展的拐點(diǎn)。安全威脅嚴(yán)重程度與日俱增，安全事件數(shù)量呈指數(shù)級(jí)增長(zhǎng)，安全運(yùn)營(yíng)團(tuán)隊(duì)疲于應(yīng)對(duì)。威脅形勢(shì)瞬息萬(wàn)變，各種威脅的復(fù)雜度越來(lái)越高，傳統(tǒng)方法已很難有效應(yīng)對(duì)。安全事件的危害越來(lái)越大，不僅影響人民的財(cái)產(chǎn)安全，還影響到生命安全和國(guó)家安全。

這種安全拐點(diǎn)帶來(lái)的巨大挑戰(zhàn)需要現(xiàn)有網(wǎng)絡(luò)安全防御從理念、體系、架構(gòu)和技術(shù)等全方面進(jìn)行新的思考、分析、設(shè)計(jì)與開(kāi)發(fā)。本文受生物免疫機(jī)制啟發(fā)，基于已有技術(shù)提出了一種具有內(nèi)生安全效應(yīng)的技術(shù)框架。該框架能夠提供高可靠、高可信與一體的安全效果，且可采用的技術(shù)均是已經(jīng)商業(yè)化應(yīng)用技術(shù)或工程化驗(yàn)證技術(shù)，因此具有很強(qiáng)的實(shí)用性。當(dāng)然，框架存在一定程度的復(fù)雜性，框架的實(shí)施也會(huì)相應(yīng)地增加成本。

圖2 生物免疫啟發(fā)下的一種內(nèi)生安全三層防御技術(shù)框架示意圖

若目標(biāo)網(wǎng)絡(luò)或信息系統(tǒng)要求高可信的網(wǎng)絡(luò)安全保障，例如云的安全防護(hù)、重要網(wǎng)絡(luò)的安全防護(hù)等，可以采用該框架。此時(shí)，框架第二層防線除了可以選擇DHR構(gòu)造技術(shù)之外，還可以選擇其他的具有未知威脅感知和防御能力的新型技術(shù)，例如，動(dòng)態(tài)防御、蜜罐、沙箱、異常檢測(cè)等技術(shù)及這些技術(shù)的綜合應(yīng)用。

若目標(biāo)網(wǎng)絡(luò)或信息系統(tǒng)要求高可靠、高可信的功能安全與網(wǎng)絡(luò)安全一體化保障，可以采用該框架。此時(shí)，第二層防線目前可選擇的技術(shù)可能只有DHR構(gòu)造技術(shù)。以車聯(lián)網(wǎng)為例，該網(wǎng)絡(luò)不同于傳統(tǒng)IT網(wǎng)絡(luò)的重要之處就是，它是綜合了信息網(wǎng)絡(luò)和物理環(huán)境的多維復(fù)雜CPS（cyber-physical system），其應(yīng)用環(huán)境具有開(kāi)放性、動(dòng)態(tài)性、多變性、欺騙性等特殊問(wèn)題，對(duì)功能安全、網(wǎng)絡(luò)安全有更嚴(yán)苛的要求。從功能安全角度方面，要求能夠應(yīng)對(duì)復(fù)雜場(chǎng)景可能存在的失效甚至失控風(fēng)險(xiǎn)，保障系統(tǒng)在預(yù)定義的規(guī)范場(chǎng)景內(nèi)能夠正確輸出，同時(shí)能夠容忍超出規(guī)范場(chǎng)景的干擾、噪聲等；從網(wǎng)絡(luò)安全角度方面，要求系統(tǒng)能夠抵御攻擊、保護(hù)自身、抗欺騙、反竊取等。車聯(lián)網(wǎng)中，汽車感知決策部件、車內(nèi)網(wǎng)絡(luò)、V2V和V2I的關(guān)鍵安全信息通告、OTA安全信息更新組件等，既關(guān)乎人身安全（safety領(lǐng)域），又關(guān)乎網(wǎng)絡(luò)攻擊（security領(lǐng)域），是一類“功能安全+網(wǎng)絡(luò)安全”關(guān)鍵組件。針對(duì)這類關(guān)鍵組件，理想的安全解決方案是一體化增強(qiáng)功能安全與網(wǎng)絡(luò)安全。然而，通常的實(shí)際情況卻是“此消彼長(zhǎng)”，舉例來(lái)說(shuō)，為了保障網(wǎng)絡(luò)安全，很多主機(jī)廠將防火墻/IDS等安全防護(hù)系統(tǒng)接入汽車內(nèi)部通信網(wǎng)絡(luò)中，但這些系統(tǒng)的設(shè)計(jì)缺陷可能導(dǎo)致故障，使汽車內(nèi)部網(wǎng)絡(luò)中斷，從而帶來(lái)功能安全事故。而DHR構(gòu)造是能夠解決此類互斥矛盾，給出功能安全、網(wǎng)絡(luò)安全一體化保障的新技術(shù)。

6 結(jié)束語(yǔ)

由于自然界已經(jīng)為許多現(xiàn)實(shí)世界中的問(wèn)題找到了解決方案，因此，許多研究試圖從生物免疫系統(tǒng)機(jī)理和機(jī)制上尋找網(wǎng)絡(luò)免疫能力產(chǎn)生的答案。人類對(duì)免疫系統(tǒng)的認(rèn)知存在一個(gè)不斷深入過(guò)程，現(xiàn)今人們正在以“分層防御”的模型理解。

以往借鑒生物免疫的網(wǎng)絡(luò)安全技術(shù)研究，大多聚焦在借鑒區(qū)別“自我”與“非我”的免疫機(jī)理上，主要應(yīng)用在異常檢測(cè)領(lǐng)域中。本文從系統(tǒng)層面的免疫機(jī)制出發(fā)，探索三層防御模型對(duì)網(wǎng)絡(luò)安全技術(shù)的啟發(fā)?；诮陙?lái)在未知威脅感知與防御技術(shù)上取得的重要技術(shù)突破，提出了一種具有魯棒性、自主性、自適應(yīng)和自成長(zhǎng)性的內(nèi)生安全技術(shù)框架。這是第一項(xiàng)系統(tǒng)闡述脊椎動(dòng)物三重防線啟發(fā)下的具有內(nèi)生安全效應(yīng)的網(wǎng)絡(luò)防御技術(shù)框架，雖然還有很多問(wèn)題需要深入澄清，很多技術(shù)需要進(jìn)一步攻堅(jiān)，但是，隨著對(duì)未知威脅感知和防御能力的持續(xù)提升，未來(lái)的網(wǎng)絡(luò)將會(huì)全面建立起自主免疫系統(tǒng)，釋放網(wǎng)絡(luò)空間的內(nèi)生安全效應(yīng)。