胡愛群/HU Aiqun，李濤/LI Tao，卞青原/BIAN Qingyuan

（ 東南大學(xué)，中國 南京 210096 ）

隨著通信技術(shù)的飛速發(fā)展,運行在開放網(wǎng)絡(luò)環(huán)境中的信息系統(tǒng)日趨復(fù)雜。承載數(shù)據(jù)量呈指數(shù)級增長,數(shù)據(jù)來源變得更加豐富,內(nèi)容也更加細(xì)化。網(wǎng)絡(luò)空間安全面臨越來越多的新挑戰(zhàn)。傳統(tǒng)的安全防御體系在面對安全威脅時無法及時對承載巨大流量的信息系統(tǒng)進行細(xì)粒度地、深層次地主動安全防御。

為了解決傳統(tǒng)網(wǎng)絡(luò)安全防御體系存在的靜態(tài)不變?nèi)毕輪栴}，全球科研團隊相繼開展了主動式防御研究工作。其中，生物免疫機理與計算機科學(xué)技術(shù)相融合的人工免疫系統(tǒng)[1-5]，為網(wǎng)絡(luò)安全的相關(guān)研究提供了新思路。相較于傳統(tǒng)的被動式防御技術(shù)，人工免疫網(wǎng)絡(luò)攻擊檢測技術(shù)具有顯著的智能監(jiān)控、快速響應(yīng)、主動防御等特點，因此在網(wǎng)絡(luò)攻擊檢測領(lǐng)域得到了較好的應(yīng)用。然而，受限于現(xiàn)有的信息系統(tǒng)架構(gòu)，免疫系統(tǒng)中免疫細(xì)胞的動態(tài)游走等特性難以在信息系統(tǒng)中實現(xiàn)。目前的人工免疫系統(tǒng)往往只是在防御體系的某一個環(huán)節(jié)融入仿生免疫元素（例如在入侵檢測中融入免疫算法），仍缺乏一種有效的體系架構(gòu)作為支撐，并未實現(xiàn)真正意義上的免疫體系。

為解決上述問題，本文提出一種融合神經(jīng)與免疫機理的仿生安全模型，借鑒人體神經(jīng)系統(tǒng)的“感知-策略-控制-反饋”體系架構(gòu)和免疫系統(tǒng)的自適應(yīng)分層免疫思想，將安全體系與信息系統(tǒng)深度融合，構(gòu)建具有自主防御能力的新型仿生免疫系統(tǒng)。

1 相關(guān)研究背景

仿生學(xué)是一門古老而又新興的學(xué)科，主要研究生物體的結(jié)構(gòu)與功能機理，并將這種結(jié)構(gòu)和功能應(yīng)用到各類工程系統(tǒng)和現(xiàn)代技術(shù)的研究與設(shè)計中。目前，網(wǎng)絡(luò)空間安全中的仿生技術(shù)應(yīng)用主要體現(xiàn)在仿生自愈、擬態(tài)防御、計算機免疫等方面。

近年來，許多學(xué)者開始致力于仿生自愈的研究，以提高信息系統(tǒng)的主動防御能力。P. JAIN等[6]提出一種網(wǎng)絡(luò)安全自修復(fù)模型，將生物免疫系統(tǒng)中自監(jiān)控、自適應(yīng)、自修復(fù)的防御機制應(yīng)用到網(wǎng)絡(luò)攻擊防御中。 DAI Y. S.等[7-11]提出一種仿生自主神經(jīng)系統(tǒng)（BANS）。該系統(tǒng)借鑒生物神經(jīng)系統(tǒng)，結(jié)合模糊測試、神經(jīng)網(wǎng)絡(luò)、信息熵等技術(shù)，實現(xiàn)了信息系統(tǒng)的自我保護能力。系統(tǒng)能夠識別拒絕服務(wù)攻擊（DoS）、間諜軟件、惡意軟件和病毒等已知/未知攻擊，并進行有效的自我防御。

鄔江興院士提出擬態(tài)防御理論[12-13]，通過動態(tài)異構(gòu)冗余架構(gòu)利用不可信軟硬構(gòu)件,組成高可靠、高安全等級信息系統(tǒng)，實現(xiàn)了對功能組件的主動隱匿，在較大程度上增加了攻擊難度。近年來，眾多研究者對擬態(tài)防御進行了深入研究。丁紹虎等[14]提出基于擬態(tài)防御的軟件定義網(wǎng)絡(luò)（SDN）控制層安全機制，使用多個異構(gòu)的等價控制器同時處理數(shù)據(jù)層的請求，通過對比它們的流表項來檢測主控制是否存在惡意行為，解決了SDN控制層的單點脆弱性問題。仝青和張錚等[15-16]基于動態(tài)冗余架構(gòu)構(gòu)建了擬態(tài)防御Web服務(wù)器，提出了適用于擬態(tài)防御架構(gòu)的Web服務(wù)器測試方法，驗證了擬態(tài)防御技術(shù)在Web服務(wù)器上的有效性和可行性。任權(quán)等[17]利用離散時間馬爾可夫鏈模型對采用動態(tài)冗余架構(gòu)的擬態(tài)防御系統(tǒng)進行建模，并對動態(tài)冗余架構(gòu)的抗干擾性能進行分析，證明目標(biāo)系統(tǒng)在攻擊擾動條件下的穩(wěn)態(tài)可用性和感知安全性。DAI W. B.等[18]提出基于擬態(tài)防御的安全系統(tǒng)結(jié)構(gòu)，通過數(shù)字孿生技術(shù)構(gòu)建擬態(tài)防御模型的執(zhí)行實體，提高安全系統(tǒng)的動態(tài)性與冗余性，進而提高系統(tǒng)的安全防御能力，增加攻擊難度。

基于人工免疫系統(tǒng)（AIS）的入侵檢測模型通過模擬人體免疫機制來進行網(wǎng)絡(luò)入侵檢測，在入侵檢測方面擁有天然的適應(yīng)性和魯棒性。J. KIM等[19-20]提出一種用于檢測網(wǎng)絡(luò)攻擊行為的AIS系統(tǒng)模型。該模型結(jié)合了克隆選擇過程、否定選擇過程和基因庫進化三大機制，同時應(yīng)用了小生境否定選擇算法。這是一套較為完善的、基于人工免疫技術(shù)的網(wǎng)絡(luò)入侵檢測模型。它具有良好的自適應(yīng)性和學(xué)習(xí)能力。P. NESPOLI等[21]提出一種新型的基于人工免疫系統(tǒng)的網(wǎng)絡(luò)安全防御模型。該模型采用遺傳算法等免疫算法來防御網(wǎng)絡(luò)入侵，有效地降低了受保護系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。羅婭等[22]提出一種基于核熵和人工免疫的網(wǎng)絡(luò)異常檢測方法。在基于入侵檢測標(biāo)準(zhǔn)數(shù)據(jù)集KDD Cup99上的對比實驗中，該方法有效地改進了網(wǎng)絡(luò)異常檢測的性能。于全等[23]提出基于人體免疫機理的網(wǎng)絡(luò)安全防護體系設(shè)計原則，并基于該原則設(shè)計一種免疫啟發(fā)式網(wǎng)絡(luò)安全防護架構(gòu)，模擬人體免疫系統(tǒng)的非特異性免疫與特異性免疫機制，構(gòu)建分層網(wǎng)絡(luò)安全防護體系。

從目前的研究情況來看，仿生自愈、擬態(tài)防御、計算機免疫等主動防御技術(shù)都是圍繞生物的局部安全防御機制展開的，缺乏完整的免疫體系設(shè)計。本文從整體架構(gòu)上入手，充分分析和借鑒人體神經(jīng)控制系統(tǒng)與免疫系統(tǒng)的工作機理，提出一種新型的仿生免疫模型。

2 免疫系統(tǒng)和神經(jīng)控制的基本機理

2.1 人體免疫系統(tǒng)機理

人體免疫系統(tǒng)是一種具有高度分布性自適應(yīng)免疫系統(tǒng)，具有完善的機制來抵御外來病原體的入侵。通過對人體免疫過程模型分析可知，免疫系統(tǒng)可以分為自然免疫（非特異性免疫）層和適應(yīng)性免疫（特異性免疫）層，自然免疫層主要由補體和吞噬細(xì)胞等所組成，而適應(yīng)性免疫層則包含抗體、T-細(xì)胞和B-細(xì)胞等。

自然免疫層是人體抵抗外來病原體入侵的第一道防線。在自然免疫過程中，免疫系統(tǒng)能夠利用血液和組織中存在的各種白細(xì)胞來檢測病原體，以便將其與自身細(xì)胞區(qū)分開。雖然這種方法不具有高度特異性，不能形成免疫記憶，但其能夠迅速對感染做出反應(yīng)。相對于自然免疫，適應(yīng)性免疫過程較為緩慢，但其能夠通過淋巴細(xì)胞的協(xié)作發(fā)揮作用，包括T-細(xì)胞、B-細(xì)胞等。在它們的共同作用下，使用專門的抗體來特異性檢測病原體，并將病原體標(biāo)記為威脅，能夠放大反應(yīng)并摧毀入侵者。該過程的重要特點之一，就是可以形成病原體的長久記憶。這使得免疫系統(tǒng)能夠應(yīng)對未來的挑戰(zhàn)，以便更快速、更容易地對抗相同病原體。

面對微生物或外來病原體的入侵，免疫系統(tǒng)的這種自然免疫和適應(yīng)性免疫的分層免疫機制與網(wǎng)絡(luò)安全存在一定的相似性。自然免疫通過專家?guī)煨纬煞烙芰?，適應(yīng)性免疫則是在動態(tài)對抗中形成新的防御方法。這對于構(gòu)建新型計算機防御模型具有重要的借鑒作用。

2.2 人體神經(jīng)控制系統(tǒng)機理

在面臨威脅時，人體往往能夠做出有效、適度的反應(yīng)，以維持機體的高效運轉(zhuǎn)。在人體防御過程中，神經(jīng)控制系統(tǒng)既能使我們有效避開威脅，又可以不斷提高應(yīng)對威脅的能力。

在人體神經(jīng)系統(tǒng)中，中樞神經(jīng)系統(tǒng)是主體部分，其內(nèi)部聚集了大量神經(jīng)細(xì)胞，主要負(fù)責(zé)信息的傳導(dǎo)、儲存、處理等工作。神經(jīng)系統(tǒng)最基本的活動方式為反射。反射過程可以抽象為感受器、傳入神經(jīng)、反射中樞神經(jīng)、傳出神經(jīng)、效應(yīng)器、反饋六大基本環(huán)節(jié)。在反射過程中，人體通過感受器不斷感受機體內(nèi)外環(huán)境變化產(chǎn)生的刺激，然后將其轉(zhuǎn)換成神經(jīng)沖動并通過傳入神經(jīng)傳至中樞，最終經(jīng)過中間神經(jīng)元的軸突所構(gòu)成的感覺傳導(dǎo)通路傳至大腦皮質(zhì)以產(chǎn)生感覺。大腦皮質(zhì)對感覺信息進行分析與整合，然后通過傳出神經(jīng)構(gòu)成的運動傳導(dǎo)通路將整合好的信息傳遞出去，并通過運動神經(jīng)元到達各類效應(yīng)器產(chǎn)生效應(yīng)。該效應(yīng)行為會再次反饋至感受器。

此外，反射可以分為非條件反射和條件反射。其中，非條件反射是人體長期進化形成的本能反射，不需要大腦皮層等高級神經(jīng)中樞的參與；而條件反射是人通過后天學(xué)習(xí)逐漸形成的高級神經(jīng)活動，需要大腦皮層等高級神經(jīng)中樞的參與。

2.3 仿生機理總結(jié)

通過對人體免疫系統(tǒng)和神經(jīng)控制系統(tǒng)工作機理的研究分析，我們可以發(fā)現(xiàn)維持人體穩(wěn)態(tài)運轉(zhuǎn)、趨利避害的兩大系統(tǒng)有許多可供仿生免疫系統(tǒng)借鑒的地方：

（1） 神經(jīng)控制系統(tǒng)與免疫系統(tǒng)中均存在“感知-策略-反饋”機制。該機制能夠?qū)ο到y(tǒng)調(diào)節(jié)情況進行實時反饋，通過組件的聯(lián)動配合應(yīng)對環(huán)境變化，保證機體的生理平衡。

（2） 免疫系統(tǒng)的免疫過程能夠區(qū)分“自我”與“非我”，對自體抗原呈現(xiàn)出特異性無應(yīng)答狀態(tài)，而對異體抗原能夠保持免疫記憶、快速應(yīng)答和及時清除。

（3） 神經(jīng)系統(tǒng)的體系架構(gòu)實現(xiàn)了信息感知分布性、控制適應(yīng)性、整體協(xié)調(diào)性，在架構(gòu)設(shè)計方面為安全體系與信息系統(tǒng)的融合提供參考，有助于構(gòu)建具有智能監(jiān)控、快速響應(yīng)、主動防御特點的仿生免疫系統(tǒng)。

3 融合神經(jīng)與免疫機理的安全模型

3.1 仿生安全系統(tǒng)模型

結(jié)合生物免疫的應(yīng)答過程和人體神經(jīng)控制反射過程的工作機理，本文設(shè)計了融合神經(jīng)與免疫機理的仿生安全模型。該模型以人體神經(jīng)控制系統(tǒng)中的“感知-策略-效應(yīng)-反饋”工作機制為基本架構(gòu)，研究和部署類神經(jīng)系統(tǒng)的細(xì)粒度威脅感受器和傳導(dǎo)機制，實時監(jiān)測系統(tǒng)內(nèi)外參數(shù)變化，全面掌握系統(tǒng)的安全態(tài)勢，以便對外部入侵進行合理反制，對內(nèi)部入侵進行免疫式防御。借鑒人體免疫系統(tǒng)中的自然免疫與適應(yīng)性免疫的免疫思想，構(gòu)建分層安全防御體系，建立各種機制之間關(guān)聯(lián)與分析方法，可使得各安全組件能夠高效聯(lián)動，在面對已知安全威脅時能夠依據(jù)預(yù)定義策略庫進行快速反制，在面對未知安全威脅時能夠在動態(tài)對抗中形成新的防御方法。

▲圖1 仿生免疫模型

如圖1所示，仿生安全模型宏觀分為受控對象與控制中心兩部分。受控對象為仿生安全系統(tǒng)中保護的目標(biāo)對象，其業(yè)務(wù)功能組件與仿生安全組件高度融合，并內(nèi)置了海量細(xì)粒度感受器與效應(yīng)器等安全組件。在受控對象進行正常業(yè)務(wù)的同時，感受器感知系統(tǒng)運行狀態(tài)并將其上傳至控制中心，效應(yīng)器根據(jù)控制中心的決策產(chǎn)生效應(yīng)行為，對系統(tǒng)的異常狀態(tài)進行及時調(diào)整，以保證受控對象業(yè)務(wù)功能的穩(wěn)定運轉(zhuǎn)?？刂浦行氖欠律踩到y(tǒng)的核心，它可以根據(jù)受控對象上傳的感受向量來研判系統(tǒng)當(dāng)前的安全態(tài)勢，通過兩級安全控制中樞的聯(lián)動配合生成對應(yīng)的效應(yīng)策略，實現(xiàn)對安全威脅的快速反制，并在對抗中進行自我學(xué)習(xí)、自我適應(yīng)。

3.2 模型關(guān)鍵組件描述

3.2.1 受控對象

受控對象為仿生安全系統(tǒng)的底層組件，除常規(guī)的業(yè)務(wù)功能組件之外，還包含感受器R、感受處理器PR、效應(yīng)器E以及效應(yīng)處理器PE等仿生安全組件，以實現(xiàn)仿生安全系統(tǒng)控制架構(gòu)中的感知與效應(yīng)功能。

（1） 感知層面

為實現(xiàn)對受控對象的細(xì)粒度狀態(tài)感知，仿生安全系統(tǒng)結(jié)合受控對象業(yè)務(wù)功能模塊的特異性，在受控對象中部署若干定制化感受器R。感受器負(fù)責(zé)感知系統(tǒng)運行過程中的各種狀態(tài)參數(shù)，如中央處理器（CPU）使用率、內(nèi)存使用率、網(wǎng)絡(luò)連接狀況、函數(shù)參數(shù)、程序執(zhí)行流以及效應(yīng)器行為等，實現(xiàn)對受控對象運行狀態(tài)的細(xì)粒度掌握。

感受器采集的原始狀態(tài)參數(shù)錯綜復(fù)雜，若直接上傳控制中心，不僅會增加傳輸神經(jīng)的數(shù)據(jù)傳輸負(fù)擔(dān)，還會給控制中心造成數(shù)據(jù)處理困難。受控對象中因此設(shè)置了感受處理器PR，以負(fù)責(zé)對各感受器Ri采集的原始感受向量ri(t)進行融合匯聚，并通過處理操作生成感受向量VR(t)，如公式（1）所示。最后感受處理器將感受向量經(jīng)傳入神經(jīng)上傳至控制中心。至此，系統(tǒng)感知工作完成。

預(yù)處理操作的具體流程需要依據(jù)系統(tǒng)的具體業(yè)務(wù)場景需求進行設(shè)計，總體可以概述為如下幾方面：

（a）感受向量分類。為了便于歸一化、融合處理，感受處理器需要對接收到的初始感受向量（依據(jù)感受向量的屬性）進行分類處理。

（b）感受向量融合。感受處理器會對分類后的感受向量進行融合匯聚。借鑒人體神經(jīng)沖動上傳機制中存在的“水潭效應(yīng)”，感受處理器會結(jié)合特異性感受閾值σi來生成感受向量。其中，由于系統(tǒng)的各項狀態(tài)參數(shù)指標(biāo)會隨系統(tǒng)業(yè)務(wù)的進行而發(fā)生變化，感受處理器需要依據(jù)狀態(tài)參數(shù)的變化動態(tài)更新感受閾值，以實現(xiàn)感受層面的自適應(yīng)。

融合匯聚操作可以抽象描述為：

感受向量生成操作可以簡單描述如下：

其中，f(·)表示感受向量融合策略，依賴于類別i中的原始感受向量rj(t)、向量權(quán)重yj(t)；g(·)表示感受向量生成策略，依賴于聚合向量xi(t)和特異性閾值σi。f(·)和g(·)的具體形式要依據(jù)實際需求來設(shè)計。

（c）感受向量編碼。為了便于數(shù)據(jù)傳輸和控制中心分析處理，感受處理器最后會對感受向量進行進一步的編碼處理，如公式（4）所示：

（2） 效應(yīng)層面

為了實現(xiàn)受控對象對安全威脅的快速反制，我們在受控對象中設(shè)置了效應(yīng)安全組件：效應(yīng)處理器PE和效應(yīng)器E。結(jié)合受控對象的具體業(yè)務(wù)，若干效應(yīng)器被放置在仿生安全系統(tǒng)中受控對象的安全薄弱處與業(yè)務(wù)核心區(qū)。當(dāng)系統(tǒng)面對安全威脅時，效應(yīng)器能依據(jù)控制中心的效應(yīng)向量執(zhí)行具體的效應(yīng)行為，調(diào)整受控對象運行狀態(tài)，抵御外來安全威脅。

類似于感知安全組件設(shè)計，效應(yīng)安全組件中還設(shè)置了效應(yīng)處理器，以負(fù)責(zé)解析處理控制中心下發(fā)的效應(yīng)向量。這種做法有利于效應(yīng)器專注自身效應(yīng)行為的執(zhí)行。效應(yīng)處理器的功能具體包括兩個方面：

（a）效應(yīng)向量譯碼。為了便于數(shù)據(jù)的傳輸，控制中心會對效應(yīng)向量進行編碼整合。在接收到效應(yīng)向量后，效應(yīng)處理器首先需要對效應(yīng)向量進行譯碼分析，并將其映射為類似效應(yīng)器的效應(yīng)行為。

（b）效應(yīng)指令分發(fā)。根據(jù)譯碼結(jié)果，喚醒受控對象中相應(yīng)效應(yīng)器并執(zhí)行正確的效應(yīng)行為，可實現(xiàn)對系統(tǒng)的調(diào)控和對安全威脅的快速反制。

3.2.2 控制中心

控制中心是仿生安全系統(tǒng)的核心安全組件，它通過分析受控對象上傳的感受向量來感知系統(tǒng)當(dāng)前的運行狀態(tài)，下發(fā)效應(yīng)策略以指導(dǎo)受控對象反制安全威脅。借鑒人體免疫系統(tǒng)和神經(jīng)系統(tǒng)的工作機理，控制中心采用分層結(jié)構(gòu)，包含低級中樞和高級中樞兩個安全策略中樞。

（1） 低級中樞

低級中樞包含編/解碼器、狀態(tài)感知器SA、效應(yīng)策略庫P和低級中樞處理器L等仿生安全組件，主要負(fù)責(zé)態(tài)勢感知及已知異常狀態(tài)的應(yīng)對處理。其中編/解碼器負(fù)責(zé)對傳輸神經(jīng)上的數(shù)據(jù)進行編/解碼操作；狀態(tài)感知器通過細(xì)粒度感受器采集的感受向量來感知受控對象運行狀態(tài)，并分發(fā)異常狀態(tài)參數(shù)至對應(yīng)的中樞處理器；低級中樞處理器L負(fù)責(zé)處理系統(tǒng)已知異常狀態(tài)，依據(jù)效應(yīng)策略庫中專家預(yù)定義或免疫記憶形成的策略生成效應(yīng)向量，實現(xiàn)對已知安全威脅的快速反制。低級中樞的工作流程可概述如下：

（a）低級中樞接收到受控對象上傳的感受向量VR(t)后，傳入解碼器D，并對其進行如公式（4）所示的逆操作進行解碼，以便后續(xù)狀態(tài)的感知分析。

（b）狀態(tài)感知器SA利用解碼后的感受向量進行態(tài)勢感知。當(dāng)前狀態(tài)s(t)若為已知異常狀態(tài)，則將交由低級中樞處理器L處理；若為未知異常狀態(tài)，則狀態(tài)及相關(guān)參數(shù)均會被上傳至高級中樞處理。

（c）對于已知異常狀態(tài)s(t)，低級中樞處理器L首先通過效應(yīng)策略庫匹配獲取相應(yīng)的策略信息，然后調(diào)用免疫函數(shù)生成效應(yīng)策略，最后通過編碼器編碼生成效應(yīng)向量VE(t+1)。該過程可描述為：

其中，policy(·)為策略匹配函數(shù)，low_immu(·)為初級免疫函數(shù)，相關(guān)參數(shù)包含但不限于系統(tǒng)狀態(tài)s(t)、策略信息p(t)。

（2） 高級中樞

高級中樞負(fù)責(zé)應(yīng)對系統(tǒng)的未知異常狀態(tài)。通過仿生安全系統(tǒng)的免疫函數(shù)和“內(nèi)反饋”機制，高級中樞在動態(tài)對抗中形成面向未知威脅的新型防御策略，包含效應(yīng)行為基A和高級中樞處理器H等仿生安全組件。

效應(yīng)行為基是映射到效應(yīng)器效應(yīng)行為的一組預(yù)定義效應(yīng)行為集合，是高級中樞處理器生成效應(yīng)策略的基礎(chǔ)。其目的是保證受控對象在遭受未知安全威脅時，高級中樞處理器生成的效應(yīng)策略不會危害業(yè)務(wù)的正常運轉(zhuǎn)。若效應(yīng)行為基A={a1,a2,…,am}包含m個預(yù)定義效應(yīng)行為，則高級中樞做出的效應(yīng)策略p(t)可抽象表示為：

其中，xi為效應(yīng)行為ai的權(quán)重系數(shù)。

高級中樞處理器H為高級中樞的核心，負(fù)責(zé)生成應(yīng)對未知威脅的效應(yīng)策略。按照功能劃分，高級中樞可以分為異常分析模塊、策略生成模塊以及免疫記憶模塊。

（a）在高級中樞接收到由低級中樞上傳的異常狀態(tài)數(shù)據(jù)后，異常分析模塊會對感受器采集的狀態(tài)參數(shù)進行分析，以尋找異常狀態(tài)參數(shù)之間的關(guān)聯(lián)，推斷系統(tǒng)異常根源。

（b）結(jié)合異常分析的結(jié)果，策略生成模塊可調(diào)用免疫策略函數(shù)生成效應(yīng)策略，修正系統(tǒng)未知異常狀態(tài)，反制未知安全威脅。其中，免疫策略函數(shù)的核心在于能夠基于效應(yīng)行為基生成有效的效應(yīng)策略，并能夠依據(jù)受控對象的反饋不斷優(yōu)化策略。

（c）免疫記憶模塊負(fù)責(zé)效應(yīng)策略的緩存與更新下發(fā)。抵御未知攻擊是一個動態(tài)對抗的過程。緩存反制過程中的效應(yīng)策略非常有利于更新工作。此外，對于能夠有效反制當(dāng)前未知安全威脅的安全策略，免疫記憶模塊會將其下放至低級中樞，形成免疫記憶，當(dāng)系統(tǒng)再次受到該威脅時能夠?qū)崿F(xiàn)快速反制。

3.3 模型動態(tài)描述

為了更好地描述仿生安全組件之間的關(guān)系和仿生免疫系統(tǒng)的工作機制，我們給出了相關(guān)系統(tǒng)的運行流程圖，如圖2所示。

▲圖2 仿生安全系統(tǒng)執(zhí)行流程圖

在系統(tǒng)業(yè)務(wù)交互過程中，仿生安全感受器持續(xù)對系統(tǒng)運行情況進行感知。與異常狀態(tài)信號對應(yīng)的感受器感知到異常狀態(tài)后，系統(tǒng)將原始參數(shù)傳遞到感受處理器。經(jīng)過感受處理器預(yù)處理、編碼后生成的感受向量，會經(jīng)傳入神經(jīng)傳至控制中樞。在接收到感受向量后，控制中樞首先對其進行解碼與分析，并通過態(tài)勢感知組件對系統(tǒng)安全狀況進研判：若為已知風(fēng)險，低級中樞就會依據(jù)效應(yīng)策略庫直接采取應(yīng)對措施，下發(fā)效應(yīng)向量；若為未知威脅，高級中樞會進行處理。高級中樞處理器根據(jù)異常情況并基于效應(yīng)行為基采取安全策略，下發(fā)效應(yīng)向量，根據(jù)反饋持續(xù)優(yōu)化安全策略。當(dāng)系統(tǒng)恢復(fù)穩(wěn)態(tài)時，高級中樞更新效應(yīng)策略庫，產(chǎn)生免疫記憶。

4 原型系統(tǒng)實現(xiàn)與驗證

4.1 原型系統(tǒng)實現(xiàn)

為驗證理論模型的有效性和可行性，我們基于Web Server設(shè)計構(gòu)建了仿生安全原型系統(tǒng)，如圖3所示。該系統(tǒng)不僅在業(yè)務(wù)功能層面上支持常規(guī)的Web應(yīng)用部署，還融合了仿生安全元素，即在業(yè)務(wù)功能模塊與系統(tǒng)模塊中加入了仿生安全組件，以感知、調(diào)控系統(tǒng)運行狀態(tài)。

▲圖3 仿生免疫系統(tǒng)框架

（1）受控對象層面

為了實現(xiàn)對系統(tǒng)運行期間的應(yīng)用執(zhí)行參數(shù)、系統(tǒng)運行狀態(tài)的感知，原型系統(tǒng)在業(yè)務(wù)功能層面和系統(tǒng)層面分別部署了內(nèi)感受器/效應(yīng)器與外感受器/效應(yīng)器。

內(nèi)感受器與業(yè)務(wù)功能耦合，能夠結(jié)合業(yè)務(wù)應(yīng)用的靜態(tài)分析結(jié)果，定位業(yè)務(wù)組件中具有安全隱患的關(guān)鍵函數(shù)，安插定制化感受器/效應(yīng)器，生成對應(yīng)效應(yīng)安全策略，如圖4所示。在業(yè)務(wù)運行期間，內(nèi)感受器在程序執(zhí)行流層面進行感知，當(dāng)監(jiān)測到關(guān)鍵函數(shù)執(zhí)行“非我”的異常指令時，及時上報控制中心并結(jié)合策略庫的安全策略進行處置。外感受器負(fù)責(zé)感知宏觀層面的系統(tǒng)運行狀態(tài)，如CPU用量、內(nèi)存用量、線程池狀態(tài)、網(wǎng)絡(luò)請求參數(shù)等。結(jié)合控制中心下達的效應(yīng)策略，外效應(yīng)器在系統(tǒng)層面進行調(diào)控，以保證系統(tǒng)穩(wěn)態(tài)運行、業(yè)務(wù)功能正常交互。

▲圖4 內(nèi)感受器的部署流程

（2）控制中心層面

結(jié)合內(nèi)感受器的設(shè)計，控制中心層面實現(xiàn)了相應(yīng)的執(zhí)行流處理器，可負(fù)責(zé)解析內(nèi)感受器采集的感受向量，分析關(guān)鍵函數(shù)的調(diào)用參數(shù)、報錯等信息，調(diào)用靜態(tài)分析階段結(jié)合Web漏洞相關(guān)先驗知識生成的效應(yīng)策略，在執(zhí)行流層面對非法的函數(shù)執(zhí)行進行快速攔截，阻止已知安全威脅的攻擊進程。

4.2 系統(tǒng)測試

4.2.1 測試環(huán)境

實驗測試環(huán)境的網(wǎng)絡(luò)拓?fù)淙鐖D5所示。常規(guī)系統(tǒng)與仿生免疫系統(tǒng)的硬件配置相同，均為Ubuntu 20.04操作系統(tǒng)、8核Intel Core 2 Duo T7700處理器、8 GB內(nèi)存。其中，仿生免疫系統(tǒng)是以常規(guī)系統(tǒng)為基礎(chǔ)改造而成的，兩系統(tǒng)均運行相同的Web業(yè)務(wù)應(yīng)用。攻擊模擬設(shè)備為MacBook Pro（14-inch，2021），該設(shè)備配有Apple M1 Pro處理器、32 GB內(nèi)存。

▲圖5 實驗測試環(huán)境的網(wǎng)絡(luò)拓?fù)?/p>

4.2.2 性能開銷

融合神經(jīng)與免疫機理的仿生安全系統(tǒng)會在業(yè)務(wù)系統(tǒng)中部署感受器和效應(yīng)器等仿生安全組件。相較于常規(guī)系統(tǒng)，仿生安全系統(tǒng)會造成額外的性能開銷。為了探究仿生安全組件對業(yè)務(wù)的影響，我們測試了運行相同業(yè)務(wù)的常規(guī)系統(tǒng)和仿生安全系統(tǒng)的平均性能開銷，結(jié)果如表1所示?？梢钥闯?，相較于常規(guī)系統(tǒng)，仿生安全系統(tǒng)的CPU占用率、內(nèi)存用量以及業(yè)務(wù)響應(yīng)時間均有所增加，但沒有對系統(tǒng)業(yè)務(wù)造成影響。

▼表1 兩種系統(tǒng)的性能開銷對比

4.2.3 已知威脅反制

仿生安全系統(tǒng)的效應(yīng)策略庫記錄了一些安全威脅的反制措施。當(dāng)受控對象受到這些已知安全威脅入侵時，仿生安全系統(tǒng)能夠快速應(yīng)對，保證業(yè)務(wù)的正常運行。為了檢測仿生安全系統(tǒng)對于已知威脅的防御效果，我們在系統(tǒng)中部署了漏洞靶場WebGoat和一些存在已知漏洞的業(yè)務(wù)，漏洞清單如表2所示。此外，我們還部署了一些無漏洞的業(yè)務(wù)，用于測試系統(tǒng)的誤報率。經(jīng)過攻擊腳本的攻擊測試后，仿生安全系統(tǒng)對已知安全威脅的防護效果如表3所示。

▼表2 測試漏洞清單

▼表3 已知安全威脅測試結(jié)果

4.2.4 未知威脅反制

面對效應(yīng)策略庫未曾記錄的未知安全威脅，仿生安全系統(tǒng)的高級中樞能夠基于效應(yīng)行為基做出效應(yīng)策略，并根據(jù)感受器的反饋信息不斷調(diào)整優(yōu)化。結(jié)合原型系統(tǒng)的Web業(yè)務(wù)場景，我們通過壓力測試軟件JMeter來模擬業(yè)務(wù)系統(tǒng)DoS攻擊，檢驗仿生安全系統(tǒng)的未知安全威脅防御能力。

我們采用不同的壓力測試線程數(shù)來模擬不同的DoS攻擊強度，分別對運行有相同業(yè)務(wù)組件的常規(guī)系統(tǒng)和仿生安全系統(tǒng)進行每組100 s的壓力測試。業(yè)務(wù)系統(tǒng)的平均響應(yīng)時間如表4所示。當(dāng)測試線程數(shù)為40時，請求強度處于系統(tǒng)的正常業(yè)務(wù)范圍中，仿生安全系統(tǒng)的響應(yīng)相較于常規(guī)系統(tǒng)有所延遲。這是由于安全組件會造成一定的性能損耗。當(dāng)測試線程數(shù)達到80時，業(yè)務(wù)系統(tǒng)處于異常狀態(tài)，常規(guī)系統(tǒng)的業(yè)務(wù)功能受到影響，響應(yīng)時間大幅增加，而仿生安全系統(tǒng)的業(yè)務(wù)功能未受到明顯影響。這說明高級中樞做出了有效的效應(yīng)策略，糾正了系統(tǒng)的異常狀態(tài)。

▼表4 系統(tǒng)平均響應(yīng)時間

壓力測試過程中，仿生安全系統(tǒng)的業(yè)務(wù)功能響應(yīng)時間變化如圖6所示。從圖中可以看出，當(dāng)系統(tǒng)遭受未知攻擊并處于異常狀態(tài)時，控制中心的效應(yīng)策略存在調(diào)整優(yōu)化過程。此過程中系統(tǒng)的業(yè)務(wù)功能會受到攻擊的影響。當(dāng)效應(yīng)策略行而有效時，高級中樞會將其下放到效應(yīng)策略庫中，以便當(dāng)再次面對此攻擊時，能夠更快速地采取正確的效應(yīng)措施，保證系統(tǒng)的穩(wěn)態(tài)運轉(zhuǎn)。

▲圖6 仿生安全系統(tǒng)響應(yīng)時間

4.3 實驗結(jié)論

依據(jù)仿生安全理論模型的設(shè)計思想，我們構(gòu)建了具有Web Server功能的仿生安全原型系統(tǒng)，并結(jié)合相關(guān)測試樣例對系統(tǒng)的性能開銷、已知威脅反制能力以及未知威脅反制能力進行了測試。實驗結(jié)果驗證了融合神經(jīng)與免疫機理的仿生安全模型的可行性、安全性，在性能開銷方面該模型仍然具有改進空間。

5 結(jié)束語

借鑒神經(jīng)系統(tǒng)中“感知-策略-效應(yīng)-反饋”的體系架構(gòu)以及免疫系統(tǒng)的免疫機制，本文提出了一種融合神經(jīng)與免疫機理的仿生安全理論模型，將安全體系與信息系統(tǒng)深度融合，構(gòu)建了具有自主防御能力的新型仿生免疫系統(tǒng)，并基于該模型設(shè)計實現(xiàn)了仿生安全原型系統(tǒng)。相關(guān)實驗驗證了融合神經(jīng)與免疫機理的仿生安全理論模型的有效性與可行性。

本文提出的仿生安全模型是一種宏觀的主動安全框架。后續(xù)的研究工作還需要結(jié)合具體的場景，構(gòu)建更加細(xì)化的組件設(shè)計與系統(tǒng)實現(xiàn)。此外，歸納總結(jié)免疫算法、引入人工智能方法均有助于實現(xiàn)系統(tǒng)安全策略的自適應(yīng)配置與優(yōu)化。