◆賈佳

（空軍裝備部信息保障室 北京 100000）

網(wǎng)絡(luò)外部環(huán)境威脅變化感知與風(fēng)險(xiǎn)控制是網(wǎng)絡(luò)安全防御策略制定的基本依據(jù)。當(dāng)前，由于缺乏實(shí)時(shí)定量的網(wǎng)絡(luò)外部環(huán)境威脅變化感知與風(fēng)險(xiǎn)控制方法，國(guó)內(nèi)外現(xiàn)有網(wǎng)絡(luò)安全防御策略的制定基本上都是依據(jù)對(duì)網(wǎng)絡(luò)過(guò)去的安全事件的一個(gè)大致描述，從而導(dǎo)致現(xiàn)階段只能依據(jù)歷史經(jīng)驗(yàn)來(lái)進(jìn)行被動(dòng)防御：按照過(guò)去的經(jīng)驗(yàn)或教訓(xùn)采取一種或幾種固定的安全手段作為相應(yīng)的防護(hù)措施[1]。這種安全方案在很大程度上僅針對(duì)固定的威脅和環(huán)境弱點(diǎn)，并且忽略了Ⅰnternet 安全的重要特征，即Ⅰnternet 安全沒(méi)有固定的過(guò)程和方法，所謂“道高一尺，魔高一丈”，它是矛與盾的無(wú)限循環(huán)。安全不是一朝之事，幻想一勞永逸的解決方案非常危險(xiǎn)，安全是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程[2]。這種基于歷史經(jīng)驗(yàn)、固定、靜態(tài)的傳統(tǒng)網(wǎng)絡(luò)安全防御策略，用句不太恰當(dāng)?shù)谋扔鱽?lái)說(shuō)，幾乎都是“摸著石頭過(guò)河”、“紙上談兵”、“事后諸葛亮”等，或者說(shuō)具有較大的盲目性和被動(dòng)性，不能適應(yīng)日益復(fù)雜、多變、矛盾尖銳的真實(shí)網(wǎng)絡(luò)環(huán)境，必須尋求新的思路。

受生物免疫系統(tǒng)的啟發(fā)，研究基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)方法，能實(shí)時(shí)定量地計(jì)算宏觀網(wǎng)絡(luò)、區(qū)域網(wǎng)絡(luò)、子網(wǎng)、以及網(wǎng)絡(luò)中任意主機(jī)面臨某一種攻擊時(shí)的單一風(fēng)險(xiǎn)，以及面臨所有攻擊時(shí)的整體綜合風(fēng)險(xiǎn)等指標(biāo)，并可隨真實(shí)網(wǎng)絡(luò)環(huán)境同步動(dòng)態(tài)演化，在此基礎(chǔ)上，可依據(jù)當(dāng)前網(wǎng)絡(luò)環(huán)境威脅風(fēng)險(xiǎn)等級(jí)指標(biāo)等主動(dòng)調(diào)整當(dāng)前系統(tǒng)的防御策略，進(jìn)行有針對(duì)性的防御，有效控制當(dāng)前網(wǎng)絡(luò)、以及主機(jī)面臨攻擊時(shí)的動(dòng)態(tài)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)系統(tǒng)在復(fù)雜應(yīng)用環(huán)境中的生存能力。

1 基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)原理分析

本文的研究思路是依據(jù)免疫系統(tǒng)基本原理，提出研究一種新的基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)模型。如圖1 所示，我們?cè)诰唧w研究時(shí)將計(jì)算機(jī)免疫系統(tǒng)抽象為人體免疫系統(tǒng)，具體地，我們將ⅠP 包抽象為抗原，將自體抽象為合法的網(wǎng)絡(luò)活動(dòng)或數(shù)據(jù)，非自體抽象為非法的網(wǎng)絡(luò)活動(dòng)或數(shù)據(jù)，將免疫細(xì)胞抽象成入侵檢測(cè)系統(tǒng)中的檢測(cè)器，將抗體抽象成相應(yīng)的匹配器，抗體對(duì)抗原的捕獲抽象為入侵檢測(cè)，于是，相應(yīng)的威脅發(fā)現(xiàn)工作即為對(duì)一個(gè)輸入的抗原集合Ag，通過(guò)免疫檢測(cè)器B 分類(lèi)為自體和非自體的過(guò)程[3-4]。

圖2 是基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)的工作原理。在檢測(cè)器的進(jìn)化過(guò)程中，根據(jù)檢測(cè)器自身的演變分為未成熟檢測(cè)器、成熟檢測(cè)器以及記憶檢測(cè)器三類(lèi)。其中，新生成的未成熟檢測(cè)器經(jīng)過(guò)自體耐受后進(jìn)化為成熟檢測(cè)器。成熟檢測(cè)器在一定生命周期內(nèi)匹配到一定數(shù)目的非自體抗原就會(huì)被激活而進(jìn)化為記憶檢測(cè)器，否則由于年齡過(guò)大而死亡[5-6]。

圖1 人體免疫與網(wǎng)絡(luò)安全基本概念對(duì)照表

模型的工作流程由三部分組成，一部分是檢測(cè)器識(shí)別入侵的過(guò)程（由上至下，對(duì)應(yīng)抗原的演化）；另一部分是檢測(cè)器進(jìn)化過(guò)程（由下至上）；第三部分是疫苗的分發(fā)與接種機(jī)制。三個(gè)過(guò)程相互影響、相互制約，并同時(shí)進(jìn)行[7]。

2 基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)模型構(gòu)建

2.1 成熟檢測(cè)器的動(dòng)態(tài)演化

成熟檢測(cè)器動(dòng)態(tài)演化模型模擬BⅠS 的初次應(yīng)答，其中主要的依據(jù)為模擬免疫系統(tǒng)的克隆選擇原理?？寺∵x擇機(jī)制形成模型的學(xué)習(xí)能力，學(xué)習(xí)檢測(cè)未知攻擊或病毒的能力，其具體方法為：

該方程可以進(jìn)化為記憶檢測(cè)器（以期下次類(lèi)似攻擊來(lái)臨時(shí)能夠迅速捕獲），否則，將走向死亡Tdead（t），被新生的成熟檢測(cè)器Tnew（t）（=Ⅰmaturation（t））所代替[8-9]，其中：

2.2 記憶檢測(cè)器的動(dòng)態(tài)演化

記憶檢測(cè)器的激活與克隆機(jī)制模擬BⅠS 的二次應(yīng)答，二次應(yīng)答無(wú)須學(xué)習(xí)過(guò)程，具有快速捕獲已知攻擊或病毒的特點(diǎn)[10]：

其中M（t），M（t-1）分別表示t時(shí)刻與t-1 時(shí)刻的記憶檢測(cè)器集合；Mfirst是最初的記憶檢測(cè)器，這些記憶檢測(cè)器可以從其他的入侵檢測(cè)系統(tǒng)或者病毒檢測(cè)系統(tǒng)獲得（如典型攻擊、病毒的特征碼等）；Mdead(t)是t時(shí)刻發(fā)生錯(cuò)誤肯定的記憶檢測(cè)器，必須及時(shí)清除，以避免免疫系統(tǒng)攻擊自身；Mnew（t）（=Tcloned（t））為新生的記憶檢測(cè)器。

2.3 基于抗原變化觸發(fā)的免疫檢測(cè)器動(dòng)態(tài)更新方法

抗原更新方法的基本流程如圖1 所示：首先查找覆蓋范圍內(nèi)發(fā)生了抗原變化的網(wǎng)格單元的集合Vcell；其次對(duì)于Vcell中的每一個(gè)網(wǎng)格celli，分別調(diào)整由自體變?yōu)榉亲泽w，以及由非自體變?yōu)樽泽w的兩類(lèi)抗原在層次聚類(lèi)樹(shù)中的聚類(lèi)節(jié)點(diǎn)；重新訓(xùn)練與受調(diào)整聚類(lèi)節(jié)點(diǎn)在同一聚類(lèi)層的檢測(cè)器。由于該檢測(cè)器更新過(guò)程避免了對(duì)全部檢測(cè)器的重復(fù)訓(xùn)練，因此能夠有效地提高檢測(cè)器的更新效率。接下來(lái)詳細(xì)介紹對(duì)于網(wǎng)格單元內(nèi)的檢測(cè)器的更新過(guò)程。

對(duì)于網(wǎng)格celli，其內(nèi)部的自體改變包含兩部分：由非自體變?yōu)樽泽w的抗原集合為Sns，以及由自體變?yōu)榉亲泽w的抗原集合為Ssn。一方面需要?jiǎng)h除覆蓋Ssn中新自體抗原的舊檢測(cè)器，另一方面我們需要補(bǔ)充新的檢測(cè)器以覆蓋Sns中新產(chǎn)生的非自體抗原。

首先用新產(chǎn)生的非自體集合Ssn更新檢測(cè)器，采用自頂向下的方式查找層次聚類(lèi)樹(shù)，對(duì)于第j個(gè)聚類(lèi)其父聚類(lèi)編號(hào)為i，n為聚類(lèi)總個(gè)數(shù)，令中包含的原自體集合為Scj，從自體變?yōu)榉亲泽w的成員組成的集合為Sns_cj。

然后用新產(chǎn)生的自體集合Sns更新檢測(cè)器，同樣采用自頂向下的方式查找層次聚類(lèi)樹(shù)，對(duì)于第j個(gè)聚類(lèi)其父聚類(lèi)編號(hào)為i，n為聚類(lèi)總個(gè)數(shù)，令滿(mǎn)足下式的Sns的子集為Ssn_cj

2.4 疫苗分發(fā)與接種

為迅速提高整個(gè)系統(tǒng)識(shí)別類(lèi)似網(wǎng)絡(luò)入侵的效率，本項(xiàng)研究還提出了一種疫苗接種方法：當(dāng)成熟檢測(cè)器遇抗原產(chǎn)生克隆時(shí)（匹配足夠抗原，發(fā)現(xiàn)新的網(wǎng)絡(luò)入侵，進(jìn)化為新的記憶檢測(cè)器），該檢測(cè)器克隆同時(shí)被發(fā)送到網(wǎng)絡(luò)中所有其他機(jī)器上并直接作為記憶檢測(cè)器（疫苗），以迅速使其他機(jī)器具備抵御類(lèi)似網(wǎng)絡(luò)入侵的能力。

3 總結(jié)

在網(wǎng)絡(luò)威脅自適應(yīng)發(fā)現(xiàn)方面，本項(xiàng)研究最大的創(chuàng)新在于提出了一種新的、基于免疫的網(wǎng)絡(luò)威脅自適應(yīng)發(fā)現(xiàn)方法，通過(guò)設(shè)置自體的演化周期，從網(wǎng)上自然收集新的自體元素，同時(shí)淘汰那些已無(wú)太多用處的自體元素，并引入基于層次聚類(lèi)的免疫檢測(cè)器動(dòng)態(tài)耐受這一新概念，巧妙地將變與不變有機(jī)地統(tǒng)一起來(lái)，從而使自體的定義達(dá)到了與真實(shí)網(wǎng)絡(luò)世界隨時(shí)間同步動(dòng)態(tài)演化的目的。