基于免疫的網絡環境威脅變化感知與動態風險控制研究

◆朱俊霏 亢碩 李璞 賴鳳麟

（中國電子科技集團公司第三十研究所 四川 610041）

2002年國際著名學者Staniford曾經描述了一種能在30秒內對全球互聯網發起攻擊的網絡蠕蟲[1]。一項來自中國信息安全重點實驗室的統計資料顯示，全世界惡意代碼已超過1,100萬個，而且70%的惡意代碼能夠竊取機密信息，2015年增加到2.33億個，每小時會有26,598個新病毒需要處理。另一項來自國家互聯網應急中心的資料顯示，僅2014年上半年，中國境內625萬臺電腦感染了木馬病毒；境外的1.9萬臺主機，控制了我國境內619萬臺電腦，同比2013年增加10.2%。專家稱我國面臨嚴重的境外網絡攻擊威脅，信息安全狀況不容樂觀[2]。

在真實的網絡環境下，網絡外部環境異常復雜、尖銳，瞬息萬變。顯然，采取一成不變、被動的防御策略，非常危險。采取積極主動的、能依據外部網絡環境威脅變化主動調整防御策略的網絡安全防御方法才是正解，其中的關鍵是要及時了解當前網絡外部環境的威脅變化，沒有及時、準確的網絡外部環境的威脅變化分析，也就無法及時制定出有針對性的網絡安全防御策略，從而喪失網絡防御中的主動權，從而陷入被動防御的不利局面[3]。

受生物免疫系統的啟發，研究一種基于免疫的網絡外部環境威脅變化實時定量感知與風險控制的理論模型及實現技術[4]，用以提高網絡安全防御系統的自適應能力，因而及時掌握當前網絡安全的總體態勢，靈活地依據當前網絡環境威脅的變化采取不同的、有針對性的防御策略，能有效提高網絡的整體安全性[5]。

1 基于免疫的網絡環境威脅變化感知與動態風險控制系統原理分析

基于分布式和免疫的網絡環境威脅變化感知與動態風險控制系統的體系架構、工作機理及實現技術等。主要包括以下幾個方面內容：

1.1 系統的體系架構及實現策略

為了能夠感知宏觀網絡的環境威脅和風險值，需要逐級感知網絡環境中主機、子網、區域網絡直至整體網絡的威脅及風險，以及基于免疫agent（Immune Agent，IA）的分布式體系架構。

1.2 系統的實現

系統主要包括網絡威脅發現模塊，網絡環境威脅變化感知模塊，動態風險控制模塊，其中網絡威脅發現模塊包括特征空間劃分模塊、抗原特征提取模塊、自體動態演化模塊、檢測器生成模塊以及檢測器匹配模塊[6]；網絡環境威脅變化感知模塊包括網絡資產評估模塊、網絡攻擊危險性評估模塊、抗體濃度計算模塊、風險計算模塊、攻擊日志記錄模塊以及風險日志記錄模塊[7]；動態風險控制模塊包括防御分析模塊、防御策略調整模塊、風險控制模塊以及知識庫[8]。

1.3 系統的部署方式

系統的部署方式采取傳感器網絡的基本架構來實現整個系統在目標網絡上的部署：首先在目標主機上部署一系列的主機威脅感知與風險控制器（主機免疫agent），在網關上部署一個網絡威脅感知與風險控制中心（網絡免疫agent），所有這些部署在網絡中不同地方的免疫agent共同作用，通過逐級感知計算網絡環境中主機、子網、區域網絡直至整體網絡的威脅及量化的風險值[9]，并通過該風險值動態調整主機、網絡的防御策略，從而組成一個分布式的網絡環境威脅變化感知與動態風險控制系統。

2 基于免疫的網絡環境威脅變化感知與動態風險控制系統構建

2.1 系統的架構

基于免疫的網絡環境威脅變化感知與動態風險控制系統采用基于免疫agent（Immune Agent，IA）、分布式的體系架構來構建[10]。首先利用面向對象的基本思想對網絡和主機進行抽象和封裝，將主機看成是一個網絡最基本的單位，或者說最簡單的一種網絡（只有一臺機器），進而統一宏觀網絡、區域網絡、子網、以及主機的威脅感知與風險控制系統的基本形式，這樣做的好處是：邏輯、概念清晰，對面向主機和面向網絡的系統均可采取同樣的實現方式。

具體做法是將網絡威脅感知與風險控制系統封裝成一個對象，并用免疫agent的思路去實現，關于免疫agent的具體實現方法，國內外已有一些研究，茲不贅述。我們把這種部署在主機上的免疫agent稱作主機免疫agent，把部署在網關上的免疫agent稱作網絡免疫agent（有時候我們又將其稱為網絡威脅感知與風險控制中心），它們均具有兩個同樣的功能：（1）網絡環境威脅感知，（2）動態風險控制。所不同者，主機免疫agent主要針對單個的主機，網絡免疫agent主要針對整個網絡，包括其管轄的所有主機和子網。

圖1是該系統體系架構示意圖，圖中的免疫agent可能是主機免疫agent或網絡免疫agent，分別對應主機或子網的威脅感知與風險控制。如前所述，所謂網絡環境威脅感知，其主要工作是對網絡或主機當前面臨攻擊時的動態風險進行實時定量的評估，其中，主機動態風險評估的主要依據是主機正在遭受的攻擊，而網絡風險評估的主要依據是其中的每個節點（包括主機和子網）的動態風險，以及每個節點在網絡中的重要性等。所謂動態風險控制，其主要工作是依據網絡或主機的當前網絡環境威脅風險等級指標動態調整其防御策略、進行有針對性的防御，以達到控制風險的目的。其中，主機動態風險控制策略主要針對主機，而網絡動態風險控制策略主要針對網絡。簡單地說，就是主機控制主機的風險，網絡控制網絡的風險，這樣分別同時進行，以達到迅速控制整個網絡系統安全風險的目的。

圖1基于免疫的網絡環境威脅變化感知與動態風險控制體系架構

2.2 系統的實現

基于免疫的網絡環境威脅變化感知與動態風險系統，如下圖2所示，主要包括管理層、通信層、處理層、和硬件層（專用高速網絡處理平臺）等部分組成。通過基于免疫的網絡環境感知與動態風險控制系統可實時定量地刻畫宏觀網絡、區域網絡、子網、以及主機等面臨某一種攻擊以及所有攻擊的單一風險以及整體綜合風險，并能依據當前網絡面臨的風險等級主動調整相應的防御策略，進行有針對性的防御。

圖2基于免疫的網絡環境威脅變化感知與動態風險系統體系架構圖

2.3 系統的部署

基于免疫的網絡威脅變化感知與動態風險控制系統在具體部署時，我們采取傳感器網絡的基本架構來實現整個系統在目標網絡上的部署：首先在目標主機上部署一系列的主機威脅感知與風險控制器（主機免疫agent），在網關上部署一個網絡威脅感知與風險控制系統（網絡威脅感知與風險控制中心，簡稱網絡免疫agent），所有這些部署在網絡中不同地方的免疫agent共同作用，從而組成一個分布式的網絡環境威脅變化感知與動態風險控制系統，圖3是該系統的一個典型應用部署場景。

圖3典型應用部署場景

3 總結

由于缺乏實時定量的網絡外部環境威脅變化感知方法，傳統網絡安全防御策略的制定基本上都是依據對網絡過去的安全事件的一個大致描述，從而導致現階段只能依據歷史經驗來進行被動防御：按照過去的經驗或教訓采取一種或幾種固定的安全手段作為相應的防護措施。這種安全方案在很大程度上僅針對固定的威脅和環境弱點，具有較大的盲目性和被動性，不能適應日益復雜、多變、矛盾尖銳的真實網絡環境。

對此，研究一種新的、基于網絡環境威脅變化的網絡動態風險控制方法，通過網絡環境威脅變化感知、動態風險控制策略知識庫、動態風險控制引擎等一系列的創新，解決了傳統網絡安全防御系統不能“依據當前網絡環境威脅變化進行主動、有針對性的防御”這一長期困擾國內外網絡安全專家的技術難題，極大地提高了網絡系統在復雜應用環境下的生存能力。該項成果，對建立一種新的、積極主動的網絡安全防御系統，掌握網絡防御中的主動權，改變傳統網絡安全系統的被動防御局面等方面具有十分重要的理論意義和實際應用價值。