類生物免疫機制的網絡安全架構

于全，任婧，李穎，張偉

（1.鵬城實驗室，廣東深圳 518040；2.東南大學網絡空間安全學院，江蘇南京 211189）

1 引言

互聯網自20世紀90年代以來，經歷了近30年的爆發式增長，并且與移動通信、衛星通信、物聯網（Internet of Thing, IoT）等不斷融合，其規模、邊界和應用在不斷擴展。未來網絡將呈現天空地一體化異構組網，千億萬億量級終端接入以及海量傳感數據采集分發等特征。未來網絡結構將更加復雜，業務類型更加多樣，應用場景更加多變。以5G、物聯網、工業網互聯網、衛星互聯網為代表的“數字新基建”已成為國家未來發展的重點方向。與此同時，網絡安全與隱私保護面臨的挑戰也日益突出[1]。因此，國家網絡空間安全戰略提出要筑起網絡安全防線，避免關鍵信息基礎設施遭受破壞，保護信息服務與用戶數據安全。

2 網絡安全的挑戰

互聯網設計之初是基于友好環境下的科研協作，默認所有用戶都是可信的和固定的，缺乏對網絡安全、數據安全和移動安全的考慮[2]。由于互聯網安全基因先天不足，導致多年來重大網絡安全事件頻發。例如，2016年Mirai病毒劫持物聯網設備發起大規模分布式拒絕服務攻擊（Distributed Denial of Service, DDoS），導致了美國東海岸長達6個多小時的大規模網絡癱瘓。2017年WannaCry、NotPetya和BadRabbit三大勒索軟件導致了150個國家、30萬用戶和企業受到攻擊，波及到金融、能源、醫療和高校等眾多行業。2019年，中國國家計算機網絡應急技術處理協調中心在我國境內監測發現近19萬個被篡改網站、8萬余個被植入后門網站，處置網絡安全事件約11萬件[3]。另外，隨著與移動通信、衛星通信、物聯網等異構網絡的不斷融合，未來互聯網的新特性將給網絡安全防護帶來更多挑戰[4]。

復雜性—未來網絡立體異構組網、千億終端接入、海量數據采集等特征，帶來了巨大的復雜性和不確定性，同時工業物聯網、智能網聯車、智慧城市等新應用場景對網絡安全更加敏感，網絡攻擊的危害也更加嚴重。

開放性—天空地一體化發展，擴展了業務能力和靈活性，但更容易受到網絡攻擊的威脅。對用戶開放自定義業務調度功能，也會使得惡意第三方更有可能獲得網絡操控權。

大連接—萬物互聯的IoT設備帶來大連接、永遠在線的需求，更容易被DDoS攻擊劫持利用，而為IoT設備配置復雜的安全策略又會大幅增加能耗。智能網聯車等對信任要求很高的場景，身份認證需求有可能引發信令風暴，從而嚴重影響時延性能。

開源化—隨著網絡新應用的快速增加，對第三方的開源基礎庫依賴日益增加，一旦開源軟件存在安全漏洞，所造成的危害將是級聯式的。

3 網絡安全問題的根源

不斷涌現的安全事件以及未來互聯網的新特性對網絡安全的需求充分說明，以傳統的“老三樣”，即防火墻、入侵檢測和病毒查殺為代表的靜態防御手段，無法應對未知安全攻擊和內部攻擊。近年來發展起來的蜜罐、蜜網、移動目標防御（Moving Target Network Defense）等方法，雖然可以應對某些未知攻擊手段，但同時也是以犧牲網絡的開放性、通用性和可用性為代價的。

上述網絡安全面臨的挑戰，其主要根源來自兩個方面：網絡架構設計的缺陷以及網絡運行環境本身的復雜性和多樣性。

（1）互聯網架構設計主要目標是互通性、擴展性和易用性，沒有或很少考慮安全性。網絡地址和用戶身份綁定（名址不分）造成事實上的用戶匿名上網，控制面和業務面不分導致網絡可管可控困難，網絡安全防護只能靠“打補丁、堵漏洞”的方式來勉強支撐。這些問題的解決需要通過引入名址分離、實名認證入網以及基于“網絡孿生”的數據隱私保護等機制來構建具有內生安全的網絡架構[5]。

（2）網絡實際運行環境多種多樣，面臨著巨大的復雜性和不確定性。在一個管理域內，網絡設施和信息系統生態鏈參與方眾多，軟硬件設備品種和數量很大，使得網絡運轉充滿了不確定性和各種缺陷，很難從根本上消除這種安全隱患。傳統確定性思維的工程設計方法無法克服這些問題，需要尋找顛覆性的全新解決方法。

與網絡安全防護系統阻止惡意攻擊危害信息系統類似，生物免疫系統同樣起著阻止病原微生物入侵、抑制其繁殖、解除其毒性以及殺滅病原體的作用。因此，成體系借鑒生物免疫系統的運行機理，采用科學平衡的安全觀來構建類生物免疫的網絡安全動態防御系統，有可能成為一種突破網絡安全困境的有效途徑。

4 生物免疫機制的啟示

復雜生物通過數億年的演化，發展出了一套精妙的機制來維持體內生存代謝與抵御入侵的動態平衡。通過全面梳理人體免疫學原理，本文獲得四點啟示。

（1）生物免疫系統的調節機制

生物免疫系統持續監測身體運行狀況，一方面保持有效的免疫應答隔離清除病原體，另外一方面還要盡力避免出現免疫系統過激反應傷害健康細胞和組織，這個過程稱為免疫調節[6]。如圖1所示，通過監測病原體、被感染細胞、被感染區域的免疫細胞和其他細胞分泌的各種物質，免疫系統通過多元信號綜合分析判斷病原體的威脅程度。如果危害較大，免疫系統通過分泌正向調節分子（Positive Regulator）從身體各處招募更多的免疫細胞投入戰斗。同時，免疫系統也會小心地分泌負向調節分子（Negative Regulator）來避免身體因過激免疫應答而出現自身免疫疾病（Autoimmune Disorders）、過敏反應（Hypersensitivities）或者慢性炎癥（Chronic Inflammatory）[7]，從而讓生物體維持在一個動態平衡過程中。

網絡安全啟示之一：生物免疫系統采取了與缺陷共生、與風險共存，只要“足夠好”、不求“趕盡殺絕”的適者生存原則，在面對不斷變異的病原體時，一般都能較好保護生物種群的持續生存發展。

圖1 免疫調節

（2）生物免疫系統的防御體系

人體免疫系統可以分為先天性免疫系統（Innate Immunity）和適應性免疫系統（Adaptive Immunity）兩大類，共同組成的四道防線。其中，先天性（固有）免疫系統包括皮膚與粘膜的隔離性防護，以及由吞噬細胞等形成的非特異性（廣譜性）防護[8,9]；適應性（獲得）免疫系統包括T細胞的自適應特異性應答，以及B細胞的隨機變異學習生成“抗體”的特異性精準應答[10,11]。

具體來說，由皮膚和黏膜組成的第一道防線能夠阻止大部分病原體進入生物體，皮膚表面的分泌物中包含的抗菌分子還能殺死病菌。如圖2所示，在病原體進入生物體后，作為第二道防線的非特異性免疫細胞將做出響應。先天免疫細胞表面的Toll樣受體，能夠識別那些人體中沒有、存在于病原微生物中的相關分子模式。先天免疫細胞在識別出病原體相關分子模式后將被激活，并立刻做出響應。比如，自然殺傷細胞通過破壞入侵病原體的細胞壁殺死細胞，巨噬細胞和中性粒細胞則吃掉細菌將其分解，同時分泌信號分子，促進炎癥反應。通過對病原體以及受感染程度的分析，先天免疫系統的各環節彼此協作共同確認感染正在發生以及感染發生的位置，免疫細胞和分子從各處趕來，共同對抗病原體[12]。同時，以樹突細胞為代表的抗原提呈細胞提取病原體特征（即抗原分子）后，前往淋巴結，把抗原分子呈遞給適應性免疫系統進行分析。

圖2 先天性免疫

大部分情況下，先天免疫系統足以應對入侵的病原體。當入侵病原體非常狡猾或者數量非常巨大時，在抗原分子和共刺激信號的共同作用下，將徹底激活適應性免疫系統，針對該感染發起精確打擊[10]。如圖3所示，適應性免疫系統有兩道防線，其中一道防線將激活效應T細胞（細胞毒性T細胞）來追蹤并摧毀任何被病毒或特定細菌感染的人體細胞，從而實現快速的阻斷隔離。

圖3 適應性免疫

另外一道防線則會通過隨機變異、篩選增殖來激活效應B細胞分泌特異性極高的抗體，與特定抗原結合，阻斷病原體活性，并在病原體上留下標記，使得先天免疫細胞（比如巨噬細胞）能夠識別、消滅這些病原體[13,14]。

網絡安全啟示之二：網絡安全防御也可分為靜態防御和動態防御兩大類，共同形成四道防線。其中，靜態防御系統包括物理或邏輯隔離，以及通用的入侵檢測與病毒查殺；動態防御系統包括基于網絡安全態勢的自適應阻斷隔離，以及基于生成對抗學習的特定威脅精準響應。借鑒生物免疫系統的運行機理，本文可以構建全新的類生物免疫網絡安全架構。

（3）“人工疫苗”與“網絡疫苗”

疫苗是人類對抗病毒攻擊的關鍵手段。通過有控制地向身體引入外源物質（疫苗），激發適應性免疫系統，形成抗體和免疫記憶，從而抵御未來可能出現的病原體。在實驗室環境中，通過培育滅活疫苗、減毒活疫苗、重組蛋白疫苗、核酸疫苗、重組病毒載體疫苗等，人類可以加速自身免疫系統的演化，使得身體能夠更有效地應對病原體的快速變化[11,13,15]。

網絡安全啟示之三：通過在平行伴生網絡（Parallel Adjoint Network, PAN）中加載高強度的人工智能（Artificial Intelligence, AI）攻擊，加速攻防對抗學習生成“網絡疫苗”的進程，有可能預先獲得“未知”攻擊的防御方法，為受保護網絡（Protected Network, PN）提供自適應防護能力。

（4）淋巴B細胞生成“抗體”機制

B細胞采取“粗細隨機變異、正反篩選增殖”的策略，通過基因組的隨機性重排，合成多種多樣的抗原受體；如果被抗原激活（粗選），就會遷移到淋巴結發育成熟，經歷更快速、更細微的突變過程（細選），受體與抗原結合得越緊密，就會捕獲更多的抗原，有更多機會被篩選出來增殖，進行更多次循環變異微調，直到產生與抗原結合得嚴絲合縫的特異性“抗體”（正向篩選）。然而，B細胞在成熟過程中還必須經過另外一個的篩選環節，就是通過與自身抗原接觸淘汰對自體細胞有害的淋巴細胞。如果對自身抗原應答，就把基因編輯成調控細胞。如果對自身抗原反應過于激烈，就會選擇自殺（反向篩選）[11,16]。

網絡安全啟示之四：生物免疫系統“粗細隨機變異、正反篩選增殖”機制是應對未知攻擊有效而平衡的手段。本文可以借鑒免疫細胞產生抗體的原理，基于平行伴生網絡（PAN）來構建應對未知網絡攻擊的對抗學習機制，實現網絡防御體系攻防雙方的持續動態平衡。

5 類生物免疫機制的網絡安全架構

下面基于這些生物免疫學啟示，提出適應不確定威脅環境、具備動態演化能力的網絡安全防護系統運行機理，并設計通用安全防護系統架構。

5.1 科學平衡的安全觀

生物免疫系統與網絡安全系統一樣，對付未知病毒或內部變異分子的攻擊是非常困難的。所以，不要奢望找到什么“靈丹妙藥”，實現所謂的“絕對安全”。追求“絕對”安全的結果必然是“絕對”的不可用，就像人想要“絕對”不生病的方法就只能是死亡。

因此，科學的安全觀應該是追求可用性與安全性的平衡，以及安全風險的可預測、可評估、可隔離、可控制。過度防護通常會造成網絡可用性和用戶體驗的嚴重下降，相當于入侵威懾產生了攻擊效果（不戰而屈人之兵）。網絡安全防御體系應該像生物免疫生態體系一樣，永遠與病毒等處于動態博弈的共同進化當中。

5.2 架構設計

如圖4所示，受生物免疫系統的啟示，本文提出的網絡安全防御架構也包含兩部分：靜態防御系統和動態防御系統[17]。

靜態防系統的第一道防線是利用防火墻等物理隔離或虛擬化邏輯隔離手段抵御外部攻擊；第二道防線是利用入侵檢測、病毒查殺、沙箱和補丁等技術，提供通用的入侵檢測與防護手段。靜態防御系統的策略、方法和手段是相對固定和通用的。

圖4 類生物免疫機制的網絡安全防御架構

動態防御系統也包括兩道防線。其中，第三道防線是借鑒T細胞的自適應阻斷隔離機制。利用網絡中各種感知設備的協同感知采集到大量的態勢信息，通過對不同維度、不同層面的態勢感知信息進行態勢綜合，實現對攻擊的快速響應，隔離阻斷被感染節點。屬于動態防御的第四道防線借鑒淋巴B細胞生成抗體以及人工疫苗的機制，利用云虛擬技術和網絡切片技術構建逼真的平行伴生網絡PAN為受保護網絡PN提供了一個特異化的“網絡疫苗”培育場。通過在平行伴生網絡PAN中加載AI攻擊，在網絡攻防對抗中提前變化出新的攻擊模式，在對抗學習中利用機器學習的方法提前找到并學習可能的攻擊方式以及其防御方法（即網絡疫苗）。不同平行對抗網絡PAN中得到的疫苗可以形成疫苗庫，與其他受保護網絡PN的疫苗庫進行共享，這將為網絡防御贏得主動權。

6 結束語

生物免疫機制提供了一種突破網絡安全困境的有效途徑。在“可用性與安全性的平衡，安全風險的可預測、可評估、可隔離、可控制”的科學的安全觀指導下，類生物免疫機制的網絡安全防御架構既能夠利用多元安全態勢融合，實現安全防御系統的預見性和適變性，及時隔離阻斷感染區域或節點；也能夠在與受保護網絡PN同構的平行伴生網絡PAN中，通過疊加AI攻擊進行網絡攻防學習，找到新的攻擊方法，提取攻擊特征（抗原），生成已知甚至未知攻擊的網絡疫苗，靠超級算力形成防御策略方法（抗體），從而獲得網絡空間的對抗優勢。