融合神經(jīng)與免疫機(jī)理的信息系統(tǒng)仿生免疫模型

胡愛群/HU Aiqun，李濤/LI Tao，卞青原/BIAN Qingyuan

（ 東南大學(xué)，中國 南京 210096 ）

隨著通信技術(shù)的飛速發(fā)展,運(yùn)行在開放網(wǎng)絡(luò)環(huán)境中的信息系統(tǒng)日趨復(fù)雜。承載數(shù)據(jù)量呈指數(shù)級(jí)增長,數(shù)據(jù)來源變得更加豐富,內(nèi)容也更加細(xì)化。網(wǎng)絡(luò)空間安全面臨越來越多的新挑戰(zhàn)。傳統(tǒng)的安全防御體系在面對安全威脅時(shí)無法及時(shí)對承載巨大流量的信息系統(tǒng)進(jìn)行細(xì)粒度地、深層次地主動(dòng)安全防御。

為了解決傳統(tǒng)網(wǎng)絡(luò)安全防御體系存在的靜態(tài)不變?nèi)毕輪栴}，全球科研團(tuán)隊(duì)相繼開展了主動(dòng)式防御研究工作。其中，生物免疫機(jī)理與計(jì)算機(jī)科學(xué)技術(shù)相融合的人工免疫系統(tǒng)[1-5]，為網(wǎng)絡(luò)安全的相關(guān)研究提供了新思路。相較于傳統(tǒng)的被動(dòng)式防御技術(shù)，人工免疫網(wǎng)絡(luò)攻擊檢測技術(shù)具有顯著的智能監(jiān)控、快速響應(yīng)、主動(dòng)防御等特點(diǎn)，因此在網(wǎng)絡(luò)攻擊檢測領(lǐng)域得到了較好的應(yīng)用。然而，受限于現(xiàn)有的信息系統(tǒng)架構(gòu)，免疫系統(tǒng)中免疫細(xì)胞的動(dòng)態(tài)游走等特性難以在信息系統(tǒng)中實(shí)現(xiàn)。目前的人工免疫系統(tǒng)往往只是在防御體系的某一個(gè)環(huán)節(jié)融入仿生免疫元素（例如在入侵檢測中融入免疫算法），仍缺乏一種有效的體系架構(gòu)作為支撐，并未實(shí)現(xiàn)真正意義上的免疫體系。

為解決上述問題，本文提出一種融合神經(jīng)與免疫機(jī)理的仿生安全模型，借鑒人體神經(jīng)系統(tǒng)的“感知-策略-控制-反饋”體系架構(gòu)和免疫系統(tǒng)的自適應(yīng)分層免疫思想，將安全體系與信息系統(tǒng)深度融合，構(gòu)建具有自主防御能力的新型仿生免疫系統(tǒng)。

1 相關(guān)研究背景

仿生學(xué)是一門古老而又新興的學(xué)科，主要研究生物體的結(jié)構(gòu)與功能機(jī)理，并將這種結(jié)構(gòu)和功能應(yīng)用到各類工程系統(tǒng)和現(xiàn)代技術(shù)的研究與設(shè)計(jì)中。目前，網(wǎng)絡(luò)空間安全中的仿生技術(shù)應(yīng)用主要體現(xiàn)在仿生自愈、擬態(tài)防御、計(jì)算機(jī)免疫等方面。

近年來，許多學(xué)者開始致力于仿生自愈的研究，以提高信息系統(tǒng)的主動(dòng)防御能力。P. JAIN等[6]提出一種網(wǎng)絡(luò)安全自修復(fù)模型，將生物免疫系統(tǒng)中自監(jiān)控、自適應(yīng)、自修復(fù)的防御機(jī)制應(yīng)用到網(wǎng)絡(luò)攻擊防御中。 DAI Y. S.等[7-11]提出一種仿生自主神經(jīng)系統(tǒng)（BANS）。該系統(tǒng)借鑒生物神經(jīng)系統(tǒng)，結(jié)合模糊測試、神經(jīng)網(wǎng)絡(luò)、信息熵等技術(shù)，實(shí)現(xiàn)了信息系統(tǒng)的自我保護(hù)能力。系統(tǒng)能夠識(shí)別拒絕服務(wù)攻擊（DoS）、間諜軟件、惡意軟件和病毒等已知/未知攻擊，并進(jìn)行有效的自我防御。

鄔江興院士提出擬態(tài)防御理論[12-13]，通過動(dòng)態(tài)異構(gòu)冗余架構(gòu)利用不可信軟硬構(gòu)件,組成高可靠、高安全等級(jí)信息系統(tǒng)，實(shí)現(xiàn)了對功能組件的主動(dòng)隱匿，在較大程度上增加了攻擊難度。近年來，眾多研究者對擬態(tài)防御進(jìn)行了深入研究。丁紹虎等[14]提出基于擬態(tài)防御的軟件定義網(wǎng)絡(luò)（SDN）控制層安全機(jī)制，使用多個(gè)異構(gòu)的等價(jià)控制器同時(shí)處理數(shù)據(jù)層的請求，通過對比它們的流表項(xiàng)來檢測主控制是否存在惡意行為，解決了SDN控制層的單點(diǎn)脆弱性問題。仝青和張錚等[15-16]基于動(dòng)態(tài)冗余架構(gòu)構(gòu)建了擬態(tài)防御Web服務(wù)器，提出了適用于擬態(tài)防御架構(gòu)的Web服務(wù)器測試方法，驗(yàn)證了擬態(tài)防御技術(shù)在Web服務(wù)器上的有效性和可行性。任權(quán)等[17]利用離散時(shí)間馬爾可夫鏈模型對采用動(dòng)態(tài)冗余架構(gòu)的擬態(tài)防御系統(tǒng)進(jìn)行建模，并對動(dòng)態(tài)冗余架構(gòu)的抗干擾性能進(jìn)行分析，證明目標(biāo)系統(tǒng)在攻擊擾動(dòng)條件下的穩(wěn)態(tài)可用性和感知安全性。DAI W. B.等[18]提出基于擬態(tài)防御的安全系統(tǒng)結(jié)構(gòu)，通過數(shù)字孿生技術(shù)構(gòu)建擬態(tài)防御模型的執(zhí)行實(shí)體，提高安全系統(tǒng)的動(dòng)態(tài)性與冗余性，進(jìn)而提高系統(tǒng)的安全防御能力，增加攻擊難度。

基于人工免疫系統(tǒng)（AIS）的入侵檢測模型通過模擬人體免疫機(jī)制來進(jìn)行網(wǎng)絡(luò)入侵檢測，在入侵檢測方面擁有天然的適應(yīng)性和魯棒性。J. KIM等[19-20]提出一種用于檢測網(wǎng)絡(luò)攻擊行為的AIS系統(tǒng)模型。該模型結(jié)合了克隆選擇過程、否定選擇過程和基因庫進(jìn)化三大機(jī)制，同時(shí)應(yīng)用了小生境否定選擇算法。這是一套較為完善的、基于人工免疫技術(shù)的網(wǎng)絡(luò)入侵檢測模型。它具有良好的自適應(yīng)性和學(xué)習(xí)能力。P. NESPOLI等[21]提出一種新型的基于人工免疫系統(tǒng)的網(wǎng)絡(luò)安全防御模型。該模型采用遺傳算法等免疫算法來防御網(wǎng)絡(luò)入侵，有效地降低了受保護(hù)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。羅婭等[22]提出一種基于核熵和人工免疫的網(wǎng)絡(luò)異常檢測方法。在基于入侵檢測標(biāo)準(zhǔn)數(shù)據(jù)集KDD Cup99上的對比實(shí)驗(yàn)中，該方法有效地改進(jìn)了網(wǎng)絡(luò)異常檢測的性能。于全等[23]提出基于人體免疫機(jī)理的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)原則，并基于該原則設(shè)計(jì)一種免疫啟發(fā)式網(wǎng)絡(luò)安全防護(hù)架構(gòu)，模擬人體免疫系統(tǒng)的非特異性免疫與特異性免疫機(jī)制，構(gòu)建分層網(wǎng)絡(luò)安全防護(hù)體系。

從目前的研究情況來看，仿生自愈、擬態(tài)防御、計(jì)算機(jī)免疫等主動(dòng)防御技術(shù)都是圍繞生物的局部安全防御機(jī)制展開的，缺乏完整的免疫體系設(shè)計(jì)。本文從整體架構(gòu)上入手，充分分析和借鑒人體神經(jīng)控制系統(tǒng)與免疫系統(tǒng)的工作機(jī)理，提出一種新型的仿生免疫模型。

2 免疫系統(tǒng)和神經(jīng)控制的基本機(jī)理

2.1 人體免疫系統(tǒng)機(jī)理

人體免疫系統(tǒng)是一種具有高度分布性自適應(yīng)免疫系統(tǒng)，具有完善的機(jī)制來抵御外來病原體的入侵。通過對人體免疫過程模型分析可知，免疫系統(tǒng)可以分為自然免疫（非特異性免疫）層和適應(yīng)性免疫（特異性免疫）層，自然免疫層主要由補(bǔ)體和吞噬細(xì)胞等所組成，而適應(yīng)性免疫層則包含抗體、T-細(xì)胞和B-細(xì)胞等。

自然免疫層是人體抵抗外來病原體入侵的第一道防線。在自然免疫過程中，免疫系統(tǒng)能夠利用血液和組織中存在的各種白細(xì)胞來檢測病原體，以便將其與自身細(xì)胞區(qū)分開。雖然這種方法不具有高度特異性，不能形成免疫記憶，但其能夠迅速對感染做出反應(yīng)。相對于自然免疫，適應(yīng)性免疫過程較為緩慢，但其能夠通過淋巴細(xì)胞的協(xié)作發(fā)揮作用，包括T-細(xì)胞、B-細(xì)胞等。在它們的共同作用下，使用專門的抗體來特異性檢測病原體，并將病原體標(biāo)記為威脅，能夠放大反應(yīng)并摧毀入侵者。該過程的重要特點(diǎn)之一，就是可以形成病原體的長久記憶。這使得免疫系統(tǒng)能夠應(yīng)對未來的挑戰(zhàn)，以便更快速、更容易地對抗相同病原體。

面對微生物或外來病原體的入侵，免疫系統(tǒng)的這種自然免疫和適應(yīng)性免疫的分層免疫機(jī)制與網(wǎng)絡(luò)安全存在一定的相似性。自然免疫通過專家?guī)煨纬煞烙芰Γm應(yīng)性免疫則是在動(dòng)態(tài)對抗中形成新的防御方法。這對于構(gòu)建新型計(jì)算機(jī)防御模型具有重要的借鑒作用。

2.2 人體神經(jīng)控制系統(tǒng)機(jī)理

在面臨威脅時(shí)，人體往往能夠做出有效、適度的反應(yīng)，以維持機(jī)體的高效運(yùn)轉(zhuǎn)。在人體防御過程中，神經(jīng)控制系統(tǒng)既能使我們有效避開威脅，又可以不斷提高應(yīng)對威脅的能力。

在人體神經(jīng)系統(tǒng)中，中樞神經(jīng)系統(tǒng)是主體部分，其內(nèi)部聚集了大量神經(jīng)細(xì)胞，主要負(fù)責(zé)信息的傳導(dǎo)、儲(chǔ)存、處理等工作。神經(jīng)系統(tǒng)最基本的活動(dòng)方式為反射。反射過程可以抽象為感受器、傳入神經(jīng)、反射中樞神經(jīng)、傳出神經(jīng)、效應(yīng)器、反饋六大基本環(huán)節(jié)。在反射過程中，人體通過感受器不斷感受機(jī)體內(nèi)外環(huán)境變化產(chǎn)生的刺激，然后將其轉(zhuǎn)換成神經(jīng)沖動(dòng)并通過傳入神經(jīng)傳至中樞，最終經(jīng)過中間神經(jīng)元的軸突所構(gòu)成的感覺傳導(dǎo)通路傳至大腦皮質(zhì)以產(chǎn)生感覺。大腦皮質(zhì)對感覺信息進(jìn)行分析與整合，然后通過傳出神經(jīng)構(gòu)成的運(yùn)動(dòng)傳導(dǎo)通路將整合好的信息傳遞出去，并通過運(yùn)動(dòng)神經(jīng)元到達(dá)各類效應(yīng)器產(chǎn)生效應(yīng)。該效應(yīng)行為會(huì)再次反饋至感受器。

此外，反射可以分為非條件反射和條件反射。其中，非條件反射是人體長期進(jìn)化形成的本能反射，不需要大腦皮層等高級(jí)神經(jīng)中樞的參與；而條件反射是人通過后天學(xué)習(xí)逐漸形成的高級(jí)神經(jīng)活動(dòng)，需要大腦皮層等高級(jí)神經(jīng)中樞的參與。

2.3 仿生機(jī)理總結(jié)

通過對人體免疫系統(tǒng)和神經(jīng)控制系統(tǒng)工作機(jī)理的研究分析，我們可以發(fā)現(xiàn)維持人體穩(wěn)態(tài)運(yùn)轉(zhuǎn)、趨利避害的兩大系統(tǒng)有許多可供仿生免疫系統(tǒng)借鑒的地方：

（1） 神經(jīng)控制系統(tǒng)與免疫系統(tǒng)中均存在“感知-策略-反饋”機(jī)制。該機(jī)制能夠?qū)ο到y(tǒng)調(diào)節(jié)情況進(jìn)行實(shí)時(shí)反饋，通過組件的聯(lián)動(dòng)配合應(yīng)對環(huán)境變化，保證機(jī)體的生理平衡。

（2） 免疫系統(tǒng)的免疫過程能夠區(qū)分“自我”與“非我”，對自體抗原呈現(xiàn)出特異性無應(yīng)答狀態(tài)，而對異體抗原能夠保持免疫記憶、快速應(yīng)答和及時(shí)清除。

（3） 神經(jīng)系統(tǒng)的體系架構(gòu)實(shí)現(xiàn)了信息感知分布性、控制適應(yīng)性、整體協(xié)調(diào)性，在架構(gòu)設(shè)計(jì)方面為安全體系與信息系統(tǒng)的融合提供參考，有助于構(gòu)建具有智能監(jiān)控、快速響應(yīng)、主動(dòng)防御特點(diǎn)的仿生免疫系統(tǒng)。

3 融合神經(jīng)與免疫機(jī)理的安全模型

3.1 仿生安全系統(tǒng)模型

結(jié)合生物免疫的應(yīng)答過程和人體神經(jīng)控制反射過程的工作機(jī)理，本文設(shè)計(jì)了融合神經(jīng)與免疫機(jī)理的仿生安全模型。該模型以人體神經(jīng)控制系統(tǒng)中的“感知-策略-效應(yīng)-反饋”工作機(jī)制為基本架構(gòu)，研究和部署類神經(jīng)系統(tǒng)的細(xì)粒度威脅感受器和傳導(dǎo)機(jī)制，實(shí)時(shí)監(jiān)測系統(tǒng)內(nèi)外參數(shù)變化，全面掌握系統(tǒng)的安全態(tài)勢，以便對外部入侵進(jìn)行合理反制，對內(nèi)部入侵進(jìn)行免疫式防御。借鑒人體免疫系統(tǒng)中的自然免疫與適應(yīng)性免疫的免疫思想，構(gòu)建分層安全防御體系，建立各種機(jī)制之間關(guān)聯(lián)與分析方法，可使得各安全組件能夠高效聯(lián)動(dòng)，在面對已知安全威脅時(shí)能夠依據(jù)預(yù)定義策略庫進(jìn)行快速反制，在面對未知安全威脅時(shí)能夠在動(dòng)態(tài)對抗中形成新的防御方法。

▲圖1 仿生免疫模型

如圖1所示，仿生安全模型宏觀分為受控對象與控制中心兩部分。受控對象為仿生安全系統(tǒng)中保護(hù)的目標(biāo)對象，其業(yè)務(wù)功能組件與仿生安全組件高度融合，并內(nèi)置了海量細(xì)粒度感受器與效應(yīng)器等安全組件。在受控對象進(jìn)行正常業(yè)務(wù)的同時(shí)，感受器感知系統(tǒng)運(yùn)行狀態(tài)并將其上傳至控制中心，效應(yīng)器根據(jù)控制中心的決策產(chǎn)生效應(yīng)行為，對系統(tǒng)的異常狀態(tài)進(jìn)行及時(shí)調(diào)整，以保證受控對象業(yè)務(wù)功能的穩(wěn)定運(yùn)轉(zhuǎn)。控制中心是仿生安全系統(tǒng)的核心，它可以根據(jù)受控對象上傳的感受向量來研判系統(tǒng)當(dāng)前的安全態(tài)勢，通過兩級(jí)安全控制中樞的聯(lián)動(dòng)配合生成對應(yīng)的效應(yīng)策略，實(shí)現(xiàn)對安全威脅的快速反制，并在對抗中進(jìn)行自我學(xué)習(xí)、自我適應(yīng)。

3.2 模型關(guān)鍵組件描述

3.2.1 受控對象

受控對象為仿生安全系統(tǒng)的底層組件，除常規(guī)的業(yè)務(wù)功能組件之外，還包含感受器R、感受處理器PR、效應(yīng)器E以及效應(yīng)處理器PE等仿生安全組件，以實(shí)現(xiàn)仿生安全系統(tǒng)控制架構(gòu)中的感知與效應(yīng)功能。

（1） 感知層面

為實(shí)現(xiàn)對受控對象的細(xì)粒度狀態(tài)感知，仿生安全系統(tǒng)結(jié)合受控對象業(yè)務(wù)功能模塊的特異性，在受控對象中部署若干定制化感受器R。感受器負(fù)責(zé)感知系統(tǒng)運(yùn)行過程中的各種狀態(tài)參數(shù)，如中央處理器（CPU）使用率、內(nèi)存使用率、網(wǎng)絡(luò)連接狀況、函數(shù)參數(shù)、程序執(zhí)行流以及效應(yīng)器行為等，實(shí)現(xiàn)對受控對象運(yùn)行狀態(tài)的細(xì)粒度掌握。

感受器采集的原始狀態(tài)參數(shù)錯(cuò)綜復(fù)雜，若直接上傳控制中心，不僅會(huì)增加傳輸神經(jīng)的數(shù)據(jù)傳輸負(fù)擔(dān)，還會(huì)給控制中心造成數(shù)據(jù)處理困難。受控對象中因此設(shè)置了感受處理器PR，以負(fù)責(zé)對各感受器Ri采集的原始感受向量ri(t)進(jìn)行融合匯聚，并通過處理操作生成感受向量VR(t)，如公式（1）所示。最后感受處理器將感受向量經(jīng)傳入神經(jīng)上傳至控制中心。至此，系統(tǒng)感知工作完成。

預(yù)處理操作的具體流程需要依據(jù)系統(tǒng)的具體業(yè)務(wù)場景需求進(jìn)行設(shè)計(jì)，總體可以概述為如下幾方面：

（a）感受向量分類。為了便于歸一化、融合處理，感受處理器需要對接收到的初始感受向量（依據(jù)感受向量的屬性）進(jìn)行分類處理。

（b）感受向量融合。感受處理器會(huì)對分類后的感受向量進(jìn)行融合匯聚。借鑒人體神經(jīng)沖動(dòng)上傳機(jī)制中存在的“水潭效應(yīng)”，感受處理器會(huì)結(jié)合特異性感受閾值σi來生成感受向量。其中，由于系統(tǒng)的各項(xiàng)狀態(tài)參數(shù)指標(biāo)會(huì)隨系統(tǒng)業(yè)務(wù)的進(jìn)行而發(fā)生變化，感受處理器需要依據(jù)狀態(tài)參數(shù)的變化動(dòng)態(tài)更新感受閾值，以實(shí)現(xiàn)感受層面的自適應(yīng)。

融合匯聚操作可以抽象描述為：

感受向量生成操作可以簡單描述如下：

其中，f(·)表示感受向量融合策略，依賴于類別i中的原始感受向量rj(t)、向量權(quán)重yj(t)；g(·)表示感受向量生成策略，依賴于聚合向量xi(t)和特異性閾值σi。f(·)和g(·)的具體形式要依據(jù)實(shí)際需求來設(shè)計(jì)。

（c）感受向量編碼。為了便于數(shù)據(jù)傳輸和控制中心分析處理，感受處理器最后會(huì)對感受向量進(jìn)行進(jìn)一步的編碼處理，如公式（4）所示：

（2） 效應(yīng)層面

為了實(shí)現(xiàn)受控對象對安全威脅的快速反制，我們在受控對象中設(shè)置了效應(yīng)安全組件：效應(yīng)處理器PE和效應(yīng)器E。結(jié)合受控對象的具體業(yè)務(wù)，若干效應(yīng)器被放置在仿生安全系統(tǒng)中受控對象的安全薄弱處與業(yè)務(wù)核心區(qū)。當(dāng)系統(tǒng)面對安全威脅時(shí)，效應(yīng)器能依據(jù)控制中心的效應(yīng)向量執(zhí)行具體的效應(yīng)行為，調(diào)整受控對象運(yùn)行狀態(tài)，抵御外來安全威脅。

類似于感知安全組件設(shè)計(jì)，效應(yīng)安全組件中還設(shè)置了效應(yīng)處理器，以負(fù)責(zé)解析處理控制中心下發(fā)的效應(yīng)向量。這種做法有利于效應(yīng)器專注自身效應(yīng)行為的執(zhí)行。效應(yīng)處理器的功能具體包括兩個(gè)方面：

（a）效應(yīng)向量譯碼。為了便于數(shù)據(jù)的傳輸，控制中心會(huì)對效應(yīng)向量進(jìn)行編碼整合。在接收到效應(yīng)向量后，效應(yīng)處理器首先需要對效應(yīng)向量進(jìn)行譯碼分析，并將其映射為類似效應(yīng)器的效應(yīng)行為。

（b）效應(yīng)指令分發(fā)。根據(jù)譯碼結(jié)果，喚醒受控對象中相應(yīng)效應(yīng)器并執(zhí)行正確的效應(yīng)行為，可實(shí)現(xiàn)對系統(tǒng)的調(diào)控和對安全威脅的快速反制。

3.2.2 控制中心

控制中心是仿生安全系統(tǒng)的核心安全組件，它通過分析受控對象上傳的感受向量來感知系統(tǒng)當(dāng)前的運(yùn)行狀態(tài)，下發(fā)效應(yīng)策略以指導(dǎo)受控對象反制安全威脅。借鑒人體免疫系統(tǒng)和神經(jīng)系統(tǒng)的工作機(jī)理，控制中心采用分層結(jié)構(gòu)，包含低級(jí)中樞和高級(jí)中樞兩個(gè)安全策略中樞。

（1） 低級(jí)中樞

低級(jí)中樞包含編/解碼器、狀態(tài)感知器SA、效應(yīng)策略庫P和低級(jí)中樞處理器L等仿生安全組件，主要負(fù)責(zé)態(tài)勢感知及已知異常狀態(tài)的應(yīng)對處理。其中編/解碼器負(fù)責(zé)對傳輸神經(jīng)上的數(shù)據(jù)進(jìn)行編/解碼操作；狀態(tài)感知器通過細(xì)粒度感受器采集的感受向量來感知受控對象運(yùn)行狀態(tài)，并分發(fā)異常狀態(tài)參數(shù)至對應(yīng)的中樞處理器；低級(jí)中樞處理器L負(fù)責(zé)處理系統(tǒng)已知異常狀態(tài)，依據(jù)效應(yīng)策略庫中專家預(yù)定義或免疫記憶形成的策略生成效應(yīng)向量，實(shí)現(xiàn)對已知安全威脅的快速反制。低級(jí)中樞的工作流程可概述如下：

（a）低級(jí)中樞接收到受控對象上傳的感受向量VR(t)后，傳入解碼器D，并對其進(jìn)行如公式（4）所示的逆操作進(jìn)行解碼，以便后續(xù)狀態(tài)的感知分析。

（b）狀態(tài)感知器SA利用解碼后的感受向量進(jìn)行態(tài)勢感知。當(dāng)前狀態(tài)s(t)若為已知異常狀態(tài)，則將交由低級(jí)中樞處理器L處理；若為未知異常狀態(tài)，則狀態(tài)及相關(guān)參數(shù)均會(huì)被上傳至高級(jí)中樞處理。

（c）對于已知異常狀態(tài)s(t)，低級(jí)中樞處理器L首先通過效應(yīng)策略庫匹配獲取相應(yīng)的策略信息，然后調(diào)用免疫函數(shù)生成效應(yīng)策略，最后通過編碼器編碼生成效應(yīng)向量VE(t+1)。該過程可描述為：

其中，policy(·)為策略匹配函數(shù)，low_immu(·)為初級(jí)免疫函數(shù)，相關(guān)參數(shù)包含但不限于系統(tǒng)狀態(tài)s(t)、策略信息p(t)。

（2） 高級(jí)中樞

高級(jí)中樞負(fù)責(zé)應(yīng)對系統(tǒng)的未知異常狀態(tài)。通過仿生安全系統(tǒng)的免疫函數(shù)和“內(nèi)反饋”機(jī)制，高級(jí)中樞在動(dòng)態(tài)對抗中形成面向未知威脅的新型防御策略，包含效應(yīng)行為基A和高級(jí)中樞處理器H等仿生安全組件。

效應(yīng)行為基是映射到效應(yīng)器效應(yīng)行為的一組預(yù)定義效應(yīng)行為集合，是高級(jí)中樞處理器生成效應(yīng)策略的基礎(chǔ)。其目的是保證受控對象在遭受未知安全威脅時(shí)，高級(jí)中樞處理器生成的效應(yīng)策略不會(huì)危害業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。若效應(yīng)行為基A={a1,a2,…,am}包含m個(gè)預(yù)定義效應(yīng)行為，則高級(jí)中樞做出的效應(yīng)策略p(t)可抽象表示為：

其中，xi為效應(yīng)行為ai的權(quán)重系數(shù)。

高級(jí)中樞處理器H為高級(jí)中樞的核心，負(fù)責(zé)生成應(yīng)對未知威脅的效應(yīng)策略。按照功能劃分，高級(jí)中樞可以分為異常分析模塊、策略生成模塊以及免疫記憶模塊。

（a）在高級(jí)中樞接收到由低級(jí)中樞上傳的異常狀態(tài)數(shù)據(jù)后，異常分析模塊會(huì)對感受器采集的狀態(tài)參數(shù)進(jìn)行分析，以尋找異常狀態(tài)參數(shù)之間的關(guān)聯(lián)，推斷系統(tǒng)異常根源。

（b）結(jié)合異常分析的結(jié)果，策略生成模塊可調(diào)用免疫策略函數(shù)生成效應(yīng)策略，修正系統(tǒng)未知異常狀態(tài)，反制未知安全威脅。其中，免疫策略函數(shù)的核心在于能夠基于效應(yīng)行為基生成有效的效應(yīng)策略，并能夠依據(jù)受控對象的反饋不斷優(yōu)化策略。

（c）免疫記憶模塊負(fù)責(zé)效應(yīng)策略的緩存與更新下發(fā)。抵御未知攻擊是一個(gè)動(dòng)態(tài)對抗的過程。緩存反制過程中的效應(yīng)策略非常有利于更新工作。此外，對于能夠有效反制當(dāng)前未知安全威脅的安全策略，免疫記憶模塊會(huì)將其下放至低級(jí)中樞，形成免疫記憶，當(dāng)系統(tǒng)再次受到該威脅時(shí)能夠?qū)崿F(xiàn)快速反制。

3.3 模型動(dòng)態(tài)描述

為了更好地描述仿生安全組件之間的關(guān)系和仿生免疫系統(tǒng)的工作機(jī)制，我們給出了相關(guān)系統(tǒng)的運(yùn)行流程圖，如圖2所示。

▲圖2 仿生安全系統(tǒng)執(zhí)行流程圖

在系統(tǒng)業(yè)務(wù)交互過程中，仿生安全感受器持續(xù)對系統(tǒng)運(yùn)行情況進(jìn)行感知。與異常狀態(tài)信號(hào)對應(yīng)的感受器感知到異常狀態(tài)后，系統(tǒng)將原始參數(shù)傳遞到感受處理器。經(jīng)過感受處理器預(yù)處理、編碼后生成的感受向量，會(huì)經(jīng)傳入神經(jīng)傳至控制中樞。在接收到感受向量后，控制中樞首先對其進(jìn)行解碼與分析，并通過態(tài)勢感知組件對系統(tǒng)安全狀況進(jìn)研判：若為已知風(fēng)險(xiǎn)，低級(jí)中樞就會(huì)依據(jù)效應(yīng)策略庫直接采取應(yīng)對措施，下發(fā)效應(yīng)向量；若為未知威脅，高級(jí)中樞會(huì)進(jìn)行處理。高級(jí)中樞處理器根據(jù)異常情況并基于效應(yīng)行為基采取安全策略，下發(fā)效應(yīng)向量，根據(jù)反饋持續(xù)優(yōu)化安全策略。當(dāng)系統(tǒng)恢復(fù)穩(wěn)態(tài)時(shí)，高級(jí)中樞更新效應(yīng)策略庫，產(chǎn)生免疫記憶。

4 原型系統(tǒng)實(shí)現(xiàn)與驗(yàn)證

4.1 原型系統(tǒng)實(shí)現(xiàn)

為驗(yàn)證理論模型的有效性和可行性，我們基于Web Server設(shè)計(jì)構(gòu)建了仿生安全原型系統(tǒng)，如圖3所示。該系統(tǒng)不僅在業(yè)務(wù)功能層面上支持常規(guī)的Web應(yīng)用部署，還融合了仿生安全元素，即在業(yè)務(wù)功能模塊與系統(tǒng)模塊中加入了仿生安全組件，以感知、調(diào)控系統(tǒng)運(yùn)行狀態(tài)。

▲圖3 仿生免疫系統(tǒng)框架

（1）受控對象層面

為了實(shí)現(xiàn)對系統(tǒng)運(yùn)行期間的應(yīng)用執(zhí)行參數(shù)、系統(tǒng)運(yùn)行狀態(tài)的感知，原型系統(tǒng)在業(yè)務(wù)功能層面和系統(tǒng)層面分別部署了內(nèi)感受器/效應(yīng)器與外感受器/效應(yīng)器。

內(nèi)感受器與業(yè)務(wù)功能耦合，能夠結(jié)合業(yè)務(wù)應(yīng)用的靜態(tài)分析結(jié)果，定位業(yè)務(wù)組件中具有安全隱患的關(guān)鍵函數(shù)，安插定制化感受器/效應(yīng)器，生成對應(yīng)效應(yīng)安全策略，如圖4所示。在業(yè)務(wù)運(yùn)行期間，內(nèi)感受器在程序執(zhí)行流層面進(jìn)行感知，當(dāng)監(jiān)測到關(guān)鍵函數(shù)執(zhí)行“非我”的異常指令時(shí)，及時(shí)上報(bào)控制中心并結(jié)合策略庫的安全策略進(jìn)行處置。外感受器負(fù)責(zé)感知宏觀層面的系統(tǒng)運(yùn)行狀態(tài)，如CPU用量、內(nèi)存用量、線程池狀態(tài)、網(wǎng)絡(luò)請求參數(shù)等。結(jié)合控制中心下達(dá)的效應(yīng)策略，外效應(yīng)器在系統(tǒng)層面進(jìn)行調(diào)控，以保證系統(tǒng)穩(wěn)態(tài)運(yùn)行、業(yè)務(wù)功能正常交互。

▲圖4 內(nèi)感受器的部署流程

（2）控制中心層面

結(jié)合內(nèi)感受器的設(shè)計(jì)，控制中心層面實(shí)現(xiàn)了相應(yīng)的執(zhí)行流處理器，可負(fù)責(zé)解析內(nèi)感受器采集的感受向量，分析關(guān)鍵函數(shù)的調(diào)用參數(shù)、報(bào)錯(cuò)等信息，調(diào)用靜態(tài)分析階段結(jié)合Web漏洞相關(guān)先驗(yàn)知識(shí)生成的效應(yīng)策略，在執(zhí)行流層面對非法的函數(shù)執(zhí)行進(jìn)行快速攔截，阻止已知安全威脅的攻擊進(jìn)程。

4.2 系統(tǒng)測試

4.2.1 測試環(huán)境

實(shí)驗(yàn)測試環(huán)境的網(wǎng)絡(luò)拓?fù)淙鐖D5所示。常規(guī)系統(tǒng)與仿生免疫系統(tǒng)的硬件配置相同，均為Ubuntu 20.04操作系統(tǒng)、8核Intel Core 2 Duo T7700處理器、8 GB內(nèi)存。其中，仿生免疫系統(tǒng)是以常規(guī)系統(tǒng)為基礎(chǔ)改造而成的，兩系統(tǒng)均運(yùn)行相同的Web業(yè)務(wù)應(yīng)用。攻擊模擬設(shè)備為MacBook Pro（14-inch，2021），該設(shè)備配有Apple M1 Pro處理器、32 GB內(nèi)存。

▲圖5 實(shí)驗(yàn)測試環(huán)境的網(wǎng)絡(luò)拓?fù)?/p>

4.2.2 性能開銷

融合神經(jīng)與免疫機(jī)理的仿生安全系統(tǒng)會(huì)在業(yè)務(wù)系統(tǒng)中部署感受器和效應(yīng)器等仿生安全組件。相較于常規(guī)系統(tǒng)，仿生安全系統(tǒng)會(huì)造成額外的性能開銷。為了探究仿生安全組件對業(yè)務(wù)的影響，我們測試了運(yùn)行相同業(yè)務(wù)的常規(guī)系統(tǒng)和仿生安全系統(tǒng)的平均性能開銷，結(jié)果如表1所示。可以看出，相較于常規(guī)系統(tǒng)，仿生安全系統(tǒng)的CPU占用率、內(nèi)存用量以及業(yè)務(wù)響應(yīng)時(shí)間均有所增加，但沒有對系統(tǒng)業(yè)務(wù)造成影響。

▼表1 兩種系統(tǒng)的性能開銷對比

4.2.3 已知威脅反制

仿生安全系統(tǒng)的效應(yīng)策略庫記錄了一些安全威脅的反制措施。當(dāng)受控對象受到這些已知安全威脅入侵時(shí)，仿生安全系統(tǒng)能夠快速應(yīng)對，保證業(yè)務(wù)的正常運(yùn)行。為了檢測仿生安全系統(tǒng)對于已知威脅的防御效果，我們在系統(tǒng)中部署了漏洞靶場WebGoat和一些存在已知漏洞的業(yè)務(wù)，漏洞清單如表2所示。此外，我們還部署了一些無漏洞的業(yè)務(wù)，用于測試系統(tǒng)的誤報(bào)率。經(jīng)過攻擊腳本的攻擊測試后，仿生安全系統(tǒng)對已知安全威脅的防護(hù)效果如表3所示。

▼表2 測試漏洞清單

▼表3 已知安全威脅測試結(jié)果

4.2.4 未知威脅反制

面對效應(yīng)策略庫未曾記錄的未知安全威脅，仿生安全系統(tǒng)的高級(jí)中樞能夠基于效應(yīng)行為基做出效應(yīng)策略，并根據(jù)感受器的反饋信息不斷調(diào)整優(yōu)化。結(jié)合原型系統(tǒng)的Web業(yè)務(wù)場景，我們通過壓力測試軟件JMeter來模擬業(yè)務(wù)系統(tǒng)DoS攻擊，檢驗(yàn)仿生安全系統(tǒng)的未知安全威脅防御能力。

我們采用不同的壓力測試線程數(shù)來模擬不同的DoS攻擊強(qiáng)度，分別對運(yùn)行有相同業(yè)務(wù)組件的常規(guī)系統(tǒng)和仿生安全系統(tǒng)進(jìn)行每組100 s的壓力測試。業(yè)務(wù)系統(tǒng)的平均響應(yīng)時(shí)間如表4所示。當(dāng)測試線程數(shù)為40時(shí)，請求強(qiáng)度處于系統(tǒng)的正常業(yè)務(wù)范圍中，仿生安全系統(tǒng)的響應(yīng)相較于常規(guī)系統(tǒng)有所延遲。這是由于安全組件會(huì)造成一定的性能損耗。當(dāng)測試線程數(shù)達(dá)到80時(shí)，業(yè)務(wù)系統(tǒng)處于異常狀態(tài)，常規(guī)系統(tǒng)的業(yè)務(wù)功能受到影響，響應(yīng)時(shí)間大幅增加，而仿生安全系統(tǒng)的業(yè)務(wù)功能未受到明顯影響。這說明高級(jí)中樞做出了有效的效應(yīng)策略，糾正了系統(tǒng)的異常狀態(tài)。

▼表4 系統(tǒng)平均響應(yīng)時(shí)間

壓力測試過程中，仿生安全系統(tǒng)的業(yè)務(wù)功能響應(yīng)時(shí)間變化如圖6所示。從圖中可以看出，當(dāng)系統(tǒng)遭受未知攻擊并處于異常狀態(tài)時(shí)，控制中心的效應(yīng)策略存在調(diào)整優(yōu)化過程。此過程中系統(tǒng)的業(yè)務(wù)功能會(huì)受到攻擊的影響。當(dāng)效應(yīng)策略行而有效時(shí)，高級(jí)中樞會(huì)將其下放到效應(yīng)策略庫中，以便當(dāng)再次面對此攻擊時(shí)，能夠更快速地采取正確的效應(yīng)措施，保證系統(tǒng)的穩(wěn)態(tài)運(yùn)轉(zhuǎn)。

▲圖6 仿生安全系統(tǒng)響應(yīng)時(shí)間

4.3 實(shí)驗(yàn)結(jié)論

依據(jù)仿生安全理論模型的設(shè)計(jì)思想，我們構(gòu)建了具有Web Server功能的仿生安全原型系統(tǒng)，并結(jié)合相關(guān)測試樣例對系統(tǒng)的性能開銷、已知威脅反制能力以及未知威脅反制能力進(jìn)行了測試。實(shí)驗(yàn)結(jié)果驗(yàn)證了融合神經(jīng)與免疫機(jī)理的仿生安全模型的可行性、安全性，在性能開銷方面該模型仍然具有改進(jìn)空間。

5 結(jié)束語

借鑒神經(jīng)系統(tǒng)中“感知-策略-效應(yīng)-反饋”的體系架構(gòu)以及免疫系統(tǒng)的免疫機(jī)制，本文提出了一種融合神經(jīng)與免疫機(jī)理的仿生安全理論模型，將安全體系與信息系統(tǒng)深度融合，構(gòu)建了具有自主防御能力的新型仿生免疫系統(tǒng)，并基于該模型設(shè)計(jì)實(shí)現(xiàn)了仿生安全原型系統(tǒng)。相關(guān)實(shí)驗(yàn)驗(yàn)證了融合神經(jīng)與免疫機(jī)理的仿生安全理論模型的有效性與可行性。

本文提出的仿生安全模型是一種宏觀的主動(dòng)安全框架。后續(xù)的研究工作還需要結(jié)合具體的場景，構(gòu)建更加細(xì)化的組件設(shè)計(jì)與系統(tǒng)實(shí)現(xiàn)。此外，歸納總結(jié)免疫算法、引入人工智能方法均有助于實(shí)現(xiàn)系統(tǒng)安全策略的自適應(yīng)配置與優(yōu)化。