云安全免疫系統(tǒng)運行機制研究

陳瑤琳 霍 林

（廣西大學(xué)計算機與電子信息學(xué)院，廣西 南寧 530004）

云安全免疫系統(tǒng)運行機制研究

陳瑤琳 霍 林

（廣西大學(xué)計算機與電子信息學(xué)院，廣西 南寧 530004）

隨著大數(shù)據(jù)時代的到來以及云計算技術(shù)的發(fā)展，計算機病毒也在迅速演化，傳統(tǒng)的特征碼技術(shù)已經(jīng)無法應(yīng)對當(dāng)前網(wǎng)絡(luò)的需求。因此為了更好的保障云環(huán)境下數(shù)據(jù)運行的安全，以人體免疫系統(tǒng)（Human Immune System, HIS）運行機理為理論依據(jù)，借鑒其功能特性，結(jié)合計算機免疫系統(tǒng)（Computer Immune System，CIS）和行為分析技術(shù)，提出了基于人體免疫原理和行為分析技術(shù)的云安全免疫系統(tǒng)（Cloud Security Immune System，CSIS），設(shè)計了CSIS 運行機制和九個相關(guān)算法，并分析了其特點。

云安全；行為分析；人體免疫；安全機制

1 研究背景

云安全（Cloud Security）即云計算安全，最初是由中國企業(yè)在2007年提出的概念，緊隨著云計算和云儲存之后出現(xiàn)了，是指基于云計算商業(yè)模式應(yīng)用的安全軟件、硬件、用戶、機構(gòu)、安全云平臺的總稱。云安全計劃擁有大量客戶端，并且邏輯上形成網(wǎng)狀結(jié)構(gòu)，不間斷地監(jiān)測網(wǎng)絡(luò)中軟件的異常行為，能夠及時獲取到網(wǎng)絡(luò)中的木馬、惡意代碼程序的最新動態(tài)和信息，并將這些信息發(fā)送至服務(wù)器端，由服務(wù)器端進(jìn)行自動分析及處理，得到相應(yīng)解決方案，再將這些解決方案發(fā)送到網(wǎng)絡(luò)的每個客戶端。云安全計劃的實質(zhì)就是將整個網(wǎng)絡(luò)變成一個巨大的殺毒系統(tǒng)。然而，在可預(yù)見的未來，云安全問題將會面臨越來越多的非法攻擊和惡意入侵的挑戰(zhàn)，整體形勢不容樂觀。

對于這些問題，專家們做了很多的研究。文獻(xiàn)[1-6]指出了非法程序發(fā)展變化使特征碼技術(shù)遇到的挑戰(zhàn)，包括壓縮、加密、變形、多態(tài)等，使傳統(tǒng)特征碼查毒思想走到了盡頭，特征碼總是存在滯后性的缺點，不能檢測未知病毒。

云計算所面臨的安全問題與人體免疫系統(tǒng)所應(yīng)對的問題相類似，二者具有如下三個方面共性：一是兩者組成結(jié)構(gòu)相似；二是兩者系統(tǒng)功能相似；三是兩者運行方式相似。現(xiàn)階段許多文獻(xiàn)資料顯示，當(dāng)前CSIS的研究基本只是在理論方面進(jìn)行了探討，距離實際應(yīng)用的要求還比較遙遠(yuǎn)，故對于CSIS的深入研究就具有十分重要的價值。

2 行為分析

所謂行為分析[7]，是指分別給定由一些行為規(guī)則組成的合法程序行為集合以及非法程序行為集合，如果有程序的行為與其相匹配，就能判定該程序當(dāng)前是何行為動作。

分析方法主要有兩類，一類是動態(tài)行為分析方法，另一類是靜態(tài)行為分析方法。行為分析方法的優(yōu)點是能對未知病毒進(jìn)行分析，缺點是實現(xiàn)難度較大，但是它避免了現(xiàn)有殺毒軟件需要將程序與病毒庫中的病毒特征碼相比較，提高了殺毒效率，也在一定程度上很好的解決了病毒代碼更新的滯后性。

3 人體免疫系統(tǒng)

人體本身具有先天生理的免疫功能，這種功能極其復(fù)雜，其基本意義是保護(hù)人體不受“異體”的傷害。執(zhí)行免疫功能的各種器官、組織、細(xì)胞、分子，形成一個龐大的、細(xì)密的、復(fù)雜的免疫系統(tǒng)，免疫系統(tǒng)各組成遍布全身。免疫細(xì)胞和免疫分子在人體內(nèi)不斷地產(chǎn)生、循環(huán)和更新，使免疫系統(tǒng)始終保持均衡的運作活力。

人體免疫系統(tǒng)的主要功能是當(dāng)機體受到病原體的侵害而出現(xiàn)異常時及時將病原體清除，以達(dá)到維持機體內(nèi)環(huán)境的健康和穩(wěn)定的目的。通過對“自我”和“非我”物質(zhì)的識別及調(diào)節(jié)體現(xiàn)出三種基本功能：免疫防御、免疫自穩(wěn)和免疫監(jiān)視[8]。大自然中存在著許多的病原體，但是只約有 10%左右能進(jìn)入到人體內(nèi)部，被非特異性免疫以及特異性免疫所清除。人體的免疫系統(tǒng)除了識別和清除外來入侵的抗原外，還可以識別和清除體內(nèi)發(fā)生突變的腫瘤細(xì)胞、衰老細(xì)胞或其他有害成分。

4 云安全免疫系統(tǒng)運行機理研究

在本文中，借鑒了人體免疫學(xué)層層防御的理論體系，設(shè)計了一套模擬人體免疫系統(tǒng)的云安全免疫系統(tǒng)。在本系統(tǒng)中，第一層防御位于客戶端，第二層防御位于服務(wù)器端，最后一層防御則是類似人體免疫中的特異性免疫，由T細(xì)胞算法生成。三層防御層層遞進(jìn)，在節(jié)省了網(wǎng)絡(luò)節(jié)點資源及充分利用了服務(wù)器端強大計算能力的基礎(chǔ)上，最大可能的保證了云環(huán)境中的運行安全。云安全免疫系統(tǒng)與人工免疫系統(tǒng)的映射關(guān)系如表1所示。

表1 與人體免疫系統(tǒng)的映射關(guān)系

4.1 運行機制研究

本系統(tǒng)的總體架構(gòu)由海量的客戶端節(jié)點以及一定數(shù)量的服務(wù)器集群構(gòu)成。其中抗原提呈模塊、記憶細(xì)胞模塊、抗體數(shù)據(jù)庫模塊、抗原數(shù)據(jù)庫模塊、皮膚模塊、B細(xì)胞模塊以及抗體記憶庫模塊位于客戶端，T細(xì)胞模塊位于服務(wù)器端，整體架構(gòu)如下圖所示。

圖1 CSIS運行機制和數(shù)據(jù)流圖

其運轉(zhuǎn)機理如下所示：

（1）對每個接入的節(jié)點進(jìn)行監(jiān)測，對接收到的信息與皮膚模塊內(nèi)的白名單信息進(jìn)行比對，判斷是否已知信息，是轉(zhuǎn)(2)，不是轉(zhuǎn)(3)。

（2）對已知信息進(jìn)行預(yù)處理，得到長度為L的二進(jìn)制字符串，將其發(fā)送到記憶細(xì)胞庫模塊的正常行為特征數(shù)據(jù)集查詢，判斷該已知信息是否受到非法攻擊，是則判斷該信息為抗原信息并發(fā)送到B細(xì)胞模塊中，并轉(zhuǎn)(4)，不是則結(jié)束進(jìn)程。

（3）對未知信息進(jìn)行預(yù)處理，得到長度為L的二進(jìn)制字符串，將其發(fā)送到抗原數(shù)據(jù)庫模塊中的惡意行為特征數(shù)據(jù)集進(jìn)行查詢，如若查詢成功，則判斷該信息為抗原信息并發(fā)送到B細(xì)胞模塊中，轉(zhuǎn)(4)，不成功則更新白名單。

（4）B細(xì)胞模塊調(diào)用抗體信息對收到的抗原信息進(jìn)行攻擊，如攻擊成功，則進(jìn)程結(jié)束，不成功則查詢抗體數(shù)據(jù)和抗體記憶庫，若查詢成功，則返回繼續(xù)攻擊，若查詢失敗則將抗原信息發(fā)往T細(xì)胞模塊并轉(zhuǎn)(5)。

（5）T細(xì)胞模塊將接收到的抗原信息發(fā)往服務(wù)器端進(jìn)行分析，并使用返回的抗體信息對抗原信息進(jìn)行攻擊，如若攻擊成功則將該抗體信息發(fā)往B細(xì)胞模塊并轉(zhuǎn)(6)，若不成功則繼續(xù)通過服務(wù)器端生成新抗體信息，直至攻擊成功。

（6）B細(xì)胞模塊根據(jù)新收到的抗體信息更新該節(jié)點安全策略，而且為了減輕節(jié)點負(fù)擔(dān)并提 高 B細(xì)胞模塊的運行效率，使用LRU算法更新抗體數(shù)據(jù)庫，將部分抗體信息儲存到抗體記憶庫中，將來若需要則可直接調(diào)出，與此同時進(jìn)行疫苗接種，將該抗原和抗體信息發(fā)往相鄰節(jié)點，層層迭代，直至覆蓋整個網(wǎng)絡(luò)內(nèi)的節(jié)點。

4.2 安全機制算法研究

4.2.1 皮膚模塊算法

皮膚是人體的第一道防線，可以識別外來的病原體，在這里用來儲存白名單，其功能可用四元組＜ ExtraData ( )，Sign，Renew( )，send( )＞表示，ExtraData ( )表示對進(jìn)入監(jiān)測節(jié)點的信息的提??；Sign為布爾變量，Sign=1時表示信息已知，Sign=0時表示信息未知，Renew（）表示更新信息，send（）用于把信息發(fā)往抗原提呈模塊。

4.2.2 抗原提呈模塊算法

抗原提呈細(xì)胞即樹突狀細(xì)胞，在人體中的功能是將抗原信息提呈給T細(xì)胞，在這里是對信息進(jìn)行預(yù)處理，其功能可用五元組＜MonMess，Sign，F(xiàn)ilter()， Query( )，send( )＞表示，MonMess表示從皮膚模塊收到的監(jiān)測信息；Sign是一個布爾變量值，Sign =true表示信息正常，Sign =false表示發(fā)現(xiàn)異常；Filter()用于對收到的信息進(jìn)行處理； Query( )是查詢函數(shù)，依據(jù)信息是否已知在記憶細(xì)胞庫模塊和抗原數(shù)據(jù)庫模塊中查詢，當(dāng)Query( )函數(shù)查詢成功時，調(diào)用send()函數(shù)將數(shù)據(jù)發(fā)送到B細(xì)胞模塊，失敗則結(jié)束進(jìn)程并更新白名單。

4.2.3 記憶細(xì)胞庫算法

記憶細(xì)胞在人體免疫中的作用是對抗原進(jìn)行特異性識別，在這里用記憶細(xì)胞庫來儲存自我集特征數(shù)據(jù)，其功能可用二元組＜ CSInfor，Sign＞表示，CSInfor表示從抗原提呈模塊收到的數(shù)據(jù)信息，Sign為布爾變量，Sign=true時表示數(shù)據(jù)正常，Sign=false時表示數(shù)據(jù)異常。

4.2.4 抗原數(shù)據(jù)庫算法

抗原為任何可誘發(fā)人體免疫反應(yīng)的外來物，在這里用來抗原數(shù)據(jù)庫來儲存非我集特征數(shù)據(jù)，其功能可用二元組＜CSInfor，Sign＞表示，CSInfor表示從預(yù)處理模塊收到的數(shù)據(jù)信息，Sign為布爾變量，Sign=1時表示數(shù)據(jù)正常，Sign=0時表示數(shù)據(jù)異常。

4.2.5 B細(xì)胞算法

B細(xì)胞在人體中的作用是產(chǎn)生抗體，主要負(fù)責(zé)人體的體液免疫，在這里用該模塊模擬體液免疫的一般過程，其功能可用五元組＜Ag，Ab，Attack()， Mark，send()＞表示，Ag表示收到的抗原信息，Ab表示收到的抗體信息；Attack()表示采取的攻擊措施；Mark為布爾變量，當(dāng)Mark=true時，表示清除成功，將抗原、抗體信息發(fā)送到疫苗接種算法，當(dāng)Mark=false時，表示清除失敗，激活B細(xì)胞模塊，將失敗信息發(fā)送到B細(xì)胞模塊，激活該算法查詢抗體記憶庫，查詢成功則調(diào)用抗體信息Ab返回繼續(xù)清除，失敗則調(diào)用send()函數(shù)，激活并將抗原信息Ag發(fā)往T細(xì)胞模塊。

4.2.6 抗體數(shù)據(jù)庫模塊

抗體在人體中是用來識別并清除抗原的，在這里用抗體數(shù)據(jù)庫來儲存常用抗體信息，其功能可用二元組＜Ab ，send（）＞表示，Ab表示從B細(xì)胞模塊收到的抗體信息，send( )用于將抗體數(shù)據(jù)庫中的抗體信息發(fā)送到B細(xì)胞模塊以及將一些不常用的抗體數(shù)據(jù)儲存到抗體記憶庫中。

4.2.7 抗體記憶庫模塊

在這里用抗體記憶庫來儲存久未使用的抗體信息，其功能可用二元組＜Ab，send（）＞表示，Ab表示從抗體數(shù)據(jù)庫模塊收到的抗體信息，send( )用于將抗體信息發(fā)送到B細(xì)胞模塊。

4.2.8 T細(xì)胞算法

T細(xì)胞在人體免疫中的功能復(fù)雜，主要負(fù)責(zé)細(xì)胞免疫，在這里用T細(xì)胞模塊來轉(zhuǎn)發(fā)攻擊策略用以清除未知抗原，模擬特異性免疫的過程，其功能可用四元組＜ Ag，Ser(Ag)，Ab，Mark＞表示，Ag表示B細(xì)胞模塊發(fā)來的抗原信息數(shù)據(jù)；Ser(Ag)運用服務(wù)器端的計算能力對相應(yīng)的抗原信息數(shù)據(jù)進(jìn)行處理，創(chuàng)建針對該抗原的抗體；Ab表示從服務(wù)端收到的抗體信息；Mark為布爾變量，當(dāng)Mark =true時，表示清除成功，將抗原、抗體信息發(fā)送到疫苗接種算法，當(dāng)Mark=false時，表示清除失敗，重新激活T細(xì)胞模塊生成抗體。

4.2.9 疫苗接種算法

在HIS中，接種疫苗是預(yù)防和控制已知疾病的有效措施，這里用疫苗接種模塊來模擬這一過程，用其對網(wǎng)絡(luò)中尚未免疫的節(jié)點進(jìn)行疫苗接種，其功能可用三元組＜Ab，NeiMess( )，send ( )＞表示，Ab表示B細(xì)胞模塊和T細(xì)胞模塊發(fā)送過來的抗體信息；NeiMess ( )用于存儲相鄰節(jié)點的地址及是否免疫的狀態(tài)信息；send ( )是發(fā)送函數(shù)。

5 云安全免疫系統(tǒng)分析

CSIS的主要特點如下：

（1）適時激活各部分云安全免疫系統(tǒng)。借鑒人體免疫系統(tǒng)的功能，當(dāng)有外來信息進(jìn)入被監(jiān)測節(jié)點時，如行為正常則系統(tǒng)處于休眠狀態(tài)，若發(fā)現(xiàn)異常行為，則先進(jìn)行非特異性免疫（B細(xì)胞算法），無效后才進(jìn)行特異性免疫（T細(xì)胞算法），充分體現(xiàn)了人體免疫的思想。

（2）節(jié)約了網(wǎng)絡(luò)中的節(jié)點資源以及減少了帶寬的需求，同時充分利用了服務(wù)器端強大的并行計算能力。通過分層防御，當(dāng)檢測到異常行為時，先在本節(jié)點進(jìn)行處理，失敗后查詢記憶庫，再次失敗后才激活T細(xì)胞算法。在兼顧安全性的前提下，減少了服務(wù)器端與客戶端之間的流量通信，同時，抗體的生成也是十分復(fù)雜的，需要經(jīng)過精密的計算，利用服務(wù)端強大的計算能力來解決，不僅充分發(fā)揮了服務(wù)器端強大的并行能力，也大大節(jié)約了客戶端的節(jié)點資源。

（3）具有很高的時效性。對未知的信息可以迅速判斷出是否病毒或惡意代碼，對于已知的抗原則能迅速用B細(xì)胞算法或從網(wǎng)絡(luò)中已免疫節(jié)點的抗體庫中調(diào)取抗體進(jìn)行應(yīng)答，快速清除抗原，大大節(jié)約了時間。

（4）具有很高的準(zhǔn)確性。對于已知的信息與自我集中的合法行為進(jìn)行比較，對于未知的信息則與抗原數(shù)據(jù)庫中的異常行為進(jìn)行比較，避免了現(xiàn)有殺毒軟件需要程序與病毒庫中的病毒特征代碼進(jìn)行比較，不但提高了效率，避免了病毒代碼更新的滯后性，還可以有效地對未知的病毒、木馬進(jìn)行攔截，大大提高了準(zhǔn)確性。

6 總結(jié)

本文借鑒HIS的理論體系，對云環(huán)境平臺的免疫運行機理進(jìn)行了研究和設(shè)計。在充分查閱了國內(nèi)外的資料后，借助于人體免疫學(xué)的思想，設(shè)計了這套云安全免疫系統(tǒng)及其各部分運行機制和算法，并對其性能特點進(jìn)行了分析。實驗表明，當(dāng)系統(tǒng)中的節(jié)點遭受外來攻擊時，CSIS的檢測是十分有效和準(zhǔn)確的。

[1] 江陽.ASPack為EXE文件減肥[EB/OL].2011-04-13.http:// tech.sina.com.cn.

[2] 清風(fēng)網(wǎng)絡(luò).反病毒引擎設(shè)計[EB/OL].2003-07-08.http://freehan. vipcn.com/infoView/Article_754.html.

[3] Hume.病毒和網(wǎng)絡(luò)攻擊中的多態(tài)、變形技術(shù)原理分析及對策[J/OL].X’con,2003.

[4] 段鋼.加密與解密[M].北京:電子工業(yè)出版社,2003:265-295.

[5] Saber.木馬加殼為什么躲不過內(nèi)存查毒？[EB/OL].2006-12-20. http://www.infosecurity.org.cn/content/virus/article0128051038.htm.

[6] 王珊珊.基于計算機變形病毒及其防治現(xiàn)狀的探討[J].計算機與數(shù)字工程,2006(35):78.

[7] McAfee.Best Behavior-Making Effective Use of Behavioral Analysis[M].America:NETWORK ASSOCIATES,2002.

[8] Guangyan Zhou.Immunology principle[M].Beijing:Science Press,2013.

Research on operation mechanism of cloud security immune system

Along with the advent of big data era and the development of cloud computing technology, computer virus has also been evolving swiftly. Traditional feature code technology has been unable to cope with the needs of the current network. Under such circumstances, in order to better guarantee the safety of data run under the environment of cloud, cloud security immune system (CSIS) based on the theory of human immunity and behavioral analysis technology has been put forward by taking operational mechanism of human immune system as theoretical basis, using its functional characteristics for reference and combining immune system of computer with behavioral analysis technology. Operational mechanism of CSIS and its characteristics have been analyzed.

Cloud security; behavioral analysis; human immunity; security mechanism

TP393

A

1008-1151(2016)07-0007-03

2016-06-11

陳瑤琳（1987－），男，福建福州人，廣西大學(xué)計算機與電子信息學(xué)院研究生，研究方向為網(wǎng)絡(luò)信息安全。