基于免疫的網絡環境威脅自適應發現研究

◆賈佳

（空軍裝備部信息保障室 北京 100000）

網絡外部環境威脅變化感知與風險控制是網絡安全防御策略制定的基本依據。當前，由于缺乏實時定量的網絡外部環境威脅變化感知與風險控制方法，國內外現有網絡安全防御策略的制定基本上都是依據對網絡過去的安全事件的一個大致描述，從而導致現階段只能依據歷史經驗來進行被動防御：按照過去的經驗或教訓采取一種或幾種固定的安全手段作為相應的防護措施[1]。這種安全方案在很大程度上僅針對固定的威脅和環境弱點，并且忽略了Ⅰnternet 安全的重要特征，即Ⅰnternet 安全沒有固定的過程和方法，所謂“道高一尺，魔高一丈”，它是矛與盾的無限循環。安全不是一朝之事，幻想一勞永逸的解決方案非常危險，安全是一個動態的、不斷完善的過程[2]。這種基于歷史經驗、固定、靜態的傳統網絡安全防御策略，用句不太恰當的比喻來說，幾乎都是“摸著石頭過河”、“紙上談兵”、“事后諸葛亮”等，或者說具有較大的盲目性和被動性，不能適應日益復雜、多變、矛盾尖銳的真實網絡環境，必須尋求新的思路。

受生物免疫系統的啟發，研究基于免疫的網絡環境威脅自適應發現方法，能實時定量地計算宏觀網絡、區域網絡、子網、以及網絡中任意主機面臨某一種攻擊時的單一風險，以及面臨所有攻擊時的整體綜合風險等指標，并可隨真實網絡環境同步動態演化，在此基礎上，可依據當前網絡環境威脅風險等級指標等主動調整當前系統的防御策略，進行有針對性的防御，有效控制當前網絡、以及主機面臨攻擊時的動態風險，提高網絡系統在復雜應用環境中的生存能力。

1 基于免疫的網絡環境威脅自適應發現原理分析

本文的研究思路是依據免疫系統基本原理，提出研究一種新的基于免疫的網絡環境威脅自適應發現模型。如圖1 所示，我們在具體研究時將計算機免疫系統抽象為人體免疫系統，具體地，我們將ⅠP 包抽象為抗原，將自體抽象為合法的網絡活動或數據，非自體抽象為非法的網絡活動或數據，將免疫細胞抽象成入侵檢測系統中的檢測器，將抗體抽象成相應的匹配器，抗體對抗原的捕獲抽象為入侵檢測，于是，相應的威脅發現工作即為對一個輸入的抗原集合Ag，通過免疫檢測器B 分類為自體和非自體的過程[3-4]。

圖2 是基于免疫的網絡環境威脅自適應發現的工作原理。在檢測器的進化過程中，根據檢測器自身的演變分為未成熟檢測器、成熟檢測器以及記憶檢測器三類。其中，新生成的未成熟檢測器經過自體耐受后進化為成熟檢測器。成熟檢測器在一定生命周期內匹配到一定數目的非自體抗原就會被激活而進化為記憶檢測器，否則由于年齡過大而死亡[5-6]。

圖1 人體免疫與網絡安全基本概念對照表

模型的工作流程由三部分組成，一部分是檢測器識別入侵的過程（由上至下，對應抗原的演化）；另一部分是檢測器進化過程（由下至上）；第三部分是疫苗的分發與接種機制。三個過程相互影響、相互制約，并同時進行[7]。

2 基于免疫的網絡環境威脅自適應發現模型構建

2.1 成熟檢測器的動態演化

成熟檢測器動態演化模型模擬BⅠS 的初次應答，其中主要的依據為模擬免疫系統的克隆選擇原理。克隆選擇機制形成模型的學習能力，學習檢測未知攻擊或病毒的能力，其具體方法為：

該方程可以進化為記憶檢測器（以期下次類似攻擊來臨時能夠迅速捕獲），否則，將走向死亡Tdead（t），被新生的成熟檢測器Tnew（t）（=Ⅰmaturation（t））所代替[8-9]，其中：

2.2 記憶檢測器的動態演化

記憶檢測器的激活與克隆機制模擬BⅠS 的二次應答，二次應答無須學習過程，具有快速捕獲已知攻擊或病毒的特點[10]：

其中M（t），M（t-1）分別表示t時刻與t-1 時刻的記憶檢測器集合；Mfirst是最初的記憶檢測器，這些記憶檢測器可以從其他的入侵檢測系統或者病毒檢測系統獲得（如典型攻擊、病毒的特征碼等）；Mdead(t)是t時刻發生錯誤肯定的記憶檢測器，必須及時清除，以避免免疫系統攻擊自身；Mnew（t）（=Tcloned（t））為新生的記憶檢測器。

2.3 基于抗原變化觸發的免疫檢測器動態更新方法

抗原更新方法的基本流程如圖1 所示：首先查找覆蓋范圍內發生了抗原變化的網格單元的集合Vcell；其次對于Vcell中的每一個網格celli，分別調整由自體變為非自體，以及由非自體變為自體的兩類抗原在層次聚類樹中的聚類節點；重新訓練與受調整聚類節點在同一聚類層的檢測器。由于該檢測器更新過程避免了對全部檢測器的重復訓練，因此能夠有效地提高檢測器的更新效率。接下來詳細介紹對于網格單元內的檢測器的更新過程。

對于網格celli，其內部的自體改變包含兩部分：由非自體變為自體的抗原集合為Sns，以及由自體變為非自體的抗原集合為Ssn。一方面需要刪除覆蓋Ssn中新自體抗原的舊檢測器，另一方面我們需要補充新的檢測器以覆蓋Sns中新產生的非自體抗原。

首先用新產生的非自體集合Ssn更新檢測器，采用自頂向下的方式查找層次聚類樹，對于第j個聚類其父聚類編號為i，n為聚類總個數，令中包含的原自體集合為Scj，從自體變為非自體的成員組成的集合為Sns_cj。

然后用新產生的自體集合Sns更新檢測器，同樣采用自頂向下的方式查找層次聚類樹，對于第j個聚類其父聚類編號為i，n為聚類總個數，令滿足下式的Sns的子集為Ssn_cj

2.4 疫苗分發與接種

為迅速提高整個系統識別類似網絡入侵的效率，本項研究還提出了一種疫苗接種方法：當成熟檢測器遇抗原產生克隆時（匹配足夠抗原，發現新的網絡入侵，進化為新的記憶檢測器），該檢測器克隆同時被發送到網絡中所有其他機器上并直接作為記憶檢測器（疫苗），以迅速使其他機器具備抵御類似網絡入侵的能力。

3 總結

在網絡威脅自適應發現方面，本項研究最大的創新在于提出了一種新的、基于免疫的網絡威脅自適應發現方法，通過設置自體的演化周期，從網上自然收集新的自體元素，同時淘汰那些已無太多用處的自體元素，并引入基于層次聚類的免疫檢測器動態耐受這一新概念，巧妙地將變與不變有機地統一起來，從而使自體的定義達到了與真實網絡世界隨時間同步動態演化的目的。