基于仿生機理的內生安全防御體系研究

胡愛群，方蘭婷，李濤

基于仿生機理的內生安全防御體系研究

胡愛群1,2，方蘭婷1,2，李濤1,2

（1. 東南大學網絡空間安全學院，江蘇 南京 210096；2. 紫金山實驗室，江蘇 南京 211100）

針對防火墻、入侵檢測、防病毒等外殼式防御技術來不及檢測、分析和過濾惡意流量，防御機制沒有與網絡設備的安全狀態關聯，導致安全效能低的問題，提出一種基于仿生機理的內生安全防御體系。模仿生物體的高效安全防御機理，在設計和建造信息系統時，將巨量安全機制部署進入網絡的每一個安全部件中，通過網絡互聯將所有節點中的安全組件關聯在一起，對網絡進行全面、深度的安全態勢感知和防御，并通過人工智能“大腦”不斷地自主學習和演進，提升發現未知威脅和自動處理威脅的能力。通過構建全新的內生安全防御體系，將安全體系和信息系統高度融合，能夠解決現有信息系統防御效率低、無法處理高速率數據、不能應對未知威脅等問題，使網絡具有“與生俱來、自主成長”的安全防御能力，滿足“業務高可用、安全高效率”的信息系統發展需求。

內生安全；防御機制；仿生安全；自主學習

1 引言

隨著5G無線網絡進入商用階段，5G不僅在數據傳輸速率、連接數密度、端到端時延、峰值速率和移動性等關鍵性能上比前幾代移動通信系統更加豐富，而且能為實現海量設備互聯和差異性服務場景提供技術支持。同時，下一代網絡的廣泛運用，各類寬帶、移動業務蓬勃發展，應用類型日益精細區分，信息系統規模不斷擴大。5G和下一代網絡的發展，帶來了更多的安全問題，這為內生安全防御機理提供了驗證和實踐的機遇。

1.1 外殼式防御無法適應網速和應用的高速發展

信息系統的安全性將對包括實體經濟在內的社會、經濟領域的安全造成重大影響。未來信息系統將為大量垂直行業服務，如AR/VR、遠程駕駛、無線機器人、遠程醫療、大視頻、無人機、工業互聯網等。信息系統靈活、高效、融合、開放的特性使創新業務在交通、工業等行業快速融合，使垂直行業的應用更加多樣化，孕育新興信息產品和服務，創新行業應用，重塑產業發展模式。因此，信息系統在保證安全性的同時，需要將信息快速有效地進行傳輸，避免惡意流量、惡意軟件、非法接入等帶來的危害。

如圖1所示，現有的信息系統通過在網絡節點部署防火墻、防病毒軟件、入侵檢測系統來保障網絡數據傳輸的安全性，這是一種“外殼式”防御方法。

防火墻是設置在用戶網絡和外界之間的一道屏障，防止不可預測的、潛在的破壞侵入用戶網絡。防火墻在開放和封閉的界面上構造一個保護層，屬于內部范圍的業務，依照協議在授權許可下進行；外部對內部網絡的訪問受到防火墻的限制。

圖1 外殼式防御系統

Figure 1 Shell-based security system

防病毒軟件通過掃描過濾技術，完成病毒查殺工作。例如，在防病毒軟件中植入文件掃描過濾技術，防范有病毒的文件，或者在網絡網關上配置反病毒軟件，過濾含病毒的網站。

入侵檢測系統是一個動態的防御系統，它是對防火墻和防病毒軟件的補充。入侵檢測系統能通過分析、審計記錄，識別系統中任何不應該發生的活動，并采取相應的措施報告并制止入侵活動。入侵檢測系統的主要功能包括：監測并分析用戶和系統的活動情況；檢查系統的配置和漏洞；評估系統關鍵資源和數據文件的完整性；識別已知的攻擊行為；統計分析異常行為；管理操作系統日志，并識別違反安全策略的用戶活動。

然而，5G移動網絡架構日趨復雜，數據量呈指數級增長，數據來源更加豐富，內容更為細化，網絡數據分析的維度更廣泛。同時，隨著移動終端設備性能的增長，數據源發送速率更快，對安全信息采集的速度要求越來越高，漏洞日益增多，影響更加廣泛。這些變化使外殼式防御體系面臨問題：①防火墻來不及深度過濾；②入侵檢測系統來不及檢測入侵；③防病毒軟件來不及發現病毒。這些問題導致了信息網絡和信息安全“兩張皮”的外殼式防御方法無法保證逐漸一體化的巨流量信息網絡安全。因此，需要提出一種全新的安全防御體系，將安全體系和信息系統高度融合，使信息系統在安全防御過程中，既能有效地避開威脅，又不影響正常的信息傳輸過程，同時可以不斷調整和提高應對威脅的能力。

1.2 安全防御成為信息系統的負擔和應用發展的障礙

隨著信息系統規模的擴大，網絡上的數據正呈爆炸式的增長速度。大數據時代的到來不僅為傳統安全問題提供了新的分析思路，也給現有的數據分析理論和方法帶來了新需求和新問題。其中，數據的大體量、高維度使早期的集中式防御方法面臨高存儲、高計算復雜度等挑戰。

近年來，隨著網絡分布式計算的發展，安全防御研究思路逐漸從集中式單點檢測向分布式檢測方案轉變[1-2]。例如，文獻[3]通過分離數據與控制平臺為網絡提供高度開放性和可編程性，針對已有工作中SDN主動防御框架缺乏考慮網絡瓶頸的問題，提出了分布式欺騙防御系統。文獻[4]提出了在實時環境中檢測分布式拒絕服務（DDoS，distributed denial of service）攻擊的方法，通過人工神經網絡（ANN）算法區分DDoS攻擊流量與真實流量的特定特征。文獻[5]提出了一種完全分布式的框架，用于研究面對多個攻擊者發起的分布式拒絕服務攻擊時，多代理系統的協同行為。總體而言，相對于集中式的單點檢測，分布式的混合型機制能夠利用位于網絡中不同位置的節點進行全面的攻擊檢測和響應，從而盡早確認攻擊流量并在源端進行防御。

在構建分布式的混合型防御體系過程中，其中一個需要解決的問題是如何讓安全防御不成為整個通信系統的負擔。在現有的分布式防御體系中，所有傳播的信息必須先通過安全檢測系統。當數據體量很大時，安全檢測系統嚴重降低了流量傳輸的速度。在安全檢測速度跟不上流量傳輸速率的情況下，實際應用中會通過簡化安全防御策略來提高信息傳輸速度，進而導致系統安全防御效果嚴重下降。例如，現有的入侵檢測系統通常部署在網絡的主干節點，對吞吐性能要求高，大量的應用級檢測、過濾計算造成了嚴重的計算瓶頸，因此很多研究機構只是進行較低層次的數據包分析，限制了系統的使用效果。

除了不讓安全防御成為系統負擔，另一個待解決的問題是如何創建聯動機制，綜合分析和處理各個安全狀態采集器之間的信息。隨著信息載體類型和網絡互聯互通方式的增多，客觀上為攻擊者提供了更多的潛在入口和可利用途徑，傳統的防御體系沒有聯動機制，難以處理每個采集器之間的關聯關系。例如，防火墻大多采用“一刀切”的防御方法，對所有可疑數據包進行攔截，缺少對信息系統自身的分析和聯動，而對系統不構成威脅的數據包進行分析和攔截進一步影響了效率。因此，需要提出一種聯動處理方法，在不影響信息系統速度的情況下綜合分析所有的信息。

2 相關概念

2.1 生物神經系統

生物神經系統給安全防御研究提供了新思路。首先，生物在面臨外部威脅時，往往能夠產生合理的、適度的反應。例如，當人體的手接觸到蠟燭的火焰時，人往往只會移開手，而不是反應過度地從此不再接觸火。這是一種基于自身認識對外部攻擊的適度響應。其次，生物體內擁有的強大免疫系統能夠抵御病毒的內部入侵，這是一種內部攻擊發生后的免疫行為。最后，生物針對未知的威脅，通過自我學習，逐漸地具備防備此類威脅的能力。例如，嬰兒可以通過對外界的不斷感知，學習走路，防止摔倒，自身的免疫力也能夠通過“免疫記憶”的方式逐漸提高，這是一種“自我生長”的能力。

生物的這種安全防御能力是與生物自身高度融合的，是一種“內生”的安全機制，這種能力在系統的目標、結構及工作模式上與信息系統安全防御具有高度相似性，給研究者極大的啟示。因此，在信息系統中構造類似于生物防御系統的內生安全機制是理想的主動防御措施，引起了網絡安全研究者的重視。總體來看，目前內生安全的研究主要包括3部分：計算機免疫、擬態安全和智能安全。

Forrest等[6]提出了計算機系統中的類似生物免疫的模型，并在計算機上建立了一個人工免疫系統。在這個模型中，每臺主機是一個檢測節點，整個系統由分布在網絡中處于監聽狀態的一組主機構成。此外，Kim和Dasgupta兩個研究小組分別開展了基于陰性選擇模型的入侵檢測系統的研究，提出了各自的抗體和抗原匹配算子并研究了檢測器的生成算法[7-8]。Luo等借鑒生物免疫系統的抗體生長和成熟機制[9-10]，提出并解決了檢測器自適應生成問題、檢測器分配問題。周建國等[11]采用人工免疫模型建立了面向廣播式局域網的入侵檢測模型的框架。但由于信息系統現有體系架構的限制，構建的免疫防御的機制缺乏應用環境的支撐，通常應用在檢測系統內部的病毒攻擊方面。

生物規避風險的一種行為是通過偽裝躲避攻擊，這就是“擬態現象”，即一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環境，從而使一方或雙方受益的生態適應現象[12]。一些研究者根據擬態現象提出相應的安全防御方法，代表性的方法就是鄔江興提出的“擬態防御”[13]，該方法基于生物的擬態現象，提出了一種通過類似擬態偽裝的方式進行主動隱匿，較大程度上增加了攻擊的難度。擬態防御旨在隱藏受保護目標，使攻擊行為難以實施[14-15]。

智能安全是使用人工智能的方法對威脅進行分析，具有發現未知威脅的效果。近年來，人工智能在網絡安全領域的應用初顯端倪，從影響力和科技水平來看，人工智能的下一個熱點會是網絡安全，人工智能將是下一代安全解決方案的核心[16-17]。MIT的CSAIL實驗室與初創公司PatternEX共同開發的端到端系統“AI2”，可以不斷學習來自安全分析員的反饋，從而對新發生的事件進行預測，其準確率是類似的自動化網絡攻擊檢測系統的2.92倍，誤報率是同類的安全解決方案的1/6[18-19]。一些知名安全廠商開始了從使用以簽名為基礎的反病毒和反惡意軟件產品到采用不再依賴現有惡意軟件定義的機器學習模式來檢測威脅的轉變。

2.2 網絡空間安全

敵對勢力的破壞、黑客攻擊、惡意軟件侵擾、利用計算機犯罪、隱私泄露等，對信息安全構成了極大威脅。除此之外，科學技術的進步對信息安全提出新的挑戰。由于量子和DNA 計算機具有并行性，從而使許多現有公鑰密碼在量子和DNA 計算機環境下不再安全。因此，網絡空間安全的形勢是嚴峻的。

生物的防御系統同時處理大量的攻擊信息，不會影響到生物的其他功能。因此，需要基于生物防御系統研究出一種不影響信息系統其他功能的安全防御方法。

生物的神經系統神秘而復雜，研究根據已知的神經科學知識，建立網絡安全防御機制是一個復雜的問題。生物的安全防御系統具有各個結構和功能相互合作又各不影響的特性，理想的網絡安全防御體系也應該具有這樣的特性。若要實現這一特性，需要實現以下功能：①安全和功能組件高度融合；②大腦為安全風險決策；③整體協作達到安全。這種基于生物神經系統建立的安全防御機制叫作內生安全。

3 內生安全體系

傳統的安全防御體系通常是在反惡意軟件、網絡流量異常檢測、網絡安全運營和系統安全性評估等具體領域孤立地開展。智能安全是使用人工智能的方法對威脅進行分析，具有發現未知威脅的效果[16-17]。

內生安全從仿生學的角度，構建基于生物神經系統的信息系統內生安全體系。和現有的智能安全研究的區別是：內生安全將人體仿生系統、免疫、人工智能與5G移動通信網絡進行融合，參考人體神經系統分布式感知的特性布置巨量感知器，實時監測系統各部分變化，使用人工智能的方法構造類人腦的安全中心，通過匯總的信息做出決策，從而對外部入侵進行合理反制，對內部入侵進行免疫式防御。仿生體現在感知網絡的部署、類人腦的學習和決策、外部入侵的適度反制上，免疫體現在對內部入侵的標記和防御上，是一種基于仿生免疫的內生安全機制。根據仿生免疫的思想，攻克構建與信息系統高度融合的仿生免疫體系，設計分布式細粒度威脅感知與反制機制，設計與信息系統并行融合的多層傳輸網絡，建立不可復制的接入控制機制，使用人工智能的方法構建具有學習、處理、決策能力的安全中心等基礎理論問題。在5G網絡中部署感知、響應、免疫、安全中心這些關鍵安全部件，通過人工智能“大腦”的自主學習和演進，通過感知、判斷、對抗和反制、自主生長等生物與生俱來的自主反應能力，形成分布式細粒度威脅感知與反制、多層安全防御網絡、類腦安全控制和自主進化和決策等安全機理。建立“與生俱來、自主成長”的安全防護體系，主動應對信息系統面臨的安全威脅，打造全新的安全體系架構。

3.1 目標與路線

內生安全旨在解決由于網絡的快速發展和信息系統規模的擴大使安全防御系統來不及檢測威脅的問題和無法處理未知威脅的問題。即在設計、建造未來的信息通信系統時，把與安全相關的要素部署進入信息系統的每一個環節中，通過人工智能“大腦”的自主學習和演進，主動應對信息系統面臨的安全威脅，形成系統級的安全防護體系，且不會顯著影響通信系統的業務可用性。使內生安全系統具有以下能力。

1) 感知能力，能夠感知局部和整體運行環境的安全性，獲取相關信息。

2) 判斷能力，能夠根據感知到的信息進行分析、計算與判斷。

3) 對抗和反制能力，能夠消滅威脅，甚至可以反過來攻擊對方的防御系統。

4) 自主生長能力，能夠通過與運行環境的交互作用，使自己能夠適應環境變化，應對安全事件。通過體系模型的研究提出適用于信息網絡的內生安全架構與內生安全機制，并對各部分的接口進行標準化規范。

3.2 基本概念

圖2給出了內生安全防御體系的系統框圖，內生安全通過在各類安全功能之間建立橋梁，使彼此能夠交互信息，創建一個高度智能化的安全體系，自動化應對安全事件。以信息系統為對象，研究覆蓋終端、基站、核心網、應用系統在內的仿生免疫體系整體架構，提出各部分功能部件融入安全功能的標準，在不降低系統運行效率的情況下實現系統的內生安全防護，使信息系統在安全上具有感知能力、判斷能力、對抗和反制能力、自主生長能力。

圖2 內生安全防御體系

Figure 2 Endogenous security defense system

面向信息系統，以功能部件為基本單位，研究和部署大量類人體神經系統的分布式的細粒度威脅感知器和傳導機制，實時全面掌握系統的安全態勢；在安全部件中增加安全反制防御部分，把威脅或破壞消滅在局部，而不至于擴散到系統。在感知與反制基礎上，建立各種機制之間的關聯和分析方法，構建高度并行融合的安全事件多層傳輸網絡，形成多層的安全神經網，提高安全決策的效率；研究和設計仿生免疫安全體系所需的網絡協議，滿足免沖突、安全性、高效性等要求。

研究基于類腦智能的信息系統安全決策機制，構建智能安全中心，該安全中心可以并行高效地處理多模態海量數據，自主分析數據之間的關聯性、決策和自學習進化，判斷事件的安全本質特性并及時做出反饋，從而根據發現的風險產生對系統的控制決策，并將控制命令傳達給系統中的多個模塊聯動執行，實現系統風險最小化的信息網絡高效防護，維護信息系統的整體安全性。

3.3 內生安全體系與模型

隨著計算機網絡規模和復雜性的不斷增大，網絡的脆弱性越來越強。面對網絡攻擊技術的不斷革新，傳統的安全技術顯得“力不從心”。網絡入侵不可避免，網絡難免會遭受安全事件的損害從而存在安全風險。

人體面臨各種威脅時，往往能夠產生合理的、適度的反應。而現行的一些防火墻，往往會選擇隔離此類威脅，從而大大影響了用戶體驗。此外，人體針對未知的威脅，會通過自我學習，逐漸地具備防備此類威脅的能力。例如，嬰兒可以通過對外界的不斷感知，而逐漸提高自我的免疫力。因此，研究人體對外界威脅的智能反應對信息系統安全具有重要意義，在人體防御過程中，既能有效地避開威脅，又不會影響正常的日常生活，同時可以不斷調整和提高應對威脅的能力。

通過參考相關生物學文獻發現，正是遍布全身的神經元為人體提供了這樣的能力。神經元通過對周圍環境的感知以及分級的神經系統，為大腦做出合適的判決提供了源源不斷的信息，如溫度、表面粗糙度、濕度等。神經系統（nervous system）是機體內對生理功能活動的調節起主導作用的系統，主要由神經組織組成，分為中樞神經系統和周圍神經系統兩大部分。中樞神經系統包括腦和脊髓，周圍神經系統包括腦神經和脊神經。傳感器既用于實現各種功能，又用來實現安全目的。

除此之外，人體還具有一套免疫系統，免疫系統具有免疫監視、防御、調控的作用，包括先天免疫和獲得性免疫。免疫系統包含免疫器官、免疫細胞、免疫分子。通過免疫系統能夠識別入侵（非己）；識別惡意程序（清除腫瘤）；保護自身安全（自身功能的穩定）。

上述人體安全系統主要特征在于遍布系統的海量傳感器、綜合分析處理中心、遍布系統的聯動的應對處理模塊。將人體的神經系統進行抽象，與信息系統進行類比，可以得到如圖3所示的抽象類比結構，該結構主要包含3部分。

圖3 人體神經系統與仿生免疫抽象類比

Figure 3 Comparison between human nervous system and bionic immunity

（1）安全感知神經元是安全架構的底層組織，包含安全傳感和防護反制功能，能夠感知安全相關事件數據，將事件反饋并進行防護機制的實施。安全傳感包括網絡正常行為的描繪、數據包深度檢測、可疑活動的偏離行為、前端設備的運行情況等，將數據進行實時上報。防護功能包含傳統的安全機制，如加密、訪問控制、阻斷等；也包含一些功能性措施，如降低負載、提高運行速度等。

（2）智能決策中心是安全架構的大腦，通過不斷學習、自我完善，使安全防御的各個結構和功能相互合作又各不影響。通過類腦安全控制并行處理體系的數據，實現多任務整合、歸納和決策。通過自主進化決策對潛在的風險自主學習，實現安全性能的自我提升。智能決策中心具有整合、歸納和決策能力，對各部分神經元匯聚的數據進行分析，并根據已有的經驗進行防護部署。對收集到的來自分布式前端設備的數據進行集中化處理，描繪出潛在的安全缺口。在數據分析的過程中采用先進的交叉數據規律邏輯分析，用于辨別基于多種類設備和多層信息邏輯的缺口和威脅。智能決策中心具有自學習和自適應能力，在已知的缺口上使用機器學習技術，實現前瞻性安全防護和異常行為辨別。根據已有的專家知識庫提供設備異常行為的辨別方法，當可疑和可能的惡意活動發生時采取措施。在安全防護措施實施時，根據全網和全系統的運行情況進行核心任務防御機制的部署，確保核心功能的穩定運行。

（3）上行和下行傳輸通道，包含安全數據匯集和策略分發的機制和協議，提供上下行通道數據防護協議，確保采集數據的快速、完整上報和下行防護策略的正確配置。

3.4 滿足巨量感知、響應與免疫的多層高效安全機制

傳統的入侵檢測、防火墻、病毒檢測等技術屬于被動防御手段[20]，只能對系統局部進行檢測，獲取的信息之間缺乏關聯。近年來，網絡安全態勢感知技術逐漸引起研究人員的興趣[21-22]。網絡態勢感知技術可以從全局的角度識別、理解和分析威脅時間和空間環境中的元素，把握網絡整體安全狀況及預測未來變化趨勢。這類方法從大量數據中辨識網絡中的攻擊活動，融合這些信息對網絡的安全態勢進行實時評估和監控，并進行有效響應。然而，由于網絡攻擊的隨機性和不確定性，網絡安全態勢變化成為一個復雜的非線性過程，傳統的態勢感知模型無法依據網絡環境威脅的變化主動調整整個系統的防御策略，同時缺乏自適應性，無法識別未知攻擊，不能防范日益嚴重的網絡安全威脅。

生物防御系統是一個高度并行、分布、自適應、自組織的系統，具有很強的學習、識別、記憶和特征提取能力，具有強大的信息處理能力。信息系統的內生安全系統希望從生物防御系統的運行機制中獲取靈感，構建高度并行融合的多層安全防御網絡，用于解決網絡空間安全的實際問題。

生物防御系統具有以下威脅防御能力：在攻擊發生前規避風險；在攻擊發生后免疫風險。為了在信息系統中實現類似的安全防御能力，巨量感知、響應與免疫的多層高效安全機制的研究重點包括兩方面。

（1）以功能部件為基本單位，研究和部署大量類人體神經系統的分布式的細粒度威脅感知器和傳導機制，實時全面掌握系統的安全態勢；在安全部件中增加安全反制防御部分，把威脅或破壞消滅在局部，而不至于擴散到系統。部署反制系統，在遇到威脅后，反制對方的攻擊系統。

（2）在感知與反制基礎上，建立各種機制之間的關聯和分析方法，構建高度并行融合的安全事件多層傳輸網絡，形成多層的安全神經網絡，提高安全決策的效率。研究和設計仿生免疫安全體系所需的網絡協議，滿足免沖突、安全性、高效性等要求。

3.5 類腦安全控制中心

受腦信息處理機制啟發，借鑒腦神經機制和認知行為機制，發展類腦智能已成為近年來人工智能與計算科學領域的研究熱點[23]。已有的人工智能算法大多被設計用來執行特定任務，需要大量的數據集和強大的運算能力，才能獲得執行任務的能力。相較而言，人腦更擅長處理多任務，快速實現多感覺整合、歸納以及決策，而且只需要非常低的能耗。

美國國家科技委員會于2016年10月發布了題為“為人工智能的未來做好準備”的報告[24]，劃定美國人工智能發展路線和策略，報告用專門的章節闡述“人工智能和網絡安全”，描繪了當前和未來人工智能在網絡安全領域的美好藍圖。英國也高度重視智能網絡攻防的研究，并開展了人工智能應用于軍事網絡防御的相關演習。此外，歐盟將“人腦工程計劃”列入未來新興旗艦技術項目；日本、韓國、加拿大等先后發布大腦發展戰略和共識；艾倫研究所、谷歌公司、微軟公司等研究機構和企業，紛紛加入該項目。

我國神經科學與人工智能界已經初步提出“腦科學和類腦研究”和“人工智能2.0”計劃[25-26]概念。該腦科學和類腦研究以“一體兩翼”為基礎操作框架，關注腦認知科學的基礎知識、神經精神性疾病的診斷與干預、類腦研究[27]。“人工智能2.0”涉及大數據智能、群體智能、跨媒體智能、人機混合增強智能、自主智能系統等領域。類腦研究是內生安全體系的研究重點，內生安全中類腦安全控制技術的研究重點包括3方面。

（1）研究基于類腦智能的網絡安全控制技術，維護系統的整體安全性，可以并行高效地處理海量數據，分析數據之間的關聯性，判斷事件的安全性并及時做出反饋。

（2）在重視類腦智能的網絡安全控制技術前沿理論研究的基礎上，應積極開展計算神經科學研究，充分利用神經科學研究成果，挖掘人腦智能機制，建立類腦智能新理論，開發類腦人工智能算法和新模型。一方面，類腦人工智能的技術突破，需要有新理論、新算法、新模型的支撐；另一方面，加強人工智能技術與產品的研發、應用和產業化發展，可以反過來助力神經科學研究與創新。

（3）將人工智能的自我學習過程與人類已經積累的大量高度結構化的安全知識相融合，使內生安全體系擁有高度感知、邏輯推理、抽象思維等高級認知功能。

3.6 自主進化和決策

學習與記憶是人類和動物認識世界的基礎之一，理解人類如何在不確定的環境中做出適應性反應，是基于人類防御系統構建內生安全體系的重要理論基礎。

傳統的安全防御系統的方法是試圖建立一個完全安全的系統。然而，在實踐中，建立完全安全的系統是不可能的。首先，設計和實現一個整體安全的系統相當困難。其次，現有的加密方法、訪問控制和保護模型等本身存在一定問題。最后，安全系統會受到不可控因素的影響，如內部用戶的攻擊等。

既然建立完全安全的系統是不現實的，而且現有的安全技術措施具有各種不足。那么一個實用的方法是建立比較容易實現的安全系統，同時按照一定的安全策略建立相應的安全輔助系統，該系統能夠在不影響現有系統工作及網絡性能的前提下進行學習和自我完善，并為系統提供對內部和外部攻擊以及誤操作有效的保護手段。

人體防御系統具有良好的多樣性、耐受性、免疫記憶、分布式并行處理、自組織、自學習、自適應和魯棒性等特點。計算機系統的安全問題與人體防御系統所遇到的問題具有驚人的相似性，兩者都是在不斷變化的環境中維持系統的穩定性，這將為生物防御系統引入網絡空間安全防御研究領域提供充分的理論依據。

安全資源的消耗無法應對當前海量的檢測需求，因此需要在確保系統安全的情況下，解決安全防御帶來的過量系統負擔問題。利用模擬生物的自適應能力優化安全決策，實現去中心化或者部分去中心化的安全防護，降低消耗。在局部完成主要的安全感知和決策的工作，保證系統的運行效率，同時最小化安全風險，實現高效的信息網絡防護體系。模擬人體防御系統的自我學習機制，不斷提高安全系統的防御能力。自主進化和決策的研究重點包括以下3方面。

（1）多模態感知整合研究，生物的大腦整合不同模態的感知信息從而做出最優化的判斷，這是生物智能發展的重要基礎，內生安全研究需要基于生物的整合判斷的方式，通過整合不同模態的感知信息，用于解決網絡空間系統中遇到的實際問題。

（2）決策行為的研究，決策是從多種選項中挑選出結果的思維或認知過程，是生物在不確定的環境中做出的適應性反應，內生安全體系需要根據生物的決策行為做出對網絡攻擊事件的適應性反應。

（3）學習與記憶機制，學習與記憶是人體認識世界的基礎之一，因此，內生安全應該以人體的學習與記憶為基礎，開展自我進化的研究。

4 結束語

內生安全的體系參考人體神經系統分布式感知的特性布置巨量感知器，實時監測系統各部分變化，使用人工智能的方法構造類人腦的安全中心，通過匯總的信息做出決策，從而對外部入侵進行合理反制，對內部入侵進行免疫式防御。

內生安全體系的研究方向包括以下3方面：①滿足巨量感知、響應與免疫的多層高效安全機制，主要研究如何部署大量分布式的細粒度威脅感知器、傳導機制和安全反制防御機制，以及如何建立各種機制之間的關聯和分析方法；②類腦安全控制中心，主要研究基于類腦智能的網絡安全控制技術、計算神經科學研究、融合人工智能的自我學習過程和人類已經積累的安全知識；③自主進化和決策，主要研究學習與記憶機制、決策行為的研究、多模態感知整合研究。

通過構建內生安全防御體系，最終能夠解決現有通信網絡防御效率低、無法處理高速率數據、不能應對未知威脅等問題，使安全體系和信息系統高度融合，安全體系可以主動應對信息系統面臨的安全威脅，形成系統級的安全防護體系，且不會顯著影響信息系統其他功能的可用性。

[1] YAN Q, YU F R, GONG Q, et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: a survey, some research issues, and challenges[J]. IEEE Communications Surveys & Tutorials, 2015, 18(1): 602-622.

[2] WANG K, DU M, MAHARJAN S, et al. Strategic honeypot game model for distributed denial of service attacks in the smart grid[J]. IEEE Transactions on Smart Grid, 2017, 8(5): 2474-2482.

[3] 徐明迪, 高楊, 崔峰. 基于 SDN 的分布式欺騙防御系統[J]. 通信學報, 2018, 39(A2): 54-60.

XU M D, GAO Y, CUI F. Distributed deception defense system based on SDN[J]. Journal on Communications, 2018, 39(A2): 54-60.

[4] SAIED A, OVERILL R E, RADZIK T. Detection of known and unknown DDoS attacks using artificial neural networks[J]. Neurocomputing, 2016, 172: 385-393.

[5] XU W, HU G, HOD W, et al. Distributed secure cooperative control under denial-of-service attacks from multiple adversaries[J]. IEEE Transactions on Cybernetics, 2019: 1-10

[6] FORREST S, HOFMEYR S A, SOMAYAJI A. et al. A sense of self for UNIX processes[C]//In Proceedings of the 1996 IEEE Symposium on Security and Privacy. 1996: 120-128.

[7] GONZALEZ D. An immunogenetic approach to intrusion detection[R]. 2001.

[8] BENTLEY K. The artificial immune model for network intrusion detection[C]//The 7th EUFIT'99. 1999.

[9] LUO W J, ZHANG S H, LIANG W, et al. NIDS research advance based on artificial immunology[J]. Journal of University of Science and Technology of China, 2002, 22(5): 520-531.

[10] BECK G, HABICHT G S. Immunity and the inverte-brates[J]. Scientific American, 1996, 275(5): 60-66.

[11] 周建國. 網絡入侵檢測的免疫學建模及其仿真研究[D]. 北京: 北京航空航天大學, 2002.

ZHOU J G. Simalation and modeling of immunology network intrinsion detection[D]. Beijing: Beijing University, 2002.

[12] Mimic octopus. Wikipedia, the free encyclopedia[EB].

[13] 鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報，2016，1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[14] HU H C, WU J X, WANG Z P, et al. Mimic defense: a designed-in cybersecurity defense framework[J]. IET Information Security, 2017, 12(3): 226-237.

[15] HU H C, WANG Z P, CHENG G Z, et al. MNOS: a mimic network operating system for software defined networks[J]. IET Information Security, 2017, 11(6): 345-355.

[16] BUCZAK A, GUVEN E. A survey of data mining and machine learning methods for cyber security intrusion detection[J]. IEEE Communications Surveys & Tutorials, 2015, 18(2): 1153-1176.

[17] HAREL Y, GAL I B, ELOVICI Y. Cyber security and the role of intelligent systems in addressing its challenges[J]. ACM Transactions on Intelligent Systems and Technology. 2017, 8(4): 49.

[18] DONG Y, HAN Q L. Guest editorial special issue on new trends in energy internet: artificial intelligence-based control, network security, and management[J]. IEEE Transactions on Systems, Man, and Cybernetics, 2019, 49(8): 1551-1553.

[19] JESCHKE S, BRECHER C, SONG H B, et al. Industrial internet of things and cyber manufacturing systems[M]. Springer International Publishing, 2017: 3-19.

[20] 張煥國, 韓文報, 來學嘉, 等. 網絡空間安全綜述[J]. 中國科學: 信息科學, 2016, 46(2): 125-164.

ZHANG H G, HAN W B, LAI X J, et al. Cyber security overview[J]. Science China: Information Science, 2016, 46(2): 125-164.

[21] VINCENT L, TANNER A, BLARER A. Gaining an edge in cyberspace with advanced situational awareness[J]. IEEE Security & Privacy, 2015, 13(2): 65-74.

[22] 李艷, 王純子, 黃光球, 等. 網絡安全態勢感知分析框架與實現方法比較[J]. 電子學報, 2019, 47(4): 927-945.

LI Y, WANG C Z, HUANG G Q, et al. A survey of architecture and implementation method on cyber security situation awareness analysis[J]. Acta Electronica Sinica, 2019, 47(4): 927-945.

[23] POO M M, DU J L, LP N Y, et al. China brain project: basic neuroscience, brain diseases, and brain-inspired computing[J]. Neuron, 2016, 92: 591-596.

[24] BUNDY A. Review of preparing for the future of artificial intelligence[J]. AI and Society, 2017, 32(2): 285-287.

[25] PAN Y H. Heading toward artificial intelligence 2. 0[J]. Engineering, 2016, 2(4): 409-413.

[26] PAN Y H. Special issue on artificial intelligence 2. 0[J]. Frontiers of Information Technology & ElectronicEngineering, 2017, 18: 1-2

[27] 蒲慕明, 徐波, 譚鐵牛. 腦科學與類腦研究概述[J]. 中國科學院院刊, 2016, 31(7): 725-736.

PU M M, XU B, TAN T N. Brain science and brain-inspired intelligence technology-an overview[J]. Bulletin of Chinese Academy of Sciences, 2016, 31(7): 725-736.

Research on bionic mechanism based endogenous security defense system

HU Aiqun1,2, FANG Lanting1,2, LI Tao1,2

1. School of Cyber Science and Engineering, Southeast University, Nanjing 210096, China 2. Purple Mountain Laboratories, Nanjing 211100, China

Shell-based security defense technologies such as firewall, intrusion detection and anti-virus cannot be updated in a timely fashion upon identification of attacks. The security defense mechanism is not associated with the security status of network devices, resulting in low security performance. To solve the above problems, an endogenous security defense system based on the bionic security mechanism was proposed. Firstly, imitating the security defense mechanism of the organism, the endogenous security system integrated the security component with each other at the construction process. Secondly, the endogenous security associates all security components through network interconnection, and proposed a defense in depth and comprehensive approach to increase the security of a system. Finally, through the self-learning, endogenous security's ability of threat detection was continuous enhanced. By integrating the security system and information system, an endogenous security defense system was constructed. The endogenous security defense system can handle the challenges such as low defensive efficiency ratio, high-speed data processing, and unknown threats detection. The endogenous security system is an efficient security defense system of “innate growth and independent growth”. It meets the development needs of information systems with “high availability, security and high efficiency”.

endogenous security, defense mechanism, bionic security, independent learning

TP309.1

A

10.11959/j.issn.2096?109x.2021002

2020?05?08；

2020?07?03

方蘭婷，101012508@seu.edu.cn

國家自然科學基金（6162520）；至善青年學者支持計劃

The National Natural Science Foundation of China (6162520), Youth Scholar Program of SEU

胡愛群, 方蘭婷, 李濤. 基于仿生機理的內生安全防御體系研究[J]. 網絡與信息安全學報, 2021, 7(1): 11-19.

HU A Q, FANG L T, LI T. Research on bionic mechanism based endogenous security defense system[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 11-19.

胡愛群（1964? ），男，江蘇如皋人，博士，東南大學教授、博士生導師，主要研究方向為網絡與信息安全、移動通信安全技術。

方蘭婷（1990? ），女，安徽六安人，博士，東南大學講師，主要研究方向為內生安全技術、數據挖掘技術、人工智能技術。

李濤（1984? ），男，江蘇鎮江人，博士，東南大學講師，主要研究方向為安全評估、移動終端防護。