生物免疫啟發下的一種內生安全技術框架

李玉峰，曹晨紅，李江濤，王鵬

（1. 上海大學，上海 200444；2. 網絡通信與安全紫金山實驗室，江蘇 南京 211100；3. 中原工學院，河南 鄭州 451191）

1 引言

內生安全，是網絡安全領域的新興概念與技術方向，是我國科學家最早針對網絡空間安全現狀的哲學性歸納與論述[1]。2016年，中國互聯網安全大會（ISC）上，鄔江興院士發表了內生安全的相關論述[2]，先后出版了關于擬態防御與內生安全的中英文著作[3-4]。該理論體系的內生安全問題被抽象為兩類。一類是狹義內生安全問題，特指一個軟/硬件系統除預期的設計功能之外，總存在包括副作用、脆弱性、自然失效等因素在內的非期望功能；另一類是廣義內生安全問題，專指在狹義內生安全問題之上，還包括對最終用戶不可見，或所有未向使用者明確聲明或披露過的軟/硬件隱匿功能，例如前門、后門、陷門等“暗功能”問題。當前，“查漏補缺”、加密認證、沙箱蜜罐等傳統防御措施很難有效應對基于內生安全問題的不確定性威脅，為此，該理論體系給出了基于內生性安全機制的網絡空間擬態防御概念和技術。

奇安信集團董事長齊向東在2019年北京網絡安全大會（BCS2019）指出，面對不斷變化的網絡威脅，網絡安全進化到了“內生安全”時代，信息系統需要不斷生長出自適應、自主和自成長的安全能力[5]。他在第六屆世界互聯網大會企業家高峰論壇上還提出，通過建立“一個中心，五張濾網”的內生安全體系，能極大降低網絡攻擊風險，從而真正保證業務安全[6]。其中，“一個中心”指的是安全運營中心，“五張濾網”指的是網絡、身份、應用、數據和行為五張濾網。

本文從生物免疫機制體現出的內生性安全效應出發，提出了生物免疫啟發下的一種內生安全三層防御技術框架，針對框架中第二重防線帶來的挑戰進行了技術分析，給出了可選擇的解決方案，分析了該框架的應用場景。

2 生物免疫機制

生物免疫是一個高度復雜的系統，既有生物個體的免疫機制及系統，還有生物群體的免疫機理與機制，共同實現對各種已知和未知病毒的有效防御。

早期研究中，1994年Forrest等[7]和Kephart[8]在檢測惡意軟件方面的開創性工作中強調了生物免疫對計算機安全的啟發；參考文獻[9-12]提出了使用免疫系統模型檢測計算機病毒問題，參考文獻[13-14]等利用免疫系統的多層模型進行身份識別和入侵檢測。近年來，使用機器學習（ML）技術的網絡免疫方法研究成為了一個熱點，可以通過ML檢測某個網絡傳輸模式或數據是否是惡意的[15-16]。正如參考文獻[17-18]中總結的一樣，以往研究基本都圍繞異常檢測展開，類似生物免疫系統中區分非我（異常對象）和自我（被監測系統的正常特征屬性集合）的檢測機制。參考文獻[18]還總結了5個檢測主題，即惡意進程檢測、異常檢測、入侵檢測、掃描和洪水檢測以及欺詐檢測。惡意進程的檢測是在主機級別完成的，而入侵、掃描和洪水的檢測更多是在網絡上處理的問題。欺詐檢測主要分析垃圾郵件和網絡釣魚等問題。

本文著重從系統層面考慮生物個體免疫系統對內生安全的研究啟示。維基百科對免疫系統進行了很全面的概述[19]。免疫系統通過分層防御保護生物體免受感染。在“分層防御”模型中，生物以三道防線抵御致病微生物的侵害：第一層物理屏障（如表皮）可以防止病原體，如細菌和病毒進入生物體內。病菌如果突破了第一道防線，那么緊接著第二道防線——先天性免疫系統就會產生迅速但非特異性的免疫反應。先天免疫系統是生來就有的免疫系統，存在于所有的動植物中，又稱為非特異性免疫、固有免疫、非專一性防御，包括一系列的細胞及相關機制，可以以非特異性的方式抵御外來感染，也就是說先天免疫系統的細胞會非特異地識別并作用于病原體，是一種快速的、廣泛的免疫反應[20]。人類在沒有疫苗的時候能夠戰勝新型病毒，依靠的主要就是非特異性免疫。如果病原體再次成功地逃過第二道防線，脊椎動物體內還有第三層保護，即后天免疫系統[21]，也稱為獲得性免疫、適應性免疫、特異性免疫、專一性防御，是一種經由與特定病原體接觸后，產生能識別并針對特定病原體的特異性免疫反應，疫苗接種背后的原理，就是將一種來自于特定病原體的抗原引入機體，在不引發病理癥狀的前提下，使機體的免疫系統獲得對這種病原體的抵抗能力。最后，需要注意的是，先天免疫系統（非特異性免疫）和后天免疫系統（特異性免疫系統）是密切合作的，而不是互相排斥的[21]，非特異性免疫是特異性免疫發展的基礎，從個體發育來看，當抗原物質入侵機體以后，首先發揮作用的是非特異性免疫，而后產生特異性免疫。

3 生物免疫機制的內生安全啟示

生物免疫機制能夠讓生物在不依賴外體的情況下，依靠本體的三重防線就能應對各種已知和未知的病毒，體現出明顯的自主性、魯棒性，而且通過第二道防線和第三道防線的激活作用和密切合作不斷形成新的免疫記憶，使整個免疫系統呈現出典型的自適應性和自成長性。因此，一定意義上可以認為，生物免疫是一種典型的內生安全技術示例。

在脊椎動物免疫機制的啟發下，若能建立類似的網絡安全技術框架，將有效應對各種已知和未知的網絡安全威脅。該框架包括三層防御模型：第一層包括物理隔離等安全手段和加密保護等安全技術，建立類似人類皮膚的第一道防線，阻止未經授權的用戶進入網絡；第二層建立類似人類的非特異性免疫能力。感知和應對未知的安全威脅（未知漏洞、未知后門、未知陷門等），同時形成第三層防御的基礎；第三層建立類似人類的特異性免疫能力，在第二層防線感知到未知安全威脅后，分析給出該威脅的特征并為該威脅添加相應的安全策略，使未知威脅變成已知特征的威脅，讓系統在面對同樣或類似安全威脅時能夠依靠類人的“免疫記憶”，檢測出威脅并進行針對性防御。第三層防線的本質是建立針對已知特定威脅的高度專門化的檢測策略和防御策略，產生類似專門疫苗的特定病毒防疫效應。實際上，當前的網絡防御措施中，如防火墻、入侵檢測（IDS）、IPS、防病毒軟件、漏洞修補等，其核心機理基本沿循威脅特征感知及防御的思路，首先必須獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為等先驗知識的支撐，然后才能夠對網絡威脅進行高效的針對性識別和及時防御，因此，從機理上屬于“后天獲得性免疫”，可以歸類為第三層防御手段，其存在的主要問題是自身無法有效抵御基于系統軟/硬件未知漏洞和未知后門等未知威脅（例如零日攻擊等）。

4 技術挑戰與解決方案

4.1 主要技術挑戰

綜上可以發現，建立類似脊椎動物三層免疫模型的主要挑戰就在于第二層防線的建立，換言之，當前網絡信息系統缺乏一種系統內生的能夠有效感知和應對未知特征網絡威脅的非特異性防御能力。正因為此，網絡空間很難形成一整套體系化的內生安全防線，常常呈現出一種“亡羊補牢”場景：一種未知的網絡威脅往往只能在爆發并造成危害后才會被發現和分析，建立針對該威脅的知識并添加到防御策略中，實現“未知”變“已知”，然后才能針對性防御。

要建立類生物的第二層防線，獲得一種系統內生的非特異性的網絡防御能力，核心挑戰就在于要能感知和防御未知的網絡威脅，同時激活第三層防線建立“免疫記憶”。當前，有很多研究能夠在不同程度上實現對未知威脅的檢測和防御。

有許多研究基于機器學習的方法檢測未知攻擊[22-24]。由于正常網絡流量是時變的，很難準確建模，而且訓練多個攻擊模型對特征選擇也有很高的要求，因此，這類方法雖然在一定程度上能檢測未知的入侵行為，但大多面臨檢測精度不高、誤報率較高等問題。

還有很多研究提出了使用蜜罐技術檢測分析未知的網絡攻擊[25]。蜜罐使用具有很大的局限性，蜜罐收集的數據面很窄，而且蜜罐一旦被攻破，反而可以被利用發動其他攻擊，因此，很多時候需要與其他安全措施配合使用。

很多研究認為，類似零日攻擊等利用新漏洞或新技術的新型攻擊，很難用傳統安全方法檢測，但包括零日惡意軟件在內，很多攻擊都會顯露出攻擊時的一些特殊行為，基于行為分析的未知攻擊檢測核心是用異常檢測查找這些異于常規的行為[26]。但由于不同的攻擊通常具有不同的網絡行為分布，因此該方法的使用有很大的局限性。

此外，還有一類以動態防御為特征的技術能夠抵御未知網絡威脅。這類技術通過地址隨機化、指令隨機化、軟件多態化等技術動態改變軟/硬件自身或其執行環境，對軟/硬件進行防御；或者通過對網絡拓撲、網絡節點、網絡配置或網絡業務進行動態化、虛擬化和隨機化處理，改變網絡靜態性、確定性和相似性，有效抵御對目標網絡的攻擊；或者利用數據隨機化技術、N變體數據多樣化技術等，動態化改變數據的格式、編碼或者表現形式，實現對數據的保護。或者通過可重構技術、基于異構平臺的應用熱遷移技術、Web服務多樣化等動態化技術，動態改變平臺從而使平臺及其上的應用環境呈現出不確定性，使攻擊者難以進行有效攻擊。2011年，美國國家科學技術委員會提出了移動目標防御概念，該技術的核心思想致力于構建一種動態、異構、不確定的網絡空間目標環境增加攻擊者的攻擊難度，以系統的隨機性和不可預測性來對抗網絡攻擊[27]。參考文獻[28]中介紹了動態目標防御的基礎，基于軟件變化的動態目標防御方法，以及基于網絡和軟件棧配置的動態目標防御方法等。

綜合上述技術分析可以發現，這些技術或者僅能在一定程度上檢測并感知未知威脅；或者主要依靠偽裝或動態化技術增加攻擊難度，從而實現對未知威脅的防御；或者準確性不能確保或實用性受限，很難同時提供高可靠、高可信、高可用一體的對未知威脅的感知和防御能力。

4.2 DHR構造的內生安全效應

動態異構冗余（dynamic heterogeneous redundancy，DHR）構造，是為應對網絡空間中基于未知漏洞、后門等未知威脅，提供一種基于內生安全機理的普適性構造方法[29]。

圖1 傳統構造與DHR構造的主要差別

信息系統傳統構造與DHR構造的主要差別如圖1所示，傳統構造方法由單一執行體完成確定的系統功能，其特性可以歸納為靜態性和單一性，攻擊者一旦掌握了該執行體的漏洞或后門，執行體可能就對攻擊者單向透明。DHR構造的特性是動態、異構、冗余。DHR構造主要包括分發代理、運行執行體集、裁決器、負反饋調度和異構執行體池。其中，分發代理負責將外部的輸入信號序列分發給運行執行體集中的各個功能等價異構執行體，這些執行體完成處理后將結果矢量輸出給裁決器，裁決器對所有執行體產生的輸出矢量組成可歸一化的裁決界面，然后通過大數裁決、迭代裁決等裁決準則得到最終輸出結果。通過裁決若發現了某執行體輸出異常，則負反饋調度器根據內部預先設置的調度策略和智能學習算法，激活并下發指令會使相關部件動態完成對該執行體及當前運行環境的更換、遷移、清洗、重組、重構等操作，這一過程是迭代執行的，直至判決器異常情況消失或發生頻度低于某個設定的閾值為止。

DHR構造建立在“相對正確公理”基礎之上。該公理可以通俗表述為：“人人都存在這樣或那樣的缺點，但極少出現獨立完成同樣任務時，多數人在同一個地點、同一時間、犯完全一樣錯誤的情形”[4]。有研究者將其命名為“相對正確”公理(true relatively axiom，TRA)，也稱之為“共識機制”。實際上，成熟的非相似余度架構（dissimilar redundancy structure，DRS）也是相對正確公理的一種實踐應用。美國波音公司在開發基于DRS架構的飛行控制儀過程中，為確保軟/硬件的異構性最大，采用了極為嚴格的工程管理手段和技術開發方法，通過選拔不同教育背景、技術背景甚至文化背景的人員組成完全獨立的多個研發團隊，各自使用不同的開發語言和工具，以達到盡力避免或抑制共模故障或失效的目的。這種構造的飛行控制器的失效概率低于10-11。采用DRS架構設計的F16戰機飛行控制器的失效率也低于10-8。當然，獲得超高可靠性的同時，這種開發模式的代價也是非常高昂的。

DHR架構集成了DRS架構的異構冗余屬性，因此同樣都是一種超高可靠性架構。需要說明的是，在異構冗余之外，DHR架構新導入了動態性和隨機性，從而新增了抗網絡攻擊的性能。除了通過共識機制對已經發現的異常執行體進行動態替換之外，DHR架構還建議不定期地對當前運行的異構執行體集合進行隨機變換，或者對異構執行體進行隨機重構，又或是借助虛擬化等技術改變運行環境等配置，從而使攻擊者很難再次復現以往曾成功的攻擊場景。從理論上講，攻擊者只有同時攻擊并控制超過一半以上的執行體時，DHR構造的信息系統才不再具有可信性。顯然，系統性能高度取決于異構執行體的數量。更多的異構執行體通常意味著攻擊難度的加大和裁決器輸出可信性的提高。參考文獻[4]的仿真表明，在不同強度的攻擊擾動下，3個異構執行體的DHR架構就能極地大增加攻擊的難度，使系統取得極高的可信性。因此，DHR架構也是一種高可信的架構。

綜合上述分析可以發現，DHR構造具有顯著的內生安全效應。

（1）對未知威脅的感知和防御能力。在未知攻擊無法取得運行執行體多數優勢情況下，DHR架構顯然能夠借助“相對正確”公理的邏輯表達機制，在不依賴攻擊者先驗知識或行為特征信息條件下提供高置信度的未知攻擊感知功能。而且，通過異構冗余機制確保系統被攻擊時仍能保持輸出正常，消除未知攻擊的影響，因此DHR架構能夠同時實現對未知威脅的感知和防御，滿足上述的第二重防線要求。此外，這種不依賴關于先驗知識且不需要在目標對象內部設置任何探針的未知攻擊感知手段，可以結合設備的日志和異常數據快照，實現未知漏洞后門發現、惡意攻擊代碼捕獲、攻擊者溯源等，最終找到未知攻擊的相關特征并形成先驗知識，激活第三層防線并形成“免疫記憶”。

（2）功能安全和網絡安全一體化保障能力。維基百科中將功能安全（functional safety）稱為機能安全，縮寫為FuSa，指的是系統或組成零件在接受輸入信號后，可以正常執行動作。目的是避免直接或間接（經由設備或環境）造成人員傷亡、財產損失或環境污染等[30]。通俗意義上說，功能安全指的是任一隨機故障、系統故障或共因失效都不會導致安全事故。功能安全一般可以借由平均故障間隔（MTBF）及安全故障失效比率（safe failure fraction，SFF）驗證和衡量。維基百科中，將網絡安全（network security）聚焦在黑客通過基于網絡的入侵達到竊取敏感信息、造成企業網絡無法正常營運等目的，包括設備安全、軟件安全和信息安全。本質上講，功能安全聚焦于系統或組件故障失效帶來的風險，網絡安全聚焦于人為攻擊帶來的威脅。如前所述，DHR架構的異構冗余屬性使其能獲得高可靠性，能夠保障功能安全，在此基礎上，動態特性的引入使其能獲得高可信性，能夠保障網絡安全，因此是一種能夠提供廣義魯棒控制的創新架構。

5 一種生物免疫啟發下的內生安全技術框架簡介及應用

5.1 框架簡介

本文提出的生物免疫啟發下的一種內生安全技術框架如圖2所示，左側部分是脊椎動物免疫系統三道防線示意圖，右側是內生安全技術框架對應的三層防御示意圖。

該框架的第一層防線類似人類皮膚等物理屏障，對目標信息系統進行隔離、加密等防護；在第二層防線中，本文認為可以通過DHR構造等技術使目標信息系統感知和應對各種未知威脅，同時激活第三層防御，通過分析并獲得該未知威脅的特征，形成類人的“免疫記憶”，將“未知”威脅變成“已知”。基于先驗知識的防火墻、IDS等各種傳統安全設備都可以服務于第三道防線，這些設備可以根據已知的“免疫記憶”快速地對各種威脅進行針對性檢測和防御。

該框架的魯棒性、自主性、自適應和自成長性使其呈現出明顯的內生安全效應。一方面該框架有機融合了多重防線的技術優點，使其自主具備了對已知和未知威脅的快速感知與防御能力；另一方面，通過防線間的免疫記憶激活與累加機制，使整個框架的防御能力能夠不斷地自適應和自成長，能夠更及時動態地應對威脅；此外，DHR構造的異構冗余機制還使框架具備了高可靠性。

5.2 框架應用

網絡安全的狀況正在經歷發展的拐點。安全威脅嚴重程度與日俱增，安全事件數量呈指數級增長，安全運營團隊疲于應對。威脅形勢瞬息萬變，各種威脅的復雜度越來越高，傳統方法已很難有效應對。安全事件的危害越來越大，不僅影響人民的財產安全，還影響到生命安全和國家安全。

這種安全拐點帶來的巨大挑戰需要現有網絡安全防御從理念、體系、架構和技術等全方面進行新的思考、分析、設計與開發。本文受生物免疫機制啟發，基于已有技術提出了一種具有內生安全效應的技術框架。該框架能夠提供高可靠、高可信與一體的安全效果，且可采用的技術均是已經商業化應用技術或工程化驗證技術，因此具有很強的實用性。當然，框架存在一定程度的復雜性，框架的實施也會相應地增加成本。

圖2 生物免疫啟發下的一種內生安全三層防御技術框架示意圖

若目標網絡或信息系統要求高可信的網絡安全保障，例如云的安全防護、重要網絡的安全防護等，可以采用該框架。此時，框架第二層防線除了可以選擇DHR構造技術之外，還可以選擇其他的具有未知威脅感知和防御能力的新型技術，例如，動態防御、蜜罐、沙箱、異常檢測等技術及這些技術的綜合應用。

若目標網絡或信息系統要求高可靠、高可信的功能安全與網絡安全一體化保障，可以采用該框架。此時，第二層防線目前可選擇的技術可能只有DHR構造技術。以車聯網為例，該網絡不同于傳統IT網絡的重要之處就是，它是綜合了信息網絡和物理環境的多維復雜CPS（cyber-physical system），其應用環境具有開放性、動態性、多變性、欺騙性等特殊問題，對功能安全、網絡安全有更嚴苛的要求。從功能安全角度方面，要求能夠應對復雜場景可能存在的失效甚至失控風險，保障系統在預定義的規范場景內能夠正確輸出，同時能夠容忍超出規范場景的干擾、噪聲等；從網絡安全角度方面，要求系統能夠抵御攻擊、保護自身、抗欺騙、反竊取等。車聯網中，汽車感知決策部件、車內網絡、V2V和V2I的關鍵安全信息通告、OTA安全信息更新組件等，既關乎人身安全（safety領域），又關乎網絡攻擊（security領域），是一類“功能安全+網絡安全”關鍵組件。針對這類關鍵組件，理想的安全解決方案是一體化增強功能安全與網絡安全。然而，通常的實際情況卻是“此消彼長”，舉例來說，為了保障網絡安全，很多主機廠將防火墻/IDS等安全防護系統接入汽車內部通信網絡中，但這些系統的設計缺陷可能導致故障，使汽車內部網絡中斷，從而帶來功能安全事故。而DHR構造是能夠解決此類互斥矛盾，給出功能安全、網絡安全一體化保障的新技術。

6 結束語

由于自然界已經為許多現實世界中的問題找到了解決方案，因此，許多研究試圖從生物免疫系統機理和機制上尋找網絡免疫能力產生的答案。人類對免疫系統的認知存在一個不斷深入過程，現今人們正在以“分層防御”的模型理解。

以往借鑒生物免疫的網絡安全技術研究，大多聚焦在借鑒區別“自我”與“非我”的免疫機理上，主要應用在異常檢測領域中。本文從系統層面的免疫機制出發，探索三層防御模型對網絡安全技術的啟發。基于近年來在未知威脅感知與防御技術上取得的重要技術突破，提出了一種具有魯棒性、自主性、自適應和自成長性的內生安全技術框架。這是第一項系統闡述脊椎動物三重防線啟發下的具有內生安全效應的網絡防御技術框架，雖然還有很多問題需要深入澄清，很多技術需要進一步攻堅，但是，隨著對未知威脅感知和防御能力的持續提升，未來的網絡將會全面建立起自主免疫系統，釋放網絡空間的內生安全效應。