◆賈佳

（空軍裝備部信息保障室 北京 100000）

網(wǎng)絡(luò)外部環(huán)境威脅變化感知與風(fēng)險(xiǎn)控制是網(wǎng)絡(luò)安全防御策略制定的基本依據(jù)。當(dāng)前，由于缺乏實(shí)時(shí)定量的網(wǎng)絡(luò)外部環(huán)境威脅變化感知與風(fēng)險(xiǎn)控制方法，國內(nèi)外現(xiàn)有網(wǎng)絡(luò)安全防御策略的制定基本上都是依據(jù)對網(wǎng)絡(luò)過去的安全事件的一個(gè)大致描述，從而導(dǎo)致現(xiàn)階段只能依據(jù)歷史經(jīng)驗(yàn)來進(jìn)行被動防御：按照過去的經(jīng)驗(yàn)或教訓(xùn)采取一種或幾種固定的安全手段作為相應(yīng)的防護(hù)措施[1]。這種安全方案在很大程度上僅針對固定的威脅和環(huán)境弱點(diǎn)，并且忽略了Ⅰnternet 安全的重要特征，即Ⅰnternet 安全沒有固定的過程和方法，所謂“道高一尺，魔高一丈”，它是矛與盾的無限循環(huán)。安全不是一朝之事，幻想一勞永逸的解決方案非常危險(xiǎn)，安全是一個(gè)動態(tài)的、不斷完善的過程[2]。這種基于歷史經(jīng)驗(yàn)、固定、靜態(tài)的傳統(tǒng)網(wǎng)絡(luò)安全防御策略，用句不太恰當(dāng)?shù)谋扔鱽碚f，幾乎都是“摸著石頭過河”、“紙上談兵”、“事后諸葛亮”等，或者說具有較大的盲目性和被動性，不能適應(yīng)日益復(fù)雜、多變、矛盾尖銳的真實(shí)網(wǎng)絡(luò)環(huán)境，必須尋求新的思路。

受生物免疫系統(tǒng)的啟發(fā)，研究基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)方法，能實(shí)時(shí)定量地計(jì)算宏觀網(wǎng)絡(luò)、區(qū)域網(wǎng)絡(luò)、子網(wǎng)、以及網(wǎng)絡(luò)中任意主機(jī)面臨某一種攻擊時(shí)的單一風(fēng)險(xiǎn)，以及面臨所有攻擊時(shí)的整體綜合風(fēng)險(xiǎn)等指標(biāo)，并可隨真實(shí)網(wǎng)絡(luò)環(huán)境同步動態(tài)演化，在此基礎(chǔ)上，可依據(jù)當(dāng)前網(wǎng)絡(luò)環(huán)境威脅風(fēng)險(xiǎn)等級指標(biāo)等主動調(diào)整當(dāng)前系統(tǒng)的防御策略，進(jìn)行有針對性的防御，有效控制當(dāng)前網(wǎng)絡(luò)、以及主機(jī)面臨攻擊時(shí)的動態(tài)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)系統(tǒng)在復(fù)雜應(yīng)用環(huán)境中的生存能力。

1 基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)原理分析

本文的研究思路是依據(jù)免疫系統(tǒng)基本原理，提出研究一種新的基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)模型。如圖1 所示，我們在具體研究時(shí)將計(jì)算機(jī)免疫系統(tǒng)抽象為人體免疫系統(tǒng)，具體地，我們將ⅠP 包抽象為抗原，將自體抽象為合法的網(wǎng)絡(luò)活動或數(shù)據(jù)，非自體抽象為非法的網(wǎng)絡(luò)活動或數(shù)據(jù)，將免疫細(xì)胞抽象成入侵檢測系統(tǒng)中的檢測器，將抗體抽象成相應(yīng)的匹配器，抗體對抗原的捕獲抽象為入侵檢測，于是，相應(yīng)的威脅發(fā)現(xiàn)工作即為對一個(gè)輸入的抗原集合Ag，通過免疫檢測器B 分類為自體和非自體的過程[3-4]。

圖2 是基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)的工作原理。在檢測器的進(jìn)化過程中，根據(jù)檢測器自身的演變分為未成熟檢測器、成熟檢測器以及記憶檢測器三類。其中，新生成的未成熟檢測器經(jīng)過自體耐受后進(jìn)化為成熟檢測器。成熟檢測器在一定生命周期內(nèi)匹配到一定數(shù)目的非自體抗原就會被激活而進(jìn)化為記憶檢測器，否則由于年齡過大而死亡[5-6]。

圖1 人體免疫與網(wǎng)絡(luò)安全基本概念對照表

模型的工作流程由三部分組成，一部分是檢測器識別入侵的過程（由上至下，對應(yīng)抗原的演化）；另一部分是檢測器進(jìn)化過程（由下至上）；第三部分是疫苗的分發(fā)與接種機(jī)制。三個(gè)過程相互影響、相互制約，并同時(shí)進(jìn)行[7]。

2 基于免疫的網(wǎng)絡(luò)環(huán)境威脅自適應(yīng)發(fā)現(xiàn)模型構(gòu)建

2.1 成熟檢測器的動態(tài)演化

成熟檢測器動態(tài)演化模型模擬BⅠS 的初次應(yīng)答，其中主要的依據(jù)為模擬免疫系統(tǒng)的克隆選擇原理?？寺∵x擇機(jī)制形成模型的學(xué)習(xí)能力，學(xué)習(xí)檢測未知攻擊或病毒的能力，其具體方法為：

該方程可以進(jìn)化為記憶檢測器（以期下次類似攻擊來臨時(shí)能夠迅速捕獲），否則，將走向死亡Tdead（t），被新生的成熟檢測器Tnew（t）（=Ⅰmaturation（t））所代替[8-9]，其中：

2.2 記憶檢測器的動態(tài)演化

記憶檢測器的激活與克隆機(jī)制模擬BⅠS 的二次應(yīng)答，二次應(yīng)答無須學(xué)習(xí)過程，具有快速捕獲已知攻擊或病毒的特點(diǎn)[10]：

其中M（t），M（t-1）分別表示t時(shí)刻與t-1 時(shí)刻的記憶檢測器集合；Mfirst是最初的記憶檢測器，這些記憶檢測器可以從其他的入侵檢測系統(tǒng)或者病毒檢測系統(tǒng)獲得（如典型攻擊、病毒的特征碼等）；Mdead(t)是t時(shí)刻發(fā)生錯(cuò)誤肯定的記憶檢測器，必須及時(shí)清除，以避免免疫系統(tǒng)攻擊自身；Mnew（t）（=Tcloned（t））為新生的記憶檢測器。

2.3 基于抗原變化觸發(fā)的免疫檢測器動態(tài)更新方法

抗原更新方法的基本流程如圖1 所示：首先查找覆蓋范圍內(nèi)發(fā)生了抗原變化的網(wǎng)格單元的集合Vcell；其次對于Vcell中的每一個(gè)網(wǎng)格celli，分別調(diào)整由自體變?yōu)榉亲泽w，以及由非自體變?yōu)樽泽w的兩類抗原在層次聚類樹中的聚類節(jié)點(diǎn)；重新訓(xùn)練與受調(diào)整聚類節(jié)點(diǎn)在同一聚類層的檢測器。由于該檢測器更新過程避免了對全部檢測器的重復(fù)訓(xùn)練，因此能夠有效地提高檢測器的更新效率。接下來詳細(xì)介紹對于網(wǎng)格單元內(nèi)的檢測器的更新過程。

對于網(wǎng)格celli，其內(nèi)部的自體改變包含兩部分：由非自體變?yōu)樽泽w的抗原集合為Sns，以及由自體變?yōu)榉亲泽w的抗原集合為Ssn。一方面需要?jiǎng)h除覆蓋Ssn中新自體抗原的舊檢測器，另一方面我們需要補(bǔ)充新的檢測器以覆蓋Sns中新產(chǎn)生的非自體抗原。

首先用新產(chǎn)生的非自體集合Ssn更新檢測器，采用自頂向下的方式查找層次聚類樹，對于第j個(gè)聚類其父聚類編號為i，n為聚類總個(gè)數(shù)，令中包含的原自體集合為Scj，從自體變?yōu)榉亲泽w的成員組成的集合為Sns_cj。

然后用新產(chǎn)生的自體集合Sns更新檢測器，同樣采用自頂向下的方式查找層次聚類樹，對于第j個(gè)聚類其父聚類編號為i，n為聚類總個(gè)數(shù)，令滿足下式的Sns的子集為Ssn_cj

2.4 疫苗分發(fā)與接種

為迅速提高整個(gè)系統(tǒng)識別類似網(wǎng)絡(luò)入侵的效率，本項(xiàng)研究還提出了一種疫苗接種方法：當(dāng)成熟檢測器遇抗原產(chǎn)生克隆時(shí)（匹配足夠抗原，發(fā)現(xiàn)新的網(wǎng)絡(luò)入侵，進(jìn)化為新的記憶檢測器），該檢測器克隆同時(shí)被發(fā)送到網(wǎng)絡(luò)中所有其他機(jī)器上并直接作為記憶檢測器（疫苗），以迅速使其他機(jī)器具備抵御類似網(wǎng)絡(luò)入侵的能力。

3 總結(jié)

在網(wǎng)絡(luò)威脅自適應(yīng)發(fā)現(xiàn)方面，本項(xiàng)研究最大的創(chuàng)新在于提出了一種新的、基于免疫的網(wǎng)絡(luò)威脅自適應(yīng)發(fā)現(xiàn)方法，通過設(shè)置自體的演化周期，從網(wǎng)上自然收集新的自體元素，同時(shí)淘汰那些已無太多用處的自體元素，并引入基于層次聚類的免疫檢測器動態(tài)耐受這一新概念，巧妙地將變與不變有機(jī)地統(tǒng)一起來，從而使自體的定義達(dá)到了與真實(shí)網(wǎng)絡(luò)世界隨時(shí)間同步動態(tài)演化的目的。