基于免疫的网络环境威胁自适应发现研究

◆贾佳

（空军装备部信息保障室 北京 100000）

网络外部环境威胁变化感知与风险控制是网络安全防御策略制定的基本依据。当前，由于缺乏实时定量的网络外部环境威胁变化感知与风险控制方法，国内外现有网络安全防御策略的制定基本上都是依据对网络过去的安全事件的一个大致描述，从而导致现阶段只能依据历史经验来进行被动防御：按照过去的经验或教训采取一种或几种固定的安全手段作为相应的防护措施[1]。这种安全方案在很大程度上仅针对固定的威胁和环境弱点，并且忽略了Ⅰnternet 安全的重要特征，即Ⅰnternet 安全没有固定的过程和方法，所谓“道高一尺，魔高一丈”，它是矛与盾的无限循环。安全不是一朝之事，幻想一劳永逸的解决方案非常危险，安全是一个动态的、不断完善的过程[2]。这种基于历史经验、固定、静态的传统网络安全防御策略，用句不太恰当的比喻来说，几乎都是“摸着石头过河”、“纸上谈兵”、“事后诸葛亮”等，或者说具有较大的盲目性和被动性，不能适应日益复杂、多变、矛盾尖锐的真实网络环境，必须寻求新的思路。

受生物免疫系统的启发，研究基于免疫的网络环境威胁自适应发现方法，能实时定量地计算宏观网络、区域网络、子网、以及网络中任意主机面临某一种攻击时的单一风险，以及面临所有攻击时的整体综合风险等指标，并可随真实网络环境同步动态演化，在此基础上，可依据当前网络环境威胁风险等级指标等主动调整当前系统的防御策略，进行有针对性的防御，有效控制当前网络、以及主机面临攻击时的动态风险，提高网络系统在复杂应用环境中的生存能力。

1 基于免疫的网络环境威胁自适应发现原理分析

本文的研究思路是依据免疫系统基本原理，提出研究一种新的基于免疫的网络环境威胁自适应发现模型。如图1 所示，我们在具体研究时将计算机免疫系统抽象为人体免疫系统，具体地，我们将ⅠP 包抽象为抗原，将自体抽象为合法的网络活动或数据，非自体抽象为非法的网络活动或数据，将免疫细胞抽象成入侵检测系统中的检测器，将抗体抽象成相应的匹配器，抗体对抗原的捕获抽象为入侵检测，于是，相应的威胁发现工作即为对一个输入的抗原集合Ag，通过免疫检测器B 分类为自体和非自体的过程[3-4]。

图2 是基于免疫的网络环境威胁自适应发现的工作原理。在检测器的进化过程中，根据检测器自身的演变分为未成熟检测器、成熟检测器以及记忆检测器三类。其中，新生成的未成熟检测器经过自体耐受后进化为成熟检测器。成熟检测器在一定生命周期内匹配到一定数目的非自体抗原就会被激活而进化为记忆检测器，否则由于年龄过大而死亡[5-6]。

图1 人体免疫与网络安全基本概念对照表

模型的工作流程由三部分组成，一部分是检测器识别入侵的过程（由上至下，对应抗原的演化）；另一部分是检测器进化过程（由下至上）；第三部分是疫苗的分发与接种机制。三个过程相互影响、相互制约，并同时进行[7]。

2 基于免疫的网络环境威胁自适应发现模型构建

2.1 成熟检测器的动态演化

成熟检测器动态演化模型模拟BⅠS 的初次应答，其中主要的依据为模拟免疫系统的克隆选择原理。克隆选择机制形成模型的学习能力，学习检测未知攻击或病毒的能力，其具体方法为：

该方程可以进化为记忆检测器（以期下次类似攻击来临时能够迅速捕获），否则，将走向死亡Tdead（t），被新生的成熟检测器Tnew（t）（=Ⅰmaturation（t））所代替[8-9]，其中：

2.2 记忆检测器的动态演化

记忆检测器的激活与克隆机制模拟BⅠS 的二次应答，二次应答无须学习过程，具有快速捕获已知攻击或病毒的特点[10]：

其中M（t），M（t-1）分别表示t时刻与t-1 时刻的记忆检测器集合；Mfirst是最初的记忆检测器，这些记忆检测器可以从其他的入侵检测系统或者病毒检测系统获得（如典型攻击、病毒的特征码等）；Mdead(t)是t时刻发生错误肯定的记忆检测器，必须及时清除，以避免免疫系统攻击自身；Mnew（t）（=Tcloned（t））为新生的记忆检测器。

2.3 基于抗原变化触发的免疫检测器动态更新方法

抗原更新方法的基本流程如图1 所示：首先查找覆盖范围内发生了抗原变化的网格单元的集合Vcell；其次对于Vcell中的每一个网格celli，分别调整由自体变为非自体，以及由非自体变为自体的两类抗原在层次聚类树中的聚类节点；重新训练与受调整聚类节点在同一聚类层的检测器。由于该检测器更新过程避免了对全部检测器的重复训练，因此能够有效地提高检测器的更新效率。接下来详细介绍对于网格单元内的检测器的更新过程。

对于网格celli，其内部的自体改变包含两部分：由非自体变为自体的抗原集合为Sns，以及由自体变为非自体的抗原集合为Ssn。一方面需要删除覆盖Ssn中新自体抗原的旧检测器，另一方面我们需要补充新的检测器以覆盖Sns中新产生的非自体抗原。

首先用新产生的非自体集合Ssn更新检测器，采用自顶向下的方式查找层次聚类树，对于第j个聚类其父聚类编号为i，n为聚类总个数，令中包含的原自体集合为Scj，从自体变为非自体的成员组成的集合为Sns_cj。

然后用新产生的自体集合Sns更新检测器，同样采用自顶向下的方式查找层次聚类树，对于第j个聚类其父聚类编号为i，n为聚类总个数，令满足下式的Sns的子集为Ssn_cj

2.4 疫苗分发与接种

为迅速提高整个系统识别类似网络入侵的效率，本项研究还提出了一种疫苗接种方法：当成熟检测器遇抗原产生克隆时（匹配足够抗原，发现新的网络入侵，进化为新的记忆检测器），该检测器克隆同时被发送到网络中所有其他机器上并直接作为记忆检测器（疫苗），以迅速使其他机器具备抵御类似网络入侵的能力。

3 总结

在网络威胁自适应发现方面，本项研究最大的创新在于提出了一种新的、基于免疫的网络威胁自适应发现方法，通过设置自体的演化周期，从网上自然收集新的自体元素，同时淘汰那些已无太多用处的自体元素，并引入基于层次聚类的免疫检测器动态耐受这一新概念，巧妙地将变与不变有机地统一起来，从而使自体的定义达到了与真实网络世界随时间同步动态演化的目的。