隨著網絡的快速發(fā)展，各類社會活動的信息化日益普及，但是網絡安全威脅也更加復雜多變，使得信息系統(tǒng)處于安全威脅風險極高的環(huán)境中，嚴重威脅信息的共享和獲取。針對核心信息系統(tǒng)的安全防護，提出了一種信息系統(tǒng)免疫安全防護架構。針對信息系統(tǒng)高可用和高可靠性需求，結合生物免疫原理，圍繞信息系統(tǒng)的系統(tǒng)、網絡、終端建立協(xié)同聯(lián)動的安全防護體系，并綜合應用各類安全數據進行安全威脅的深度挖掘和響應處置，有效保障信息系統(tǒng)持續(xù)可靠地運行。

近年來，大數據、人工智能等技術高速發(fā)展，為信息系統(tǒng)的賦能增效帶來極大的助力，并促進了信息系統(tǒng)更好地服務于社會。但是，隨著信息系統(tǒng)越來越深入人們的工作、生活、學習等方面，人們對信息系統(tǒng)的依賴也越來越強。為了保障信息系統(tǒng)的持續(xù)可靠運行，面向信息系統(tǒng)的安全防護設施也應運而生，然而，傳統(tǒng)的安全防護設備主要針對特定已知的威脅攻擊行為，且多獨立運行，難以應對當前復雜的網絡威脅攻擊形勢。

本文針對核心信息系統(tǒng)的持續(xù)、高效、可靠運行的需求，基于生物免疫機制，提出了一種信息系統(tǒng)免疫安全防護架構。通過構建面向系統(tǒng)、網絡、終端側的防御機制，綜合運用系統(tǒng)、網絡、終端的各類安全數據，實現(xiàn)信息系統(tǒng)安全威脅攻擊的高效感知和智能應對，從而提升信息系統(tǒng)持續(xù)運作能力。

?

1　相關工作

針對信息系統(tǒng)的安全防護需求，目前已有多種應對方案，但通常只能被動接受防護指令，存在嚴重的滯后性和局限性，而生物免疫機制由于其良好的自適應、自學習能力，給信息系統(tǒng)安全防護帶來了巨大啟發(fā)，因此受到越來越多的關注。

在美國新墨西哥大學，Dr.Forrest 及其所在的研究中心首次將人工免疫理論應用于計算機網絡進行病毒檢測。美國諾貝爾獎得主 Niels K. Jerne 博士提出了著名的免疫網絡理論，其主要觀點是將生物體的免疫系統(tǒng)看成是一個由免疫細胞組成的、能夠相互刺激和協(xié)調的網絡。美國 IBM 研究中心的研究人員 Kephart 等人建立了第一個投入商業(yè)應用的計算機病毒免疫系統(tǒng)。該系統(tǒng)利用分布式網絡結構，對用戶提交的眾多任務進行快速高效的分析處理。2010 年，受生物免疫系統(tǒng)的啟發(fā)，美國國防部高級研究計劃局（Defense Advanced Research Projects Agency，DARPA）提出了實用化的免疫網絡安全系統(tǒng) CRASH，在該系統(tǒng)中引入了先天性免疫、適應性免疫，以及多樣性策略機制。

目前，我國在基于人工免疫理論的網絡安全技術方面的研究還處于初級階段，相關的理論成果還不多。部分專家學者將免疫技術與可信計算結合在一起，提出了基于可信計算的網絡安全防御體系。還有人將免疫原理應用到網絡安全防護中，提出了網絡自免疫內生安全防護體系 ，實現(xiàn)自適應、自學習、自組織及動態(tài)的網絡安全防護能力。另外，免疫原理在網絡安全風險檢測 和惡意代碼檢測?中也有一些探索性應用。

本文基于生物免疫原理，提出了一種信息系統(tǒng)免疫安全防護架構，能夠實現(xiàn)信息系統(tǒng)自適應、自進化安全防護能力，有效保障信息系統(tǒng)業(yè)務的持續(xù)可靠運行。

?

２　架構設計

免疫（Immunity）的原意是機體對病原侵害做出的應答反應。免疫系統(tǒng)是維持生物體自身健康狀態(tài)必不可少的關鍵系統(tǒng)，具有免疫防御、免疫監(jiān)視和免疫自身穩(wěn)定三大功能，通過發(fā)現(xiàn)、消滅外來病原體來防止感染，并監(jiān)控體內異常病變細胞，對維持機體內環(huán)境的穩(wěn)態(tài)發(fā)揮著重要作用。借鑒生物免疫能夠適應環(huán)境變化，并且具有靈活多變保護措施的防護機理，參照免疫系統(tǒng)具有的記憶性、自限性、多樣性、耐受性、特異性等功能特性，本文提出，針對信息系統(tǒng)的免疫安全系統(tǒng)應具備以下 5 個方面的能力：

（1）能夠從實體身份、行為特征等維度識別出“本體”和“異體”；

（2）能夠對識別的“異體”包括實體和行為，采用不同策略實施“排異”；

（3）在遭受攻擊破壞時，能夠在一定程度上對影響范圍進行控制，具備“帶病運行”的特點；

（4）在遭受不可抗力的破壞時，能夠通過數據重置，重新啟動運行；

（5）能夠針對外部刺激或基于外部信息，產生特征“疫苗”實現(xiàn)安全防護能力的持續(xù)提升。

基于信息系統(tǒng)免疫安全特征，提出集主動識別、威脅抑制、入侵容忍、自適應恢復、持續(xù)進化于一體的信息系統(tǒng)免疫安全防護模型。信息系統(tǒng)免疫安全防護模型如圖 1 所示。

圖 1 信息系統(tǒng)免疫安全防護能力模型

另外，在對信息系統(tǒng)進行安全防護設計之前，本文先對信息系統(tǒng)運用模式進行概要分析。信息系統(tǒng)應用部署框架通常如圖 2 所示，各個信息系統(tǒng)采用單獨或云化方式部署在后臺高性能服務器上，不同位置的用戶終端經由網絡采用客戶端 / 服務器（Client/Server，C/S）或瀏覽器 / 服務器（Browser/Server，B/S）等方式訪問各信息系統(tǒng)，滿足自身信息交互需求。結合信息系統(tǒng)的應用模式可知，信息系統(tǒng)的使用主要與系統(tǒng)、網絡、終端 3 類實體相關，因此，針對信息系統(tǒng)的免疫安全防護架構設計也將圍繞這 3 方面進行展開。

傳統(tǒng)信息系統(tǒng)安全防護主要根據攻擊特征進行安全配置或安全策略臨時下發(fā)，屬于被動滯后的防御手段，導致防御一方在網絡空間安全對抗中長期處于劣勢地位。為扭轉網絡攻防地位的不對稱性，本文按照“內生安全、主動塑造、體系防御”的總體思路，結合生物免疫防護機制，構建信息系統(tǒng)免疫安全防護架構，圍繞信息系統(tǒng)、網絡、終端進行防護體系設計，以動態(tài)調整系統(tǒng)攻擊面、增強自我非我識別、主動塑造信息系統(tǒng)安全可靠運行環(huán)境為手段，有效限制系統(tǒng)漏洞暴露及被利用機會，并在應對各類威脅攻擊時，有效保障信息系統(tǒng)持續(xù)、可靠運行，實現(xiàn)信息服務不中斷。

圖 2　信息系統(tǒng)應用部署框架

本文所提信息系統(tǒng)免疫安全防護總體架構如圖3 所示，主要包括系統(tǒng)側、網絡側、終端側安全防護 3 個方面。其中，系統(tǒng)側安全防護綜合 3 類實體的安全數據，進行威脅攻擊的分析識別和智能應對，并為信息系統(tǒng)運行提供可靠的運行環(huán)境；網絡側安全防護對信息系統(tǒng)訪問網絡進行偽裝和攻擊誘捕；終端側安全防護對信息系統(tǒng)訪問用戶行為及終端安全狀態(tài)等進行實時監(jiān)測，確保信息系統(tǒng)訪問用戶及終端的安全可靠。

圖 3 信息系統(tǒng)免疫保護總體架構

?

３　防御機制設計

???

3.1　系統(tǒng)側安全防護

3.1.1　免疫安全防護控制

免疫安全防護控制是整個信息系統(tǒng)免疫安全防護架構的核心，與威脅監(jiān)測識別、安全協(xié)同防護、威脅攻擊誘捕、終端檢測響應等模塊進行協(xié)同聯(lián)動，并提供各類技術支持。

免疫安全防護控制包括免疫學習、免疫記憶和疫苗生成等部分，其中，免疫學習主要基于信息系統(tǒng)自身、網絡、終端中的各類安全數據，結合外部威脅情報進行信息系統(tǒng)威脅的學習和挖掘，為信息系統(tǒng)潛在威脅的檢測識別提供支撐。

免疫記憶主要針對信息系統(tǒng)各類應用服務以及典型威脅攻擊進行行為建模和應用畫像。通過將應用行為中主要涉及的應用進程名稱、線程名稱、加載的模塊名稱及其中的調用關系，網絡訪問中主要涉及的網絡地址（源地址、目的地址等）、通信端口、通信協(xié)議、進程流量監(jiān)控，文件訪問行為中主要涉及的文件名稱、文件類型、文件路徑、操作類型（文件讀寫、新建、刪除等），以及威脅攻擊行為中主要涉及的攻擊手段、攻擊流程、攻擊對象等進行研究分析，實現(xiàn)應用行為和威脅攻擊的快速識別，從而為信息系統(tǒng)“本體”和“異體”識別提供支撐。

疫苗生成則主要結合信息系統(tǒng)各類安全事件，利用信息系統(tǒng)自身各類安全防護資源，生成相應的安全防護預案，為威脅事件的快速響應處置提供支撐。

3.1.2　威脅監(jiān)測識別

威脅監(jiān)測識別主要滿足信息系統(tǒng)的“異體識別”需求，為盡早發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患，及時對威脅攻擊進行響應處置提供支撐。威脅監(jiān)測識別應具備系統(tǒng)行為監(jiān)測、網絡行為監(jiān)測、終端行為監(jiān)測、威脅特征提取、威脅攻擊識別以及威脅事件整編等能力。

信息系統(tǒng)具有組成元素多樣的特點，其既包含服務器、網絡設備、終端等多種物理設備實體，也包含信息服務軟件、服務協(xié)議、服務資源數據等虛擬要素。目前，主要采用虛擬機隔離防護技術、云平臺安全檢測技術、應用服務防護技術等進行信息系統(tǒng)威脅攻擊的檢測挖掘，但各技術運用都比較孤立單一，只能滿足信息系統(tǒng)安全監(jiān)控部分需求，無法對信息系統(tǒng)形成全面體系化的安全監(jiān)控。針對威脅監(jiān)測識別模塊，本文提出一種信息系統(tǒng)狀態(tài)多維感知監(jiān)測機制，通過在信息系統(tǒng)云平臺、網絡交換設施、用戶終端等上部署軟探針或輕代理，在后臺服務器上部署威脅監(jiān)測分析系統(tǒng)，從信息系統(tǒng)計算環(huán)境基礎設施、信息服務平臺、信息系統(tǒng)應用服務、網絡流量、終端行為等方面開展全面監(jiān)測分析，進行威脅攻擊的融合關聯(lián)識別，實現(xiàn)信息系統(tǒng)軟件、硬件、用戶等方面安全威脅的全面監(jiān)測感知，增強信息系統(tǒng)威脅檢測的準確性。信息系統(tǒng)多維監(jiān)測感知機制如圖 4 所示。

圖 4 信息系統(tǒng)多維監(jiān)測感知機制

3.1.3　安全協(xié)同防護

安全協(xié)同防護主要滿足信息系統(tǒng)威脅攻擊的快速智能響應應對，為及時對威脅攻擊進行封堵滅殺提供支撐，降低威脅攻擊對信息系統(tǒng)的損傷。安全協(xié)同防護應具備威脅事件響應、安全資源編排等能力。

目前，各安全防護設備通常獨立運行，數據難以共享，防護行動也難以進行協(xié)同。在軟件定義安全的驅動下，部分安全廠商提出了基于安全編排的安全防護資源協(xié)同聯(lián)動機制，并且受到越來越多的關注。

針對安全協(xié)同防護模塊，本文提出基于事件干預和安全編排的安全防護資源協(xié)同聯(lián)動方法。通過將各類已部署的安全工具與既有安全人力及安全流程連接起來，基于安全工作流最佳實踐及獨有工作流梳理進行自動化安全運營。根據信息系統(tǒng)威脅監(jiān)測數據和威脅事件研判結果，結合信息系統(tǒng)實際運行環(huán)境和安全標準、規(guī)范和策略的要求，采用安全資源自動化采集、策略自動生成與沖突檢測、任務流程自動編排等自動化輔助手段實現(xiàn)對安全信息和事件處置的智能化決策，降低對人員的技能要求和時間消耗，實現(xiàn)信息系統(tǒng)各種防御策略的靈活、快速調整，確保對威脅攻擊的及時封堵。

3.1.4　自免疫保護環(huán)境

自免疫保護環(huán)境構建主要從信息系統(tǒng)可信運行環(huán)境構建和信息系統(tǒng)自適應恢復兩方面進行考量。其中，信息系統(tǒng)可信運行環(huán)境構建主要滿足信息系統(tǒng)運行環(huán)境的安全可靠性需求，支持信息系統(tǒng)“本體”識別。信息系統(tǒng)自適應恢復則主要滿足信息系統(tǒng)容災恢復需求。

（1）信息系統(tǒng)可信運行環(huán)境構建

信息系統(tǒng)可信運行環(huán)境應具備信息系統(tǒng)運行時保護、行為管控、資源微隔離和漏洞抑制等能力。目前，可信計算技術基于可信根通過對系統(tǒng)組件的度量確保系統(tǒng)的完整性和有效性，防止系統(tǒng)自身被篡改和替換，具有較好的“識真”能力，能夠識別和阻止“異體”的運行，可以較好地滿足安全免疫的“排異”特性?？尚抛R別和度量技術已經比較成熟，也有多種產品在各類信息系統(tǒng)環(huán)境中應用，但是傳統(tǒng)的可信計算相關裝備應用環(huán)境缺乏靈活性和可操作性。

本文所提免疫保護架構采用構建信任鏈進行智能化增強，提升信息系統(tǒng)安全可信運行環(huán)境建立的可用性和可擴展性。通過免疫學習自主建立可信度量的信任鏈，對信息系統(tǒng)環(huán)境進行自適應學習來確定合法組件的特征，并在系統(tǒng)運行中強化免疫記憶，持續(xù)采集特征信息，對免疫記憶進行強化或修正，實現(xiàn)系統(tǒng)運行環(huán)境自適應的免疫識別能力。同時，通過構建“安全容器”，整合已有的軟件可信機制，對運行信息系統(tǒng)“白名單”管控實現(xiàn)信任鏈向業(yè)務層延伸；通過在運行環(huán)境底層對交互的數據進行攔截、重構和安全性檢測，實現(xiàn)多層次的攻擊防護，并建立可信連接和訪問控制機制。信息系統(tǒng)可信運行環(huán)境構建如圖 5 所示。

圖 5　信息系統(tǒng)可信運行環(huán)境構建

（2）信息系統(tǒng)自適應恢復

信息系統(tǒng)自適應恢復應具備在信息系統(tǒng)崩潰和設備故障等場景下，進行快速遷移或恢復的能力，保障信息系統(tǒng)高效可用。

當前，信息系統(tǒng)容災恢復方面主要采用容災備份、數據鏡像、快照等技術實現(xiàn)系統(tǒng)數據的安全防護。其中，備份技術又分為離線備份和在線備份，離線備份通常是把數據備份到磁帶庫，在線備份是周期性地將數據復制到其他地點。鏡像技術是在兩個或多個磁盤或磁盤子系統(tǒng)上生成同一個數據的鏡像視圖的信息存儲技術，存在數據誤刪或損壞導致的數據丟失問題?？煺占夹g是在存儲技術上實現(xiàn)的一種記錄某一時間系統(tǒng)狀態(tài)的技術，是指定數據集合在某個時間點的映像。上述技術通?；谶\維管理角度進行系統(tǒng)數據的容災恢復，但缺乏安全視角下的數據恢復措施。

本文從安全角度出發(fā)，通過分析信息系統(tǒng)業(yè)務運行環(huán)境的安全狀態(tài)，結合信息系統(tǒng)威脅攻擊研判結果，對信息系統(tǒng)安全風險進行綜合分析評估，提出安全驅動的信息系統(tǒng)容災恢復機制，即如果系統(tǒng)安全風險超過閾值，則在系統(tǒng)未崩潰時，從安全角度考慮，依然進行系統(tǒng)運行環(huán)境的快速重構，避免威脅攻擊的擴大化。安全驅動的信息系統(tǒng)數據恢復技術，能夠解決傳統(tǒng)信息系統(tǒng)未崩潰，但威脅攻擊已無法抵御情況下的系統(tǒng)防護，同時，將安全考量融入系統(tǒng)災備恢復中，能夠避免傳統(tǒng)災備技術響應遲緩所引起的數據丟失問題。

3.2　 網絡側安全防護

3.2.1　 網絡偽裝欺騙

網絡偽裝欺騙主要滿足信息系統(tǒng)威脅攻擊遲滯和阻斷需求，應具備仿真網絡構建、網絡動態(tài)調整、策略自適應跳變等能力。

目前，部分安全廠商已開發(fā)了蜜網等相關的網絡偽裝欺騙工具。本文所提免疫安全防護架構可集成現(xiàn)有網絡偽裝欺騙工具，結合威脅事件響應處置流程，通過對重點防御目標網絡提升網絡和系統(tǒng)的動態(tài)彈性等方式，不斷轉移攻擊面，增加攻擊方的入侵成本和身份暴露的可能性，以此挫敗攻擊者的攻擊。

3.2.2　威脅攻擊誘捕

威脅攻擊誘捕主要滿足信息系統(tǒng)提前預防威脅攻擊的需求，應具備誘捕文件生成、誘捕文件標識嵌入以及誘捕環(huán)境構建等能力。

目前，部分安全廠商已開發(fā)了蜜罐等相關的威脅攻擊誘捕工具，但缺乏與信息系統(tǒng)的結合。本文所提免疫安全防護架構可集成現(xiàn)有威脅攻擊誘捕工具，結合免疫學習過程所掌握的信息系統(tǒng)服務模型，構建仿真服務、仿真數據等誘餌，誘導攻擊者進入誘餌，獲取偽裝數據，從而感知捕捉攻擊行為，了解攻擊者的入侵方法，分析其攻擊思路，做到知己知彼，并產生免疫記憶提升系統(tǒng)安全防護能力，使攻擊者遠離核心資產，并延緩或遲滯其攻擊進程。

3.3　終端側安全防護

3.3.1　終端安全防護

終端安全防護主要滿足信息系統(tǒng)用戶訪問終端的安全管控需求，應具備外設管控、外聯(lián)控制、終端策略管理、用戶行為審計等能力。

目前，各終端安全防護廠商已具備相應的終端防護能力，但難以進行信息共享。本文所提免疫安全防護架構可集成現(xiàn)有終端安全防護工具，并融合終端安全防護數據進行威脅關聯(lián)檢測和系統(tǒng)訪問控制。

3.3.2　終端檢測響應

終端檢測響應主要滿足信息系統(tǒng)用戶訪問終端的威脅感知和響應需求，應具備持續(xù)性的終端行為監(jiān)測和記錄等能力。

目前，相關安全廠商已開發(fā)相應產品。本文所提免疫安全防護架構可集成現(xiàn)有終端監(jiān)測響應工具，并融合終端行為監(jiān)測數據和分析結果進行威脅關聯(lián)挖掘和封堵。

3.3.3　防病毒

防病毒主要滿足信息系統(tǒng)用戶訪問終端運行環(huán)境安全可靠需求，應具備惡意代碼查殺、系統(tǒng)漏洞修復、病毒知識庫維護、黑白名單管理等能力。

目前，各防病毒廠商已具備相應的終端病毒查殺能力。本文所提免疫安全防護架構可集成現(xiàn)有防病毒工具，并融合終端病毒防護數據進行威脅關聯(lián)檢測。

?

４　結? 語?

本文提出了一種基于生物免疫機制的信息系統(tǒng)免疫安全防護架構。本文利用生物免疫自適應、自學習的特點，結合信息系統(tǒng)部署應用模式，從系統(tǒng)、網絡、終端側分別進行安全防護設計，并進行各類安全防護資源的體系化管理運用，實現(xiàn)信息系統(tǒng)安全威脅的深度挖掘和協(xié)同處置，支持信息系統(tǒng)安全防護能力的持續(xù)提升，為信息系統(tǒng)持續(xù)安全可靠運行提供保障。

作者簡介 >>>

高? 巖，男，碩士，正高級工程師，主要研究方向為信息安全；

滕鵬國，男，博士，高級工程師，主要研究方向為信息安全；

戴朝霞，女，碩士，高級工程師，主要研究方向為信息安全；

譚平嶂，男，碩士，正高級工程師，主要研究方向為信息安全。

?

編輯：黃飛