摘要

隨著網(wǎng)絡的快速發(fā)展，各類社會活動的信息化日益普及，但是網(wǎng)絡安全威脅也更加復雜多變，使得信息系統(tǒng)處于安全威脅風險極高的環(huán)境中，嚴重威脅信息的共享和獲取。針對核心信息系統(tǒng)的安全防護，提出了一種信息系統(tǒng)免疫安全防護架構(gòu)。針對信息系統(tǒng)高可用和高可靠性需求，結(jié)合生物免疫原理，圍繞信息系統(tǒng)的系統(tǒng)、網(wǎng)絡、終端建立協(xié)同聯(lián)動的安全防護體系，并綜合應用各類安全數(shù)據(jù)進行安全威脅的深度挖掘和響應處置，有效保障信息系統(tǒng)持續(xù)可靠地運行。

內(nèi)容目錄

１相關(guān)工作

2 架構(gòu)設(shè)計

3 防御機制設(shè)計

3.1 系統(tǒng)側(cè)安全防護

3.1.1 免疫安全防護控制

3.1.2 威脅監(jiān)測識別

3.1.3 安全協(xié)同防護

3.1.4 自免疫保護環(huán)境

3.2 網(wǎng)絡側(cè)安全防護

3.2.1 網(wǎng)絡偽裝欺騙

3.2.2 威脅攻擊誘捕

3.3 終端側(cè)安全防護

3.3.1 終端安全防護

3.3.2 終端檢測響應

3.3.3 防病毒

4 結(jié)? 語

近年來，大數(shù)據(jù)、人工智能等技術(shù)高速發(fā)展，為信息系統(tǒng)的賦能增效帶來極大的助力，并促進了信息系統(tǒng)更好地服務于社會。但是，隨著信息系統(tǒng)越來越深入人們的工作、生活、學習等方面，人們對信息系統(tǒng)的依賴也越來越強。為了保障信息系統(tǒng)的持續(xù)可靠運行，面向信息系統(tǒng)的安全防護設(shè)施也應運而生，然而，傳統(tǒng)的安全防護設(shè)備主要針對特定已知的威脅攻擊行為，且多獨立運行，難以應對當前復雜的網(wǎng)絡威脅攻擊形勢。

本文針對核心信息系統(tǒng)的持續(xù)、高效、可靠運行的需求，基于生物免疫機制，提出了一種信息系統(tǒng)免疫安全防護架構(gòu)。通過構(gòu)建面向系統(tǒng)、網(wǎng)絡、終端側(cè)的防御機制，綜合運用系統(tǒng)、網(wǎng)絡、終端的各類安全數(shù)據(jù)，實現(xiàn)信息系統(tǒng)安全威脅攻擊的高效感知和智能應對，從而提升信息系統(tǒng)持續(xù)運作能力。

1相關(guān)工作

針對信息系統(tǒng)的安全防護需求，目前已有多種應對方案，但通常只能被動接受防護指令，存在嚴重的滯后性和局限性，而生物免疫機制由于其良好的自適應、自學習能力，給信息系統(tǒng)安全防護帶來了巨大啟發(fā)，因此受到越來越多的關(guān)注。

在美國新墨西哥大學，Dr.Forrest 及其所在的研究中心首次將人工免疫理論應用于計算機網(wǎng)絡進行病毒檢測。美國諾貝爾獎得主 Niels K. Jerne 博士提出了著名的免疫網(wǎng)絡理論，其主要觀點是將生物體的免疫系統(tǒng)看成是一個由免疫細胞組成的、能夠相互刺激和協(xié)調(diào)的網(wǎng)絡。美國 IBM 研究中心的研究人員 Kephart 等人建立了第一個投入商業(yè)應用的計算機病毒免疫系統(tǒng)。該系統(tǒng)利用分布式網(wǎng)絡結(jié)構(gòu)，對用戶提交的眾多任務進行快速高效的分析處理。2010 年，受生物免疫系統(tǒng)的啟發(fā)，美國國防部高級研究計劃局（Defense Advanced Research Projects Agency，DARPA）提出了實用化的免疫網(wǎng)絡安全系統(tǒng) CRASH，在該系統(tǒng)中引入了先天性免疫、適應性免疫，以及多樣性策略機制。

目前，我國在基于人工免疫理論的網(wǎng)絡安全技術(shù)方面的研究還處于初級階段，相關(guān)的理論成果還不多。部分專家學者將免疫技術(shù)與可信計算結(jié)合在一起，提出了基于可信計算的網(wǎng)絡安全防御體系。還有人將免疫原理應用到網(wǎng)絡安全防護中，提出了網(wǎng)絡自免疫內(nèi)生安全防護體系 ，實現(xiàn)自適應、自學習、自組織及動態(tài)的網(wǎng)絡安全防護能力。另外，免疫原理在網(wǎng)絡安全風險檢測 和惡意代碼檢測中也有一些探索性應用。

本文基于生物免疫原理，提出了一種信息系統(tǒng)免疫安全防護架構(gòu)，能夠?qū)崿F(xiàn)信息系統(tǒng)自適應、自進化安全防護能力，有效保障信息系統(tǒng)業(yè)務的持續(xù)可靠運行。

２架構(gòu)設(shè)計

免疫（Immunity）的原意是機體對病原侵害做出的應答反應。免疫系統(tǒng)是維持生物體自身健康狀態(tài)必不可少的關(guān)鍵系統(tǒng)，具有免疫防御、免疫監(jiān)視和免疫自身穩(wěn)定三大功能，通過發(fā)現(xiàn)、消滅外來病原體來防止感染，并監(jiān)控體內(nèi)異常病變細胞，對維持機體內(nèi)環(huán)境的穩(wěn)態(tài)發(fā)揮著重要作用。借鑒生物免疫能夠適應環(huán)境變化，并且具有靈活多變保護措施的防護機理，參照免疫系統(tǒng)具有的記憶性、自限性、多樣性、耐受性、特異性等功能特性，本文提出，針對信息系統(tǒng)的免疫安全系統(tǒng)應具備以下 5 個方面的能力：

（1）能夠從實體身份、行為特征等維度識別出“本體”和“異體”；

（2）能夠?qū)ψR別的“異體”包括實體和行為，采用不同策略實施“排異”；

（3）在遭受攻擊破壞時，能夠在一定程度上對影響范圍進行控制，具備“帶病運行”的特點；

（4）在遭受不可抗力的破壞時，能夠通過數(shù)據(jù)重置，重新啟動運行；

（5）能夠針對外部刺激或基于外部信息，產(chǎn)生特征“疫苗”實現(xiàn)安全防護能力的持續(xù)提升。

基于信息系統(tǒng)免疫安全特征，提出集主動識別、威脅抑制、入侵容忍、自適應恢復、持續(xù)進化于一體的信息系統(tǒng)免疫安全防護模型。信息系統(tǒng)免疫安全防護模型如圖 1 所示。

圖 1 信息系統(tǒng)免疫安全防護能力模型

另外，在對信息系統(tǒng)進行安全防護設(shè)計之前，本文先對信息系統(tǒng)運用模式進行概要分析。信息系統(tǒng)應用部署框架通常如圖 2 所示，各個信息系統(tǒng)采用單獨或云化方式部署在后臺高性能服務器上，不同位置的用戶終端經(jīng)由網(wǎng)絡采用客戶端 / 服務器（Client/Server，C/S）或瀏覽器 / 服務器（Browser/Server，B/S）等方式訪問各信息系統(tǒng)，滿足自身信息交互需求。結(jié)合信息系統(tǒng)的應用模式可知，信息系統(tǒng)的使用主要與系統(tǒng)、網(wǎng)絡、終端 3 類實體相關(guān)，因此，針對信息系統(tǒng)的免疫安全防護架構(gòu)設(shè)計也將圍繞這 3 方面進行展開。

傳統(tǒng)信息系統(tǒng)安全防護主要根據(jù)攻擊特征進行安全配置或安全策略臨時下發(fā)，屬于被動滯后的防御手段，導致防御一方在網(wǎng)絡空間安全對抗中長期處于劣勢地位。為扭轉(zhuǎn)網(wǎng)絡攻防地位的不對稱性，本文按照“內(nèi)生安全、主動塑造、體系防御”的總體思路，結(jié)合生物免疫防護機制，構(gòu)建信息系統(tǒng)免疫安全防護架構(gòu)，圍繞信息系統(tǒng)、網(wǎng)絡、終端進行防護體系設(shè)計，以動態(tài)調(diào)整系統(tǒng)攻擊面、增強自我非我識別、主動塑造信息系統(tǒng)安全可靠運行環(huán)境為手段，有效限制系統(tǒng)漏洞暴露及被利用機會，并在應對各類威脅攻擊時，有效保障信息系統(tǒng)持續(xù)、可靠運行，實現(xiàn)信息服務不中斷。

圖 2信息系統(tǒng)應用部署框架

本文所提信息系統(tǒng)免疫安全防護總體架構(gòu)如圖3 所示，主要包括系統(tǒng)側(cè)、網(wǎng)絡側(cè)、終端側(cè)安全防護 3 個方面。其中，系統(tǒng)側(cè)安全防護綜合 3 類實體的安全數(shù)據(jù)，進行威脅攻擊的分析識別和智能應對，并為信息系統(tǒng)運行提供可靠的運行環(huán)境；網(wǎng)絡側(cè)安全防護對信息系統(tǒng)訪問網(wǎng)絡進行偽裝和攻擊誘捕；終端側(cè)安全防護對信息系統(tǒng)訪問用戶行為及終端安全狀態(tài)等進行實時監(jiān)測，確保信息系統(tǒng)訪問用戶及終端的安全可靠。

圖 3 信息系統(tǒng)免疫保護總體架構(gòu)

３防御機制設(shè)計

3.1系統(tǒng)側(cè)安全防護

3.1.1免疫安全防護控制

免疫安全防護控制是整個信息系統(tǒng)免疫安全防護架構(gòu)的核心，與威脅監(jiān)測識別、安全協(xié)同防護、威脅攻擊誘捕、終端檢測響應等模塊進行協(xié)同聯(lián)動，并提供各類技術(shù)支持。

免疫安全防護控制包括免疫學習、免疫記憶和疫苗生成等部分，其中，免疫學習主要基于信息系統(tǒng)自身、網(wǎng)絡、終端中的各類安全數(shù)據(jù)，結(jié)合外部威脅情報進行信息系統(tǒng)威脅的學習和挖掘，為信息系統(tǒng)潛在威脅的檢測識別提供支撐。

免疫記憶主要針對信息系統(tǒng)各類應用服務以及典型威脅攻擊進行行為建模和應用畫像。通過將應用行為中主要涉及的應用進程名稱、線程名稱、加載的模塊名稱及其中的調(diào)用關(guān)系，網(wǎng)絡訪問中主要涉及的網(wǎng)絡地址（源地址、目的地址等）、通信端口、通信協(xié)議、進程流量監(jiān)控，文件訪問行為中主要涉及的文件名稱、文件類型、文件路徑、操作類型（文件讀寫、新建、刪除等），以及威脅攻擊行為中主要涉及的攻擊手段、攻擊流程、攻擊對象等進行研究分析，實現(xiàn)應用行為和威脅攻擊的快速識別，從而為信息系統(tǒng)“本體”和“異體”識別提供支撐。

疫苗生成則主要結(jié)合信息系統(tǒng)各類安全事件，利用信息系統(tǒng)自身各類安全防護資源，生成相應的安全防護預案，為威脅事件的快速響應處置提供支撐。

3.1.2威脅監(jiān)測識別

威脅監(jiān)測識別主要滿足信息系統(tǒng)的“異體識別”需求，為盡早發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患，及時對威脅攻擊進行響應處置提供支撐。威脅監(jiān)測識別應具備系統(tǒng)行為監(jiān)測、網(wǎng)絡行為監(jiān)測、終端行為監(jiān)測、威脅特征提取、威脅攻擊識別以及威脅事件整編等能力。

信息系統(tǒng)具有組成元素多樣的特點，其既包含服務器、網(wǎng)絡設(shè)備、終端等多種物理設(shè)備實體，也包含信息服務軟件、服務協(xié)議、服務資源數(shù)據(jù)等虛擬要素。目前，主要采用虛擬機隔離防護技術(shù)、云平臺安全檢測技術(shù)、應用服務防護技術(shù)等進行信息系統(tǒng)威脅攻擊的檢測挖掘，但各技術(shù)運用都比較孤立單一，只能滿足信息系統(tǒng)安全監(jiān)控部分需求，無法對信息系統(tǒng)形成全面體系化的安全監(jiān)控。針對威脅監(jiān)測識別模塊，本文提出一種信息系統(tǒng)狀態(tài)多維感知監(jiān)測機制，通過在信息系統(tǒng)云平臺、網(wǎng)絡交換設(shè)施、用戶終端等上部署軟探針或輕代理，在后臺服務器上部署威脅監(jiān)測分析系統(tǒng)，從信息系統(tǒng)計算環(huán)境基礎(chǔ)設(shè)施、信息服務平臺、信息系統(tǒng)應用服務、網(wǎng)絡流量、終端行為等方面開展全面監(jiān)測分析，進行威脅攻擊的融合關(guān)聯(lián)識別，實現(xiàn)信息系統(tǒng)軟件、硬件、用戶等方面安全威脅的全面監(jiān)測感知，增強信息系統(tǒng)威脅檢測的準確性。信息系統(tǒng)多維監(jiān)測感知機制如圖 4 所示。

圖 4 信息系統(tǒng)多維監(jiān)測感知機制

3.1.3安全協(xié)同防護

安全協(xié)同防護主要滿足信息系統(tǒng)威脅攻擊的快速智能響應應對，為及時對威脅攻擊進行封堵滅殺提供支撐，降低威脅攻擊對信息系統(tǒng)的損傷。安全協(xié)同防護應具備威脅事件響應、安全資源編排等能力。

目前，各安全防護設(shè)備通常獨立運行，數(shù)據(jù)難以共享，防護行動也難以進行協(xié)同。在軟件定義安全的驅(qū)動下，部分安全廠商提出了基于安全編排的安全防護資源協(xié)同聯(lián)動機制，并且受到越來越多的關(guān)注。

針對安全協(xié)同防護模塊，本文提出基于事件干預和安全編排的安全防護資源協(xié)同聯(lián)動方法。通過將各類已部署的安全工具與既有安全人力及安全流程連接起來，基于安全工作流最佳實踐及獨有工作流梳理進行自動化安全運營。根據(jù)信息系統(tǒng)威脅監(jiān)測數(shù)據(jù)和威脅事件研判結(jié)果，結(jié)合信息系統(tǒng)實際運行環(huán)境和安全標準、規(guī)范和策略的要求，采用安全資源自動化采集、策略自動生成與沖突檢測、任務流程自動編排等自動化輔助手段實現(xiàn)對安全信息和事件處置的智能化決策，降低對人員的技能要求和時間消耗，實現(xiàn)信息系統(tǒng)各種防御策略的靈活、快速調(diào)整，確保對威脅攻擊的及時封堵。

3.1.4自免疫保護環(huán)境

自免疫保護環(huán)境構(gòu)建主要從信息系統(tǒng)可信運行環(huán)境構(gòu)建和信息系統(tǒng)自適應恢復兩方面進行考量。其中，信息系統(tǒng)可信運行環(huán)境構(gòu)建主要滿足信息系統(tǒng)運行環(huán)境的安全可靠性需求，支持信息系統(tǒng)“本體”識別。信息系統(tǒng)自適應恢復則主要滿足信息系統(tǒng)容災恢復需求。

（1）信息系統(tǒng)可信運行環(huán)境構(gòu)建

信息系統(tǒng)可信運行環(huán)境應具備信息系統(tǒng)運行時保護、行為管控、資源微隔離和漏洞抑制等能力。目前，可信計算技術(shù)基于可信根通過對系統(tǒng)組件的度量確保系統(tǒng)的完整性和有效性，防止系統(tǒng)自身被篡改和替換，具有較好的“識真”能力，能夠識別和阻止“異體”的運行，可以較好地滿足安全免疫的“排異”特性?？尚抛R別和度量技術(shù)已經(jīng)比較成熟，也有多種產(chǎn)品在各類信息系統(tǒng)環(huán)境中應用，但是傳統(tǒng)的可信計算相關(guān)裝備應用環(huán)境缺乏靈活性和可操作性。

本文所提免疫保護架構(gòu)采用構(gòu)建信任鏈進行智能化增強，提升信息系統(tǒng)安全可信運行環(huán)境建立的可用性和可擴展性。通過免疫學習自主建立可信度量的信任鏈，對信息系統(tǒng)環(huán)境進行自適應學習來確定合法組件的特征，并在系統(tǒng)運行中強化免疫記憶，持續(xù)采集特征信息，對免疫記憶進行強化或修正，實現(xiàn)系統(tǒng)運行環(huán)境自適應的免疫識別能力。同時，通過構(gòu)建“安全容器”，整合已有的軟件可信機制，對運行信息系統(tǒng)“白名單”管控實現(xiàn)信任鏈向業(yè)務層延伸；通過在運行環(huán)境底層對交互的數(shù)據(jù)進行攔截、重構(gòu)和安全性檢測，實現(xiàn)多層次的攻擊防護，并建立可信連接和訪問控制機制。信息系統(tǒng)可信運行環(huán)境構(gòu)建如圖 5 所示。

圖 5信息系統(tǒng)可信運行環(huán)境構(gòu)建

（2）信息系統(tǒng)自適應恢復

信息系統(tǒng)自適應恢復應具備在信息系統(tǒng)崩潰和設(shè)備故障等場景下，進行快速遷移或恢復的能力，保障信息系統(tǒng)高效可用。

當前，信息系統(tǒng)容災恢復方面主要采用容災備份、數(shù)據(jù)鏡像、快照等技術(shù)實現(xiàn)系統(tǒng)數(shù)據(jù)的安全防護。其中，備份技術(shù)又分為離線備份和在線備份，離線備份通常是把數(shù)據(jù)備份到磁帶庫，在線備份是周期性地將數(shù)據(jù)復制到其他地點。鏡像技術(shù)是在兩個或多個磁盤或磁盤子系統(tǒng)上生成同一個數(shù)據(jù)的鏡像視圖的信息存儲技術(shù)，存在數(shù)據(jù)誤刪或損壞導致的數(shù)據(jù)丟失問題?？煺占夹g(shù)是在存儲技術(shù)上實現(xiàn)的一種記錄某一時間系統(tǒng)狀態(tài)的技術(shù)，是指定數(shù)據(jù)集合在某個時間點的映像。上述技術(shù)通?；谶\維管理角度進行系統(tǒng)數(shù)據(jù)的容災恢復，但缺乏安全視角下的數(shù)據(jù)恢復措施。

本文從安全角度出發(fā)，通過分析信息系統(tǒng)業(yè)務運行環(huán)境的安全狀態(tài)，結(jié)合信息系統(tǒng)威脅攻擊研判結(jié)果，對信息系統(tǒng)安全風險進行綜合分析評估，提出安全驅(qū)動的信息系統(tǒng)容災恢復機制，即如果系統(tǒng)安全風險超過閾值，則在系統(tǒng)未崩潰時，從安全角度考慮，依然進行系統(tǒng)運行環(huán)境的快速重構(gòu)，避免威脅攻擊的擴大化。安全驅(qū)動的信息系統(tǒng)數(shù)據(jù)恢復技術(shù)，能夠解決傳統(tǒng)信息系統(tǒng)未崩潰，但威脅攻擊已無法抵御情況下的系統(tǒng)防護，同時，將安全考量融入系統(tǒng)災備恢復中，能夠避免傳統(tǒng)災備技術(shù)響應遲緩所引起的數(shù)據(jù)丟失問題。

3.2 網(wǎng)絡側(cè)安全防護

3.2.1 網(wǎng)絡偽裝欺騙

網(wǎng)絡偽裝欺騙主要滿足信息系統(tǒng)威脅攻擊遲滯和阻斷需求，應具備仿真網(wǎng)絡構(gòu)建、網(wǎng)絡動態(tài)調(diào)整、策略自適應跳變等能力。

目前，部分安全廠商已開發(fā)了蜜網(wǎng)等相關(guān)的網(wǎng)絡偽裝欺騙工具。本文所提免疫安全防護架構(gòu)可集成現(xiàn)有網(wǎng)絡偽裝欺騙工具，結(jié)合威脅事件響應處置流程，通過對重點防御目標網(wǎng)絡提升網(wǎng)絡和系統(tǒng)的動態(tài)彈性等方式，不斷轉(zhuǎn)移攻擊面，增加攻擊方的入侵成本和身份暴露的可能性，以此挫敗攻擊者的攻擊。

3.2.2威脅攻擊誘捕

威脅攻擊誘捕主要滿足信息系統(tǒng)提前預防威脅攻擊的需求，應具備誘捕文件生成、誘捕文件標識嵌入以及誘捕環(huán)境構(gòu)建等能力。

目前，部分安全廠商已開發(fā)了蜜罐等相關(guān)的威脅攻擊誘捕工具，但缺乏與信息系統(tǒng)的結(jié)合。本文所提免疫安全防護架構(gòu)可集成現(xiàn)有威脅攻擊誘捕工具，結(jié)合免疫學習過程所掌握的信息系統(tǒng)服務模型，構(gòu)建仿真服務、仿真數(shù)據(jù)等誘餌，誘導攻擊者進入誘餌，獲取偽裝數(shù)據(jù)，從而感知捕捉攻擊行為，了解攻擊者的入侵方法，分析其攻擊思路，做到知己知彼，并產(chǎn)生免疫記憶提升系統(tǒng)安全防護能力，使攻擊者遠離核心資產(chǎn)，并延緩或遲滯其攻擊進程。

3.3終端側(cè)安全防護

3.3.1終端安全防護

終端安全防護主要滿足信息系統(tǒng)用戶訪問終端的安全管控需求，應具備外設(shè)管控、外聯(lián)控制、終端策略管理、用戶行為審計等能力。

目前，各終端安全防護廠商已具備相應的終端防護能力，但難以進行信息共享。本文所提免疫安全防護架構(gòu)可集成現(xiàn)有終端安全防護工具，并融合終端安全防護數(shù)據(jù)進行威脅關(guān)聯(lián)檢測和系統(tǒng)訪問控制。

3.3.2終端檢測響應

終端檢測響應主要滿足信息系統(tǒng)用戶訪問終端的威脅感知和響應需求，應具備持續(xù)性的終端行為監(jiān)測和記錄等能力。

目前，相關(guān)安全廠商已開發(fā)相應產(chǎn)品。本文所提免疫安全防護架構(gòu)可集成現(xiàn)有終端監(jiān)測響應工具，并融合終端行為監(jiān)測數(shù)據(jù)和分析結(jié)果進行威脅關(guān)聯(lián)挖掘和封堵。

3.3.3防病毒

防病毒主要滿足信息系統(tǒng)用戶訪問終端運行環(huán)境安全可靠需求，應具備惡意代碼查殺、系統(tǒng)漏洞修復、病毒知識庫維護、黑白名單管理等能力。

目前，各防病毒廠商已具備相應的終端病毒查殺能力。本文所提免疫安全防護架構(gòu)可集成現(xiàn)有防病毒工具，并融合終端病毒防護數(shù)據(jù)進行威脅關(guān)聯(lián)檢測。

４結(jié)? 語

本文提出了一種基于生物免疫機制的信息系統(tǒng)免疫安全防護架構(gòu)。本文利用生物免疫自適應、自學習的特點，結(jié)合信息系統(tǒng)部署應用模式，從系統(tǒng)、網(wǎng)絡、終端側(cè)分別進行安全防護設(shè)計，并進行各類安全防護資源的體系化管理運用，實現(xiàn)信息系統(tǒng)安全威脅的深度挖掘和協(xié)同處置，支持信息系統(tǒng)安全防護能力的持續(xù)提升，為信息系統(tǒng)持續(xù)安全可靠運行提供保障。