基于免疫的网络环境威胁变化感知与动态风险控制研究

◆朱俊霏 亢硕 李璞 赖凤麟

（中国电子科技集团公司第三十研究所 四川 610041）

2002年国际著名学者Staniford曾经描述了一种能在30秒内对全球互联网发起攻击的网络蠕虫[1]。一项来自中国信息安全重点实验室的统计资料显示，全世界恶意代码已超过1,100万个，而且70%的恶意代码能够窃取机密信息，2015年增加到2.33亿个，每小时会有26,598个新病毒需要处理。另一项来自国家互联网应急中心的资料显示，仅2014年上半年，中国境内625万台电脑感染了木马病毒；境外的1.9万台主机，控制了我国境内619万台电脑，同比2013年增加10.2%。专家称我国面临严重的境外网络攻击威胁，信息安全状况不容乐观[2]。

在真实的网络环境下，网络外部环境异常复杂、尖锐，瞬息万变。显然，采取一成不变、被动的防御策略，非常危险。采取积极主动的、能依据外部网络环境威胁变化主动调整防御策略的网络安全防御方法才是正解，其中的关键是要及时了解当前网络外部环境的威胁变化，没有及时、准确的网络外部环境的威胁变化分析，也就无法及时制定出有针对性的网络安全防御策略，从而丧失网络防御中的主动权，从而陷入被动防御的不利局面[3]。

受生物免疫系统的启发，研究一种基于免疫的网络外部环境威胁变化实时定量感知与风险控制的理论模型及实现技术[4]，用以提高网络安全防御系统的自适应能力，因而及时掌握当前网络安全的总体态势，灵活地依据当前网络环境威胁的变化采取不同的、有针对性的防御策略，能有效提高网络的整体安全性[5]。

1 基于免疫的网络环境威胁变化感知与动态风险控制系统原理分析

基于分布式和免疫的网络环境威胁变化感知与动态风险控制系统的体系架构、工作机理及实现技术等。主要包括以下几个方面内容：

1.1 系统的体系架构及实现策略

为了能够感知宏观网络的环境威胁和风险值，需要逐级感知网络环境中主机、子网、区域网络直至整体网络的威胁及风险，以及基于免疫agent（Immune Agent，IA）的分布式体系架构。

1.2 系统的实现

系统主要包括网络威胁发现模块，网络环境威胁变化感知模块，动态风险控制模块，其中网络威胁发现模块包括特征空间划分模块、抗原特征提取模块、自体动态演化模块、检测器生成模块以及检测器匹配模块[6]；网络环境威胁变化感知模块包括网络资产评估模块、网络攻击危险性评估模块、抗体浓度计算模块、风险计算模块、攻击日志记录模块以及风险日志记录模块[7]；动态风险控制模块包括防御分析模块、防御策略调整模块、风险控制模块以及知识库[8]。

1.3 系统的部署方式

系统的部署方式采取传感器网络的基本架构来实现整个系统在目标网络上的部署：首先在目标主机上部署一系列的主机威胁感知与风险控制器（主机免疫agent），在网关上部署一个网络威胁感知与风险控制中心（网络免疫agent），所有这些部署在网络中不同地方的免疫agent共同作用，通过逐级感知计算网络环境中主机、子网、区域网络直至整体网络的威胁及量化的风险值[9]，并通过该风险值动态调整主机、网络的防御策略，从而组成一个分布式的网络环境威胁变化感知与动态风险控制系统。

2 基于免疫的网络环境威胁变化感知与动态风险控制系统构建

2.1 系统的架构

基于免疫的网络环境威胁变化感知与动态风险控制系统采用基于免疫agent（Immune Agent，IA）、分布式的体系架构来构建[10]。首先利用面向对象的基本思想对网络和主机进行抽象和封装，将主机看成是一个网络最基本的单位，或者说最简单的一种网络（只有一台机器），进而统一宏观网络、区域网络、子网、以及主机的威胁感知与风险控制系统的基本形式，这样做的好处是：逻辑、概念清晰，对面向主机和面向网络的系统均可采取同样的实现方式。

具体做法是将网络威胁感知与风险控制系统封装成一个对象，并用免疫agent的思路去实现，关于免疫agent的具体实现方法，国内外已有一些研究，兹不赘述。我们把这种部署在主机上的免疫agent称作主机免疫agent，把部署在网关上的免疫agent称作网络免疫agent（有时候我们又将其称为网络威胁感知与风险控制中心），它们均具有两个同样的功能：（1）网络环境威胁感知，（2）动态风险控制。所不同者，主机免疫agent主要针对单个的主机，网络免疫agent主要针对整个网络，包括其管辖的所有主机和子网。

图1是该系统体系架构示意图，图中的免疫agent可能是主机免疫agent或网络免疫agent，分别对应主机或子网的威胁感知与风险控制。如前所述，所谓网络环境威胁感知，其主要工作是对网络或主机当前面临攻击时的动态风险进行实时定量的评估，其中，主机动态风险评估的主要依据是主机正在遭受的攻击，而网络风险评估的主要依据是其中的每个节点（包括主机和子网）的动态风险，以及每个节点在网络中的重要性等。所谓动态风险控制，其主要工作是依据网络或主机的当前网络环境威胁风险等级指标动态调整其防御策略、进行有针对性的防御，以达到控制风险的目的。其中，主机动态风险控制策略主要针对主机，而网络动态风险控制策略主要针对网络。简单地说，就是主机控制主机的风险，网络控制网络的风险，这样分别同时进行，以达到迅速控制整个网络系统安全风险的目的。

图1基于免疫的网络环境威胁变化感知与动态风险控制体系架构

2.2 系统的实现

基于免疫的网络环境威胁变化感知与动态风险系统，如下图2所示，主要包括管理层、通信层、处理层、和硬件层（专用高速网络处理平台）等部分组成。通过基于免疫的网络环境感知与动态风险控制系统可实时定量地刻画宏观网络、区域网络、子网、以及主机等面临某一种攻击以及所有攻击的单一风险以及整体综合风险，并能依据当前网络面临的风险等级主动调整相应的防御策略，进行有针对性的防御。

图2基于免疫的网络环境威胁变化感知与动态风险系统体系架构图

2.3 系统的部署

基于免疫的网络威胁变化感知与动态风险控制系统在具体部署时，我们采取传感器网络的基本架构来实现整个系统在目标网络上的部署：首先在目标主机上部署一系列的主机威胁感知与风险控制器（主机免疫agent），在网关上部署一个网络威胁感知与风险控制系统（网络威胁感知与风险控制中心，简称网络免疫agent），所有这些部署在网络中不同地方的免疫agent共同作用，从而组成一个分布式的网络环境威胁变化感知与动态风险控制系统，图3是该系统的一个典型应用部署场景。

图3典型应用部署场景

3 总结

由于缺乏实时定量的网络外部环境威胁变化感知方法，传统网络安全防御策略的制定基本上都是依据对网络过去的安全事件的一个大致描述，从而导致现阶段只能依据历史经验来进行被动防御：按照过去的经验或教训采取一种或几种固定的安全手段作为相应的防护措施。这种安全方案在很大程度上仅针对固定的威胁和环境弱点，具有较大的盲目性和被动性，不能适应日益复杂、多变、矛盾尖锐的真实网络环境。

对此，研究一种新的、基于网络环境威胁变化的网络动态风险控制方法，通过网络环境威胁变化感知、动态风险控制策略知识库、动态风险控制引擎等一系列的创新，解决了传统网络安全防御系统不能“依据当前网络环境威胁变化进行主动、有针对性的防御”这一长期困扰国内外网络安全专家的技术难题，极大地提高了网络系统在复杂应用环境下的生存能力。该项成果，对建立一种新的、积极主动的网络安全防御系统，掌握网络防御中的主动权，改变传统网络安全系统的被动防御局面等方面具有十分重要的理论意义和实际应用价值。