摘要

隨著網絡的快速發展，各類社會活動的信息化日益普及，但是網絡安全威脅也更加復雜多變，使得信息系統處于安全威脅風險極高的環境中，嚴重威脅信息的共享和獲取。針對核心信息系統的安全防護，提出了一種信息系統免疫安全防護架構。針對信息系統高可用和高可靠性需求，結合生物免疫原理，圍繞信息系統的系統、網絡、終端建立協同聯動的安全防護體系，并綜合應用各類安全數據進行安全威脅的深度挖掘和響應處置，有效保障信息系統持續可靠地運行。

內容目錄

１相關工作

2 架構設計

3 防御機制設計

3.1 系統側安全防護

3.1.1 免疫安全防護控制

3.1.2 威脅監測識別

3.1.3 安全協同防護

3.1.4 自免疫保護環境

3.2 網絡側安全防護

3.2.1 網絡偽裝欺騙

3.2.2 威脅攻擊誘捕

3.3 終端側安全防護

3.3.1 終端安全防護

3.3.2 終端檢測響應

3.3.3 防病毒

4 結? 語

近年來，大數據、人工智能等技術高速發展，為信息系統的賦能增效帶來極大的助力，并促進了信息系統更好地服務于社會。但是，隨著信息系統越來越深入人們的工作、生活、學習等方面，人們對信息系統的依賴也越來越強。為了保障信息系統的持續可靠運行，面向信息系統的安全防護設施也應運而生，然而，傳統的安全防護設備主要針對特定已知的威脅攻擊行為，且多獨立運行，難以應對當前復雜的網絡威脅攻擊形勢。

本文針對核心信息系統的持續、高效、可靠運行的需求，基于生物免疫機制，提出了一種信息系統免疫安全防護架構。通過構建面向系統、網絡、終端側的防御機制，綜合運用系統、網絡、終端的各類安全數據，實現信息系統安全威脅攻擊的高效感知和智能應對，從而提升信息系統持續運作能力。

1相關工作

針對信息系統的安全防護需求，目前已有多種應對方案，但通常只能被動接受防護指令，存在嚴重的滯后性和局限性，而生物免疫機制由于其良好的自適應、自學習能力，給信息系統安全防護帶來了巨大啟發，因此受到越來越多的關注。

在美國新墨西哥大學，Dr.Forrest 及其所在的研究中心首次將人工免疫理論應用于計算機網絡進行病毒檢測。美國諾貝爾獎得主 Niels K. Jerne 博士提出了著名的免疫網絡理論，其主要觀點是將生物體的免疫系統看成是一個由免疫細胞組成的、能夠相互刺激和協調的網絡。美國 IBM 研究中心的研究人員 Kephart 等人建立了第一個投入商業應用的計算機病毒免疫系統。該系統利用分布式網絡結構，對用戶提交的眾多任務進行快速高效的分析處理。2010 年，受生物免疫系統的啟發，美國國防部高級研究計劃局（Defense Advanced Research Projects Agency，DARPA）提出了實用化的免疫網絡安全系統 CRASH，在該系統中引入了先天性免疫、適應性免疫，以及多樣性策略機制。

目前，我國在基于人工免疫理論的網絡安全技術方面的研究還處于初級階段，相關的理論成果還不多。部分專家學者將免疫技術與可信計算結合在一起，提出了基于可信計算的網絡安全防御體系。還有人將免疫原理應用到網絡安全防護中，提出了網絡自免疫內生安全防護體系 ，實現自適應、自學習、自組織及動態的網絡安全防護能力。另外，免疫原理在網絡安全風險檢測 和惡意代碼檢測中也有一些探索性應用。

本文基于生物免疫原理，提出了一種信息系統免疫安全防護架構，能夠實現信息系統自適應、自進化安全防護能力，有效保障信息系統業務的持續可靠運行。

２架構設計

免疫（Immunity）的原意是機體對病原侵害做出的應答反應。免疫系統是維持生物體自身健康狀態必不可少的關鍵系統，具有免疫防御、免疫監視和免疫自身穩定三大功能，通過發現、消滅外來病原體來防止感染，并監控體內異常病變細胞，對維持機體內環境的穩態發揮著重要作用。借鑒生物免疫能夠適應環境變化，并且具有靈活多變保護措施的防護機理，參照免疫系統具有的記憶性、自限性、多樣性、耐受性、特異性等功能特性，本文提出，針對信息系統的免疫安全系統應具備以下 5 個方面的能力：

（1）能夠從實體身份、行為特征等維度識別出“本體”和“異體”；

（2）能夠對識別的“異體”包括實體和行為，采用不同策略實施“排異”；

（3）在遭受攻擊破壞時，能夠在一定程度上對影響范圍進行控制，具備“帶病運行”的特點；

（4）在遭受不可抗力的破壞時，能夠通過數據重置，重新啟動運行；

（5）能夠針對外部刺激或基于外部信息，產生特征“疫苗”實現安全防護能力的持續提升。

基于信息系統免疫安全特征，提出集主動識別、威脅抑制、入侵容忍、自適應恢復、持續進化于一體的信息系統免疫安全防護模型。信息系統免疫安全防護模型如圖 1 所示。

圖 1 信息系統免疫安全防護能力模型

另外，在對信息系統進行安全防護設計之前，本文先對信息系統運用模式進行概要分析。信息系統應用部署框架通常如圖 2 所示，各個信息系統采用單獨或云化方式部署在后臺高性能服務器上，不同位置的用戶終端經由網絡采用客戶端 / 服務器（Client/Server，C/S）或瀏覽器 / 服務器（Browser/Server，B/S）等方式訪問各信息系統，滿足自身信息交互需求。結合信息系統的應用模式可知，信息系統的使用主要與系統、網絡、終端 3 類實體相關，因此，針對信息系統的免疫安全防護架構設計也將圍繞這 3 方面進行展開。

傳統信息系統安全防護主要根據攻擊特征進行安全配置或安全策略臨時下發，屬于被動滯后的防御手段，導致防御一方在網絡空間安全對抗中長期處于劣勢地位。為扭轉網絡攻防地位的不對稱性，本文按照“內生安全、主動塑造、體系防御”的總體思路，結合生物免疫防護機制，構建信息系統免疫安全防護架構，圍繞信息系統、網絡、終端進行防護體系設計，以動態調整系統攻擊面、增強自我非我識別、主動塑造信息系統安全可靠運行環境為手段，有效限制系統漏洞暴露及被利用機會，并在應對各類威脅攻擊時，有效保障信息系統持續、可靠運行，實現信息服務不中斷。

圖 2信息系統應用部署框架

本文所提信息系統免疫安全防護總體架構如圖3 所示，主要包括系統側、網絡側、終端側安全防護 3 個方面。其中，系統側安全防護綜合 3 類實體的安全數據，進行威脅攻擊的分析識別和智能應對，并為信息系統運行提供可靠的運行環境；網絡側安全防護對信息系統訪問網絡進行偽裝和攻擊誘捕；終端側安全防護對信息系統訪問用戶行為及終端安全狀態等進行實時監測，確保信息系統訪問用戶及終端的安全可靠。

圖 3 信息系統免疫保護總體架構

３防御機制設計

3.1系統側安全防護

3.1.1免疫安全防護控制

免疫安全防護控制是整個信息系統免疫安全防護架構的核心，與威脅監測識別、安全協同防護、威脅攻擊誘捕、終端檢測響應等模塊進行協同聯動，并提供各類技術支持。

免疫安全防護控制包括免疫學習、免疫記憶和疫苗生成等部分，其中，免疫學習主要基于信息系統自身、網絡、終端中的各類安全數據，結合外部威脅情報進行信息系統威脅的學習和挖掘，為信息系統潛在威脅的檢測識別提供支撐。

免疫記憶主要針對信息系統各類應用服務以及典型威脅攻擊進行行為建模和應用畫像。通過將應用行為中主要涉及的應用進程名稱、線程名稱、加載的模塊名稱及其中的調用關系，網絡訪問中主要涉及的網絡地址（源地址、目的地址等）、通信端口、通信協議、進程流量監控，文件訪問行為中主要涉及的文件名稱、文件類型、文件路徑、操作類型（文件讀寫、新建、刪除等），以及威脅攻擊行為中主要涉及的攻擊手段、攻擊流程、攻擊對象等進行研究分析，實現應用行為和威脅攻擊的快速識別，從而為信息系統“本體”和“異體”識別提供支撐。

疫苗生成則主要結合信息系統各類安全事件，利用信息系統自身各類安全防護資源，生成相應的安全防護預案，為威脅事件的快速響應處置提供支撐。

3.1.2威脅監測識別

威脅監測識別主要滿足信息系統的“異體識別”需求，為盡早發現信息系統存在的安全隱患，及時對威脅攻擊進行響應處置提供支撐。威脅監測識別應具備系統行為監測、網絡行為監測、終端行為監測、威脅特征提取、威脅攻擊識別以及威脅事件整編等能力。

信息系統具有組成元素多樣的特點，其既包含服務器、網絡設備、終端等多種物理設備實體，也包含信息服務軟件、服務協議、服務資源數據等虛擬要素。目前，主要采用虛擬機隔離防護技術、云平臺安全檢測技術、應用服務防護技術等進行信息系統威脅攻擊的檢測挖掘，但各技術運用都比較孤立單一，只能滿足信息系統安全監控部分需求，無法對信息系統形成全面體系化的安全監控。針對威脅監測識別模塊，本文提出一種信息系統狀態多維感知監測機制，通過在信息系統云平臺、網絡交換設施、用戶終端等上部署軟探針或輕代理，在后臺服務器上部署威脅監測分析系統，從信息系統計算環境基礎設施、信息服務平臺、信息系統應用服務、網絡流量、終端行為等方面開展全面監測分析，進行威脅攻擊的融合關聯識別，實現信息系統軟件、硬件、用戶等方面安全威脅的全面監測感知，增強信息系統威脅檢測的準確性。信息系統多維監測感知機制如圖 4 所示。

圖 4 信息系統多維監測感知機制

3.1.3安全協同防護

安全協同防護主要滿足信息系統威脅攻擊的快速智能響應應對，為及時對威脅攻擊進行封堵滅殺提供支撐，降低威脅攻擊對信息系統的損傷。安全協同防護應具備威脅事件響應、安全資源編排等能力。

目前，各安全防護設備通常獨立運行，數據難以共享，防護行動也難以進行協同。在軟件定義安全的驅動下，部分安全廠商提出了基于安全編排的安全防護資源協同聯動機制，并且受到越來越多的關注。

針對安全協同防護模塊，本文提出基于事件干預和安全編排的安全防護資源協同聯動方法。通過將各類已部署的安全工具與既有安全人力及安全流程連接起來，基于安全工作流最佳實踐及獨有工作流梳理進行自動化安全運營。根據信息系統威脅監測數據和威脅事件研判結果，結合信息系統實際運行環境和安全標準、規范和策略的要求，采用安全資源自動化采集、策略自動生成與沖突檢測、任務流程自動編排等自動化輔助手段實現對安全信息和事件處置的智能化決策，降低對人員的技能要求和時間消耗，實現信息系統各種防御策略的靈活、快速調整，確保對威脅攻擊的及時封堵。

3.1.4自免疫保護環境

自免疫保護環境構建主要從信息系統可信運行環境構建和信息系統自適應恢復兩方面進行考量。其中，信息系統可信運行環境構建主要滿足信息系統運行環境的安全可靠性需求，支持信息系統“本體”識別。信息系統自適應恢復則主要滿足信息系統容災恢復需求。

（1）信息系統可信運行環境構建

信息系統可信運行環境應具備信息系統運行時保護、行為管控、資源微隔離和漏洞抑制等能力。目前，可信計算技術基于可信根通過對系統組件的度量確保系統的完整性和有效性，防止系統自身被篡改和替換，具有較好的“識真”能力，能夠識別和阻止“異體”的運行，可以較好地滿足安全免疫的“排異”特性。可信識別和度量技術已經比較成熟，也有多種產品在各類信息系統環境中應用，但是傳統的可信計算相關裝備應用環境缺乏靈活性和可操作性。

本文所提免疫保護架構采用構建信任鏈進行智能化增強，提升信息系統安全可信運行環境建立的可用性和可擴展性。通過免疫學習自主建立可信度量的信任鏈，對信息系統環境進行自適應學習來確定合法組件的特征，并在系統運行中強化免疫記憶，持續采集特征信息，對免疫記憶進行強化或修正，實現系統運行環境自適應的免疫識別能力。同時，通過構建“安全容器”，整合已有的軟件可信機制，對運行信息系統“白名單”管控實現信任鏈向業務層延伸；通過在運行環境底層對交互的數據進行攔截、重構和安全性檢測，實現多層次的攻擊防護，并建立可信連接和訪問控制機制。信息系統可信運行環境構建如圖 5 所示。

圖 5信息系統可信運行環境構建

（2）信息系統自適應恢復

信息系統自適應恢復應具備在信息系統崩潰和設備故障等場景下，進行快速遷移或恢復的能力，保障信息系統高效可用。

當前，信息系統容災恢復方面主要采用容災備份、數據鏡像、快照等技術實現系統數據的安全防護。其中，備份技術又分為離線備份和在線備份，離線備份通常是把數據備份到磁帶庫，在線備份是周期性地將數據復制到其他地點。鏡像技術是在兩個或多個磁盤或磁盤子系統上生成同一個數據的鏡像視圖的信息存儲技術，存在數據誤刪或損壞導致的數據丟失問題。快照技術是在存儲技術上實現的一種記錄某一時間系統狀態的技術，是指定數據集合在某個時間點的映像。上述技術通常基于運維管理角度進行系統數據的容災恢復，但缺乏安全視角下的數據恢復措施。

本文從安全角度出發，通過分析信息系統業務運行環境的安全狀態，結合信息系統威脅攻擊研判結果，對信息系統安全風險進行綜合分析評估，提出安全驅動的信息系統容災恢復機制，即如果系統安全風險超過閾值，則在系統未崩潰時，從安全角度考慮，依然進行系統運行環境的快速重構，避免威脅攻擊的擴大化。安全驅動的信息系統數據恢復技術，能夠解決傳統信息系統未崩潰，但威脅攻擊已無法抵御情況下的系統防護，同時，將安全考量融入系統災備恢復中，能夠避免傳統災備技術響應遲緩所引起的數據丟失問題。

3.2 網絡側安全防護

3.2.1 網絡偽裝欺騙

網絡偽裝欺騙主要滿足信息系統威脅攻擊遲滯和阻斷需求，應具備仿真網絡構建、網絡動態調整、策略自適應跳變等能力。

目前，部分安全廠商已開發了蜜網等相關的網絡偽裝欺騙工具。本文所提免疫安全防護架構可集成現有網絡偽裝欺騙工具，結合威脅事件響應處置流程，通過對重點防御目標網絡提升網絡和系統的動態彈性等方式，不斷轉移攻擊面，增加攻擊方的入侵成本和身份暴露的可能性，以此挫敗攻擊者的攻擊。

3.2.2威脅攻擊誘捕

威脅攻擊誘捕主要滿足信息系統提前預防威脅攻擊的需求，應具備誘捕文件生成、誘捕文件標識嵌入以及誘捕環境構建等能力。

目前，部分安全廠商已開發了蜜罐等相關的威脅攻擊誘捕工具，但缺乏與信息系統的結合。本文所提免疫安全防護架構可集成現有威脅攻擊誘捕工具，結合免疫學習過程所掌握的信息系統服務模型，構建仿真服務、仿真數據等誘餌，誘導攻擊者進入誘餌，獲取偽裝數據，從而感知捕捉攻擊行為，了解攻擊者的入侵方法，分析其攻擊思路，做到知己知彼，并產生免疫記憶提升系統安全防護能力，使攻擊者遠離核心資產，并延緩或遲滯其攻擊進程。

3.3終端側安全防護

3.3.1終端安全防護

終端安全防護主要滿足信息系統用戶訪問終端的安全管控需求，應具備外設管控、外聯控制、終端策略管理、用戶行為審計等能力。

目前，各終端安全防護廠商已具備相應的終端防護能力，但難以進行信息共享。本文所提免疫安全防護架構可集成現有終端安全防護工具，并融合終端安全防護數據進行威脅關聯檢測和系統訪問控制。

3.3.2終端檢測響應

終端檢測響應主要滿足信息系統用戶訪問終端的威脅感知和響應需求，應具備持續性的終端行為監測和記錄等能力。

目前，相關安全廠商已開發相應產品。本文所提免疫安全防護架構可集成現有終端監測響應工具，并融合終端行為監測數據和分析結果進行威脅關聯挖掘和封堵。

3.3.3防病毒

防病毒主要滿足信息系統用戶訪問終端運行環境安全可靠需求，應具備惡意代碼查殺、系統漏洞修復、病毒知識庫維護、黑白名單管理等能力。

目前，各防病毒廠商已具備相應的終端病毒查殺能力。本文所提免疫安全防護架構可集成現有防病毒工具，并融合終端病毒防護數據進行威脅關聯檢測。

４結? 語

本文提出了一種基于生物免疫機制的信息系統免疫安全防護架構。本文利用生物免疫自適應、自學習的特點，結合信息系統部署應用模式，從系統、網絡、終端側分別進行安全防護設計，并進行各類安全防護資源的體系化管理運用，實現信息系統安全威脅的深度挖掘和協同處置，支持信息系統安全防護能力的持續提升，為信息系統持續安全可靠運行提供保障。