云安全免疫系統(tǒng)運(yùn)行機(jī)制研究

陳瑤琳 霍 林

（廣西大學(xué)計(jì)算機(jī)與電子信息學(xué)院，廣西 南寧 530004）

云安全免疫系統(tǒng)運(yùn)行機(jī)制研究

陳瑤琳 霍 林

（廣西大學(xué)計(jì)算機(jī)與電子信息學(xué)院，廣西 南寧 530004）

隨著大數(shù)據(jù)時(shí)代的到來(lái)以及云計(jì)算技術(shù)的發(fā)展，計(jì)算機(jī)病毒也在迅速演化，傳統(tǒng)的特征碼技術(shù)已經(jīng)無(wú)法應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)的需求。因此為了更好的保障云環(huán)境下數(shù)據(jù)運(yùn)行的安全，以人體免疫系統(tǒng)（Human Immune System, HIS）運(yùn)行機(jī)理為理論依據(jù)，借鑒其功能特性，結(jié)合計(jì)算機(jī)免疫系統(tǒng)（Computer Immune System，CIS）和行為分析技術(shù)，提出了基于人體免疫原理和行為分析技術(shù)的云安全免疫系統(tǒng)（Cloud Security Immune System，CSIS），設(shè)計(jì)了CSIS 運(yùn)行機(jī)制和九個(gè)相關(guān)算法，并分析了其特點(diǎn)。

云安全；行為分析；人體免疫；安全機(jī)制

1 研究背景

云安全（Cloud Security）即云計(jì)算安全，最初是由中國(guó)企業(yè)在2007年提出的概念，緊隨著云計(jì)算和云儲(chǔ)存之后出現(xiàn)了，是指基于云計(jì)算商業(yè)模式應(yīng)用的安全軟件、硬件、用戶、機(jī)構(gòu)、安全云平臺(tái)的總稱。云安全計(jì)劃擁有大量客戶端，并且邏輯上形成網(wǎng)狀結(jié)構(gòu)，不間斷地監(jiān)測(cè)網(wǎng)絡(luò)中軟件的異常行為，能夠及時(shí)獲取到網(wǎng)絡(luò)中的木馬、惡意代碼程序的最新動(dòng)態(tài)和信息，并將這些信息發(fā)送至服務(wù)器端，由服務(wù)器端進(jìn)行自動(dòng)分析及處理，得到相應(yīng)解決方案，再將這些解決方案發(fā)送到網(wǎng)絡(luò)的每個(gè)客戶端。云安全計(jì)劃的實(shí)質(zhì)就是將整個(gè)網(wǎng)絡(luò)變成一個(gè)巨大的殺毒系統(tǒng)。然而，在可預(yù)見(jiàn)的未來(lái)，云安全問(wèn)題將會(huì)面臨越來(lái)越多的非法攻擊和惡意入侵的挑戰(zhàn)，整體形勢(shì)不容樂(lè)觀。

對(duì)于這些問(wèn)題，專家們做了很多的研究。文獻(xiàn)[1-6]指出了非法程序發(fā)展變化使特征碼技術(shù)遇到的挑戰(zhàn)，包括壓縮、加密、變形、多態(tài)等，使傳統(tǒng)特征碼查毒思想走到了盡頭，特征碼總是存在滯后性的缺點(diǎn)，不能檢測(cè)未知病毒。

云計(jì)算所面臨的安全問(wèn)題與人體免疫系統(tǒng)所應(yīng)對(duì)的問(wèn)題相類似，二者具有如下三個(gè)方面共性：一是兩者組成結(jié)構(gòu)相似；二是兩者系統(tǒng)功能相似；三是兩者運(yùn)行方式相似?，F(xiàn)階段許多文獻(xiàn)資料顯示，當(dāng)前CSIS的研究基本只是在理論方面進(jìn)行了探討，距離實(shí)際應(yīng)用的要求還比較遙遠(yuǎn)，故對(duì)于CSIS的深入研究就具有十分重要的價(jià)值。

2 行為分析

所謂行為分析[7]，是指分別給定由一些行為規(guī)則組成的合法程序行為集合以及非法程序行為集合，如果有程序的行為與其相匹配，就能判定該程序當(dāng)前是何行為動(dòng)作。

分析方法主要有兩類，一類是動(dòng)態(tài)行為分析方法，另一類是靜態(tài)行為分析方法。行為分析方法的優(yōu)點(diǎn)是能對(duì)未知病毒進(jìn)行分析，缺點(diǎn)是實(shí)現(xiàn)難度較大，但是它避免了現(xiàn)有殺毒軟件需要將程序與病毒庫(kù)中的病毒特征碼相比較，提高了殺毒效率，也在一定程度上很好的解決了病毒代碼更新的滯后性。

3 人體免疫系統(tǒng)

人體本身具有先天生理的免疫功能，這種功能極其復(fù)雜，其基本意義是保護(hù)人體不受“異體”的傷害。執(zhí)行免疫功能的各種器官、組織、細(xì)胞、分子，形成一個(gè)龐大的、細(xì)密的、復(fù)雜的免疫系統(tǒng)，免疫系統(tǒng)各組成遍布全身。免疫細(xì)胞和免疫分子在人體內(nèi)不斷地產(chǎn)生、循環(huán)和更新，使免疫系統(tǒng)始終保持均衡的運(yùn)作活力。

人體免疫系統(tǒng)的主要功能是當(dāng)機(jī)體受到病原體的侵害而出現(xiàn)異常時(shí)及時(shí)將病原體清除，以達(dá)到維持機(jī)體內(nèi)環(huán)境的健康和穩(wěn)定的目的。通過(guò)對(duì)“自我”和“非我”物質(zhì)的識(shí)別及調(diào)節(jié)體現(xiàn)出三種基本功能：免疫防御、免疫自穩(wěn)和免疫監(jiān)視[8]。大自然中存在著許多的病原體，但是只約有 10%左右能進(jìn)入到人體內(nèi)部，被非特異性免疫以及特異性免疫所清除。人體的免疫系統(tǒng)除了識(shí)別和清除外來(lái)入侵的抗原外，還可以識(shí)別和清除體內(nèi)發(fā)生突變的腫瘤細(xì)胞、衰老細(xì)胞或其他有害成分。

4 云安全免疫系統(tǒng)運(yùn)行機(jī)理研究

在本文中，借鑒了人體免疫學(xué)層層防御的理論體系，設(shè)計(jì)了一套模擬人體免疫系統(tǒng)的云安全免疫系統(tǒng)。在本系統(tǒng)中，第一層防御位于客戶端，第二層防御位于服務(wù)器端，最后一層防御則是類似人體免疫中的特異性免疫，由T細(xì)胞算法生成。三層防御層層遞進(jìn)，在節(jié)省了網(wǎng)絡(luò)節(jié)點(diǎn)資源及充分利用了服務(wù)器端強(qiáng)大計(jì)算能力的基礎(chǔ)上，最大可能的保證了云環(huán)境中的運(yùn)行安全。云安全免疫系統(tǒng)與人工免疫系統(tǒng)的映射關(guān)系如表1所示。

表1 與人體免疫系統(tǒng)的映射關(guān)系

4.1 運(yùn)行機(jī)制研究

本系統(tǒng)的總體架構(gòu)由海量的客戶端節(jié)點(diǎn)以及一定數(shù)量的服務(wù)器集群構(gòu)成。其中抗原提呈模塊、記憶細(xì)胞模塊、抗體數(shù)據(jù)庫(kù)模塊、抗原數(shù)據(jù)庫(kù)模塊、皮膚模塊、B細(xì)胞模塊以及抗體記憶庫(kù)模塊位于客戶端，T細(xì)胞模塊位于服務(wù)器端，整體架構(gòu)如下圖所示。

圖1 CSIS運(yùn)行機(jī)制和數(shù)據(jù)流圖

其運(yùn)轉(zhuǎn)機(jī)理如下所示：

（1）對(duì)每個(gè)接入的節(jié)點(diǎn)進(jìn)行監(jiān)測(cè)，對(duì)接收到的信息與皮膚模塊內(nèi)的白名單信息進(jìn)行比對(duì)，判斷是否已知信息，是轉(zhuǎn)(2)，不是轉(zhuǎn)(3)。

（2）對(duì)已知信息進(jìn)行預(yù)處理，得到長(zhǎng)度為L(zhǎng)的二進(jìn)制字符串，將其發(fā)送到記憶細(xì)胞庫(kù)模塊的正常行為特征數(shù)據(jù)集查詢，判斷該已知信息是否受到非法攻擊，是則判斷該信息為抗原信息并發(fā)送到B細(xì)胞模塊中，并轉(zhuǎn)(4)，不是則結(jié)束進(jìn)程。

（3）對(duì)未知信息進(jìn)行預(yù)處理，得到長(zhǎng)度為L(zhǎng)的二進(jìn)制字符串，將其發(fā)送到抗原數(shù)據(jù)庫(kù)模塊中的惡意行為特征數(shù)據(jù)集進(jìn)行查詢，如若查詢成功，則判斷該信息為抗原信息并發(fā)送到B細(xì)胞模塊中，轉(zhuǎn)(4)，不成功則更新白名單。

（4）B細(xì)胞模塊調(diào)用抗體信息對(duì)收到的抗原信息進(jìn)行攻擊，如攻擊成功，則進(jìn)程結(jié)束，不成功則查詢抗體數(shù)據(jù)和抗體記憶庫(kù)，若查詢成功，則返回繼續(xù)攻擊，若查詢失敗則將抗原信息發(fā)往T細(xì)胞模塊并轉(zhuǎn)(5)。

（5）T細(xì)胞模塊將接收到的抗原信息發(fā)往服務(wù)器端進(jìn)行分析，并使用返回的抗體信息對(duì)抗原信息進(jìn)行攻擊，如若攻擊成功則將該抗體信息發(fā)往B細(xì)胞模塊并轉(zhuǎn)(6)，若不成功則繼續(xù)通過(guò)服務(wù)器端生成新抗體信息，直至攻擊成功。

（6）B細(xì)胞模塊根據(jù)新收到的抗體信息更新該節(jié)點(diǎn)安全策略，而且為了減輕節(jié)點(diǎn)負(fù)擔(dān)并提 高 B細(xì)胞模塊的運(yùn)行效率，使用LRU算法更新抗體數(shù)據(jù)庫(kù)，將部分抗體信息儲(chǔ)存到抗體記憶庫(kù)中，將來(lái)若需要?jiǎng)t可直接調(diào)出，與此同時(shí)進(jìn)行疫苗接種，將該抗原和抗體信息發(fā)往相鄰節(jié)點(diǎn)，層層迭代，直至覆蓋整個(gè)網(wǎng)絡(luò)內(nèi)的節(jié)點(diǎn)。

4.2 安全機(jī)制算法研究

4.2.1 皮膚模塊算法

皮膚是人體的第一道防線，可以識(shí)別外來(lái)的病原體，在這里用來(lái)儲(chǔ)存白名單，其功能可用四元組＜ ExtraData ( )，Sign，Renew( )，send( )＞表示，ExtraData ( )表示對(duì)進(jìn)入監(jiān)測(cè)節(jié)點(diǎn)的信息的提?。籗ign為布爾變量，Sign=1時(shí)表示信息已知，Sign=0時(shí)表示信息未知，Renew（）表示更新信息，send（）用于把信息發(fā)往抗原提呈模塊。

4.2.2 抗原提呈模塊算法

抗原提呈細(xì)胞即樹(shù)突狀細(xì)胞，在人體中的功能是將抗原信息提呈給T細(xì)胞，在這里是對(duì)信息進(jìn)行預(yù)處理，其功能可用五元組＜MonMess，Sign，F(xiàn)ilter()， Query( )，send( )＞表示，MonMess表示從皮膚模塊收到的監(jiān)測(cè)信息；Sign是一個(gè)布爾變量值，Sign =true表示信息正常，Sign =false表示發(fā)現(xiàn)異常；Filter()用于對(duì)收到的信息進(jìn)行處理； Query( )是查詢函數(shù)，依據(jù)信息是否已知在記憶細(xì)胞庫(kù)模塊和抗原數(shù)據(jù)庫(kù)模塊中查詢，當(dāng)Query( )函數(shù)查詢成功時(shí)，調(diào)用send()函數(shù)將數(shù)據(jù)發(fā)送到B細(xì)胞模塊，失敗則結(jié)束進(jìn)程并更新白名單。

4.2.3 記憶細(xì)胞庫(kù)算法

記憶細(xì)胞在人體免疫中的作用是對(duì)抗原進(jìn)行特異性識(shí)別，在這里用記憶細(xì)胞庫(kù)來(lái)儲(chǔ)存自我集特征數(shù)據(jù)，其功能可用二元組＜ CSInfor，Sign＞表示，CSInfor表示從抗原提呈模塊收到的數(shù)據(jù)信息，Sign為布爾變量，Sign=true時(shí)表示數(shù)據(jù)正常，Sign=false時(shí)表示數(shù)據(jù)異常。

4.2.4 抗原數(shù)據(jù)庫(kù)算法

抗原為任何可誘發(fā)人體免疫反應(yīng)的外來(lái)物，在這里用來(lái)抗原數(shù)據(jù)庫(kù)來(lái)儲(chǔ)存非我集特征數(shù)據(jù)，其功能可用二元組＜CSInfor，Sign＞表示，CSInfor表示從預(yù)處理模塊收到的數(shù)據(jù)信息，Sign為布爾變量，Sign=1時(shí)表示數(shù)據(jù)正常，Sign=0時(shí)表示數(shù)據(jù)異常。

4.2.5 B細(xì)胞算法

B細(xì)胞在人體中的作用是產(chǎn)生抗體，主要負(fù)責(zé)人體的體液免疫，在這里用該模塊模擬體液免疫的一般過(guò)程，其功能可用五元組＜Ag，Ab，Attack()， Mark，send()＞表示，Ag表示收到的抗原信息，Ab表示收到的抗體信息；Attack()表示采取的攻擊措施；Mark為布爾變量，當(dāng)Mark=true時(shí)，表示清除成功，將抗原、抗體信息發(fā)送到疫苗接種算法，當(dāng)Mark=false時(shí)，表示清除失敗，激活B細(xì)胞模塊，將失敗信息發(fā)送到B細(xì)胞模塊，激活該算法查詢抗體記憶庫(kù)，查詢成功則調(diào)用抗體信息Ab返回繼續(xù)清除，失敗則調(diào)用send()函數(shù)，激活并將抗原信息Ag發(fā)往T細(xì)胞模塊。

4.2.6 抗體數(shù)據(jù)庫(kù)模塊

抗體在人體中是用來(lái)識(shí)別并清除抗原的，在這里用抗體數(shù)據(jù)庫(kù)來(lái)儲(chǔ)存常用抗體信息，其功能可用二元組＜Ab ，send（）＞表示，Ab表示從B細(xì)胞模塊收到的抗體信息，send( )用于將抗體數(shù)據(jù)庫(kù)中的抗體信息發(fā)送到B細(xì)胞模塊以及將一些不常用的抗體數(shù)據(jù)儲(chǔ)存到抗體記憶庫(kù)中。

4.2.7 抗體記憶庫(kù)模塊

在這里用抗體記憶庫(kù)來(lái)儲(chǔ)存久未使用的抗體信息，其功能可用二元組＜Ab，send（）＞表示，Ab表示從抗體數(shù)據(jù)庫(kù)模塊收到的抗體信息，send( )用于將抗體信息發(fā)送到B細(xì)胞模塊。

4.2.8 T細(xì)胞算法

T細(xì)胞在人體免疫中的功能復(fù)雜，主要負(fù)責(zé)細(xì)胞免疫，在這里用T細(xì)胞模塊來(lái)轉(zhuǎn)發(fā)攻擊策略用以清除未知抗原，模擬特異性免疫的過(guò)程，其功能可用四元組＜ Ag，Ser(Ag)，Ab，Mark＞表示，Ag表示B細(xì)胞模塊發(fā)來(lái)的抗原信息數(shù)據(jù)；Ser(Ag)運(yùn)用服務(wù)器端的計(jì)算能力對(duì)相應(yīng)的抗原信息數(shù)據(jù)進(jìn)行處理，創(chuàng)建針對(duì)該抗原的抗體；Ab表示從服務(wù)端收到的抗體信息；Mark為布爾變量，當(dāng)Mark =true時(shí)，表示清除成功，將抗原、抗體信息發(fā)送到疫苗接種算法，當(dāng)Mark=false時(shí)，表示清除失敗，重新激活T細(xì)胞模塊生成抗體。

4.2.9 疫苗接種算法

在HIS中，接種疫苗是預(yù)防和控制已知疾病的有效措施，這里用疫苗接種模塊來(lái)模擬這一過(guò)程，用其對(duì)網(wǎng)絡(luò)中尚未免疫的節(jié)點(diǎn)進(jìn)行疫苗接種，其功能可用三元組＜Ab，NeiMess( )，send ( )＞表示，Ab表示B細(xì)胞模塊和T細(xì)胞模塊發(fā)送過(guò)來(lái)的抗體信息；NeiMess ( )用于存儲(chǔ)相鄰節(jié)點(diǎn)的地址及是否免疫的狀態(tài)信息；send ( )是發(fā)送函數(shù)。

5 云安全免疫系統(tǒng)分析

CSIS的主要特點(diǎn)如下：

（1）適時(shí)激活各部分云安全免疫系統(tǒng)。借鑒人體免疫系統(tǒng)的功能，當(dāng)有外來(lái)信息進(jìn)入被監(jiān)測(cè)節(jié)點(diǎn)時(shí)，如行為正常則系統(tǒng)處于休眠狀態(tài)，若發(fā)現(xiàn)異常行為，則先進(jìn)行非特異性免疫（B細(xì)胞算法），無(wú)效后才進(jìn)行特異性免疫（T細(xì)胞算法），充分體現(xiàn)了人體免疫的思想。

（2）節(jié)約了網(wǎng)絡(luò)中的節(jié)點(diǎn)資源以及減少了帶寬的需求，同時(shí)充分利用了服務(wù)器端強(qiáng)大的并行計(jì)算能力。通過(guò)分層防御，當(dāng)檢測(cè)到異常行為時(shí)，先在本節(jié)點(diǎn)進(jìn)行處理，失敗后查詢記憶庫(kù)，再次失敗后才激活T細(xì)胞算法。在兼顧安全性的前提下，減少了服務(wù)器端與客戶端之間的流量通信，同時(shí)，抗體的生成也是十分復(fù)雜的，需要經(jīng)過(guò)精密的計(jì)算，利用服務(wù)端強(qiáng)大的計(jì)算能力來(lái)解決，不僅充分發(fā)揮了服務(wù)器端強(qiáng)大的并行能力，也大大節(jié)約了客戶端的節(jié)點(diǎn)資源。

（3）具有很高的時(shí)效性。對(duì)未知的信息可以迅速判斷出是否病毒或惡意代碼，對(duì)于已知的抗原則能迅速用B細(xì)胞算法或從網(wǎng)絡(luò)中已免疫節(jié)點(diǎn)的抗體庫(kù)中調(diào)取抗體進(jìn)行應(yīng)答，快速清除抗原，大大節(jié)約了時(shí)間。

（4）具有很高的準(zhǔn)確性。對(duì)于已知的信息與自我集中的合法行為進(jìn)行比較，對(duì)于未知的信息則與抗原數(shù)據(jù)庫(kù)中的異常行為進(jìn)行比較，避免了現(xiàn)有殺毒軟件需要程序與病毒庫(kù)中的病毒特征代碼進(jìn)行比較，不但提高了效率，避免了病毒代碼更新的滯后性，還可以有效地對(duì)未知的病毒、木馬進(jìn)行攔截，大大提高了準(zhǔn)確性。

6 總結(jié)

本文借鑒HIS的理論體系，對(duì)云環(huán)境平臺(tái)的免疫運(yùn)行機(jī)理進(jìn)行了研究和設(shè)計(jì)。在充分查閱了國(guó)內(nèi)外的資料后，借助于人體免疫學(xué)的思想，設(shè)計(jì)了這套云安全免疫系統(tǒng)及其各部分運(yùn)行機(jī)制和算法，并對(duì)其性能特點(diǎn)進(jìn)行了分析。實(shí)驗(yàn)表明，當(dāng)系統(tǒng)中的節(jié)點(diǎn)遭受外來(lái)攻擊時(shí)，CSIS的檢測(cè)是十分有效和準(zhǔn)確的。

[1] 江陽(yáng).ASPack為EXE文件減肥[EB/OL].2011-04-13.http:// tech.sina.com.cn.

[2] 清風(fēng)網(wǎng)絡(luò).反病毒引擎設(shè)計(jì)[EB/OL].2003-07-08.http://freehan. vipcn.com/infoView/Article_754.html.

[3] Hume.病毒和網(wǎng)絡(luò)攻擊中的多態(tài)、變形技術(shù)原理分析及對(duì)策[J/OL].X’con,2003.

[4] 段鋼.加密與解密[M].北京:電子工業(yè)出版社,2003:265-295.

[5] Saber.木馬加殼為什么躲不過(guò)內(nèi)存查毒？[EB/OL].2006-12-20. http://www.infosecurity.org.cn/content/virus/article0128051038.htm.

[6] 王珊珊.基于計(jì)算機(jī)變形病毒及其防治現(xiàn)狀的探討[J].計(jì)算機(jī)與數(shù)字工程,2006(35):78.

[7] McAfee.Best Behavior-Making Effective Use of Behavioral Analysis[M].America:NETWORK ASSOCIATES,2002.

[8] Guangyan Zhou.Immunology principle[M].Beijing:Science Press,2013.

Research on operation mechanism of cloud security immune system

Along with the advent of big data era and the development of cloud computing technology, computer virus has also been evolving swiftly. Traditional feature code technology has been unable to cope with the needs of the current network. Under such circumstances, in order to better guarantee the safety of data run under the environment of cloud, cloud security immune system (CSIS) based on the theory of human immunity and behavioral analysis technology has been put forward by taking operational mechanism of human immune system as theoretical basis, using its functional characteristics for reference and combining immune system of computer with behavioral analysis technology. Operational mechanism of CSIS and its characteristics have been analyzed.

Cloud security; behavioral analysis; human immunity; security mechanism

TP393

A

1008-1151(2016)07-0007-03

2016-06-11

陳瑤琳（1987－），男，福建福州人，廣西大學(xué)計(jì)算機(jī)與電子信息學(xué)院研究生，研究方向?yàn)榫W(wǎng)絡(luò)信息安全。