于全，任婧，李穎，張偉

（1.鵬城實驗室，廣東深圳 518040；2.東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇南京 211189）

1 引言

互聯(lián)網(wǎng)自20世紀90年代以來，經(jīng)歷了近30年的爆發(fā)式增長，并且與移動通信、衛(wèi)星通信、物聯(lián)網(wǎng)（Internet of Thing, IoT）等不斷融合，其規(guī)模、邊界和應(yīng)用在不斷擴展。未來網(wǎng)絡(luò)將呈現(xiàn)天空地一體化異構(gòu)組網(wǎng)，千億萬億量級終端接入以及海量傳感數(shù)據(jù)采集分發(fā)等特征。未來網(wǎng)絡(luò)結(jié)構(gòu)將更加復(fù)雜，業(yè)務(wù)類型更加多樣，應(yīng)用場景更加多變。以5G、物聯(lián)網(wǎng)、工業(yè)網(wǎng)互聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)為代表的“數(shù)字新基建”已成為國家未來發(fā)展的重點方向。與此同時，網(wǎng)絡(luò)安全與隱私保護面臨的挑戰(zhàn)也日益突出[1]。因此，國家網(wǎng)絡(luò)空間安全戰(zhàn)略提出要筑起網(wǎng)絡(luò)安全防線，避免關(guān)鍵信息基礎(chǔ)設(shè)施遭受破壞，保護信息服務(wù)與用戶數(shù)據(jù)安全。

2 網(wǎng)絡(luò)安全的挑戰(zhàn)

互聯(lián)網(wǎng)設(shè)計之初是基于友好環(huán)境下的科研協(xié)作，默認所有用戶都是可信的和固定的，缺乏對網(wǎng)絡(luò)安全、數(shù)據(jù)安全和移動安全的考慮[2]。由于互聯(lián)網(wǎng)安全基因先天不足，導(dǎo)致多年來重大網(wǎng)絡(luò)安全事件頻發(fā)。例如，2016年Mirai病毒劫持物聯(lián)網(wǎng)設(shè)備發(fā)起大規(guī)模分布式拒絕服務(wù)攻擊（Distributed Denial of Service, DDoS），導(dǎo)致了美國東海岸長達6個多小時的大規(guī)模網(wǎng)絡(luò)癱瘓。2017年WannaCry、NotPetya和BadRabbit三大勒索軟件導(dǎo)致了150個國家、30萬用戶和企業(yè)受到攻擊，波及到金融、能源、醫(yī)療和高校等眾多行業(yè)。2019年，中國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心在我國境內(nèi)監(jiān)測發(fā)現(xiàn)近19萬個被篡改網(wǎng)站、8萬余個被植入后門網(wǎng)站，處置網(wǎng)絡(luò)安全事件約11萬件[3]。另外，隨著與移動通信、衛(wèi)星通信、物聯(lián)網(wǎng)等異構(gòu)網(wǎng)絡(luò)的不斷融合，未來互聯(lián)網(wǎng)的新特性將給網(wǎng)絡(luò)安全防護帶來更多挑戰(zhàn)[4]。

復(fù)雜性—未來網(wǎng)絡(luò)立體異構(gòu)組網(wǎng)、千億終端接入、海量數(shù)據(jù)采集等特征，帶來了巨大的復(fù)雜性和不確定性，同時工業(yè)物聯(lián)網(wǎng)、智能網(wǎng)聯(lián)車、智慧城市等新應(yīng)用場景對網(wǎng)絡(luò)安全更加敏感，網(wǎng)絡(luò)攻擊的危害也更加嚴重。

開放性—天空地一體化發(fā)展，擴展了業(yè)務(wù)能力和靈活性，但更容易受到網(wǎng)絡(luò)攻擊的威脅。對用戶開放自定義業(yè)務(wù)調(diào)度功能，也會使得惡意第三方更有可能獲得網(wǎng)絡(luò)操控權(quán)。

大連接—萬物互聯(lián)的IoT設(shè)備帶來大連接、永遠在線的需求，更容易被DDoS攻擊劫持利用，而為IoT設(shè)備配置復(fù)雜的安全策略又會大幅增加能耗。智能網(wǎng)聯(lián)車等對信任要求很高的場景，身份認證需求有可能引發(fā)信令風(fēng)暴，從而嚴重影響時延性能。

開源化—隨著網(wǎng)絡(luò)新應(yīng)用的快速增加，對第三方的開源基礎(chǔ)庫依賴日益增加，一旦開源軟件存在安全漏洞，所造成的危害將是級聯(lián)式的。

3 網(wǎng)絡(luò)安全問題的根源

不斷涌現(xiàn)的安全事件以及未來互聯(lián)網(wǎng)的新特性對網(wǎng)絡(luò)安全的需求充分說明，以傳統(tǒng)的“老三樣”，即防火墻、入侵檢測和病毒查殺為代表的靜態(tài)防御手段，無法應(yīng)對未知安全攻擊和內(nèi)部攻擊。近年來發(fā)展起來的蜜罐、蜜網(wǎng)、移動目標(biāo)防御（Moving Target Network Defense）等方法，雖然可以應(yīng)對某些未知攻擊手段，但同時也是以犧牲網(wǎng)絡(luò)的開放性、通用性和可用性為代價的。

上述網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，其主要根源來自兩個方面：網(wǎng)絡(luò)架構(gòu)設(shè)計的缺陷以及網(wǎng)絡(luò)運行環(huán)境本身的復(fù)雜性和多樣性。

（1）互聯(lián)網(wǎng)架構(gòu)設(shè)計主要目標(biāo)是互通性、擴展性和易用性，沒有或很少考慮安全性。網(wǎng)絡(luò)地址和用戶身份綁定（名址不分）造成事實上的用戶匿名上網(wǎng)，控制面和業(yè)務(wù)面不分導(dǎo)致網(wǎng)絡(luò)可管可控困難，網(wǎng)絡(luò)安全防護只能靠“打補丁、堵漏洞”的方式來勉強支撐。這些問題的解決需要通過引入名址分離、實名認證入網(wǎng)以及基于“網(wǎng)絡(luò)孿生”的數(shù)據(jù)隱私保護等機制來構(gòu)建具有內(nèi)生安全的網(wǎng)絡(luò)架構(gòu)[5]。

（2）網(wǎng)絡(luò)實際運行環(huán)境多種多樣，面臨著巨大的復(fù)雜性和不確定性。在一個管理域內(nèi)，網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)生態(tài)鏈參與方眾多，軟硬件設(shè)備品種和數(shù)量很大，使得網(wǎng)絡(luò)運轉(zhuǎn)充滿了不確定性和各種缺陷，很難從根本上消除這種安全隱患。傳統(tǒng)確定性思維的工程設(shè)計方法無法克服這些問題，需要尋找顛覆性的全新解決方法。

與網(wǎng)絡(luò)安全防護系統(tǒng)阻止惡意攻擊危害信息系統(tǒng)類似，生物免疫系統(tǒng)同樣起著阻止病原微生物入侵、抑制其繁殖、解除其毒性以及殺滅病原體的作用。因此，成體系借鑒生物免疫系統(tǒng)的運行機理，采用科學(xué)平衡的安全觀來構(gòu)建類生物免疫的網(wǎng)絡(luò)安全動態(tài)防御系統(tǒng)，有可能成為一種突破網(wǎng)絡(luò)安全困境的有效途徑。

4 生物免疫機制的啟示

復(fù)雜生物通過數(shù)億年的演化，發(fā)展出了一套精妙的機制來維持體內(nèi)生存代謝與抵御入侵的動態(tài)平衡。通過全面梳理人體免疫學(xué)原理，本文獲得四點啟示。

（1）生物免疫系統(tǒng)的調(diào)節(jié)機制

生物免疫系統(tǒng)持續(xù)監(jiān)測身體運行狀況，一方面保持有效的免疫應(yīng)答隔離清除病原體，另外一方面還要盡力避免出現(xiàn)免疫系統(tǒng)過激反應(yīng)傷害健康細胞和組織，這個過程稱為免疫調(diào)節(jié)[6]。如圖1所示，通過監(jiān)測病原體、被感染細胞、被感染區(qū)域的免疫細胞和其他細胞分泌的各種物質(zhì)，免疫系統(tǒng)通過多元信號綜合分析判斷病原體的威脅程度。如果危害較大，免疫系統(tǒng)通過分泌正向調(diào)節(jié)分子（Positive Regulator）從身體各處招募更多的免疫細胞投入戰(zhàn)斗。同時，免疫系統(tǒng)也會小心地分泌負向調(diào)節(jié)分子（Negative Regulator）來避免身體因過激免疫應(yīng)答而出現(xiàn)自身免疫疾?。ˋutoimmune Disorders）、過敏反應(yīng)（Hypersensitivities）或者慢性炎癥（Chronic Inflammatory）[7]，從而讓生物體維持在一個動態(tài)平衡過程中。

網(wǎng)絡(luò)安全啟示之一：生物免疫系統(tǒng)采取了與缺陷共生、與風(fēng)險共存，只要“足夠好”、不求“趕盡殺絕”的適者生存原則，在面對不斷變異的病原體時，一般都能較好保護生物種群的持續(xù)生存發(fā)展。

圖1 免疫調(diào)節(jié)

（2）生物免疫系統(tǒng)的防御體系

人體免疫系統(tǒng)可以分為先天性免疫系統(tǒng)（Innate Immunity）和適應(yīng)性免疫系統(tǒng)（Adaptive Immunity）兩大類，共同組成的四道防線。其中，先天性（固有）免疫系統(tǒng)包括皮膚與粘膜的隔離性防護，以及由吞噬細胞等形成的非特異性（廣譜性）防護[8,9]；適應(yīng)性（獲得）免疫系統(tǒng)包括T細胞的自適應(yīng)特異性應(yīng)答，以及B細胞的隨機變異學(xué)習(xí)生成“抗體”的特異性精準(zhǔn)應(yīng)答[10,11]。

具體來說，由皮膚和黏膜組成的第一道防線能夠阻止大部分病原體進入生物體，皮膚表面的分泌物中包含的抗菌分子還能殺死病菌。如圖2所示，在病原體進入生物體后，作為第二道防線的非特異性免疫細胞將做出響應(yīng)。先天免疫細胞表面的Toll樣受體，能夠識別那些人體中沒有、存在于病原微生物中的相關(guān)分子模式。先天免疫細胞在識別出病原體相關(guān)分子模式后將被激活，并立刻做出響應(yīng)。比如，自然殺傷細胞通過破壞入侵病原體的細胞壁殺死細胞，巨噬細胞和中性粒細胞則吃掉細菌將其分解，同時分泌信號分子，促進炎癥反應(yīng)。通過對病原體以及受感染程度的分析，先天免疫系統(tǒng)的各環(huán)節(jié)彼此協(xié)作共同確認感染正在發(fā)生以及感染發(fā)生的位置，免疫細胞和分子從各處趕來，共同對抗病原體[12]。同時，以樹突細胞為代表的抗原提呈細胞提取病原體特征（即抗原分子）后，前往淋巴結(jié)，把抗原分子呈遞給適應(yīng)性免疫系統(tǒng)進行分析。

圖2 先天性免疫

大部分情況下，先天免疫系統(tǒng)足以應(yīng)對入侵的病原體。當(dāng)入侵病原體非常狡猾或者數(shù)量非常巨大時，在抗原分子和共刺激信號的共同作用下，將徹底激活適應(yīng)性免疫系統(tǒng)，針對該感染發(fā)起精確打擊[10]。如圖3所示，適應(yīng)性免疫系統(tǒng)有兩道防線，其中一道防線將激活效應(yīng)T細胞（細胞毒性T細胞）來追蹤并摧毀任何被病毒或特定細菌感染的人體細胞，從而實現(xiàn)快速的阻斷隔離。

圖3 適應(yīng)性免疫

另外一道防線則會通過隨機變異、篩選增殖來激活效應(yīng)B細胞分泌特異性極高的抗體，與特定抗原結(jié)合，阻斷病原體活性，并在病原體上留下標(biāo)記，使得先天免疫細胞（比如巨噬細胞）能夠識別、消滅這些病原體[13,14]。

網(wǎng)絡(luò)安全啟示之二：網(wǎng)絡(luò)安全防御也可分為靜態(tài)防御和動態(tài)防御兩大類，共同形成四道防線。其中，靜態(tài)防御系統(tǒng)包括物理或邏輯隔離，以及通用的入侵檢測與病毒查殺；動態(tài)防御系統(tǒng)包括基于網(wǎng)絡(luò)安全態(tài)勢的自適應(yīng)阻斷隔離，以及基于生成對抗學(xué)習(xí)的特定威脅精準(zhǔn)響應(yīng)。借鑒生物免疫系統(tǒng)的運行機理，本文可以構(gòu)建全新的類生物免疫網(wǎng)絡(luò)安全架構(gòu)。

（3）“人工疫苗”與“網(wǎng)絡(luò)疫苗”

疫苗是人類對抗病毒攻擊的關(guān)鍵手段。通過有控制地向身體引入外源物質(zhì)（疫苗），激發(fā)適應(yīng)性免疫系統(tǒng)，形成抗體和免疫記憶，從而抵御未來可能出現(xiàn)的病原體。在實驗室環(huán)境中，通過培育滅活疫苗、減毒活疫苗、重組蛋白疫苗、核酸疫苗、重組病毒載體疫苗等，人類可以加速自身免疫系統(tǒng)的演化，使得身體能夠更有效地應(yīng)對病原體的快速變化[11,13,15]。

網(wǎng)絡(luò)安全啟示之三：通過在平行伴生網(wǎng)絡(luò)（Parallel Adjoint Network, PAN）中加載高強度的人工智能（Artificial Intelligence, AI）攻擊，加速攻防對抗學(xué)習(xí)生成“網(wǎng)絡(luò)疫苗”的進程，有可能預(yù)先獲得“未知”攻擊的防御方法，為受保護網(wǎng)絡(luò)（Protected Network, PN）提供自適應(yīng)防護能力。

（4）淋巴B細胞生成“抗體”機制

B細胞采取“粗細隨機變異、正反篩選增殖”的策略，通過基因組的隨機性重排，合成多種多樣的抗原受體；如果被抗原激活（粗選），就會遷移到淋巴結(jié)發(fā)育成熟，經(jīng)歷更快速、更細微的突變過程（細選），受體與抗原結(jié)合得越緊密，就會捕獲更多的抗原，有更多機會被篩選出來增殖，進行更多次循環(huán)變異微調(diào)，直到產(chǎn)生與抗原結(jié)合得嚴絲合縫的特異性“抗體”（正向篩選）。然而，B細胞在成熟過程中還必須經(jīng)過另外一個的篩選環(huán)節(jié)，就是通過與自身抗原接觸淘汰對自體細胞有害的淋巴細胞。如果對自身抗原應(yīng)答，就把基因編輯成調(diào)控細胞。如果對自身抗原反應(yīng)過于激烈，就會選擇自殺（反向篩選）[11,16]。

網(wǎng)絡(luò)安全啟示之四：生物免疫系統(tǒng)“粗細隨機變異、正反篩選增殖”機制是應(yīng)對未知攻擊有效而平衡的手段。本文可以借鑒免疫細胞產(chǎn)生抗體的原理，基于平行伴生網(wǎng)絡(luò)（PAN）來構(gòu)建應(yīng)對未知網(wǎng)絡(luò)攻擊的對抗學(xué)習(xí)機制，實現(xiàn)網(wǎng)絡(luò)防御體系攻防雙方的持續(xù)動態(tài)平衡。

5 類生物免疫機制的網(wǎng)絡(luò)安全架構(gòu)

下面基于這些生物免疫學(xué)啟示，提出適應(yīng)不確定威脅環(huán)境、具備動態(tài)演化能力的網(wǎng)絡(luò)安全防護系統(tǒng)運行機理，并設(shè)計通用安全防護系統(tǒng)架構(gòu)。

5.1 科學(xué)平衡的安全觀

生物免疫系統(tǒng)與網(wǎng)絡(luò)安全系統(tǒng)一樣，對付未知病毒或內(nèi)部變異分子的攻擊是非常困難的。所以，不要奢望找到什么“靈丹妙藥”，實現(xiàn)所謂的“絕對安全”。追求“絕對”安全的結(jié)果必然是“絕對”的不可用，就像人想要“絕對”不生病的方法就只能是死亡。

因此，科學(xué)的安全觀應(yīng)該是追求可用性與安全性的平衡，以及安全風(fēng)險的可預(yù)測、可評估、可隔離、可控制。過度防護通常會造成網(wǎng)絡(luò)可用性和用戶體驗的嚴重下降，相當(dāng)于入侵威懾產(chǎn)生了攻擊效果（不戰(zhàn)而屈人之兵）。網(wǎng)絡(luò)安全防御體系應(yīng)該像生物免疫生態(tài)體系一樣，永遠與病毒等處于動態(tài)博弈的共同進化當(dāng)中。

5.2 架構(gòu)設(shè)計

如圖4所示，受生物免疫系統(tǒng)的啟示，本文提出的網(wǎng)絡(luò)安全防御架構(gòu)也包含兩部分：靜態(tài)防御系統(tǒng)和動態(tài)防御系統(tǒng)[17]。

靜態(tài)防系統(tǒng)的第一道防線是利用防火墻等物理隔離或虛擬化邏輯隔離手段抵御外部攻擊；第二道防線是利用入侵檢測、病毒查殺、沙箱和補丁等技術(shù)，提供通用的入侵檢測與防護手段。靜態(tài)防御系統(tǒng)的策略、方法和手段是相對固定和通用的。

圖4 類生物免疫機制的網(wǎng)絡(luò)安全防御架構(gòu)

動態(tài)防御系統(tǒng)也包括兩道防線。其中，第三道防線是借鑒T細胞的自適應(yīng)阻斷隔離機制。利用網(wǎng)絡(luò)中各種感知設(shè)備的協(xié)同感知采集到大量的態(tài)勢信息，通過對不同維度、不同層面的態(tài)勢感知信息進行態(tài)勢綜合，實現(xiàn)對攻擊的快速響應(yīng)，隔離阻斷被感染節(jié)點。屬于動態(tài)防御的第四道防線借鑒淋巴B細胞生成抗體以及人工疫苗的機制，利用云虛擬技術(shù)和網(wǎng)絡(luò)切片技術(shù)構(gòu)建逼真的平行伴生網(wǎng)絡(luò)PAN為受保護網(wǎng)絡(luò)PN提供了一個特異化的“網(wǎng)絡(luò)疫苗”培育場。通過在平行伴生網(wǎng)絡(luò)PAN中加載AI攻擊，在網(wǎng)絡(luò)攻防對抗中提前變化出新的攻擊模式，在對抗學(xué)習(xí)中利用機器學(xué)習(xí)的方法提前找到并學(xué)習(xí)可能的攻擊方式以及其防御方法（即網(wǎng)絡(luò)疫苗）。不同平行對抗網(wǎng)絡(luò)PAN中得到的疫苗可以形成疫苗庫，與其他受保護網(wǎng)絡(luò)PN的疫苗庫進行共享，這將為網(wǎng)絡(luò)防御贏得主動權(quán)。

6 結(jié)束語

生物免疫機制提供了一種突破網(wǎng)絡(luò)安全困境的有效途徑。在“可用性與安全性的平衡，安全風(fēng)險的可預(yù)測、可評估、可隔離、可控制”的科學(xué)的安全觀指導(dǎo)下，類生物免疫機制的網(wǎng)絡(luò)安全防御架構(gòu)既能夠利用多元安全態(tài)勢融合，實現(xiàn)安全防御系統(tǒng)的預(yù)見性和適變性，及時隔離阻斷感染區(qū)域或節(jié)點；也能夠在與受保護網(wǎng)絡(luò)PN同構(gòu)的平行伴生網(wǎng)絡(luò)PAN中，通過疊加AI攻擊進行網(wǎng)絡(luò)攻防學(xué)習(xí)，找到新的攻擊方法，提取攻擊特征（抗原），生成已知甚至未知攻擊的網(wǎng)絡(luò)疫苗，靠超級算力形成防御策略方法（抗體），從而獲得網(wǎng)絡(luò)空間的對抗優(yōu)勢。