免疫云安全系統(tǒng)中關(guān)鍵技術(shù)研究

曲思龍　富春巖　于占龍　周虹　葛茂松

摘要：云安全是安全領(lǐng)域防病毒、防入侵的一個新的研究方向，現(xiàn)在還有很多技術(shù)問題急待解決。借鑒人工免疫系統(tǒng)的一些優(yōu)點，提出了云安全免疫系統(tǒng)。本文結(jié)合云計算的特點，對免疫云安全系統(tǒng)中關(guān)鍵技術(shù)進行了研究

關(guān)鍵詞：云安全；人體免疫；人工免疫系統(tǒng)

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2018）18-0038-02

1 引言

隨著云計算、云存儲的出現(xiàn)，隨之而來出現(xiàn)的就是云安全。云安全可通過網(wǎng)絡中大量的客戶端對網(wǎng)絡中存在的異常行為進行監(jiān)測，以獲取互聯(lián)網(wǎng)中木馬、病毒等惡意程序的信息，這些信息被送到服務器端進行分析處理后，系統(tǒng)再把相應的解決方案發(fā)到每一個客戶端[1-2]。

人工免疫系統(tǒng)是一個高度并行、分布、自適應和自組織的系統(tǒng)，同時又具有很強的學習、識別、記憶和特征提取能力。云安全借鑒了這些優(yōu)點，提出了云安全免疫系統(tǒng)。本文就是為更好保障云環(huán)境下數(shù)據(jù)運行的安全，以人體免疫系統(tǒng)的運行機理為理論依據(jù)，借鑒其功能特性，在人工免疫和計算機免疫系統(tǒng)的基礎上，結(jié)合云計算的特點，設計了相應的運行機制和相關(guān)算法。實驗表明，我們的免疫算法對自我集特征數(shù)據(jù)和異常特征數(shù)據(jù)具有較高的識別度，能較好地保障云數(shù)據(jù)的安全。

2 人工免疫系統(tǒng)

人工免疫系統(tǒng)（Artificial Immune System， AIS）是將生物免疫系統(tǒng)的原理和相應的機制應用在計算機領(lǐng)域，發(fā)展起來的一種智能系統(tǒng)。借鑒了生物免疫系統(tǒng)的許多特性，例如：分布性、多樣性、可自動應答和能進行自我維護等特性?；谏锩庖呦到y(tǒng)的一些算法，人工免疫系統(tǒng)衍生出了一些人工免疫算法，算法具有自主學習的特性、還具備良好的系統(tǒng)應答性，對外界的干擾具有一定的系統(tǒng)自平衡維持的能力。人工免疫系統(tǒng)可以模擬生物免疫系統(tǒng)，除了具有基本的自主學習、記憶和識別等功能外，還具有較強的模式分類的功能，尤其是在處理分析多模態(tài)問題方面，具有很好的智能性和魯棒性[3]。將這些算法用于防病毒軟件和安全控制模塊中，可提高系統(tǒng)入侵檢測的可靠性和適應性。

3 免疫云安全系統(tǒng)

免疫云安全系統(tǒng)的原理與人體的免疫系統(tǒng)非常相似。人體免疫系統(tǒng)能夠防止病原體侵害，保護人體健康的機理可以借鑒到免疫云安全系統(tǒng)的研究上來。免疫云安全系統(tǒng)是一種分布式的體系結(jié)構(gòu)。

3.1 免疫云安全系統(tǒng)防御模型

它充分借鑒了人體免疫系統(tǒng)中的分層防御的思想，分為三層防御系統(tǒng)，如圖1所示：第一層利用位于客戶端節(jié)點的常見抗體數(shù)據(jù)庫實現(xiàn)防御功能，第二層利用服務器端的抗體數(shù)據(jù)庫實現(xiàn)防御功能，第三層是利用B細胞算法的決策生成實現(xiàn)防御功能。這三層防御通過一些關(guān)鍵算法實現(xiàn)了在節(jié)約資源和帶寬，并合理利用服務器端并行計算能力的情況下，保證了云環(huán)境中大數(shù)據(jù)的安全性。

3.2 免疫云安全系統(tǒng)免疫規(guī)則

假設有免疫系統(tǒng)M，有免疫器官Q(mào)1...Qn，如果存在Qi? M，那么，Qi? Qj =φ， i，j∈1...n 表明，在同一個免疫系統(tǒng)，正常的免疫器官是不會相互排斥的，它們之間如果出現(xiàn)了相互排斥對方的情況，就出現(xiàn)了“排異”現(xiàn)象。

假設有免疫器官Q(mào)，免疫組織Z1...Zm，如果存在Zi? Q，那么，Zi? Zj =φ， i，j∈1...m 表明，在同一個免疫器官中，正常免疫組織之間是沒有沖突的，也就是說正常情況下，一個免疫器官的免疫組織之間是不存在排斥現(xiàn)象的。一旦出現(xiàn)了排斥的現(xiàn)象，則說明該免疫器官存在病變了。

假設有免疫組織Z，免疫細胞x1...xk， 如果滿足xi? Z， 那么，xi? xj =φ， i，j∈1...m表明，在同一個免疫組織中，正常的免疫細胞之間是不存在排斥現(xiàn)象的。如果免疫細胞之間存在了相互排斥現(xiàn)象，那么，就說明該免疫組織中存在了病變。

假設有免疫組織Zm，免疫細胞x1...xk， 如果滿足xi? Zm， 有免疫組織Zn，免疫細胞y1...yk， 如果滿足yi? Zn， 那么一定存在d（xi，xj）>d（xm，yk）表明，在同一個免疫組織中的免疫細胞之間存在的差異性一定要大、要多樣，這些都是建立在生物學的生物組織進化的理論之上的。

3.3 多維免疫算法思想

首先，要對免疫器官的各參數(shù)進行初始化，這些參數(shù)包括免疫組織數(shù)，免疫細胞數(shù)，免疫組織中的最低匹配度等； 其次，要進行免疫器官中是否要增加新免疫組織的判斷，判斷結(jié)果為真則繼續(xù)，否則結(jié)束；還要進行免疫組織增擴的操作，就是利用組織克隆選擇的操作以及多維變異這樣的方式生成新的免疫組織中的免疫細胞；然后再進行免疫器官中，免疫組織匹配度的計算，如果免疫器官匹配度達到了預期值，則生成新免疫組織的操作結(jié)束。

3.4 免疫云安全系統(tǒng)安全策略

我們從免疫云安全系統(tǒng)的安全結(jié)構(gòu)上進行了改造和加強，提出了要從安全系統(tǒng)的架構(gòu)上來解決安全缺陷和安全隱患的問題，盡量減少安全缺陷和安全隱患的發(fā)生，從而提高系統(tǒng)的安全性。要想提高免疫云安全系統(tǒng)治理安全隱患的能力，需要有全局的觀念要進行全面的治理，統(tǒng)一的部署，需要在各個層面都進行相應的管理和監(jiān)控。

在外圍，利用云安全技術(shù)，可以利用已有的云安全技術(shù)中所提供的強大的計算及數(shù)據(jù)處理能力，將來自于系統(tǒng)外部的入侵和攻擊“拒之門外”。這樣，既能節(jié)約設備、又能簡化系統(tǒng)，還能提高了免疫云安全系統(tǒng)的可靠性和安全性。

在第二層，我們利用人工免疫技術(shù)，在防火墻和虛擬專用網(wǎng)絡后面加設具有人工免疫檢測功能的主機和代理，建立免疫云安全系統(tǒng)架構(gòu)下特有的、分布式的人工免疫入侵檢測系統(tǒng)。此入侵檢測系統(tǒng)具有自我學習能力，可進行主動防御，可提高系統(tǒng)對抗外界入侵和攻擊的能力達到進一步提高系統(tǒng)安全性的目的。

系統(tǒng)的深度防御是利用云安全系統(tǒng)獲取的病毒資料數(shù)據(jù)和入侵攻擊的相關(guān)信息及數(shù)據(jù)，還有人工免疫入侵檢測系統(tǒng)所檢測到的病毒和入侵數(shù)據(jù)，經(jīng)過數(shù)據(jù)挖掘，經(jīng)過一些規(guī)則分析，再進行人工智能處理，就形成了系統(tǒng)特有的具有防入侵、殺病毒、防篡改等功能的安全知識數(shù)據(jù)庫。利用這個系統(tǒng)特有的知識數(shù)據(jù)庫，配合上述所說的免疫云安全系統(tǒng)內(nèi)部的深度防御策略和安全部件，就可實現(xiàn)智能化的、深度的防御功能。

如上所述，云安全負責保護系統(tǒng)外部的網(wǎng)絡；利用人工免疫技術(shù)與防火墻配合可針對內(nèi)部網(wǎng)絡和中間層面進行防護；而深度防御體系則可進行口令和底層數(shù)據(jù)的保護。

4 結(jié)束語

傳統(tǒng)的云安全技術(shù)在進行海量數(shù)據(jù)處理時，動態(tài)性、智能性不夠好，占用較多帶寬，為更好保障云下數(shù)據(jù)運行的安全性，以在人工免疫和計算機免疫系統(tǒng)為基礎，結(jié)合云計算特點，對免疫云安全系統(tǒng)的防御模型、免疫規(guī)則、多維免疫算法、系統(tǒng)安全策略等進行了研究，通過實驗表明，我們提出的免疫云安全系統(tǒng)能在具有較高識別率前提下有效減少節(jié)點存儲和交互傳遞的時間開銷，加快查找過程，提高了系統(tǒng)的整體性能。

參考文獻：

[1] 李暉，孫文海，李鳳華.公共云存儲服務數(shù)據(jù)安全及隱私保護技術(shù)綜述[J].計算機研究與發(fā)展，2014，51（7）：1397-1409.

[2] 劉川意，林杰，唐博.面向云計算模式運行環(huán)境可信性動態(tài)驗證機制[J].軟件學報，2015，25（3）：662-674.

[3] 陶旭.基于生物免疫的入侵檢測方法研究[D].成都：電子科技大學，2012.