陈瑶琳 霍 林

（广西大学计算机与电子信息学院，广西 南宁 530004）

云安全免疫系统运行机制研究

陈瑶琳 霍 林

（广西大学计算机与电子信息学院，广西 南宁 530004）

随着大数据时代的到来以及云计算技术的发展，计算机病毒也在迅速演化，传统的特征码技术已经无法应对当前网络的需求。因此为了更好的保障云环境下数据运行的安全，以人体免疫系统（Human Immune System, HIS）运行机理为理论依据，借鉴其功能特性，结合计算机免疫系统（Computer Immune System，CIS）和行为分析技术，提出了基于人体免疫原理和行为分析技术的云安全免疫系统（Cloud Security Immune System，CSIS），设计了CSIS 运行机制和九个相关算法，并分析了其特点。

云安全；行为分析；人体免疫；安全机制

1 研究背景

云安全（Cloud Security）即云计算安全，最初是由中国企业在2007年提出的概念，紧随着云计算和云储存之后出现了，是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全计划拥有大量客户端，并且逻辑上形成网状结构，不间断地监测网络中软件的异常行为，能够及时获取到网络中的木马、恶意代码程序的最新动态和信息，并将这些信息发送至服务器端，由服务器端进行自动分析及处理，得到相应解决方案，再将这些解决方案发送到网络的每个客户端。云安全计划的实质就是将整个网络变成一个巨大的杀毒系统。然而，在可预见的未来，云安全问题将会面临越来越多的非法攻击和恶意入侵的挑战，整体形势不容乐观。

对于这些问题，专家们做了很多的研究。文献[1-6]指出了非法程序发展变化使特征码技术遇到的挑战，包括压缩、加密、变形、多态等，使传统特征码查毒思想走到了尽头，特征码总是存在滞后性的缺点，不能检测未知病毒。

云计算所面临的安全问题与人体免疫系统所应对的问题相类似，二者具有如下三个方面共性：一是两者组成结构相似；二是两者系统功能相似；三是两者运行方式相似。现阶段许多文献资料显示，当前CSIS的研究基本只是在理论方面进行了探讨，距离实际应用的要求还比较遥远，故对于CSIS的深入研究就具有十分重要的价值。

2 行为分析

所谓行为分析[7]，是指分别给定由一些行为规则组成的合法程序行为集合以及非法程序行为集合，如果有程序的行为与其相匹配，就能判定该程序当前是何行为动作。

分析方法主要有两类，一类是动态行为分析方法，另一类是静态行为分析方法。行为分析方法的优点是能对未知病毒进行分析，缺点是实现难度较大，但是它避免了现有杀毒软件需要将程序与病毒库中的病毒特征码相比较，提高了杀毒效率，也在一定程度上很好的解决了病毒代码更新的滞后性。

3 人体免疫系统

人体本身具有先天生理的免疫功能，这种功能极其复杂，其基本意义是保护人体不受“异体”的伤害。执行免疫功能的各种器官、组织、细胞、分子，形成一个庞大的、细密的、复杂的免疫系统，免疫系统各组成遍布全身。免疫细胞和免疫分子在人体内不断地产生、循环和更新，使免疫系统始终保持均衡的运作活力。

人体免疫系统的主要功能是当机体受到病原体的侵害而出现异常时及时将病原体清除，以达到维持机体内环境的健康和稳定的目的。通过对“自我”和“非我”物质的识别及调节体现出三种基本功能：免疫防御、免疫自稳和免疫监视[8]。大自然中存在着许多的病原体，但是只约有 10%左右能进入到人体内部，被非特异性免疫以及特异性免疫所清除。人体的免疫系统除了识别和清除外来入侵的抗原外，还可以识别和清除体内发生突变的肿瘤细胞、衰老细胞或其他有害成分。

4 云安全免疫系统运行机理研究

在本文中，借鉴了人体免疫学层层防御的理论体系，设计了一套模拟人体免疫系统的云安全免疫系统。在本系统中，第一层防御位于客户端，第二层防御位于服务器端，最后一层防御则是类似人体免疫中的特异性免疫，由T细胞算法生成。三层防御层层递进，在节省了网络节点资源及充分利用了服务器端强大计算能力的基础上，最大可能的保证了云环境中的运行安全。云安全免疫系统与人工免疫系统的映射关系如表1所示。

表1 与人体免疫系统的映射关系

4.1 运行机制研究

本系统的总体架构由海量的客户端节点以及一定数量的服务器集群构成。其中抗原提呈模块、记忆细胞模块、抗体数据库模块、抗原数据库模块、皮肤模块、B细胞模块以及抗体记忆库模块位于客户端，T细胞模块位于服务器端，整体架构如下图所示。

图1 CSIS运行机制和数据流图

其运转机理如下所示：

（1）对每个接入的节点进行监测，对接收到的信息与皮肤模块内的白名单信息进行比对，判断是否已知信息，是转(2)，不是转(3)。

（2）对已知信息进行预处理，得到长度为L的二进制字符串，将其发送到记忆细胞库模块的正常行为特征数据集查询，判断该已知信息是否受到非法攻击，是则判断该信息为抗原信息并发送到B细胞模块中，并转(4)，不是则结束进程。

（3）对未知信息进行预处理，得到长度为L的二进制字符串，将其发送到抗原数据库模块中的恶意行为特征数据集进行查询，如若查询成功，则判断该信息为抗原信息并发送到B细胞模块中，转(4)，不成功则更新白名单。

（4）B细胞模块调用抗体信息对收到的抗原信息进行攻击，如攻击成功，则进程结束，不成功则查询抗体数据和抗体记忆库，若查询成功，则返回继续攻击，若查询失败则将抗原信息发往T细胞模块并转(5)。

（5）T细胞模块将接收到的抗原信息发往服务器端进行分析，并使用返回的抗体信息对抗原信息进行攻击，如若攻击成功则将该抗体信息发往B细胞模块并转(6)，若不成功则继续通过服务器端生成新抗体信息，直至攻击成功。

（6）B细胞模块根据新收到的抗体信息更新该节点安全策略，而且为了减轻节点负担并提 高 B细胞模块的运行效率，使用LRU算法更新抗体数据库，将部分抗体信息储存到抗体记忆库中，将来若需要则可直接调出，与此同时进行疫苗接种，将该抗原和抗体信息发往相邻节点，层层迭代，直至覆盖整个网络内的节点。

4.2 安全机制算法研究

4.2.1 皮肤模块算法

皮肤是人体的第一道防线，可以识别外来的病原体，在这里用来储存白名单，其功能可用四元组＜ ExtraData ( )，Sign，Renew( )，send( )＞表示，ExtraData ( )表示对进入监测节点的信息的提取；Sign为布尔变量，Sign=1时表示信息已知，Sign=0时表示信息未知，Renew（）表示更新信息，send（）用于把信息发往抗原提呈模块。

4.2.2 抗原提呈模块算法

抗原提呈细胞即树突状细胞，在人体中的功能是将抗原信息提呈给T细胞，在这里是对信息进行预处理，其功能可用五元组＜MonMess，Sign，Filter()， Query( )，send( )＞表示，MonMess表示从皮肤模块收到的监测信息；Sign是一个布尔变量值，Sign =true表示信息正常，Sign =false表示发现异常；Filter()用于对收到的信息进行处理； Query( )是查询函数，依据信息是否已知在记忆细胞库模块和抗原数据库模块中查询，当Query( )函数查询成功时，调用send()函数将数据发送到B细胞模块，失败则结束进程并更新白名单。

4.2.3 记忆细胞库算法

记忆细胞在人体免疫中的作用是对抗原进行特异性识别，在这里用记忆细胞库来储存自我集特征数据，其功能可用二元组＜ CSInfor，Sign＞表示，CSInfor表示从抗原提呈模块收到的数据信息，Sign为布尔变量，Sign=true时表示数据正常，Sign=false时表示数据异常。

4.2.4 抗原数据库算法

抗原为任何可诱发人体免疫反应的外来物，在这里用来抗原数据库来储存非我集特征数据，其功能可用二元组＜CSInfor，Sign＞表示，CSInfor表示从预处理模块收到的数据信息，Sign为布尔变量，Sign=1时表示数据正常，Sign=0时表示数据异常。

4.2.5 B细胞算法

B细胞在人体中的作用是产生抗体，主要负责人体的体液免疫，在这里用该模块模拟体液免疫的一般过程，其功能可用五元组＜Ag，Ab，Attack()， Mark，send()＞表示，Ag表示收到的抗原信息，Ab表示收到的抗体信息；Attack()表示采取的攻击措施；Mark为布尔变量，当Mark=true时，表示清除成功，将抗原、抗体信息发送到疫苗接种算法，当Mark=false时，表示清除失败，激活B细胞模块，将失败信息发送到B细胞模块，激活该算法查询抗体记忆库，查询成功则调用抗体信息Ab返回继续清除，失败则调用send()函数，激活并将抗原信息Ag发往T细胞模块。

4.2.6 抗体数据库模块

抗体在人体中是用来识别并清除抗原的，在这里用抗体数据库来储存常用抗体信息，其功能可用二元组＜Ab ，send（）＞表示，Ab表示从B细胞模块收到的抗体信息，send( )用于将抗体数据库中的抗体信息发送到B细胞模块以及将一些不常用的抗体数据储存到抗体记忆库中。

4.2.7 抗体记忆库模块

在这里用抗体记忆库来储存久未使用的抗体信息，其功能可用二元组＜Ab，send（）＞表示，Ab表示从抗体数据库模块收到的抗体信息，send( )用于将抗体信息发送到B细胞模块。

4.2.8 T细胞算法

T细胞在人体免疫中的功能复杂，主要负责细胞免疫，在这里用T细胞模块来转发攻击策略用以清除未知抗原，模拟特异性免疫的过程，其功能可用四元组＜ Ag，Ser(Ag)，Ab，Mark＞表示，Ag表示B细胞模块发来的抗原信息数据；Ser(Ag)运用服务器端的计算能力对相应的抗原信息数据进行处理，创建针对该抗原的抗体；Ab表示从服务端收到的抗体信息；Mark为布尔变量，当Mark =true时，表示清除成功，将抗原、抗体信息发送到疫苗接种算法，当Mark=false时，表示清除失败，重新激活T细胞模块生成抗体。

4.2.9 疫苗接种算法

在HIS中，接种疫苗是预防和控制已知疾病的有效措施，这里用疫苗接种模块来模拟这一过程，用其对网络中尚未免疫的节点进行疫苗接种，其功能可用三元组＜Ab，NeiMess( )，send ( )＞表示，Ab表示B细胞模块和T细胞模块发送过来的抗体信息；NeiMess ( )用于存储相邻节点的地址及是否免疫的状态信息；send ( )是发送函数。

5 云安全免疫系统分析

CSIS的主要特点如下：

（1）适时激活各部分云安全免疫系统。借鉴人体免疫系统的功能，当有外来信息进入被监测节点时，如行为正常则系统处于休眠状态，若发现异常行为，则先进行非特异性免疫（B细胞算法），无效后才进行特异性免疫（T细胞算法），充分体现了人体免疫的思想。

（2）节约了网络中的节点资源以及减少了带宽的需求，同时充分利用了服务器端强大的并行计算能力。通过分层防御，当检测到异常行为时，先在本节点进行处理，失败后查询记忆库，再次失败后才激活T细胞算法。在兼顾安全性的前提下，减少了服务器端与客户端之间的流量通信，同时，抗体的生成也是十分复杂的，需要经过精密的计算，利用服务端强大的计算能力来解决，不仅充分发挥了服务器端强大的并行能力，也大大节约了客户端的节点资源。

（3）具有很高的时效性。对未知的信息可以迅速判断出是否病毒或恶意代码，对于已知的抗原则能迅速用B细胞算法或从网络中已免疫节点的抗体库中调取抗体进行应答，快速清除抗原，大大节约了时间。

（4）具有很高的准确性。对于已知的信息与自我集中的合法行为进行比较，对于未知的信息则与抗原数据库中的异常行为进行比较，避免了现有杀毒软件需要程序与病毒库中的病毒特征代码进行比较，不但提高了效率，避免了病毒代码更新的滞后性，还可以有效地对未知的病毒、木马进行拦截，大大提高了准确性。

6 总结

本文借鉴HIS的理论体系，对云环境平台的免疫运行机理进行了研究和设计。在充分查阅了国内外的资料后，借助于人体免疫学的思想，设计了这套云安全免疫系统及其各部分运行机制和算法，并对其性能特点进行了分析。实验表明，当系统中的节点遭受外来攻击时，CSIS的检测是十分有效和准确的。

[1] 江阳.ASPack为EXE文件减肥[EB/OL].2011-04-13.http:// tech.sina.com.cn.

[2] 清风网络.反病毒引擎设计[EB/OL].2003-07-08.http://freehan. vipcn.com/infoView/Article_754.html.

[3] Hume.病毒和网络攻击中的多态、变形技术原理分析及对策[J/OL].X’con,2003.

[4] 段钢.加密与解密[M].北京:电子工业出版社,2003:265-295.

[5] Saber.木马加壳为什么躲不过内存查毒？[EB/OL].2006-12-20. http://www.infosecurity.org.cn/content/virus/article0128051038.htm.

[6] 王珊珊.基于计算机变形病毒及其防治现状的探讨[J].计算机与数字工程,2006(35):78.

[7] McAfee.Best Behavior-Making Effective Use of Behavioral Analysis[M].America:NETWORK ASSOCIATES,2002.

[8] Guangyan Zhou.Immunology principle[M].Beijing:Science Press,2013.

Research on operation mechanism of cloud security immune system

Along with the advent of big data era and the development of cloud computing technology, computer virus has also been evolving swiftly. Traditional feature code technology has been unable to cope with the needs of the current network. Under such circumstances, in order to better guarantee the safety of data run under the environment of cloud, cloud security immune system (CSIS) based on the theory of human immunity and behavioral analysis technology has been put forward by taking operational mechanism of human immune system as theoretical basis, using its functional characteristics for reference and combining immune system of computer with behavioral analysis technology. Operational mechanism of CSIS and its characteristics have been analyzed.

Cloud security; behavioral analysis; human immunity; security mechanism

TP393

A

1008-1151(2016)07-0007-03

2016-06-11

陈瑶琳（1987－），男，福建福州人，广西大学计算机与电子信息学院研究生，研究方向为网络信息安全。