曲思龙　富春岩　于占龙　周虹　葛茂松

摘要：云安全是安全领域防病毒、防入侵的一个新的研究方向，现在还有很多技术问题急待解决。借鉴人工免疫系统的一些优点，提出了云安全免疫系统。本文结合云计算的特点，对免疫云安全系统中关键技术进行了研究

关键词：云安全；人体免疫；人工免疫系统

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2018）18-0038-02

1 引言

随着云计算、云存储的出现，随之而来出现的就是云安全。云安全可通过网络中大量的客户端对网络中存在的异常行为进行监测，以获取互联网中木马、病毒等恶意程序的信息，这些信息被送到服务器端进行分析处理后，系统再把相应的解决方案发到每一个客户端[1-2]。

人工免疫系统是一个高度并行、分布、自适应和自组织的系统，同时又具有很强的学习、识别、记忆和特征提取能力。云安全借鉴了这些优点，提出了云安全免疫系统。本文就是为更好保障云环境下数据运行的安全，以人体免疫系统的运行机理为理论依据，借鉴其功能特性，在人工免疫和计算机免疫系统的基础上，结合云计算的特点，设计了相应的运行机制和相关算法。实验表明，我们的免疫算法对自我集特征数据和异常特征数据具有较高的识别度，能较好地保障云数据的安全。

2 人工免疫系统

人工免疫系统（Artificial Immune System， AIS）是将生物免疫系统的原理和相应的机制应用在计算机领域，发展起来的一种智能系统。借鉴了生物免疫系统的许多特性，例如：分布性、多样性、可自动应答和能进行自我维护等特性。基于生物免疫系统的一些算法，人工免疫系统衍生出了一些人工免疫算法，算法具有自主学习的特性、还具备良好的系统应答性，对外界的干扰具有一定的系统自平衡维持的能力。人工免疫系统可以模拟生物免疫系统，除了具有基本的自主学习、记忆和识别等功能外，还具有较强的模式分類的功能，尤其是在处理分析多模态问题方面，具有很好的智能性和鲁棒性[3]。将这些算法用于防病毒软件和安全控制模块中，可提高系统入侵检测的可靠性和适应性。

3 免疫云安全系统

免疫云安全系统的原理与人体的免疫系统非常相似。人体免疫系统能够防止病原体侵害，保护人体健康的机理可以借鉴到免疫云安全系统的研究上来。免疫云安全系统是一种分布式的体系结构。

3.1 免疫云安全系统防御模型

它充分借鉴了人体免疫系统中的分层防御的思想，分为三层防御系统，如图1所示：第一层利用位于客户端节点的常见抗体数据库实现防御功能，第二层利用服务器端的抗体数据库实现防御功能，第三层是利用B细胞算法的决策生成实现防御功能。这三层防御通过一些关键算法实现了在节约资源和带宽，并合理利用服务器端并行计算能力的情况下，保证了云环境中大数据的安全性。

3.2 免疫云安全系统免疫规则

假设有免疫系统M，有免疫器官Q1...Qn，如果存在Qi? M，那么，Qi? Qj =φ， i，j∈1...n 表明，在同一个免疫系统，正常的免疫器官是不会相互排斥的，它们之间如果出现了相互排斥对方的情况，就出现了“排异”现象。

假设有免疫器官Q，免疫组织Z1...Zm，如果存在Zi? Q，那么，Zi? Zj =φ， i，j∈1...m 表明，在同一个免疫器官中，正常免疫组织之间是没有冲突的，也就是说正常情况下，一个免疫器官的免疫组织之间是不存在排斥现象的。一旦出现了排斥的现象，则说明该免疫器官存在病变了。

假设有免疫组织Z，免疫细胞x1...xk， 如果满足xi? Z， 那么，xi? xj =φ， i，j∈1...m表明，在同一个免疫组织中，正常的免疫细胞之间是不存在排斥现象的。如果免疫细胞之间存在了相互排斥现象，那么，就说明该免疫组织中存在了病变。

假设有免疫组织Zm，免疫细胞x1...xk， 如果满足xi? Zm， 有免疫组织Zn，免疫细胞y1...yk， 如果满足yi? Zn， 那么一定存在d（xi，xj）>d（xm，yk）表明，在同一个免疫组织中的免疫细胞之间存在的差异性一定要大、要多样，这些都是建立在生物学的生物组织进化的理论之上的。

3.3 多维免疫算法思想

首先，要对免疫器官的各参数进行初始化，这些参数包括免疫组织数，免疫细胞数，免疫组织中的最低匹配度等； 其次，要进行免疫器官中是否要增加新免疫组织的判断，判断结果为真则继续，否则结束；还要进行免疫组织增扩的操作，就是利用组织克隆选择的操作以及多维变异这样的方式生成新的免疫组织中的免疫细胞；然后再进行免疫器官中，免疫组织匹配度的计算，如果免疫器官匹配度达到了预期值，则生成新免疫组织的操作结束。

3.4 免疫云安全系统安全策略

我们从免疫云安全系统的安全结构上进行了改造和加强，提出了要从安全系统的架构上来解决安全缺陷和安全隐患的问题，尽量减少安全缺陷和安全隐患的发生，从而提高系统的安全性。要想提高免疫云安全系统治理安全隐患的能力，需要有全局的观念要进行全面的治理，统一的部署，需要在各个层面都进行相应的管理和监控。

在外围，利用云安全技术，可以利用已有的云安全技术中所提供的强大的计算及数据处理能力，将来自于系统外部的入侵和攻击“拒之门外”。这样，既能节约设备、又能简化系统，还能提高了免疫云安全系统的可靠性和安全性。

在第二层，我们利用人工免疫技术，在防火墙和虚拟专用网络后面加设具有人工免疫检测功能的主机和代理，建立免疫云安全系统架构下特有的、分布式的人工免疫入侵检测系统。此入侵检测系统具有自我学习能力，可进行主动防御，可提高系统对抗外界入侵和攻击的能力达到进一步提高系统安全性的目的。

系统的深度防御是利用云安全系统获取的病毒资料数据和入侵攻击的相关信息及数据，还有人工免疫入侵检测系统所检测到的病毒和入侵数据，经过数据挖掘，经过一些规则分析，再进行人工智能处理，就形成了系统特有的具有防入侵、杀病毒、防篡改等功能的安全知识数据库。利用这个系统特有的知识数据库，配合上述所说的免疫云安全系统内部的深度防御策略和安全部件，就可实现智能化的、深度的防御功能。

如上所述，云安全负责保护系统外部的网络；利用人工免疫技术与防火墙配合可针对内部网络和中间层面进行防护；而深度防御体系则可进行口令和底层数据的保护。

4 结束语

传统的云安全技术在进行海量数据处理时，动态性、智能性不够好，占用较多带宽，为更好保障云下数据运行的安全性，以在人工免疫和计算机免疫系统为基础，结合云计算特点，对免疫云安全系统的防御模型、免疫规则、多维免疫算法、系统安全策略等进行了研究，通过实验表明，我们提出的免疫云安全系统能在具有较高识别率前提下有效减少节点存储和交互传递的时间开销，加快查找过程，提高了系统的整体性能。

参考文献：

[1] 李晖，孙文海，李凤华.公共云存储服务数据安全及隐私保护技术综述[J].计算机研究与发展，2014，51（7）：1397-1409.

[2] 刘川意，林杰，唐博.面向云计算模式运行环境可信性动态验证机制[J].软件学报，2015，25（3）：662-674.

[3] 陶旭.基于生物免疫的入侵检测方法研究[D].成都：电子科技大学，2012.