仿生免疫系统将左右网络安全的未来？

过去的2015年发生了太多令人咋舌的网络攻击事件。

从美国中央情报局局长John Brennan的私人邮件泄露到索尼公司，从美国OPM千万人信息泄露到恶名远播的交友网站Ashley Madison，数量不计的网民、用户经历或正在经历网络不安全带来的影响。根据波耐蒙研究所（Ponemon Institute）的报告显示，2015年在美国发生的数据泄露赔偿平均成本达到了惊人的650万美元，较去年增长了60万美元。

除此之外，遭遇攻击的个人也付出了惨痛的代价：被泄露的电话号码、信用卡信息、社保账号、个税信息，以及处理这些“后事”所耗费的时间。

网络威胁的复杂性和空间范围将会进一步升级，而我们采用的防御手段仍然停留在中世纪。目前的策略是发现并定义威胁，然后建立坚固的防御墙来抵御这些恶意代理、病毒或者程序。

一旦攻击者成功入侵，我们的信息便任其摆布。当攻击者入侵我们的系统时，我们无法对其进行追踪，而目前的防御体系也只能在为时已晚的时候才会发出警报。

更为重要的是，安全墙在面对内部攻击是毫无招架之力，如此一来个别心怀不满的雇员或者攻击者通过社会工程学手段同样可以进行攻击。毕竟，如果我们不知道我们在寻找什么，又如何才能找到它呢？

这远不是一场注定失败的战斗，而我们所需要灵感或许可以从生物学中发现。

生物战

病毒与宿主之间的斗战已经在人类体内上演了数百万年。通过进化，自然为我们精心制作了高度复杂的防御堡垒，用于阻碍外部入侵以及内部的恶意攻击威胁。

这是涉及多个层次、史诗级的战斗。皮肤作为一个高度复杂的屏障，抵挡了外界的渗透入侵。与之相似的是数字防火墙，非常强硬、适应性好，同时还不断加强自身实力。

但是，没有不会倒塌的墙。

在网络安全中，失去墙可能意味着失去正常战斗。细菌战却描绘了一幅完全不同的画面。

一旦邪恶势力突破防线，我们的内部防御——免疫系统——便会高速运转起来。从某种程度上来说，我们的身体是一个高度体制化的国家：免疫系统不间断地监视着我们体内环境，以确保数十亿子民（分子）正常履行他们的职责。免疫系统还会识别和记忆什么是正常的情况，因此一旦出现异常，无论是复杂还是奇特的，它都会对其作出反应。

网络与生物战二者间的相似性很难让人忽略：都需要面对越来越复杂的敌人，以及日益变化的攻击手段。但是，由于免疫系统“自身”与“其他”的鲜明区分，使得在大多数情况下我们没有意识到威胁临近时，它还能发挥强大的作用。

生物免疫系统当然是很有效的。那我们为何不索性将其延伸至网络空间，建立一个网络免疫系统，来保护我们的电脑和净化网络？

网络免疫系统（Cyberimmunity）

自上世纪80年代起，就有计算机学者开始玩网络免疫系统这个概念了。但是在那个年代，AI还无法胜任这项任务——没有算法能够自适应地去学习复杂的规则并推导出新的。

随着近期AI和深度学习的迅猛发展，情况已经开始发生改变。使用这些算法，学者开始将免洗系统的两个特性——学习和记忆——运用到网络安全中。

企业免疫系统技术领导者、网络安全公司Dartrace在一段视频中这样解释：
“我们的系统进行的是自主学习，它清楚哪些是正常情况，从而能够针对出现的异常进行实时监测。”

其实，它是这样工作的：算法自动将企业的每个设备、用户和网络进行模式识别，让系统对信息正常流动的情况进行充分地学习。由此程序可以推演出一个“威胁的可视化界面”来绘制最大的威胁，从而让网络安全分析师可以将重心放在最大威胁或者威胁进程之中。

和免疫系统一样，Darktrace也需要处理系统各个组件中的大量“噪声”。在人体免疫系统中，当伤害严重到一定程度，比如免疫系统会发出招募“骑兵”的信号，“杀手T细胞”便会冲到损伤部位，进行处理并将潜在的感染清除。

网络免疫系统的工作则略有不同。想要学习什么是正常状态，程序需要在后台静静地进行监控长达数周，然后才能进行异常检测。此前传统方式是对所有的可疑活动进行标记，这会产生大量的误报，取而代之的是基于可能性的建议，其结果会根据不断更新的证据进行变动。

系统还会自动与敏感信息进行切割，设置“蜜罐”对攻击者的行为进行观察——了解他们寻找的信息、他们如何行动甚至能发现他们的来源。

目前为止，Darktrace的系统在发现可疑活动这一方面运行良好，能够处理包括密码妥协、内部文件异常传输以及勒索软件感染在内的诸多问题。

然而，系统并非完美。

生物免疫系统也是存在其固有缺陷的。自身免疫系统便是一个很好的例子，在一些情况下，病原体与我们自身的组件非常相似，因此免疫系统会丧失区分“自我”和“其他”的能力。而一旦进行除害，系统还会在无意中伤害我们自身的组织。

既然如此，网络自身免疫会成为一个问题吗？

在杀毒软件识别过程中已经出现过这样的案例，软件将核心计算机代码识别为恶意软件并将其关闭。随着攻击者运用的攻击策略日益复杂，网络免疫的算法依旧能够找出可疑点并将其封锁的情况或许会出现变化。与关闭人体免疫系统的HIV病毒相似，攻击者甚至可能会更直接选择攻击网络免疫系统，而不是绕过它。

后果则可能是致命的。

安全将永远是一场猫捉老鼠的游戏，没有百分百的安全。毋庸置疑的是，拥有自动化的学习系统，能够不断发现并隔离新威胁将为我们带来更大的胜算。似乎，更为复杂的仿生网络安全系统已经不远了。

本文转自d1net（转载）