一种基于仿生控制机理的信息系统安全防护方法

摘要

本发明涉及一种基于仿生控制机理的信息系统安全防护方法，所述方法包括以下步骤：步骤（1）模仿人体的高效神经控制机理，构建类神经系统控制架构，将人体神经系统的主要要素映射到信息系统中，全方位部署安全神经元；步骤（2）将功能要素与安全要素融入到基本功能模块中，构建一种以任务为导向的执行动作细粒度监控机制；步骤（3）根据任务执行条件调用基本模块执行操作，在执行过程中感知执行路径，通过反馈发现环境变化，根据策略进行校准。该技术方案通过将神经元、脊神经、人脑的元素引入到信息系统网络的各个层次中，使安全体系与系统功能实现高度融合，在系统基于功能元素模块化的基础上，以任务为导向进行细粒度的安全控制。

说明书

技术领域

本发明涉及信息安全技术、仿生控制及主动式安全防御领域，特别涉及一种基于仿生控制机理的信息系统安全防护方法。

背景技术

随着信息系统的架构日益复杂，承载的数据量呈指数级增长，数据来源更丰富，内容更多元，维度也更广泛。同时随着终端设备性能的逐步提升，数据源发送速率更快，这也导致对安全参数的采集速度有更高的要求。面对巨流量通信服务的信息网络，“外壳式防御”来不及做深度过滤和入侵检测。现有的“先建网后防护”的安全策略无法应对相关场景；集中式防御模式也会在一定程度上降低信息系统对外服务的能力；防御机制与信息系统安全关联较弱也会导致降低防御效能。计算机免疫、可信计算等现有方法或模型在实际应用过程中由于缺乏与原信息系统的高度融合，因此难以做到系统运行效率和安全防护的统一。

近年来，内生安全的概念可以解决融合问题并处理高速率数据及应对未知威胁，是一种主动式防御方法。但现有的内生安全防护方法还没有明确的定义，借鉴生物安全防护机制是大致的思路，基于仿生控制的主动防御的相关研究还很少，因此本专利提出一种基于仿生控制机理的信息系统安全防护方法，借鉴人体面对内外安全威胁的防御机制，对动态运行环境中的主动防御以使任务按预期完成具有重大意义。

发明内容

本发明正是针对现有技术中存在的问题，提供一种基于仿生控制机理的信息系统安全防护方法，该技术方案通过将神经元、脊神经、人脑的元素引入到信息系统网络的各个层次中，使安全体系与系统功能实现高度融合。在系统基于功能元素模块化的基础上，以任务为导向进行细粒度的安全控制。该方法可以更加有效地实现动态主动维持信息系统安全性。

为了实现上述目的，本发明的技术方案如下，一种基于仿生控制机理的信息系统安全防护方法，所述方法包括以下步骤：

步骤（1）模仿人体的高效神经控制机理，构建类神经系统控制架构，将人体神经系统的主要要素映射到信息系统中，全方位部署安全神经元；

步骤（2）将功能要素与安全要素融入到基本功能模块中，构建一种以任务为导向的执行动作细粒度监控机制；

步骤（3）根据任务执行条件调用基本模块执行操作，在执行过程中感知执行路径，通过反馈发现环境变化，根据策略进行校准。

作为本发明的一种改进，所述步骤（1）中“模仿人体的高效神经控制机理，构建类神经系统控制架构”是指模仿神经控制系统的主要组成和内反馈原理形成一套信息系统的类神经控制流程，将神经系统层次架构大致分为神经元、脊神经和大脑，构造贯穿信息系统终端、网络层、核心网层的系统架构。

作为本发明的一种改进，所述步骤（1）中分层方法如下：（1.1）终端主要负责感知、反馈和校准，其包含大量的安全神经元，通过神经元感知并控制每个终端系统的活动，监控并维持应用任务的正常进行，终端运行的各种应用的组成模块即为效应部件，神经元延伸到每个效应部件，同时为降低终端负担，神经元仅执行策略下达、环境感知、动作校准功能此类低功耗操作，不做大规模运算，终端应用以任务的方式执行，根据事先规定的策略调用相应的模块并执行任务，在执行过程中感知各种运行参数并将其反馈给脊神经，若出现偏差，终端神经元则根据校准策略指挥效应器进行校准，如：替换模块、降低负载等；（1.2）网络层包含在更高层有交互需求的终端节点，这些节点：共享大量的资源，由一个本地或者广域的网络连通，并且支撑同一个组织网络，利用网络层脊神经来协调终端神经元的工作并在终端和大脑之间传递信息，脊神经主要负责接收终端神经元传上来的执行信息，由此判断任务执行效果，并对效果进行分类，将执行流信息与行为库进行匹配，出现偏差则查找有无对应校准策略，脊神经将校准策略与效果上报大脑，由大脑进行优化并提高校准效率；（1.3）核心网层是本架构的顶端，相当于大脑，可生成并自适应校准策略资源并下放到网络层，同时可以通过学习，完善安全防御的结构与功能，通过类脑安全控制并处理整体数据，实现多任务整合、归纳和决策，自主学习提升安全性能。

作为本发明的一种改进，所述步骤（1）中“全方位部署安全神经元”是指信息系统中需要布置大量的传感器感知环境变化。

作为本发明的一种改进，所述步骤（2）中“将功能要素与安全要素融入到基本功能模块中”是指重建信息系统的执行架构，重建后的架构包括公有模块以及完成特定任务的私有模块，“构建一种以任务为导向的执行动作细粒度监控机制”是指每个基础功能模块都对应基本动作且模块的执行效果由动作产生的输出体现,当有任务提交时，对其进行分析以确定完成任务需要的模块及执行次序，在执行过程中对基础模块的执行效果进行监控，实时反馈并对执行偏差进行校准,同时需要在划分的功能模块中融入安全的部分，实现类神经元的感知和校准，对功能运行情况进行监控及配置调整。

作为本发明的一种改进，所述步骤（3）中“根据任务执行条件调用基本模块执行操作，在执行过程中感知执行路径，通过反馈发现环境变化，根据策略进行校准”是指在原有功能部分的基础上融合安全功能后，在任务执行过程中可以在完成基本任务的同时监控各项参数，然后将监控参数上报并接收下达的调整策略对功能进行重新配置。

相对于现有技术，本发明具有如下优点，1）该技术方案整合人体神经控制系统到信息系统的功能映射，基于仿生控制机理的安全防护机制，借鉴人体面对内外安全威胁的防御机制，提出类神经系统控制架构；2）该技术方案在不同的信息规模层面部署不同的安全部件，构建了一个多级分层的控制机制，并提出基本功能模块与安全相融合的机制；3）该技术方案通过在信息系统中部署海量神经元，完成对执行动作的感知和控制，使任务可按预期效果完成；4）该技术方案通过本发明方法可在信息系统设计时考虑安全功能部署，实现安全体系与信息系统的高度融合，在通信网络防御效率低下、无法处理高速率数据、不能应对位置威胁的问题时有更好的安全性能，可以更加有效地实现动态主动维持信息系统安全性。

附图说明

图1 类神经系统控制架构；

图2 以任务为导向的执行架构；

图3 融入安全功能的模块基本结构；

图4 原型系统构建框架。

具体实施方式：

为了加深对本发明的理解，下面结合附图对本实施例做详细的说明。

实施例1：参见图1，一种基于仿生控制机理的信息系统安全防护方法，所述方法包括以下步骤：

步骤（1）模仿人体的高效神经控制机理，构建类神经系统控制架构，将人体神经系统的主要要素映射到信息系统中，全方位部署安全神经元；

在本实例中，如图1所示给出了类神经系统控制架构，模仿神经控制系统的主要组成和内反馈原理形成一套信息系统的类神经控制流程，将神经系统层次架构大致分为神经元、脊神经和大脑，构造贯穿信息系统终端、网络层、核心网层的系统架构；

其详细步骤如下：

步骤（1.1）终端主要负责感知、反馈和校准，其包含大量的安全神经元，通过神经元感知并控制每个终端系统的活动，监控并维持应用任务的正常进行，终端运行的各种应用的组成模块即为效应部件，神经元延伸到每个效应部件。同时为降低终端负担，神经元仅执行策略下达、环境感知、动作校准功能此类低功耗操作，不做大规模运算。终端应用以任务的方式执行，根据事先规定的策略调用相应的模块并执行任务。在执行过程中感知各种运行参数并将其反馈给脊神经，若出现偏差，终端神经元则根据校准策略指挥效应器进行校准，如：替换模块、降低负载等；

步骤（1.2）网络层包含在更高层有交互需求的终端节点，这些节点：共享大量的资源，由一个本地或者广域的网络连通，并且支撑同一个组织网络。利用网络层脊神经来协调终端神经元的工作并在终端和大脑之间传递信息。脊神经主要负责接收终端神经元传上来的执行信息，由此判断任务执行效果，并对效果进行分类，将执行流信息与行为库进行匹配，出现偏差则查找有无对应校准策略，脊神经将校准策略与效果上报大脑，由大脑进行优化并提高校准效率；

步骤（1.3）核心网层是本架构的顶端，相当于大脑，可生成并自适应校准策略资源并下放到网络层。同时可以通过学习，完善安全防御的结构与功能，通过类脑安全控制并处理整体数据，实现多任务整合、归纳和决策，自主学习提升安全性能；

步骤（2）将功能要素与安全要素融入到基本功能模块中，构建一种以任务为导向的执行动作细粒度监控机制；

具体实施时，需重建信息系统的执行架构，重建后的以任务为导向的执行架构包括公有模块以及完成特定任务的私有模块。其详细步骤如下：

（2.1）在系统设计每个基础功能模块都对应基本动作且模块的执行效果由动作产生的输出体现；

（2.2）当有任务提交时，对其进行分析以确定完成任务需要的模块及执行次序，在执行过程中对基础模块的执行效果进行监控，实时反馈并对执行偏差进行校准；

（2.3）构建模块基本结构，在划分的功能模块中融入安全的部分，实现类神经元的感知和校准，对功能运行情况进行监控及配置调整；

步骤（2）所涉及的以任务为导向的执行架构如图2所示，步骤（2.3）所涉及的模块基本结构如图3所示。

步骤（3）根据任务执行条件调用基本模块执行操作，在执行过程中感知执行路径，通过反馈发现环境变化，根据策略进行校准；

具体实施时，（3）的详细步骤如下：

（3.1）原有功能部分的基础上融合安全功能，在Linux（Ubuntu16.04）系统上利用Erlang构建原型系统框架，并实现通信和加解密模块，构建好的原型系统中，安全管理部分管理运行机制，任务管理部分负责系统任务分解并根据任务预期选择模块和参数设置；

（3.2）将基本模块中的通信模块动作参数分解为传输速率和CPU占用率，调整策略分为传输数据块大小和传输带宽，而加解密模块的动作输出参数分为加解密速度和CPU占用率，调整策略则为加密强度；

（3.3）制定目标任务为使用通信模块和加解密模块完成数据的加密和发送，可配置的选项包括：每次传输的数据块大小，包括

（3.4）在任务执行过程中完成基本任务的同时监控各项参数，包括：每次发送任务的处理时间、任务总体的CPU占用率和数据传输速率。然后在内置安全神经元的架构下，将监控参数上报并接收下达的调整策略对功能进行重新配置，当任务发送的数据无需保密但需要较快的处理和传输速率时，选择

（3.5）通过细粒度监控系统中模块执行的参数可感知系统环境变化，网络中存在监听者时提高加密强度，在感知到传输速率和处理时间等参数出现偏差时发出异常警告，并联动上层调整安全策略；

步骤（3.1）中所涉及的原型系统框架如图4所示，是指在系统内核层构建仿神经控制的运行环境,在应用环境层面将模块的功能部分与安全部分高度融合到一起。安全管理部分进行运行机制的管理。任务管理部分对系统的任务进行分解，根据任务的预期选择模块和参数设置。运行监控部分对模块的运行过程进行感知。执行调整根据反馈参数进行策略的重新配置。此外，资源管理对系统的底层资源进行统一管理，上层连接与上层进行安全方面的通信。

需要说明的是上述实施例，并非用来限定本发明的保护范围，在上述技术方案的基础上所作出的等同变换或替代均落入本发明权利要求所保护的范围。