2023年6G類免疫主動安全防護機制白皮書（20頁）.pdf

《2023年6G類免疫主動安全防護機制白皮書（20頁）.pdf》由會員分享，可在線閱讀，更多相關《2023年6G類免疫主動安全防護機制白皮書（20頁）.pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、 6G 類免疫主動安全防護機制白皮書 Immunology-Inspired 6G Proactive Security Whitepaper 2023/3/9 Native Security 6G iii 摘要1 6G 內生安全將安全機制與移動通信網絡進行一體化設計，提供內在的網絡安全保障。然而，持續擴大的網絡規模、層出不窮的網絡新業務、海量的異構接入用戶及終端、品種多數量大的軟硬件設備等，使得移動通信網絡變得異常復雜，存在各種可被利用的未知缺陷/漏洞，給網絡運行帶來不確定性，并且難以從根本上消除。主動安全具有“治未病”的能力，可以有效應對這種不確定性帶來的風險，讓網絡具有可生長和自生長屬性

2、的主動安全能力，是非常值得研究和探討的內容。本白皮書首先分析 6G 主動安全對“可生長”和“自生長”的需求，借鑒人體免疫系統的思想，提出了一種新的主動安全機制，即類免疫主動安全。進而闡述了類免疫主動安全是實現 6G內生安全的有機組成部分，詳細分析了人體免疫系統的網絡安全防護機理，并介紹 6G 類免疫主動安全防護系統參考架構，以及實現類免疫主動安全的關鍵技術及可能研究方向。6G 類免疫主動安全的研究重點主要體現在兩個方面，一是在面臨 6G 海量流量和全加密場景時，如何在協調各種網絡設備，并在合理利用資源的前提下，實時獲取全網態勢信息，以做出精準的防御策略；二是如何在不影響業務網絡正常運行的情況下

3、，主動地進行攻防對抗，以期更早的找到網絡中存在的威脅和對應的防御策略以及評估閉環防御策略所能達到的效果。白皮書旨在觸發針對 6G 類免疫主動安全研究的前沿探索和思考，與產業界和學術界共同探討和定義 6G 主動安全，聯合推動主動安全學術和產業的發展，以期促進類免疫主動安全達成廣泛共識。1本白皮書為國家重點研發計劃重點專項“寬帶通信和新型網絡”項目“6G 無線網絡安全架構關鍵技術”（項目編號：2020YFB1807500）資助成果。v 目錄 摘要.iii 1.6G 類免疫主動安全的需求與定義.1 2.6G 類免疫主動安全支撐的內生安全.3 3.6G 類免疫主動安全防護機制.4 3.1 類免疫主動安

4、全防護機理.4 3.2 6G 類免疫主動安全防護系統參考架構.6 4.6G 類免疫主動安全關鍵技術.8 4.1 基于協同感知網絡的實時態勢感知融合.8 4.1.1 面向 6G 高速網絡海量流量的攻擊行為檢測.8 4.1.2 面向 6G 全加密流量場景的流量分析.9 4.1.3 多層次網絡信息融合的網絡攻擊態勢感知.10 4.2 基于平行伴生網絡的智能攻防對抗學習.10 4.2.1 平行伴生網絡.10 4.2.2 AI 攻擊.11 4.2.3 AI 防御.11 5.總結及展望.13 參考文獻.14 縮略語列表.16 6G 類免疫主動安全防護機制白皮書 1 1.6G 類免疫主動安全的需求與定義 6

5、G 時代，感知、智能的大規模引入，更多新場景的融入，PIPL（Personal Information Protection Law）/GDPR（General Data Protection Regulation）等隱私保護新訴求，量子計算新威脅，使得 6G 網絡無法再采用傳統“打補丁、堵漏洞”的外掛式安全模式。6G 內生安全要求安全機制與網絡一體化設計、安全能力內置，且安全需要具有可生長和自生長的屬性。6G 內生安全與網絡一體化設計，利用多模共生的信任能力解決通信實體身份和行為可信問題，并利用通信安全一體化逼近一次一密，解決鏈路級傳輸可靠的問題。然而，6G 網絡不僅提供連接類服務，還提供計

6、算、數據、感知等非連接類業務，網絡中存在多維價值資產；同時網絡中參與方眾多，軟硬件設備品種多、數量大，存在各種可被利用的未知缺陷/漏洞，給網絡運行帶來不確定性，并難以從根本上消除。惡意攻擊者以及通過了可信認證的用戶也可以利用這些缺陷攻擊或危害系統。所以 6G 內生安全需具備“可生長”和“自生長”的主動安全能力來應對這類挑戰。主動安全這一概念目前存在很多不同的定義，但主要關注點集中在四個方面。一是建立統一協同的網絡安全態勢感知機制，通過感知設備相互協作，收集網絡日志并分析，以主動獲取網絡態勢。二是，設置迷惑項增加攻擊者的難度，比如多系統并行提供服務，跳變服務器端口等。三是，主動地設置一些設施來引

7、誘攻擊者（比如蜜罐，蜜網等），以學習攻擊者的行為特征，甚至在確定攻擊者的信息后對其進行反向追蹤，乃至發起回擊。四是，所有的安全策略需要動態化和自動化，能夠隨著網絡安全態勢做出相應的調整。本白皮書借鑒生物免疫系統的思想提出了一種新的主動安全機制。與網絡安全防護系統阻止惡意攻擊危害信息系統類似，自然界演化了數億年的生物免疫系統，同樣起著阻止病原微生物入侵，抑制其繁殖，解除其毒性以及殺滅病原體的作用。借鑒生物免疫安全尤其是人體免疫安全機制，利用人工智能等新技術，發起主動攻防，實現對已知的威脅進行及時清除，對未知的威脅生成“網絡疫苗”。最終實現從靜態邊界防御到動態博弈和協同進化的自我免疫1。本白皮書提

8、出“6G 類免疫主動安全防護機制”以實現主動安全，該機制包括兩個部分：基于協同態勢感知網絡的實時態勢感知融合。協同感知網絡能夠采集多源多維海量的數據，可以極大地增強 AI 模型的態勢感知能力；通過分層次的數據處理機制以及實時態勢協作，快速實時檢測攻擊，推理挖掘關聯融合的態勢，從而獲得更準確的信息。6G 類免疫主動安全防護機制白皮書 2 基于平行伴生網絡的智能攻防對抗。借鑒人體免疫機制，在不影響網絡正常運行的情況下，在平行伴生網絡中進行高強度的智能攻防對抗。在協同態勢感知的配合下，挖掘網絡中存在的潛在威脅，獲取攻擊行為特征，并嘗試不同的防御策略，評估防御策略的效果及其對可用性的影響，最終形成“網

9、絡疫苗”（包括攻擊行為特征，對應防御策略以及防御策略對安全性和可用性的影響），為實現安全策略的自動化和動態化配置提供基礎。6G 類免疫主動安全防護機制白皮書 3 2.6G 類免疫主動安全支撐的內生安全 6G 內生安全體系體現在“內”和“生”兩個方面，所謂“內”，即“內在”，一方面體現在安全與網絡（而非單個設備）的一體化設計，從規劃頂層設計、關鍵組件、能力定義、安全運維等各個層面均與網絡同步構建；另一方面體現在能力內置，如安全性的資源也可以來自于通信系統內部，如無線信道、隨機噪聲、終端硬件等，而不是通過外部派發。所謂“生”，即“生長”，一方面體現在“可生長”，指內生安全體系具有可擴展的屬性，既可

10、以伴隨安全自身技術的發展而演進，也可以伴隨業務網絡的部署、運行、運維的需求而動態增強；另一方面也體現在“自生長”，是指安全體系內部各個能力之間可以通過相互作用，促進演進，典型的如通過全網的威脅分析結果，更新相應節點的安全能力和策略。6G 類免疫主動安全能夠實現 6G 內“生”安全的需求。6G 類免疫主動安全是借鑒人體免疫系統所采取的“與缺陷共生、與風險共存”策略，只要“足夠好”、不求“趕盡殺絕”的適者生存原則。學習人體免疫系統通過免疫識別、免疫預警、免疫應答、免疫調節四種手段，使得各種人體免疫系統相互協調對“外來者”進行識別分析，提取病原體的特征，評估其造成的危害程度，做出適當的免疫響應，并在

11、保持有效的免疫應答的同時，盡力避免出現免疫系統過激反應傷害健康細胞和組織。6G 類免疫主動安全提出全新的安全性與可用性平衡、動態自適應演化的網絡安全防護機理及相關技術，通過協同感知網絡感知網絡態勢，并利用高強度攻防對抗，不斷的發現網絡存在的問題，找到對應的防御策略，網絡整體的安全性能夠隨著攻防的演進而不斷提升，從而實現網絡安全能力的內“生”。另一方面，6G 類免疫主動安全的實時態勢感知融合又需要廣泛內置于通信系統內部的 6G“內”生安全能力配合，以實現態勢信息的及時獲取，分發和融合處理。而 6G 類免疫主動安全的智能攻防所得到的“網絡疫苗”的實際執行也需要 6G 內生安全架構提供的“內”在安全

12、能力。6G 類免疫主動安全防護機制白皮書 4 3.6G 類免疫主動安全防護機制 基于人體免疫學原理得到的啟示，本白皮書提出了 6G 類免疫主動安全防護系統參考架構。3.13.1 類免疫主動安全防護機理類免疫主動安全防護機理 通過全面梳理人體免疫學原理，6G 類免疫主動安全架構得到如下設計啟示：（a）人體免疫系統的防御體系 人體免疫系統可以分為先天性免疫系統和適應性系統兩大類，共同組成四道防線。其中，先天性（固有）免疫系統包括皮膚與粘膜的隔離性防護，以及由吞噬細胞等形成的非特異性（廣譜性）防護1 Q.Yu,et al.An immunology-inspired network security

13、 architectureJ IEEE Wireless Communications,2020,27(5):168-173.2；適應性（獲得）免疫系統包括 T 細胞的自適應特異性應答，以及 B 細胞的隨機變異學習生成“抗體”的特異性精準應答3,4?！局鲃影踩珕⑹局弧烤W絡安全防御也可分為靜態防御和動態防御兩大類，共同形成四道防線。其中，靜態防御系統包括物理或邏輯隔離，以及通用的入侵檢測與病毒查殺；動態防御系統包括基于網絡安全態勢的自適應阻斷隔離，以及基于生成對抗學習的特定威脅精準響應。借鑒人體免疫系統的運行機理，結合靜態防御和動態防御系統的特點，構建全新的類免疫主動安全架構。（b）“血液循環

14、系統”與“淋巴循環系統”人體有兩個全身性的循環網絡，即血液循環系統和淋巴循環系統5。血液循環系統由心臟、血管、毛細血管及血液組成，為人體提供賴以生存的營養物質和氧氣，帶走細胞代謝產物二氧化碳；淋巴循環系統是靜脈系統的輔助裝置，由淋巴器官、淋巴管、毛細淋巴管及淋巴液組成，所有淋巴管匯合成全身兩條最大的淋巴導管，即左側的胸導管和右側的右淋巴導管，分別進入左、右鎖骨下靜脈。淋巴循環系統承擔著運輸淋巴細胞、連接三級免疫器官的作用?！局鲃影踩珕⑹局垦貉h系統可以類比于受保護的業務網絡；而淋巴循環系統可以類比于專門負責網絡安全態勢信息采集和控制信息傳輸的協同感知網絡（Collaborative Aw

15、areness Network，CAN）。協同感知網絡獨立于受保護網絡，其網絡結構應更加有利于信息的高效傳播與分發。（c）“自我非我”與“危險模型”6G 類免疫主動安全防護機制白皮書 5 弗蘭克麥克法蘭伯內特（Frank Macfarlane Burnet）提出了免疫系統識別“自我與非我”模型（Self/Non-Self Model）6。近年來這種容忍“自我”、排斥“非我”的概念受到了很大挑戰，波麗馬辛格（Polly Matzinger）提出的“危險模型”（Danger Model）越來越受關注7。免疫系統并不是排斥一切外來物質，攝入的食物、呼吸的氧氣都可以毫不費力地進入人體，還有數萬億個細菌

16、生活在腸道和皮膚里；免疫系統在正常情況下也會識別并消滅身體內的癌細胞（生長失控的自體細胞），而不是簡單的容忍一切“自我”；胚胎與母親在整個孕期都能和平相處，如果免疫系統一味排斥“非我”，就會造成女性不孕或早期流產8?！局鲃影踩珕⑹局俊白晕遗c非我”模型，即白名單機制，可信計算安全就是采用這種方式；而“危險模型”，即基于危險態勢感知的動態響應機制，更適合類免疫主動安全網絡。人體免疫系統獲取、傳遞和融合危險狀態消息的機制對于基于協同感知網絡（CAN）實現安全態勢融合有借鑒作用。（d）“母乳喂養”與“體外免疫”母乳喂養對剛出生的嬰兒十分重要，嬰兒的免疫系統發育還很不完善，母乳不僅是食物和飲料，還含

17、有各種免疫組分，抗體和免疫調控分子可以激活嬰兒腸道中的免疫細胞與腸道菌群“對話”。母嬰免疫互動是雙向的，嬰兒從乳汁導管吸奶，母乳向孩子輸送免疫記憶，孩子的唾液也會進入導管被母親的免疫系統吸收和分析，母親會對她自身沒有的病原體做出免疫應答，并把相應的免疫細胞和抗體喂給嬰兒，母親對孩子而言形成了一個強大的“體外”免疫系統9?！局鲃影踩珕⑹局摹磕溉槲桂B中的母嬰關系，實際上是利用處于病菌環境相近的“體外”成熟免疫系統，給一個相對弱小的免疫系統進行增強賦能。類似地，我們可以構建一個與受保護網絡完全同構的平行伴生網絡（Parallel Adjoint Network,PAN），通過在平行伴生網絡中進行攻

18、防對抗學習，獲得適合受保護網絡的安全防御策略和方法，從而為受保護網絡增強賦能。（e）“人工疫苗”疫苗是人類對抗病毒攻擊的關鍵手段。通過有控制地向身體引入外源物質（疫苗），激發適應性免疫系統，形成抗體和免疫記憶，從而抵御未來可能出現的病原體。在實驗室環境中，通過培育滅活疫苗、減毒活疫苗、重組蛋白疫苗、核酸疫苗、重組病毒載體疫苗等，人類可以加速自身免疫系統的演化，使得身體能夠更有效地應對病原體的快速變化10?！局鲃影踩珕⑹局濉客ㄟ^在平行伴生網絡中加載高強度的人工智能攻擊，加速攻防對抗學習生成“網絡疫苗”的進程。通過在平行伴生網絡中進行的 AI 攻防對抗，以期預先獲得“未知”攻擊的防御方法，為受保

19、護網絡提供自適應防護能力。6G 類免疫主動安全防護機制白皮書 6 （f）淋巴 B 細胞生成“抗體”機制 淋巴 B 細胞采取“粗細隨機變異、正反篩選增殖”的策略，通過基因組的隨機性重排，合成多種多樣的抗原受體；如果被抗原激活（粗選），就會遷移到淋巴結發育成熟，經歷更快速、更細微的突變過程（細選），受體與抗原結合得越緊密，就會捕獲更多的抗原，有更多機會被篩選出來增殖，進行更多次循環變異微調，直到產生與抗原結合得嚴絲合縫的特異性“抗體”（正向篩選）11,12。然而，淋巴 B 細胞在成熟過程中還必須經過另外一個篩選環節，就是與自體細胞接觸，其中對自體細胞有害的淋巴 B 細胞被淘汰（反向篩選）13?！局?/p>

20、動安全啟示之六】人體免疫系統“粗細隨機變異、正反篩選增殖”機制是應對未知攻擊有效而平衡的手段。我們可以借鑒免疫細胞產生抗體的原理，基于協同感知網絡（CAN）和平行伴生網絡（PAN）來構建應對未知網絡攻擊的生成對抗（Generative Adversarial Network,GAN）/增強學習（Reinforcement Learning,RL）機制，實現網絡防御體系攻防雙方的持續動態平衡。3.23.2 6G6G 類免疫主動安全防護系統參考架構類免疫主動安全防護系統參考架構 為了滿足 6G 內“生”安全的需求，本白皮書提出了類免疫主動安全機制，借鑒人體免疫系統中的適應性防御系統能夠根據入侵病毒

21、進行特異性精準應答的機制，構建動態防御系統，使得網絡能夠根據全局態勢信息進行自適應的防御策略配置，并利用智能攻防對抗學習對特定威脅精準響應?；诖?，本白皮書提出了 6G 類免疫主動安全防護系統。如圖 1 所示，該架構由協同感知網絡和平行伴生網絡組成。協同感知網絡借鑒人體免疫系統中淋巴系統高速傳達危險狀態信息以及基于“危險模型”的動態響應機制。通過對安全態勢的快速采集和融合處理，實現網絡威脅快速預警，并根據威脅嚴重程度和網絡可用性目標采取適當的防御措施。協同感知網絡可以從受保護網絡中獲取各種安全數據以及日常運行數據進行態勢信息分析；面對 6G 海量流量以及海量設備安全和運行數據信息，負責進行態勢

22、信息的抽取、快速分發、融合，以及威脅評估。根據威脅程度不同，還可以動態編排調度 6G 網絡提供的內生安全能力，針對特定安全事件獲取更詳細的網絡信息，從而做出準確的態勢判斷；負責跟進態勢判斷，以及根據預先設定的安全性和可用性的目標值進行防御決策制定，并下發給 6G 網絡中的策略執行單元進行執行；同時，負責為平行伴生網絡中智能攻防對抗的防御方提供態勢信息支持；接收由攻防對抗所產生的“網絡疫苗”并指導受保護網絡的防御策略更新；同時會根據實際網絡中部署相關防御策略的效果更新“網絡疫苗”。6G 類免疫主動安全防護機制白皮書 7 平行伴生網絡借鑒“母乳喂養“、“體外免疫”以及“抗體”生成機制和人工疫苗的思

23、想，所構建的平行伴生網絡與受保護網絡具有完全相同的拓撲結構、運行環境和應用系統。平行伴生提供了一個逼真的、受控的攻防對抗環境，通過加載高強度的AI攻擊，與AI防御進行智能攻防。一方面力求先于入侵者發現被保護網絡的潛在安全威脅和漏洞，另一方面通過反復調整防御策略，并評估防御策略的效果以及對網絡可用性的影響，來找到自動化動態配置防御策略的依據，并生成“網絡疫苗”，從而持續提升網絡應對不確定性威脅的適應能力，提供 6G 內“生”安全能力。圖 1 類免疫主動安全防護系統 6G 類免疫主動安全防護機制白皮書 8 4.6G 類免疫主動安全關鍵技術 本章梳理要實現 6G 類免疫主動安全防護系統框架所需的關鍵

24、技術點以及當前可選的研究思路，期望通過學術界和產業界的協同合作，不斷突破類免疫主動安全的關鍵技術。4.14.1 基于協同感知網絡的實時態勢感知融合基于協同感知網絡的實時態勢感知融合 現有網絡安全態勢感知模型存在數據來源單一，缺少協同聯動，不能直觀高效實時的了解網絡安全狀況的問題。6G 多種異構網絡架構協同工作、異構終端海量連接、各類型網絡應用多樣化、網絡云化虛擬化、以及全加密場景等，給流量監測帶來巨大挑戰。一方面需要發展單項技術來應對海量流量和全加密場景，比如面向 6G 高速網絡海量流量的攻擊行為檢測、面向 6G 全加密流量場景的流量分析；另一方面需要對多層次網絡信息融合的網絡攻擊態勢融合等關

25、鍵技術開展研究。4.1.1 面向面向 6G 高速網絡海量流量的攻擊行為檢測高速網絡海量流量的攻擊行為檢測 對典型攻擊行為的準確檢測，是實時態勢感知的重要目標。為了躲避檢測，這些攻擊行為本身發展出了很強的隱蔽性。比如慢速端口掃描通過將攻擊報文的數據包大小控制在較小范圍（多在 300 Byte 以下），將發送頻率降低（每隔 10 秒或 5 分鐘向目標主機發送一個探測數據包），使少量的端口掃描數據包與大量正常數據包交織在一起。由于其隱蔽性，慢速端口掃描可以欺騙大多數現有的入侵檢測系統（intrusion detection system,IDS）14。而分布式拒絕服務（Distributed Den

26、ial of Service，DDoS）攻擊不再局限于單一類型的攻擊，通過幾種類型的結合，來發起混合攻擊，增強了攻擊的欺騙性、隱蔽性。當前 ITU-R 定義的 5G 峰值速率、用戶體驗速率、以及連接密度分別是 10-20Gbps、100Mbps、及 100 萬/平方公里，而對應 6G 的指標將可能分別達到 1Tbps、10-100Gbps 及1000 萬/平方公里，增長約 10-100 倍15，6G 將成為物聯網爆發的起點。在具有海量入網設備以及超高帶寬的情況下，攻擊行為將會更易于隱蔽，將進一步增加典型攻擊行為的檢測難度。已經存在許多方法來實現攻擊行為的檢測。大部分方法都需要分析五元組（源 I

27、P 地址，源端口，協議，目的 IP 地址，目的端口）流信息并維護流的準確統計數據。然而，6G 網絡峰值速率將達到 Tbps，在長期監視流量時，為了維護每個流的狀態，將對存儲和計算資源帶來嚴峻挑戰。因此，現有的檢測方法不適用于在 6G 高速網絡中檢測慢速掃描或者 DDoS 攻擊這類典型攻擊行為?？赡艿慕鉀Q方案是對海量數據流量進行抽樣后再進行檢測。該方案涉及三個問題，一是如何對高速流量進行抽樣，使其能夠在壓縮數據流量的情況下保存原始流量信息；二是如何利用緊湊6G 類免疫主動安全防護機制白皮書 9 的數據結構（比如Sketch結構）來存儲抽樣后的數據，能夠在提高數據存儲效率的基礎上提供高的查詢效率；

28、三是如何選取合理的流量特征，使其能夠基于抽樣后的流量進行攻擊檢測。另一方面，典型攻擊行為往往還伴隨著 IP 欺騙16。當面對這種攻擊時，現有防御系統將虛假的惡意地址放入黑名單，并不能做到有效的防御。盡管有研究提出了 IP 回溯技術來解決攻擊中的IP欺騙，但在實際應用中存在許多問題。當前占主導地位的IP回溯技術包括數據包標記機制、數據包日志記錄機制。數據包標記機制需要路由器在某些特定的數據包字段中寫入標簽。受害者通過集成數據包標簽來定位攻擊源。然而，這一機制需要修訂現有的標準協議。數據包日志記錄機制要求路由器記錄所有轉發的數據包。當攻擊發生時，攻擊路徑會通過路由器中的記錄重建。但是，這種機制面對

29、 DDoS 伴隨 IP 欺騙攻擊時，需要消耗路由器的大量存儲和計算資源，尤其是在 6G 高速網絡中。6G 網絡如何利用“內”生安全能力結合 6G 強大的基礎設施來應對這種挑戰也是需要研究的。4.1.2 面向面向 6G 全加密流量場景的流量分析全加密流量場景的流量分析 6G 網絡承載的眾多業務依賴于實體間共享和協同處理海量的數據，數據安全顯得尤為重要。6G 網絡將對現有的隱私保護技術進行增強?，F在的因特網中已經使用了很多流量加密協議來提供端到端的安全傳輸，如安全外殼協議（Secure Shell，SSH）、安全電子交易協議（Secure Electronic Transaction，SET）、以

30、及傳輸層安全協議(Transport Layer Security，TLS)等。6G技術的一個突破方向是構筑逼近一次一密的內生安全機制以實現鏈路級安全。到那時，6G 全加密流量場景將成為常態。數據加密傳輸雖然保障了用戶的隱私和應用的安全，但同時也隱藏了惡意行為和可能的攻擊流量，例如發起攻擊、傳輸惡意信息、隱藏攻擊路徑、構建隱蔽的命令和控制通道等，給網絡安全帶來了巨大的挑戰。隨著加密協議以及加密算法的改進，可用于流量分析的信息會逐漸減少，必然導致 6G 網絡中的正常流量與異常流量邊界更加模糊，6G 全加密場景給網絡安全態勢感知引入了全新的難題。同樣，對加密流量分析也需要面臨海量流量對計算和存儲資

31、源帶來的壓力。另一方面，為了應對加密傳輸時上下文背景數據如 HTTP，DNS，TLS 握手信息中可用信息的減少，需要擴充可用特征進行關聯融合分析。為了應對海量數據流量帶來的計算和存儲資源壓力，對數據進行抽樣是一種可能的解決方案。同樣需要解決如何抽樣以保存特征，如何存儲以便于使用。如何對抽樣后數據進行特征提取，并獲取合適的關聯信息進行融合都是需要進一步研究的。6G 類免疫主動安全防護機制白皮書 10 4.1.3 多層次網絡信息融合的網絡攻擊態勢感知多層次網絡信息融合的網絡攻擊態勢感知 6G 海量連接及巨量數據使得對全網所有數據和流量進行采集并分析以獲取實時態勢感知是不切實際的。借鑒人體免疫機制中

32、，根據當前身體狀況，調集更多的免疫細胞前往感染區域，并刺激感染區域周圍正常細胞發出信號分子對當前威脅程度進行判斷從而做出正常的免疫調節，在清除入侵病原體的同時，確保不至于引起免疫風暴。一種可能的方法是建立多層次態勢信息融合機制。對抽樣網絡分組進行接口層的流量聚合，實時提取接口層流量特征，使用機器學習模型對接口層流量特征進行識別分類，實時監測具有異常流量通過的路由器接口；若監測到某個路由器接口下通過了異常流量，則對通過該接口的流量進行區域層的特征提取和流量分類，實時監測異常流量所要到達的目標區域；在檢測到目標攻擊區域后，對流向該區域的流量進行主機層的特征提取和流量分類，實時檢測被攻擊的主機。通過

33、融合多個層次的網絡異常信息來逐步縮小網絡攻擊態勢的監測范圍17。4.24.2 基于平行伴生網絡的智能攻防對抗學習基于平行伴生網絡的智能攻防對抗學習 4.2.1 平行伴生網絡平行伴生網絡 平行伴生網絡是實現持續攻防對抗的基礎。要先于攻擊者發現網絡中存在的安全問題就需要在不影響被保護網絡正常運行的情況下，對網絡進行持續智能攻擊以尋找潛在的脆弱點和缺陷。傳統做法是在被保護網絡中直接進行滲透測試以發現存在的問題。但這種方式依賴于測試人員的攻擊水平，而且絕大多數情況都只能發現已知的安全威脅，對未知威脅無能為力，對網絡正常運行帶來干擾和風險，且不能持續進行。6G 免疫安全借鑒人工疫苗培育方法，通過構建與有

34、邊界的業務網絡同構的平行伴生網絡，并部署相同的基礎軟件、業務軟件及流量仿真系統，結合實時安全態勢的協同感知網絡，形成逼真的“網絡疫苗”培育場?？梢栽诓挥绊懢W絡正常功能的前提下，提供逼真的環境以持續發掘網絡中存在的潛在威肋。平行伴生網絡的構建是實現 6G 類免疫主動安全的關鍵技術。為了找到對應被保護網絡存在的潛在威脅，平行伴生網絡需要做到與被保護網絡同構。這種同構不但是構建時的同構，還需要在整個被保護網絡運行生命周期中都保持同構。傳統靶場通常是構筑典型場景進行攻擊測試，無法做到與被保護網絡同構。數字孿生是一種可能的實現方法，網絡管理者可以根據需要，對有邊界的特定的被保護網絡構建數字孿生，進行攻防

35、對抗。網絡切片和云虛擬化能力，為實現平行伴生網絡提供了另外一種可能，該實現方法可以讓平行伴生網絡和被保護網絡共享相同的基礎設施，從而保證了在網絡中兩者的同構。但在如何與終端系統進行同構方面還需要發展新的機制。6G 類免疫主動安全防護機制白皮書 11 4.2.2 AI 攻擊攻擊 AI 攻擊是 6G 類免疫主動安全的關鍵技術之一。傳統滲透測試依賴于測試人員的經驗，人工發起的測試效率也相對低下，且都是利用已知威脅進行攻擊。通過在平行伴生網絡中加載高強度的 AI 攻擊，可以先于攻擊者發現網絡中的潛在威脅。AI 攻擊根據智能化程度可以分為三個層次：自動化攻擊：利用人工智能技術實現攻擊的自動化，在人工判定

36、或掃描確定要執行的攻擊類型后，對攻擊手段的具體參數進行自動化執行，比如掃描發現特定端口，自動化選擇所有可能針對該端口所對應服務的攻擊工具。攻擊工具指可以對目標主機進行特定攻擊的程序，比如利用某個特定漏洞進行攻擊的程序。預先設計的大量的可自動化運行的攻擊工具是自動化攻擊的基礎。AI 模擬黑客行為：利用 AI 技術模擬黑客行為也分為兩類。第一類是以大量可自動化運行的攻擊工具為基礎，學習黑客在整個攻擊行動中的行為。即學習黑客攻擊時是根據何種狀態做出的攻擊動作的選擇，從而減少自動化攻擊中因為人為的參與和大量遍歷導致的低效問題。第二類是對黑客的漏洞利用代碼進行學習，學習代碼編寫的邏輯以及與漏洞之間的關系

37、，從而在類似漏洞的場景下生成攻擊代碼。產生新的攻擊方式：這個級別的攻擊也可以簡單分成兩類。第一類是對原有的攻擊方式進行簡單變形，從而繞過防御策略。目前這類研究主要是關注如何繞過 AI 防御檢測算法。第二類則是建立在對黑客代碼學習基礎之上，通過對攻擊行為的組合和變異，能夠在全新的環境下生成新的攻擊。這一類別的 AI 攻擊是最高級別的攻擊方式，能夠產生新的未知攻擊。4.2.3 AI 防御防御 AI防御與AI攻擊配合是實現攻防對抗，找到安全性和可用性之間平衡的關鍵?？沙掷m演練、且與被保護網絡同構的平行伴生網絡為 AI 防御提供了新的契機。AI技術在安全領域當前主要應用在對攻擊行為的檢測。AI防御重要

38、的是與AI攻擊進行配合，在平行伴生網絡中測試不同防御策略（包括對攻擊行為的檢測以及抑制）的效果，以及對正常用戶可用性的影響。以得到在何種情況下，每種防御措施的收益和代價，從而能夠為網絡管理者實現安全性和可用性平衡提供參考。攻擊行為特征、及其防御策略以及對網絡的影響形成“網絡疫苗”?！熬W絡疫苗”還可以提供給其他被保護網絡使用。同時，被保護網絡在實際使用“網絡疫6G 類免疫主動安全防護機制白皮書 12 苗”時，還可以利用協同感知系統對實際的防御效果以及對可用性的影響進行評估，并更新“網絡疫苗”。6G 類免疫主動安全防護機制白皮書 13 5.總結及展望 本白皮書梳理了 6G 類免疫主動安全的需求，闡

39、述了 6G 類免疫主動安全作為有機組成部分以實現 6G 內生安全。然后，探討了 6G 免疫安全的防護機理、參考架構、以及基于協同感知網絡的實時態勢感知融合和基于平行伴生網絡的智能攻防對抗學習的關鍵技術。類免疫主動安全是 6G 內生安全的應對網絡未知風險的一個重要手段。然而實現這一目標還有眾多難題需要克服，類免疫主動安全的體系和理論還需要繼續完善和細化，6G 類免疫主動安全涉及的大量技術也還需要持續進行更新和迭代。只有獲得產業和行業的廣泛共識，才能進一步推動 6G 類免疫主動安全的標準化和產品化。這里對未來可能的研究方向做一個簡單的展望，以供學術界和工業界共同探討：1）借鑒人體免疫系統采用的“危

40、險模型”評估病原體造成的危害并進行響應的機制，建立網絡安全態勢定量評估模型，同時采用高性能預測模型對網絡安全態勢進行自適應動態預測；2）高效的態勢關聯融合機制；形成立體防護安全鏈實現從主機層、路由層、區域層、網絡層等多級防護，筑牢類免疫主動安全的全網安全防線；3）利用云原生虛擬化、數字孿生等技術實現平行伴生網絡的快速有效構建，為攻防對抗提供適當的場所；4）借鑒人體免疫系統生成抗體的機制，建立智能攻擊的基本機制，發展能夠發現“未知的未知”威脅的方法。14 參考文獻 1 Q.Yu,et al.An immunology-inspired network security architectureJ

41、 IEEE Wireless Communications,2020,27(5):168-173.2 S.Akira,S.Uematsu,O.Takeuchi,Pathogen recognition and innate immunityJ.Cell,2006,124(4):783-801.3 F.A.Bonilla,H.C.Oettgen.Adaptive immunityJ Journal of Allergy and Clinical Immunology,2010,125(2):S33-S40.4 K.Murphy,C.Weaver,Janeways immunobiologyM.G

42、arland science,2016.5 M.A.Swartz.The physiology of the lymphatic systemJ,Advanced drug delivery reviews,2001,50(1-2):3-20.6 F.M.Burnet,Self and not-self:cellular immunologyM.book one.CUP Archive,1969.7 P.Matzinger.The danger model:a renewed sense of selfJ.science,2002,296(5566):301-305.8 F.Colucci.T

43、he immunological code of pregnancyJ.Science,2019,365(6456,):862-863.9 A.Cabinian,et al.Transfer of maternal immune cells by breastfeeding:maternal cytotoxic T lymphocytes present in breast milk localize in the Peyers patches of the nursed infantJ.PloS one,2016,11(6).10 R.L.Hunter.Overview of vaccine

44、 adjuvants:present and futureJ.Vaccine,2002,20:S7-S12.11 K.Hayakawa,et al.Positive selection of natural autoreactive B cellsJ.Science,1999,285(5424):113-116.12 E.Monzn-Casanova,et al.The RNA-binding protein PTBP1 is necessary for B cell selection in germinal centersJ.Nature immunology,2018,19(3):267

45、-278,2018.15 13 D.Benhamou,et al.A c-Myc/miR17-92/Pten axis controls PI3K-mediated positive and negative selection in B cell development and reconstitutes CD19 deficiencyJ.Cell reports,2016,16(2):419-431.14 Hua Wu,et al.Detecting Slow Port Scans of Long Duration in High-Speed NetworksC.2022 IEEE Glo

46、bal Communications Conference(accepted).15 W.Tong,P.Zhu.6g:The next horizon From Connected People and Things to Connected IntelligenceJ.Cambridge University Press.2021,28(5):8.16 Hua Wu,et al.IM-Shield:A Novel Defense System against DDoS Attacks under IP Spoofing in High-speed NetworksC.ICC2022.17 Y

47、.Zhuang,et al.HDS:A Hierarchical Scheme for Accurate and Efficient DDoS Flooding Attack DetectionC.The 23rd Asia-Pacific Network Operations and Management Symposium,2022.18 6GANA.6G 數據服務概念與需求白皮書.2022.1.16 縮略語列表 縮略語 英文全名 中文解釋 6G The 6th Generation Mobile Communication System 第 6 代移動通信系統 AI Artificial

48、 Intelligence 人工智能 ML Machine Learning 機器學習 ICT Information and Communication Technology 信息通信技術 GDPR General Data Protection Regulation 通用數據保護條例 PIPL Personal Data Protection Law 個人信息保護法 3GPP 3rd Generation Partnership Project 第三代合作伙伴計劃 ITU-R International Telecommunication Union-Radiocommunication

49、Sector 國際電信聯盟-無線電通信部門 17 白皮書貢獻單位與主要貢獻者 本白皮書由國家重點研發計劃項目“6G 無線網絡安全架構關鍵技術”參與單位共同完成，包括：鵬城實驗室、東南大學、華為技術有限公司、西安電子科技大學、中國科學院信息工程研究所、上海交通大學、中國電信、中國信息通信研究院。主要貢獻者為：于全、任婧、吳樺、程光、吳建軍，趙明宇，嚴學強，王文會，王東暉，習燕，武紹蕓，彭程暉，閻森明，劉國榮，孟凡超。項目責任專家尤肖虎教授、陶小峰教授，以及方濱興院士、于全院士、季新生教授、李暉教授、楊珉教授、劉光毅博士、孫震強博士等業內相關專家對本白皮書進行了認真的審核，提出了大量寶貴的意見、建議。項目組對各位專家提供的指導和幫助表示誠摯的敬意和衷心的感謝！