网络安全新思路：来自流行病学模型的启发

Christophe Gaie

法国总理办公室工程与数字创新办主任

Jean Langlois-Berthelot

应用数学博士

Jean-Fabrice Lebraty

里昂三大企业管理学院管理科学教授

信息技术在现代社会中扮演着至关重要的角色，但也带来了网络安全的严峻挑战。网络攻击频繁发生，对个人隐私、商业利益和国家安全构成了严重威胁。为了应对这些威胁，法国的网络安全机构提出了EBIOS风险分析方案，并借鉴流行病学的SEIR模型，开发了多级别SEIR模型，用于预测和防御计算机病毒的传播。在应对网络攻击时，哪些防御策略最为有效？如何在资源有限的情况下，最大化网络安全防护效果？

随着网络的兴起，网络攻击层出不穷，抵御此类威胁刻不容缓。

网络安全防护手段多样，包括识别潜在风险、发现威胁、确认病毒的传播模式等。

法国的计算机专家以流行病学的理论为启发，开发出了新型模式抵御计算机病毒传播。

每种计算机病毒都有其独特的“标志物”，与自然界中的病毒类似。

流行病学中的SEIR模型，经过优化后可用于判断计算机硬件面对病毒的易感程度。

受流行病学疫情防控启发的新模型，有利于帮助各类信息系统提高安全防御水准，特别是政府的信息系统。

信息技术是当代人类社会的基石。商业机构、政府单位的活动都离不开信息技术。但随着网络的兴起，不法分子也有了可乘之机，网络黑客层出不穷，通过非法手段谋取私利、干预政治、甚至实施有组织犯罪。因此，采取合理的网络安全措施，抵御网络攻击，可谓是刻不容缓。

01

实时防御，降低风险

在自然界，生物体面对迫在眉睫的威胁，要么是逃跑，要么是试图自我保护，这是一种本能性的机制：趋利避害，逃离掠食者。但防患于未然，才是更高级的自我防御[1]，对于生物如此，对于计算机系统同样如此。因此，网络安全策略的部署中，识别潜在风险是不可或缺的一环。法国网络安全机构ANSSI所提倡的EBIOS风险分析方案[2]，就是一种有效的工具。与此同时，网络系统也应积极采用动态风险预测机制[3]。

02

以医为鉴，防御计算机病毒

法国总理办公室工程与数字创新办主任Christophe Gaie带领的课题组以医学的流行病学调查为启发，开发了一种检测计算机病毒的新思路[4]。正如传统犯罪会留下指纹、DNA等痕迹，网络攻击者也会在虚拟空间留下蛛丝马迹，每种计算机病毒（如MyDoom.A, Psyb0t, Chernobyl, Conficker, Cryptolocker）都有其独特的“标志物”。防毒软件就是通过识别这些“标志物”实现防御。现在的病毒甚至还会“进化”。一个叫做Mirai的病毒，曾经只感染物联网设备，但2016年8月被发现已经进化成能干扰计算机系统。这与新冠病毒不断出现新变种有着类似之处。

图片来源：PI France

课题组不止步于发现病毒，还希望明确病毒的传播机制，以期更好地保护网络信息系统。政府的信息系统由于经常要与普通用户、企业伙伴、其他部门交换信息，最容易被感染。感染病毒未必是因为遭受攻击，也有可能是被他人传染。

03

SEIR模型新应用

在流行病学中，SEIR模型（S=易感者、E=暴露者、I=感病者、R=康复者）是一种广泛使用[7]的疫情流调模型[5]，但在网络安全领域也能应用[6]。面对计算机病毒，也可以将其攻击的硬件分为四类：“易感”——有可能被感染的硬件；“暴露”——已接触过病毒的硬件；“感病”——被感染的硬件；“康复”——感染后杀了毒，并形成免疫力的硬件。一个硬件生态系统中，如果有足够多的个体接触过某种病毒，且采取了相应的防毒措施，该群体就能对该病毒免疫。

课题组在研究中，发现传统的SEIR模型虽然值得借鉴，但在计算机系统中的应用存在局限性：不同的系统易感程度不同，网络攻击的类型也会与时俱进。群体免疫虽然在概念上很理想，实际中却难以实现，一不小心就会让系统大面积感染。

04

多级别SEIR模型

鉴于此，课题组基于资源优化提出了“多级别SEIR模型”，包含两个要点：

多级别：指充分考虑政府、企业、个人用户的网络安全级别和防御级别差异。

区分对待威胁：指根据网络攻击的具体发生概率和潜在危害程度，区分对待。

模型以病毒的传播率、潜伏期、恢复时长为参数，以描述网络攻击在各类系统中扩散的情况。根据模型的理念，系统里所有的设备都必须加固防范措施，因为短板才是最大的风险点。

模型的一个主要优势在于能通过求解微分方程，预测病毒的短期活动轨迹，触发自动预警或终端检测与响应系统（EDR）。另外，也可以利用模型为系统确定风险阈值。

05

优化资源分配，保护关键系统

新模型的另一个重要功能是以最大风险点为抓手，优化资源利用，从而支持网络安全经费有限的机构：为每个系统量身定制网安策略，加固关键环节，以尽可能降低总体感染率为目标。对于资源分配问题，可以通过数学中常见的凸优化法求解[8]。

受流行病学疫情防控启发的新模型，有利于帮助各类信息系统提高安全防御水准，特别是政府的信息系统。课题组正在规划在实际运行的计算机系统中测试新模型，以期为关键信息系统提供更可靠的网络安全防护。

作者

Christophe Gaie

Jean Langlois-Berthelot

Jean-Fabrice Lebraty

编辑

Meister Xia

1. Camp, L.J., Grobler, M., Jang-Jaccard, J., Probst, C., Renaud, K., & Watters, P. (2019) Measuring Human Resilience in the Face of the Global Epidemiology of Cyber Attacks. Proceedings of the 52nd Hawaii International Conference on System Sciences, MAUI United States, 8 January 2019, 4763–4772. https://doi.org/10.24251/HICSS.2019.574

2. EBIOS (Expression des besoins et identification des objectifs de sécurité), https://cyber.gouv.fr/la-methode-ebios-risk-manager

3. Moradzadeh, A., Mohammadpourfard, M., Genc, I., Şeker, Ş.S. and Mohammadi-Ivatloo, B., 2022. Deep learning-based cyber resilient dynamic line rating forecasting. International Journal of Electrical Power & Energy Systems, 142, p.108257.

4. Langlois J., Gaie C., Lebraty JF., Epidemiology inspired Cybersecurity Threats Forecasting Models applied to eGovernment, in: Gaie, C., Mehta, M. (eds.) Transforming Public Services – Combining Data and Algorithms to Fulfil Citizen’s Expectations. Intelligent Systems Reference Library, vol 252. Springer, Cham. https://link.springer.com/book/9783031555749

5. Christophe Gaie, Markus Mueck, An artificial intelligence framework to ensure a trade-off between sanitary and economic perspectives during the COVID-19 pandemic, Deep Learning for Medical Applications with Unique Data,  Academic Press, 2022, Pages 197–217, ISBN 9780128241455, https://doi.org/10.1016/B9780–12-824145–5.00008–3

6. Batista, F.K., Martín del Rey, Á., Quintero-Bonilla, S., Queiruga-Dios, A. (2018). A SEIR Model for Computer Virus Spreading Based on Cellular Automata. In: Pérez García, H., Alfonso-Cendón, J., Sánchez González, L., Quintián, H., Corchado, E. (eds) International Joint Conference SOCO’17-CISIS’17-ICEUTE’17 León, Spain, September 6–8, 2017, Proceeding. SOCO ICEUTE CISIS 2017 2017 2017. Advances in Intelligent Systems and Computing, vol 649. Springer, Cham. https://doi.org/10.1007/978–3-319–67180-2_62

7. Hethcote, H.W. (1989). Three Basic Epidemiological Models. In: Levin, S.A., Hallam, T.G., Gross, L.J. (eds) Applied Mathematical Ecology. Biomathematics, vol 18. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978–3-642–61317-3_5

8. Boyd, S. P., & Vandenberghe, L. (2004). Convex optimization. Cambridge university press.