鄔江興

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450001

網(wǎng)絡(luò)空間擬態(tài)防御研究

鄔江興

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450001

本文扼要分析了網(wǎng)絡(luò)安全不平衡現(xiàn)狀及本源問題,重點(diǎn)闡述了動態(tài)異構(gòu)冗余架構(gòu)以及如何利用不可信軟硬構(gòu)件組成高可靠、高安全等級信息系統(tǒng)的原理與方法,概略的給出了擬態(tài)防御的基本概念。最后,介紹了擬態(tài)防御原理驗證系統(tǒng)的測試評估情況和初步結(jié)論。

網(wǎng)絡(luò)安全; 不平衡態(tài)勢; 未知漏洞后門; 擬態(tài)防御; 非相似余度; 動態(tài)異構(gòu)冗余; 驗證系統(tǒng)測試評估

1 背景

正當(dāng)人們盡情享受信息時代生活和工作樂趣的同時,網(wǎng)絡(luò)安全問題像幽靈一般成為揮之不去的夢魘。根本原因之一是,網(wǎng)絡(luò)空間存在泛在化的基于未知漏洞和后門等的不確定性威脅。這使得少數(shù)人或團(tuán)體組織利用少量的資源就能肆意踐踏個人乃至公眾的隱私權(quán),威脅信息基礎(chǔ)設(shè)施和公共服務(wù)系統(tǒng)安全,危及網(wǎng)絡(luò)空間秩序和社會穩(wěn)定。當(dāng)前,網(wǎng)絡(luò)空間的基本安全態(tài)勢是“易攻難守”。

1.1 網(wǎng)絡(luò)安全不平衡態(tài)勢的本源問題

首先是未知安全漏洞問題。通常是指,在硬件、軟件或協(xié)議等的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而使攻擊者有可能在未經(jīng)授權(quán)下訪問或破壞系統(tǒng)。由于人們認(rèn)知方法與手段的局限性,實踐中,設(shè)計缺陷或安全漏洞往往難以避免。

其次是軟硬件后門問題。通常是指留在軟硬件系統(tǒng)中的惡意代碼,旨在為特殊使用者通過特殊方式繞過安全控制環(huán)節(jié)而獲得系統(tǒng)訪問權(quán)提供方法與途徑?！袄忡R門”事件披露了大量的關(guān)于后門的黑幕消息,給全球信息技術(shù)產(chǎn)品市場帶來了極為嚴(yán)重的負(fù)面影響。即使在網(wǎng)絡(luò)安全技術(shù)占主導(dǎo)地位,高端信息產(chǎn)品市場占絕對優(yōu)勢的美國,2017年國防授權(quán)法案中也提出了“如何保證來自全球化市場、商用等級、非可信源構(gòu)件的可信性問題”。供應(yīng)鏈全球化時代,形成了“你中有我,我中有你,相互依存又互為掣肘”的生態(tài)關(guān)系。因而,在可以預(yù)見的將來,后門問題也是無法杜絕的。

排在第三位的是未知漏洞后門或側(cè)信道的發(fā)現(xiàn)問題。迄今為止,人類尚未形成窮盡復(fù)雜信息系統(tǒng)漏洞和徹查后門的理論與方法。就目前的科技能力來看,網(wǎng)絡(luò)空間能夠查出的漏洞和后門就如同浩瀚宇宙中的一點(diǎn)點(diǎn)塵埃,絕大多數(shù)是未被認(rèn)知的。更為糟糕的是,側(cè)信道帶來的安全隱患常常是泛在化的且很難用物理或邏輯的方法徹底消除。在“設(shè)計缺陷與不可信的開放式供應(yīng)鏈”條件下,無論從技術(shù)或經(jīng)濟(jì)上都不可能保證網(wǎng)絡(luò)空間構(gòu)成環(huán)境內(nèi)“無毒無菌”的理想安全性要求。

從“已知的未知”風(fēng)險防范視角來看,基于未知漏洞或未知后門實施的未知攻擊屬于“未知的未知”安全威脅,即不確定性威脅,也是網(wǎng)絡(luò)安全領(lǐng)域最令人驚恐不安、備受煎熬的心理折磨。由于無法適時的了解攻擊者采用什么手段、通過何種途徑、利用什么缺陷或“內(nèi)應(yīng)”,是否已進(jìn)入目標(biāo)對象,已經(jīng)干了什么,正在干什么,未來打算干什么等等一系列不確定性問題,因而也就無從談起怎樣才能實施有效的針對性防御。參照經(jīng)濟(jì)學(xué)理論[1]的相關(guān)說法,已知的未知屬于風(fēng)險,風(fēng)險可以用概率來表述,而未知的未知屬于不確定性,不確定性則是不知道概率的情形。因此,不確定性威脅是造成網(wǎng)絡(luò)安全不平衡態(tài)勢難以逆轉(zhuǎn)的核心因素之一。

1.2 現(xiàn)有防御體系的脆弱性和安全黑洞

現(xiàn)有的防御體系是基于威脅特征感知的精確防御,需要獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為和攻擊機(jī)制等先驗知識作為實施有效防御的基礎(chǔ)。因此,它必須建立在“已知風(fēng)險”或是“已知的未知風(fēng)險”前提條件上。不幸的是,由于軟硬構(gòu)件中存在未知的漏洞或后門,信息系統(tǒng)和防御體系只能構(gòu)建在可信性無法保證的運(yùn)行環(huán)境上。

從嚴(yán)格意義上說,現(xiàn)有信息系統(tǒng)或防御體系對泛在的不確定性威脅基本上是不設(shè)防的,除了加密認(rèn)證外幾乎沒有其他實時高效的應(yīng)對措施。事實上,確保加密認(rèn)證裝置實現(xiàn)上的可信性本身就極富挑戰(zhàn)性。如果作為嵌入式裝置在非可信環(huán)境下使用,很可能存在被“短路”的風(fēng)險或受到基于“側(cè)信道”原理的各種旁路攻擊[2,3]。

由于無法保證信息系統(tǒng)或網(wǎng)絡(luò)空間生態(tài)環(huán)境的“無漏洞無后門”或者“無毒無菌”,現(xiàn)有的安全防護(hù)體系只能期待“后天獲得性免疫”。通過不斷地亡羊,不停地補(bǔ)牢,不斷地挖掘漏洞和發(fā)現(xiàn)后門,不停地打補(bǔ)丁,殺毒滅馬,封門堵漏等被動的跟隨博弈方式來自我完善。但面對不確定性威脅時,被動防御就如同數(shù)學(xué)上求解缺維方程組,理論上無確定解。所以說,目前網(wǎng)絡(luò)安全“易攻難守”的不對稱態(tài)勢也是被動防御理論體系和技術(shù)的基因缺陷所致。

更為嚴(yán)峻的是,網(wǎng)絡(luò)空間信息系統(tǒng)架構(gòu)和防御體系本質(zhì)上說都是“靜態(tài)的、相似的和確定的”,體系架構(gòu)透明、處理空間單一,缺乏多樣性。軟件的遺產(chǎn)繼承將導(dǎo)致安全鏈難以閉合,系統(tǒng)缺陷和脆弱性持續(xù)暴露且易于攻擊,使之成為了網(wǎng)絡(luò)空間最大的安全黑洞。

2 相關(guān)概念

2.1 擬態(tài)現(xiàn)象與擬態(tài)防御

一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環(huán)境,從而使一方或雙方受益的生態(tài)適應(yīng)現(xiàn)象,在生物學(xué)中稱為擬態(tài)現(xiàn)象[4]。按防御行為分類可將其列入基于內(nèi)生機(jī)理的主動防御范疇,我們將其稱為“擬態(tài)偽裝”(Mimic Guise,MG)。

擬態(tài)現(xiàn)象在生物界其實很普遍,諸如竹節(jié)蟲、枯葉蝶、模擬蘭花、樹葉蟲等林林總總,光怪陸離。尤其是1998年在印尼蘇拉威西島水域發(fā)現(xiàn)的條紋章魚(又名擬態(tài)章魚),算是生物界的擬態(tài)偽裝大師。據(jù)研究表明,它能模擬 15種以上海洋生物,可以在珊瑚礁環(huán)境和沙質(zhì)海底完全隱身。在本征功能不變條件下,能以不確定的色彩、紋理、形狀和行為變化給掠食者或捕食目標(biāo)造成認(rèn)知困境[4]。

擬態(tài)偽裝不能直接作為網(wǎng)絡(luò)空間主動防御的概念基礎(chǔ)。根本原因是,網(wǎng)絡(luò)空間中大多數(shù)信息系統(tǒng)的服務(wù)功能和性能是不能被隱匿的,如 Web服務(wù)、路由交換、文件存儲、云計算和數(shù)據(jù)中心等等。相反,還要盡可能讓外界清晰明了其使用方式和功能細(xì)節(jié)以及考慮使用習(xí)慣的延續(xù)問題。所以,網(wǎng)絡(luò)空間的任何主動防御舉措都不能影響到目標(biāo)對象給定服務(wù)功能和性能的正常提供。除此之外,其他行為,比如目標(biāo)對象的系統(tǒng)架構(gòu)、運(yùn)行機(jī)制、核心算法、異常表現(xiàn)以及可能存在的未知漏洞或后門等等,都可以通過類似擬態(tài)偽裝的方式進(jìn)行主動隱匿。那么,除隱匿目標(biāo)對象服務(wù)功能外的擬態(tài)偽裝就定義為“擬態(tài)防御”(Mimic Defense,MD)。

2.2 擬態(tài)防御與非相似余度構(gòu)造

根據(jù)“給定功能,往往存在多種實現(xiàn)結(jié)構(gòu)”的公理,可靠性領(lǐng)域的異構(gòu)冗余體制可能滿足擬態(tài)防御的最低要求。原因是,其異構(gòu)冗余集合中的任意元素,無論是單獨(dú)使用還是多個元素的并聯(lián)或組合使用,可呈現(xiàn)的功能場景都是等價的。

異構(gòu)冗余體制的經(jīng)典范例就是“非相似余度構(gòu)造”(Dissimilar Redundancy Structure,DRS)[5,6]。如下圖所示:

圖1 DRS結(jié)構(gòu)示意

其理論基礎(chǔ)是“獨(dú)立開發(fā)的裝置或模塊發(fā)生共性設(shè)計缺陷導(dǎo)致共模故障的情況屬于小概率事件”,工程實現(xiàn)上要保證各功能等價的獨(dú)立裝置中的設(shè)計缺陷具有不相互重合的性質(zhì)。

目前,DRS系統(tǒng)的相異性設(shè)計主要通過嚴(yán)格的管理手段實現(xiàn)。由不同教育背景和工作經(jīng)歷的人員組成的多個工作組,依托不同的開發(fā)環(huán)境,根據(jù)不同的技術(shù)路線,遵循一個共同的功能規(guī)范,獨(dú)立開發(fā)多個功能等價的裝置。然后,將這些異構(gòu)等價裝置加入到一個具有多模表決機(jī)制的容錯架構(gòu),通過對輸出矢量的比較或檢測,便可容忍處理可能存在的兩種不確定性錯誤,即軟硬件設(shè)計潛在缺陷引發(fā)的不確定故障和物理機(jī)制導(dǎo)致的不確定失效。這說明,原本屬于不確定性故障的處理難題可以被DRS架構(gòu)轉(zhuǎn)換為擇多判決的概率問題。盡管理論上不能保證擇多結(jié)果總是正確的,但卻可以證明擇多錯誤的發(fā)生概率隨DRS余度數(shù)增加呈非線性減小。

工程實踐表明,基于DRS構(gòu)造的系統(tǒng)能夠非線性地提高可靠性等級。如果再借助一定的預(yù)清洗或恢復(fù)機(jī)制,應(yīng)用系統(tǒng)可以具有非常高的可靠性(例如,美國波音公司的 B-777客機(jī)飛控系統(tǒng)的失效率就低于10–10,通用動力公司的F-16戰(zhàn)斗機(jī)飛控系統(tǒng)的失效率也低于10–8)[7]。值得注意的是,上述設(shè)計原則與方法不僅對抑制目標(biāo)系統(tǒng)的共性缺陷和錯誤有效,而且對管控開發(fā)工具和開發(fā)環(huán)境引入的共性缺陷同樣有效。

DRS的應(yīng)用成果證明,異構(gòu)冗余體制能夠有效地檢測、定位和隔離“已知的未知”或“未知的未知”故障,還可以顯著減少系統(tǒng)驗證和確認(rèn)的時間與費(fèi)用[7]。

2.3 DRS架構(gòu)抗攻擊缺陷

盡管DRS架構(gòu)對于不確定性故障具有很好的容錯屬性,但直接用于應(yīng)對諸如高級持續(xù)威脅(APT)等增量性、持續(xù)性、協(xié)同性和不確定性高級入侵威脅仍存在以下幾方面挑戰(zhàn):

1) DRS的基本要求是所有構(gòu)件、組件有嚴(yán)格的空間獨(dú)立性,且給定功能交集嚴(yán)格限定。除了等價功能交集,不能存在其他相同的功能交集,這需要極為復(fù)雜、代價高昂的相異性設(shè)計來保證;

2) DRS系統(tǒng)仍然是靜態(tài)的、確定的,其運(yùn)作機(jī)制也是相似的,理論上具有防御行為的可預(yù)測性。攻擊者一旦掌握目標(biāo)對象過程信息或所需的必要資源,就可以從容的造成多數(shù)異構(gòu)體的一致性錯誤,以實現(xiàn)多模裁決下的逃逸(例如通過側(cè)信道攻擊方式實現(xiàn)跨物理域的協(xié)同攻擊)。更嚴(yán)重的是,一旦攻擊成功,其經(jīng)驗具有可繼承性,能夠準(zhǔn)確的復(fù)現(xiàn);

3) DRS構(gòu)造的容錯特性是以軟硬件故障發(fā)生的隨機(jī)性為前提,通?？梢杂酶怕使ぞ邅砻枋觥６谖粗┒椿蚝箝T等發(fā)起的攻擊對防御方來說屬于不確定性威脅,不具備可計算性質(zhì),也就無法用概率工具進(jìn)行表達(dá)和分析;

4) 雖然 DRS構(gòu)造同樣基于相對不可靠的組件作為冗余體構(gòu)件,但一般認(rèn)為可靠性隱患不具有“惡意傳播”的性質(zhì)。因此,并沒有強(qiáng)制性的“去協(xié)同化”以阻止人為攻擊的傳播,冗余體間通常存在協(xié)同化攻擊可利用的互連端口、鏈路和處理空間等通道或同步機(jī)制。

總之,一旦攻擊者擁有的資源和能力可以覆蓋DRS架構(gòu)的靜態(tài)環(huán)境,理論上就能夠?qū)崿F(xiàn)基于多數(shù)冗余體的協(xié)同化攻擊。

3 動態(tài)異構(gòu)冗余思想

作為一種共同的認(rèn)知,在諸如DRS等異構(gòu)冗余體制中導(dǎo)入動態(tài)性和隨機(jī)性可以有效提升其抗攻擊性能。首先,該機(jī)制在防御方可控或代價可接受條件下,能使系統(tǒng)對攻擊者呈現(xiàn)出相當(dāng)程度上的不確定性,為上節(jié)問題(2)提供了強(qiáng)有力的解決手段,也能將問題(3)中人為攻擊行動的必然性強(qiáng)制轉(zhuǎn)化為隨機(jī)性可表述的事件。其次,研究經(jīng)驗表明,使同構(gòu)冗余部件間做到精確協(xié)同極具挑戰(zhàn)性,而動態(tài)性和隨機(jī)性能夠進(jìn)一步提升多方參與具有一致性或協(xié)同性要求的行動的不確定度,多模判決環(huán)節(jié)又在機(jī)理上顯著提升了非配合條件下的協(xié)同攻擊難度。一個自然的結(jié)論是,倘諾異構(gòu)執(zhí)行體集合中的元素采取諸如動態(tài)化的策略調(diào)度,或是元素自身實施可重構(gòu)、可重組、可重建、可重定義、虛擬化等廣義動態(tài)化技術(shù),那么在保證系統(tǒng)功能、性能及抗攻擊與可靠性指標(biāo)的前提下,可以簡化或弱化DRS構(gòu)架中苛刻的相異性設(shè)計要求。此結(jié)論對于后全球化時代,在開放式產(chǎn)業(yè)鏈、供應(yīng)鏈環(huán)境下,應(yīng)用開源軟硬件或中間件等不可控構(gòu)件組成安全可信系統(tǒng),降低產(chǎn)品全壽命周期成本,有著十分重要的工程意義。我們將這樣的異構(gòu)冗余體制稱為“動態(tài)異構(gòu)冗余”構(gòu)造(Dynamic Heterogeneous Redundancy,DHR)。

3.1 DHR構(gòu)造

動態(tài)異構(gòu)冗余構(gòu)造,理論上要求系統(tǒng)具有視在結(jié)構(gòu)表征的不確定性。包括非周期的從功能等價的異構(gòu)冗余體池中隨機(jī)的抽取若干個元素組成當(dāng)前服務(wù)集,或者重構(gòu)、重組、重建異構(gòu)冗余體自身,或者借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體內(nèi)在的資源配置方式或視在運(yùn)行環(huán)境,或者對異構(gòu)冗余體作預(yù)防性或修復(fù)性的清洗、初始化等操作,使攻擊者在時空維度上很難有效的再現(xiàn)成功攻擊的場景。其架構(gòu)如下圖所示:

圖2 DHR結(jié)構(gòu)示意

該構(gòu)造由輸入代理、異構(gòu)構(gòu)件集、策略調(diào)度算法、執(zhí)行體集和多模表決器組成。其中,異構(gòu)構(gòu)件集和策略調(diào)度組成執(zhí)行集的多維動態(tài)重構(gòu)支撐環(huán)節(jié)。由標(biāo)準(zhǔn)化的軟硬件模塊可以組合出m種功能等價的異構(gòu)構(gòu)件體集合E,按策略調(diào)度算法動態(tài)的從集合E中選出n個構(gòu)件體作為一個執(zhí)行體集(A1,A2,...,An),系統(tǒng)輸入代理將輸入轉(zhuǎn)發(fā)給當(dāng)前服務(wù)集中各執(zhí)行體,這些執(zhí)行體的輸出矢量提交給表決器進(jìn)行表決,得到系統(tǒng)輸出。我們將輸入代理和多模表決器也稱為“擬態(tài)括號”(Mimic Bracket,MB)。

擬態(tài)括號內(nèi)通常是一個符合 IPO模型的防護(hù)目標(biāo)之集合(規(guī)?；蛄６炔幌?,如下圖所示:

圖3 IPO模型

P可以是復(fù)雜的軟硬件處理系統(tǒng)也可以是部件或子系統(tǒng),且存在應(yīng)用擬態(tài)防御架構(gòu)的技術(shù)與經(jīng)濟(jì)條件,則可表達(dá)為:。其中,連接輸入I的左括號被賦予輸入指配功能,連接輸出O的右括號被賦予多模表決和代理輸出功能,括號內(nèi)的nP是與P功能等價的異構(gòu)執(zhí)行體。左右括號在邏輯上或空間上一般是獨(dú)立的,且功能上聯(lián)動。擬態(tài)括號限定的保護(hù)范圍稱為擬態(tài)防御界(Mimic Defense Boundary,MDB),簡稱擬態(tài)界,通常情況是一個存在未知漏洞、后門或病毒、木馬等軟硬件代碼的“有毒帶菌”異構(gòu)執(zhí)行環(huán)境。

不難發(fā)現(xiàn),DHR構(gòu)造的抗攻擊能力在體系上源自DRS構(gòu)造,在不確定性機(jī)制上則受惠于動態(tài)性、隨機(jī)性和多樣性的引入,在攻擊難度上得益于“去協(xié)同化環(huán)境”造就的非配合條件下的協(xié)同化攻擊困境,在實現(xiàn)方法上來源于功能等價條件下的多維動態(tài)重構(gòu)機(jī)制的應(yīng)用。

3.2 DHR構(gòu)造抗攻擊性分析

3.2.1 相關(guān)定義

定義1 一次攻擊成功

一次攻擊成功是指導(dǎo)致系統(tǒng)的機(jī)密性、可用性、完整性等遭受破壞的完整攻擊過程。本模型中一次攻擊指攻擊者行為在系統(tǒng)中發(fā)生了一次輸入輸出,一次攻擊成功可能產(chǎn)生多次輸入輸出,即進(jìn)行了多次攻擊。

對構(gòu)件而言,當(dāng)攻擊者利用構(gòu)件中的漏洞并成功控制該構(gòu)件,則認(rèn)為構(gòu)件被攻擊成功。對系統(tǒng)而言,當(dāng)攻擊者利用n個執(zhí)行體中的漏洞發(fā)起攻擊,導(dǎo)致某些執(zhí)行體輸出一致但與正常輸出不一致,且異常輸出通過了表決器表決,則認(rèn)為系統(tǒng)被攻擊成功。

定義2 系統(tǒng)攻擊成功率

若攻擊者利用DHR系統(tǒng)中的漏洞發(fā)起α次攻擊,導(dǎo)致系統(tǒng)被攻擊成功β,則記:

為一次攻擊的系統(tǒng)攻擊成功率。

定義3 系統(tǒng)動態(tài)變化時間

若系統(tǒng)最小變化時間和最大變化時間相等,則稱系統(tǒng)是周期性變化的。該變化時間稱為系統(tǒng)動態(tài)變化周期(或系統(tǒng)服務(wù)時序周期),記為T。

定義4 l階輸出一致率

設(shè)n個執(zhí)行體組成一個執(zhí)行體集,若在相同輸入條件下,有l(wèi)個輸出相同,且與正常輸出不一致,稱該執(zhí)行體集是l階輸出一致的。

考慮到攻擊者是針對漏洞進(jìn)行的,若對漏洞v,在N次攻擊中有N′次其l個輸出相同且與正常輸出不一致,則稱:

是關(guān)于漏洞v的l階輸出一致率。

若忽略系統(tǒng)隨機(jī)錯誤,易知對任意漏洞v,關(guān)于的l階輸出一致率:

3.2.2 前提假設(shè)

由于信息系統(tǒng)的復(fù)雜性和網(wǎng)絡(luò)攻擊的多樣性,根據(jù)網(wǎng)絡(luò)攻擊的實際情況,特作如下假設(shè):

(1) 系統(tǒng)的輸入與輸出是一一對應(yīng)的。

(2) 針對漏洞的攻擊,若攻擊成功必導(dǎo)致執(zhí)行體輸出的改變(與正常輸出相比)。

(3) 輸入代理和表決器是安全的,即不考慮輸入代理和表決器受攻擊的情況。

(4) 攻擊者僅基于執(zhí)行體的漏洞發(fā)起攻擊,每次攻擊事件是獨(dú)立的。

(5) 不考慮通信誤碼或執(zhí)行體故障等因素引起的系統(tǒng)隨機(jī)錯誤。

3.2.3 建模與求解

T: 動態(tài)變化周期,每個T內(nèi)系統(tǒng)當(dāng)前執(zhí)行體集固定;

V: 所有構(gòu)件中漏洞組成的集合;

qv:攻擊者利用漏洞v對含v的執(zhí)行體進(jìn)行攻擊的成功率;

tv: 攻擊者利用漏洞v對含v的執(zhí)行體進(jìn)行攻擊所需時間;

αv: 攻擊者利用漏洞v攻擊的權(quán)重;

DHR系統(tǒng)建模的目的是要揭示系統(tǒng)對抗基于未知漏洞等不確定性威脅的安全機(jī)理,我們定義系統(tǒng)攻擊成功率 PS來表征系統(tǒng)主動防御的有效性,并導(dǎo)出其與參數(shù)的函數(shù)關(guān)系:

3.2.4 性質(zhì)分析

(1) Pv=0當(dāng)且僅當(dāng)任意k個互異執(zhí)行體無共同漏洞v或I（v）=0。

這說明當(dāng)攻擊者利用特定漏洞v發(fā)起攻擊時,欲使系統(tǒng)攻擊成功率降低,必須降低值; 由于qv是客觀存在的且與攻擊者能力密切相關(guān),因此通過提高系統(tǒng)異構(gòu)性可以降低k階輸出一致率,也可以通過減小T值使得I( v)=0。

這說明欲使系統(tǒng)攻擊成功率降低,必須降低各Pvi值。根據(jù)分析(1),系統(tǒng)只能轉(zhuǎn)而控制T值或關(guān)于各漏洞的值。

這兩條性質(zhì)表明了DHR模型對抗攻擊者利用漏洞進(jìn)行攻擊的有效性。根據(jù)性質(zhì)(1)系統(tǒng)的動態(tài)性使得在任意動態(tài)變化周期內(nèi)攻擊時間代價的漏洞無法被有效利用,系統(tǒng)的異構(gòu)冗余性使得很小,攻擊者能夠有效利用漏洞v的時間周期窗口變少且不確定,從而增大了利用難度。即使在攻擊成功情況下,欲保持攻擊效果的持續(xù)時間也被壓縮到至多 1個時間周期T; 根據(jù)性質(zhì)(2)系統(tǒng)整體上攻擊成功的平均概率減小,說明其能有效對抗基于漏洞的網(wǎng)絡(luò)攻擊。

3.3 DHR構(gòu)造效應(yīng)

1) 不確定性威脅感知

DHR構(gòu)造感知不確定性威脅需要滿足三個前提條件: (1)執(zhí)行體的輸入是標(biāo)準(zhǔn)化或可歸一化的,且能被用于并行激勵多個執(zhí)行體; (2)執(zhí)行體的輸出矢量是標(biāo)準(zhǔn)化的或經(jīng)歸一化處理能夠滿足標(biāo)準(zhǔn)化,并可支持多模判決; (3)執(zhí)行體受到的不確定性攻擊將在其輸出矢量中有所表現(xiàn)。感知精度決定于擬態(tài)括號內(nèi)執(zhí)行體的顆粒度。

2) 增加攻擊鏈不確定性

DHR構(gòu)造內(nèi)在的多維動態(tài)重構(gòu)機(jī)制使得目標(biāo)對象的視在環(huán)境表現(xiàn)出很強(qiáng)的不確定性。理論上除給定功能外,同樣的輸入激勵很難得到相同的輸出響應(yīng)。例如,靜態(tài)情況下攻擊者看到的漏洞數(shù)量、種類特征與可利用性是確定的,而在動態(tài)情況下視在漏洞的數(shù)量、種類特征、出現(xiàn)的頻度和可利用性都將是不確定的。這將會嚴(yán)重干擾攻擊者在漏洞探測和回連階段獲得信息的真實性,也會使攻擊植入或上傳環(huán)節(jié)失去可靠性,還將會破壞攻擊的成功經(jīng)驗在時空維度上的可復(fù)現(xiàn)性。

3) 增加多模裁決逃逸難度

理論上,多模裁決機(jī)制存在“錯誤逃逸”的可能性,但逃逸概率通常很低。由于DHR構(gòu)造中導(dǎo)入了策略調(diào)度、重構(gòu)重組和虛擬化等多維動態(tài)的不確定性機(jī)制,將使得多模判決環(huán)節(jié)中單次逃逸或持續(xù)逃逸的概率進(jìn)一步降低。原因是: (1)多模裁決環(huán)節(jié)對經(jīng)過擬態(tài)界的攻擊鏈頻度和執(zhí)行集的環(huán)境差異都十分敏感,任何導(dǎo)致冗余執(zhí)行體輸出矢量產(chǎn)生差異的功能性操作或內(nèi)容性設(shè)計會被非線性放大; (2)如果從異構(gòu)冗余池中抽取的執(zhí)行集是按照某種隨機(jī)策略進(jìn)行的,則試圖滿足當(dāng)下服務(wù)集內(nèi)同源組合漏洞的逃逸條件也是相當(dāng)困難的; (3)假設(shè)t時刻的攻擊實現(xiàn)了成功逃逸,由于服務(wù)集具有動態(tài)性和異構(gòu)性,在 +ti的后續(xù)攻擊中也難以借助逃逸經(jīng)驗復(fù)現(xiàn)出與 t時刻完全相同的輸出矢量; (4)如果系統(tǒng)再輔以“發(fā)現(xiàn)即清洗”的處理策略,那么越是復(fù)雜精細(xì)的攻擊方案,越是操作步驟綿長的協(xié)同行動,攻擊成功率就會越低。

4) 動態(tài)異構(gòu)環(huán)境影響漏洞利用

原理上,擬態(tài)界內(nèi)的漏洞只要保證嚴(yán)格的相異性就具有不可利用性,這是由多模裁決的本身機(jī)制決定的。事實上,即使在擬態(tài)界內(nèi)存在同源或同宗漏洞等情況,由于執(zhí)行環(huán)境的動態(tài)和異構(gòu)變化,使得攻擊者難以實現(xiàn)針對環(huán)境差異的多目標(biāo)協(xié)同攻擊。例如,借助CPU、OS或支撐環(huán)境漏洞實現(xiàn)的一類攻擊將會被多模裁決環(huán)節(jié)阻斷; 利用應(yīng)用軟件漏洞進(jìn)入系統(tǒng)并設(shè)法通過 OS提權(quán)操作的蓄意攻擊也將因為環(huán)境因素變化而難有作為; 借助冗余體內(nèi)存、緩存或輸入輸出等“側(cè)信道”實施的應(yīng)用層攻擊也會被多模裁決機(jī)制終止; 根據(jù)特定化環(huán)境定制的后門、病毒或木馬等,也會隨著攻擊可達(dá)性的改變而失去期望功能。

5) 具有獨(dú)立的安全增益

DHR構(gòu)造的防御機(jī)理主要體現(xiàn)在目標(biāo)對象視在環(huán)境與構(gòu)造的不確定度方面,目的是非線性的增加攻擊者的難度和成本。防御的有效性僅由DHR構(gòu)造的多維動態(tài)重構(gòu)、重組等機(jī)制和非配合條件下多模裁決機(jī)制的強(qiáng)弱來決定,不依賴任何攻擊行為的先驗知識,也與傳統(tǒng)安全防御手段(例如,入侵檢測[8,9]、預(yù)防、容忍[10,11]或隔離,殺毒滅馬、封門堵漏等)無強(qiáng)關(guān)聯(lián)性,其防御能力可以覆蓋目前絕大多數(shù)擬態(tài)界內(nèi)的未知漏洞、后門和病毒木馬等安全威脅。盡管如此,DHR構(gòu)造在機(jī)制上可以自然地利用常規(guī)防御措施以增加擬態(tài)界內(nèi)的相異性,有助于非線性提高防御的有效性與可靠性。

6) 逆轉(zhuǎn)攻防不對稱格局

無論從定性定量分析還是實際測評[12]的角度,都不難得出結(jié)論: DHR的內(nèi)在機(jī)理可以很容易獲得非線性的防御增益[12],DHR系統(tǒng)的失效率也是呈指數(shù)級衰減的。按照可靠性模型分析不難得出,在相同余度數(shù)n( n≥3)的條件下,DHR的可靠性要遠(yuǎn)遠(yuǎn)高于非相似余度的可靠性; 從 DHR的典型構(gòu)造來看,其防御成本上限正比于擬態(tài)界內(nèi)異構(gòu)執(zhí)行體的數(shù)量n,為線性函數(shù),但其防御效果則是非線性增加的。更為重要的是,從應(yīng)用系統(tǒng)的全壽命周期來看,DHR構(gòu)造能顯著降低實時防護(hù)性要求(如防御 0day攻擊等)、版本升級(打補(bǔ)丁)頻度以及附加專門安全裝置等所帶來的維護(hù)成本; 從實現(xiàn)方面來看,DHR允許使用全球化市場的 COTS級軟硬構(gòu)件來組成異構(gòu)執(zhí)行體,甚至可以直接使用開放或開源的產(chǎn)品。相比于專門設(shè)計、特殊制造的安全構(gòu)件、部件或系統(tǒng),DHR組件的開發(fā)和售后服務(wù)成本可被規(guī)?；袌鏊?基本上可以忽略。

7) 適應(yīng)全球化生態(tài)環(huán)境

DHR構(gòu)造模式需要標(biāo)準(zhǔn)化、多樣化、多元化的軟硬構(gòu)件市場和業(yè)態(tài)的支持,而“開源社區(qū)”、全球化產(chǎn)業(yè)鏈等現(xiàn)代技術(shù)開發(fā)和生產(chǎn)組織方式恰好能起到自然的支撐作用。由于DHR構(gòu)造的泛化使用能夠提供更加強(qiáng)勁的多樣化市場需求,這也使得同質(zhì)異構(gòu)技術(shù)產(chǎn)品將不只是排他性的競爭關(guān)系。

一般來說,功能等價的軟硬構(gòu)件之間的技術(shù)成熟度必定存在差異,特別是產(chǎn)品初期階段或市場后來者。借助DHR構(gòu)造的高可靠容錯屬性和多模判決的定位功能,能快速發(fā)現(xiàn)擬態(tài)界內(nèi)新構(gòu)件產(chǎn)品的設(shè)計缺陷和性能弱點(diǎn)。預(yù)期可以實現(xiàn)以下三方面的效果: (1)用戶能夠不再為市場上缺乏成熟的多元化組件感到擔(dān)憂和煩惱; (2)因為“同質(zhì)異構(gòu)”需求的出現(xiàn),可以大大降低新產(chǎn)品供應(yīng)商進(jìn)入市場的門檻; (3)包容設(shè)計缺陷的特性可以大大減少設(shè)計階段系統(tǒng)驗證和確認(rèn)的時間及費(fèi)用,加快新品入市的進(jìn)程。

DHR雖然要求用功能等價的多元化或多樣化軟硬構(gòu)件搭建運(yùn)行環(huán)境,但并不苛求擬態(tài)界內(nèi)構(gòu)件本身的“無毒無菌”或“絕對可信”。這使得我們可以用一些在安全性方面不完全可控但功能、性能和成熟度較高的國內(nèi)外產(chǎn)品,與自主可控程度較高但先進(jìn)性或成熟性等方面尚存在差距的可信產(chǎn)品,采取混合配置或伴隨(可以是實時或準(zhǔn)實時)監(jiān)視的工作模式,用功能性能和安全性可靠性等方面的高低搭配來優(yōu)化應(yīng)用系統(tǒng)全壽命周期內(nèi)的成本結(jié)構(gòu)或經(jīng)濟(jì)性指標(biāo)。

8) 一體化的系統(tǒng)架構(gòu)

顯然,DHR構(gòu)造不僅具有很高的容錯能力,而且還能獨(dú)立地提供確定或不確定的威脅防御能力。這種創(chuàng)新架構(gòu)可以一體化地解決可靠、可信服務(wù)環(huán)境的魯棒性、柔韌性和安全性的問題。相對于附加或堆砌在專門的安全防御設(shè)施來保護(hù)網(wǎng)絡(luò)服務(wù)系統(tǒng)的方法,其三大能力融為一體,在部署上具有更佳的性價比或費(fèi)效比。

4 網(wǎng)絡(luò)空間擬態(tài)防御

4.1 目標(biāo)與路線

網(wǎng)絡(luò)空間擬態(tài)防御(Cyber Mimic Defense,CMD),以下簡稱“擬態(tài)防御”,旨在為解決網(wǎng)絡(luò)空間不同領(lǐng)域相關(guān)應(yīng)用層次上的基于未知漏洞、后門或病毒木馬等不確定性威脅,提供具有普適性的創(chuàng)新防御理論和方法。既能為關(guān)鍵網(wǎng)絡(luò)設(shè)施或核心信息裝備提供彈性化的或可重建的服務(wù)能力,也能以一體化的架構(gòu)技術(shù)提供獨(dú)立于傳統(tǒng)安全手段的內(nèi)生安全增益,或融合成熟的防御技術(shù)獲得超非線性的防御效果。期望在網(wǎng)絡(luò)空間營造一個與全球化時代技術(shù)和產(chǎn)業(yè)發(fā)展模式相適應(yīng),合作共贏和開源眾創(chuàng)相融合,非封閉、自主可控、可持續(xù)發(fā)展的新興生態(tài)環(huán)境。

CMD在技術(shù)上以融合多種主動防御要素為宗旨:以異構(gòu)性、多樣或多元性改變目標(biāo)系統(tǒng)的相似性、單一性; 以動態(tài)性、隨機(jī)性改變目標(biāo)系統(tǒng)的靜態(tài)性、確定性; 以異構(gòu)冗余多模裁決機(jī)制識別和屏蔽未知缺陷與未明威脅; 以高可靠性架構(gòu)增強(qiáng)目標(biāo)系統(tǒng)服務(wù)功能的柔韌性或彈性; 以系統(tǒng)的視在不確定屬性防御或拒止針對目標(biāo)系統(tǒng)的不確定性威脅。用基于DHR的一體化技術(shù)架構(gòu)集約化地實現(xiàn)上述目標(biāo)。

4.2 基本概念

CMD的基本概念可以簡單歸納為“五個一”: 一個公理,“人人都存在這樣或那樣的缺點(diǎn),但極少出現(xiàn)在獨(dú)立完成同樣任務(wù)時,多數(shù)人在同一個地方、同一時間、犯完全一樣錯誤的情形”; 一種架構(gòu),動態(tài)異構(gòu)冗余DHR架構(gòu); 一種運(yùn)行機(jī)制,“去協(xié)同化”條件下的多模裁決和多維動態(tài)重構(gòu)機(jī)制; 一個思想,“移動攻擊表面”(Moving Attack Surface,MAS)思想[13-15]; 一種非線性安全增益,純粹通過架構(gòu)內(nèi)生機(jī)理獲得的擬態(tài)防御增益(Mimic Defense Gain,MDG)。其目的是在功能等價、開放的多元化生態(tài)環(huán)境上,將復(fù)雜目標(biāo)系統(tǒng)自主可控問題轉(zhuǎn)化為功能相對單一的擬態(tài)括號之可控可信問題。

(1) 根據(jù)“給定功能和性能條件下,往往存在多種實現(xiàn)算法”公理,可證明這些實現(xiàn)方法的并集或交集運(yùn)算結(jié)果仍然滿足功能等價性要求。這意味著網(wǎng)絡(luò)空間基于未知漏洞、后門等不確定威脅的防御難題,能被異構(gòu)冗余機(jī)制轉(zhuǎn)化為可用概率描述的風(fēng)險防護(hù)問題。

(2) 借助MAS思想,CMD系統(tǒng)可以視為一種以攻擊者不可預(yù)測的方式部署多維度攻擊面的主動防御系統(tǒng)。由于各執(zhí)行體的構(gòu)造及環(huán)境存在時空維度上的多元異構(gòu)性,使得攻擊者(包括潛伏者)可以利用的資源在時空維度上存在不確定性,宏觀上表現(xiàn)為攻擊面總是在做不規(guī)則的移動。尤其對那些需要多步驟傳送數(shù)據(jù)包或回送數(shù)據(jù)包才能達(dá)成目的的攻擊任務(wù),其可達(dá)性前提幾乎無法保證。

(3) “去協(xié)同化”條件下的多模策略裁決和多維動態(tài)重構(gòu)機(jī)制,能將復(fù)雜系統(tǒng)攻擊表面的高難度高代價工程問題,轉(zhuǎn)變?yōu)榭臻g獨(dú)立的、功能簡單的“擬態(tài)括號”之軟硬部件攻擊表面的縮小問題。并且,能使異構(gòu)冗余體之間可能存在的顯性或隱性關(guān)聯(lián)性降至最低,給攻擊者造成非配合條件下的異構(gòu)多目標(biāo)動態(tài)協(xié)同攻擊困境。這使得自主可控的工程實現(xiàn)難度從全產(chǎn)業(yè)鏈“不得有安全短板”,降低到只需在個別環(huán)節(jié)或關(guān)鍵部件“嚴(yán)防死守”即可。

(4) 擬態(tài)防御架構(gòu)的安全增益MDG是“內(nèi)生”的,與現(xiàn)有的安全防護(hù)技術(shù),如加密認(rèn)證、防火墻過濾、查毒殺毒、木馬清除等入侵檢測、預(yù)防、隔離和清除措施,在機(jī)理上無依賴關(guān)系,漏洞修補(bǔ)、后門封堵或惡意代碼清除等傳統(tǒng)的增量修補(bǔ)手段只是作為穩(wěn)定防御效果的補(bǔ)充性措施且無實時性要求。但是,融合使用這些安全技術(shù)可使目標(biāo)對象的防御能力獲得超非線性提高。

4.3 擬態(tài)防御界

MDB內(nèi)包含若干組定義規(guī)范、協(xié)議嚴(yán)謹(jǐn)?shù)姆?wù)(操作)功能。通過這些標(biāo)準(zhǔn)化協(xié)議或規(guī)范的一致性或符合性測試,可判定多個異構(gòu)(復(fù)雜度不限的)執(zhí)行體在給定服務(wù)(操作)功能上甚至性能上的等價性。即通過擬態(tài)界面的輸入輸出關(guān)系的一致性測試可以研判功能執(zhí)行體間的等價性,包括給定的異常處理功能或性能的一致性。擬態(tài)界面所定義功能的完整性、有效性和安全性是擬態(tài)防御有效性的前提條件,界面未明確定義的功能(操作)不屬于擬態(tài)防御的范圍(但也可能存在衍生的保護(hù)效應(yīng))。換句話說,如果攻擊行動未能使輸出矢量不一致時,擬態(tài)機(jī)制不會做出反應(yīng)。因此,合理設(shè)置、劃分或選擇擬態(tài)防御界在工程實現(xiàn)上就非常關(guān)鍵。

需要特別強(qiáng)調(diào)的是,擬態(tài)界外的安全問題不屬于擬態(tài)防御的范圍。例如,由釣魚、在服務(wù)軟件中捆綁惡意功能、在跨平臺解釋執(zhí)行文件中推送木馬病毒代碼、通過用戶下載行為攜帶有毒軟件等不依賴擬態(tài)界內(nèi)未知漏洞或后門等因素而引發(fā)的安全威脅,擬態(tài)防御效果不確定。

4.4 擬態(tài)防御等級

(1) 完全屏蔽級

如果給定的擬態(tài)防御界內(nèi)受到來自外部的入侵或“內(nèi)鬼”的攻擊,所保護(hù)的功能、服務(wù)或信息未受到任何影響,并且攻擊者無法對攻擊的有效性作出任何評估,猶如落入“信息黑洞”,稱為完全屏蔽級,屬于擬態(tài)防御的最高級別。

(2) 不可維持級

給定的擬態(tài)防御界內(nèi)如果受到來自內(nèi)外部的攻擊,所保護(hù)的功能或信息可能會出現(xiàn)概率不確定、持續(xù)時間不確定的“先錯后更正”或自愈情形。對攻擊者來說,即使達(dá)成突破也難以維持或保持攻擊效果,或者不能為后續(xù)攻擊操作給出任何有意義的鋪墊,稱為不可維持級。

(3) 難以重現(xiàn)級

給定的擬態(tài)防御界內(nèi)如果受到來自內(nèi)外部的攻擊,所保護(hù)的功能或信息可能會出現(xiàn)不超過t時段的“失控情形”,但是重復(fù)這樣的攻擊卻很難再現(xiàn)完全相同的情景。換句話說,相對攻擊者而言,達(dá)成突破的攻擊場景或經(jīng)驗不具備可繼承性,缺乏時間維度上可規(guī)劃利用的價值,稱為難以重現(xiàn)級。

原則上可以定義更多的防御等級以適應(yīng)不同應(yīng)用場景對安全性與實現(xiàn)代價的綜合需求。其中,給攻擊行動造成的不同程度的不確定性則是擬態(tài)防御的核心。不可感知性使得攻擊者在攻擊鏈的各個階段都無法獲得防御方的有效信息; 不可保持性使得攻擊鏈?zhǔn)タ衫玫姆€(wěn)定性; 不可再現(xiàn)性使得基于探測或攻擊積淀的經(jīng)驗,難以作為先驗知識在后續(xù)攻擊任務(wù)中加以利用等。

4.5 適用域

在具有函數(shù)化的輸入輸出關(guān)系或滿足IPO模型的條件下,用來解決服務(wù)的功能、性能和重要信息資源必須顯性、健壯提供的問題; 對初始投資或產(chǎn)品價格不敏感; 空間或功耗條件可接受,且存在標(biāo)準(zhǔn)或可歸一化的功能接口與協(xié)議規(guī)范,并具備多元或多樣化處理條件; 對系統(tǒng)或裝置的可靠性與可用性存在傳統(tǒng)安全性和網(wǎng)絡(luò)空間非傳統(tǒng)安全雙重要求的場合。

需要指出的是,在滿足上述條件下,凡是目標(biāo)算法確定且存在其他等價算法的應(yīng)用場合都適合實施擬態(tài)防御。即使諸如科學(xué)計算類的課題或者工業(yè)控制領(lǐng)域中的應(yīng)用,由于功能等價的不同算法之間的結(jié)果精度可能存在差異(如精確到小數(shù)點(diǎn)后幾位),或者控制量的值域是一個范圍,也可以采用“精度掩碼”或“預(yù)期范圍”等策略的判定方式進(jìn)行多模裁決

5 測試與評估[12]

5.1 背景情況

受國家科技部高新技術(shù)發(fā)展及產(chǎn)業(yè)化司委托,上海市科委先后組織國內(nèi)網(wǎng)絡(luò)通信和安全領(lǐng)域一流科研院所、高等院校和知名企業(yè)的21名院士和110余名同行專家,對擬態(tài)防御理論和驗證系統(tǒng)進(jìn)行測試評估。主要目的是測試“web服務(wù)器擬態(tài)防御原理驗證系統(tǒng)”、“路由器擬態(tài)防御原理驗證系統(tǒng)”的安全功能、性能等是否達(dá)到設(shè)計預(yù)期,為評估“擬態(tài)防御理論的正確性、有效性及工程實現(xiàn)的可行性”提供依據(jù)。

2016年1月下旬至4月下旬為測試階段。由來自國家信息技術(shù)安全研究中心、中國信息通信研究院、中科院信息工程研究所、軍委裝備發(fā)展部第六十一研究所、上海交通大學(xué)、浙江大學(xué)、北京奇虎科技有限公司、啟明星辰信息安全技術(shù)有限公司、安天科技股份有限公司等 9家單位優(yōu)勢測試團(tuán)隊的45名同行專家,依據(jù)國家或行業(yè)相關(guān)標(biāo)準(zhǔn)、規(guī)范和擬態(tài)防御原理,論證制定了測試驗證方案,并進(jìn)行了三輪聯(lián)合測試,其中,眾測103項194例、互聯(lián)網(wǎng)滲透測試10項10例。

2016年5月7日進(jìn)入總結(jié)評估階段。上海市科委召開了擬態(tài)防御原理驗證系統(tǒng)測試情況評估會,測試組匯報了測試工作組織實施情況和測試結(jié)論,CMD聯(lián)合研發(fā)團(tuán)隊做了測試數(shù)據(jù)分析報告。2016年5月 29日,科技部高新司、中國工程院信息與電子工程學(xué)部和上海市科委,在北京聯(lián)合召開了擬態(tài)防御原理暨應(yīng)用實踐研討會。參與測試評估工作的同行專家以通信方式經(jīng)過充分評議和修改,于2016年8月正式形成《擬態(tài)防御原理驗證系統(tǒng)測評意見》。

5.2 測試概況

聯(lián)合測試團(tuán)隊,在確認(rèn)提交的受測系統(tǒng)本征功能和性能滿足國家或行業(yè)標(biāo)準(zhǔn)且測試驗證全過程可保持的前提下,通過擬態(tài)及非擬態(tài)模式對比方式驗證CMD防御的有效性,通過滲透測試驗證CMD對各種滲透攻擊的防御能力,通過“白盒”及“配合植入”后門或病毒木馬等開放式測試手段,檢驗 CMD構(gòu)造在“去協(xié)同化”條件下的協(xié)同攻擊難度。

受測對象之一,web服務(wù)器擬態(tài)防御原理驗證系統(tǒng),共完成7類70項161例測試驗證。內(nèi)容包括功能測試、HTTP1.1 協(xié)議一致性測試、安全性測試、接入測試、性能測試、兼容一致性測試和互聯(lián)網(wǎng)滲透等測試驗證。

受測對象之二,路由器擬態(tài)防御原理驗證系統(tǒng),共完成6類43項43例測試驗證。內(nèi)容包括安全性測試、OSPF協(xié)議功能測試、性能測試和互聯(lián)網(wǎng)滲透等測試驗證。

5.3 初步結(jié)論

受測系統(tǒng)是擬態(tài)防御理論與方法的成功實踐。在滿足通用web服務(wù)器和專用路由器功能、性能標(biāo)準(zhǔn)要求的同時,實現(xiàn)了基于異構(gòu)冗余多維動態(tài)重構(gòu)的主動防御機(jī)制,即CMD機(jī)制,能夠獨(dú)立且有效地應(yīng)對或抵御MDB內(nèi)基于漏洞、后門等的已知風(fēng)險或不確定威脅,其疊加與迭代效應(yīng)能夠非線性地增加目標(biāo)對象的攻擊難度。已作的測試驗證表明,受測系統(tǒng)達(dá)到擬態(tài)防御理論預(yù)期。

“灰盒和白盒”測試驗證結(jié)果表明,現(xiàn)有的掃描探測、漏洞利用、后門設(shè)置、病毒注入、木馬植入乃至APT等攻擊手段和方法,對MDB內(nèi)受保護(hù)對象沒有預(yù)期的作用和可信效力。

綜合測試分析表明,在功能等價異構(gòu)冗余的多維動態(tài)重構(gòu)機(jī)制作用下,MDB內(nèi)幾乎不可能實現(xiàn)可靠、持續(xù)的協(xié)同逃逸。同時,CMD機(jī)制還具有大幅度降低系統(tǒng)全壽命周期內(nèi)專用安全設(shè)施的更新升級代價、防護(hù)實時性要求、版本同步更新頻度等綜合優(yōu)勢。在產(chǎn)業(yè)鏈開放的全球化生態(tài)環(huán)境中,使得利用“有毒帶菌”構(gòu)件實現(xiàn)可管可控的信息系統(tǒng)成為可能,給基于“后門工程和隱匿漏洞”等攻勢戰(zhàn)略帶來顛覆性影響。

測試驗證還表明,擬態(tài)防御不僅具有顯著的安全功效,同時還能夠提供期望的服務(wù)功能與高可靠的應(yīng)用場景,并能自然地繼承和接納網(wǎng)絡(luò)安全與信息化領(lǐng)域的科技成果。普適性的系統(tǒng)架構(gòu)開辟了內(nèi)生防御理論和技術(shù)研究新方向,基于“不對稱”優(yōu)勢為網(wǎng)絡(luò)空間“自主可控”戰(zhàn)略探索出克服瓶頸問題的新途徑,具有“改變游戲規(guī)則”的重要意義。

理論預(yù)期和測試驗證顯示,非MDB內(nèi)的安全問題,如基于網(wǎng)絡(luò)協(xié)議、服務(wù)功能算法等設(shè)計缺陷,或利用社會工程學(xué)方法和手段等實施的攻擊,CMD亦有程度不同的防護(hù)效果。

6 總結(jié)與展望

CMD為用系統(tǒng)架構(gòu)技術(shù)解決了MDB內(nèi)基于未知漏洞、后門或病毒木馬等不確定威脅,提供了“改變游戲規(guī)則”的新途徑。CMD的內(nèi)生安全增益既能獨(dú)立于傳統(tǒng)的安全防御手段,也能很好地綜合后者的優(yōu)勢; 其開放性與安全性的完美結(jié)合將促進(jìn)全球化進(jìn)程向深度廣度發(fā)展; 其系統(tǒng)構(gòu)造具有普適性,能夠集約化地實現(xiàn)網(wǎng)絡(luò)服務(wù)、可靠性保障與安全防御等功能。

[1] Knight,Hyneman F. “Risk,uncertainty and profit.” Houghton Mifflin Company,1921.

[2] Kocher P C. “Timing attacks on implementations of Diffie-Hellman,RSA,DSS,and other systems.” Advances in Cryptology. pp. 104-113,1999.

[3] Liu,Fangfei,et al. “Last-level cache side-channel attacks are practical.” In Security and Privacy (S&P’ 15),pp. 605-622,2015.

[4] “Mimic octopus”. Wikipedia,the Free Encyclopedia. https://en. wikipedia.org/wiki/Mimic_octopus.

[5] Voas J,Ghosh A,Charron F,et al. “Reducing uncertainty about common-mode failures.” In Proc. IEEE Symp. Software Reliability Engineering (SRE’ 97),pp. 308-319,1997.

[6] Levitin G. “Optimal structure of fault-tolerant software systems.”Reliability Engineering & System Safety,vol. 89,no. 3,pp. 286-295,2005.

[7] Yeh Y C B. “Triple-triple redundant 777 primary flight computer.”In Proc. Aerospace Applications Conference (AAC’ 96),pp. 293-307,1996.

[8] Denning D E. “An intrusion-detection model.” IEEE Transactions on Software Engineering,vol. 13,no. 2,pp. 222-232,1987.

[9] Kreibich C,Crowcroft J. “Honeycomb: creating intrusion detectionsignatures using honeypots.”ACM Sigcomm Computer Communication Review,vol. 34,no. 1,pp. 51-56,2015.

[10] Pal P,Webber F,Schantz R E,et al. “Intrusion tolerant systems,” InProc. IEEE. Information Survivability Workshop (ISW-2000). pp. 24-26,2000.

[11] Nguyen Q L,Sood A. “A comparison of intrusion-tolerant system architectures.”Security & Privacy IEEE,vol. 9,no. 4,pp. 24-31,2011.

[12] 上海市科學(xué)技術(shù)委員會給國家科技部高新技術(shù)發(fā)展及產(chǎn)業(yè)化司的專題報告,“擬態(tài)防御原理驗證系統(tǒng)測試評估工作情況匯總”,2016. 8

[13] Jajodia S,Ghosh A K,Swarup V,et al. “Moving target defense.”Springer,2011.

[14] Manadhata P K,Wing J M. “An attack surface metric.”Software Engineering IEEE Transactions on,vol. 37,no. 3,pp. 371-386,2011.

[15] Manadhata P K. “Game theoretic approaches to attack surface shifting.” Moving Target Defense II.Springer,2013.

Research on Cyber Mimic Defense

WU Jiangxing

National Digital Switching System Engineering & Technological R&D Center,Zhengzhou 450001,China

The unbalance in cyber security and its root is analyzed in this paper,of which a dynamically redundant heterogeneity architecture and the basic principle to compose an information system of high reliability and high security level with unreliable hardware is mainly discussed. Then,basic concepts about mimic defense is briefly stated. Finally,a test evaluation and preliminary conclusion about the system of mimic defense verification is presented.

Cyber security; unbalance; unknown bug and backdoor; mimic defense; dissimilar redundancy; dynamically redundant heterogeneity; test and evaluation

鄔江興,現(xiàn)在國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心主任,教授,博導(dǎo)。研究領(lǐng)域為信息通信網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。Email: 17034203@qq.com

TP309.1 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.04.001

2016-05-06;

2016-09-26

本文工作受到國家自然科學(xué)基金創(chuàng)新研究群體項目(No.61521003)和國家重點(diǎn)研發(fā)計劃項目(Nos. 2016YFB0800100,2016YFB0800101)支持。