◎上海戎磐網(wǎng)絡(luò)科技有限公司CTO 章麗娟

11月16日，在第十九期錢學(xué)森論壇暨2019長(zhǎng)沙空間信息產(chǎn)業(yè)國(guó)際博覽會(huì)空間信息安全分論壇上，上海戎磐網(wǎng)絡(luò)科技有限公司CTO章麗娟作了題為《軟件基因——賦能空間信息安全，助力數(shù)字產(chǎn)業(yè)發(fā)展》的主題報(bào)告。章總指出，不同于傳統(tǒng)特征檢測(cè)方法僅可解決個(gè)體識(shí)別、缺乏廣度識(shí)別能力等問(wèn)題，軟件基因方法通過(guò)基因分析，研究并構(gòu)建軟件基因家族及其背后的黑客家族，以此作為病毒或惡意代碼判定的依據(jù)，實(shí)現(xiàn)從精度的個(gè)體識(shí)別向廣度的群體識(shí)別的邁進(jìn)，真正實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)化。

一、網(wǎng)絡(luò)空間并非想象的那么安全

當(dāng)前，嚴(yán)峻的信息安全形勢(shì)已經(jīng)到了眾所周知的境地。幾個(gè)案例更能直觀地體現(xiàn)這種嚴(yán)峻的形勢(shì)。上個(gè)月，在上海的一場(chǎng)黑客大賽上，一些國(guó)內(nèi)頂尖的黑客技術(shù)研究團(tuán)隊(duì)，做了一些最新的黑客技術(shù)展示，他們展示的能力包括：無(wú)線網(wǎng)絡(luò)內(nèi)部盜取密碼，投屏設(shè)備遠(yuǎn)程控制，照明設(shè)備劫持，指紋盜取驗(yàn)證及AI識(shí)別對(duì)抗。這些都是我們生活中最常見(jiàn)的一些應(yīng)用場(chǎng)景。再舉兩個(gè)例子。第一個(gè)是對(duì)抗攝像頭識(shí)別的攻擊實(shí)驗(yàn)。演示者拿著一張A4紙大小的圖片，神奇的是，當(dāng)演示者舉著這張通過(guò)人眼完全看不出任何含義的圖片站在攝像頭前的時(shí)候，在視頻框已經(jīng)完全顯示不出這位演示者了，這就實(shí)現(xiàn)了隱身和欺騙的作用。第二個(gè)有趣的例子是靜態(tài)的圖像識(shí)別，也是基于AI技術(shù)的。演示者拿著黃健翔的圖片來(lái)做演示，這張黃健翔的靜態(tài)圖片背后的代碼是被篡改的。圖片上，黃健翔手里拿著一個(gè)足球，站在寶馬車旁。雖然圖片背后的代碼是被改掉的，但是通過(guò)我們?nèi)搜劭雌饋?lái)還是原來(lái)的圖片。當(dāng)這樣一張圖片輸入到我們圖片識(shí)別系統(tǒng)里的時(shí)候，卻被識(shí)別成了伊萬(wàn)卡拿著女士提包走在直升機(jī)旁。以上案例給我們一個(gè)直觀的感受：我們一直都在使用一些智能化設(shè)備，可能它真的沒(méi)有我們想象的那么安全。

二、網(wǎng)絡(luò)空間的對(duì)抗實(shí)質(zhì)上是代碼和代碼、軟件和軟件之間的博弈和較量

實(shí)際上，作為一個(gè)攻擊者，想要去攻擊一個(gè)信息系統(tǒng)，只需要找到其中的一個(gè)脆弱點(diǎn)或突破口，就能夠成功實(shí)現(xiàn)攻擊。如果要做安全防御，將是一個(gè)規(guī)模非常龐大的系統(tǒng)工程。那么這樣一個(gè)系統(tǒng)工程，什么是里面根本性的核心問(wèn)題？美國(guó)斯坦福大學(xué)法學(xué)院教授勞倫斯·萊斯格（Lawrence Lessig）給了我們一個(gè)很好的啟示。他在《代碼：塑造網(wǎng)絡(luò)空間的法律》這本書(shū)中闡釋了這樣一個(gè)核心觀點(diǎn)：網(wǎng)絡(luò)空間中的法律和規(guī)則是通過(guò)什么樣的代碼和軟件來(lái)創(chuàng)造和約束的。所以，軟件和代碼是塑造網(wǎng)絡(luò)空間運(yùn)轉(zhuǎn)規(guī)則的核心要素。當(dāng)前，網(wǎng)絡(luò)空間已成為除陸?？仗熘獾牡谖寰S空間，錢學(xué)森先生多年前曾經(jīng)將“Cybernetic”譯為“控制論”，其實(shí)，“Cyberspace”也有控制的意思，它是指通過(guò)網(wǎng)絡(luò)或者軟件代碼來(lái)控制操縱空間?，F(xiàn)在越來(lái)越多的物理空間，包括人的大腦和人的思維，從各種物理節(jié)點(diǎn)中所產(chǎn)生的數(shù)據(jù)都在網(wǎng)絡(luò)化、軟件化，勢(shì)必會(huì)帶來(lái)如何監(jiān)管、管理、認(rèn)知軟件和代碼的安全性的問(wèn)題。

攻擊者使用軟件和代碼進(jìn)行網(wǎng)絡(luò)攻擊，防御者也在對(duì)軟件和代碼進(jìn)行防御，本質(zhì)上來(lái)看，網(wǎng)絡(luò)空間的對(duì)抗實(shí)際上就是代碼和代碼、軟件和軟件之間的博弈和較量。從一個(gè)比較通用的攻擊鏈來(lái)看，不管是目標(biāo)偵查、武器生產(chǎn)、突破防守、安插植入、指揮控制以及最后的目標(biāo)實(shí)現(xiàn)，實(shí)際上每一個(gè)攻擊鏈路背后操縱的都是人，但是真正發(fā)揮作用的都必須是工具，必須是軟件和代碼。

三、軟件開(kāi)發(fā)模式?jīng)Q定其所帶有的遺傳性和變異性，是用基因方式了解和認(rèn)知軟件的基礎(chǔ)

現(xiàn)在的問(wèn)題在于：已經(jīng)有很多種傳統(tǒng)的防御設(shè)備和防御手段了，為什么還是不能完全解決網(wǎng)絡(luò)安全問(wèn)題？網(wǎng)絡(luò)安全防御的瓶頸和問(wèn)題在哪里？從被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變，有很多安全策略，但有一個(gè)問(wèn)題是需要去解決的，即：傳統(tǒng)防護(hù)設(shè)備對(duì)80%的未知惡意代碼是難以及時(shí)有效發(fā)現(xiàn)和處理的。黑客不斷編寫新代碼，稱之為代碼的變種。你不是查殺了我的代碼了嗎？我可以把我的代碼簡(jiǎn)單改造，來(lái)繞過(guò)你的查殺，那就成了新的變種。實(shí)際上改造代碼需要花費(fèi)的代價(jià)是很小的，但卻可以達(dá)到攻擊的目的。改造后的代碼，對(duì)傳統(tǒng)防護(hù)設(shè)備而言是未知的，因此也無(wú)法檢測(cè)、發(fā)現(xiàn)和處理。這該怎么辦？我覺(jué)得最重要的就是如何去認(rèn)知網(wǎng)絡(luò)空間里面最重要的軟件，應(yīng)該從對(duì)軟件的認(rèn)知上去做一些工作。

怎么認(rèn)識(shí)軟件呢？這是一個(gè)最重要的問(wèn)題。簡(jiǎn)單來(lái)說(shuō)，軟件有多大，有什么功能。再?gòu)?fù)雜一點(diǎn)，軟件是怎么編譯的，它用什么語(yǔ)言編寫的，這都是來(lái)衡量它的不同維度。也有一些國(guó)外的學(xué)者把軟件當(dāng)作一個(gè)藝術(shù)品，這是從編程的設(shè)計(jì)角度上來(lái)考慮的。直到我們看到這樣的觀點(diǎn)：軟件是個(gè)有機(jī)體，覺(jué)得有一些靈感了。即：軟件跟生物一樣，它的生命力是來(lái)自于自身迭代發(fā)展的。如果軟件不再迭代發(fā)展了，它可能就失去了生命力和存在的價(jià)值。這對(duì)惡意代碼、惡意軟件和正常軟件都適用，它們都在不停地更新、打補(bǔ)丁，不停地去提升自身的能力。其次，在軟件開(kāi)發(fā)過(guò)程中，普遍存在復(fù)用、調(diào)用、借鑒、引用其它代碼及插件的情況。因?yàn)楝F(xiàn)在軟件開(kāi)發(fā)的規(guī)模越來(lái)越大了，開(kāi)發(fā)的智能程度也越來(lái)越高了，所以開(kāi)發(fā)者會(huì)用各種方式來(lái)提高開(kāi)發(fā)效率，減少開(kāi)發(fā)的技術(shù)難度。上述軟件開(kāi)發(fā)模式?jīng)Q定了軟件帶有遺傳性和變異性，這種特點(diǎn)是我們用基因方式去了解軟件、認(rèn)知軟件的基礎(chǔ)。

其實(shí)，在軟件仿生學(xué)方面已經(jīng)有很多人在做了，尤其是美國(guó)軍方。2007年3月，維基解密曝光大量美國(guó)CIA網(wǎng)絡(luò)武器庫(kù)，其中的Umbrage項(xiàng)目通過(guò)收集大量公開(kāi)的黑客工具、攻擊技術(shù)、泄露數(shù)據(jù)等信息，通過(guò)模仿、混淆等方法生成新工具，發(fā)起迷惑對(duì)手、嫁禍于人、隱藏自己的網(wǎng)絡(luò)攻擊，有一定“基因混淆”的思想。2010年，美國(guó)DARPA（國(guó)防高級(jí)研究計(jì)劃局）發(fā)布了一項(xiàng)研究計(jì)劃，面向社會(huì)召集能夠承擔(dān)軟件DNA方向的信息安全領(lǐng)域研究的科研機(jī)構(gòu)和企業(yè)。這些研究項(xiàng)目的研究成果我們不得而知，但是其研究思路和方式已經(jīng)開(kāi)始向軟件基因方向探索了，我國(guó)應(yīng)在這個(gè)方向上同步開(kāi)展研究。此外，國(guó)外一些研究人員近年來(lái)提出針對(duì)軟件的胎記（Birth Mark）識(shí)別，主要基于擁有源碼的軟件檢測(cè)，用于對(duì)軟件的知識(shí)產(chǎn)權(quán)檢測(cè)，而非信息安全。也給了我們一些可借鑒的思想。

軟件基因既然是仿生學(xué)的一種，就需要看看人類是如何了解和認(rèn)知生物的。實(shí)際上，生物的認(rèn)知方式有很多種，解剖學(xué)解決了從結(jié)構(gòu)上的認(rèn)知，分子生物學(xué)從微觀上實(shí)現(xiàn)了認(rèn)知，而“基因”則實(shí)現(xiàn)了對(duì)生命的基本構(gòu)造和性能的認(rèn)知。通過(guò)“基因”來(lái)了解和認(rèn)知生物給了我們一個(gè)很大的啟示，可以不同于傳統(tǒng)認(rèn)知方式，通過(guò)特征的提取和識(shí)別來(lái)實(shí)現(xiàn)對(duì)生物個(gè)體的了解和認(rèn)知?；虺霈F(xiàn)以后解決的是種群、群體問(wèn)題，它解決的是什么東西是一代一代遺傳的。

認(rèn)識(shí)生物如此，認(rèn)識(shí)軟件也可以借鑒“基因”的視角。這里面有兩個(gè)基本假設(shè)。一是同源未必相似，相似未必同源。這是什么意思呢？同源未必相似，即：一個(gè)人或者同一個(gè)團(tuán)隊(duì)，要去開(kāi)發(fā)一款軟件，每個(gè)人都有自己的歷史代碼和編碼習(xí)慣，因此，同樣的功能由不同的人編寫出來(lái)，從基因角度看是完全不同的。此外，同一個(gè)團(tuán)隊(duì)用同一種編碼習(xí)慣編出來(lái)的代碼，由于功能不同，代碼擁有不同的特征，從特征角度來(lái)看代碼是不一樣的，但是實(shí)際上它們來(lái)自于同一個(gè)團(tuán)隊(duì)。相似未必同源，就是說(shuō)雖然是同樣的特征和功能，但由于不是同一個(gè)團(tuán)隊(duì)開(kāi)發(fā)的，因此從基因角度來(lái)看，實(shí)際上它們是不一樣的。這一假設(shè)是從基因?qū)W角度上研究軟件的基礎(chǔ)。第二個(gè)基本假設(shè)是：兼具“遺傳性”與“變異性”。即：同一個(gè)團(tuán)隊(duì)或同一個(gè)人用同一種編碼習(xí)慣，寫出來(lái)的代碼會(huì)不斷地改進(jìn)和變異，改進(jìn)和變異之后還會(huì)遺傳一些非常根本性的東西，這是進(jìn)行種群分析的核心。

四、特征檢測(cè)解決的是個(gè)體識(shí)別的問(wèn)題，而軟件基因則解決的是群體識(shí)別的問(wèn)題

為什么要提軟件基因和特征檢測(cè)不同呢？因?yàn)橛泻芏嗳藭?huì)問(wèn)：把傳統(tǒng)的檢測(cè)設(shè)備定義成特征檢測(cè)，新型的檢測(cè)設(shè)備定義成基因檢測(cè)，它們到底有什么不同呢？還是軟件基因只是一個(gè)特殊的特征？對(duì)此，我們做了自己的提煉和總結(jié)：特征檢測(cè)解決的是個(gè)體識(shí)別的問(wèn)題，而軟件基因則解決的是群體識(shí)別的問(wèn)題。如：運(yùn)用特征檢測(cè)方法，一個(gè)病毒過(guò)來(lái)，由安全分析人員去提取它的一些代碼特征，一般都是靜態(tài)數(shù)據(jù)，這樣就可以高效地查殺它，但查殺的只是一個(gè)個(gè)體，提交了一個(gè)就是一個(gè)，所以它是個(gè)體識(shí)別的問(wèn)題。個(gè)體識(shí)別局限于真的要知道它是誰(shuí)，然后才能提取它的特征，它再來(lái)的時(shí)候就能認(rèn)識(shí)它，跟公安機(jī)關(guān)錄指紋、錄視頻、采血是一樣的道理，它的廣度識(shí)別能力實(shí)際上是沒(méi)有的。這就導(dǎo)致它有一個(gè)致命缺陷，即：首次來(lái)攻擊的病毒或惡意代碼是很難及時(shí)發(fā)現(xiàn)的。而運(yùn)用軟件基因方法，即使是首次來(lái)攻擊的病毒或惡意代碼，通過(guò)基因分析便可知道是跟某個(gè)組織有關(guān)聯(lián)，這就可以成為病毒或惡意代碼判定的依據(jù)，實(shí)現(xiàn)從精度的個(gè)體識(shí)別向廣度的群體識(shí)別去的邁進(jìn)，真正實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)化。軟件基因和特征檢測(cè)并非要比誰(shuí)優(yōu)誰(shuí)劣，誰(shuí)要替代誰(shuí)，它們都有自己的優(yōu)勢(shì)，所以未來(lái)二者應(yīng)該是并行發(fā)展的，它們可以在同一個(gè)監(jiān)測(cè)系統(tǒng)里發(fā)揮更好的作用。

軟件基因到底是什么？它并不是憑空想象出來(lái)的，它原本就是二進(jìn)制里存在的東西。我們把軟件基因定義為：攜帶軟件遺傳信息的代碼片段，它用OPCODE表示，是遺傳信息的最小單位，是控制軟件功能的基本遺傳單位。軟件基因有6個(gè)基本特點(diǎn)：變異性、穩(wěn)定性、原子性、表意性、中立性、統(tǒng)一性。實(shí)際上，一個(gè)軟件可以提取出多個(gè)不同的基因片斷，它們?cè)谶壿嬌匣ハ嘁蕾?。但并不是所有二進(jìn)制片斷都是基因，需要去分析這樣的片斷是否具備遺傳性和功能性表達(dá)。

在軟件基因家族研究上，我們長(zhǎng)期跟蹤了惡意的代碼及其背后的黑客組織。目前，我們已經(jīng)構(gòu)建了一百多個(gè)黑客家族。這可以很好地幫助我們識(shí)別APT和有組織的、有國(guó)家背景的網(wǎng)絡(luò)犯罪。在我們的客戶中，有很多醫(yī)療、軍隊(duì)等行業(yè)的，他們號(hào)稱防護(hù)措施已經(jīng)做得很好了，然后還在物理隔離的網(wǎng)絡(luò)被勒索病毒入侵，這都是我們要去關(guān)注的地方。這使我們覺(jué)得軟件基因技術(shù)可以很好地為國(guó)家網(wǎng)絡(luò)空間戰(zhàn)略安全去提供服務(wù)的優(yōu)勢(shì)。因?yàn)樗腔緳z測(cè)能力的提升，它很基礎(chǔ)，所以可以結(jié)合現(xiàn)有的各種客戶、各行業(yè)的信息安全解決方案，包括大數(shù)據(jù)方案、云端解決方案等等。軟件基因技術(shù)可以跟大家的產(chǎn)品和解決方案進(jìn)行很好的融合和賦能，能夠打造一個(gè)更加強(qiáng)有力的安全方案。

軟件基因本身跟傳統(tǒng)的特征檢測(cè)不一樣。因?yàn)樘卣鳈z測(cè)庫(kù)是來(lái)一個(gè)惡意樣本，就要提取一下它的特征，然后導(dǎo)入到庫(kù)里面，以后再來(lái)一個(gè)樣本時(shí)，讓它在特征庫(kù)里匹配一遍，才能識(shí)別出來(lái)它是誰(shuí)。問(wèn)題就是，未來(lái)越發(fā)展，特征庫(kù)就會(huì)越龐大，龐大到一定程度，終端設(shè)備都很難儲(chǔ)存，終端或者邊緣計(jì)算的性能都很難支撐的情況下該怎么辦？可以用云計(jì)算、云查殺。但是，如果有些環(huán)境是不允許遠(yuǎn)程連接云的，該怎么辦？這就導(dǎo)致了隔離的物理網(wǎng)絡(luò)里面病毒很難及時(shí)發(fā)現(xiàn)，其實(shí)這也是一個(gè)痛點(diǎn)。因此，軟件基因技術(shù)的應(yīng)用可以很好地避免這個(gè)問(wèn)題，因?yàn)樗ヅ涞膶?duì)象不是特征規(guī)則，它匹配的是家族。我們經(jīng)過(guò)幾年的研究，也不過(guò)是建立了一百多個(gè)家族的模型，這是我們自己學(xué)習(xí)訓(xùn)練之后得到的，所以它不會(huì)無(wú)限制地、規(guī)模化地增長(zhǎng)，在物聯(lián)網(wǎng)、邊緣計(jì)算等新興應(yīng)用領(lǐng)域可以提供很好的服務(wù)。

軟件基因是一個(gè)比較新的技術(shù)和方向，還有很多問(wèn)題，需要大家共同去探討和研究，希望大家可以共同把這個(gè)技術(shù)更好地應(yīng)用在信息安全的服務(wù)和保障中。