丁朝暉，張偉，楊國(guó)玉

(中國(guó)大唐集團(tuán)科學(xué)技術(shù)研究院，北京 100043)

0 引言

在當(dāng)今信息化的時(shí)代，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、人工智能、工業(yè)控制系統(tǒng)等新技術(shù)的出現(xiàn)使得人們的生活變得更加便利和舒適，這些新技術(shù)正在迅速占領(lǐng)著人類社會(huì)的方方面面，其所應(yīng)用領(lǐng)域不僅深刻影響著人們的日常生活，而且關(guān)系到各個(gè)國(guó)家的命脈。與此同時(shí)，網(wǎng)絡(luò)空間的安全問題不容忽視，新技術(shù)應(yīng)用的規(guī)模越龐大，網(wǎng)絡(luò)空間的安全問題越嚴(yán)峻，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)空前巨大[1]。而且，隨著新技術(shù)應(yīng)用的深入，越來越多的安全問題是未知的，帶來的影響也是未知，這種“未知的未知風(fēng)險(xiǎn)”如同達(dá)摩克利斯之劍，隨時(shí)都有爆發(fā)的可能。為此，突破目前靜態(tài)、被動(dòng)的安全防御技術(shù)的局限性，研究動(dòng)態(tài)、主動(dòng)的安全防御系統(tǒng)已成為網(wǎng)絡(luò)安全領(lǐng)域重要的研究方向。

1 網(wǎng)絡(luò)安全現(xiàn)狀分析

從網(wǎng)絡(luò)安全的整體情況來看，有兩個(gè)方面的安全難題一直困擾著網(wǎng)絡(luò)安全防御者。一方面，暴露在互聯(lián)網(wǎng)上的安全漏洞和后門不計(jì)其數(shù)，絕大多數(shù)漏洞和后門是未知的。迄今為止，尚未形成窮盡復(fù)雜信息系統(tǒng)漏洞和徹查后門的理論與方法。從網(wǎng)絡(luò)防御者角度來看，攻擊者利用未知漏洞或后門實(shí)施的攻擊具備極強(qiáng)的隱蔽性，防御者無法知曉攻擊者經(jīng)過何種途徑、通過什么方法進(jìn)入被防御系統(tǒng)。因此，防御者使用當(dāng)前的技術(shù)手段無法有效防御這種未知的威脅。另一方面，在信息技術(shù)全球化的今天，系統(tǒng)中各種軟硬件的設(shè)計(jì)與開發(fā)過程中，不可能做到毫無瑕疵，出現(xiàn)缺陷、漏洞或后門的概率極大，而且隨著時(shí)間的推移，還會(huì)暴露出更多更嚴(yán)重的缺陷、漏洞或后門[2]。

就算這些缺陷、漏洞和后門能被防御者所探測(cè)或感知。但是，由于種種原因無法將全部缺陷、漏洞和后門完全修復(fù)，這也造成了傳統(tǒng)的安全掃描和滲透測(cè)試技術(shù)難以完全發(fā)揮其作用，無法實(shí)現(xiàn)對(duì)已知缺陷、漏洞和后門的完全修復(fù)和清除。

目前，傳統(tǒng)的網(wǎng)絡(luò)防御以“筑高墻、堵漏洞、打補(bǔ)丁”為主，不斷地挖掘漏洞、檢測(cè)后門、尋找缺陷，不斷地修補(bǔ)安全漏洞、缺陷與后門，通過不停地防惡意代碼、封門堵漏等被動(dòng)的博弈方式來自我完善。在這種情況下，形成了“易攻難守”的網(wǎng)絡(luò)安全現(xiàn)狀。

在缺陷、漏洞和后門無法完全修復(fù)和清除的背景下，亟需一種打破傳統(tǒng)安全防御觀念的新安全思路，研究用動(dòng)態(tài)偽裝技術(shù)來掩蓋無法修復(fù)和未知的安全缺陷、漏洞和后門具有重大意義。

2 基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)原理

動(dòng)態(tài)偽裝技術(shù)借鑒了“動(dòng)態(tài)目標(biāo)防御”的理念，在我國(guó)由中國(guó)工程院院士鄔江興提出，是在動(dòng)態(tài)防御的基礎(chǔ)上發(fā)展出的新型網(wǎng)絡(luò)防御理念。采用類似仿生學(xué)的概念，借鑒一些動(dòng)物的習(xí)性，模仿動(dòng)物保護(hù)自身或獵捕獵物的方法，來武裝網(wǎng)絡(luò)安全產(chǎn)品。例如，深海中的燈籠魚，通過模擬亮光來誘捕獵物；如變色龍，通過改變自身的顏色來適應(yīng)環(huán)境，隱藏自己[3]。

動(dòng)態(tài)偽裝技術(shù)是為了防御者在功能等價(jià)條件下，提供可控的多樣化環(huán)境間的主動(dòng)跳變和動(dòng)態(tài)組合，建立欺騙化、擬態(tài)化的高價(jià)值、高仿真目標(biāo)，使攻擊者難以察覺和預(yù)測(cè)目標(biāo)環(huán)境的變化，誘騙攻擊者對(duì)基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)進(jìn)行攻擊[4]。同時(shí)，使用“漏洞疑陣”技術(shù)，不斷動(dòng)態(tài)地評(píng)估攻擊者水平，為其構(gòu)建獨(dú)特的攻防環(huán)境副本，為其不斷地提供適合其水平、適合于目標(biāo)架構(gòu)、適合于網(wǎng)絡(luò)和應(yīng)用環(huán)境的虛假漏洞，使其產(chǎn)生入侵即將成功的錯(cuò)覺，但是入侵總是無法獲取實(shí)質(zhì)性進(jìn)展，使得攻擊者陷入漏洞一直能夠發(fā)現(xiàn)，但是總是無法利用的循環(huán)之中，達(dá)到掩蓋真實(shí)漏洞的目的[5]。

3 基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)設(shè)計(jì)

動(dòng)態(tài)偽裝安全防御模型的基本思想是建立動(dòng)態(tài)仿真系統(tǒng)[6]。

動(dòng)態(tài)仿真系統(tǒng)可以動(dòng)態(tài)模擬真實(shí)系統(tǒng)中的任意元素，通過功能等價(jià)異構(gòu)執(zhí)行體池中異構(gòu)執(zhí)行體集構(gòu)造異構(gòu)執(zhí)行體，實(shí)現(xiàn)動(dòng)態(tài)偽裝。其設(shè)計(jì)思路如下：

(1)根據(jù)動(dòng)態(tài)變換器的計(jì)算從異構(gòu)執(zhí)行體池中組合出異構(gòu)執(zhí)行體，在功能等價(jià)異構(gòu)執(zhí)行體池中選出若干異構(gòu)執(zhí)行體。

(2)當(dāng)系統(tǒng)輸入到達(dá)時(shí)，由輸入分發(fā)器分發(fā)給各個(gè)選出異構(gòu)執(zhí)行體，它們分別執(zhí)行，互相無影響、無通信。

(3)當(dāng)判斷為攻擊者對(duì)系統(tǒng)進(jìn)行掃描或者攻擊時(shí)，輸出裁決器將攻擊者的輸入反饋給擬態(tài)變換器，其使用動(dòng)態(tài)調(diào)度算法和負(fù)反饋控制機(jī)制計(jì)算選取若干異構(gòu)構(gòu)件和執(zhí)行體組成異構(gòu)執(zhí)行體，并將異構(gòu)執(zhí)行體進(jìn)行重構(gòu)、重組或重建，也可以借助虛擬化技術(shù)改變執(zhí)行體的資源配置或清洗、初始化執(zhí)行體等，增加虛假漏洞、后門或缺陷數(shù)量，造成系統(tǒng)外在特征不確定性的假象，實(shí)現(xiàn)隱匿真實(shí)系統(tǒng)內(nèi)未知的漏洞、后門和缺陷的作用[7]。動(dòng)態(tài)偽裝防御系統(tǒng)設(shè)計(jì)如圖1 所示。

圖1 動(dòng)態(tài)偽裝防御系統(tǒng)核心架構(gòu)圖

為了研究方便，不妨假定當(dāng)前考慮的安全相關(guān)基本要素分為4 層，分別為網(wǎng)絡(luò)層、計(jì)算資源層、軟件層、數(shù)據(jù)層。動(dòng)態(tài)異構(gòu)執(zhí)行體變換內(nèi)容舉例如表1 所示，表中針對(duì)假定的4 種信息系統(tǒng)要素[8]，分別列舉了要素中對(duì)應(yīng)的基本單元及可變換內(nèi)容。

表1 動(dòng)態(tài)異構(gòu)執(zhí)行體變換內(nèi)容舉例

設(shè)信息系統(tǒng)有m 個(gè)要素，每個(gè)要素都有n 個(gè)元素，n=max{n1，n2，…，nm}，i=1，2，…，m，其中ni為第i個(gè)要素的元素個(gè)數(shù)。對(duì)于元素個(gè)數(shù)少于n 的要素，以空元素來進(jìn)行擴(kuò)充。如果用表示第j 個(gè)要素中第i 個(gè)元素的狀態(tài)，那么t 時(shí)刻信息系統(tǒng)的狀態(tài)可以用矩陣Ω(t)來表示。

根據(jù)擬態(tài)安全的思想，動(dòng)態(tài)變換可以定義如下：

設(shè)σ1表示第一個(gè)要素的動(dòng)態(tài)變換，以此類推，動(dòng)態(tài)異構(gòu)執(zhí)行體的要素變換可記為σ={σ1，σ2，…，σn}，則σ可以看成是Ω(t)的一個(gè)加擾序列，不同的加擾序列對(duì)應(yīng)著不同的動(dòng)態(tài)異構(gòu)執(zhí)行體變換[9]。

動(dòng)態(tài)變換使得安全防御系統(tǒng)具有不確定性、靈活性、無法預(yù)知等特點(diǎn)，改善了傳統(tǒng)安全防御系統(tǒng)順序、固化、靜態(tài)的防御理念，從而提升了信息系統(tǒng)的整體安全性。

4 基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)抗網(wǎng)絡(luò)攻擊有效性分析

在進(jìn)行基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)抗網(wǎng)絡(luò)攻擊有效性分析前，提出如下假設(shè)[10]：

(1)忽略由于硬件錯(cuò)誤導(dǎo)致的執(zhí)行體故障；

(2)暫不考慮分發(fā)器和裁決器受到攻擊的情況；

(3)攻擊者僅基于執(zhí)行體的漏洞、缺陷和后門發(fā)起攻擊，不考慮其他非技術(shù)手段，而且每次攻擊事件是獨(dú)立的。

本節(jié)以圖1 所示的動(dòng)態(tài)偽裝系統(tǒng)為研究對(duì)象，分別從攻擊發(fā)起難度、持續(xù)攻擊難度和攻擊再現(xiàn)難度[11]進(jìn)行分析。

(1)攻擊發(fā)起難度

①設(shè)異構(gòu)構(gòu)件集合為A，|A|=m；

②設(shè)執(zhí)行體集合為B，|B|=n。

由于裁決器本身的特性，Pi極小，可得Q 極小。所以，在該環(huán)節(jié)的攻擊成功率極小[12]。

(2)持續(xù)攻擊難度

攻擊者發(fā)起一次成功的攻擊一般由多個(gè)攻擊環(huán)節(jié)組成，缺一步或者錯(cuò)一步都可能造成攻擊失敗。

設(shè)某次成功的攻擊行為共涉及k 個(gè)攻擊環(huán)節(jié)，若此次攻擊成功，則需k 個(gè)攻擊環(huán)節(jié)都成功。則此次攻擊成功的概率為：

此時(shí)，P＜＜Q。若在某個(gè)環(huán)節(jié)失敗，當(dāng)攻擊者再次嘗試一次新的攻擊時(shí)，由于每個(gè)環(huán)節(jié)的異構(gòu)構(gòu)件經(jīng)過再次的隨機(jī)動(dòng)態(tài)選擇后執(zhí)行體發(fā)生改變，因此相當(dāng)于發(fā)起一次新的攻擊。由此可知，在動(dòng)態(tài)安全防御系統(tǒng)中，攻擊不具有持續(xù)性[13]。

(3)攻擊再現(xiàn)難度

設(shè)某一次攻擊偶然成功，同上分析，當(dāng)攻擊試圖再次復(fù)現(xiàn)攻擊時(shí)，由于攻擊目標(biāo)已變，先前的攻擊過程并不能復(fù)現(xiàn)，因此再次攻擊難以成功。

綜上所述，基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)能極大地提升攻擊難度、防止攻擊再現(xiàn)，是扭轉(zhuǎn)當(dāng)前“易攻難守”的網(wǎng)絡(luò)安全現(xiàn)狀的必然選擇[14]。

5 利用本地代理與云服務(wù)模式實(shí)現(xiàn)基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)應(yīng)用解決方案

通過以上分析，基于動(dòng)態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)思路明確，抗網(wǎng)絡(luò)攻擊有效性相比傳統(tǒng)的安全防護(hù)系統(tǒng)更高。如何將設(shè)計(jì)思路與實(shí)際信息系統(tǒng)安全防護(hù)相結(jié)合，是本節(jié)討論的重點(diǎn)內(nèi)容。

以面向互聯(lián)網(wǎng)提供服務(wù)的Web 應(yīng)用為例，將多套不同操作系統(tǒng)、中間件軟件、應(yīng)用軟件、數(shù)據(jù)庫(kù)管理系統(tǒng)等組成異構(gòu)體集群部署在云端的SAAS 服務(wù)中。

來自互聯(lián)網(wǎng)的未知請(qǐng)求數(shù)據(jù)包通過安全防御系統(tǒng)的本地代理發(fā)送給SAAS 服務(wù)平臺(tái)的分發(fā)器，分發(fā)器復(fù)制多份請(qǐng)求數(shù)據(jù)包分別發(fā)送給各個(gè)異構(gòu)執(zhí)行體中，在異構(gòu)執(zhí)行體中分別處理請(qǐng)求數(shù)據(jù)包并將響應(yīng)結(jié)果返回給裁決器，裁決器通過預(yù)先設(shè)計(jì)的算法對(duì)執(zhí)行結(jié)果進(jìn)行表決，最終將正常的訪問請(qǐng)求返回給本地代理，由本地代理轉(zhuǎn)發(fā)正常的訪問請(qǐng)求，其經(jīng)過本地網(wǎng)絡(luò)設(shè)備、安全設(shè)備后發(fā)送給Web 應(yīng)用服務(wù)器。如發(fā)現(xiàn)疑似攻擊行為，將執(zhí)行結(jié)果和非正常請(qǐng)求數(shù)據(jù)包一同報(bào)送威脅溯源分析系統(tǒng)，該系統(tǒng)分析評(píng)估攻擊者的設(shè)備指紋、漏洞掃描、攻擊、驗(yàn)證和漏洞利用等行為，持續(xù)評(píng)估攻擊者的水平，結(jié)合異構(gòu)執(zhí)行體的執(zhí)行結(jié)果，為攻擊者制定誘捕策略，構(gòu)造出具體的虛假漏洞，根據(jù)虛假漏洞偽造響應(yīng)數(shù)據(jù)包返回給攻擊者。為其營(yíng)造出“攻擊還差一步就能成功，但是總也攻不破”的體驗(yàn)，持續(xù)吸引攻擊者火力，在威脅溯源分析系統(tǒng)中不斷對(duì)攻擊者進(jìn)行評(píng)價(jià)，為偵查、反制、預(yù)警、預(yù)防等動(dòng)作爭(zhēng)取寶貴的處置響應(yīng)時(shí)間。同時(shí)，跟蹤收集攻擊者身份信息，進(jìn)行身份識(shí)別，精準(zhǔn)打擊?；趧?dòng)態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御SAAS 服務(wù)平臺(tái)架構(gòu)圖如圖2 所示。

圖2 基于動(dòng)態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御SAAS 服務(wù)平臺(tái)架構(gòu)圖

6 結(jié)論

在當(dāng)前安全形勢(shì)嚴(yán)峻的情況下，亟需網(wǎng)絡(luò)安全創(chuàng)新思路，研究基于動(dòng)態(tài)偽裝技術(shù)的安全防御系統(tǒng)已成為網(wǎng)絡(luò)安全領(lǐng)域的重要研究方向[15]。目前，大部分蜜罐易被攻擊者識(shí)破而被繞過或者自身被攻擊而引起更嚴(yán)重的安全問題[16]。因此，本文提出了基于動(dòng)態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御設(shè)計(jì)理論和應(yīng)用方案，下一步應(yīng)將這種安全防御理論運(yùn)用到物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、人工智能、工業(yè)控制系統(tǒng)等新技術(shù)新應(yīng)用的網(wǎng)絡(luò)安全防護(hù)之中，提升新技術(shù)新應(yīng)用的整體安全防護(hù)水平，以適應(yīng)新時(shí)代安全發(fā)展的需求。