基于自動機理論的網(wǎng)絡攻防模型與安全性能分析

郭 威,鄔江興,張 帆,沈劍良

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450002

基于自動機理論的網(wǎng)絡攻防模型與安全性能分析

郭 威,鄔江興,張 帆,沈劍良

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450002

針對當前自動機模型對系統(tǒng)狀態(tài)表達不完整,單一視角建模無法滿足網(wǎng)絡攻防行為刻畫需求的問題,本文提出一種視角可變的變焦有限自動機(Zooming Finite Automata,ZFA)結(jié)構(gòu)。ZFA使用完整的參量集合取值對狀態(tài)進行標示,設置觀測系數(shù)增強模型對于多角度分析系統(tǒng)行為過程的能力。結(jié)合ZFA結(jié)構(gòu)給出了網(wǎng)絡攻防模型和安全性能分析方法,分析揭示了傳統(tǒng)安全手段的天然劣勢以及移動目標防御技術(shù)的局限性。最后,討論了網(wǎng)絡空間擬態(tài)防御(Cyberspace Mimic Defense,CMD)技術(shù)中核心部件——異構(gòu)執(zhí)行體的實現(xiàn)結(jié)構(gòu),從理論上證明了構(gòu)建“多參數(shù)”不確定性可獲得超線性增益。

網(wǎng)絡空間安全; 自動機; 變焦; 攻防模型; 安全性能; 網(wǎng)絡空間擬態(tài)防御; 多參數(shù)不確定性

1 引言

近年來,主動防御已成為網(wǎng)絡空間安全領域最炙手可熱的研究熱點。2011年,美國NSTC(National Science and Technology Council)推出了移動目標防御[1](Moving Target Defense,MTD)技術(shù),試圖構(gòu)建防御者“可控”的目標環(huán)境,扭轉(zhuǎn)當前“易攻難守”的安全態(tài)勢。隨后,國內(nèi)研究團隊也提出了網(wǎng)絡空間擬態(tài)防御(Cyberspace Mimic Defense,CMD)的概念[2],通過在異構(gòu)冗余體制中導入動態(tài)性、隨機性和“去協(xié)同化”機制提升其抗攻擊性能,從而增加攻擊者利用漏洞和后門的難度。

然而,即便安全技術(shù)的研究發(fā)展十分迅速,信息安全領域中一個公認的事實仍沒有變: 對攻防行為一直缺乏抽象的研究模型,這使得研究者們難以跳出具體環(huán)境的限制對現(xiàn)有安全技術(shù)進行分析評估。例如,在MTD的多個應用場景中,研究者們提出的突破思想[3-5]十分相似,文獻[6]將這些問題歸納為MTD的覆蓋性,不可預測性和時效性挑戰(zhàn),但由于缺乏抽象描述模型和系統(tǒng)性分析,目前只能借助加密、安全存儲等存在爭議的手段進行改進[7],并沒有從本質(zhì)上解釋和解決MTD自身的技術(shù)局限。此外在研究實踐中,雖然我們已經(jīng)驗證了異構(gòu),冗余,動態(tài),隨機等概念對于提高系統(tǒng)安全性的正向作用,但卻難以描述其生效過程,度量其安全增益,從而無法對各種安全機制進行有效的取舍和評判。上述案例說明,對攻防模型研究的滯后性極大的束縛了信息安全領域的發(fā)展。

造成建模困難的主要原因是: 在考慮安全問題時,攻防的條件、過程、目標等因素具有復雜性,難以進行高度抽象。在面對未知威脅時,各種因素更是具有不確定性,使得模型的構(gòu)建相當困難。相比之下,研究者們更愿意將精力集中在系統(tǒng)的漏洞挖掘與利用等工作上[7]。其研究場景相對固定,能夠確立具體的威脅種類和防御環(huán)境,既降低了研究難度,同時也更容易加以應用。但其問題在于,一旦攻防條件與假設不一致,即便稍有偏差,研究成果的有效性也難以保證。

本文根據(jù)攻防模型與安全性能評估的研究現(xiàn)狀,結(jié)合系統(tǒng)運行特性,在有限自動機(Finite Automata,FA)基礎上提出一種可變焦有限自動機(Zooming Finite Automata,ZFA)描述模型。利用ZFA對網(wǎng)絡攻防過程進行了建模,以安全性能和客觀因素的角度對現(xiàn)有安全技術(shù)進行了分析,揭示了傳統(tǒng)安全手段的天然劣勢及MTD技術(shù)的局限性。最后根據(jù)CMD中構(gòu)建動態(tài)異構(gòu)冗余機制(Dynamic Heterogeneous Redundancy,DHR)的基本思想,結(jié)合 ZFA結(jié)構(gòu)給出了一種“多參數(shù)”不確定的異構(gòu)實現(xiàn)與性能分析。

2 研究現(xiàn)狀與問題分析

文獻[8]中對攻擊圖譜模型進行了全面的綜述,介紹和分析了其近25年的研究情況。這種攻防模型的最大特點是抽象性強且層次清晰,它將根節(jié)點作為攻擊目標,子節(jié)點為子目標,葉子節(jié)點為最基本目標,將整個攻擊過程抽象成樹結(jié)構(gòu)。在模型應用中,可以結(jié)合子孫節(jié)點到祖先節(jié)點的難度量化為邊的權(quán)值,從而對整個攻擊的難度進行刻畫。文獻[9]結(jié)合了貝葉斯理論設計了貝葉斯攻擊圖譜,通過數(shù)據(jù)集訓練后能夠得到某攻擊目標的非條件概率,能夠很好地服務于有針對性的安全部署。盡管攻擊圖譜得到了廣泛的研究和應用,但其劣勢也相當明顯,就是無法刻畫未知的攻擊目標和子目標路徑,因此對未知威脅不具備刻畫和分析能力。

另一種較為普及的攻防模型是攻擊面(Attack Surface,AS)理論。文獻[10]為了給出軟件安全評判指標,提出了AS理論和基于I/O自動控制模型的系統(tǒng)描述方法。一個給定系統(tǒng)的AS度量是資源在規(guī)則、通道和數(shù)據(jù)三個維度上的總貢獻,度量的大小表明攻擊者可能對系統(tǒng)破壞的程度,以及攻擊者造成這種破壞的所需投入的努力。作為AS度量系統(tǒng)的建模工具,I/O自動機的使用出于兩方面考慮。首先在外部運行環(huán)境下,一個具有入口點與出口點的防御系統(tǒng),可等效為一個具有輸入操作和輸出操作的I/O自動機環(huán)境; 另外I/O自動機的構(gòu)成屬性決定了,其模型在給定的環(huán)境中推斷出系統(tǒng)AS的可行性。

AS理論的優(yōu)勢在于能將所有系統(tǒng)行為等價表示為 I/O操作,所以必然能涵蓋全部已知未知威脅,使攻防模型能更好的服務于攻防技術(shù)發(fā)展。但其問題在于,AS認為攻擊總是可達的,評估時只關(guān)注于系統(tǒng)的可被攻擊性,忽略了系統(tǒng)的防御性,而這一點恰恰在開放服務系統(tǒng)中顯得尤為重要。當設計者難以去縮小系統(tǒng)的攻擊面時,如何擴大防御面,使得目標攻擊面盡可能的對于攻擊者不可達,可能是更為有效的手段。

前人的研究成果給本文帶來了的啟示是(1)邏輯上對攻擊過程進行分段能夠有效的對整個攻擊過程進行量化評估; (2)自動機模型能夠?qū)φ麄€系統(tǒng)進行完整描述,從而更好地建立攻防模型。那么,本文將以自動機理論為基礎,針對安全問題建模和分析時的需求,提出以下兩點改進動機對傳統(tǒng)模型進行拓展: (1)系統(tǒng)的全局狀態(tài)變化對于攻擊和防御的識別分析至關(guān)重要,需要盡量完整的表達; (2)系統(tǒng)運行過程中,往往是多個邏輯層面組合交疊著運行,在一個孤立的“視角”下通常難以辨識正常行為與攻擊行為,應當予以拓展。

3 ZFA結(jié)構(gòu)與功能設計

首先,討論了面向安全問題基于自動機理論的系統(tǒng)建模方法,給出了變量的符號描述。然后,提出一種觀測視角可變的ZFA結(jié)構(gòu),并且證明了ZFA用于系統(tǒng)建模的正確性和唯一性。最后,給出了系統(tǒng)關(guān)鍵概念的ZFA描述。

3.1 建模分析與參數(shù)符號化

自動機理論的現(xiàn)有應用,都會根據(jù)具體場景將模型建立在一定固定的邏輯層面上。正則表達式[11]刻畫了字符匹配邏輯; 軟件狀態(tài)機(Finite State machine,FSM)[12]刻畫了軟件運轉(zhuǎn)邏輯; I/O自動機[13]刻畫了系統(tǒng)環(huán)境的交互邏輯。

一個系統(tǒng)的自動機模型,是由多個邏輯面并列交疊而成。例如在深度包檢測系統(tǒng)中,預處理層面刻畫了數(shù)據(jù)包的拆分重組過程; 包檢測層面刻畫了字符匹配過程; 信息統(tǒng)計層面刻畫了業(yè)務數(shù)量計數(shù)過程; 檢測系統(tǒng)的硬件設計邏輯、宏觀運轉(zhuǎn)過程等等都能用自動機進行描述,而所有這些的混合體才構(gòu)成了一個完整的系統(tǒng)自動機。為便于形象的表達,邏輯層面可稱為“觀測視角”,記為ω。

對系統(tǒng)進行建模時,其靜態(tài)屬性由特征參量來標識,記為Var,全部參量構(gòu)成了參量集合V。參量取值將決定系統(tǒng)狀態(tài),由q表示,函數(shù)ρ用于從具體取值中提取參量,ρ(q)=V; 其動態(tài)屬性指q經(jīng)過一定的觸發(fā)條件φ產(chǎn)生遷移的規(guī)則,即系統(tǒng)的遷移邏輯,記為δ。系統(tǒng)與外界環(huán)境的交互抽象為輸入i和輸出o,i是觸發(fā)條件的組成部分,o是系統(tǒng)的參量子集,即滿足ρ(i)?ρ(φ),ρ(o)?V。那么從模型上,設定觀測視角就等同于確定一個集合,以集合中的參量對系統(tǒng)靜態(tài)和動態(tài)屬性進行刻畫分析,故ω?V且選定過程與系統(tǒng)屬性間不相關(guān)。

本文用到的符號如下表所示。

表1 本文使用的參數(shù)符號與描述

計算機系統(tǒng)是極其復雜的,我們并不試圖將ω設置到整個參量集合,即物理意義上將一個完整的系統(tǒng)從物理層、硬件邏輯層、系統(tǒng)軟件層等直至高級應用層全過程使用自動機描述出來,至少對于目前的技術(shù)水平還難以實現(xiàn)。本文拓展參量集合和設置ω的目的在于(1)細粒度劃分系統(tǒng)狀態(tài),提高對引發(fā)安全問題的異常因素的辨識能力; (2)增強自動機的表達能力,刻畫出系統(tǒng)運行的完整過程,抽象出安全問題中跨邏輯層的復雜情況; (3)建立不同邏輯層面間,單一層面與整個系統(tǒng)間的聯(lián)系,有助于研究系統(tǒng)參量間的耦合性。

3.2 ZFA結(jié)構(gòu)設計

可變焦有限自動機(ZFA),根據(jù)所設定的觀測視角,生成該視角下的狀態(tài)和跳轉(zhuǎn)過程。一個確定性ZFA的構(gòu)成如下:

.一個觀測系數(shù)ω,滿足ω?V;

在系數(shù)ω下,生成DFA五元組:

.一個有窮的狀態(tài)集合Qω;

.由觸發(fā)條件φω組成的集合Σω,且ρ(φω)?V;

.轉(zhuǎn)移函數(shù)δω,以一個狀態(tài)和一個觸發(fā)條件為變量,返回一個狀態(tài);

.一個初始狀態(tài)q0ω,且q0ω∈Qω;

.一個接受狀態(tài)集合Fω,且Fω?Qω;

當 ZFA非形式化表示為狀態(tài)轉(zhuǎn)移圖時,在注明ω的情況下,系數(shù)角標可省略,如下圖所示。

圖1 以不同系數(shù)進一步觀測ω0下的某一跳轉(zhuǎn)

圖1 給出了一個ZFA應用示例。ω0通常會選取一個完整的邏輯層面,如 TCP連接生命周期,掃雷游戲運轉(zhuǎn)過程等等,可認為是“顯性”觀測視角; 為了進一步觀測邏輯層面的實現(xiàn)過程,可增加觀測的參數(shù),拉近到“隱性”視角。假設ω1與ω2分別取參數(shù)內(nèi)存位置p和運行處理器c,那么圖1所示的物理意義為: 對于ω0層上qx至qy的跳轉(zhuǎn),存在5種內(nèi)存實現(xiàn)方式＜p1→p2,p2→p2,…＞,且只有c1處理器能夠?qū)崿F(xiàn)處理。

3.3 證明與分析

為了保證基于 ZFA系統(tǒng)建模的正確性,給出以下證明。首先,由信息系統(tǒng)的基本設計原則可得:

定理1 已知t時刻系統(tǒng)S的狀態(tài)qt和外界輸入i,則下一運行狀態(tài)qt+1唯一可確定

證明. (反證法)假設qt+1不確定或確定但不唯一,則分情況討論:

i. 若qt+1不確定,與系統(tǒng)設計的確定性前提相矛盾

ii. 若 qt+1不唯一,與系統(tǒng)設計的可控性前提相矛盾

綜上分析,定理1可得證。

定理2對任意離散數(shù)字有限系統(tǒng)S,存在一個FA能夠?qū)ζ溥M行完整描述

證明. 由 S的離散性和數(shù)字性,可知系統(tǒng)的參量個數(shù)和狀態(tài)個數(shù)都是可列的,則以自動機中的 q進行描述。又因為系統(tǒng)的有限性,有限次遞歸定理1,則FA可以完整描述S得證。

相比于傳統(tǒng)的自動機模型,ZFA能夠有效還原系統(tǒng)的全局狀態(tài),并配合ω進行觀測。在不同的觀測視角下,ZFA并沒有改變系統(tǒng)基本狀態(tài)和跳轉(zhuǎn)邏輯,而是將其從不同層面靈活的呈現(xiàn)出來,以便于表達和分析攻防模型中不同層次間的關(guān)系。

上述定理表明了ZFA結(jié)構(gòu)用于系統(tǒng)全過程描述的正確性和唯一性。

假設1在運行過程中系統(tǒng)S不變,即狀態(tài)參量集V和轉(zhuǎn)移函數(shù)δ保持不變

上述假設保證了 ZFA的時不變性,即不考慮引起S變化的輸入i。實際上這類輸入是普遍存在的,在加載和換出程序的過程中,都會引起V和δ的變化。假設的原因在于,在攻防建模和分析中,變化過程通?？梢院雎圆挥?。例如,在分析安置后門過程時,相比于具體安裝過程,防御者可能更關(guān)注于攻擊者后門安裝前的準備過程,以及安裝后的系統(tǒng)運轉(zhuǎn)過程。

盡管從理論上保證了系統(tǒng)的ZFA描述具有正確性,唯一性和不變性,但由于計算機的邏輯復雜度極高且無記憶,所以完整描述的可行性很差。如何解決這個問題,需要展開進一步研究。

3.4 系統(tǒng)關(guān)鍵概念的ZFA描述

(1) 視角的可伸縮性

定義1 視角的放大與縮小

已知兩個觀測系數(shù)ω1和ω2,則存在集合ω￠滿足稱為以ω2放大ω1后的觀測視角,或以ω1放大ω2后的觀測視角。

已知兩個觀測系數(shù)ω1和ω2,則存在集合ω￠滿足為以ω2縮小ω1后的觀測視角。

在 3.2中提到了顯性視角與隱性視角的概念,它們是相對而言的,根據(jù)觀測習慣進行區(qū)分界定。一般地,將一個有完整意義的邏輯層面設定為顯性視角,將加入關(guān)注參量后的放大視角設定為隱性視角。

(2) 功能等價與功能等價系統(tǒng)

命題1 (定理 1的逆否命題)當下一運行狀態(tài)qt+1唯一確定時,則t時刻系統(tǒng)S的狀態(tài)qt和外界輸入i可能不唯一

命題1￠ 已知t時刻系統(tǒng)S的運行狀態(tài)qt,則存在一個或不止一個的滿足

4 基于ZFA的攻擊過程建模

首先,對攻擊過程進行了分析和 ZFA建模,然后對網(wǎng)絡中典型的攻擊手段進行了分類分析。

4.1 攻擊過程的基本模型與度量方法

攻擊過程(Attack Process,AP)可分為離線和在線兩個階段,離線階段的主要任務是剖析目標系統(tǒng),研究出攻擊方法和探測手段,并根據(jù)攻擊方法做好相應的準備; 在線階段就是實施攻擊的過程,需要根據(jù)實際探測情況展開相應的攻擊行動。

從模型上來說,攻擊過程與正常過程的地位是等價的,都是系統(tǒng)自動機的一部分。在3.3中,證明了系統(tǒng)運轉(zhuǎn)過程可用 ZFA等價表示,進一步的,離線階段可認為是系統(tǒng)ZFA的描述過程; 在線階段則刻畫為由特定的輸入所觸發(fā)的一連串狀態(tài)即攻擊序列,其終點就是攻擊者的目標狀態(tài)。本文中主要以攻擊序列作為核心對象進行討論。

定義4 攻擊序列

圖2是系統(tǒng)S在內(nèi)存位置ω視角下的狀態(tài)跳轉(zhuǎn)圖,p1是一個用戶態(tài)程序,p2是一個Shellcode程序,δ4是溢出引發(fā)的跳轉(zhuǎn)。δ0～δ3都是p1中的正常跳轉(zhuǎn),經(jīng)過δ4跳至攻擊者設定的Shellcode位置。δ0～δ4就構(gòu)成了一個攻擊序列A,qf是溢出攻擊的目標狀態(tài)(暫沒有考慮后續(xù)的提權(quán)過程,只討論溢出過程)。

圖2 基于ZFA的溢出攻擊示意圖

定義5 步驟難度

攻擊觸發(fā)某一次狀態(tài)跳轉(zhuǎn)所需要付出的代價,付出代價的決定因素根據(jù)具體應用環(huán)境而定。

定義6 攻擊難度

整個攻擊序列的步驟難度之和,取決于步驟總數(shù)與步驟難度。

本文并不針對攻擊難度進行詳細討論,只定性給出了其含義,實際應用中將根據(jù)不同場景設定刻畫難度的量化變量。

4.2 典型攻擊模式的ZFA描述與分析

A.側(cè)信道攻擊

側(cè)信道攻擊[14]是侵犯私密性(Confidentiality)的代表性方法,它以非常規(guī)的方式獲取目標系統(tǒng)的私密信息,尤以加密密鑰為主。與傳統(tǒng)的信息收集方式不同,在側(cè)信道攻擊過程中,攻擊者并不需要構(gòu)建攻擊序列,與目標系統(tǒng)間也沒有顯性交互。

下圖表示了以CPU輻射能量[15]為側(cè)信道參量的經(jīng)典竊密方法,在 ZFA中分別以兩種不同的隱性視角觀測加密過程的狀態(tài)特征,ω1設定為密鑰值,ω2設定為側(cè)信道特征γ。

圖3 能量側(cè)信道攻擊的ZFA表示

如圖 3所示,攻擊者可以根據(jù)獲取的能量參數(shù)γ的值,得到對應的密鑰值。這種攻擊方式實現(xiàn)基礎和思想在于,系統(tǒng)狀態(tài)的私密信息與γ特征能夠呈現(xiàn)較明顯的映射關(guān)系,并且γ具備傳遞特性,可以被攻擊者獲取。那么對于攻擊者而言,私密信息的“傳遞”猶如形成了一條信息“通道”,只要對應γ取值還原出相應的信息值,便實現(xiàn)了隱私信息的獲取。

實施側(cè)信道攻擊的工作量主要集中在離線階段,CPU能量的分析算法優(yōu)劣將直接決定攻擊成功率。在線階段的主要工作量是盡力獲取目標系統(tǒng)的 CPU型號,以便有針對性的使用還原算法。

B.越權(quán)型攻擊

現(xiàn)有系統(tǒng)都會用戶設定讀權(quán)限、寫權(quán)限和執(zhí)行權(quán)限。通常來說,對除了管理員外的訪問者只會分配讀權(quán)限,而越權(quán)型攻擊就是一種使攻擊者非法擁有寫權(quán)限甚至執(zhí)行權(quán)限,從而威脅系統(tǒng)的攻擊模式。

權(quán)限,物理意義可理解為系統(tǒng)賦予使用者的操作集合。以 ZFA結(jié)構(gòu)刻畫,是使用者能夠到達的狀態(tài)q與觸發(fā)條件中的輸入i,即能夠?qū)崿F(xiàn)的δ(q,φ)的集合。那么,所謂的越權(quán)其實就是對可操作集合的非法化擴大。這里的非法化并不是針對系統(tǒng)運轉(zhuǎn)過程,而是對于設計者和使用者,這種擴大是存在威脅的。綜上所述,越權(quán)攻擊的主要手段來自于對系統(tǒng)漏洞和后門的利用。

圖4 SQL注入攻擊的ZFA示意圖

圖4中,qlow與qhigh分別為低權(quán)與高權(quán)狀態(tài),q1,q2, …為數(shù)據(jù)庫認證過程,qfail為認證失敗狀態(tài)。由于系統(tǒng)缺乏輸入合法性檢查,攻擊者將查詢語句漏洞轉(zhuǎn)化為δ1、δ2等跳轉(zhuǎn),使其跳過了認證過程直接達到qhigh,使得越權(quán)得以實現(xiàn)。倘若系統(tǒng)被安插了后門程序,則可以通過δ'直接進入達到qhigh。

相對于其他攻擊模式,越權(quán)攻擊的過程比較復雜,其離線和在線的工作量都很大。對于一個龐大的系統(tǒng),能夠找到一個可利用的漏洞就需要消耗大量的時間和人力,另外還要設計Shellcode和提權(quán)代碼等等。實施攻擊過程中,通常包含大量的信息收集工作,然后通過精確的攻擊序列觸發(fā)漏洞和提權(quán)過程。一般來說,越是底層的提權(quán)攻擊實施起來也就越為復雜。

當然,這種方式所帶來的效益也是最大的,一旦掌握了系統(tǒng)最高權(quán)限,將會造成極大危害。攻擊者還可以通過安插后門來大大簡化攻擊過程,降低再攻擊的工作量。其防范的難點在于(1)大規(guī)模系統(tǒng)中漏洞后門的泛在化與未知性為越權(quán)攻擊提供了溫床; (2)除了某些關(guān)鍵性跳轉(zhuǎn)外,攻擊序列與正常序列在各ω上基本一致。

C. 資源耗盡型攻擊

每個系統(tǒng)的負載能力都是有限的,所以嚴格來講,資源耗盡并不算是系統(tǒng)的異常狀態(tài)。而攻擊者正是利用了這一必然缺陷,有預謀的大規(guī)模占用系統(tǒng)計算、內(nèi)存、外設等資源,使正常請求無法被響應,從而達到威脅系統(tǒng)可用性(Availability)的目的。

以SYN洪泛為例,內(nèi)存中半連接隊列使用情況作為觀測系數(shù)ω,則目標系統(tǒng)ZFA表示如下。

圖5 半連接隊列使用情況的ZFA表示

如圖所示,m表示系統(tǒng)半連接隊列的最大長度,q0,q1, …,qm為根據(jù)隊列長度劃分的系統(tǒng)狀態(tài)。洪泛攻擊時,向右的跳轉(zhuǎn)δ構(gòu)成了攻擊序列,其目標態(tài)為qm。此后新的SYN將觸發(fā)δmm,連接請求被丟棄,無法得到響應。

設置ω使“視角”聚焦于如處理器、內(nèi)存、外設等資源上,對其他資源耗盡型攻擊方式構(gòu)建 ZFA,得到類似的狀態(tài)跳轉(zhuǎn)情況,其一般表示如下。

圖6 資源耗盡型攻擊的一般ZFA表示

小結(jié):

對于目標系統(tǒng)和防御者來說,當前最大的威脅是越權(quán)型攻擊模式。資源耗盡型攻擊雖然難以防范破壞性大,但這種攻擊能被迅速感知,便于迅速發(fā)起應對措施; 側(cè)信道攻擊,能夠掌握秘鑰等私密信息,有時也是服務于越權(quán)攻擊的有力手段; 而越權(quán)攻擊,尤其是基于未知漏洞和后門的攻擊方法,屬于未知威脅,難以防范且危害巨大。

本節(jié)利用 ZFA對攻擊過程進行了建模,分類攻擊方法并從不同觀測維度上探索其共性特點。其意義在于(1)提出了一種攻擊過程的建模方法,有助于進一步抽象和研究攻防技術(shù); (2)將目前防御單個攻擊的“點處理”方式轉(zhuǎn)化為對處理某種攻擊模式的“面處理”方式。

5 基于ZFA的防御模型與安全性能分析

本節(jié)利用ZFA對幾種典型防御方法進行建模和安全性能分析,討論了傳統(tǒng)防御方法對于現(xiàn)有網(wǎng)絡攻擊的天然劣勢,以及MTD的技術(shù)局限。此前,先給出一個理想的攻擊假設和安全性能說明。

假設2對于攻擊過程的離線階段,攻擊者已掌握目標系統(tǒng)所有漏洞和利用方法

安全性能: 本文將防御技術(shù)對攻擊序列構(gòu)造的難度增益作為安全性能的評價指標。在假設2下,步驟難度排除了攻擊者研究漏洞使用和信息收集方法的代價,攻擊前的準備代價等等,以攻擊序列的長度作為攻擊難度的衡量標準,其中主要考慮在面對下一跳多個選擇時所付出的選路代價。

5.1 傳統(tǒng)防御方法

根據(jù)第4節(jié)中攻擊過程的ZFA描述,摧毀攻擊序列最簡單直觀的方式無非兩種: 阻塞與重塑,以此可以將傳統(tǒng)安全手段分為兩類。

(1) 通過嵌入阻塞功能使攻擊過程不可達。

A. 身份認證

圖7中給出了身份認證的模型示意,使用ω截取認證邏輯視角下的關(guān)鍵步驟。認證狀態(tài)由ql表示,其中僅有一個正確輸入i能夠激活跳轉(zhuǎn)δture,使運行過程繼續(xù)進行,否則將在認證邏輯上終止。

圖7 身份認證的ZFA結(jié)構(gòu)示意

實際應用中,無論是靜態(tài)、動態(tài)密碼、還是數(shù)字證書、指紋虹膜等都可以歸結(jié)為此模型。從ZFA上分析,身份認證的安全增益來自于δture的熵值,因此對于攻擊序列構(gòu)造來講,難度增益取決于m的大小和δture的更新間隔。其中,過認證序列段長度的理論上限為Ο(m),且在下一個更新時刻前,這個值會隨著攻擊經(jīng)驗積累而逐漸減小。但是,如果存在漏洞或后門利用后繞過ql–1→ql+1的方法,那么通過序列長度將為繞行長度Ο(1)。

這種手段能夠以一個獨立的模塊嵌入到某一邏輯層次上,具有很強的普適性,這也是造成現(xiàn)如今認證泛濫的根本原因。

B. 訪問控制

訪問控制與身份認證方法類似,在實際中廣泛應用于網(wǎng)絡設備系統(tǒng)中,以包過濾技術(shù),應用網(wǎng)關(guān)技術(shù),代理服務技術(shù)為代表。以圖 8模型示意為例,將ω設定為防火墻功能邏輯的相應系數(shù),那么,從狀態(tài)ql0至qlm僅有某些i能夠被接受繼而觸發(fā)δappr跳轉(zhuǎn),其他狀態(tài)將拒止于此。對于規(guī)則有效的攻擊序列,其序列長度是+∞; 如果規(guī)則無效,那么其序列長度為Ο(1)。

圖8 防火墻的ZFA結(jié)構(gòu)示意

訪問控制試圖阻截攻擊者利用不安全的服務接口對內(nèi)部網(wǎng)絡進行攻擊,并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告等附加功能,以便于安全管控。雖然它對于規(guī)則有效的攻擊能夠起到絕對的阻斷,但現(xiàn)有攻擊方法大都在其規(guī)則ω層面與正常行為完全一致,因此訪問控制的使用被嚴重受限。

C. 匹配檢測

模式匹配的基礎結(jié)構(gòu)和思想由訪問控制演變而來,其主要進步是結(jié)合了知識庫(病毒庫、木馬庫、安全策略庫等)和信息收集分類分析方法,主動探測和發(fā)現(xiàn)疑似對象的異常行為和特征。

如圖9所示,在ZFA結(jié)構(gòu)上,匹配檢測技術(shù)將阻截功能進行了模塊化,其核心設計是一個正則匹配引擎(RE)。與訪問控制相比,其安全性能的提升主要體現(xiàn)在RE模塊的規(guī)則數(shù)量與高速匹配上。如果進一步拉近視角,將ω設定在RE模塊內(nèi),其匹配引擎本質(zhì)上等價于 FA。在實際應用中,規(guī)則集的膨脹所導致的自動機狀態(tài)空間爆炸問題是匹配技術(shù)應用受限的關(guān)鍵[17]。

圖9 匹配檢測技術(shù)的ZFA結(jié)構(gòu)示意

D. 隔離技術(shù)

阻塞思想的極致運用是隔離技術(shù)。以過去的普遍認知,物理網(wǎng)絡隔離的S不會受到外界攻擊的威脅,攻擊序列無法構(gòu)造。但側(cè)信道攻擊的出現(xiàn)徹底打破了隔離技術(shù)的美好幻想?，F(xiàn)實中,難以實現(xiàn)絕對意義上的隔離,因此只要攻擊者能夠有可利用的“信道”,就能夠?qū)崿F(xiàn)精密構(gòu)造的攻擊過程。

(2) 通過重塑系統(tǒng)邏輯使原有漏洞跳轉(zhuǎn)不可用

相比于第一類的阻塞方式,重塑方法能夠更加徹底的解決問題。由于重塑使得系統(tǒng)狀態(tài)轉(zhuǎn)移圖發(fā)生變化,利用相關(guān)漏洞的跳轉(zhuǎn)δ將不可用,關(guān)聯(lián)的輸入集合Σ都變?yōu)闊o效。

值得權(quán)衡的是,如果想大面積重塑系統(tǒng)邏輯,勢必耗費巨大,其可實現(xiàn)性很低且不能確保新的系統(tǒng)邏輯不存在漏洞; 而小范圍打補丁的方式,則完全依賴于對漏洞的搜尋查找,難以做到全覆蓋。

如圖所示,系統(tǒng)的補丁程序?qū)⒃泄粜蛄兄械奶D(zhuǎn)進行清除,或轉(zhuǎn)化為合法跳轉(zhuǎn)。從安全性能上分析,對于原有漏洞不可用的攻擊序列,其序列長度將變?yōu)?∞; 未涉及的漏洞攻擊,該段序列長度為Ο(1)。這種方式的局限在于可利用漏洞數(shù)量未知性,從以往的經(jīng)驗上完全修補是無法做到的。且由于利益關(guān)系,現(xiàn)實中補丁發(fā)布往往滯后于其開始利用,在這段真空期內(nèi),無有效手段進行防護。

圖10 利用補丁程序移除敏感的跳轉(zhuǎn)路徑

小結(jié)分析:

現(xiàn)如今,傳統(tǒng)防御方法已經(jīng)發(fā)展的相當成熟了。但是相對于網(wǎng)絡攻擊而言存在著天然劣勢。在對攻擊過程進行建模分析時,提到了攻擊的兩個階段。對于現(xiàn)有系統(tǒng)和傳統(tǒng)防御手段,最大的局限性其實在于靜態(tài)、確定、相似的結(jié)構(gòu)。也就是說,雖然可以對系統(tǒng)進行加固,對規(guī)則進行完善,但由于目標環(huán)境仍是靜態(tài)、確定和相似的,所以難以抵擋攻擊者在離線階段的研究分析,新的未知威脅和“繞路”手段將會不斷產(chǎn)生,危害整個網(wǎng)絡環(huán)境。

5.2 MTD技術(shù)

MTD是近年來興起的一種主動防御技術(shù),其基本思想是通過改變脆弱的系統(tǒng)特征參量Var,在防御者已知的隱含前提下,使Var對攻擊者呈現(xiàn)變化,增加攻擊成功的代價。如果攻擊者以分析該系統(tǒng)Var為前提,那么期望于在攻擊者掌握這些特性和構(gòu)造攻擊的時間內(nèi),系統(tǒng)能夠做出改變,擾亂攻擊序列的構(gòu)建。

其代表性應用有地址空間隨機化(ALSR),指令集隨機化(ISR),軟件多樣化(Software Diversity),動態(tài)IP和端口等等。

如圖11所示,當我們對不同的應用場景設置其動態(tài)參量集合Vm為觀察系數(shù)ω時,卻發(fā)現(xiàn)了一個很特別的現(xiàn)象。首先,在相應的觀測系數(shù)ω下,各種應用場景的ZFA結(jié)構(gòu)結(jié)構(gòu)基本一致,只是m的取值有所差別; 再有,MTD的ZFA結(jié)構(gòu)與傳統(tǒng)防御方法中的身份認證ZFA結(jié)構(gòu)也極其相似。

基于這樣一個認知,結(jié)構(gòu)的相似邏輯過程其性能特性上必然也存在相似性。這樣對比來看,文獻[6]中所歸納的覆蓋性,時效性和不可預測性能夠在此得到更深入而形象的解釋。

不過,MTD技術(shù)的出發(fā)點當然要比身份認證高明的多,它并不是一種嵌入式的安全功能,而是深入至攻擊者頻繁利用的系統(tǒng)參量Var。這樣一來,無論是已知或未知威脅,凡是需要準確的Var信息才能形成有效攻擊的行動將全部受到阻礙,系統(tǒng)的安全增益大大提升。對于受阻的攻擊序列來講,需要付出的代價為Ο(m),不受阻的攻擊序列長度為Ο(1)。

綜上分析,以ZFA結(jié)構(gòu)角度看,MTD相當于高級別的身份認證技術(shù),其局限性在也十分明顯。(1)防御機制限于某個ω層面,與ω不相關(guān)的攻擊過程無法得到防御; (2)安全性能決定于可動態(tài)變化的最大值m,存在暴力破解甚至巧妙繞過的可能; (3)動態(tài)變化的時間t也是安全性能的重要因素,同樣也是制約著系統(tǒng)性能的問題。

圖11 MTD技術(shù)的ZFA結(jié)構(gòu)

6 用擬態(tài)防御構(gòu)建“多參數(shù)”的不確定

6.1 CMD及其DHR體系結(jié)構(gòu)

網(wǎng)絡空間擬態(tài)防御(CMD)是一種基于功能集Φ上的異構(gòu)等價執(zhí)行體的主動防御技術(shù)。其核心思想是使目標系統(tǒng)具備動態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy,DHR)的良性體制,通過改進系統(tǒng)架構(gòu)獲得安全增益。

如圖12所示,由輸入代理、異構(gòu)構(gòu)件集合、動態(tài)選擇模塊、執(zhí)行體集合和一致性表決模塊組成其基本結(jié)構(gòu)。動態(tài)選擇模塊將根據(jù)相應算法,從功能等價的異構(gòu)構(gòu)件集合{S1,S2,…,Sm}中選出n個異構(gòu)構(gòu)件作為執(zhí)行體集合{E1,E2,…,En}。系統(tǒng)運行時,輸入代理將輸入復制轉(zhuǎn)發(fā)給當前執(zhí)行體集合中各元素E*,對應的執(zhí)行結(jié)果集合{R1,R2,…,Rn}由一致性判決模塊處理后得出系統(tǒng)的輸出。

DHR是擬態(tài)防御系統(tǒng)的一種體系結(jié)構(gòu),其核心思想是: 引入結(jié)構(gòu)表征的不確定性,使異構(gòu)冗余執(zhí)行體具有動態(tài)化、隨機化的內(nèi)在屬性,并在空間上嚴格隔離異構(gòu)執(zhí)行體之間除了共同的輸入通道和輸入請求序列外,不存在其他的可利用的協(xié)同途徑或機制,通過構(gòu)建動態(tài)異構(gòu)冗余構(gòu)造系統(tǒng)來彌補現(xiàn)有“有毒帶菌”信息系統(tǒng)的安全缺陷。

圖12 DHR基本結(jié)構(gòu)圖

目前,CMD技術(shù)已經(jīng)成功實現(xiàn)于Web服務器系統(tǒng)與路由器系統(tǒng)中,并通過了國家權(quán)威單位的相關(guān)測試評估[18]。聯(lián)合測試團隊在確認提交的受測系統(tǒng)本征功能和性能滿足國家或行業(yè)標準且全過程可保持的前提下,通過擬態(tài)及非擬態(tài)模式對比方式驗證CMD防御的有效性,通過滲透測試驗證CMD對各種滲透攻擊的防御能力,通過“白盒”及“配合植入”后門或病毒木馬等開放式測試手段,檢驗了CMD構(gòu)造在“去協(xié)同化”條件下的協(xié)同攻擊難度。Web服務器擬態(tài)防御原理驗證系統(tǒng),共完成7類70項161例測試驗證,內(nèi)容包括功能測試、HTTP1.1 協(xié)議一致性測試、安全性測試、接入測試、性能測試、兼容一致性測試和互聯(lián)網(wǎng)滲透等測試驗證。路由器擬態(tài)防御原理驗證系統(tǒng),共完成6類43項43例測試驗證,內(nèi)容包括安全性測試、OSPF協(xié)議功能測試、性能測試和互聯(lián)網(wǎng)滲透等測試驗證。

6.2 等價異構(gòu)體的ZFA結(jié)構(gòu)

CMD的測試成功給予了研究者們極大的動力,本文試圖從ZFA結(jié)構(gòu)上描述其核心部件——等價異構(gòu)體的實現(xiàn)過程并分析其安全性能。

從安全原理上來說,CMD是MTD的一種“多維度”拓展。經(jīng)過5.2小節(jié)對MTD的ZFA的模型分析能夠自然的想到,如果對攻擊過程所涉及的參量集合Va進行完整覆蓋,那么將會給攻擊者創(chuàng)造巨大的困難。

如圖所示,多參數(shù)上的MTD技術(shù)應用將會使不確定性達到超線性增長。最理想的情況是,當c個參量正交時,系統(tǒng)的不確定性呈多項式O(mc)增長; 最差的情況是,當c個參量相關(guān)系數(shù)為1時,系統(tǒng)的不確定性呈線性增長O(m)。

圖13 多參數(shù)MTD技術(shù)的ZFA結(jié)構(gòu)

然而,實際情況是(1)隨機化的理想前提條件是已知了大多數(shù)攻擊過程,這一點并不滿足; (2)隨機化的參量需要對攻擊過程有影響,且影響程度應該盡可能大,而目前已知的影響關(guān)系甚少; (3)隨機化集合中的各系統(tǒng)參量應保證相關(guān)性盡量小,而目前對其相關(guān)性關(guān)系認知不足。

除此之外,系統(tǒng)在對參數(shù)集合進行隨機化時需兼顧服務性能。通常攻擊行為使用的系統(tǒng)服務就是正常服務接口,因此如果想為攻擊者創(chuàng)造更大的麻煩,勢必也會使系統(tǒng)的可用性大打折扣。更嚴重的是,為了保證MTD機制的安全性,系統(tǒng)還需要考慮參量集合的動態(tài)性變化,這將進一步加劇系統(tǒng)可用性的降低。

在3.4中,命題1′為功能等價的存在性提供了必要條件。這里做出如下假設。

假設3存在功能集合Φ,有不止一個系統(tǒng)S關(guān)于Φ等價

在假設3的前提下,存在跳轉(zhuǎn)序列δ達到特定的目標狀態(tài)且滿足其限制條件,這里設定限制條件是由相同的輸入i出發(fā)。

實際應用中,假設3通常是可滿足的,那么下列ZFA實現(xiàn)結(jié)構(gòu)的存在性從理論上得到了驗證。

圖14 基于多參數(shù)不確定構(gòu)建的一種實現(xiàn)結(jié)構(gòu)

圖14中,a1 ≠ a2 ≠ … ≠ ak ≠ … ≠ am,b1 ≠ b≠ … ≠ bk ≠ … ≠ bm,c1 ≠ c2 ≠ … ≠ ck ≠ … ≠ cm。從ω上看m個系統(tǒng)實現(xiàn)了從x輸入i最終到y(tǒng)的相同跳轉(zhuǎn)但是以攻擊過程相關(guān)的觀測角度 abc…下其運行過程可能處于不同的狀態(tài)。如果再滿足條件“x出發(fā)i以外的輸入將導致最終達不到統(tǒng)一到y(tǒng)的跳轉(zhuǎn)”,么此ZFA結(jié)構(gòu)就滿足了圖13模型中的功能,將其滿足上述要求的系統(tǒng),統(tǒng)稱為異構(gòu)等價體。異構(gòu)等體為構(gòu)建“多參數(shù)”的不確定性提供了一種實現(xiàn)案,C個異構(gòu)等價體的不確定性最高可呈多項O(mc)增長,帶來了巨大的防御增益。

當然,想要滿足參量間的完全正交條件是幾不可能的,所以CMD引入了動態(tài)性和冗余性使得構(gòu)模型的實現(xiàn)要求得到了降低,這在DHR的抗攻文獻中已經(jīng)得到了證明,本文不再進行討論。

7 結(jié)論與下一步工作

針對當前自動機理論用于安全領域建模存在的問題提出改進動機: (1)系統(tǒng)的全局狀態(tài)變化對于攻擊和防御的識別分析至關(guān)重要,需要盡量完整的表達; (2)系統(tǒng)運行過程中,往往是多個邏輯層面組合交疊著運行,在一個孤立的“視角”下通常難以辨識正常行為與攻擊行為,應當予以拓展。根據(jù)上述2點動機,本文提出一種可變視角的 ZFA結(jié)構(gòu),使用整個系統(tǒng)的參量的取值標示不同狀態(tài),通過設置觀測系數(shù),從而實現(xiàn)靈活多角度的對系統(tǒng)進行描述和分析。從而達到了以下 3點效益: (1)細粒度劃分系統(tǒng)狀態(tài),提高對引發(fā)安全問題的異常因素的辨識能力; (2)增強自動機的表達能力,刻畫出系統(tǒng)運行的完整過程,抽象出安全問題中跨邏輯層的復雜情況; (3)建立不同邏輯層面間,單一層面與整個系統(tǒng)間的聯(lián)系,有助于研究系統(tǒng)參量間的耦合性。

結(jié)合ZFA對攻防過程進行了建模,從3種典型的攻擊模式上分析了現(xiàn)有網(wǎng)絡安全威脅的特點。隨后,討論了傳統(tǒng)安全手段的天然劣勢及MTD技術(shù)的局限性。最后,結(jié)合CMD思想與其DHR模型,從理論上用ZFA構(gòu)建一種“多參數(shù)”不確定性的實現(xiàn)結(jié)構(gòu),單從攻擊序列的在線長度上考慮,CMD中的異構(gòu)執(zhí)行體所帶來的防御增益最高能達到多項式增長O(mn),極大提高了目標系統(tǒng)的防御增益。

本文提出的 ZFA和攻防模型,存在以下問題值得繼續(xù)研究: (1) ZFA對于復雜系統(tǒng)運行全過程的建?？尚行院艿? (2) ZFA結(jié)構(gòu)無法刻畫系統(tǒng)動態(tài)變化過程; (3)對攻防模型中的攻擊難度和防御增益沒有給出完整量化方法。

對于ZFA結(jié)構(gòu)來說,下一步工作有(1)探索ZFA建模實現(xiàn)的可行方法; (2)研究系統(tǒng)狀態(tài)機動態(tài)變化的描述方法; (3)繼續(xù)挖掘模型對于安全問題研究中的定性定量結(jié)論。

根據(jù) ZFA對于現(xiàn)有安全技術(shù)分析,對于構(gòu)建不確定的主動防御技術(shù),下一步工作有(1)研究系統(tǒng)行為與參量的影響關(guān)系; (2)研究系統(tǒng)不同參量間的相關(guān)性關(guān)系; (3) CMD技術(shù)的具體實現(xiàn)研究和測試。

[1] Baker Stewart,“Trustworthy Cyberspace: Strategic Plan for the Federal Cybersecurity Research and Development Program,” Foreign Affairs,pp. 8-10,Dec. 2011.

[2] Wu Jiangxing,“Meaning and Vision of Mimic Computing and Mimic Security Defense,” Telecommunications Science,vol.30,no. 7,pp. 1?7 (in Chinese),2014. (鄔江興,“擬態(tài)計算與擬態(tài)安全防御的原意和愿景”,電信科學,2014,30(7): 1-7.)

[3] Strackx R,Younan Y,Philippaerts P,et al,“Breaking the memory secrecy assumption,” in Proc. Eurosec 2009,pp. 1-8,March,2009.

[4] Snow K Z,Monrose F,Davi L,et al,“Just-In-Time Code Reuse: On the Effectiveness of Fine-Grained Address Space Layout Randomization,” in Proc. IEEE Symposium on Security and Privacy,pp. 574-588,2013.

[5] Dmitry Evtyushkin,Dmitry Ponomarev,Nael Abu-Ghazaleh,“Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR,” in Proc. 49th IEEE/ACM International Symposium on Microarchitecture (MICRO),2016.

[6] Hobson T,Okhravi H,Bigelow D,et al,“On the Challenges of Effective Movement,” in Proc. ACM Workshop on Moving Target Defense,pp. 41-50,2014.

[7] Hoque N,Bhuyan M H,Baishya R C,et al,“Network attacks: Taxonomy,tools and systems,” Journal of Network & Computer Applications,vol.40,no. 1,pp. 307-324,2014.

[8] Kordy B,Piètre-Cambacédès L,Schweitzer P,“DAG-based attack and defense modeling: Don’t miss the forest for the attack trees,”Computer Science Review,s 13–14,pp. 1-38. 2013.

[9] Poolsappasit N,Dewri R,Ray I,“Dynamic Security Risk Management Using Bayesian Attack Graphs,” IEEE Transactions on Dependable and Secure Computing vol.9,no. 1,pp. 61-74,Jan-Feb,2012

[10] Manadhata P K,Wing J M,“An Attack Surface Metric,” IEEE Transactions on Software Engineering,vol.37,no. 3,pp. 371-386,2011.

[11] M Sipser,“Introduction to the theory of computation,” China Machine Press,2006.

[12] Chow T S,“Testing Software Design Modeled by Finite-State Machines,” in Conformance testing methodologies and architectures for OSI protocols,IEEE Computer Society Press,pp. 178-187,1995.

[13] N. Lynch and M. Tuttle,“An introduction to input/output automata,” CWI-Quarterly,vol.2,no. 3,pp. 219–246,Sep 1989.

[14] Yarom,Yuval,and K. Falkner,“FLUSH+RELOAD: a high resolution,low noise,L3 cache side-channel attack,” in Proc. USENIX Security Symposium,pp. 719-732,2014.

[15] Kocher P,Jaffe J,Jun B. “Differential Power Analysis,” Advances in Cryptology CRYPTO’ 99,Springer Berlin Heidelberg,1999.

[16] Mirkovic J,Reiher P,“A taxonomy of DDoS attack and DDoS defense mechanisms,” Acm Sigcomm Computer Communication Review,vol.34,no. 2,pp. 39-53,2010.

[17] Zhang SZ,Luo H,and Fang BX,“Regular expressions matching for network security,” Journal of Software,vol.22,no. 8,pp. 1838?1854 (in Chinese),2011. (張樹壯,羅浩,方濱興,“面向網(wǎng)絡安全的正則表達式匹配技術(shù)”,軟件學報,2011,22(8):1838-1854.)

[18] 上海市科學技術(shù)委員會給國家科技部高新技術(shù)發(fā)展及產(chǎn)業(yè)化司的專題報告,“擬態(tài)防御原理驗證系統(tǒng)測試評估工作情況匯總”,2016.8.

A Cyberspace Attack and Defense Model with Security Performance Analysis Based on Automata Theory

GUO Wei,WU Jiangxing,ZHANG Fan,SHEN Jianliang
National Digital Switching System Engineering & Technological R&D Center,Zhengzhou 450002,China

The incompletion of current automata model for system state expression and the singleness of angle on modeling cannot meet the requirement for characterization of cyberspace attack and defense. To address the problem,this paper proposes an angle-variable Zooming Finite Automaton (ZFA) structure. In ZFA,a complete set of parameters is used to identify the status of the state,and the observation coefficient it set up to enhance the ability of system analysis in a multi angle. The cyberspace attack and defense model and the security performance analysis method are given by means of the ZFA structure. The analysis reveals the natural disadvantage of the traditional security methods and the limitations of the moving target defense technology. Finally,the core components of the Cyberspace Mimic Defense (CMD) theory -- executive isomer architecture is discussed,and theoretically proved that the super linear growth of uncertainty can be obtained by construction at “Multi parameter”.

cyberspace security; automata; zooming; attack and defense model; security performance; cyberspace mimic defense; multi parameter

郭威 于2015年在信息工程大學計算機科學與技術(shù)專業(yè)獲得碩士學位?，F(xiàn)在國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心信息與通信工程專業(yè)攻讀博士學位。研究領域為主動防御、網(wǎng)絡體系結(jié)構(gòu)。Email: guowjss@126.com

鄔江興 中國工程院院士,國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心教授、博士生導師,研究領域為主動防御、交換技術(shù)與寬帶信息網(wǎng)絡、高效能計算。

張帆 于2013年在信息工程大學通信與信息系統(tǒng)專業(yè)獲得博士學位?，F(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心副研究員,碩士生導師。研究領域為主動防御、芯片設計技術(shù)、高性能計算。Email: 13838267352 @qq.com

沈劍良 于2014年在國防科學技術(shù)大學電子科學與技術(shù)專業(yè)獲得博士學位。現(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員,在站博士后。研究領域為網(wǎng)絡體系結(jié)構(gòu)、主動防御、可重構(gòu)計算等。Email: shenjianliang@outlook.com

TP309.1 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.04.003

張帆,博士,副研究員,Email: 13838267352@qq.com。

本課題得到國家自然科學基金面上項目網(wǎng)絡空間擬態(tài)安全異構(gòu)冗余機制研究(61572520)資助、國家自然科學基金創(chuàng)新研究群體項目(No.61521003)和國家重點研發(fā)計劃項目(Nos. 2016YFB0800100,2016YFB0800101)支持。

2016-09-10; 修改日期: 2016-09-30; 定稿日期: 2016-10-17