擬態(tài)防御DHR模型若干問題探討和性能評估

扈紅超,陳福才,王禛鵬

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450002

擬態(tài)防御DHR模型若干問題探討和性能評估

扈紅超,陳福才,王禛鵬

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450002

針對傳統(tǒng)防御技術(shù)難以應(yīng)對未知特征和未知缺陷的攻擊,近年來,工業(yè)界和學(xué)術(shù)界嘗試發(fā)展能夠“改變游戲規(guī)則”的創(chuàng)新性防御技術(shù)。網(wǎng)絡(luò)空間擬態(tài)防御(CMD: Cyberspace Mimic Defense)以動態(tài)異構(gòu)冗余(DHR: Dynamical Heterogeneous Redundant)作為核心架構(gòu)技術(shù)。針對信息系統(tǒng)保護(hù)的元功能,采用非相似余度設(shè)計(jì)方法構(gòu)造多個功能等價的異構(gòu)執(zhí)行體; 在系統(tǒng)運(yùn)行期間,動態(tài)調(diào)度元功能的不同異構(gòu)執(zhí)行體在線運(yùn)行,以阻斷攻擊者的攻擊過程; 同時,利用多模判決機(jī)制對多個異構(gòu)執(zhí)行體的輸出結(jié)果進(jìn)行判決,以檢測是否發(fā)生攻擊。本文針對DHR模型的若干問題進(jìn)行了探討,給出了一種理論分析方法,并進(jìn)行了實(shí)驗(yàn)仿真,理論分析和仿真結(jié)果表明,DHR能夠大幅提升攻擊者攻擊難度,增強(qiáng)信息系統(tǒng)的安全性。

動態(tài)異構(gòu)余度; 動態(tài)調(diào)度; 異構(gòu)性; 冗余性

1 引言

網(wǎng)絡(luò)技術(shù)已廣泛滲透到電力、金融、交通等關(guān)鍵基礎(chǔ)設(shè)施[1]。在促進(jìn)人類社會進(jìn)步的同時,網(wǎng)絡(luò)及信息系統(tǒng)暴露的安全缺陷成為個人(如黑客)、不法團(tuán)體利用攻擊的對象,給人類的生產(chǎn)生活帶來極大的安全威脅,網(wǎng)絡(luò)安全已成為世界各國工業(yè)界和學(xué)術(shù)界共同關(guān)注的熱點(diǎn)問題[2],并開展廣泛研究。然而相對于網(wǎng)絡(luò)防護(hù)技術(shù)的進(jìn)步,網(wǎng)絡(luò)攻擊呈現(xiàn)愈演愈烈的態(tài)勢,究其原因,主要有以下幾點(diǎn)[2]: 一是網(wǎng)絡(luò)空間組成要素的基因單一性,如采用相同的計(jì)算架構(gòu)、硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議等,攻擊者極易利用挖掘的同一安全缺陷,針對不同信息系統(tǒng)發(fā)起多次攻擊; 二是網(wǎng)絡(luò)組成要素的靜態(tài)性,如采用靜態(tài)IP地址、靜態(tài)端口、靜態(tài)路由機(jī)制等,攻擊者很容易進(jìn)行探測和持續(xù)入侵; 三是尚無找到有效檢測安全缺陷的科學(xué)方法,致使多年來網(wǎng)絡(luò)防護(hù)一直延循“亡羊補(bǔ)牢”、“吃藥打針”式的技術(shù)發(fā)展脈絡(luò),從以殺毒軟件、防火墻為代表的被動式防護(hù),發(fā)展到以入侵檢測[3]、蜜罐[4]、沙箱[5]、入侵容忍[6]為代表的主動式防護(hù)。然而,無論是被動式防護(hù)技術(shù)還是傳統(tǒng)式主動防護(hù)技術(shù),皆以發(fā)現(xiàn)攻擊者的攻擊特征(如病毒特征、行為特征)或被攻擊目標(biāo)的安全缺陷為防護(hù)條件,通過配置策略(如防火墻)、規(guī)則(如入侵檢測)或打補(bǔ)丁的方式防護(hù),對于特征未知或缺陷未知的攻擊行為束手無策。

針對這一問題,近年來學(xué)術(shù)界試圖通過創(chuàng)新防御思路,尋求能夠“改變游戲規(guī)則”的防護(hù)技術(shù),其中最具典型代表的是美國學(xué)術(shù)界提出的“移動移動目標(biāo)防御(MTD: Moving Target Defense)[2]”。MTD是針對目前攻防雙方成本的不對稱性,以及被攻擊目標(biāo)缺乏彈性等問題提出的,其主要思想有兩點(diǎn): 一是在信息系統(tǒng)配置屬性上引入動態(tài)性和隨機(jī)性,如采用動態(tài) IP[7-10]、動態(tài)端口[11]、動態(tài)路由[12]、隨機(jī)化執(zhí)行代碼[13]、隨機(jī)化地址空間[14]、隨機(jī)化指令集合[15]和隨機(jī)化數(shù)據(jù)[16]等; 二是提高信息系統(tǒng)要素組成的多樣性,如采用多樣化編譯技術(shù)生成同一軟件的不同版本[17]。移動目標(biāo)防御旨在通過引入動態(tài)性和多樣性,構(gòu)建一種動態(tài)的、多樣的、不確定的運(yùn)行環(huán)境,降低被攻擊對象的可預(yù)測性,從而阻斷攻擊者攻擊過程,提高攻擊者的攻擊難度和攻擊成本。然而,移動目標(biāo)防御技術(shù)以主動變化提高攻擊者攻擊難度為目標(biāo),當(dāng)攻擊者成功入侵系統(tǒng)后,移動目標(biāo)防御無法檢測。

我們期望,一個理想的防御系統(tǒng)不僅能夠大幅提高攻擊者的攻擊難度,還應(yīng)能夠?qū)崟r檢測出成功入侵的攻擊行為,即,防護(hù)技術(shù)本身兼具內(nèi)生的保護(hù)與檢測雙重功能。從網(wǎng)絡(luò)空間安全問題的本質(zhì)原因出發(fā),即,1)安全缺陷(漏洞或后門)在信息系統(tǒng)中存在的普遍性; 2)網(wǎng)絡(luò)空間組成要素的單一性和靜態(tài)性導(dǎo)致安全缺陷易于利用; 3)現(xiàn)有技術(shù)手段難以徹底檢測并消除安全缺陷,鄔江興教授提出了網(wǎng)絡(luò)空間擬態(tài)防御的創(chuàng)新思想。擬態(tài)防御的典型架構(gòu)是動態(tài)非相似余度(DHR: Dynamical Heterogeneous Redundant)機(jī)制,DHR 主要思想有三點(diǎn): 異構(gòu)性(Heterogeneous),即,對信息系統(tǒng)保護(hù)的元功能F進(jìn)行抽象,并采用非相似余度設(shè)計(jì)方法構(gòu)造M個功能等價的異構(gòu)執(zhí)行體; 動態(tài)性(Dynamical),在系統(tǒng)運(yùn)行期間,從 M 中動態(tài)選擇m(隨時間變化)個不同的異構(gòu)執(zhí)行體運(yùn)行,隱藏信息系統(tǒng)內(nèi)部的實(shí)現(xiàn)結(jié)構(gòu); 冗余判決(Redundant),采用多模判決機(jī)制對m個在線的異構(gòu)執(zhí)行體的輸出結(jié)果進(jìn)行一致性判決,檢測是否發(fā)生了攻擊行為。DHR具有如下特點(diǎn): 1)通過異構(gòu)執(zhí)行體的動態(tài)調(diào)度阻斷攻擊者的攻擊過程,能夠大幅增加攻擊者利用未知安全缺陷的難度; 2)攻擊檢測和防護(hù)不再依賴于攻擊特征和安全缺陷的先驗(yàn)知識,具有內(nèi)在的威脅檢測能力; 3)采用DHR能夠基于不安全的構(gòu)件構(gòu)建相對安全的信息系統(tǒng)。

本文的后續(xù)安排如下: 第二部分對與本文思路相關(guān)的工作進(jìn)行歸納和總結(jié),主要包括移動目標(biāo)防御技術(shù)等; 第三部分從一個簡單例子出發(fā)給出擬態(tài)防御的提出動機(jī); 第四部分給出動態(tài)非相似余度的數(shù)學(xué)模型; 第五部分從理論層面分析其的安全性能;第六部分對動態(tài)非相似余度模型進(jìn)行理論評估; 第七部分以路由器為對象研究其實(shí)現(xiàn)案例; 第八部分討論了動態(tài)非相似余度局限性; 第九部分為總結(jié),闡述了本文取得的進(jìn)展及進(jìn)一步開展的工作。

2 相關(guān)工作

本節(jié)對近年來出現(xiàn)的典型創(chuàng)新性防御技術(shù)“移動目標(biāo)防御”的主要思想及研究進(jìn)展,以及與本文思想相關(guān)的機(jī)制如非相似余度、多模判決技術(shù)進(jìn)行簡要的回顧和總結(jié)。

針對移動目標(biāo)防御的研究工作目前主要集中在建模與性能分析、技術(shù)應(yīng)用等方面。在建模與性能分析方面,文獻(xiàn)[18]提出采用攻擊表面模型刻畫移動目標(biāo)防御的有效性,攻擊表面是指攻擊者攻擊時的可利用系統(tǒng)資源集合,而移動目標(biāo)防御正是通過自動地改變系統(tǒng)的配置屬性,動態(tài)地改變暴露給攻擊者的攻擊表面,使其無法預(yù)測,從而達(dá)到提高系統(tǒng)的安全性的目的,作者在該文中對移動攻擊表面問題進(jìn)行了形式化建模,并提出一種量化移動性的方法,并在安全性與可用性之間進(jìn)行折中,同時提出一種雙方隨機(jī)博弈模型來確定最優(yōu)的防御策略。Zhuang R.在移動目標(biāo)防御理論建模方面做了大量的工作,文獻(xiàn)[19]針對企業(yè)網(wǎng)絡(luò)環(huán)境,提出一種基于Markov轉(zhuǎn)移概率的移動目標(biāo)防御有效性分析模型。針對目前移動目標(biāo)防御研究處于起步階段,包括缺乏標(biāo)準(zhǔn)的定義、攻擊表面的具體含義、度量該類系統(tǒng)有效性的標(biāo)準(zhǔn)和理論模型等,作者嘗試為移動目標(biāo)防御建立一套理論框架: 第一步,建立MTD系統(tǒng)的理論,該理論僅關(guān)注系統(tǒng)本身,以及系統(tǒng)如何隨時間的推移不斷調(diào)整以達(dá)到其整體目標(biāo)[20]; 第二步,建立攻擊者理論,該理論描述攻擊者的目標(biāo),以及達(dá)到目標(biāo)所采取的動作[21]; 最后,綜合前兩步成果建立整體的MTD理論,其目的是定義MTD系統(tǒng)理論和攻擊者理論的組成要素之間如何相互交互,該項(xiàng)工作目前還在進(jìn)行之中。另外一類研究思路是采用博弈論來評估移動目標(biāo)防御技術(shù),如文獻(xiàn)[22]采用博弈論方法確定動態(tài)平臺防御的最優(yōu)策略,將攻擊者和防御者之間的交互建模為不完整的“領(lǐng)導(dǎo)-追隨者”兩者博弈。和現(xiàn)有的基于博弈論的研究不同,文獻(xiàn)[23]定義了通用的網(wǎng)絡(luò)防御場景,并利用經(jīng)驗(yàn)博弈論方法,采用系統(tǒng)性的仿真驗(yàn)證攻擊者和防御策略之間的相互作用。[24]采用分級攻擊表示模型(HARM: Hierarchical Attack Representation Model)評估移動目標(biāo)防御技術(shù)的有效性,并比較了部署移動目標(biāo)防御技術(shù)時攻擊圖和HARM的擴(kuò)展性。文獻(xiàn)[25]從機(jī)密性、完整性和可用性三個方面對移動目標(biāo)防御技術(shù)進(jìn)行了研究,并探索了在MTD系統(tǒng)中需要在機(jī)密性和可用性之間進(jìn)行折衷。文獻(xiàn)[26]將網(wǎng)絡(luò)傳播動力學(xué)(Cyber Epidemic Dynamics)模型理論引入到移動目標(biāo)防御的安全性能評估中,以期取得可量化安全性能指標(biāo)。

移動目標(biāo)防御技術(shù)的應(yīng)用可以劃分為三類: 基于終端的、基于網(wǎng)絡(luò)的和基于云的?；诮K端的移動目標(biāo)防御技術(shù)又可分為數(shù)據(jù)級、指令級、代碼級、內(nèi)存級和應(yīng)用級,數(shù)據(jù)級常見技術(shù)為動態(tài)改變數(shù)據(jù)在內(nèi)存中的存儲方式,如基于內(nèi)存對象類別將數(shù)據(jù)和隨機(jī)掩碼執(zhí)行“異或”運(yùn)算; 指令級采用指令隨機(jī)化(ISR: Instruction Set Randomization)技術(shù)改變每個進(jìn)程的指令[27,28],如對進(jìn)程指令進(jìn)行加密,運(yùn)行時進(jìn)行解密,以避免攻擊者注入惡意指令; 代碼級采用的是代碼隨機(jī)化(Code randomization)技術(shù)[31-38],如利用編譯技術(shù)、二進(jìn)制重寫技術(shù)等進(jìn)行代碼隨機(jī)化,防止代碼重用攻擊; 內(nèi)存級使用的是地址空間布局隨機(jī)化技術(shù)(ASLR : Address Space Layout Randomization)[39,40],如在編譯或運(yùn)行時隨機(jī)改變程序的內(nèi)存布局,對抗代碼注入攻擊; 典型的應(yīng)用級技術(shù)是軟件多樣化[41],即針對同一功能的構(gòu)建M個軟件版本;另外一種技術(shù)是組合加密技術(shù)[42,43],該技術(shù)將密鑰切分為多片,避免單一密鑰被竊取或損壞?；诰W(wǎng)絡(luò)的移動目標(biāo)防御技術(shù)的一種典型方法是將網(wǎng)絡(luò)設(shè)備的靜態(tài)配置屬性動態(tài)化,如文獻(xiàn)[7]提出的MT6D(Moving Target IPv6 Defense)基于IPv6巨大的地址空間,在不影響通信雙方會話連接的條件下,透明和動態(tài)地輪轉(zhuǎn)網(wǎng)絡(luò)和傳輸層的地址,使攻擊者難以鎖定和入侵被攻擊目標(biāo),在提高 IP地址跳變的不可預(yù)測性、自適應(yīng)性的同時控制開銷,Jafarian J.H.提出的RHM(Random Host Address Mutation)采用基于地址空間和 IP地址的分層跳變方案[9],在此基礎(chǔ)上,又在文獻(xiàn)[10]中提出了主動自適應(yīng)地址跳變技術(shù),該技術(shù)實(shí)時監(jiān)控攻擊者行為,基于此動態(tài)地執(zhí)行地址跳變; 文獻(xiàn)[8]等研究了基于軟件定義網(wǎng)絡(luò)架構(gòu)下的 IP地址和路由的動態(tài)集中式控制問題; 另外,文獻(xiàn)[11]和[44]分別提出了基于端口跳變和虛擬網(wǎng)影射跳變的移動目標(biāo)防御技術(shù)?；谠频囊苿幽繕?biāo)防御技術(shù)的典型應(yīng)用是利用虛擬機(jī)遷移,解決云資源虛擬化后利用多用戶共存發(fā)起的旁路攻擊[45],另外一種基于“快照、存儲、恢復(fù)”的方法將任務(wù)在多個虛擬機(jī)之間動態(tài)切換執(zhí)行,如文獻(xiàn)[46]提出了基于概率MTD的虛擬機(jī)部署策略。

3 數(shù)學(xué)模型

3.1 控制器威脅啟迪

在軟件定義網(wǎng)絡(luò)中,控制平面生成流表等配置信息,并通過南向接口如Openflow下發(fā)到數(shù)據(jù)平面,數(shù)據(jù)平面依據(jù)控制器下發(fā)的配置對數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā)等處理; 另外,控制平面還需要為用戶提供應(yīng)用開發(fā)和部署的北向接口。因此,若惡意交換機(jī)接入到控制器或惡意應(yīng)用部署到控制器上,攻擊者便可以對控制器進(jìn)行劫持,從而對SDN網(wǎng)絡(luò)發(fā)起任意攻擊。一種典型的攻擊方式是攻擊者劫持控制器后,操縱流表將特定數(shù)據(jù)流轉(zhuǎn)發(fā)到惡意轉(zhuǎn)發(fā)設(shè)備或者是接收者進(jìn)行竊聽。以圖1為例,正常情況下發(fā)送方Sender的所有數(shù)據(jù)流經(jīng)由交換機(jī)SW1,SW2傳輸給Receiver,若攻擊者Attacker通過控制交換機(jī)SW3劫持了控制器Controller,并在控制器上增加了一條表項(xiàng)*,IP1,IP2,25,Group(Group表結(jié)構(gòu)如圖1所示); Controller將該表項(xiàng)下發(fā)到交換機(jī)SW1; 隨后,SW 1接收到Sender發(fā)送到Receiver的所有端口為25(郵件系統(tǒng)知名端口)的數(shù)據(jù)分組后,首先將分組發(fā)送到SW2,再將分組的目的地址修改為Attacker的目的IP3,并發(fā)送到SW 3。

針對這些問題,我們嘗試構(gòu)建了圖2所示的擬態(tài)控制器架構(gòu),其主要特點(diǎn)是: 一是異構(gòu)性,和飛機(jī)的飛控系統(tǒng)類似[47,48],采用了多個(可擴(kuò)展到N個)功能等價、實(shí)現(xiàn)相異的SDN控制器實(shí)例,如運(yùn)行環(huán)境采用不同操作系統(tǒng)和處理器等; 二是動態(tài)性,調(diào)度器動態(tài)地從控制平面中選擇 m(1,2,3)個作為參考依據(jù);三是判決器,判決器將調(diào)度器選擇的SDN的下發(fā)流表作為輸入進(jìn)行判決,并選擇一個作為可信路由下發(fā)到數(shù)據(jù)平面。通過實(shí)驗(yàn)我們發(fā)現(xiàn)該架構(gòu)有以下優(yōu)點(diǎn): 一是異構(gòu)冗余機(jī)制增加了控制器的可靠性,若一個控制器在系統(tǒng)運(yùn)行期間發(fā)生故障,其他控制器可以快速切換; 二是提高了攻擊者攻擊難度,由于動態(tài)調(diào)度器不斷變換當(dāng)前有效的控制器,攻擊者掌握的后門呈現(xiàn)為線上/線下不斷切換,難以持續(xù)利用;三是即使攻擊者攻擊成功 Ctroller1,由于判決器的存在,被加入的流表通過 Ctroller1下發(fā)時也可檢測出來(除非攻擊者在周期T內(nèi)同時入侵了所有控制器,無疑這對攻擊者是極其困難的)。

圖1 控制器劫持示例

3.2 符號定義

為便于后續(xù)描述,首先給出如表1中的符號定義。

表1 本文用到的符號定義

3.3 基本模型

首先考察單個元功能的擬態(tài)防御理論模型,如圖3所示,主要由四部分組成: 異構(gòu)執(zhí)行體集合F、輸入分發(fā)器R、擬態(tài)變換器X和輸出判決器A組成,詳細(xì)討論如下。

3.3.1 異構(gòu)執(zhí)行體表示元功能F的異構(gòu)執(zhí)行體集合,用“異構(gòu)性”和“多樣性”來刻畫。其中,“異構(gòu)性”是指元功能F存在功能相同、結(jié)構(gòu)相異的多個實(shí)例,即,對于任意兩個實(shí)例,滿足; 對于正交相異性,滿足。相異性設(shè)計(jì)的理論和方法是學(xué)術(shù)界和產(chǎn)業(yè)界長期以來關(guān)注的重要課題,最早應(yīng)用于波音和空客民用客機(jī)的飛控系統(tǒng)[47,48]。本文的重點(diǎn)在于如何利用異構(gòu)性提高信息系統(tǒng)安全性,對相異性設(shè)計(jì)的相關(guān)問題不再贅述,后續(xù)工作會進(jìn)一步探討,這里僅給出決定信息系統(tǒng)/網(wǎng)絡(luò)異構(gòu)性的幾個關(guān)鍵屬性: 如處理器(如CPU、FPGA、GPU、DSP等)、操作系統(tǒng)、編譯器、語言、算法、數(shù)據(jù)結(jié)構(gòu)、代碼風(fēng)格、數(shù)據(jù)庫等。

“多樣性”是指F中異構(gòu)執(zhí)行體的種類數(shù)M,M越大,可選擇的異構(gòu)執(zhí)行體組合越多(理論上為 !M),攻擊者需要探測的空間越大,攻擊的難度越高。

3.3.2 分發(fā)器

在任意時刻t,分發(fā)器R將輸入分發(fā)到選擇的m個執(zhí)行體Φt上,每個執(zhí)行體的輸入完全一致,獨(dú)立執(zhí)行計(jì)算,對于功能等價的異構(gòu)執(zhí)行體,相同輸入必產(chǎn)生相同輸出。

圖3 動態(tài)非相似余度模型

圖2 擬態(tài)控制器架構(gòu)

3.3.3 擬態(tài)變換器

擬態(tài)變換器X(為便于描述,擬態(tài)變換器和擬態(tài)變換算法均用X表示)實(shí)現(xiàn)異構(gòu)執(zhí)行體的調(diào)度,同移動目標(biāo)防御,擬態(tài)變換具有“動態(tài)性”: 在系統(tǒng)變換時,依據(jù)當(dāng)前時間t、狀態(tài)s和選擇的m個異構(gòu)執(zhí)行體集合Φt,從F中選取m'個作為(t,t+T)時間區(qū)間運(yùn)行的執(zhí)行體,即。此外,為確保判決器判決的準(zhǔn)確性,任意時刻t運(yùn)行的異構(gòu)執(zhí)行體個數(shù)滿足:。這樣,在觀察者看來,受保護(hù)元功能的物理實(shí)現(xiàn)結(jié)構(gòu)、算法對外呈現(xiàn)出不確定性,難以獲得一致、確定性的視圖,不僅攻擊者可利用的漏洞和后門也呈現(xiàn)不確定性,而且攻擊者的攻擊鏈難以保持連續(xù)性和完整性。在具體實(shí)現(xiàn)上,擬態(tài)變換器必須遵循兩個基本原則: 一是執(zhí)行體切換期間保持系統(tǒng)內(nèi)外部狀態(tài)的一致性; 二是最大化對外呈現(xiàn)不確定性。下面本文針對這兩個問題詳細(xì)討論。

問題1: 異構(gòu)執(zhí)行體動態(tài)切換時狀態(tài)的一致性

執(zhí)行體的狀態(tài)通常包含運(yùn)行狀態(tài)和數(shù)據(jù)兩部分。本文設(shè)計(jì)了圖4所示的框架保證執(zhí)行體切換時狀態(tài)的一致性。在該框架中,在變換控制器的控制下,變換器可以: 1)接收來自外部的切換指令,實(shí)現(xiàn)按照系統(tǒng)預(yù)先設(shè)定的邏輯進(jìn)行切換; 2)根據(jù)安全態(tài)勢感知傳感器(如入侵檢測系統(tǒng))的輸入進(jìn)行切換; 3)根據(jù)判決器的輸入結(jié)果進(jìn)行切換。變換器準(zhǔn)備切換時,首先計(jì)算出下一時間周期內(nèi)選擇的異構(gòu)執(zhí)行體集合,并調(diào)用執(zhí)行體容器。執(zhí)行體容器向資源控制器申請資源(如虛擬機(jī)、內(nèi)存等)成功后,按照執(zhí)行體模板進(jìn)行實(shí)例化,并將執(zhí)行體狀態(tài)池的狀態(tài)數(shù)據(jù)同步到實(shí)例化的執(zhí)行體,待準(zhǔn)備就緒后,變換器向切換管理器請求切換。切換管理器首先將執(zhí)行體加入到運(yùn)行集合中,即并作為判決器的輸入; 其次,將分發(fā)器的數(shù)據(jù)從轉(zhuǎn)移到上; 最后將從運(yùn)行集合中移出,并更改判決器判決集合,同時釋放執(zhí)行體資源。

圖4 異構(gòu)執(zhí)行體切換示意圖

問題2: 如何最大化對外呈現(xiàn)不確定性

從信息論角度來看,信源對外呈現(xiàn)的不確定大小或隨機(jī)性可以用信息熵描述[50]。若將變換器看作離散信源、異構(gòu)執(zhí)行體選擇狀態(tài)看作事件的話,則變換器信息熵可描述為:其中,pj為統(tǒng)計(jì)意義上異構(gòu)執(zhí)行體fj的出現(xiàn)概率。因此,異構(gòu)執(zhí)行體對外呈現(xiàn)不確定性的大小轉(zhuǎn)變?yōu)樾畔㈧氐拇笮?求解最大化對外呈現(xiàn)不確定性問題變?yōu)榍蠼庾畲蠡畔㈧?

由信息論相關(guān)知識可知,由M個異構(gòu)執(zhí)行體構(gòu)成的變換器,當(dāng)每個異構(gòu)執(zhí)行體出現(xiàn)的概率均相等且等于時,達(dá) 到 最 大 值,即,

因而,從異構(gòu)執(zhí)行體個數(shù)M越大,變換器信息熵越大,對外呈現(xiàn)的不確定性越大; 此外,當(dāng)且僅當(dāng)每個控制器出現(xiàn)的概率相同時(前提是每個控制器必須保證完全異構(gòu)),系統(tǒng)的不確定性最大,在設(shè)計(jì)實(shí)際的調(diào)度器應(yīng)依據(jù)這一原則。

3.3.4 判決器

判決器對執(zhí)行體集合Φt的運(yùn)行結(jié)果進(jìn)行裁決,并反饋到變換器X,變換器觸發(fā)系統(tǒng)重構(gòu)對異構(gòu)體進(jìn)行清洗。在入侵容忍系統(tǒng)中,學(xué)者們對判決器的判決原則進(jìn)行了大量的研究,本文不再贅述,重點(diǎn)給出一種基于執(zhí)行體可信度的判決原則WTA(Weighted trustiness based Arbitrament),具體如下: 在系統(tǒng)運(yùn)行開始,根據(jù)歷史經(jīng)驗(yàn)(執(zhí)行體已暴露的漏洞和后門數(shù)量),以及異構(gòu)執(zhí)行體硬件架構(gòu)、運(yùn)行環(huán)境和來源(自主設(shè)計(jì)、外部供給)等賦予可信度權(quán)值; 若時刻t有2l+1個執(zhí)行體運(yùn)行,首先將輸出結(jié)果一致的執(zhí)行體劃分為一個組Gk,便構(gòu)成了集合序列即

其次,計(jì)算每個集合Gk的置信度Wk:

最后,選取置信度最大的集合作為輸出結(jié)果,如下式所示,同時發(fā)現(xiàn)異常的執(zhí)行體。此外,在每次擬態(tài)變換時,系統(tǒng)根據(jù)該周期內(nèi)執(zhí)行表現(xiàn)更新異構(gòu)執(zhí)行體的置信度。需要說明的是,若存在兩個集合Gi和Gj的置信度相同,即,,則隨機(jī)選擇一個集合作為結(jié)果輸出的參考集合。

可以看出,攻擊者若想攻擊成功,必須使得判決器選擇錯誤的輸出集合,即,錯誤結(jié)果對應(yīng)的集合的置信度最大,這也是擬態(tài)防御機(jī)制失效的條件,本文后續(xù)會詳細(xì)討論。

3.4 通用模型

上面探討了單個元功能的擬態(tài)防御模型,實(shí)際的信息系統(tǒng)通常是分層分級的,如典型的信息系統(tǒng)由硬件層、操作系統(tǒng)層、應(yīng)用層等組成; 而網(wǎng)絡(luò)結(jié)構(gòu)同樣也是分層分級的。為實(shí)現(xiàn)攻擊目的,攻擊者需要經(jīng)歷多個中間節(jié)點(diǎn)。基于此特性,下面探討信息系統(tǒng)或網(wǎng)絡(luò)的多級擬態(tài)防護(hù)鏈模型。假設(shè)攻擊者到達(dá)元功能FN之前需攻擊N-1個元功能,本文將攻擊者達(dá)到攻擊目標(biāo)所經(jīng)歷的N個元功能所構(gòu)成的序列稱為防護(hù)鏈,用表示。

定理1: 由N個元功能構(gòu)成的防御鏈H,當(dāng)且僅當(dāng)元功能變換器兩兩相互獨(dú)立時,H獲得最大信息熵,且,其中,Mi為第i個元功能的執(zhí)行體數(shù)。

證明: 首先證明N=2的情況,假設(shè)元功能F1和F2的變換器X1和X2有關(guān)聯(lián),異構(gòu)執(zhí)行體集合分別為的,對應(yīng)的概率分布函數(shù)分別為和,相關(guān)性用條件概率描述,則

4 理論分析

4.1 若干定義

為便于后續(xù)分析,首先給出與理論分析相關(guān)的如下若干定義。

定義1: 攻擊能力用攻擊者攻擊成功的概率密度函數(shù)來描述,記為υ（t）,則攻擊者在t時間內(nèi)攻擊成功的概率記為。若攻擊者對同一目標(biāo)依次發(fā)起了n次攻擊,每次攻擊的持續(xù)時長均為t,攻擊成功的概率分別為,若,且與時間無關(guān),則稱攻擊者的攻擊能力是無記憶的,否則,為有記憶的; 若在任意的攻擊周期內(nèi),和時間無關(guān),即,則稱攻擊者攻擊能力是非時變的,否則為時變的。

從物理意義上講,υ（t）描述了攻擊成功概率的變化速率,即單位時間內(nèi)攻擊成功概率的分布,本文選取“凸”型概率密度函數(shù)來刻畫攻擊者的攻擊能力,即,

其中,λ均為常量。

在該概率密度函數(shù)下,攻擊者在開始的一段時間內(nèi)攻擊能力迅速積累,但隨著時間的增長,攻擊能力增長變緩,但成功概率逼近于1,如圖5所示。

圖5 “凸”型概率密度函數(shù)

定義2: 攻擊成功對于非相似性余度系統(tǒng),若不考慮非攻擊因素導(dǎo)致的執(zhí)行體失效問題,“攻擊者攻擊成功”等價于“判決器判決法則失效”。根據(jù)“3.3.4”中所述,“判決器判決法則失效”等價于“輸出一致錯誤的執(zhí)行體個數(shù)大于輸出一致正確的執(zhí)行體個數(shù)”,即:

通常,由于各異構(gòu)執(zhí)行體漏洞和后門的差異性(采用了不同硬件平臺、不同開發(fā)工具、不同操作系統(tǒng)、不同數(shù)據(jù)結(jié)構(gòu)和算法等因素),即使攻擊者成功入侵了不同的異構(gòu)執(zhí)行體,尚若沒有使各執(zhí)行體產(chǎn)生一致的錯誤輸出,從判決器判決的角度來看,依舊攻擊不成功,即:

定義3: 安全增益對于防御者而言,攻擊者攻擊不成功的概率反映了其安全性能,因此,本文用在采用和不采用動態(tài)非相似性余度模型下,攻擊者攻擊不成功的概率的比值來刻畫安全增益,若攻擊者對應(yīng)的攻擊成功的概率分別記為p′和p,則安全增益Δ定義為:

定義4: 收益投資比由于采用動態(tài)非相似性余度模型時需要多個異構(gòu)體并行執(zhí)行元功能,并隨著時間的推移需要對異構(gòu)執(zhí)行體動態(tài)調(diào)度,因此,系統(tǒng)資源開銷要大于不采用動態(tài)非相似性余度模型的系統(tǒng),分別用R和R′代表前后系統(tǒng)資源代價,則收益投資W定義為:

本節(jié)對從安全增益和投資收益比兩個方面對擬態(tài)防御架構(gòu)的安全性進(jìn)行分析。為便于分析,首先給出如下的定義和假設(shè)條件。

4.2 假設(shè)條件

假設(shè)1:攻擊者預(yù)先不知道被攻擊節(jié)點(diǎn)的擬態(tài)變換算法X,同樣不知道異構(gòu)執(zhí)行體的實(shí)現(xiàn)結(jié)構(gòu)Λ和實(shí)現(xiàn)算法φ,必須在攻擊過程中通過探測才能獲取。

假設(shè)2:為便于分析,假設(shè)攻擊者的攻擊是無記憶的,即,若攻擊者在相同條件下先后針對F獨(dú)立發(fā)起了 n次攻擊,每次持續(xù)時長為 t,攻擊成功的概率密度為υ（t ）,第i次攻擊成功的概率為,那么滿足:

假設(shè)3:為便于分析,假設(shè)攻擊者對相同元功能的異構(gòu)執(zhí)行體攻擊成功的概率密度函數(shù)均相同,即對于

假設(shè)4:同樣為便于分析,假設(shè)判決器采用了大數(shù)判決原則,即每個異構(gòu)執(zhí)行體的可信度權(quán)值滿足:且任意時刻有2 l+ 1個異構(gòu)執(zhí)行體運(yùn)行。

4.3 場景設(shè)定

本節(jié)嘗試系統(tǒng)在采用動態(tài)非相似余度模型下,量化其安全增益和收益投資比,并嘗試給出動態(tài)非相似余度理論模型的性能界。為便于對比,假設(shè)除設(shè)定的防御機(jī)制外,被保護(hù)系統(tǒng)沒有采取其他的安全措施,如入侵檢測、防火墻等。本文分析單節(jié)點(diǎn)情形,在該情形下,假設(shè)攻擊者攻擊成功的概率密度函數(shù)是時變的,被攻擊執(zhí)行體的攻擊狀態(tài)是不可累積的,且執(zhí)行體在擬態(tài)變換時執(zhí)行清洗,攻擊者必須在周期T內(nèi)攻擊成功l+1個執(zhí)行體才能攻擊成功。

4.4 評估模型

假設(shè)攻擊者同一時刻只能攻擊一個異構(gòu)執(zhí)行體,在任意攻擊周期T內(nèi),隨機(jī)從2 l+ 1個異構(gòu)執(zhí)行體中選取 l+ 1個作為攻擊對象,該 l +1執(zhí)行體被攻擊成功的密度函數(shù)分別為,被攻擊成功所需時間分別為,則在t時間內(nèi)被攻擊成功的概率為:

用 F1( t)表示在一個擬態(tài)變換周期T內(nèi)攻擊成功的概率分布,則需考慮從 M個異構(gòu)執(zhí)行體集合中選取(l+1)個執(zhí)行體的所有組合情況,則,

若每一個異構(gòu)執(zhí)行體被攻擊成功的概率密度函數(shù)均為υ ( t),則,

5 仿真實(shí)驗(yàn)

本節(jié)基于第 4節(jié)的分析結(jié)果,給出在“I)單節(jié)點(diǎn)模型和 II)防護(hù)鏈模型”兩場景下擬態(tài)防御的安全性能的數(shù)值解。試驗(yàn)環(huán)境采用的是Lenovo ThinkCentre工作站,處理器為i7-4700@3.60GHz,內(nèi)存為8.0GB,操作系統(tǒng)為 Windows7 64位版本,編程環(huán)境為Matlab2013b。從4.4節(jié)可以看出,攻擊者在時間t內(nèi)攻擊成功的概率和異構(gòu)執(zhí)行體的個數(shù) M、在線運(yùn)行的執(zhí)行體個數(shù)2l+1、擬態(tài)變換周期T和攻擊者的概率密度函數(shù)有關(guān)。試驗(yàn)過程如下: 首先計(jì)算在T取固定值,l取不同值時系統(tǒng)的防御性能; 其次,計(jì)算在l取固定值,T取不同值時系統(tǒng)的防御性能。

圖7.(a)、7.(b)和 7.(c)分別給出了攻擊成功概率密度函數(shù)為指數(shù)函數(shù)(取λ=0.5)、擬態(tài)變換周期 T=2、l=1、2、3時,系統(tǒng)的防御性能、安全增益和收益投資比隨l的變化曲線?？梢钥闯?防御性能以及安全增益隨異構(gòu)執(zhí)行體的個數(shù)增加而增加,這與預(yù)期結(jié)果一致; 然而收益投資比則不一定,如l=3時的收益投資比高于l=1,卻低于l=2時。

圖8.(a)、8.(b)和 8.(c)分別給出了攻擊成功概率密度函數(shù)為指數(shù)函數(shù)(取λ=0.5),l分別為1、2、3,T的取值為1,2,3對系統(tǒng)的防御性能的影響。從圖中可以看出,T取值越小,則系統(tǒng)防御性能越好; 從該圖也可以看出,系統(tǒng)防御性能隨l增加而增加。

6 局限性討論

可以看出,擬態(tài)防御的實(shí)施前提是所保護(hù)的元功能必須具有輸出,即對于相同的輸入,必須產(chǎn)生一致的可預(yù)測的輸出結(jié)果,這樣多個異構(gòu)執(zhí)行體的執(zhí)行結(jié)果才能進(jìn)行比較,以判決被保護(hù)的元功能是非被攻擊,對于沒有一致的輸出結(jié)果的元功能,無法應(yīng)用擬態(tài)防御思想; 另外,擬態(tài)防御無法應(yīng)對針對資源有限性發(fā)起的攻擊,如 DDoS(Distributed Denial of Service)等,這類攻擊本質(zhì)上關(guān)注的不是致使被攻擊系統(tǒng)產(chǎn)生錯誤的輸出,而是使系統(tǒng)資源耗盡,無法對外提供服務(wù); 此外,擬態(tài)防御也無法保護(hù)協(xié)議規(guī)程本身存在的缺陷,如針對BGP路由協(xié)議的中間人劫持攻擊,因?yàn)樵擃惞衾昧薆GP協(xié)議本身的設(shè)計(jì)缺陷,所有基于該協(xié)議實(shí)現(xiàn)的異構(gòu)執(zhí)行體均存在相同脆弱性。

圖6 防御性能、安全增益和收益投資比隨l變化曲線

圖7 防御性能隨l和變換周期T的變化曲線

7 結(jié)論

本文針對現(xiàn)有防御技術(shù)無法應(yīng)對未知特征和未知缺陷的攻擊,提出了一種理想的防御機(jī)制,稱為擬態(tài)防御,或動態(tài)非相似余度(DHR: Dynamical Heterogeneous Redundant)。DHR標(biāo)準(zhǔn)框架主要由異構(gòu)執(zhí)行體集合、分發(fā)器、擬態(tài)變換器和判決器組成,主要思路是針對保護(hù)的元功能構(gòu)造多個功能等價的異構(gòu)執(zhí)行體,利用擬態(tài)變換器動態(tài)調(diào)度在線的異構(gòu)執(zhí)行體,使異構(gòu)執(zhí)行體對外呈現(xiàn)線上/線下的動態(tài)切換,從而使異構(gòu)執(zhí)行體的后門和漏洞難以利用,達(dá)到阻斷攻擊者的攻擊過程的目的; 同時依托判決器,實(shí)現(xiàn)在攻擊發(fā)生時,能夠發(fā)現(xiàn)未知攻擊。

本文首先介紹了網(wǎng)絡(luò)空間擬態(tài)防御DHR的基本模型,并在基本模型的基礎(chǔ)上推廣到一般的信息系統(tǒng)或網(wǎng)絡(luò),構(gòu)建了具有N個節(jié)點(diǎn)的防護(hù)鏈模型,并分為四種場景對基本模型和防護(hù)鏈模型的效果進(jìn)行了理論推導(dǎo),針對攻防過程的復(fù)雜性,難以得出解析解,因此,在理論推導(dǎo)的基礎(chǔ)上給出了特定參數(shù)下的數(shù)值解。理論和實(shí)踐結(jié)果均表明,在一定程度上增大系統(tǒng)資源開銷的條件下,擬態(tài)防御能夠顯著提升被保護(hù)系統(tǒng)的安全性,具備兩個顯著的優(yōu)點(diǎn): 1)無需漏洞和后門特征就可以防護(hù); 2)系統(tǒng)具備內(nèi)置的發(fā)現(xiàn)攻擊的能力; 3)可以基于不安全的異構(gòu)執(zhí)行體構(gòu)建安全的信息系統(tǒng)。

當(dāng)然,本文著重介紹擬態(tài)防御的基本思想,無論在理論研究還是工程實(shí)踐上都有大量工作需要進(jìn)一步研究,包括: 如何評估異構(gòu)執(zhí)行體之間的相異性、如何在獲得安全性的同時不降低系統(tǒng)的性能,以及如何在現(xiàn)有系統(tǒng)中導(dǎo)入擬態(tài)防御等。

致 謝

本文工作受到中國博士后基金項(xiàng)目(No.44603)、國家自然科學(xué)基金項(xiàng)目(No.61309020)、國家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目(No.61521003)和國家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(Nos. 2016YFB0800100,2016YFB0800101)。網(wǎng)絡(luò)空間擬態(tài)防御由信息工程大學(xué)鄔江興教授于2013年提出,本文的相關(guān)工作是在鄔江興教授相關(guān)工作的基礎(chǔ)上完成的。

[1] National Science and Technology Council,Federal Cybersecurity Research and Development Strategic Plan,Feb.,2016.

[2] National Science and Technology Council,Trustworthy Cyberspace: Strategic Plan for The Federal Cybersecurity Research and Development Program,Dec.,2011.

[3] National Institute of Standards and Technology,Guide to Intrusion Detection and Prevention Systems (IDPS),Feb.,2007.

[4] L. Spitzner. Honeypots: catching the insider threat,Computer Security Applications Conference,IEEE,2003,pp.170 – 179.

[5] Suman Jana; Donald E. Porter; Vitaly Shmatikov,TxBox: Building Secure,Efficient Sandboxes with System Transactions,2011 IEEE Symposium on Security and Privacy, Date 22-25 May 2011,pp. 329-344.

[6] Feiyi Wang; F. Jou; Fengmin Gong; C. Sargor; K. Goseva-Popstojanova; K. Trivedi,SITAR: A Scalable Intrusion-tolerant Architecture for Distributed Services,Foundations of Intrusion Tolerant Systems,2003,pp. 359-367.

[7] Dunlop M,Groat S,Urbanski W,et al. Mt6d: A moving target ipv6 defense[C]//Military Communications Conference,2011-Milcom 2011. IEEE,2011: 1321-1326.

[8] Jafarian J H,Al-Shaer E,Duan Q. Openflow random host mutation: transparent moving target defense using software defined networking[C]//Proceedings of the first workshop on Hot topics in software defined networks. ACM,2012: 127-132.

[9] Jafarian J H,Al-Shaer E,Duan Q. An Effective Address Mutation Approach for Disrupting Reconnaissance Attacks[J]. Information Forensics and Security,IEEE Transactions on,2015,10(12): 2562-2577.

[10] Jafarian J H,Al-Shaer E,Duan Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]//Computer Communications (INFOCOM),2015 IEEE Conference on. IEEE,2015: 738-746.

[11] Luo Y B,Wang B S,Cai G L. Effectiveness of Port Hopping as a Moving Target Defense[C]//Security Technology (SecTech),2014 7th International Conference on. IEEE,2014: 7-10.

[12] E. Al-Shaer,W. Marrero,A. El-Atway and K. AlBadani,Network Configuration in a Box: Towards End-to-End Verification of Network Reachability and Security,In Proceedings of 17th International Conference on Network Communications and Protocol (ICNP’09),pp. 123-132,Princeton,2009.

[13] Portner J,Kerr J,Chu B. Moving Target Defense Against Cross-Site Scripting Attacks (Position Paper)[M]//Foundations and Practice of Security. Springer International Publishing,2014: 85-91.

[14] Hovav Shacham,Matthew Page,Ben Pfaff,Eu-Jin Goh,Nagendra Modadugu,and Dan Boneh. On the effectiveness of address-space randomization. In ACM Conference on Computer and Communications Security (CCS),CCS ’04,pages 298–307,New York,NY,USA,2004. ACM.

[15] Stephen W. Boyd,Gaurav S. Kc,Michael E. Locasto,Angelos D. Keromytis,and Vassilis Prevelakis. On The General Applicability of Instruction-Set Randomization. IEEE Transactions on Dependable and Secure Computing,7(3),2010.

[16] Anh Nguyen-Tuong,David Evans,John C. Knight,Benjamin Cox,and Jack W. Davidson. Security through Redundant Data Diversity. In IEEE/IFPF International Conference on Dependable Systems and Networks,June 2008.

[17] Azab M,Eltoweissy M. ChameleonSoft: Software behavior encryption for moving target defense[J]. Mobile Networks and Applications,2013,18(2): 271-292.

[18] Pratyusa K. Manadhata and Jeannette M. Wing. An attack surface metric. IEEE Transactions on Software Engineering,99(PrePrints),2011,Volume: 37,Issue: 3,Pages: 371 – 386.

[19] Zhuang R,DeLoach S A,Ou X. A model for analyzing the effect of moving target defenses on enterprise networks[C]//Proceedings of the 9th Annual Cyber and Information Security Research Conference. ACM,2014: 73-76.

[20] Zhuang R,DeLoach S A,Ou X. Towards a Theory of Moving Target Defense[C]//Proceedings of the First ACM Workshop on Moving Target Defense. ACM,2014: 31-40.

[21] Rui Zhuang,Alexandru G. Bardas,Scott A. DeLoach,Xinming Ou. A Theory of Cyber Attacks[C]//Proceedings of the Second ACM Workshop on Moving Target Defense. ACM,2015.

[22] Carter K M,Riordan J F,Okhravi H. A Game Theoretic Approach to Strategy Determination for Dynamic Platform Defenses[C]//Proceedings of the First ACM Workshop on Moving Target Defense. ACM,2014: 21-30.

[23] Prakash A,Wellman M P. Empirical Game-Theoretic Analysis for Moving Target Defense[C]//Proceedings of the Second ACM Workshop on Moving Target Defense. ACM,2015: 57-65.

[24] Jin B. Hong,Dong Seong Kim. Assessing the effectiveness of moving target defenses using security models[J]//Dependable and Secure Computing,IEEE Transactions on,2015,10(11): 1545-5971.

[25] Cyber Cybenko G,Hughes J. No free lunch in cyber security[C]//Proceedings of the First ACM Workshop on Moving Target Defense. ACM,2014: 1-12.

[26] Yujuan Han,Wenlian Lu,Shouhuai Xu. Characterizing the Power of Moving Target Defense via Cyber Epidemic Dynamics,Hot-SoS’14,Proceedings of the 2014 Symposium and Bootcamp on the Science of Security,April 08 - 09 2014,Raleigh,NC,USA.

[27] G. Kc,A. Keromytis,and V. Prevelakis. Countering code-injection attacks with instruction-set randomization. In Proc. ACM CCS’03

[28] E. Barrantes,D. Ackley,T. Palmer,D. Stefanovic,and D. Zovi. Randomized instruction set emulation to disrupt binary code injection attacks. In Proc. ACM CCS’03,pp 281–289.

[29] F. Cohen. Operating system protection through program evolution. Comput. Secur.,12(6):565–584,October 1993

[30] S. Forrest,A. Somayaji,and D. Ackley. Building diverse computer systems. In Proc. HotOS-VI.

[31] C. Giuffrida,A. Kuijsten,and A. Tanenbaum. Enhanced operating system security through efficient and fine-grained address space randomization. In Proc. USENIX Security’12

[32] A. Homescu,S. Brunthaler,P. Larsen,and M. Franz. Librando: transparent code randomization for just-in-time compilers. In Proc. ACM CCS’13

[33] T. Jackson,B. Salamat,A. Homescu,K. Manivannan,G. Wagner,A. Gal,S. Brunthaler,C. Wimmer,and M. Franz. Diversifying the Software Stack Using Randomized NOP Insertion In S. Jajodia,A. Ghosh,V. Swarup,C. Wang,and X. Wang,editors,Moving Target Defense,pages 77–98.

[34] V. Kiriansky,D. Bruening,and S. Amarasinghe. Secure execution via program shepherding. In Proc. USENIX Security’02.

[35] C. Luk,R. Cohn,R. Muth,H. Patil,A. Klauser,G. Lowney,S. Wallace,V. Reddi,and K. Hazelwood. Pin: Building customized program analysis tools with dynamic instrumentation. In Proc. PLDI’05.

[36] N. Nethercote and J. Seward. Valgrind: A framework for heavyweight dynamic binary instrumentation. In PLDI’07.

[37] V. Pappas,M. Polychronakis,and A. Keromytis. Smashing the gadgets: Hindering return-oriented programming using in-place code randomization. In IEEE Symposium on Security and Privacy’12.

[38] R. Wartell,V. Mohan,K. Hamlen,and Z. Lin. Binary stirring: Self-randomizing instruction addresses of legacy x86 binary code. In ACM CCS’12.

[39] The PaX Team. http://pax.grsecurity.net/docs/aslr.txt.

[40] S. Bhatkar,D. DuVarney,and R. Sekar. Address obfuscation: An efficient approach to combat a board range of memory error exploits. In USENIX Security Symposium,2003.

[41] A. Avizienis. The n-version approach to fault-tolerant software. IEEE TSE,(12): 1491–1501,1985.

[42] Y. Desmedt and Y. Frankel. Threshold cryptosystems. In CRYPTO’89,pages 307–315.

[43] A. Shamir. How to share a secret? CACM,22:612–613,1979.

[44] Fida Gillani,Ehab Al-Shaer,Samantha Lo,etc.,Agile Virtualized Infrastructure to Proactively Defend Against Cyber Attacks[C]//INFOCOM 2015,ACM,2015.

[45] Vikram S,Yang C,Gu G. Nomad: Towards non-intrusive moving-target defense against web bots[C]//Communications and Network Security (CNS),2013 IEEE Conference on. IEEE,2013: 55-63.

[46] Peng W,Li F,Huang C T,et al. A moving-target defense strategy for Cloud-based services with heterogeneous and dynamic attack surfaces[C]//Communications (ICC),2014 IEEE International Conference on. IEEE,2014: 804-809.

[47] Design Considerations in Boeing 777 Fly-By-Wire Computers,Y. C. (Bob) Yeh,Boeing Commercial Airplane Group.

[48] Triple-Triple Redundant 777 Primary Flight Computer,Y. C. (Bob) Yeh.

[49] Stefano Vissicchio,Luca Cittadini,Olivier Bonaventure,Geoffrey G. Xie,Laurent Vanbever. On the Co-Existence of Distributed and Centralized Routing Control-Planes.

[50] Robert M. Gray. Entropy and Information Theory,Springer,2011.

[51] J. Moy. OSPF Version 2,RFC2328,https://tools.ietf.org/html/ rfc2328.

[52] ZTE. ZXR10 M6000-S Carrier-class Router. http://wwwen.zte. com.cn/en/products/ bearer/ data_communication/router_bmsg.

Performance Evaluations on DHR for Cyberspace Mimic Defense

HU Hongchao,CHEN Fucai,WANG Zhenpeng
National Digital Switching System Engineering & Technological R&D Center,Zhengzhou 450002,China

In recent years,both academia and industry have tried to develop innovative defense technologies,since existing defense technologies are difficult to deal with the attacks employing unknown security flaws or backdoors. Starting from analyzing the root causes of security problems in cyberspace,that is,1) security flaws (holes and the back doors) in information systems are universal; 2) current cyberspace elements are static and homogeneous,as a result,the security flaws can be widely adopted; 3) existing techniques are difficult to check and remove security flaws. Due to this,professor Wu Jiangxing proposed a novel defense framework,namely cyberspace mimic defense (CMD),to defense network attacks employing unknown security flaws by introducing dynamical dissimilarity redundancy mechanism (DHR: dynamical heterogeneous redundant). DHR constructs several functionally equivalent variants for the meta function to be protected,dynamically schedules several variants to run in parallel to block the attacking process. At the same time,it uses multimode decision mechanism to decide which outputs of the running variants are correct and whether attacks have occurred. This paper mainly focuses on the evaluation issue of DHR,and analyzes its performance with a theoretical model. Simulations results show that DHR can significantly improve the security performance of information systems.

Dynamical,heterogeneous and redundant; dynamical scheduling; heterogeneity; redundancy

扈紅超 于 2010年在信息工程大學(xué)信息與通信工程專業(yè)獲得博士學(xué)位。現(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心副研究員。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全防御、云安全、新型網(wǎng)絡(luò)體系結(jié)構(gòu)。Email: 13633833568@139.com

陳福才 于2002年在信息工程大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)獲得碩士學(xué)位?，F(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心研究員。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全防御、電信網(wǎng)安全、云安全等。Email: 13503827650@139.com

王禛鵬 于 2015年在武漢大學(xué)通信工程專業(yè)獲得學(xué)士學(xué)位?，F(xiàn)在國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心信息與通信工程專業(yè)攻讀碩士學(xué)位。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全防御。Email: whuwzp@foxmail.com

TN919.21 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.04.004

扈紅超,博士,副研究員,Email:13633833568@139.com。

本課題得到中國博士后基金項(xiàng)目(No.44603)、國家自然科學(xué)基金項(xiàng)目(No.61309020)、國家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目(No.61521003)和國家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(Nos.2016YFB0800100,2016YFB0800101)資助。

2016-09-13; 修改日期: 2016-09-23; 定稿日期: 2016-10-20