網(wǎng)絡(luò)空間安全擬態(tài)防御技術(shù)概述

李政 白利芳 唐剛 朱信銘

摘 要：本文扼要分析了網(wǎng)絡(luò)空間安全攻防不對(duì)稱的現(xiàn)狀，概要闡述了擬態(tài)防御技術(shù)的發(fā)展歷程，重點(diǎn)論述了主動(dòng)防御的基礎(chǔ)原理及其抗攻擊性，最后就主動(dòng)防御的測(cè)試評(píng)估和應(yīng)用實(shí)踐情況進(jìn)行了介紹，并對(duì)其優(yōu)勢(shì)與挑戰(zhàn)進(jìn)行了分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；主動(dòng)防御；擬態(tài)防御；動(dòng)態(tài)異構(gòu)冗余

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）20-0037-03

1 網(wǎng)絡(luò)空間安全現(xiàn)狀

作為“陸、海、空、天”后的第五空間，網(wǎng)絡(luò)空間正處于“有毒帶菌”，且“易攻難守”的不對(duì)稱格局。一方面，網(wǎng)絡(luò)空間自身在頂層架構(gòu)設(shè)計(jì)，生產(chǎn)、供應(yīng)和服務(wù)鏈等各環(huán)節(jié)均存在“已知”、“已知的未知”或“未知的未知”安全風(fēng)險(xiǎn)?！耙阎憋L(fēng)險(xiǎn)不存在技術(shù)上的難度，但由于安全意識(shí)和管理不足往往導(dǎo)致應(yīng)對(duì)策略落實(shí)不到位；“已知的未知”風(fēng)險(xiǎn)雖被識(shí)別，但不確定其發(fā)生概率和影響；而“未知的未知”風(fēng)險(xiǎn)（如0day），因無法知曉攻擊相關(guān)任何信息，針對(duì)性防御無從談起。此外，即便采取了應(yīng)對(duì)策略或應(yīng)急措施，仍可能存在次生風(fēng)險(xiǎn)和殘留風(fēng)險(xiǎn)，即任何國(guó)家或組織都無法從根本上消除其網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的安全隱患。

另一方面，現(xiàn)有防御體系存在基因缺陷。大多以檢測(cè)、阻斷為主，且基于攻擊相關(guān)信息等先驗(yàn)知識(shí)，架構(gòu)透明、處理空間單一，本質(zhì)上是被動(dòng)、靜態(tài)的。攻擊者用極小的成本即可讓網(wǎng)絡(luò)空間面臨巨大的威脅，在易攻難守的不對(duì)稱態(tài)勢(shì)下，主動(dòng)防御逐步成為研究焦點(diǎn)，優(yōu)勢(shì)漸顯。主動(dòng)防御即在攻擊的具體方法和步驟被知悉前實(shí)現(xiàn)防御部署，有效彌補(bǔ)被動(dòng)防御的缺陷。目前，典型的主動(dòng)防御技術(shù)有入侵容忍[1，4，5]、移動(dòng)目標(biāo)[2，3]、擬態(tài)防御等，其中擬態(tài)防御[6，7]是我國(guó)自主研創(chuàng)的新興主動(dòng)防御技術(shù)，其理論技術(shù)和應(yīng)用實(shí)踐均通過權(quán)威的測(cè)試和評(píng)估，有望成為網(wǎng)絡(luò)安全“再平衡戰(zhàn)略”的有力抓手。

2 擬態(tài)防御發(fā)展歷程

2007年，中國(guó)工程院院士鄔江興首次將擬態(tài)計(jì)算概念引入域名防御系統(tǒng)。2013年，首臺(tái)擬態(tài)計(jì)算機(jī)原理樣機(jī)研制成功，并提出網(wǎng)絡(luò)空間擬態(tài)防御理論。2016年，“Web服務(wù)器擬態(tài)防御原理驗(yàn)證系統(tǒng)”和“路由器擬態(tài)防御原理驗(yàn)證系統(tǒng)”研制成功，并通過科技部委托組織的網(wǎng)絡(luò)通信和安全領(lǐng)域的權(quán)威測(cè)評(píng)驗(yàn)證。2017年10月，工信部正式批復(fù)《關(guān)于開展擬態(tài)防御技術(shù)試點(diǎn)工作的通知》，確定河南聯(lián)通與擬態(tài)團(tuán)隊(duì)開展擬態(tài)域名服務(wù)防御系統(tǒng)試點(diǎn)工作。2018年1月，全球首套擬態(tài)域名服務(wù)器在中國(guó)聯(lián)通河南分公司上線，首次在運(yùn)營(yíng)商現(xiàn)網(wǎng)環(huán)境進(jìn)行試點(diǎn)應(yīng)用和量化評(píng)估。4月，全球首套擬態(tài)防御網(wǎng)絡(luò)設(shè)備在鄭州投入互聯(lián)網(wǎng)線上服務(wù)，擬態(tài)防御在應(yīng)用實(shí)踐和產(chǎn)業(yè)化進(jìn)程中邁出了里程碑式的一步。

3 擬態(tài)防御理論

3.1 擬態(tài)防御原理

擬態(tài)防御的靈感源于自然界基于內(nèi)生機(jī)理的“擬態(tài)偽裝”，在本征功能不變的條件下，能以不確定色彩、紋理和形狀等變化給捕獵者或捕獵目標(biāo)造成認(rèn)知錯(cuò)覺。同理，在不影響服務(wù)功能和性能正常提供的條件下，類似于系統(tǒng)架構(gòu)、運(yùn)行機(jī)制、異常響應(yīng)以及未知脆弱點(diǎn)等，均可通過類似擬態(tài)偽裝的方式進(jìn)行主動(dòng)隱匿，以達(dá)到干擾或阻斷攻擊的目的，這種在網(wǎng)絡(luò)空間中的擬態(tài)偽裝稱為“擬態(tài)防御”（Mimic Defense， MD）。將一個(gè)存在未知漏洞、后門或病毒、木馬等軟硬件代碼的“有毒帶菌”異構(gòu)執(zhí)行環(huán)境稱為擬態(tài)防御界。

擬態(tài)防御的實(shí)現(xiàn)基于動(dòng)態(tài)異構(gòu)冗余[7]（Dynamic Heterogeneous Redundancy，DHR）思想。異構(gòu)冗余即異構(gòu)冗余集合中的任意元素，無論是單獨(dú)使用還是多元素并聯(lián)或組合使用，均可實(shí)現(xiàn)等價(jià)功能的一種機(jī)制，其理論基礎(chǔ)是異構(gòu)的冗余元素共性設(shè)計(jì)缺陷導(dǎo)致共模故障屬于小概率事件。該機(jī)制的典型范例即非相似余度構(gòu)造，如圖1所示。

DHR即在異構(gòu)冗余的基礎(chǔ)上加入動(dòng)態(tài)性和隨機(jī)性，使系統(tǒng)呈現(xiàn)相當(dāng)程度的不確定性，擾亂攻擊者信息鏈，攻擊難度非線性增加，攻擊成功成為極小概率事件。其實(shí)現(xiàn)主要基于異構(gòu)冗余體池中冗余執(zhí)行體集的內(nèi)生構(gòu)造，即擬態(tài)防御的核心過程——擬態(tài)偽裝：從異構(gòu)冗余池中根據(jù)動(dòng)態(tài)調(diào)度算法隨機(jī)選取若干元素組成執(zhí)行體（如圖2所示），或重構(gòu)、重組、重建冗余執(zhí)行體自身，或借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體的資源配置，或?qū)θ哂鄨?zhí)行體進(jìn)行預(yù)防性或修復(fù)性的清洗、初始化操作等，增加服務(wù)功能與外在表征間的不確定性，實(shí)現(xiàn)隱匿擬態(tài)界內(nèi)未知的漏洞和后門等脆弱性[6-9]。而DHR輸出依然采用多模裁決機(jī)制，和區(qū)塊鏈的原理有共通之處。

3.2 擬態(tài)防御抗攻擊分析

本小節(jié)以圖2所示的DHR構(gòu)造為研究對(duì)象，分別從攻擊發(fā)起難度、持續(xù)攻擊難度何攻擊再現(xiàn)難度進(jìn)行分析。

（1）攻擊發(fā)起難度。此處設(shè)異構(gòu)構(gòu)件集合為U，|U|=m，設(shè)執(zhí)行體集合為V，|V|=n，則隨機(jī)動(dòng)態(tài)選擇算法由U到V有種可能，設(shè)每種可能經(jīng)表決器輸出后與正常輸出不一致的概率為Pi（i=1，2，……，），則在該攻擊環(huán)節(jié)成功的幾率為：。由于多模表決器本身的特性，Pi極小，可知Q極小，所以，在該環(huán)節(jié)的攻擊成功率極小。

（2）持續(xù)攻擊難度。一次成功的攻擊往往由多個(gè)攻擊環(huán)節(jié)組成，設(shè)某次成功的攻擊行為共涉及r個(gè)攻擊環(huán)節(jié)，若此次攻擊成功，則需每個(gè)攻擊環(huán)節(jié)均成功。則此次攻擊成功的概率為：。此時(shí)，P<

（3）攻擊再現(xiàn)難度。某一次攻擊偶然成功后，同上，當(dāng)攻擊者想再次復(fù)現(xiàn)攻擊時(shí)，攻擊目標(biāo)已變，先前的攻擊經(jīng)驗(yàn)并不能作為先驗(yàn)知識(shí)庫應(yīng)用到后續(xù)的復(fù)現(xiàn)。

綜上分析，擬態(tài)防御發(fā)起難、持續(xù)難、再現(xiàn)難，是有望扭轉(zhuǎn)“易攻難守”不對(duì)稱格局的一種新興技術(shù)。

4 擬態(tài)防御測(cè)試評(píng)估

2016年1月至6月，受國(guó)家科技部委托，上海市科學(xué)技術(shù)委員會(huì)先后組織國(guó)內(nèi)網(wǎng)絡(luò)通信和安全領(lǐng)域的21名院士和110余名專家，對(duì)擬態(tài)防御理論和驗(yàn)證系統(tǒng)進(jìn)行測(cè)試評(píng)估。測(cè)評(píng)對(duì)象為兩種應(yīng)用場(chǎng)下的擬態(tài)防御原理驗(yàn)證系統(tǒng)，測(cè)試評(píng)估內(nèi)容涵蓋[6]：能否隱匿擬態(tài)界內(nèi)的未知漏洞和后門、能否利用擬態(tài)界內(nèi)未知漏洞注入未知病毒木馬、能否有效抑制擬態(tài)界內(nèi)基于未知因素的協(xié)同攻擊、能否允許擬態(tài)界內(nèi)使用“不可信、不可控”的軟硬構(gòu)件、擬態(tài)界內(nèi)運(yùn)行環(huán)境能否允許“有毒帶菌”。測(cè)試方法包括黑盒測(cè)試、白盒測(cè)試、滲透測(cè)試、對(duì)比測(cè)試等，也包括預(yù)置后門和配合注入病毒木馬等方式。

2018年5月10日至12日，首屆“強(qiáng)網(wǎng)”擬態(tài)防御國(guó)際精英挑戰(zhàn)賽上，基于網(wǎng)絡(luò)空間擬態(tài)防御理論開發(fā)的網(wǎng)絡(luò)設(shè)備和系統(tǒng)作為“靶機(jī)”，接受來自國(guó)內(nèi)外挑戰(zhàn)隊(duì)集中火力“打靶”測(cè)試，即對(duì)其進(jìn)行高強(qiáng)度的安全測(cè)試。

綜合測(cè)試分析表明，驗(yàn)證測(cè)試結(jié)果與理論預(yù)期完全吻合[6，10]。在功能等價(jià)異構(gòu)冗余的多維動(dòng)態(tài)重構(gòu)機(jī)制作用下，幾乎不可能實(shí)現(xiàn)擬態(tài)界內(nèi)可靠、持續(xù)的協(xié)同逃逸，且允許擬態(tài)界內(nèi)使用“不可信、不可控”的軟硬構(gòu)件，允許“有毒帶菌”的運(yùn)行環(huán)境[6，10]。此外，MD機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)空間安全在防御體制上具有互補(bǔ)性，技術(shù)上具有融合性，產(chǎn)品上具有自主可控性，還具有降低專用安全設(shè)施的更新升級(jí)代價(jià)、防護(hù)實(shí)時(shí)性要求、版本同步更新頻度等綜合性優(yōu)勢(shì)[6，10]。

5 擬態(tài)防御應(yīng)用實(shí)踐

時(shí)任國(guó)務(wù)院副總理的馬凱、劉延?xùn)|等中央領(lǐng)導(dǎo)同志先后就推進(jìn)擬態(tài)防御技術(shù)研發(fā)和應(yīng)用作出批示，工信部、河南省多次就擬態(tài)防御應(yīng)用試點(diǎn)示范組織專家進(jìn)行研討、部署。2017年10月，工信部網(wǎng)安局下發(fā)《關(guān)于開展擬態(tài)防御技術(shù)試點(diǎn)工作的通知》，要求將擬態(tài)防御部署應(yīng)用到現(xiàn)網(wǎng)環(huán)境，為擬態(tài)防御的推廣應(yīng)用開展量化評(píng)估，推動(dòng)擬態(tài)防御技術(shù)及產(chǎn)業(yè)不斷成熟完善。2018年1月，全球首套擬態(tài)域名服務(wù)器在河南聯(lián)通上線運(yùn)行，在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的前提下，通過將擬態(tài)構(gòu)造全面植入傳統(tǒng)域名服務(wù)器實(shí)現(xiàn)增量部署。4月，全球首套擬態(tài)防御網(wǎng)絡(luò)設(shè)備落戶景安網(wǎng)絡(luò)科技股份有限公司，意味著我國(guó)自主創(chuàng)新的擬態(tài)防御繼電信基礎(chǔ)運(yùn)營(yíng)商后正式投入互聯(lián)網(wǎng)線上服務(wù)。

6 擬態(tài)防御優(yōu)勢(shì)與挑戰(zhàn)

在現(xiàn)有主動(dòng)防御技術(shù)中，入侵容忍以維持系統(tǒng)可用性為主要目的，使系統(tǒng)具有較高的生存能力和可靠性[1]，但高成本的冗余和表決時(shí)延成為其發(fā)展的障礙。移動(dòng)目標(biāo)防御通過動(dòng)態(tài)變化使系統(tǒng)靜態(tài)性減弱，對(duì)攻擊目標(biāo)起到一定隱蔽作用[2]。然而性能和動(dòng)態(tài)變化頻率之間的平衡成了問題。此外，目標(biāo)的多樣呈現(xiàn)也可能給攻擊者提供更大的攻擊面，反而起到反作用[6]。擬態(tài)防御既能維持可用性，也能對(duì)被攻擊目標(biāo)起到隱蔽作用。相比入侵容忍技術(shù)，在防御目的上更傾向于對(duì)安全性整體的防護(hù)而不僅是可用性。較移動(dòng)目標(biāo)，其隱蔽原理不同，通過多模表決“中和”或掩蓋被攻擊目標(biāo)的輸出，從而對(duì)外表現(xiàn)為無異?；蚬魺o效，擾亂攻擊者對(duì)攻擊效果的判斷[6]，且擬態(tài)防御可用相對(duì)較少的資源代價(jià)實(shí)現(xiàn)相對(duì)較高的防御能力。

我國(guó)對(duì)入侵容忍和移動(dòng)目標(biāo)防御技術(shù)的研究和應(yīng)用處于落后狀態(tài)，而擬態(tài)防御作為我國(guó)自主提出的網(wǎng)絡(luò)空間主動(dòng)防御技術(shù)，有望打造我國(guó)自主可控的防御策略體系，打破網(wǎng)絡(luò)空間安全在攻防不對(duì)稱、大國(guó)博弈不平衡的格局。但擬態(tài)防御并不意味著可以解決所有領(lǐng)域范圍的網(wǎng)絡(luò)安全問題，其實(shí)現(xiàn)的前置條件，首先是要存在可判定異構(gòu)冗余體之間功能等價(jià)性的“擬態(tài)界”，其次需在給定功能性能下存在軟硬構(gòu)件多元或多樣化供應(yīng)條件。也并不意味著沒有被攻破的可能，在同時(shí)同地同手段的海量協(xié)同攻擊的情形下，理論上不是不無可能，但在非配合的現(xiàn)實(shí)情況下，要?jiǎng)偤媚芡瑫r(shí)同地利用同手段實(shí)施攻擊并攻擊成功可認(rèn)為是不可能事件。

參考文獻(xiàn)

[1]Nguyen Q L，Sood A.“A comparison of intrusion-tolerant system architectures.”Security& Privacy IEEE，vol.9，no.4，pp.24-31，2011.

[2]Manadhata P K.“Game theoretic approaches to attack surface shifting.”Moving Target Defense II.Springer，2013.

[3]Jajodia S，Ghosh A K，Swarup V，et al.“Moving target defense.”Springer， 2011.

[4]Levitin G.“Optimal structure of fault-tolerant software systems.”Reliability Engineering & System Safety， vol.89，no.3，pp.286-295，2005.

[5]Pal P， Webber F， Schantz R E， et al. “Intrusion- tolerant systems，” In Proc. IEEE.Information Survivability Workshop （ISW-2000）.pp.24-26，2000.

[6]羅興國(guó)，仝青，張錚，鄔江興.擬態(tài)防御技術(shù)[J].中國(guó)工程科學(xué)，2016，18（06）：69-73.

[7]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御研究[J].信息安全學(xué)報(bào)，2016，1（04）：1-10.

[8]仝青，張錚，張為華，鄔江興.擬態(tài)防御Web服務(wù)器設(shè)計(jì)與實(shí)現(xiàn)[J].軟件學(xué)報(bào)，2017，28（04）：883-897.

[9]仝青，張錚，鄔江興.基于軟硬件多樣性的主動(dòng)防御技術(shù)[J].信息安全學(xué)報(bào)，2017，2（01）：1-12.

[10]張錚，馬博林，鄔江興.web服務(wù)器擬態(tài)防御原理驗(yàn)證系統(tǒng)測(cè)試與分析[J].信息安全學(xué)報(bào)，2017，2（01）2017，2（01）：13-28.