軟件基因
——賦能空間信息安全助力數字產業(yè)發(fā)展

◎上海戎磐網絡科技有限公司CTO 章麗娟

11月16日，在第十九期錢學森論壇暨2019長沙空間信息產業(yè)國際博覽會空間信息安全分論壇上，上海戎磐網絡科技有限公司CTO章麗娟作了題為《軟件基因——賦能空間信息安全，助力數字產業(yè)發(fā)展》的主題報告。章總指出，不同于傳統(tǒng)特征檢測方法僅可解決個體識別、缺乏廣度識別能力等問題，軟件基因方法通過基因分析，研究并構建軟件基因家族及其背后的黑客家族，以此作為病毒或惡意代碼判定的依據，實現從精度的個體識別向廣度的群體識別的邁進，真正實現從被動防御到主動防御的轉化。

一、網絡空間并非想象的那么安全

當前，嚴峻的信息安全形勢已經到了眾所周知的境地。幾個案例更能直觀地體現這種嚴峻的形勢。上個月，在上海的一場黑客大賽上，一些國內頂尖的黑客技術研究團隊，做了一些最新的黑客技術展示，他們展示的能力包括：無線網絡內部盜取密碼，投屏設備遠程控制，照明設備劫持，指紋盜取驗證及AI識別對抗。這些都是我們生活中最常見的一些應用場景。再舉兩個例子。第一個是對抗攝像頭識別的攻擊實驗。演示者拿著一張A4紙大小的圖片，神奇的是，當演示者舉著這張通過人眼完全看不出任何含義的圖片站在攝像頭前的時候，在視頻框已經完全顯示不出這位演示者了，這就實現了隱身和欺騙的作用。第二個有趣的例子是靜態(tài)的圖像識別，也是基于AI技術的。演示者拿著黃健翔的圖片來做演示，這張黃健翔的靜態(tài)圖片背后的代碼是被篡改的。圖片上，黃健翔手里拿著一個足球，站在寶馬車旁。雖然圖片背后的代碼是被改掉的，但是通過我們人眼看起來還是原來的圖片。當這樣一張圖片輸入到我們圖片識別系統(tǒng)里的時候，卻被識別成了伊萬卡拿著女士提包走在直升機旁。以上案例給我們一個直觀的感受：我們一直都在使用一些智能化設備，可能它真的沒有我們想象的那么安全。

二、網絡空間的對抗實質上是代碼和代碼、軟件和軟件之間的博弈和較量

實際上，作為一個攻擊者，想要去攻擊一個信息系統(tǒng)，只需要找到其中的一個脆弱點或突破口，就能夠成功實現攻擊。如果要做安全防御，將是一個規(guī)模非常龐大的系統(tǒng)工程。那么這樣一個系統(tǒng)工程，什么是里面根本性的核心問題？美國斯坦福大學法學院教授勞倫斯·萊斯格（Lawrence Lessig）給了我們一個很好的啟示。他在《代碼：塑造網絡空間的法律》這本書中闡釋了這樣一個核心觀點：網絡空間中的法律和規(guī)則是通過什么樣的代碼和軟件來創(chuàng)造和約束的。所以，軟件和代碼是塑造網絡空間運轉規(guī)則的核心要素。當前，網絡空間已成為除陸?？仗熘獾牡谖寰S空間，錢學森先生多年前曾經將“Cybernetic”譯為“控制論”，其實，“Cyberspace”也有控制的意思，它是指通過網絡或者軟件代碼來控制操縱空間。現在越來越多的物理空間，包括人的大腦和人的思維，從各種物理節(jié)點中所產生的數據都在網絡化、軟件化，勢必會帶來如何監(jiān)管、管理、認知軟件和代碼的安全性的問題。

攻擊者使用軟件和代碼進行網絡攻擊，防御者也在對軟件和代碼進行防御，本質上來看，網絡空間的對抗實際上就是代碼和代碼、軟件和軟件之間的博弈和較量。從一個比較通用的攻擊鏈來看，不管是目標偵查、武器生產、突破防守、安插植入、指揮控制以及最后的目標實現，實際上每一個攻擊鏈路背后操縱的都是人，但是真正發(fā)揮作用的都必須是工具，必須是軟件和代碼。

三、軟件開發(fā)模式決定其所帶有的遺傳性和變異性，是用基因方式了解和認知軟件的基礎

現在的問題在于：已經有很多種傳統(tǒng)的防御設備和防御手段了，為什么還是不能完全解決網絡安全問題？網絡安全防御的瓶頸和問題在哪里？從被動防御向主動防御轉變，有很多安全策略，但有一個問題是需要去解決的，即：傳統(tǒng)防護設備對80%的未知惡意代碼是難以及時有效發(fā)現和處理的。黑客不斷編寫新代碼，稱之為代碼的變種。你不是查殺了我的代碼了嗎？我可以把我的代碼簡單改造，來繞過你的查殺，那就成了新的變種。實際上改造代碼需要花費的代價是很小的，但卻可以達到攻擊的目的。改造后的代碼，對傳統(tǒng)防護設備而言是未知的，因此也無法檢測、發(fā)現和處理。這該怎么辦？我覺得最重要的就是如何去認知網絡空間里面最重要的軟件，應該從對軟件的認知上去做一些工作。

怎么認識軟件呢？這是一個最重要的問題。簡單來說，軟件有多大，有什么功能。再復雜一點，軟件是怎么編譯的，它用什么語言編寫的，這都是來衡量它的不同維度。也有一些國外的學者把軟件當作一個藝術品，這是從編程的設計角度上來考慮的。直到我們看到這樣的觀點：軟件是個有機體，覺得有一些靈感了。即：軟件跟生物一樣，它的生命力是來自于自身迭代發(fā)展的。如果軟件不再迭代發(fā)展了，它可能就失去了生命力和存在的價值。這對惡意代碼、惡意軟件和正常軟件都適用，它們都在不停地更新、打補丁，不停地去提升自身的能力。其次，在軟件開發(fā)過程中，普遍存在復用、調用、借鑒、引用其它代碼及插件的情況。因為現在軟件開發(fā)的規(guī)模越來越大了，開發(fā)的智能程度也越來越高了，所以開發(fā)者會用各種方式來提高開發(fā)效率，減少開發(fā)的技術難度。上述軟件開發(fā)模式決定了軟件帶有遺傳性和變異性，這種特點是我們用基因方式去了解軟件、認知軟件的基礎。

其實，在軟件仿生學方面已經有很多人在做了，尤其是美國軍方。2007年3月，維基解密曝光大量美國CIA網絡武器庫，其中的Umbrage項目通過收集大量公開的黑客工具、攻擊技術、泄露數據等信息，通過模仿、混淆等方法生成新工具，發(fā)起迷惑對手、嫁禍于人、隱藏自己的網絡攻擊，有一定“基因混淆”的思想。2010年，美國DARPA（國防高級研究計劃局）發(fā)布了一項研究計劃，面向社會召集能夠承擔軟件DNA方向的信息安全領域研究的科研機構和企業(yè)。這些研究項目的研究成果我們不得而知，但是其研究思路和方式已經開始向軟件基因方向探索了，我國應在這個方向上同步開展研究。此外，國外一些研究人員近年來提出針對軟件的胎記（Birth Mark）識別，主要基于擁有源碼的軟件檢測，用于對軟件的知識產權檢測，而非信息安全。也給了我們一些可借鑒的思想。

軟件基因既然是仿生學的一種，就需要看看人類是如何了解和認知生物的。實際上，生物的認知方式有很多種，解剖學解決了從結構上的認知，分子生物學從微觀上實現了認知，而“基因”則實現了對生命的基本構造和性能的認知。通過“基因”來了解和認知生物給了我們一個很大的啟示，可以不同于傳統(tǒng)認知方式，通過特征的提取和識別來實現對生物個體的了解和認知?；虺霈F以后解決的是種群、群體問題，它解決的是什么東西是一代一代遺傳的。

認識生物如此，認識軟件也可以借鑒“基因”的視角。這里面有兩個基本假設。一是同源未必相似，相似未必同源。這是什么意思呢？同源未必相似，即：一個人或者同一個團隊，要去開發(fā)一款軟件，每個人都有自己的歷史代碼和編碼習慣，因此，同樣的功能由不同的人編寫出來，從基因角度看是完全不同的。此外，同一個團隊用同一種編碼習慣編出來的代碼，由于功能不同，代碼擁有不同的特征，從特征角度來看代碼是不一樣的，但是實際上它們來自于同一個團隊。相似未必同源，就是說雖然是同樣的特征和功能，但由于不是同一個團隊開發(fā)的，因此從基因角度來看，實際上它們是不一樣的。這一假設是從基因學角度上研究軟件的基礎。第二個基本假設是：兼具“遺傳性”與“變異性”。即：同一個團隊或同一個人用同一種編碼習慣，寫出來的代碼會不斷地改進和變異，改進和變異之后還會遺傳一些非常根本性的東西，這是進行種群分析的核心。

四、特征檢測解決的是個體識別的問題，而軟件基因則解決的是群體識別的問題

為什么要提軟件基因和特征檢測不同呢？因為有很多人會問：把傳統(tǒng)的檢測設備定義成特征檢測，新型的檢測設備定義成基因檢測，它們到底有什么不同呢？還是軟件基因只是一個特殊的特征？對此，我們做了自己的提煉和總結：特征檢測解決的是個體識別的問題，而軟件基因則解決的是群體識別的問題。如：運用特征檢測方法，一個病毒過來，由安全分析人員去提取它的一些代碼特征，一般都是靜態(tài)數據，這樣就可以高效地查殺它，但查殺的只是一個個體，提交了一個就是一個，所以它是個體識別的問題。個體識別局限于真的要知道它是誰，然后才能提取它的特征，它再來的時候就能認識它，跟公安機關錄指紋、錄視頻、采血是一樣的道理，它的廣度識別能力實際上是沒有的。這就導致它有一個致命缺陷，即：首次來攻擊的病毒或惡意代碼是很難及時發(fā)現的。而運用軟件基因方法，即使是首次來攻擊的病毒或惡意代碼，通過基因分析便可知道是跟某個組織有關聯，這就可以成為病毒或惡意代碼判定的依據，實現從精度的個體識別向廣度的群體識別去的邁進，真正實現從被動防御到主動防御的轉化。軟件基因和特征檢測并非要比誰優(yōu)誰劣，誰要替代誰，它們都有自己的優(yōu)勢，所以未來二者應該是并行發(fā)展的，它們可以在同一個監(jiān)測系統(tǒng)里發(fā)揮更好的作用。

軟件基因到底是什么？它并不是憑空想象出來的，它原本就是二進制里存在的東西。我們把軟件基因定義為：攜帶軟件遺傳信息的代碼片段，它用OPCODE表示，是遺傳信息的最小單位，是控制軟件功能的基本遺傳單位。軟件基因有6個基本特點：變異性、穩(wěn)定性、原子性、表意性、中立性、統(tǒng)一性。實際上，一個軟件可以提取出多個不同的基因片斷，它們在邏輯上互相依賴。但并不是所有二進制片斷都是基因，需要去分析這樣的片斷是否具備遺傳性和功能性表達。

在軟件基因家族研究上，我們長期跟蹤了惡意的代碼及其背后的黑客組織。目前，我們已經構建了一百多個黑客家族。這可以很好地幫助我們識別APT和有組織的、有國家背景的網絡犯罪。在我們的客戶中，有很多醫(yī)療、軍隊等行業(yè)的，他們號稱防護措施已經做得很好了，然后還在物理隔離的網絡被勒索病毒入侵，這都是我們要去關注的地方。這使我們覺得軟件基因技術可以很好地為國家網絡空間戰(zhàn)略安全去提供服務的優(yōu)勢。因為它是基本檢測能力的提升，它很基礎，所以可以結合現有的各種客戶、各行業(yè)的信息安全解決方案，包括大數據方案、云端解決方案等等。軟件基因技術可以跟大家的產品和解決方案進行很好的融合和賦能，能夠打造一個更加強有力的安全方案。

軟件基因本身跟傳統(tǒng)的特征檢測不一樣。因為特征檢測庫是來一個惡意樣本，就要提取一下它的特征，然后導入到庫里面，以后再來一個樣本時，讓它在特征庫里匹配一遍，才能識別出來它是誰。問題就是，未來越發(fā)展，特征庫就會越龐大，龐大到一定程度，終端設備都很難儲存，終端或者邊緣計算的性能都很難支撐的情況下該怎么辦？可以用云計算、云查殺。但是，如果有些環(huán)境是不允許遠程連接云的，該怎么辦？這就導致了隔離的物理網絡里面病毒很難及時發(fā)現，其實這也是一個痛點。因此，軟件基因技術的應用可以很好地避免這個問題，因為它匹配的對象不是特征規(guī)則，它匹配的是家族。我們經過幾年的研究，也不過是建立了一百多個家族的模型，這是我們自己學習訓練之后得到的，所以它不會無限制地、規(guī)?；卦鲩L，在物聯網、邊緣計算等新興應用領域可以提供很好的服務。

軟件基因是一個比較新的技術和方向，還有很多問題，需要大家共同去探討和研究，希望大家可以共同把這個技術更好地應用在信息安全的服務和保障中。