基于動態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御系統(tǒng)研究

丁朝暉，張偉，楊國玉

(中國大唐集團科學(xué)技術(shù)研究院，北京 100043)

0 引言

在當今信息化的時代，物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)、人工智能、工業(yè)控制系統(tǒng)等新技術(shù)的出現(xiàn)使得人們的生活變得更加便利和舒適，這些新技術(shù)正在迅速占領(lǐng)著人類社會的方方面面，其所應(yīng)用領(lǐng)域不僅深刻影響著人們的日常生活，而且關(guān)系到各個國家的命脈。與此同時，網(wǎng)絡(luò)空間的安全問題不容忽視，新技術(shù)應(yīng)用的規(guī)模越龐大，網(wǎng)絡(luò)空間的安全問題越嚴峻，網(wǎng)絡(luò)安全風險空前巨大[1]。而且，隨著新技術(shù)應(yīng)用的深入，越來越多的安全問題是未知的，帶來的影響也是未知，這種“未知的未知風險”如同達摩克利斯之劍，隨時都有爆發(fā)的可能。為此，突破目前靜態(tài)、被動的安全防御技術(shù)的局限性，研究動態(tài)、主動的安全防御系統(tǒng)已成為網(wǎng)絡(luò)安全領(lǐng)域重要的研究方向。

1 網(wǎng)絡(luò)安全現(xiàn)狀分析

從網(wǎng)絡(luò)安全的整體情況來看，有兩個方面的安全難題一直困擾著網(wǎng)絡(luò)安全防御者。一方面，暴露在互聯(lián)網(wǎng)上的安全漏洞和后門不計其數(shù)，絕大多數(shù)漏洞和后門是未知的。迄今為止，尚未形成窮盡復(fù)雜信息系統(tǒng)漏洞和徹查后門的理論與方法。從網(wǎng)絡(luò)防御者角度來看，攻擊者利用未知漏洞或后門實施的攻擊具備極強的隱蔽性，防御者無法知曉攻擊者經(jīng)過何種途徑、通過什么方法進入被防御系統(tǒng)。因此，防御者使用當前的技術(shù)手段無法有效防御這種未知的威脅。另一方面，在信息技術(shù)全球化的今天，系統(tǒng)中各種軟硬件的設(shè)計與開發(fā)過程中，不可能做到毫無瑕疵，出現(xiàn)缺陷、漏洞或后門的概率極大，而且隨著時間的推移，還會暴露出更多更嚴重的缺陷、漏洞或后門[2]。

就算這些缺陷、漏洞和后門能被防御者所探測或感知。但是，由于種種原因無法將全部缺陷、漏洞和后門完全修復(fù)，這也造成了傳統(tǒng)的安全掃描和滲透測試技術(shù)難以完全發(fā)揮其作用，無法實現(xiàn)對已知缺陷、漏洞和后門的完全修復(fù)和清除。

目前，傳統(tǒng)的網(wǎng)絡(luò)防御以“筑高墻、堵漏洞、打補丁”為主，不斷地挖掘漏洞、檢測后門、尋找缺陷，不斷地修補安全漏洞、缺陷與后門，通過不停地防惡意代碼、封門堵漏等被動的博弈方式來自我完善。在這種情況下，形成了“易攻難守”的網(wǎng)絡(luò)安全現(xiàn)狀。

在缺陷、漏洞和后門無法完全修復(fù)和清除的背景下，亟需一種打破傳統(tǒng)安全防御觀念的新安全思路，研究用動態(tài)偽裝技術(shù)來掩蓋無法修復(fù)和未知的安全缺陷、漏洞和后門具有重大意義。

2 基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)原理

動態(tài)偽裝技術(shù)借鑒了“動態(tài)目標防御”的理念，在我國由中國工程院院士鄔江興提出，是在動態(tài)防御的基礎(chǔ)上發(fā)展出的新型網(wǎng)絡(luò)防御理念。采用類似仿生學(xué)的概念，借鑒一些動物的習(xí)性，模仿動物保護自身或獵捕獵物的方法，來武裝網(wǎng)絡(luò)安全產(chǎn)品。例如，深海中的燈籠魚，通過模擬亮光來誘捕獵物；如變色龍，通過改變自身的顏色來適應(yīng)環(huán)境，隱藏自己[3]。

動態(tài)偽裝技術(shù)是為了防御者在功能等價條件下，提供可控的多樣化環(huán)境間的主動跳變和動態(tài)組合，建立欺騙化、擬態(tài)化的高價值、高仿真目標，使攻擊者難以察覺和預(yù)測目標環(huán)境的變化，誘騙攻擊者對基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)進行攻擊[4]。同時，使用“漏洞疑陣”技術(shù)，不斷動態(tài)地評估攻擊者水平，為其構(gòu)建獨特的攻防環(huán)境副本，為其不斷地提供適合其水平、適合于目標架構(gòu)、適合于網(wǎng)絡(luò)和應(yīng)用環(huán)境的虛假漏洞，使其產(chǎn)生入侵即將成功的錯覺，但是入侵總是無法獲取實質(zhì)性進展，使得攻擊者陷入漏洞一直能夠發(fā)現(xiàn)，但是總是無法利用的循環(huán)之中，達到掩蓋真實漏洞的目的[5]。

3 基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)設(shè)計

動態(tài)偽裝安全防御模型的基本思想是建立動態(tài)仿真系統(tǒng)[6]。

動態(tài)仿真系統(tǒng)可以動態(tài)模擬真實系統(tǒng)中的任意元素，通過功能等價異構(gòu)執(zhí)行體池中異構(gòu)執(zhí)行體集構(gòu)造異構(gòu)執(zhí)行體，實現(xiàn)動態(tài)偽裝。其設(shè)計思路如下：

(1)根據(jù)動態(tài)變換器的計算從異構(gòu)執(zhí)行體池中組合出異構(gòu)執(zhí)行體，在功能等價異構(gòu)執(zhí)行體池中選出若干異構(gòu)執(zhí)行體。

(2)當系統(tǒng)輸入到達時，由輸入分發(fā)器分發(fā)給各個選出異構(gòu)執(zhí)行體，它們分別執(zhí)行，互相無影響、無通信。

(3)當判斷為攻擊者對系統(tǒng)進行掃描或者攻擊時，輸出裁決器將攻擊者的輸入反饋給擬態(tài)變換器，其使用動態(tài)調(diào)度算法和負反饋控制機制計算選取若干異構(gòu)構(gòu)件和執(zhí)行體組成異構(gòu)執(zhí)行體，并將異構(gòu)執(zhí)行體進行重構(gòu)、重組或重建，也可以借助虛擬化技術(shù)改變執(zhí)行體的資源配置或清洗、初始化執(zhí)行體等，增加虛假漏洞、后門或缺陷數(shù)量，造成系統(tǒng)外在特征不確定性的假象，實現(xiàn)隱匿真實系統(tǒng)內(nèi)未知的漏洞、后門和缺陷的作用[7]。動態(tài)偽裝防御系統(tǒng)設(shè)計如圖1 所示。

圖1 動態(tài)偽裝防御系統(tǒng)核心架構(gòu)圖

為了研究方便，不妨假定當前考慮的安全相關(guān)基本要素分為4 層，分別為網(wǎng)絡(luò)層、計算資源層、軟件層、數(shù)據(jù)層。動態(tài)異構(gòu)執(zhí)行體變換內(nèi)容舉例如表1 所示，表中針對假定的4 種信息系統(tǒng)要素[8]，分別列舉了要素中對應(yīng)的基本單元及可變換內(nèi)容。

表1 動態(tài)異構(gòu)執(zhí)行體變換內(nèi)容舉例

設(shè)信息系統(tǒng)有m 個要素，每個要素都有n 個元素，n=max{n1，n2，…，nm}，i=1，2，…，m，其中ni為第i個要素的元素個數(shù)。對于元素個數(shù)少于n 的要素，以空元素來進行擴充。如果用表示第j 個要素中第i 個元素的狀態(tài)，那么t 時刻信息系統(tǒng)的狀態(tài)可以用矩陣Ω(t)來表示。

根據(jù)擬態(tài)安全的思想，動態(tài)變換可以定義如下：

設(shè)σ1表示第一個要素的動態(tài)變換，以此類推，動態(tài)異構(gòu)執(zhí)行體的要素變換可記為σ={σ1，σ2，…，σn}，則σ可以看成是Ω(t)的一個加擾序列，不同的加擾序列對應(yīng)著不同的動態(tài)異構(gòu)執(zhí)行體變換[9]。

動態(tài)變換使得安全防御系統(tǒng)具有不確定性、靈活性、無法預(yù)知等特點，改善了傳統(tǒng)安全防御系統(tǒng)順序、固化、靜態(tài)的防御理念，從而提升了信息系統(tǒng)的整體安全性。

4 基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)抗網(wǎng)絡(luò)攻擊有效性分析

在進行基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)抗網(wǎng)絡(luò)攻擊有效性分析前，提出如下假設(shè)[10]：

(1)忽略由于硬件錯誤導(dǎo)致的執(zhí)行體故障；

(2)暫不考慮分發(fā)器和裁決器受到攻擊的情況；

(3)攻擊者僅基于執(zhí)行體的漏洞、缺陷和后門發(fā)起攻擊，不考慮其他非技術(shù)手段，而且每次攻擊事件是獨立的。

本節(jié)以圖1 所示的動態(tài)偽裝系統(tǒng)為研究對象，分別從攻擊發(fā)起難度、持續(xù)攻擊難度和攻擊再現(xiàn)難度[11]進行分析。

(1)攻擊發(fā)起難度

①設(shè)異構(gòu)構(gòu)件集合為A，|A|=m；

②設(shè)執(zhí)行體集合為B，|B|=n。

由于裁決器本身的特性，Pi極小，可得Q 極小。所以，在該環(huán)節(jié)的攻擊成功率極小[12]。

(2)持續(xù)攻擊難度

攻擊者發(fā)起一次成功的攻擊一般由多個攻擊環(huán)節(jié)組成，缺一步或者錯一步都可能造成攻擊失敗。

設(shè)某次成功的攻擊行為共涉及k 個攻擊環(huán)節(jié)，若此次攻擊成功，則需k 個攻擊環(huán)節(jié)都成功。則此次攻擊成功的概率為：

此時，P＜＜Q。若在某個環(huán)節(jié)失敗，當攻擊者再次嘗試一次新的攻擊時，由于每個環(huán)節(jié)的異構(gòu)構(gòu)件經(jīng)過再次的隨機動態(tài)選擇后執(zhí)行體發(fā)生改變，因此相當于發(fā)起一次新的攻擊。由此可知，在動態(tài)安全防御系統(tǒng)中，攻擊不具有持續(xù)性[13]。

(3)攻擊再現(xiàn)難度

設(shè)某一次攻擊偶然成功，同上分析，當攻擊試圖再次復(fù)現(xiàn)攻擊時，由于攻擊目標已變，先前的攻擊過程并不能復(fù)現(xiàn)，因此再次攻擊難以成功。

綜上所述，基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)能極大地提升攻擊難度、防止攻擊再現(xiàn)，是扭轉(zhuǎn)當前“易攻難守”的網(wǎng)絡(luò)安全現(xiàn)狀的必然選擇[14]。

5 利用本地代理與云服務(wù)模式實現(xiàn)基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)應(yīng)用解決方案

通過以上分析，基于動態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計思路明確，抗網(wǎng)絡(luò)攻擊有效性相比傳統(tǒng)的安全防護系統(tǒng)更高。如何將設(shè)計思路與實際信息系統(tǒng)安全防護相結(jié)合，是本節(jié)討論的重點內(nèi)容。

以面向互聯(lián)網(wǎng)提供服務(wù)的Web 應(yīng)用為例，將多套不同操作系統(tǒng)、中間件軟件、應(yīng)用軟件、數(shù)據(jù)庫管理系統(tǒng)等組成異構(gòu)體集群部署在云端的SAAS 服務(wù)中。

來自互聯(lián)網(wǎng)的未知請求數(shù)據(jù)包通過安全防御系統(tǒng)的本地代理發(fā)送給SAAS 服務(wù)平臺的分發(fā)器，分發(fā)器復(fù)制多份請求數(shù)據(jù)包分別發(fā)送給各個異構(gòu)執(zhí)行體中，在異構(gòu)執(zhí)行體中分別處理請求數(shù)據(jù)包并將響應(yīng)結(jié)果返回給裁決器，裁決器通過預(yù)先設(shè)計的算法對執(zhí)行結(jié)果進行表決，最終將正常的訪問請求返回給本地代理，由本地代理轉(zhuǎn)發(fā)正常的訪問請求，其經(jīng)過本地網(wǎng)絡(luò)設(shè)備、安全設(shè)備后發(fā)送給Web 應(yīng)用服務(wù)器。如發(fā)現(xiàn)疑似攻擊行為，將執(zhí)行結(jié)果和非正常請求數(shù)據(jù)包一同報送威脅溯源分析系統(tǒng)，該系統(tǒng)分析評估攻擊者的設(shè)備指紋、漏洞掃描、攻擊、驗證和漏洞利用等行為，持續(xù)評估攻擊者的水平，結(jié)合異構(gòu)執(zhí)行體的執(zhí)行結(jié)果，為攻擊者制定誘捕策略，構(gòu)造出具體的虛假漏洞，根據(jù)虛假漏洞偽造響應(yīng)數(shù)據(jù)包返回給攻擊者。為其營造出“攻擊還差一步就能成功，但是總也攻不破”的體驗，持續(xù)吸引攻擊者火力，在威脅溯源分析系統(tǒng)中不斷對攻擊者進行評價，為偵查、反制、預(yù)警、預(yù)防等動作爭取寶貴的處置響應(yīng)時間。同時，跟蹤收集攻擊者身份信息，進行身份識別，精準打擊?；趧討B(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御SAAS 服務(wù)平臺架構(gòu)圖如圖2 所示。

圖2 基于動態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御SAAS 服務(wù)平臺架構(gòu)圖

6 結(jié)論

在當前安全形勢嚴峻的情況下，亟需網(wǎng)絡(luò)安全創(chuàng)新思路，研究基于動態(tài)偽裝技術(shù)的安全防御系統(tǒng)已成為網(wǎng)絡(luò)安全領(lǐng)域的重要研究方向[15]。目前，大部分蜜罐易被攻擊者識破而被繞過或者自身被攻擊而引起更嚴重的安全問題[16]。因此，本文提出了基于動態(tài)偽裝技術(shù)的網(wǎng)絡(luò)安全防御設(shè)計理論和應(yīng)用方案，下一步應(yīng)將這種安全防御理論運用到物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)、人工智能、工業(yè)控制系統(tǒng)等新技術(shù)新應(yīng)用的網(wǎng)絡(luò)安全防護之中，提升新技術(shù)新應(yīng)用的整體安全防護水平，以適應(yīng)新時代安全發(fā)展的需求。