郭 威,鄔江興,張 帆,沈劍良

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450002

基于自動(dòng)機(jī)理論的網(wǎng)絡(luò)攻防模型與安全性能分析

郭 威,鄔江興,張 帆,沈劍良

國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 中國 450002

針對(duì)當(dāng)前自動(dòng)機(jī)模型對(duì)系統(tǒng)狀態(tài)表達(dá)不完整,單一視角建模無法滿足網(wǎng)絡(luò)攻防行為刻畫需求的問題,本文提出一種視角可變的變焦有限自動(dòng)機(jī)(Zooming Finite Automata,ZFA)結(jié)構(gòu)。ZFA使用完整的參量集合取值對(duì)狀態(tài)進(jìn)行標(biāo)示,設(shè)置觀測系數(shù)增強(qiáng)模型對(duì)于多角度分析系統(tǒng)行為過程的能力。結(jié)合ZFA結(jié)構(gòu)給出了網(wǎng)絡(luò)攻防模型和安全性能分析方法,分析揭示了傳統(tǒng)安全手段的天然劣勢以及移動(dòng)目標(biāo)防御技術(shù)的局限性。最后,討論了網(wǎng)絡(luò)空間擬態(tài)防御(Cyberspace Mimic Defense,CMD)技術(shù)中核心部件——異構(gòu)執(zhí)行體的實(shí)現(xiàn)結(jié)構(gòu),從理論上證明了構(gòu)建“多參數(shù)”不確定性可獲得超線性增益。

網(wǎng)絡(luò)空間安全; 自動(dòng)機(jī); 變焦; 攻防模型; 安全性能; 網(wǎng)絡(luò)空間擬態(tài)防御; 多參數(shù)不確定性

1 引言

近年來,主動(dòng)防御已成為網(wǎng)絡(luò)空間安全領(lǐng)域最炙手可熱的研究熱點(diǎn)。2011年,美國NSTC(National Science and Technology Council)推出了移動(dòng)目標(biāo)防御[1](Moving Target Defense,MTD)技術(shù),試圖構(gòu)建防御者“可控”的目標(biāo)環(huán)境,扭轉(zhuǎn)當(dāng)前“易攻難守”的安全態(tài)勢。隨后,國內(nèi)研究團(tuán)隊(duì)也提出了網(wǎng)絡(luò)空間擬態(tài)防御(Cyberspace Mimic Defense,CMD)的概念[2],通過在異構(gòu)冗余體制中導(dǎo)入動(dòng)態(tài)性、隨機(jī)性和“去協(xié)同化”機(jī)制提升其抗攻擊性能,從而增加攻擊者利用漏洞和后門的難度。

然而,即便安全技術(shù)的研究發(fā)展十分迅速,信息安全領(lǐng)域中一個(gè)公認(rèn)的事實(shí)仍沒有變: 對(duì)攻防行為一直缺乏抽象的研究模型,這使得研究者們難以跳出具體環(huán)境的限制對(duì)現(xiàn)有安全技術(shù)進(jìn)行分析評(píng)估。例如,在MTD的多個(gè)應(yīng)用場景中,研究者們提出的突破思想[3-5]十分相似,文獻(xiàn)[6]將這些問題歸納為MTD的覆蓋性,不可預(yù)測性和時(shí)效性挑戰(zhàn),但由于缺乏抽象描述模型和系統(tǒng)性分析,目前只能借助加密、安全存儲(chǔ)等存在爭議的手段進(jìn)行改進(jìn)[7],并沒有從本質(zhì)上解釋和解決MTD自身的技術(shù)局限。此外在研究實(shí)踐中,雖然我們已經(jīng)驗(yàn)證了異構(gòu),冗余,動(dòng)態(tài),隨機(jī)等概念對(duì)于提高系統(tǒng)安全性的正向作用,但卻難以描述其生效過程,度量其安全增益,從而無法對(duì)各種安全機(jī)制進(jìn)行有效的取舍和評(píng)判。上述案例說明,對(duì)攻防模型研究的滯后性極大的束縛了信息安全領(lǐng)域的發(fā)展。

造成建模困難的主要原因是: 在考慮安全問題時(shí),攻防的條件、過程、目標(biāo)等因素具有復(fù)雜性,難以進(jìn)行高度抽象。在面對(duì)未知威脅時(shí),各種因素更是具有不確定性,使得模型的構(gòu)建相當(dāng)困難。相比之下,研究者們更愿意將精力集中在系統(tǒng)的漏洞挖掘與利用等工作上[7]。其研究場景相對(duì)固定,能夠確立具體的威脅種類和防御環(huán)境,既降低了研究難度,同時(shí)也更容易加以應(yīng)用。但其問題在于,一旦攻防條件與假設(shè)不一致,即便稍有偏差,研究成果的有效性也難以保證。

本文根據(jù)攻防模型與安全性能評(píng)估的研究現(xiàn)狀,結(jié)合系統(tǒng)運(yùn)行特性,在有限自動(dòng)機(jī)(Finite Automata,FA)基礎(chǔ)上提出一種可變焦有限自動(dòng)機(jī)(Zooming Finite Automata,ZFA)描述模型。利用ZFA對(duì)網(wǎng)絡(luò)攻防過程進(jìn)行了建模,以安全性能和客觀因素的角度對(duì)現(xiàn)有安全技術(shù)進(jìn)行了分析,揭示了傳統(tǒng)安全手段的天然劣勢及MTD技術(shù)的局限性。最后根據(jù)CMD中構(gòu)建動(dòng)態(tài)異構(gòu)冗余機(jī)制(Dynamic Heterogeneous Redundancy,DHR)的基本思想,結(jié)合 ZFA結(jié)構(gòu)給出了一種“多參數(shù)”不確定的異構(gòu)實(shí)現(xiàn)與性能分析。

2 研究現(xiàn)狀與問題分析

文獻(xiàn)[8]中對(duì)攻擊圖譜模型進(jìn)行了全面的綜述,介紹和分析了其近25年的研究情況。這種攻防模型的最大特點(diǎn)是抽象性強(qiáng)且層次清晰,它將根節(jié)點(diǎn)作為攻擊目標(biāo),子節(jié)點(diǎn)為子目標(biāo),葉子節(jié)點(diǎn)為最基本目標(biāo),將整個(gè)攻擊過程抽象成樹結(jié)構(gòu)。在模型應(yīng)用中,可以結(jié)合子孫節(jié)點(diǎn)到祖先節(jié)點(diǎn)的難度量化為邊的權(quán)值,從而對(duì)整個(gè)攻擊的難度進(jìn)行刻畫。文獻(xiàn)[9]結(jié)合了貝葉斯理論設(shè)計(jì)了貝葉斯攻擊圖譜,通過數(shù)據(jù)集訓(xùn)練后能夠得到某攻擊目標(biāo)的非條件概率,能夠很好地服務(wù)于有針對(duì)性的安全部署。盡管攻擊圖譜得到了廣泛的研究和應(yīng)用,但其劣勢也相當(dāng)明顯,就是無法刻畫未知的攻擊目標(biāo)和子目標(biāo)路徑,因此對(duì)未知威脅不具備刻畫和分析能力。

另一種較為普及的攻防模型是攻擊面(Attack Surface,AS)理論。文獻(xiàn)[10]為了給出軟件安全評(píng)判指標(biāo),提出了AS理論和基于I/O自動(dòng)控制模型的系統(tǒng)描述方法。一個(gè)給定系統(tǒng)的AS度量是資源在規(guī)則、通道和數(shù)據(jù)三個(gè)維度上的總貢獻(xiàn),度量的大小表明攻擊者可能對(duì)系統(tǒng)破壞的程度,以及攻擊者造成這種破壞的所需投入的努力。作為AS度量系統(tǒng)的建模工具,I/O自動(dòng)機(jī)的使用出于兩方面考慮。首先在外部運(yùn)行環(huán)境下,一個(gè)具有入口點(diǎn)與出口點(diǎn)的防御系統(tǒng),可等效為一個(gè)具有輸入操作和輸出操作的I/O自動(dòng)機(jī)環(huán)境; 另外I/O自動(dòng)機(jī)的構(gòu)成屬性決定了,其模型在給定的環(huán)境中推斷出系統(tǒng)AS的可行性。

AS理論的優(yōu)勢在于能將所有系統(tǒng)行為等價(jià)表示為 I/O操作,所以必然能涵蓋全部已知未知威脅,使攻防模型能更好的服務(wù)于攻防技術(shù)發(fā)展。但其問題在于,AS認(rèn)為攻擊總是可達(dá)的,評(píng)估時(shí)只關(guān)注于系統(tǒng)的可被攻擊性,忽略了系統(tǒng)的防御性,而這一點(diǎn)恰恰在開放服務(wù)系統(tǒng)中顯得尤為重要。當(dāng)設(shè)計(jì)者難以去縮小系統(tǒng)的攻擊面時(shí),如何擴(kuò)大防御面,使得目標(biāo)攻擊面盡可能的對(duì)于攻擊者不可達(dá),可能是更為有效的手段。

前人的研究成果給本文帶來了的啟示是(1)邏輯上對(duì)攻擊過程進(jìn)行分段能夠有效的對(duì)整個(gè)攻擊過程進(jìn)行量化評(píng)估; (2)自動(dòng)機(jī)模型能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行完整描述,從而更好地建立攻防模型。那么,本文將以自動(dòng)機(jī)理論為基礎(chǔ),針對(duì)安全問題建模和分析時(shí)的需求,提出以下兩點(diǎn)改進(jìn)動(dòng)機(jī)對(duì)傳統(tǒng)模型進(jìn)行拓展: (1)系統(tǒng)的全局狀態(tài)變化對(duì)于攻擊和防御的識(shí)別分析至關(guān)重要,需要盡量完整的表達(dá); (2)系統(tǒng)運(yùn)行過程中,往往是多個(gè)邏輯層面組合交疊著運(yùn)行,在一個(gè)孤立的“視角”下通常難以辨識(shí)正常行為與攻擊行為,應(yīng)當(dāng)予以拓展。

3 ZFA結(jié)構(gòu)與功能設(shè)計(jì)

首先,討論了面向安全問題基于自動(dòng)機(jī)理論的系統(tǒng)建模方法,給出了變量的符號(hào)描述。然后,提出一種觀測視角可變的ZFA結(jié)構(gòu),并且證明了ZFA用于系統(tǒng)建模的正確性和唯一性。最后,給出了系統(tǒng)關(guān)鍵概念的ZFA描述。

3.1 建模分析與參數(shù)符號(hào)化

自動(dòng)機(jī)理論的現(xiàn)有應(yīng)用,都會(huì)根據(jù)具體場景將模型建立在一定固定的邏輯層面上。正則表達(dá)式[11]刻畫了字符匹配邏輯; 軟件狀態(tài)機(jī)(Finite State machine,FSM)[12]刻畫了軟件運(yùn)轉(zhuǎn)邏輯; I/O自動(dòng)機(jī)[13]刻畫了系統(tǒng)環(huán)境的交互邏輯。

一個(gè)系統(tǒng)的自動(dòng)機(jī)模型,是由多個(gè)邏輯面并列交疊而成。例如在深度包檢測系統(tǒng)中,預(yù)處理層面刻畫了數(shù)據(jù)包的拆分重組過程; 包檢測層面刻畫了字符匹配過程; 信息統(tǒng)計(jì)層面刻畫了業(yè)務(wù)數(shù)量計(jì)數(shù)過程; 檢測系統(tǒng)的硬件設(shè)計(jì)邏輯、宏觀運(yùn)轉(zhuǎn)過程等等都能用自動(dòng)機(jī)進(jìn)行描述,而所有這些的混合體才構(gòu)成了一個(gè)完整的系統(tǒng)自動(dòng)機(jī)。為便于形象的表達(dá),邏輯層面可稱為“觀測視角”,記為ω。

對(duì)系統(tǒng)進(jìn)行建模時(shí),其靜態(tài)屬性由特征參量來標(biāo)識(shí),記為Var,全部參量構(gòu)成了參量集合V。參量取值將決定系統(tǒng)狀態(tài),由q表示,函數(shù)ρ用于從具體取值中提取參量,ρ(q)=V; 其動(dòng)態(tài)屬性指q經(jīng)過一定的觸發(fā)條件φ產(chǎn)生遷移的規(guī)則,即系統(tǒng)的遷移邏輯,記為δ。系統(tǒng)與外界環(huán)境的交互抽象為輸入i和輸出o,i是觸發(fā)條件的組成部分,o是系統(tǒng)的參量子集,即滿足ρ(i)?ρ(φ),ρ(o)?V。那么從模型上,設(shè)定觀測視角就等同于確定一個(gè)集合,以集合中的參量對(duì)系統(tǒng)靜態(tài)和動(dòng)態(tài)屬性進(jìn)行刻畫分析,故ω?V且選定過程與系統(tǒng)屬性間不相關(guān)。

本文用到的符號(hào)如下表所示。

表1 本文使用的參數(shù)符號(hào)與描述

計(jì)算機(jī)系統(tǒng)是極其復(fù)雜的,我們并不試圖將ω設(shè)置到整個(gè)參量集合,即物理意義上將一個(gè)完整的系統(tǒng)從物理層、硬件邏輯層、系統(tǒng)軟件層等直至高級(jí)應(yīng)用層全過程使用自動(dòng)機(jī)描述出來,至少對(duì)于目前的技術(shù)水平還難以實(shí)現(xiàn)。本文拓展參量集合和設(shè)置ω的目的在于(1)細(xì)粒度劃分系統(tǒng)狀態(tài),提高對(duì)引發(fā)安全問題的異常因素的辨識(shí)能力; (2)增強(qiáng)自動(dòng)機(jī)的表達(dá)能力,刻畫出系統(tǒng)運(yùn)行的完整過程,抽象出安全問題中跨邏輯層的復(fù)雜情況; (3)建立不同邏輯層面間,單一層面與整個(gè)系統(tǒng)間的聯(lián)系,有助于研究系統(tǒng)參量間的耦合性。

3.2 ZFA結(jié)構(gòu)設(shè)計(jì)

可變焦有限自動(dòng)機(jī)(ZFA),根據(jù)所設(shè)定的觀測視角,生成該視角下的狀態(tài)和跳轉(zhuǎn)過程。一個(gè)確定性ZFA的構(gòu)成如下:

.一個(gè)觀測系數(shù)ω,滿足ω?V;

在系數(shù)ω下,生成DFA五元組:

.一個(gè)有窮的狀態(tài)集合Qω;

.由觸發(fā)條件φω組成的集合Σω,且ρ(φω)?V;

.轉(zhuǎn)移函數(shù)δω,以一個(gè)狀態(tài)和一個(gè)觸發(fā)條件為變量,返回一個(gè)狀態(tài);

.一個(gè)初始狀態(tài)q0ω,且q0ω∈Qω;

.一個(gè)接受狀態(tài)集合Fω,且Fω?Qω;

當(dāng) ZFA非形式化表示為狀態(tài)轉(zhuǎn)移圖時(shí),在注明ω的情況下,系數(shù)角標(biāo)可省略,如下圖所示。

圖1 以不同系數(shù)進(jìn)一步觀測ω0下的某一跳轉(zhuǎn)

圖1 給出了一個(gè)ZFA應(yīng)用示例。ω0通常會(huì)選取一個(gè)完整的邏輯層面,如 TCP連接生命周期,掃雷游戲運(yùn)轉(zhuǎn)過程等等,可認(rèn)為是“顯性”觀測視角; 為了進(jìn)一步觀測邏輯層面的實(shí)現(xiàn)過程,可增加觀測的參數(shù),拉近到“隱性”視角。假設(shè)ω1與ω2分別取參數(shù)內(nèi)存位置p和運(yùn)行處理器c,那么圖1所示的物理意義為: 對(duì)于ω0層上qx至qy的跳轉(zhuǎn),存在5種內(nèi)存實(shí)現(xiàn)方式＜p1→p2,p2→p2,…＞,且只有c1處理器能夠?qū)崿F(xiàn)處理。

3.3 證明與分析

為了保證基于 ZFA系統(tǒng)建模的正確性,給出以下證明。首先,由信息系統(tǒng)的基本設(shè)計(jì)原則可得:

定理1 已知t時(shí)刻系統(tǒng)S的狀態(tài)qt和外界輸入i,則下一運(yùn)行狀態(tài)qt+1唯一可確定

證明. (反證法)假設(shè)qt+1不確定或確定但不唯一,則分情況討論:

i. 若qt+1不確定,與系統(tǒng)設(shè)計(jì)的確定性前提相矛盾

ii. 若 qt+1不唯一,與系統(tǒng)設(shè)計(jì)的可控性前提相矛盾

綜上分析,定理1可得證。

定理2對(duì)任意離散數(shù)字有限系統(tǒng)S,存在一個(gè)FA能夠?qū)ζ溥M(jìn)行完整描述

證明. 由 S的離散性和數(shù)字性,可知系統(tǒng)的參量個(gè)數(shù)和狀態(tài)個(gè)數(shù)都是可列的,則以自動(dòng)機(jī)中的 q進(jìn)行描述。又因?yàn)橄到y(tǒng)的有限性,有限次遞歸定理1,則FA可以完整描述S得證。

相比于傳統(tǒng)的自動(dòng)機(jī)模型,ZFA能夠有效還原系統(tǒng)的全局狀態(tài),并配合ω進(jìn)行觀測。在不同的觀測視角下,ZFA并沒有改變系統(tǒng)基本狀態(tài)和跳轉(zhuǎn)邏輯,而是將其從不同層面靈活的呈現(xiàn)出來,以便于表達(dá)和分析攻防模型中不同層次間的關(guān)系。

上述定理表明了ZFA結(jié)構(gòu)用于系統(tǒng)全過程描述的正確性和唯一性。

假設(shè)1在運(yùn)行過程中系統(tǒng)S不變,即狀態(tài)參量集V和轉(zhuǎn)移函數(shù)δ保持不變

上述假設(shè)保證了 ZFA的時(shí)不變性,即不考慮引起S變化的輸入i。實(shí)際上這類輸入是普遍存在的,在加載和換出程序的過程中,都會(huì)引起V和δ的變化。假設(shè)的原因在于,在攻防建模和分析中,變化過程通常可以忽略不計(jì)。例如,在分析安置后門過程時(shí),相比于具體安裝過程,防御者可能更關(guān)注于攻擊者后門安裝前的準(zhǔn)備過程,以及安裝后的系統(tǒng)運(yùn)轉(zhuǎn)過程。

盡管從理論上保證了系統(tǒng)的ZFA描述具有正確性,唯一性和不變性,但由于計(jì)算機(jī)的邏輯復(fù)雜度極高且無記憶,所以完整描述的可行性很差。如何解決這個(gè)問題,需要展開進(jìn)一步研究。

3.4 系統(tǒng)關(guān)鍵概念的ZFA描述

(1) 視角的可伸縮性

定義1 視角的放大與縮小

已知兩個(gè)觀測系數(shù)ω1和ω2,則存在集合ω￠滿足稱為以ω2放大ω1后的觀測視角,或以ω1放大ω2后的觀測視角。

已知兩個(gè)觀測系數(shù)ω1和ω2,則存在集合ω￠滿足為以ω2縮小ω1后的觀測視角。

在 3.2中提到了顯性視角與隱性視角的概念,它們是相對(duì)而言的,根據(jù)觀測習(xí)慣進(jìn)行區(qū)分界定。一般地,將一個(gè)有完整意義的邏輯層面設(shè)定為顯性視角,將加入關(guān)注參量后的放大視角設(shè)定為隱性視角。

(2) 功能等價(jià)與功能等價(jià)系統(tǒng)

命題1 (定理 1的逆否命題)當(dāng)下一運(yùn)行狀態(tài)qt+1唯一確定時(shí),則t時(shí)刻系統(tǒng)S的狀態(tài)qt和外界輸入i可能不唯一

命題1￠ 已知t時(shí)刻系統(tǒng)S的運(yùn)行狀態(tài)qt,則存在一個(gè)或不止一個(gè)的滿足

4 基于ZFA的攻擊過程建模

首先,對(duì)攻擊過程進(jìn)行了分析和 ZFA建模,然后對(duì)網(wǎng)絡(luò)中典型的攻擊手段進(jìn)行了分類分析。

4.1 攻擊過程的基本模型與度量方法

攻擊過程(Attack Process,AP)可分為離線和在線兩個(gè)階段,離線階段的主要任務(wù)是剖析目標(biāo)系統(tǒng),研究出攻擊方法和探測手段,并根據(jù)攻擊方法做好相應(yīng)的準(zhǔn)備; 在線階段就是實(shí)施攻擊的過程,需要根據(jù)實(shí)際探測情況展開相應(yīng)的攻擊行動(dòng)。

從模型上來說,攻擊過程與正常過程的地位是等價(jià)的,都是系統(tǒng)自動(dòng)機(jī)的一部分。在3.3中,證明了系統(tǒng)運(yùn)轉(zhuǎn)過程可用 ZFA等價(jià)表示,進(jìn)一步的,離線階段可認(rèn)為是系統(tǒng)ZFA的描述過程; 在線階段則刻畫為由特定的輸入所觸發(fā)的一連串狀態(tài)即攻擊序列,其終點(diǎn)就是攻擊者的目標(biāo)狀態(tài)。本文中主要以攻擊序列作為核心對(duì)象進(jìn)行討論。

定義4 攻擊序列

圖2是系統(tǒng)S在內(nèi)存位置ω視角下的狀態(tài)跳轉(zhuǎn)圖,p1是一個(gè)用戶態(tài)程序,p2是一個(gè)Shellcode程序,δ4是溢出引發(fā)的跳轉(zhuǎn)。δ0～δ3都是p1中的正常跳轉(zhuǎn),經(jīng)過δ4跳至攻擊者設(shè)定的Shellcode位置。δ0～δ4就構(gòu)成了一個(gè)攻擊序列A,qf是溢出攻擊的目標(biāo)狀態(tài)(暫沒有考慮后續(xù)的提權(quán)過程,只討論溢出過程)。

圖2 基于ZFA的溢出攻擊示意圖

定義5 步驟難度

攻擊觸發(fā)某一次狀態(tài)跳轉(zhuǎn)所需要付出的代價(jià),付出代價(jià)的決定因素根據(jù)具體應(yīng)用環(huán)境而定。

定義6 攻擊難度

整個(gè)攻擊序列的步驟難度之和,取決于步驟總數(shù)與步驟難度。

本文并不針對(duì)攻擊難度進(jìn)行詳細(xì)討論,只定性給出了其含義,實(shí)際應(yīng)用中將根據(jù)不同場景設(shè)定刻畫難度的量化變量。

4.2 典型攻擊模式的ZFA描述與分析

A.側(cè)信道攻擊

側(cè)信道攻擊[14]是侵犯私密性(Confidentiality)的代表性方法,它以非常規(guī)的方式獲取目標(biāo)系統(tǒng)的私密信息,尤以加密密鑰為主。與傳統(tǒng)的信息收集方式不同,在側(cè)信道攻擊過程中,攻擊者并不需要構(gòu)建攻擊序列,與目標(biāo)系統(tǒng)間也沒有顯性交互。

下圖表示了以CPU輻射能量[15]為側(cè)信道參量的經(jīng)典竊密方法,在 ZFA中分別以兩種不同的隱性視角觀測加密過程的狀態(tài)特征,ω1設(shè)定為密鑰值,ω2設(shè)定為側(cè)信道特征γ。

圖3 能量側(cè)信道攻擊的ZFA表示

如圖 3所示,攻擊者可以根據(jù)獲取的能量參數(shù)γ的值,得到對(duì)應(yīng)的密鑰值。這種攻擊方式實(shí)現(xiàn)基礎(chǔ)和思想在于,系統(tǒng)狀態(tài)的私密信息與γ特征能夠呈現(xiàn)較明顯的映射關(guān)系,并且γ具備傳遞特性,可以被攻擊者獲取。那么對(duì)于攻擊者而言,私密信息的“傳遞”猶如形成了一條信息“通道”,只要對(duì)應(yīng)γ取值還原出相應(yīng)的信息值,便實(shí)現(xiàn)了隱私信息的獲取。

實(shí)施側(cè)信道攻擊的工作量主要集中在離線階段,CPU能量的分析算法優(yōu)劣將直接決定攻擊成功率。在線階段的主要工作量是盡力獲取目標(biāo)系統(tǒng)的 CPU型號(hào),以便有針對(duì)性的使用還原算法。

B.越權(quán)型攻擊

現(xiàn)有系統(tǒng)都會(huì)用戶設(shè)定讀權(quán)限、寫權(quán)限和執(zhí)行權(quán)限。通常來說,對(duì)除了管理員外的訪問者只會(huì)分配讀權(quán)限,而越權(quán)型攻擊就是一種使攻擊者非法擁有寫權(quán)限甚至執(zhí)行權(quán)限,從而威脅系統(tǒng)的攻擊模式。

權(quán)限,物理意義可理解為系統(tǒng)賦予使用者的操作集合。以 ZFA結(jié)構(gòu)刻畫,是使用者能夠到達(dá)的狀態(tài)q與觸發(fā)條件中的輸入i,即能夠?qū)崿F(xiàn)的δ(q,φ)的集合。那么,所謂的越權(quán)其實(shí)就是對(duì)可操作集合的非法化擴(kuò)大。這里的非法化并不是針對(duì)系統(tǒng)運(yùn)轉(zhuǎn)過程,而是對(duì)于設(shè)計(jì)者和使用者,這種擴(kuò)大是存在威脅的。綜上所述,越權(quán)攻擊的主要手段來自于對(duì)系統(tǒng)漏洞和后門的利用。

圖4 SQL注入攻擊的ZFA示意圖

圖4中,qlow與qhigh分別為低權(quán)與高權(quán)狀態(tài),q1,q2, …為數(shù)據(jù)庫認(rèn)證過程,qfail為認(rèn)證失敗狀態(tài)。由于系統(tǒng)缺乏輸入合法性檢查,攻擊者將查詢語句漏洞轉(zhuǎn)化為δ1、δ2等跳轉(zhuǎn),使其跳過了認(rèn)證過程直接達(dá)到qhigh,使得越權(quán)得以實(shí)現(xiàn)。倘若系統(tǒng)被安插了后門程序,則可以通過δ'直接進(jìn)入達(dá)到qhigh。

相對(duì)于其他攻擊模式,越權(quán)攻擊的過程比較復(fù)雜,其離線和在線的工作量都很大。對(duì)于一個(gè)龐大的系統(tǒng),能夠找到一個(gè)可利用的漏洞就需要消耗大量的時(shí)間和人力,另外還要設(shè)計(jì)Shellcode和提權(quán)代碼等等。實(shí)施攻擊過程中,通常包含大量的信息收集工作,然后通過精確的攻擊序列觸發(fā)漏洞和提權(quán)過程。一般來說,越是底層的提權(quán)攻擊實(shí)施起來也就越為復(fù)雜。

當(dāng)然,這種方式所帶來的效益也是最大的,一旦掌握了系統(tǒng)最高權(quán)限,將會(huì)造成極大危害。攻擊者還可以通過安插后門來大大簡化攻擊過程,降低再攻擊的工作量。其防范的難點(diǎn)在于(1)大規(guī)模系統(tǒng)中漏洞后門的泛在化與未知性為越權(quán)攻擊提供了溫床; (2)除了某些關(guān)鍵性跳轉(zhuǎn)外,攻擊序列與正常序列在各ω上基本一致。

C. 資源耗盡型攻擊

每個(gè)系統(tǒng)的負(fù)載能力都是有限的,所以嚴(yán)格來講,資源耗盡并不算是系統(tǒng)的異常狀態(tài)。而攻擊者正是利用了這一必然缺陷,有預(yù)謀的大規(guī)模占用系統(tǒng)計(jì)算、內(nèi)存、外設(shè)等資源,使正常請(qǐng)求無法被響應(yīng),從而達(dá)到威脅系統(tǒng)可用性(Availability)的目的。

以SYN洪泛為例,內(nèi)存中半連接隊(duì)列使用情況作為觀測系數(shù)ω,則目標(biāo)系統(tǒng)ZFA表示如下。

圖5 半連接隊(duì)列使用情況的ZFA表示

如圖所示,m表示系統(tǒng)半連接隊(duì)列的最大長度,q0,q1, …,qm為根據(jù)隊(duì)列長度劃分的系統(tǒng)狀態(tài)。洪泛攻擊時(shí),向右的跳轉(zhuǎn)δ構(gòu)成了攻擊序列,其目標(biāo)態(tài)為qm。此后新的SYN將觸發(fā)δmm,連接請(qǐng)求被丟棄,無法得到響應(yīng)。

設(shè)置ω使“視角”聚焦于如處理器、內(nèi)存、外設(shè)等資源上,對(duì)其他資源耗盡型攻擊方式構(gòu)建 ZFA,得到類似的狀態(tài)跳轉(zhuǎn)情況,其一般表示如下。

圖6 資源耗盡型攻擊的一般ZFA表示

小結(jié):

對(duì)于目標(biāo)系統(tǒng)和防御者來說,當(dāng)前最大的威脅是越權(quán)型攻擊模式。資源耗盡型攻擊雖然難以防范破壞性大,但這種攻擊能被迅速感知,便于迅速發(fā)起應(yīng)對(duì)措施; 側(cè)信道攻擊,能夠掌握秘鑰等私密信息,有時(shí)也是服務(wù)于越權(quán)攻擊的有力手段; 而越權(quán)攻擊,尤其是基于未知漏洞和后門的攻擊方法,屬于未知威脅,難以防范且危害巨大。

本節(jié)利用 ZFA對(duì)攻擊過程進(jìn)行了建模,分類攻擊方法并從不同觀測維度上探索其共性特點(diǎn)。其意義在于(1)提出了一種攻擊過程的建模方法,有助于進(jìn)一步抽象和研究攻防技術(shù); (2)將目前防御單個(gè)攻擊的“點(diǎn)處理”方式轉(zhuǎn)化為對(duì)處理某種攻擊模式的“面處理”方式。

5 基于ZFA的防御模型與安全性能分析

本節(jié)利用ZFA對(duì)幾種典型防御方法進(jìn)行建模和安全性能分析,討論了傳統(tǒng)防御方法對(duì)于現(xiàn)有網(wǎng)絡(luò)攻擊的天然劣勢,以及MTD的技術(shù)局限。此前,先給出一個(gè)理想的攻擊假設(shè)和安全性能說明。

假設(shè)2對(duì)于攻擊過程的離線階段,攻擊者已掌握目標(biāo)系統(tǒng)所有漏洞和利用方法

安全性能: 本文將防御技術(shù)對(duì)攻擊序列構(gòu)造的難度增益作為安全性能的評(píng)價(jià)指標(biāo)。在假設(shè)2下,步驟難度排除了攻擊者研究漏洞使用和信息收集方法的代價(jià),攻擊前的準(zhǔn)備代價(jià)等等,以攻擊序列的長度作為攻擊難度的衡量標(biāo)準(zhǔn),其中主要考慮在面對(duì)下一跳多個(gè)選擇時(shí)所付出的選路代價(jià)。

5.1 傳統(tǒng)防御方法

根據(jù)第4節(jié)中攻擊過程的ZFA描述,摧毀攻擊序列最簡單直觀的方式無非兩種: 阻塞與重塑,以此可以將傳統(tǒng)安全手段分為兩類。

(1) 通過嵌入阻塞功能使攻擊過程不可達(dá)。

A. 身份認(rèn)證

圖7中給出了身份認(rèn)證的模型示意,使用ω截取認(rèn)證邏輯視角下的關(guān)鍵步驟。認(rèn)證狀態(tài)由ql表示,其中僅有一個(gè)正確輸入i能夠激活跳轉(zhuǎn)δture,使運(yùn)行過程繼續(xù)進(jìn)行,否則將在認(rèn)證邏輯上終止。

圖7 身份認(rèn)證的ZFA結(jié)構(gòu)示意

實(shí)際應(yīng)用中,無論是靜態(tài)、動(dòng)態(tài)密碼、還是數(shù)字證書、指紋虹膜等都可以歸結(jié)為此模型。從ZFA上分析,身份認(rèn)證的安全增益來自于δture的熵值,因此對(duì)于攻擊序列構(gòu)造來講,難度增益取決于m的大小和δture的更新間隔。其中,過認(rèn)證序列段長度的理論上限為Ο(m),且在下一個(gè)更新時(shí)刻前,這個(gè)值會(huì)隨著攻擊經(jīng)驗(yàn)積累而逐漸減小。但是,如果存在漏洞或后門利用后繞過ql–1→ql+1的方法,那么通過序列長度將為繞行長度Ο(1)。

這種手段能夠以一個(gè)獨(dú)立的模塊嵌入到某一邏輯層次上,具有很強(qiáng)的普適性,這也是造成現(xiàn)如今認(rèn)證泛濫的根本原因。

B. 訪問控制

訪問控制與身份認(rèn)證方法類似,在實(shí)際中廣泛應(yīng)用于網(wǎng)絡(luò)設(shè)備系統(tǒng)中,以包過濾技術(shù),應(yīng)用網(wǎng)關(guān)技術(shù),代理服務(wù)技術(shù)為代表。以圖 8模型示意為例,將ω設(shè)定為防火墻功能邏輯的相應(yīng)系數(shù),那么,從狀態(tài)ql0至qlm僅有某些i能夠被接受繼而觸發(fā)δappr跳轉(zhuǎn),其他狀態(tài)將拒止于此。對(duì)于規(guī)則有效的攻擊序列,其序列長度是+∞; 如果規(guī)則無效,那么其序列長度為Ο(1)。

圖8 防火墻的ZFA結(jié)構(gòu)示意

訪問控制試圖阻截攻擊者利用不安全的服務(wù)接口對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊,并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告等附加功能,以便于安全管控。雖然它對(duì)于規(guī)則有效的攻擊能夠起到絕對(duì)的阻斷,但現(xiàn)有攻擊方法大都在其規(guī)則ω層面與正常行為完全一致,因此訪問控制的使用被嚴(yán)重受限。

C. 匹配檢測

模式匹配的基礎(chǔ)結(jié)構(gòu)和思想由訪問控制演變而來,其主要進(jìn)步是結(jié)合了知識(shí)庫(病毒庫、木馬庫、安全策略庫等)和信息收集分類分析方法,主動(dòng)探測和發(fā)現(xiàn)疑似對(duì)象的異常行為和特征。

如圖9所示,在ZFA結(jié)構(gòu)上,匹配檢測技術(shù)將阻截功能進(jìn)行了模塊化,其核心設(shè)計(jì)是一個(gè)正則匹配引擎(RE)。與訪問控制相比,其安全性能的提升主要體現(xiàn)在RE模塊的規(guī)則數(shù)量與高速匹配上。如果進(jìn)一步拉近視角,將ω設(shè)定在RE模塊內(nèi),其匹配引擎本質(zhì)上等價(jià)于 FA。在實(shí)際應(yīng)用中,規(guī)則集的膨脹所導(dǎo)致的自動(dòng)機(jī)狀態(tài)空間爆炸問題是匹配技術(shù)應(yīng)用受限的關(guān)鍵[17]。

圖9 匹配檢測技術(shù)的ZFA結(jié)構(gòu)示意

D. 隔離技術(shù)

阻塞思想的極致運(yùn)用是隔離技術(shù)。以過去的普遍認(rèn)知,物理網(wǎng)絡(luò)隔離的S不會(huì)受到外界攻擊的威脅,攻擊序列無法構(gòu)造。但側(cè)信道攻擊的出現(xiàn)徹底打破了隔離技術(shù)的美好幻想?，F(xiàn)實(shí)中,難以實(shí)現(xiàn)絕對(duì)意義上的隔離,因此只要攻擊者能夠有可利用的“信道”,就能夠?qū)崿F(xiàn)精密構(gòu)造的攻擊過程。

(2) 通過重塑系統(tǒng)邏輯使原有漏洞跳轉(zhuǎn)不可用

相比于第一類的阻塞方式,重塑方法能夠更加徹底的解決問題。由于重塑使得系統(tǒng)狀態(tài)轉(zhuǎn)移圖發(fā)生變化,利用相關(guān)漏洞的跳轉(zhuǎn)δ將不可用,關(guān)聯(lián)的輸入集合Σ都變?yōu)闊o效。

值得權(quán)衡的是,如果想大面積重塑系統(tǒng)邏輯,勢必耗費(fèi)巨大,其可實(shí)現(xiàn)性很低且不能確保新的系統(tǒng)邏輯不存在漏洞; 而小范圍打補(bǔ)丁的方式,則完全依賴于對(duì)漏洞的搜尋查找,難以做到全覆蓋。

如圖所示,系統(tǒng)的補(bǔ)丁程序?qū)⒃泄粜蛄兄械奶D(zhuǎn)進(jìn)行清除,或轉(zhuǎn)化為合法跳轉(zhuǎn)。從安全性能上分析,對(duì)于原有漏洞不可用的攻擊序列,其序列長度將變?yōu)?∞; 未涉及的漏洞攻擊,該段序列長度為Ο(1)。這種方式的局限在于可利用漏洞數(shù)量未知性,從以往的經(jīng)驗(yàn)上完全修補(bǔ)是無法做到的。且由于利益關(guān)系,現(xiàn)實(shí)中補(bǔ)丁發(fā)布往往滯后于其開始利用,在這段真空期內(nèi),無有效手段進(jìn)行防護(hù)。

圖10 利用補(bǔ)丁程序移除敏感的跳轉(zhuǎn)路徑

小結(jié)分析:

現(xiàn)如今,傳統(tǒng)防御方法已經(jīng)發(fā)展的相當(dāng)成熟了。但是相對(duì)于網(wǎng)絡(luò)攻擊而言存在著天然劣勢。在對(duì)攻擊過程進(jìn)行建模分析時(shí),提到了攻擊的兩個(gè)階段。對(duì)于現(xiàn)有系統(tǒng)和傳統(tǒng)防御手段,最大的局限性其實(shí)在于靜態(tài)、確定、相似的結(jié)構(gòu)。也就是說,雖然可以對(duì)系統(tǒng)進(jìn)行加固,對(duì)規(guī)則進(jìn)行完善,但由于目標(biāo)環(huán)境仍是靜態(tài)、確定和相似的,所以難以抵擋攻擊者在離線階段的研究分析,新的未知威脅和“繞路”手段將會(huì)不斷產(chǎn)生,危害整個(gè)網(wǎng)絡(luò)環(huán)境。

5.2 MTD技術(shù)

MTD是近年來興起的一種主動(dòng)防御技術(shù),其基本思想是通過改變脆弱的系統(tǒng)特征參量Var,在防御者已知的隱含前提下,使Var對(duì)攻擊者呈現(xiàn)變化,增加攻擊成功的代價(jià)。如果攻擊者以分析該系統(tǒng)Var為前提,那么期望于在攻擊者掌握這些特性和構(gòu)造攻擊的時(shí)間內(nèi),系統(tǒng)能夠做出改變,擾亂攻擊序列的構(gòu)建。

其代表性應(yīng)用有地址空間隨機(jī)化(ALSR),指令集隨機(jī)化(ISR),軟件多樣化(Software Diversity),動(dòng)態(tài)IP和端口等等。

如圖11所示,當(dāng)我們對(duì)不同的應(yīng)用場景設(shè)置其動(dòng)態(tài)參量集合Vm為觀察系數(shù)ω時(shí),卻發(fā)現(xiàn)了一個(gè)很特別的現(xiàn)象。首先,在相應(yīng)的觀測系數(shù)ω下,各種應(yīng)用場景的ZFA結(jié)構(gòu)結(jié)構(gòu)基本一致,只是m的取值有所差別; 再有,MTD的ZFA結(jié)構(gòu)與傳統(tǒng)防御方法中的身份認(rèn)證ZFA結(jié)構(gòu)也極其相似。

基于這樣一個(gè)認(rèn)知,結(jié)構(gòu)的相似邏輯過程其性能特性上必然也存在相似性。這樣對(duì)比來看,文獻(xiàn)[6]中所歸納的覆蓋性,時(shí)效性和不可預(yù)測性能夠在此得到更深入而形象的解釋。

不過,MTD技術(shù)的出發(fā)點(diǎn)當(dāng)然要比身份認(rèn)證高明的多,它并不是一種嵌入式的安全功能,而是深入至攻擊者頻繁利用的系統(tǒng)參量Var。這樣一來,無論是已知或未知威脅,凡是需要準(zhǔn)確的Var信息才能形成有效攻擊的行動(dòng)將全部受到阻礙,系統(tǒng)的安全增益大大提升。對(duì)于受阻的攻擊序列來講,需要付出的代價(jià)為Ο(m),不受阻的攻擊序列長度為Ο(1)。

綜上分析,以ZFA結(jié)構(gòu)角度看,MTD相當(dāng)于高級(jí)別的身份認(rèn)證技術(shù),其局限性在也十分明顯。(1)防御機(jī)制限于某個(gè)ω層面,與ω不相關(guān)的攻擊過程無法得到防御; (2)安全性能決定于可動(dòng)態(tài)變化的最大值m,存在暴力破解甚至巧妙繞過的可能; (3)動(dòng)態(tài)變化的時(shí)間t也是安全性能的重要因素,同樣也是制約著系統(tǒng)性能的問題。

圖11 MTD技術(shù)的ZFA結(jié)構(gòu)

6 用擬態(tài)防御構(gòu)建“多參數(shù)”的不確定

6.1 CMD及其DHR體系結(jié)構(gòu)

網(wǎng)絡(luò)空間擬態(tài)防御(CMD)是一種基于功能集Φ上的異構(gòu)等價(jià)執(zhí)行體的主動(dòng)防御技術(shù)。其核心思想是使目標(biāo)系統(tǒng)具備動(dòng)態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy,DHR)的良性體制,通過改進(jìn)系統(tǒng)架構(gòu)獲得安全增益。

如圖12所示,由輸入代理、異構(gòu)構(gòu)件集合、動(dòng)態(tài)選擇模塊、執(zhí)行體集合和一致性表決模塊組成其基本結(jié)構(gòu)。動(dòng)態(tài)選擇模塊將根據(jù)相應(yīng)算法,從功能等價(jià)的異構(gòu)構(gòu)件集合{S1,S2,…,Sm}中選出n個(gè)異構(gòu)構(gòu)件作為執(zhí)行體集合{E1,E2,…,En}。系統(tǒng)運(yùn)行時(shí),輸入代理將輸入復(fù)制轉(zhuǎn)發(fā)給當(dāng)前執(zhí)行體集合中各元素E*,對(duì)應(yīng)的執(zhí)行結(jié)果集合{R1,R2,…,Rn}由一致性判決模塊處理后得出系統(tǒng)的輸出。

DHR是擬態(tài)防御系統(tǒng)的一種體系結(jié)構(gòu),其核心思想是: 引入結(jié)構(gòu)表征的不確定性,使異構(gòu)冗余執(zhí)行體具有動(dòng)態(tài)化、隨機(jī)化的內(nèi)在屬性,并在空間上嚴(yán)格隔離異構(gòu)執(zhí)行體之間除了共同的輸入通道和輸入請(qǐng)求序列外,不存在其他的可利用的協(xié)同途徑或機(jī)制,通過構(gòu)建動(dòng)態(tài)異構(gòu)冗余構(gòu)造系統(tǒng)來彌補(bǔ)現(xiàn)有“有毒帶菌”信息系統(tǒng)的安全缺陷。

圖12 DHR基本結(jié)構(gòu)圖

目前,CMD技術(shù)已經(jīng)成功實(shí)現(xiàn)于Web服務(wù)器系統(tǒng)與路由器系統(tǒng)中,并通過了國家權(quán)威單位的相關(guān)測試評(píng)估[18]。聯(lián)合測試團(tuán)隊(duì)在確認(rèn)提交的受測系統(tǒng)本征功能和性能滿足國家或行業(yè)標(biāo)準(zhǔn)且全過程可保持的前提下,通過擬態(tài)及非擬態(tài)模式對(duì)比方式驗(yàn)證CMD防御的有效性,通過滲透測試驗(yàn)證CMD對(duì)各種滲透攻擊的防御能力,通過“白盒”及“配合植入”后門或病毒木馬等開放式測試手段,檢驗(yàn)了CMD構(gòu)造在“去協(xié)同化”條件下的協(xié)同攻擊難度。Web服務(wù)器擬態(tài)防御原理驗(yàn)證系統(tǒng),共完成7類70項(xiàng)161例測試驗(yàn)證,內(nèi)容包括功能測試、HTTP1.1 協(xié)議一致性測試、安全性測試、接入測試、性能測試、兼容一致性測試和互聯(lián)網(wǎng)滲透等測試驗(yàn)證。路由器擬態(tài)防御原理驗(yàn)證系統(tǒng),共完成6類43項(xiàng)43例測試驗(yàn)證,內(nèi)容包括安全性測試、OSPF協(xié)議功能測試、性能測試和互聯(lián)網(wǎng)滲透等測試驗(yàn)證。

6.2 等價(jià)異構(gòu)體的ZFA結(jié)構(gòu)

CMD的測試成功給予了研究者們極大的動(dòng)力,本文試圖從ZFA結(jié)構(gòu)上描述其核心部件——等價(jià)異構(gòu)體的實(shí)現(xiàn)過程并分析其安全性能。

從安全原理上來說,CMD是MTD的一種“多維度”拓展。經(jīng)過5.2小節(jié)對(duì)MTD的ZFA的模型分析能夠自然的想到,如果對(duì)攻擊過程所涉及的參量集合Va進(jìn)行完整覆蓋,那么將會(huì)給攻擊者創(chuàng)造巨大的困難。

如圖所示,多參數(shù)上的MTD技術(shù)應(yīng)用將會(huì)使不確定性達(dá)到超線性增長。最理想的情況是,當(dāng)c個(gè)參量正交時(shí),系統(tǒng)的不確定性呈多項(xiàng)式O(mc)增長; 最差的情況是,當(dāng)c個(gè)參量相關(guān)系數(shù)為1時(shí),系統(tǒng)的不確定性呈線性增長O(m)。

圖13 多參數(shù)MTD技術(shù)的ZFA結(jié)構(gòu)

然而,實(shí)際情況是(1)隨機(jī)化的理想前提條件是已知了大多數(shù)攻擊過程,這一點(diǎn)并不滿足; (2)隨機(jī)化的參量需要對(duì)攻擊過程有影響,且影響程度應(yīng)該盡可能大,而目前已知的影響關(guān)系甚少; (3)隨機(jī)化集合中的各系統(tǒng)參量應(yīng)保證相關(guān)性盡量小,而目前對(duì)其相關(guān)性關(guān)系認(rèn)知不足。

除此之外,系統(tǒng)在對(duì)參數(shù)集合進(jìn)行隨機(jī)化時(shí)需兼顧服務(wù)性能。通常攻擊行為使用的系統(tǒng)服務(wù)就是正常服務(wù)接口,因此如果想為攻擊者創(chuàng)造更大的麻煩,勢必也會(huì)使系統(tǒng)的可用性大打折扣。更嚴(yán)重的是,為了保證MTD機(jī)制的安全性,系統(tǒng)還需要考慮參量集合的動(dòng)態(tài)性變化,這將進(jìn)一步加劇系統(tǒng)可用性的降低。

在3.4中,命題1′為功能等價(jià)的存在性提供了必要條件。這里做出如下假設(shè)。

假設(shè)3存在功能集合Φ,有不止一個(gè)系統(tǒng)S關(guān)于Φ等價(jià)

在假設(shè)3的前提下,存在跳轉(zhuǎn)序列δ達(dá)到特定的目標(biāo)狀態(tài)且滿足其限制條件,這里設(shè)定限制條件是由相同的輸入i出發(fā)。

實(shí)際應(yīng)用中,假設(shè)3通常是可滿足的,那么下列ZFA實(shí)現(xiàn)結(jié)構(gòu)的存在性從理論上得到了驗(yàn)證。

圖14 基于多參數(shù)不確定構(gòu)建的一種實(shí)現(xiàn)結(jié)構(gòu)

圖14中,a1 ≠ a2 ≠ … ≠ ak ≠ … ≠ am,b1 ≠ b≠ … ≠ bk ≠ … ≠ bm,c1 ≠ c2 ≠ … ≠ ck ≠ … ≠ cm。從ω上看m個(gè)系統(tǒng)實(shí)現(xiàn)了從x輸入i最終到y(tǒng)的相同跳轉(zhuǎn)但是以攻擊過程相關(guān)的觀測角度 abc…下其運(yùn)行過程可能處于不同的狀態(tài)。如果再滿足條件“x出發(fā)i以外的輸入將導(dǎo)致最終達(dá)不到統(tǒng)一到y(tǒng)的跳轉(zhuǎn)”,么此ZFA結(jié)構(gòu)就滿足了圖13模型中的功能,將其滿足上述要求的系統(tǒng),統(tǒng)稱為異構(gòu)等價(jià)體。異構(gòu)等體為構(gòu)建“多參數(shù)”的不確定性提供了一種實(shí)現(xiàn)案,C個(gè)異構(gòu)等價(jià)體的不確定性最高可呈多項(xiàng)O(mc)增長,帶來了巨大的防御增益。

當(dāng)然,想要滿足參量間的完全正交條件是幾不可能的,所以CMD引入了動(dòng)態(tài)性和冗余性使得構(gòu)模型的實(shí)現(xiàn)要求得到了降低,這在DHR的抗攻文獻(xiàn)中已經(jīng)得到了證明,本文不再進(jìn)行討論。

7 結(jié)論與下一步工作

針對(duì)當(dāng)前自動(dòng)機(jī)理論用于安全領(lǐng)域建模存在的問題提出改進(jìn)動(dòng)機(jī): (1)系統(tǒng)的全局狀態(tài)變化對(duì)于攻擊和防御的識(shí)別分析至關(guān)重要,需要盡量完整的表達(dá); (2)系統(tǒng)運(yùn)行過程中,往往是多個(gè)邏輯層面組合交疊著運(yùn)行,在一個(gè)孤立的“視角”下通常難以辨識(shí)正常行為與攻擊行為,應(yīng)當(dāng)予以拓展。根據(jù)上述2點(diǎn)動(dòng)機(jī),本文提出一種可變視角的 ZFA結(jié)構(gòu),使用整個(gè)系統(tǒng)的參量的取值標(biāo)示不同狀態(tài),通過設(shè)置觀測系數(shù),從而實(shí)現(xiàn)靈活多角度的對(duì)系統(tǒng)進(jìn)行描述和分析。從而達(dá)到了以下 3點(diǎn)效益: (1)細(xì)粒度劃分系統(tǒng)狀態(tài),提高對(duì)引發(fā)安全問題的異常因素的辨識(shí)能力; (2)增強(qiáng)自動(dòng)機(jī)的表達(dá)能力,刻畫出系統(tǒng)運(yùn)行的完整過程,抽象出安全問題中跨邏輯層的復(fù)雜情況; (3)建立不同邏輯層面間,單一層面與整個(gè)系統(tǒng)間的聯(lián)系,有助于研究系統(tǒng)參量間的耦合性。

結(jié)合ZFA對(duì)攻防過程進(jìn)行了建模,從3種典型的攻擊模式上分析了現(xiàn)有網(wǎng)絡(luò)安全威脅的特點(diǎn)。隨后,討論了傳統(tǒng)安全手段的天然劣勢及MTD技術(shù)的局限性。最后,結(jié)合CMD思想與其DHR模型,從理論上用ZFA構(gòu)建一種“多參數(shù)”不確定性的實(shí)現(xiàn)結(jié)構(gòu),單從攻擊序列的在線長度上考慮,CMD中的異構(gòu)執(zhí)行體所帶來的防御增益最高能達(dá)到多項(xiàng)式增長O(mn),極大提高了目標(biāo)系統(tǒng)的防御增益。

本文提出的 ZFA和攻防模型,存在以下問題值得繼續(xù)研究: (1) ZFA對(duì)于復(fù)雜系統(tǒng)運(yùn)行全過程的建?？尚行院艿? (2) ZFA結(jié)構(gòu)無法刻畫系統(tǒng)動(dòng)態(tài)變化過程; (3)對(duì)攻防模型中的攻擊難度和防御增益沒有給出完整量化方法。

對(duì)于ZFA結(jié)構(gòu)來說,下一步工作有(1)探索ZFA建模實(shí)現(xiàn)的可行方法; (2)研究系統(tǒng)狀態(tài)機(jī)動(dòng)態(tài)變化的描述方法; (3)繼續(xù)挖掘模型對(duì)于安全問題研究中的定性定量結(jié)論。

根據(jù) ZFA對(duì)于現(xiàn)有安全技術(shù)分析,對(duì)于構(gòu)建不確定的主動(dòng)防御技術(shù),下一步工作有(1)研究系統(tǒng)行為與參量的影響關(guān)系; (2)研究系統(tǒng)不同參量間的相關(guān)性關(guān)系; (3) CMD技術(shù)的具體實(shí)現(xiàn)研究和測試。

[1] Baker Stewart,“Trustworthy Cyberspace: Strategic Plan for the Federal Cybersecurity Research and Development Program,” Foreign Affairs,pp. 8-10,Dec. 2011.

[2] Wu Jiangxing,“Meaning and Vision of Mimic Computing and Mimic Security Defense,” Telecommunications Science,vol.30,no. 7,pp. 1?7 (in Chinese),2014. (鄔江興,“擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景”,電信科學(xué),2014,30(7): 1-7.)

[3] Strackx R,Younan Y,Philippaerts P,et al,“Breaking the memory secrecy assumption,” in Proc. Eurosec 2009,pp. 1-8,March,2009.

[4] Snow K Z,Monrose F,Davi L,et al,“Just-In-Time Code Reuse: On the Effectiveness of Fine-Grained Address Space Layout Randomization,” in Proc. IEEE Symposium on Security and Privacy,pp. 574-588,2013.

[5] Dmitry Evtyushkin,Dmitry Ponomarev,Nael Abu-Ghazaleh,“Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR,” in Proc. 49th IEEE/ACM International Symposium on Microarchitecture (MICRO),2016.

[6] Hobson T,Okhravi H,Bigelow D,et al,“On the Challenges of Effective Movement,” in Proc. ACM Workshop on Moving Target Defense,pp. 41-50,2014.

[7] Hoque N,Bhuyan M H,Baishya R C,et al,“Network attacks: Taxonomy,tools and systems,” Journal of Network & Computer Applications,vol.40,no. 1,pp. 307-324,2014.

[8] Kordy B,Piètre-Cambacédès L,Schweitzer P,“DAG-based attack and defense modeling: Don’t miss the forest for the attack trees,”Computer Science Review,s 13–14,pp. 1-38. 2013.

[9] Poolsappasit N,Dewri R,Ray I,“Dynamic Security Risk Management Using Bayesian Attack Graphs,” IEEE Transactions on Dependable and Secure Computing vol.9,no. 1,pp. 61-74,Jan-Feb,2012

[10] Manadhata P K,Wing J M,“An Attack Surface Metric,” IEEE Transactions on Software Engineering,vol.37,no. 3,pp. 371-386,2011.

[11] M Sipser,“Introduction to the theory of computation,” China Machine Press,2006.

[12] Chow T S,“Testing Software Design Modeled by Finite-State Machines,” in Conformance testing methodologies and architectures for OSI protocols,IEEE Computer Society Press,pp. 178-187,1995.

[13] N. Lynch and M. Tuttle,“An introduction to input/output automata,” CWI-Quarterly,vol.2,no. 3,pp. 219–246,Sep 1989.

[14] Yarom,Yuval,and K. Falkner,“FLUSH+RELOAD: a high resolution,low noise,L3 cache side-channel attack,” in Proc. USENIX Security Symposium,pp. 719-732,2014.

[15] Kocher P,Jaffe J,Jun B. “Differential Power Analysis,” Advances in Cryptology CRYPTO’ 99,Springer Berlin Heidelberg,1999.

[16] Mirkovic J,Reiher P,“A taxonomy of DDoS attack and DDoS defense mechanisms,” Acm Sigcomm Computer Communication Review,vol.34,no. 2,pp. 39-53,2010.

[17] Zhang SZ,Luo H,and Fang BX,“Regular expressions matching for network security,” Journal of Software,vol.22,no. 8,pp. 1838?1854 (in Chinese),2011. (張樹壯,羅浩,方濱興,“面向網(wǎng)絡(luò)安全的正則表達(dá)式匹配技術(shù)”,軟件學(xué)報(bào),2011,22(8):1838-1854.)

[18] 上海市科學(xué)技術(shù)委員會(huì)給國家科技部高新技術(shù)發(fā)展及產(chǎn)業(yè)化司的專題報(bào)告,“擬態(tài)防御原理驗(yàn)證系統(tǒng)測試評(píng)估工作情況匯總”,2016.8.

A Cyberspace Attack and Defense Model with Security Performance Analysis Based on Automata Theory

GUO Wei,WU Jiangxing,ZHANG Fan,SHEN Jianliang
National Digital Switching System Engineering & Technological R&D Center,Zhengzhou 450002,China

The incompletion of current automata model for system state expression and the singleness of angle on modeling cannot meet the requirement for characterization of cyberspace attack and defense. To address the problem,this paper proposes an angle-variable Zooming Finite Automaton (ZFA) structure. In ZFA,a complete set of parameters is used to identify the status of the state,and the observation coefficient it set up to enhance the ability of system analysis in a multi angle. The cyberspace attack and defense model and the security performance analysis method are given by means of the ZFA structure. The analysis reveals the natural disadvantage of the traditional security methods and the limitations of the moving target defense technology. Finally,the core components of the Cyberspace Mimic Defense (CMD) theory -- executive isomer architecture is discussed,and theoretically proved that the super linear growth of uncertainty can be obtained by construction at “Multi parameter”.

cyberspace security; automata; zooming; attack and defense model; security performance; cyberspace mimic defense; multi parameter

郭威 于2015年在信息工程大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)獲得碩士學(xué)位。現(xiàn)在國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心信息與通信工程專業(yè)攻讀博士學(xué)位。研究領(lǐng)域?yàn)橹鲃?dòng)防御、網(wǎng)絡(luò)體系結(jié)構(gòu)。Email: guowjss@126.com

鄔江興 中國工程院院士,國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心教授、博士生導(dǎo)師,研究領(lǐng)域?yàn)橹鲃?dòng)防御、交換技術(shù)與寬帶信息網(wǎng)絡(luò)、高效能計(jì)算。

張帆 于2013年在信息工程大學(xué)通信與信息系統(tǒng)專業(yè)獲得博士學(xué)位?，F(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心副研究員,碩士生導(dǎo)師。研究領(lǐng)域?yàn)橹鲃?dòng)防御、芯片設(shè)計(jì)技術(shù)、高性能計(jì)算。Email: 13838267352 @qq.com

沈劍良 于2014年在國防科學(xué)技術(shù)大學(xué)電子科學(xué)與技術(shù)專業(yè)獲得博士學(xué)位。現(xiàn)任國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員,在站博士后。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)體系結(jié)構(gòu)、主動(dòng)防御、可重構(gòu)計(jì)算等。Email: shenjianliang@outlook.com

TP309.1 DOI號(hào) 10.19363/j.cnki.cn10-1380/tn.2016.04.003

張帆,博士,副研究員,Email: 13838267352@qq.com。

本課題得到國家自然科學(xué)基金面上項(xiàng)目網(wǎng)絡(luò)空間擬態(tài)安全異構(gòu)冗余機(jī)制研究(61572520)資助、國家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目(No.61521003)和國家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(Nos. 2016YFB0800100,2016YFB0800101)支持。

2016-09-10; 修改日期: 2016-09-30; 定稿日期: 2016-10-17