鄔江興

國家數(shù)字交換系統(tǒng)工程技術研究中心 鄭州 中國 450001

網絡空間擬態(tài)防御研究

鄔江興

國家數(shù)字交換系統(tǒng)工程技術研究中心 鄭州 中國 450001

本文扼要分析了網絡安全不平衡現(xiàn)狀及本源問題,重點闡述了動態(tài)異構冗余架構以及如何利用不可信軟硬構件組成高可靠、高安全等級信息系統(tǒng)的原理與方法,概略的給出了擬態(tài)防御的基本概念。最后,介紹了擬態(tài)防御原理驗證系統(tǒng)的測試評估情況和初步結論。

網絡安全; 不平衡態(tài)勢; 未知漏洞后門; 擬態(tài)防御; 非相似余度; 動態(tài)異構冗余; 驗證系統(tǒng)測試評估

1 背景

正當人們盡情享受信息時代生活和工作樂趣的同時,網絡安全問題像幽靈一般成為揮之不去的夢魘。根本原因之一是,網絡空間存在泛在化的基于未知漏洞和后門等的不確定性威脅。這使得少數(shù)人或團體組織利用少量的資源就能肆意踐踏個人乃至公眾的隱私權,威脅信息基礎設施和公共服務系統(tǒng)安全,危及網絡空間秩序和社會穩(wěn)定。當前,網絡空間的基本安全態(tài)勢是“易攻難守”。

1.1 網絡安全不平衡態(tài)勢的本源問題

首先是未知安全漏洞問題。通常是指,在硬件、軟件或協(xié)議等的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而使攻擊者有可能在未經授權下訪問或破壞系統(tǒng)。由于人們認知方法與手段的局限性,實踐中,設計缺陷或安全漏洞往往難以避免。

其次是軟硬件后門問題。通常是指留在軟硬件系統(tǒng)中的惡意代碼,旨在為特殊使用者通過特殊方式繞過安全控制環(huán)節(jié)而獲得系統(tǒng)訪問權提供方法與途徑?！袄忡R門”事件披露了大量的關于后門的黑幕消息,給全球信息技術產品市場帶來了極為嚴重的負面影響。即使在網絡安全技術占主導地位,高端信息產品市場占絕對優(yōu)勢的美國,2017年國防授權法案中也提出了“如何保證來自全球化市場、商用等級、非可信源構件的可信性問題”。供應鏈全球化時代,形成了“你中有我,我中有你,相互依存又互為掣肘”的生態(tài)關系。因而,在可以預見的將來,后門問題也是無法杜絕的。

排在第三位的是未知漏洞后門或側信道的發(fā)現(xiàn)問題。迄今為止,人類尚未形成窮盡復雜信息系統(tǒng)漏洞和徹查后門的理論與方法。就目前的科技能力來看,網絡空間能夠查出的漏洞和后門就如同浩瀚宇宙中的一點點塵埃,絕大多數(shù)是未被認知的。更為糟糕的是,側信道帶來的安全隱患常常是泛在化的且很難用物理或邏輯的方法徹底消除。在“設計缺陷與不可信的開放式供應鏈”條件下,無論從技術或經濟上都不可能保證網絡空間構成環(huán)境內“無毒無菌”的理想安全性要求。

從“已知的未知”風險防范視角來看,基于未知漏洞或未知后門實施的未知攻擊屬于“未知的未知”安全威脅,即不確定性威脅,也是網絡安全領域最令人驚恐不安、備受煎熬的心理折磨。由于無法適時的了解攻擊者采用什么手段、通過何種途徑、利用什么缺陷或“內應”,是否已進入目標對象,已經干了什么,正在干什么,未來打算干什么等等一系列不確定性問題,因而也就無從談起怎樣才能實施有效的針對性防御。參照經濟學理論[1]的相關說法,已知的未知屬于風險,風險可以用概率來表述,而未知的未知屬于不確定性,不確定性則是不知道概率的情形。因此,不確定性威脅是造成網絡安全不平衡態(tài)勢難以逆轉的核心因素之一。

1.2 現(xiàn)有防御體系的脆弱性和安全黑洞

現(xiàn)有的防御體系是基于威脅特征感知的精確防御,需要獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為和攻擊機制等先驗知識作為實施有效防御的基礎。因此,它必須建立在“已知風險”或是“已知的未知風險”前提條件上。不幸的是,由于軟硬構件中存在未知的漏洞或后門,信息系統(tǒng)和防御體系只能構建在可信性無法保證的運行環(huán)境上。

從嚴格意義上說,現(xiàn)有信息系統(tǒng)或防御體系對泛在的不確定性威脅基本上是不設防的,除了加密認證外幾乎沒有其他實時高效的應對措施。事實上,確保加密認證裝置實現(xiàn)上的可信性本身就極富挑戰(zhàn)性。如果作為嵌入式裝置在非可信環(huán)境下使用,很可能存在被“短路”的風險或受到基于“側信道”原理的各種旁路攻擊[2,3]。

由于無法保證信息系統(tǒng)或網絡空間生態(tài)環(huán)境的“無漏洞無后門”或者“無毒無菌”,現(xiàn)有的安全防護體系只能期待“后天獲得性免疫”。通過不斷地亡羊,不停地補牢,不斷地挖掘漏洞和發(fā)現(xiàn)后門,不停地打補丁,殺毒滅馬,封門堵漏等被動的跟隨博弈方式來自我完善。但面對不確定性威脅時,被動防御就如同數(shù)學上求解缺維方程組,理論上無確定解。所以說,目前網絡安全“易攻難守”的不對稱態(tài)勢也是被動防御理論體系和技術的基因缺陷所致。

更為嚴峻的是,網絡空間信息系統(tǒng)架構和防御體系本質上說都是“靜態(tài)的、相似的和確定的”,體系架構透明、處理空間單一,缺乏多樣性。軟件的遺產繼承將導致安全鏈難以閉合,系統(tǒng)缺陷和脆弱性持續(xù)暴露且易于攻擊,使之成為了網絡空間最大的安全黑洞。

2 相關概念

2.1 擬態(tài)現(xiàn)象與擬態(tài)防御

一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環(huán)境,從而使一方或雙方受益的生態(tài)適應現(xiàn)象,在生物學中稱為擬態(tài)現(xiàn)象[4]。按防御行為分類可將其列入基于內生機理的主動防御范疇,我們將其稱為“擬態(tài)偽裝”(Mimic Guise,MG)。

擬態(tài)現(xiàn)象在生物界其實很普遍,諸如竹節(jié)蟲、枯葉蝶、模擬蘭花、樹葉蟲等林林總總,光怪陸離。尤其是1998年在印尼蘇拉威西島水域發(fā)現(xiàn)的條紋章魚(又名擬態(tài)章魚),算是生物界的擬態(tài)偽裝大師。據(jù)研究表明,它能模擬 15種以上海洋生物,可以在珊瑚礁環(huán)境和沙質海底完全隱身。在本征功能不變條件下,能以不確定的色彩、紋理、形狀和行為變化給掠食者或捕食目標造成認知困境[4]。

擬態(tài)偽裝不能直接作為網絡空間主動防御的概念基礎。根本原因是,網絡空間中大多數(shù)信息系統(tǒng)的服務功能和性能是不能被隱匿的,如 Web服務、路由交換、文件存儲、云計算和數(shù)據(jù)中心等等。相反,還要盡可能讓外界清晰明了其使用方式和功能細節(jié)以及考慮使用習慣的延續(xù)問題。所以,網絡空間的任何主動防御舉措都不能影響到目標對象給定服務功能和性能的正常提供。除此之外,其他行為,比如目標對象的系統(tǒng)架構、運行機制、核心算法、異常表現(xiàn)以及可能存在的未知漏洞或后門等等,都可以通過類似擬態(tài)偽裝的方式進行主動隱匿。那么,除隱匿目標對象服務功能外的擬態(tài)偽裝就定義為“擬態(tài)防御”(Mimic Defense,MD)。

2.2 擬態(tài)防御與非相似余度構造

根據(jù)“給定功能,往往存在多種實現(xiàn)結構”的公理,可靠性領域的異構冗余體制可能滿足擬態(tài)防御的最低要求。原因是,其異構冗余集合中的任意元素,無論是單獨使用還是多個元素的并聯(lián)或組合使用,可呈現(xiàn)的功能場景都是等價的。

異構冗余體制的經典范例就是“非相似余度構造”(Dissimilar Redundancy Structure,DRS)[5,6]。如下圖所示:

圖1 DRS結構示意

其理論基礎是“獨立開發(fā)的裝置或模塊發(fā)生共性設計缺陷導致共模故障的情況屬于小概率事件”,工程實現(xiàn)上要保證各功能等價的獨立裝置中的設計缺陷具有不相互重合的性質。

目前,DRS系統(tǒng)的相異性設計主要通過嚴格的管理手段實現(xiàn)。由不同教育背景和工作經歷的人員組成的多個工作組,依托不同的開發(fā)環(huán)境,根據(jù)不同的技術路線,遵循一個共同的功能規(guī)范,獨立開發(fā)多個功能等價的裝置。然后,將這些異構等價裝置加入到一個具有多模表決機制的容錯架構,通過對輸出矢量的比較或檢測,便可容忍處理可能存在的兩種不確定性錯誤,即軟硬件設計潛在缺陷引發(fā)的不確定故障和物理機制導致的不確定失效。這說明,原本屬于不確定性故障的處理難題可以被DRS架構轉換為擇多判決的概率問題。盡管理論上不能保證擇多結果總是正確的,但卻可以證明擇多錯誤的發(fā)生概率隨DRS余度數(shù)增加呈非線性減小。

工程實踐表明,基于DRS構造的系統(tǒng)能夠非線性地提高可靠性等級。如果再借助一定的預清洗或恢復機制,應用系統(tǒng)可以具有非常高的可靠性(例如,美國波音公司的 B-777客機飛控系統(tǒng)的失效率就低于10–10,通用動力公司的F-16戰(zhàn)斗機飛控系統(tǒng)的失效率也低于10–8)[7]。值得注意的是,上述設計原則與方法不僅對抑制目標系統(tǒng)的共性缺陷和錯誤有效,而且對管控開發(fā)工具和開發(fā)環(huán)境引入的共性缺陷同樣有效。

DRS的應用成果證明,異構冗余體制能夠有效地檢測、定位和隔離“已知的未知”或“未知的未知”故障,還可以顯著減少系統(tǒng)驗證和確認的時間與費用[7]。

2.3 DRS架構抗攻擊缺陷

盡管DRS架構對于不確定性故障具有很好的容錯屬性,但直接用于應對諸如高級持續(xù)威脅(APT)等增量性、持續(xù)性、協(xié)同性和不確定性高級入侵威脅仍存在以下幾方面挑戰(zhàn):

1) DRS的基本要求是所有構件、組件有嚴格的空間獨立性,且給定功能交集嚴格限定。除了等價功能交集,不能存在其他相同的功能交集,這需要極為復雜、代價高昂的相異性設計來保證;

2) DRS系統(tǒng)仍然是靜態(tài)的、確定的,其運作機制也是相似的,理論上具有防御行為的可預測性。攻擊者一旦掌握目標對象過程信息或所需的必要資源,就可以從容的造成多數(shù)異構體的一致性錯誤,以實現(xiàn)多模裁決下的逃逸(例如通過側信道攻擊方式實現(xiàn)跨物理域的協(xié)同攻擊)。更嚴重的是,一旦攻擊成功,其經驗具有可繼承性,能夠準確的復現(xiàn);

3) DRS構造的容錯特性是以軟硬件故障發(fā)生的隨機性為前提,通?？梢杂酶怕使ぞ邅砻枋?。而基于未知漏洞或后門等發(fā)起的攻擊對防御方來說屬于不確定性威脅,不具備可計算性質,也就無法用概率工具進行表達和分析;

4) 雖然 DRS構造同樣基于相對不可靠的組件作為冗余體構件,但一般認為可靠性隱患不具有“惡意傳播”的性質。因此,并沒有強制性的“去協(xié)同化”以阻止人為攻擊的傳播,冗余體間通常存在協(xié)同化攻擊可利用的互連端口、鏈路和處理空間等通道或同步機制。

總之,一旦攻擊者擁有的資源和能力可以覆蓋DRS架構的靜態(tài)環(huán)境,理論上就能夠實現(xiàn)基于多數(shù)冗余體的協(xié)同化攻擊。

3 動態(tài)異構冗余思想

作為一種共同的認知,在諸如DRS等異構冗余體制中導入動態(tài)性和隨機性可以有效提升其抗攻擊性能。首先,該機制在防御方可控或代價可接受條件下,能使系統(tǒng)對攻擊者呈現(xiàn)出相當程度上的不確定性,為上節(jié)問題(2)提供了強有力的解決手段,也能將問題(3)中人為攻擊行動的必然性強制轉化為隨機性可表述的事件。其次,研究經驗表明,使同構冗余部件間做到精確協(xié)同極具挑戰(zhàn)性,而動態(tài)性和隨機性能夠進一步提升多方參與具有一致性或協(xié)同性要求的行動的不確定度,多模判決環(huán)節(jié)又在機理上顯著提升了非配合條件下的協(xié)同攻擊難度。一個自然的結論是,倘諾異構執(zhí)行體集合中的元素采取諸如動態(tài)化的策略調度,或是元素自身實施可重構、可重組、可重建、可重定義、虛擬化等廣義動態(tài)化技術,那么在保證系統(tǒng)功能、性能及抗攻擊與可靠性指標的前提下,可以簡化或弱化DRS構架中苛刻的相異性設計要求。此結論對于后全球化時代,在開放式產業(yè)鏈、供應鏈環(huán)境下,應用開源軟硬件或中間件等不可控構件組成安全可信系統(tǒng),降低產品全壽命周期成本,有著十分重要的工程意義。我們將這樣的異構冗余體制稱為“動態(tài)異構冗余”構造(Dynamic Heterogeneous Redundancy,DHR)。

3.1 DHR構造

動態(tài)異構冗余構造,理論上要求系統(tǒng)具有視在結構表征的不確定性。包括非周期的從功能等價的異構冗余體池中隨機的抽取若干個元素組成當前服務集,或者重構、重組、重建異構冗余體自身,或者借助虛擬化技術改變冗余執(zhí)行體內在的資源配置方式或視在運行環(huán)境,或者對異構冗余體作預防性或修復性的清洗、初始化等操作,使攻擊者在時空維度上很難有效的再現(xiàn)成功攻擊的場景。其架構如下圖所示:

圖2 DHR結構示意

該構造由輸入代理、異構構件集、策略調度算法、執(zhí)行體集和多模表決器組成。其中,異構構件集和策略調度組成執(zhí)行集的多維動態(tài)重構支撐環(huán)節(jié)。由標準化的軟硬件模塊可以組合出m種功能等價的異構構件體集合E,按策略調度算法動態(tài)的從集合E中選出n個構件體作為一個執(zhí)行體集(A1,A2,...,An),系統(tǒng)輸入代理將輸入轉發(fā)給當前服務集中各執(zhí)行體,這些執(zhí)行體的輸出矢量提交給表決器進行表決,得到系統(tǒng)輸出。我們將輸入代理和多模表決器也稱為“擬態(tài)括號”(Mimic Bracket,MB)。

擬態(tài)括號內通常是一個符合 IPO模型的防護目標之集合(規(guī)?；蛄６炔幌?,如下圖所示:

圖3 IPO模型

P可以是復雜的軟硬件處理系統(tǒng)也可以是部件或子系統(tǒng),且存在應用擬態(tài)防御架構的技術與經濟條件,則可表達為:。其中,連接輸入I的左括號被賦予輸入指配功能,連接輸出O的右括號被賦予多模表決和代理輸出功能,括號內的nP是與P功能等價的異構執(zhí)行體。左右括號在邏輯上或空間上一般是獨立的,且功能上聯(lián)動。擬態(tài)括號限定的保護范圍稱為擬態(tài)防御界(Mimic Defense Boundary,MDB),簡稱擬態(tài)界,通常情況是一個存在未知漏洞、后門或病毒、木馬等軟硬件代碼的“有毒帶菌”異構執(zhí)行環(huán)境。

不難發(fā)現(xiàn),DHR構造的抗攻擊能力在體系上源自DRS構造,在不確定性機制上則受惠于動態(tài)性、隨機性和多樣性的引入,在攻擊難度上得益于“去協(xié)同化環(huán)境”造就的非配合條件下的協(xié)同化攻擊困境,在實現(xiàn)方法上來源于功能等價條件下的多維動態(tài)重構機制的應用。

3.2 DHR構造抗攻擊性分析

3.2.1 相關定義

定義1 一次攻擊成功

一次攻擊成功是指導致系統(tǒng)的機密性、可用性、完整性等遭受破壞的完整攻擊過程。本模型中一次攻擊指攻擊者行為在系統(tǒng)中發(fā)生了一次輸入輸出,一次攻擊成功可能產生多次輸入輸出,即進行了多次攻擊。

對構件而言,當攻擊者利用構件中的漏洞并成功控制該構件,則認為構件被攻擊成功。對系統(tǒng)而言,當攻擊者利用n個執(zhí)行體中的漏洞發(fā)起攻擊,導致某些執(zhí)行體輸出一致但與正常輸出不一致,且異常輸出通過了表決器表決,則認為系統(tǒng)被攻擊成功。

定義2 系統(tǒng)攻擊成功率

若攻擊者利用DHR系統(tǒng)中的漏洞發(fā)起α次攻擊,導致系統(tǒng)被攻擊成功β,則記:

為一次攻擊的系統(tǒng)攻擊成功率。

定義3 系統(tǒng)動態(tài)變化時間

若系統(tǒng)最小變化時間和最大變化時間相等,則稱系統(tǒng)是周期性變化的。該變化時間稱為系統(tǒng)動態(tài)變化周期(或系統(tǒng)服務時序周期),記為T。

定義4 l階輸出一致率

設n個執(zhí)行體組成一個執(zhí)行體集,若在相同輸入條件下,有l(wèi)個輸出相同,且與正常輸出不一致,稱該執(zhí)行體集是l階輸出一致的。

考慮到攻擊者是針對漏洞進行的,若對漏洞v,在N次攻擊中有N′次其l個輸出相同且與正常輸出不一致,則稱:

是關于漏洞v的l階輸出一致率。

若忽略系統(tǒng)隨機錯誤,易知對任意漏洞v,關于的l階輸出一致率:

3.2.2 前提假設

由于信息系統(tǒng)的復雜性和網絡攻擊的多樣性,根據(jù)網絡攻擊的實際情況,特作如下假設:

(1) 系統(tǒng)的輸入與輸出是一一對應的。

(2) 針對漏洞的攻擊,若攻擊成功必導致執(zhí)行體輸出的改變(與正常輸出相比)。

(3) 輸入代理和表決器是安全的,即不考慮輸入代理和表決器受攻擊的情況。

(4) 攻擊者僅基于執(zhí)行體的漏洞發(fā)起攻擊,每次攻擊事件是獨立的。

(5) 不考慮通信誤碼或執(zhí)行體故障等因素引起的系統(tǒng)隨機錯誤。

3.2.3 建模與求解

T: 動態(tài)變化周期,每個T內系統(tǒng)當前執(zhí)行體集固定;

V: 所有構件中漏洞組成的集合;

qv:攻擊者利用漏洞v對含v的執(zhí)行體進行攻擊的成功率;

tv: 攻擊者利用漏洞v對含v的執(zhí)行體進行攻擊所需時間;

αv: 攻擊者利用漏洞v攻擊的權重;

DHR系統(tǒng)建模的目的是要揭示系統(tǒng)對抗基于未知漏洞等不確定性威脅的安全機理,我們定義系統(tǒng)攻擊成功率 PS來表征系統(tǒng)主動防御的有效性,并導出其與參數(shù)的函數(shù)關系:

3.2.4 性質分析

(1) Pv=0當且僅當任意k個互異執(zhí)行體無共同漏洞v或I（v）=0。

這說明當攻擊者利用特定漏洞v發(fā)起攻擊時,欲使系統(tǒng)攻擊成功率降低,必須降低值; 由于qv是客觀存在的且與攻擊者能力密切相關,因此通過提高系統(tǒng)異構性可以降低k階輸出一致率,也可以通過減小T值使得I( v)=0。

這說明欲使系統(tǒng)攻擊成功率降低,必須降低各Pvi值。根據(jù)分析(1),系統(tǒng)只能轉而控制T值或關于各漏洞的值。

這兩條性質表明了DHR模型對抗攻擊者利用漏洞進行攻擊的有效性。根據(jù)性質(1)系統(tǒng)的動態(tài)性使得在任意動態(tài)變化周期內攻擊時間代價的漏洞無法被有效利用,系統(tǒng)的異構冗余性使得很小,攻擊者能夠有效利用漏洞v的時間周期窗口變少且不確定,從而增大了利用難度。即使在攻擊成功情況下,欲保持攻擊效果的持續(xù)時間也被壓縮到至多 1個時間周期T; 根據(jù)性質(2)系統(tǒng)整體上攻擊成功的平均概率減小,說明其能有效對抗基于漏洞的網絡攻擊。

3.3 DHR構造效應

1) 不確定性威脅感知

DHR構造感知不確定性威脅需要滿足三個前提條件: (1)執(zhí)行體的輸入是標準化或可歸一化的,且能被用于并行激勵多個執(zhí)行體; (2)執(zhí)行體的輸出矢量是標準化的或經歸一化處理能夠滿足標準化,并可支持多模判決; (3)執(zhí)行體受到的不確定性攻擊將在其輸出矢量中有所表現(xiàn)。感知精度決定于擬態(tài)括號內執(zhí)行體的顆粒度。

2) 增加攻擊鏈不確定性

DHR構造內在的多維動態(tài)重構機制使得目標對象的視在環(huán)境表現(xiàn)出很強的不確定性。理論上除給定功能外,同樣的輸入激勵很難得到相同的輸出響應。例如,靜態(tài)情況下攻擊者看到的漏洞數(shù)量、種類特征與可利用性是確定的,而在動態(tài)情況下視在漏洞的數(shù)量、種類特征、出現(xiàn)的頻度和可利用性都將是不確定的。這將會嚴重干擾攻擊者在漏洞探測和回連階段獲得信息的真實性,也會使攻擊植入或上傳環(huán)節(jié)失去可靠性,還將會破壞攻擊的成功經驗在時空維度上的可復現(xiàn)性。

3) 增加多模裁決逃逸難度

理論上,多模裁決機制存在“錯誤逃逸”的可能性,但逃逸概率通常很低。由于DHR構造中導入了策略調度、重構重組和虛擬化等多維動態(tài)的不確定性機制,將使得多模判決環(huán)節(jié)中單次逃逸或持續(xù)逃逸的概率進一步降低。原因是: (1)多模裁決環(huán)節(jié)對經過擬態(tài)界的攻擊鏈頻度和執(zhí)行集的環(huán)境差異都十分敏感,任何導致冗余執(zhí)行體輸出矢量產生差異的功能性操作或內容性設計會被非線性放大; (2)如果從異構冗余池中抽取的執(zhí)行集是按照某種隨機策略進行的,則試圖滿足當下服務集內同源組合漏洞的逃逸條件也是相當困難的; (3)假設t時刻的攻擊實現(xiàn)了成功逃逸,由于服務集具有動態(tài)性和異構性,在 +ti的后續(xù)攻擊中也難以借助逃逸經驗復現(xiàn)出與 t時刻完全相同的輸出矢量; (4)如果系統(tǒng)再輔以“發(fā)現(xiàn)即清洗”的處理策略,那么越是復雜精細的攻擊方案,越是操作步驟綿長的協(xié)同行動,攻擊成功率就會越低。

4) 動態(tài)異構環(huán)境影響漏洞利用

原理上,擬態(tài)界內的漏洞只要保證嚴格的相異性就具有不可利用性,這是由多模裁決的本身機制決定的。事實上,即使在擬態(tài)界內存在同源或同宗漏洞等情況,由于執(zhí)行環(huán)境的動態(tài)和異構變化,使得攻擊者難以實現(xiàn)針對環(huán)境差異的多目標協(xié)同攻擊。例如,借助CPU、OS或支撐環(huán)境漏洞實現(xiàn)的一類攻擊將會被多模裁決環(huán)節(jié)阻斷; 利用應用軟件漏洞進入系統(tǒng)并設法通過 OS提權操作的蓄意攻擊也將因為環(huán)境因素變化而難有作為; 借助冗余體內存、緩存或輸入輸出等“側信道”實施的應用層攻擊也會被多模裁決機制終止; 根據(jù)特定化環(huán)境定制的后門、病毒或木馬等,也會隨著攻擊可達性的改變而失去期望功能。

5) 具有獨立的安全增益

DHR構造的防御機理主要體現(xiàn)在目標對象視在環(huán)境與構造的不確定度方面,目的是非線性的增加攻擊者的難度和成本。防御的有效性僅由DHR構造的多維動態(tài)重構、重組等機制和非配合條件下多模裁決機制的強弱來決定,不依賴任何攻擊行為的先驗知識,也與傳統(tǒng)安全防御手段(例如,入侵檢測[8,9]、預防、容忍[10,11]或隔離,殺毒滅馬、封門堵漏等)無強關聯(lián)性,其防御能力可以覆蓋目前絕大多數(shù)擬態(tài)界內的未知漏洞、后門和病毒木馬等安全威脅。盡管如此,DHR構造在機制上可以自然地利用常規(guī)防御措施以增加擬態(tài)界內的相異性,有助于非線性提高防御的有效性與可靠性。

6) 逆轉攻防不對稱格局

無論從定性定量分析還是實際測評[12]的角度,都不難得出結論: DHR的內在機理可以很容易獲得非線性的防御增益[12],DHR系統(tǒng)的失效率也是呈指數(shù)級衰減的。按照可靠性模型分析不難得出,在相同余度數(shù)n( n≥3)的條件下,DHR的可靠性要遠遠高于非相似余度的可靠性; 從 DHR的典型構造來看,其防御成本上限正比于擬態(tài)界內異構執(zhí)行體的數(shù)量n,為線性函數(shù),但其防御效果則是非線性增加的。更為重要的是,從應用系統(tǒng)的全壽命周期來看,DHR構造能顯著降低實時防護性要求(如防御 0day攻擊等)、版本升級(打補丁)頻度以及附加專門安全裝置等所帶來的維護成本; 從實現(xiàn)方面來看,DHR允許使用全球化市場的 COTS級軟硬構件來組成異構執(zhí)行體,甚至可以直接使用開放或開源的產品。相比于專門設計、特殊制造的安全構件、部件或系統(tǒng),DHR組件的開發(fā)和售后服務成本可被規(guī)?；袌鏊?基本上可以忽略。

7) 適應全球化生態(tài)環(huán)境

DHR構造模式需要標準化、多樣化、多元化的軟硬構件市場和業(yè)態(tài)的支持,而“開源社區(qū)”、全球化產業(yè)鏈等現(xiàn)代技術開發(fā)和生產組織方式恰好能起到自然的支撐作用。由于DHR構造的泛化使用能夠提供更加強勁的多樣化市場需求,這也使得同質異構技術產品將不只是排他性的競爭關系。

一般來說,功能等價的軟硬構件之間的技術成熟度必定存在差異,特別是產品初期階段或市場后來者。借助DHR構造的高可靠容錯屬性和多模判決的定位功能,能快速發(fā)現(xiàn)擬態(tài)界內新構件產品的設計缺陷和性能弱點。預期可以實現(xiàn)以下三方面的效果: (1)用戶能夠不再為市場上缺乏成熟的多元化組件感到擔憂和煩惱; (2)因為“同質異構”需求的出現(xiàn),可以大大降低新產品供應商進入市場的門檻; (3)包容設計缺陷的特性可以大大減少設計階段系統(tǒng)驗證和確認的時間及費用,加快新品入市的進程。

DHR雖然要求用功能等價的多元化或多樣化軟硬構件搭建運行環(huán)境,但并不苛求擬態(tài)界內構件本身的“無毒無菌”或“絕對可信”。這使得我們可以用一些在安全性方面不完全可控但功能、性能和成熟度較高的國內外產品,與自主可控程度較高但先進性或成熟性等方面尚存在差距的可信產品,采取混合配置或伴隨(可以是實時或準實時)監(jiān)視的工作模式,用功能性能和安全性可靠性等方面的高低搭配來優(yōu)化應用系統(tǒng)全壽命周期內的成本結構或經濟性指標。

8) 一體化的系統(tǒng)架構

顯然,DHR構造不僅具有很高的容錯能力,而且還能獨立地提供確定或不確定的威脅防御能力。這種創(chuàng)新架構可以一體化地解決可靠、可信服務環(huán)境的魯棒性、柔韌性和安全性的問題。相對于附加或堆砌在專門的安全防御設施來保護網絡服務系統(tǒng)的方法,其三大能力融為一體,在部署上具有更佳的性價比或費效比。

4 網絡空間擬態(tài)防御

4.1 目標與路線

網絡空間擬態(tài)防御(Cyber Mimic Defense,CMD),以下簡稱“擬態(tài)防御”,旨在為解決網絡空間不同領域相關應用層次上的基于未知漏洞、后門或病毒木馬等不確定性威脅,提供具有普適性的創(chuàng)新防御理論和方法。既能為關鍵網絡設施或核心信息裝備提供彈性化的或可重建的服務能力,也能以一體化的架構技術提供獨立于傳統(tǒng)安全手段的內生安全增益,或融合成熟的防御技術獲得超非線性的防御效果。期望在網絡空間營造一個與全球化時代技術和產業(yè)發(fā)展模式相適應,合作共贏和開源眾創(chuàng)相融合,非封閉、自主可控、可持續(xù)發(fā)展的新興生態(tài)環(huán)境。

CMD在技術上以融合多種主動防御要素為宗旨:以異構性、多樣或多元性改變目標系統(tǒng)的相似性、單一性; 以動態(tài)性、隨機性改變目標系統(tǒng)的靜態(tài)性、確定性; 以異構冗余多模裁決機制識別和屏蔽未知缺陷與未明威脅; 以高可靠性架構增強目標系統(tǒng)服務功能的柔韌性或彈性; 以系統(tǒng)的視在不確定屬性防御或拒止針對目標系統(tǒng)的不確定性威脅。用基于DHR的一體化技術架構集約化地實現(xiàn)上述目標。

4.2 基本概念

CMD的基本概念可以簡單歸納為“五個一”: 一個公理,“人人都存在這樣或那樣的缺點,但極少出現(xiàn)在獨立完成同樣任務時,多數(shù)人在同一個地方、同一時間、犯完全一樣錯誤的情形”; 一種架構,動態(tài)異構冗余DHR架構; 一種運行機制,“去協(xié)同化”條件下的多模裁決和多維動態(tài)重構機制; 一個思想,“移動攻擊表面”(Moving Attack Surface,MAS)思想[13-15]; 一種非線性安全增益,純粹通過架構內生機理獲得的擬態(tài)防御增益(Mimic Defense Gain,MDG)。其目的是在功能等價、開放的多元化生態(tài)環(huán)境上,將復雜目標系統(tǒng)自主可控問題轉化為功能相對單一的擬態(tài)括號之可控可信問題。

(1) 根據(jù)“給定功能和性能條件下,往往存在多種實現(xiàn)算法”公理,可證明這些實現(xiàn)方法的并集或交集運算結果仍然滿足功能等價性要求。這意味著網絡空間基于未知漏洞、后門等不確定威脅的防御難題,能被異構冗余機制轉化為可用概率描述的風險防護問題。

(2) 借助MAS思想,CMD系統(tǒng)可以視為一種以攻擊者不可預測的方式部署多維度攻擊面的主動防御系統(tǒng)。由于各執(zhí)行體的構造及環(huán)境存在時空維度上的多元異構性,使得攻擊者(包括潛伏者)可以利用的資源在時空維度上存在不確定性,宏觀上表現(xiàn)為攻擊面總是在做不規(guī)則的移動。尤其對那些需要多步驟傳送數(shù)據(jù)包或回送數(shù)據(jù)包才能達成目的的攻擊任務,其可達性前提幾乎無法保證。

(3) “去協(xié)同化”條件下的多模策略裁決和多維動態(tài)重構機制,能將復雜系統(tǒng)攻擊表面的高難度高代價工程問題,轉變?yōu)榭臻g獨立的、功能簡單的“擬態(tài)括號”之軟硬部件攻擊表面的縮小問題。并且,能使異構冗余體之間可能存在的顯性或隱性關聯(lián)性降至最低,給攻擊者造成非配合條件下的異構多目標動態(tài)協(xié)同攻擊困境。這使得自主可控的工程實現(xiàn)難度從全產業(yè)鏈“不得有安全短板”,降低到只需在個別環(huán)節(jié)或關鍵部件“嚴防死守”即可。

(4) 擬態(tài)防御架構的安全增益MDG是“內生”的,與現(xiàn)有的安全防護技術,如加密認證、防火墻過濾、查毒殺毒、木馬清除等入侵檢測、預防、隔離和清除措施,在機理上無依賴關系,漏洞修補、后門封堵或惡意代碼清除等傳統(tǒng)的增量修補手段只是作為穩(wěn)定防御效果的補充性措施且無實時性要求。但是,融合使用這些安全技術可使目標對象的防御能力獲得超非線性提高。

4.3 擬態(tài)防御界

MDB內包含若干組定義規(guī)范、協(xié)議嚴謹?shù)姆?操作)功能。通過這些標準化協(xié)議或規(guī)范的一致性或符合性測試,可判定多個異構(復雜度不限的)執(zhí)行體在給定服務(操作)功能上甚至性能上的等價性。即通過擬態(tài)界面的輸入輸出關系的一致性測試可以研判功能執(zhí)行體間的等價性,包括給定的異常處理功能或性能的一致性。擬態(tài)界面所定義功能的完整性、有效性和安全性是擬態(tài)防御有效性的前提條件,界面未明確定義的功能(操作)不屬于擬態(tài)防御的范圍(但也可能存在衍生的保護效應)。換句話說,如果攻擊行動未能使輸出矢量不一致時,擬態(tài)機制不會做出反應。因此,合理設置、劃分或選擇擬態(tài)防御界在工程實現(xiàn)上就非常關鍵。

需要特別強調的是,擬態(tài)界外的安全問題不屬于擬態(tài)防御的范圍。例如,由釣魚、在服務軟件中捆綁惡意功能、在跨平臺解釋執(zhí)行文件中推送木馬病毒代碼、通過用戶下載行為攜帶有毒軟件等不依賴擬態(tài)界內未知漏洞或后門等因素而引發(fā)的安全威脅,擬態(tài)防御效果不確定。

4.4 擬態(tài)防御等級

(1) 完全屏蔽級

如果給定的擬態(tài)防御界內受到來自外部的入侵或“內鬼”的攻擊,所保護的功能、服務或信息未受到任何影響,并且攻擊者無法對攻擊的有效性作出任何評估,猶如落入“信息黑洞”,稱為完全屏蔽級,屬于擬態(tài)防御的最高級別。

(2) 不可維持級

給定的擬態(tài)防御界內如果受到來自內外部的攻擊,所保護的功能或信息可能會出現(xiàn)概率不確定、持續(xù)時間不確定的“先錯后更正”或自愈情形。對攻擊者來說,即使達成突破也難以維持或保持攻擊效果,或者不能為后續(xù)攻擊操作給出任何有意義的鋪墊,稱為不可維持級。

(3) 難以重現(xiàn)級

給定的擬態(tài)防御界內如果受到來自內外部的攻擊,所保護的功能或信息可能會出現(xiàn)不超過t時段的“失控情形”,但是重復這樣的攻擊卻很難再現(xiàn)完全相同的情景。換句話說,相對攻擊者而言,達成突破的攻擊場景或經驗不具備可繼承性,缺乏時間維度上可規(guī)劃利用的價值,稱為難以重現(xiàn)級。

原則上可以定義更多的防御等級以適應不同應用場景對安全性與實現(xiàn)代價的綜合需求。其中,給攻擊行動造成的不同程度的不確定性則是擬態(tài)防御的核心。不可感知性使得攻擊者在攻擊鏈的各個階段都無法獲得防御方的有效信息; 不可保持性使得攻擊鏈失去可利用的穩(wěn)定性; 不可再現(xiàn)性使得基于探測或攻擊積淀的經驗,難以作為先驗知識在后續(xù)攻擊任務中加以利用等。

4.5 適用域

在具有函數(shù)化的輸入輸出關系或滿足IPO模型的條件下,用來解決服務的功能、性能和重要信息資源必須顯性、健壯提供的問題; 對初始投資或產品價格不敏感; 空間或功耗條件可接受,且存在標準或可歸一化的功能接口與協(xié)議規(guī)范,并具備多元或多樣化處理條件; 對系統(tǒng)或裝置的可靠性與可用性存在傳統(tǒng)安全性和網絡空間非傳統(tǒng)安全雙重要求的場合。

需要指出的是,在滿足上述條件下,凡是目標算法確定且存在其他等價算法的應用場合都適合實施擬態(tài)防御。即使諸如科學計算類的課題或者工業(yè)控制領域中的應用,由于功能等價的不同算法之間的結果精度可能存在差異(如精確到小數(shù)點后幾位),或者控制量的值域是一個范圍,也可以采用“精度掩碼”或“預期范圍”等策略的判定方式進行多模裁決

5 測試與評估[12]

5.1 背景情況

受國家科技部高新技術發(fā)展及產業(yè)化司委托,上海市科委先后組織國內網絡通信和安全領域一流科研院所、高等院校和知名企業(yè)的21名院士和110余名同行專家,對擬態(tài)防御理論和驗證系統(tǒng)進行測試評估。主要目的是測試“web服務器擬態(tài)防御原理驗證系統(tǒng)”、“路由器擬態(tài)防御原理驗證系統(tǒng)”的安全功能、性能等是否達到設計預期,為評估“擬態(tài)防御理論的正確性、有效性及工程實現(xiàn)的可行性”提供依據(jù)。

2016年1月下旬至4月下旬為測試階段。由來自國家信息技術安全研究中心、中國信息通信研究院、中科院信息工程研究所、軍委裝備發(fā)展部第六十一研究所、上海交通大學、浙江大學、北京奇虎科技有限公司、啟明星辰信息安全技術有限公司、安天科技股份有限公司等 9家單位優(yōu)勢測試團隊的45名同行專家,依據(jù)國家或行業(yè)相關標準、規(guī)范和擬態(tài)防御原理,論證制定了測試驗證方案,并進行了三輪聯(lián)合測試,其中,眾測103項194例、互聯(lián)網滲透測試10項10例。

2016年5月7日進入總結評估階段。上海市科委召開了擬態(tài)防御原理驗證系統(tǒng)測試情況評估會,測試組匯報了測試工作組織實施情況和測試結論,CMD聯(lián)合研發(fā)團隊做了測試數(shù)據(jù)分析報告。2016年5月 29日,科技部高新司、中國工程院信息與電子工程學部和上海市科委,在北京聯(lián)合召開了擬態(tài)防御原理暨應用實踐研討會。參與測試評估工作的同行專家以通信方式經過充分評議和修改,于2016年8月正式形成《擬態(tài)防御原理驗證系統(tǒng)測評意見》。

5.2 測試概況

聯(lián)合測試團隊,在確認提交的受測系統(tǒng)本征功能和性能滿足國家或行業(yè)標準且測試驗證全過程可保持的前提下,通過擬態(tài)及非擬態(tài)模式對比方式驗證CMD防御的有效性,通過滲透測試驗證CMD對各種滲透攻擊的防御能力,通過“白盒”及“配合植入”后門或病毒木馬等開放式測試手段,檢驗 CMD構造在“去協(xié)同化”條件下的協(xié)同攻擊難度。

受測對象之一,web服務器擬態(tài)防御原理驗證系統(tǒng),共完成7類70項161例測試驗證。內容包括功能測試、HTTP1.1 協(xié)議一致性測試、安全性測試、接入測試、性能測試、兼容一致性測試和互聯(lián)網滲透等測試驗證。

受測對象之二,路由器擬態(tài)防御原理驗證系統(tǒng),共完成6類43項43例測試驗證。內容包括安全性測試、OSPF協(xié)議功能測試、性能測試和互聯(lián)網滲透等測試驗證。

5.3 初步結論

受測系統(tǒng)是擬態(tài)防御理論與方法的成功實踐。在滿足通用web服務器和專用路由器功能、性能標準要求的同時,實現(xiàn)了基于異構冗余多維動態(tài)重構的主動防御機制,即CMD機制,能夠獨立且有效地應對或抵御MDB內基于漏洞、后門等的已知風險或不確定威脅,其疊加與迭代效應能夠非線性地增加目標對象的攻擊難度。已作的測試驗證表明,受測系統(tǒng)達到擬態(tài)防御理論預期。

“灰盒和白盒”測試驗證結果表明,現(xiàn)有的掃描探測、漏洞利用、后門設置、病毒注入、木馬植入乃至APT等攻擊手段和方法,對MDB內受保護對象沒有預期的作用和可信效力。

綜合測試分析表明,在功能等價異構冗余的多維動態(tài)重構機制作用下,MDB內幾乎不可能實現(xiàn)可靠、持續(xù)的協(xié)同逃逸。同時,CMD機制還具有大幅度降低系統(tǒng)全壽命周期內專用安全設施的更新升級代價、防護實時性要求、版本同步更新頻度等綜合優(yōu)勢。在產業(yè)鏈開放的全球化生態(tài)環(huán)境中,使得利用“有毒帶菌”構件實現(xiàn)可管可控的信息系統(tǒng)成為可能,給基于“后門工程和隱匿漏洞”等攻勢戰(zhàn)略帶來顛覆性影響。

測試驗證還表明,擬態(tài)防御不僅具有顯著的安全功效,同時還能夠提供期望的服務功能與高可靠的應用場景,并能自然地繼承和接納網絡安全與信息化領域的科技成果。普適性的系統(tǒng)架構開辟了內生防御理論和技術研究新方向,基于“不對稱”優(yōu)勢為網絡空間“自主可控”戰(zhàn)略探索出克服瓶頸問題的新途徑,具有“改變游戲規(guī)則”的重要意義。

理論預期和測試驗證顯示,非MDB內的安全問題,如基于網絡協(xié)議、服務功能算法等設計缺陷,或利用社會工程學方法和手段等實施的攻擊,CMD亦有程度不同的防護效果。

6 總結與展望

CMD為用系統(tǒng)架構技術解決了MDB內基于未知漏洞、后門或病毒木馬等不確定威脅,提供了“改變游戲規(guī)則”的新途徑。CMD的內生安全增益既能獨立于傳統(tǒng)的安全防御手段,也能很好地綜合后者的優(yōu)勢; 其開放性與安全性的完美結合將促進全球化進程向深度廣度發(fā)展; 其系統(tǒng)構造具有普適性,能夠集約化地實現(xiàn)網絡服務、可靠性保障與安全防御等功能。

[1] Knight,Hyneman F. “Risk,uncertainty and profit.” Houghton Mifflin Company,1921.

[2] Kocher P C. “Timing attacks on implementations of Diffie-Hellman,RSA,DSS,and other systems.” Advances in Cryptology. pp. 104-113,1999.

[3] Liu,Fangfei,et al. “Last-level cache side-channel attacks are practical.” In Security and Privacy (S&P’ 15),pp. 605-622,2015.

[4] “Mimic octopus”. Wikipedia,the Free Encyclopedia. https://en. wikipedia.org/wiki/Mimic_octopus.

[5] Voas J,Ghosh A,Charron F,et al. “Reducing uncertainty about common-mode failures.” In Proc. IEEE Symp. Software Reliability Engineering (SRE’ 97),pp. 308-319,1997.

[6] Levitin G. “Optimal structure of fault-tolerant software systems.”Reliability Engineering & System Safety,vol. 89,no. 3,pp. 286-295,2005.

[7] Yeh Y C B. “Triple-triple redundant 777 primary flight computer.”In Proc. Aerospace Applications Conference (AAC’ 96),pp. 293-307,1996.

[8] Denning D E. “An intrusion-detection model.” IEEE Transactions on Software Engineering,vol. 13,no. 2,pp. 222-232,1987.

[9] Kreibich C,Crowcroft J. “Honeycomb: creating intrusion detectionsignatures using honeypots.”ACM Sigcomm Computer Communication Review,vol. 34,no. 1,pp. 51-56,2015.

[10] Pal P,Webber F,Schantz R E,et al. “Intrusion tolerant systems,” InProc. IEEE. Information Survivability Workshop (ISW-2000). pp. 24-26,2000.

[11] Nguyen Q L,Sood A. “A comparison of intrusion-tolerant system architectures.”Security & Privacy IEEE,vol. 9,no. 4,pp. 24-31,2011.

[12] 上海市科學技術委員會給國家科技部高新技術發(fā)展及產業(yè)化司的專題報告,“擬態(tài)防御原理驗證系統(tǒng)測試評估工作情況匯總”,2016. 8

[13] Jajodia S,Ghosh A K,Swarup V,et al. “Moving target defense.”Springer,2011.

[14] Manadhata P K,Wing J M. “An attack surface metric.”Software Engineering IEEE Transactions on,vol. 37,no. 3,pp. 371-386,2011.

[15] Manadhata P K. “Game theoretic approaches to attack surface shifting.” Moving Target Defense II.Springer,2013.

Research on Cyber Mimic Defense

WU Jiangxing

National Digital Switching System Engineering & Technological R&D Center,Zhengzhou 450001,China

The unbalance in cyber security and its root is analyzed in this paper,of which a dynamically redundant heterogeneity architecture and the basic principle to compose an information system of high reliability and high security level with unreliable hardware is mainly discussed. Then,basic concepts about mimic defense is briefly stated. Finally,a test evaluation and preliminary conclusion about the system of mimic defense verification is presented.

Cyber security; unbalance; unknown bug and backdoor; mimic defense; dissimilar redundancy; dynamically redundant heterogeneity; test and evaluation

鄔江興,現(xiàn)在國家數(shù)字交換系統(tǒng)工程技術研究中心主任,教授,博導。研究領域為信息通信網絡、網絡安全。Email: 17034203@qq.com

TP309.1 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.04.001

2016-05-06;

2016-09-26

本文工作受到國家自然科學基金創(chuàng)新研究群體項目(No.61521003)和國家重點研發(fā)計劃項目(Nos. 2016YFB0800100,2016YFB0800101)支持。