李政 白利芳 唐剛 朱信銘

摘 要：本文扼要分析了網(wǎng)絡空間安全攻防不對稱的現(xiàn)狀，概要闡述了擬態(tài)防御技術的發(fā)展歷程，重點論述了主動防御的基礎原理及其抗攻擊性，最后就主動防御的測試評估和應用實踐情況進行了介紹，并對其優(yōu)勢與挑戰(zhàn)進行了分析。

關鍵詞：網(wǎng)絡安全；主動防御；擬態(tài)防御；動態(tài)異構(gòu)冗余

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）20-0037-03

1 網(wǎng)絡空間安全現(xiàn)狀

作為“陸、海、空、天”后的第五空間，網(wǎng)絡空間正處于“有毒帶菌”，且“易攻難守”的不對稱格局。一方面，網(wǎng)絡空間自身在頂層架構(gòu)設計，生產(chǎn)、供應和服務鏈等各環(huán)節(jié)均存在“已知”、“已知的未知”或“未知的未知”安全風險。“已知”風險不存在技術上的難度，但由于安全意識和管理不足往往導致應對策略落實不到位；“已知的未知”風險雖被識別，但不確定其發(fā)生概率和影響；而“未知的未知”風險（如0day），因無法知曉攻擊相關任何信息，針對性防御無從談起。此外，即便采取了應對策略或應急措施，仍可能存在次生風險和殘留風險，即任何國家或組織都無法從根本上消除其網(wǎng)絡設施和信息系統(tǒng)的安全隱患。

另一方面，現(xiàn)有防御體系存在基因缺陷。大多以檢測、阻斷為主，且基于攻擊相關信息等先驗知識，架構(gòu)透明、處理空間單一，本質(zhì)上是被動、靜態(tài)的。攻擊者用極小的成本即可讓網(wǎng)絡空間面臨巨大的威脅，在易攻難守的不對稱態(tài)勢下，主動防御逐步成為研究焦點，優(yōu)勢漸顯。主動防御即在攻擊的具體方法和步驟被知悉前實現(xiàn)防御部署，有效彌補被動防御的缺陷。目前，典型的主動防御技術有入侵容忍[1，4，5]、移動目標[2，3]、擬態(tài)防御等，其中擬態(tài)防御[6，7]是我國自主研創(chuàng)的新興主動防御技術，其理論技術和應用實踐均通過權威的測試和評估，有望成為網(wǎng)絡安全“再平衡戰(zhàn)略”的有力抓手。

2 擬態(tài)防御發(fā)展歷程

2007年，中國工程院院士鄔江興首次將擬態(tài)計算概念引入域名防御系統(tǒng)。2013年，首臺擬態(tài)計算機原理樣機研制成功，并提出網(wǎng)絡空間擬態(tài)防御理論。2016年，“Web服務器擬態(tài)防御原理驗證系統(tǒng)”和“路由器擬態(tài)防御原理驗證系統(tǒng)”研制成功，并通過科技部委托組織的網(wǎng)絡通信和安全領域的權威測評驗證。2017年10月，工信部正式批復《關于開展擬態(tài)防御技術試點工作的通知》，確定河南聯(lián)通與擬態(tài)團隊開展擬態(tài)域名服務防御系統(tǒng)試點工作。2018年1月，全球首套擬態(tài)域名服務器在中國聯(lián)通河南分公司上線，首次在運營商現(xiàn)網(wǎng)環(huán)境進行試點應用和量化評估。4月，全球首套擬態(tài)防御網(wǎng)絡設備在鄭州投入互聯(lián)網(wǎng)線上服務，擬態(tài)防御在應用實踐和產(chǎn)業(yè)化進程中邁出了里程碑式的一步。

3 擬態(tài)防御理論

3.1 擬態(tài)防御原理

擬態(tài)防御的靈感源于自然界基于內(nèi)生機理的“擬態(tài)偽裝”，在本征功能不變的條件下，能以不確定色彩、紋理和形狀等變化給捕獵者或捕獵目標造成認知錯覺。同理，在不影響服務功能和性能正常提供的條件下，類似于系統(tǒng)架構(gòu)、運行機制、異常響應以及未知脆弱點等，均可通過類似擬態(tài)偽裝的方式進行主動隱匿，以達到干擾或阻斷攻擊的目的，這種在網(wǎng)絡空間中的擬態(tài)偽裝稱為“擬態(tài)防御”（Mimic Defense， MD）。將一個存在未知漏洞、后門或病毒、木馬等軟硬件代碼的“有毒帶菌”異構(gòu)執(zhí)行環(huán)境稱為擬態(tài)防御界。

擬態(tài)防御的實現(xiàn)基于動態(tài)異構(gòu)冗余[7]（Dynamic Heterogeneous Redundancy，DHR）思想。異構(gòu)冗余即異構(gòu)冗余集合中的任意元素，無論是單獨使用還是多元素并聯(lián)或組合使用，均可實現(xiàn)等價功能的一種機制，其理論基礎是異構(gòu)的冗余元素共性設計缺陷導致共模故障屬于小概率事件。該機制的典型范例即非相似余度構(gòu)造，如圖1所示。

DHR即在異構(gòu)冗余的基礎上加入動態(tài)性和隨機性，使系統(tǒng)呈現(xiàn)相當程度的不確定性，擾亂攻擊者信息鏈，攻擊難度非線性增加，攻擊成功成為極小概率事件。其實現(xiàn)主要基于異構(gòu)冗余體池中冗余執(zhí)行體集的內(nèi)生構(gòu)造，即擬態(tài)防御的核心過程——擬態(tài)偽裝：從異構(gòu)冗余池中根據(jù)動態(tài)調(diào)度算法隨機選取若干元素組成執(zhí)行體（如圖2所示），或重構(gòu)、重組、重建冗余執(zhí)行體自身，或借助虛擬化技術改變?nèi)哂鄨?zhí)行體的資源配置，或?qū)θ哂鄨?zhí)行體進行預防性或修復性的清洗、初始化操作等，增加服務功能與外在表征間的不確定性，實現(xiàn)隱匿擬態(tài)界內(nèi)未知的漏洞和后門等脆弱性[6-9]。而DHR輸出依然采用多模裁決機制，和區(qū)塊鏈的原理有共通之處。

3.2 擬態(tài)防御抗攻擊分析

本小節(jié)以圖2所示的DHR構(gòu)造為研究對象，分別從攻擊發(fā)起難度、持續(xù)攻擊難度何攻擊再現(xiàn)難度進行分析。

（1）攻擊發(fā)起難度。此處設異構(gòu)構(gòu)件集合為U，|U|=m，設執(zhí)行體集合為V，|V|=n，則隨機動態(tài)選擇算法由U到V有種可能，設每種可能經(jīng)表決器輸出后與正常輸出不一致的概率為Pi（i=1，2，……，），則在該攻擊環(huán)節(jié)成功的幾率為：。由于多模表決器本身的特性，Pi極小，可知Q極小，所以，在該環(huán)節(jié)的攻擊成功率極小。

（2）持續(xù)攻擊難度。一次成功的攻擊往往由多個攻擊環(huán)節(jié)組成，設某次成功的攻擊行為共涉及r個攻擊環(huán)節(jié)，若此次攻擊成功，則需每個攻擊環(huán)節(jié)均成功。則此次攻擊成功的概率為：。此時，P<

（3）攻擊再現(xiàn)難度。某一次攻擊偶然成功后，同上，當攻擊者想再次復現(xiàn)攻擊時，攻擊目標已變，先前的攻擊經(jīng)驗并不能作為先驗知識庫應用到后續(xù)的復現(xiàn)。

綜上分析，擬態(tài)防御發(fā)起難、持續(xù)難、再現(xiàn)難，是有望扭轉(zhuǎn)“易攻難守”不對稱格局的一種新興技術。

4 擬態(tài)防御測試評估

2016年1月至6月，受國家科技部委托，上海市科學技術委員會先后組織國內(nèi)網(wǎng)絡通信和安全領域的21名院士和110余名專家，對擬態(tài)防御理論和驗證系統(tǒng)進行測試評估。測評對象為兩種應用場下的擬態(tài)防御原理驗證系統(tǒng)，測試評估內(nèi)容涵蓋[6]：能否隱匿擬態(tài)界內(nèi)的未知漏洞和后門、能否利用擬態(tài)界內(nèi)未知漏洞注入未知病毒木馬、能否有效抑制擬態(tài)界內(nèi)基于未知因素的協(xié)同攻擊、能否允許擬態(tài)界內(nèi)使用“不可信、不可控”的軟硬構(gòu)件、擬態(tài)界內(nèi)運行環(huán)境能否允許“有毒帶菌”。測試方法包括黑盒測試、白盒測試、滲透測試、對比測試等，也包括預置后門和配合注入病毒木馬等方式。

2018年5月10日至12日，首屆“強網(wǎng)”擬態(tài)防御國際精英挑戰(zhàn)賽上，基于網(wǎng)絡空間擬態(tài)防御理論開發(fā)的網(wǎng)絡設備和系統(tǒng)作為“靶機”，接受來自國內(nèi)外挑戰(zhàn)隊集中火力“打靶”測試，即對其進行高強度的安全測試。

綜合測試分析表明，驗證測試結(jié)果與理論預期完全吻合[6，10]。在功能等價異構(gòu)冗余的多維動態(tài)重構(gòu)機制作用下，幾乎不可能實現(xiàn)擬態(tài)界內(nèi)可靠、持續(xù)的協(xié)同逃逸，且允許擬態(tài)界內(nèi)使用“不可信、不可控”的軟硬構(gòu)件，允許“有毒帶菌”的運行環(huán)境[6，10]。此外，MD機制對現(xiàn)有網(wǎng)絡空間安全在防御體制上具有互補性，技術上具有融合性，產(chǎn)品上具有自主可控性，還具有降低專用安全設施的更新升級代價、防護實時性要求、版本同步更新頻度等綜合性優(yōu)勢[6，10]。

5 擬態(tài)防御應用實踐

時任國務院副總理的馬凱、劉延東等中央領導同志先后就推進擬態(tài)防御技術研發(fā)和應用作出批示，工信部、河南省多次就擬態(tài)防御應用試點示范組織專家進行研討、部署。2017年10月，工信部網(wǎng)安局下發(fā)《關于開展擬態(tài)防御技術試點工作的通知》，要求將擬態(tài)防御部署應用到現(xiàn)網(wǎng)環(huán)境，為擬態(tài)防御的推廣應用開展量化評估，推動擬態(tài)防御技術及產(chǎn)業(yè)不斷成熟完善。2018年1月，全球首套擬態(tài)域名服務器在河南聯(lián)通上線運行，在不改變現(xiàn)有網(wǎng)絡結(jié)構(gòu)的前提下，通過將擬態(tài)構(gòu)造全面植入傳統(tǒng)域名服務器實現(xiàn)增量部署。4月，全球首套擬態(tài)防御網(wǎng)絡設備落戶景安網(wǎng)絡科技股份有限公司，意味著我國自主創(chuàng)新的擬態(tài)防御繼電信基礎運營商后正式投入互聯(lián)網(wǎng)線上服務。

6 擬態(tài)防御優(yōu)勢與挑戰(zhàn)

在現(xiàn)有主動防御技術中，入侵容忍以維持系統(tǒng)可用性為主要目的，使系統(tǒng)具有較高的生存能力和可靠性[1]，但高成本的冗余和表決時延成為其發(fā)展的障礙。移動目標防御通過動態(tài)變化使系統(tǒng)靜態(tài)性減弱，對攻擊目標起到一定隱蔽作用[2]。然而性能和動態(tài)變化頻率之間的平衡成了問題。此外，目標的多樣呈現(xiàn)也可能給攻擊者提供更大的攻擊面，反而起到反作用[6]。擬態(tài)防御既能維持可用性，也能對被攻擊目標起到隱蔽作用。相比入侵容忍技術，在防御目的上更傾向于對安全性整體的防護而不僅是可用性。較移動目標，其隱蔽原理不同，通過多模表決“中和”或掩蓋被攻擊目標的輸出，從而對外表現(xiàn)為無異?；蚬魺o效，擾亂攻擊者對攻擊效果的判斷[6]，且擬態(tài)防御可用相對較少的資源代價實現(xiàn)相對較高的防御能力。

我國對入侵容忍和移動目標防御技術的研究和應用處于落后狀態(tài)，而擬態(tài)防御作為我國自主提出的網(wǎng)絡空間主動防御技術，有望打造我國自主可控的防御策略體系，打破網(wǎng)絡空間安全在攻防不對稱、大國博弈不平衡的格局。但擬態(tài)防御并不意味著可以解決所有領域范圍的網(wǎng)絡安全問題，其實現(xiàn)的前置條件，首先是要存在可判定異構(gòu)冗余體之間功能等價性的“擬態(tài)界”，其次需在給定功能性能下存在軟硬構(gòu)件多元或多樣化供應條件。也并不意味著沒有被攻破的可能，在同時同地同手段的海量協(xié)同攻擊的情形下，理論上不是不無可能，但在非配合的現(xiàn)實情況下，要剛好能同時同地利用同手段實施攻擊并攻擊成功可認為是不可能事件。

參考文獻

[1]Nguyen Q L，Sood A.“A comparison of intrusion-tolerant system architectures.”Security& Privacy IEEE，vol.9，no.4，pp.24-31，2011.

[2]Manadhata P K.“Game theoretic approaches to attack surface shifting.”Moving Target Defense II.Springer，2013.

[3]Jajodia S，Ghosh A K，Swarup V，et al.“Moving target defense.”Springer， 2011.

[4]Levitin G.“Optimal structure of fault-tolerant software systems.”Reliability Engineering & System Safety， vol.89，no.3，pp.286-295，2005.

[5]Pal P， Webber F， Schantz R E， et al. “Intrusion- tolerant systems，” In Proc. IEEE.Information Survivability Workshop （ISW-2000）.pp.24-26，2000.

[6]羅興國，仝青，張錚，鄔江興.擬態(tài)防御技術[J].中國工程科學，2016，18（06）：69-73.

[7]鄔江興.網(wǎng)絡空間擬態(tài)防御研究[J].信息安全學報，2016，1（04）：1-10.

[8]仝青，張錚，張為華，鄔江興.擬態(tài)防御Web服務器設計與實現(xiàn)[J].軟件學報，2017，28（04）：883-897.

[9]仝青，張錚，鄔江興.基于軟硬件多樣性的主動防御技術[J].信息安全學報，2017，2（01）：1-12.

[10]張錚，馬博林，鄔江興.web服務器擬態(tài)防御原理驗證系統(tǒng)測試與分析[J].信息安全學報，2017，2（01）2017，2（01）：13-28.