宋克，劉勤讓，魏帥，張文建，譚力波

（1.信息工程大學(xué)信息技術(shù)研究所，河南 鄭州 450002；2.天津市濱海新區(qū)信息技術(shù)創(chuàng)新中心，天津 300450 ）

1 引言

以太網(wǎng)交換機(jī)作為信息網(wǎng)絡(luò)中一種不可或缺的基礎(chǔ)設(shè)施，其安全性越來越重要。

傳統(tǒng)以太網(wǎng)交換機(jī)的安全防護(hù)主要通過在交換機(jī)中嵌入安全模塊或外加防火墻等安全設(shè)備[1]，采用端口綁定、劃分虛擬專用網(wǎng)絡(luò)（VPN,virtual private network）、流量控制、配置訪問控制列表（ACL,access control list）等防御手段，應(yīng)對(duì)廣播風(fēng)暴攻擊、海量MAC（media access control）地址攻擊、MAC 欺騙攻擊、地址解析協(xié)議（ARP,address resolution protocol）欺騙攻擊、生成樹協(xié)議環(huán)路攻擊、分布式拒絕服務(wù)（DDoS,distributed denial of service）攻擊等協(xié)議層面的攻擊行為[2-3]。

然而，隨著以太網(wǎng)交換機(jī)功能由二層向三層、四層擴(kuò)展，以及基于軟件定義網(wǎng)絡(luò)（SDN,software defined network）的以太網(wǎng)交換機(jī)的研究與應(yīng)用，針對(duì)交換機(jī)控制管理層面的安全攻擊越來越多。據(jù)國家信息安全漏洞庫數(shù)據(jù)統(tǒng)計(jì)，2015—2017 年，被發(fā)現(xiàn)的以太網(wǎng)交換機(jī)的安全漏洞總計(jì)55 個(gè)，包括固件漏洞、操作系統(tǒng)漏洞、協(xié)議實(shí)現(xiàn)漏洞、軟件漏洞等。

攻擊者利用交換機(jī)主控CPU、操作系統(tǒng)或協(xié)議棧、管理軟件存在的漏洞及后門，直接獲取交換機(jī)的控制權(quán)限，修改路由表及其他配置項(xiàng)，使傳統(tǒng)的安全防護(hù)手段形同虛設(shè)；基于防火墻、殺毒軟件、入侵檢測(cè)系統(tǒng)的被動(dòng)防護(hù)技術(shù)，對(duì)于未知的漏洞和后門造成的0 day 攻擊不能提前防御。近年來，多家公司的以太網(wǎng)交換機(jī)被曝出安全漏洞，這對(duì)網(wǎng)絡(luò)信息安全造成重大隱患。

鑒于被動(dòng)防御存在防護(hù)缺陷，許多國家都在開展網(wǎng)絡(luò)信息安全主動(dòng)防御技術(shù)的研究。美國的移動(dòng)目標(biāo)防御（MTD,moving target defenses）技術(shù)，針對(duì)外部利用未知漏洞的攻擊防御，在假設(shè)內(nèi)部安全可信的前提下，主要采用軟件技術(shù)實(shí)現(xiàn)主動(dòng)防御，應(yīng)對(duì)邏輯層攻擊[4-6]。我國鄔江興院士首創(chuàng)的網(wǎng)絡(luò)空間擬態(tài)防御（CMD,cyber mimic defense）技術(shù)，采用動(dòng)態(tài)異構(gòu)冗余（DHR,dynamic heterogeneous redundancy）的系統(tǒng)架構(gòu)和運(yùn)行機(jī)制，既可防御外部利用未知漏洞的攻擊，也可防御利用未知后門的攻擊，在允許基本環(huán)境一定程度“有毒帶菌”的情況下，采用軟件技術(shù)和系統(tǒng)結(jié)構(gòu)組合應(yīng)用實(shí)現(xiàn)主動(dòng)防御，可為信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施或重要信息服務(wù)系統(tǒng)提供一種不依賴傳統(tǒng)安全手段（如防火墻、入侵檢測(cè)、殺毒軟件等）的構(gòu)造化內(nèi)生安全增益或效應(yīng)[7-8]。

隨著網(wǎng)絡(luò)空間擬態(tài)防御理論的完善，眾多依據(jù)CMD 技術(shù)構(gòu)建的安全網(wǎng)絡(luò)設(shè)備陸續(xù)出現(xiàn)。仝青等[9]設(shè)計(jì)實(shí)現(xiàn)了擬態(tài)防御Web 服務(wù)器；馬海龍等[10]設(shè)計(jì)實(shí)現(xiàn)了基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的路由器擬態(tài)防御體系結(jié)構(gòu)；魏帥等[11]實(shí)現(xiàn)了面向工控領(lǐng)域的擬態(tài)安全處理機(jī)架構(gòu)。這些基于擬態(tài)防御構(gòu)建的安全網(wǎng)絡(luò)設(shè)備在測(cè)試中均取得了較好的效果。然而，擬態(tài)防御Web 服務(wù)器和擬態(tài)防御路由器主要采用虛擬技術(shù)，其異構(gòu)執(zhí)行體主要在軟件層面，底層處理器和操作系統(tǒng)仍為同構(gòu)非冗余；而擬態(tài)安全處理機(jī)架構(gòu)則主要從處理器層面實(shí)現(xiàn)了異構(gòu)，對(duì)上層軟件和操作系統(tǒng)仍采用同構(gòu)形式。

在此基礎(chǔ)上，本文構(gòu)建了一種基于CMD 技術(shù)、采用動(dòng)態(tài)異構(gòu)冗余機(jī)制的以太網(wǎng)交換機(jī)內(nèi)生安全體系結(jié)構(gòu)。與前述擬態(tài)安全網(wǎng)絡(luò)設(shè)備相比，本文提出的體系結(jié)構(gòu)從交換機(jī)的主控處理器、操作系統(tǒng)、協(xié)議棧和管理軟件層面都實(shí)現(xiàn)了異構(gòu)冗余，提出并采用自清洗大數(shù)表決算法（TAMA,trustiness based auto-cleanout majority algorithm）。測(cè)試結(jié)果表明，所提算法可有效抵御利用以太網(wǎng)交換機(jī)控制管理面未知漏洞和后門的攻擊。

2 擬態(tài)防御交換機(jī)體系結(jié)構(gòu)

2.1 DHR 典型結(jié)構(gòu)

擬態(tài)防御技術(shù)的核心是動(dòng)態(tài)異構(gòu)冗余架構(gòu)，其典型構(gòu)造如圖1 所示[12]。其中，策略調(diào)度是中心控制環(huán)節(jié)，一方面，策略調(diào)度向策略分發(fā)環(huán)節(jié)下發(fā)指令，以實(shí)現(xiàn)激活執(zhí)行體、執(zhí)行體清洗修復(fù)或者執(zhí)行其他給定的任務(wù)；另一方面，策略調(diào)度也是DHR架構(gòu)中的反饋控制器，根據(jù)接收到的表決器異常狀態(tài)按照預(yù)置策略執(zhí)行相應(yīng)動(dòng)作。策略分發(fā)對(duì)應(yīng)輸入代理環(huán)節(jié)，主要功能是根據(jù)策略調(diào)度環(huán)節(jié)的指令決定是否將外部輸入與當(dāng)前服務(wù)集內(nèi)的指定異構(gòu)執(zhí)行體聯(lián)接，通常用一個(gè)路徑和模式可定義的交換模塊來具體完成互聯(lián)分發(fā)功能。策略表決環(huán)節(jié)對(duì)應(yīng)輸出代理，主要功能是對(duì)多路執(zhí)行體輸出矢量采用一致性或多數(shù)判決策略，同時(shí)對(duì)出現(xiàn)的異常狀態(tài)上報(bào)策略調(diào)度環(huán)節(jié)。異構(gòu)體資源池是能夠滿足需求的所有異構(gòu)行為體功能元素的集合。策略調(diào)度根據(jù)事先制定的重構(gòu)重組方案從異構(gòu)體資源池中抽取元素生成功能等價(jià)的新執(zhí)行體，或者在現(xiàn)有的執(zhí)行體中更換某些構(gòu)件，生成或更新異構(gòu)執(zhí)行體集。

圖1 動(dòng)態(tài)異構(gòu)冗余典型結(jié)構(gòu)

2.2 擬態(tài)防御以太網(wǎng)交換機(jī)體系結(jié)構(gòu)

依據(jù)DHR 的典型結(jié)構(gòu)，本文設(shè)計(jì)的擬態(tài)防御以太網(wǎng)交換機(jī)體系結(jié)構(gòu)如圖2 所示，主要由異構(gòu)執(zhí)行體集、擬態(tài)調(diào)度器和交換芯片組成。

圖2 擬態(tài)防御以太網(wǎng)交換機(jī)體系結(jié)構(gòu)

其中，異構(gòu)執(zhí)行體集由3 個(gè)不同的異構(gòu)執(zhí)行體組成，每個(gè)執(zhí)行體包含不同架構(gòu)的CPU，分別運(yùn)行不同的操作系統(tǒng)及通過多樣化編譯生成的異構(gòu)協(xié)議棧和管理軟件。擬態(tài)調(diào)度器融合了DHR 結(jié)構(gòu)中的輸入策略分發(fā)、策略表決輸出及策略調(diào)度功能，是整個(gè)體系結(jié)構(gòu)的核心控制環(huán)節(jié)。

擬態(tài)調(diào)度器與異構(gòu)執(zhí)行體之間通過以太網(wǎng)接口和串口連接；擬態(tài)調(diào)度器與交換芯片之間通過PCIE（peripheral component interconnect express）接口及以太網(wǎng)接口連接；同時(shí)，擬態(tài)調(diào)度器與用戶控制口和外部存儲(chǔ)之間分別通過以太網(wǎng)、串口和存儲(chǔ)控制接口連接。

2.3 擬態(tài)防御以太網(wǎng)交換機(jī)安全機(jī)理

基于擬態(tài)防御理論，依據(jù)圖2 構(gòu)建的擬態(tài)防御以太網(wǎng)交換機(jī)（以下簡(jiǎn)稱擬態(tài)交換機(jī)）的安全機(jī)理可描述如下。

1) 交換芯片上行的控制管理指令或協(xié)議解析數(shù)據(jù)通過透明傳輸通道，由調(diào)度器進(jìn)行復(fù)制并分發(fā)輸入異構(gòu)執(zhí)行體A、B、C。

2) 異構(gòu)執(zhí)行體A、B、C 獨(dú)立響應(yīng)并執(zhí)行輸入的指令或進(jìn)行協(xié)議解析，結(jié)果分別輸出到擬態(tài)調(diào)度器。

3) 擬態(tài)調(diào)度器將各異構(gòu)執(zhí)行體的輸出數(shù)據(jù)進(jìn)行分組解析、亂序處理、掩膜替代、哈希運(yùn)算后，進(jìn)行數(shù)據(jù)內(nèi)容比對(duì)。

4) 正常情況下，異構(gòu)執(zhí)行體的輸出數(shù)據(jù)應(yīng)該是一致的，調(diào)度器將此結(jié)果正常輸出到交換芯片。

5) 在面臨差模攻擊（即某一個(gè)執(zhí)行體響應(yīng)了攻擊指令）時(shí)，遭受攻擊的執(zhí)行機(jī)輸出數(shù)據(jù)與其他2個(gè)執(zhí)行體不一致，調(diào)度器選擇多數(shù)一致的正確數(shù)據(jù)輸出，并對(duì)少數(shù)不一致的執(zhí)行體進(jìn)行清洗恢復(fù)處理。

6) 在協(xié)同或共模攻擊時(shí)（即2 個(gè)或3 個(gè)執(zhí)行體響應(yīng)了攻擊指令），各執(zhí)行體的輸出數(shù)據(jù)均不一致，或者多數(shù)一致的數(shù)據(jù)是錯(cuò)誤數(shù)據(jù)，此時(shí)，系統(tǒng)將面臨短時(shí)攻擊逃逸，需要進(jìn)行特殊處理。

通過上述分析，基于擬態(tài)交換機(jī)面臨絕大多數(shù)的差模攻擊場(chǎng)景時(shí)（由于各執(zhí)行體的處理器架構(gòu)、操作系統(tǒng)及執(zhí)行軟件都是同功異構(gòu)的，絕大多數(shù)的攻擊只會(huì)對(duì)其中一種執(zhí)行體造成影響，因此差模攻擊是交換機(jī)面臨的主要攻擊場(chǎng)景），通過調(diào)度器的擇多判決，均能輸出正確結(jié)果。而且，這種選擇機(jī)制僅僅是根據(jù)輸出結(jié)果的異同進(jìn)行的，不關(guān)注到底是何種原因造成的結(jié)果不一致。無論是已知的還是未知的安全威脅造成的輸出不一致，該架構(gòu)均能有效處理，不依賴病毒庫、木馬庫、漏洞庫等先驗(yàn)數(shù)據(jù)。因此，該架構(gòu)可有效應(yīng)對(duì)未知漏洞及后門造成的未知威脅。

當(dāng)然，在小概率下也可能出現(xiàn)由于處理器架構(gòu)、操作系統(tǒng)或執(zhí)行軟件的共同缺陷而引起的協(xié)同或共模攻擊，這種攻擊會(huì)引起攻擊逃逸，這種逃逸最終會(huì)引起整個(gè)系統(tǒng)的故障。因此，為了實(shí)現(xiàn)系統(tǒng)的穩(wěn)態(tài)可用，降低攻擊逃逸概率，提高穩(wěn)態(tài)非特異性感知概率，還需要采用合適的調(diào)度策略算法。

3 擬態(tài)交換機(jī)TAMA

為了有效應(yīng)對(duì)不同類型的攻擊場(chǎng)景，特別是一些可能暫時(shí)不會(huì)引起輸出異常的時(shí)間協(xié)同攻擊，本文提出了基于可信度的TAMA，在傳統(tǒng)大數(shù)表決策略中增加了定時(shí)擾動(dòng)機(jī)制，可有效解決各種協(xié)同及共模攻擊。本節(jié)主要介紹TAMA 的實(shí)現(xiàn)策略，并對(duì)其安全防御能力進(jìn)行了量化分析。

3.1 TAMA

TAMA 在執(zhí)行體出現(xiàn)不同結(jié)果時(shí)優(yōu)先采用高優(yōu)先級(jí)的執(zhí)行體結(jié)果，執(zhí)行體的信用度根據(jù)歷史表現(xiàn)自動(dòng)變化。該算法在大數(shù)裁決的基礎(chǔ)上引入動(dòng)態(tài)機(jī)制，使系統(tǒng)具有更多的不確定性，增大攻擊實(shí)施難度、降低安全風(fēng)險(xiǎn)，但是會(huì)增加清洗次數(shù)、增大設(shè)計(jì)復(fù)雜度。

為了使系統(tǒng)在自清洗時(shí)能夠保證正常運(yùn)轉(zhuǎn)，需要將系統(tǒng)分為執(zhí)行隊(duì)列和備選隊(duì)列，執(zhí)行隊(duì)列中的執(zhí)行體參與表決，備選隊(duì)列中的執(zhí)行體進(jìn)行清洗，并在完成清洗后參與系統(tǒng)運(yùn)算，以便能夠隨時(shí)加入系統(tǒng)。該算法主要由2 種策略組成，具體如下。

1) 基于信任度的大數(shù)裁決策略

在系統(tǒng)開始運(yùn)行時(shí)，將異構(gòu)執(zhí)行體賦予相等的信任權(quán)值，初始都為0，本文設(shè)計(jì)的擬態(tài)交換機(jī)采用異構(gòu)冗余三執(zhí)行體，則ω1=ω2=ω3=0，判決算法將輸出結(jié)果一致的執(zhí)行體劃分為一個(gè)組Gk，構(gòu)成集合序列{G1,G2,…,Gk}，然后,計(jì)算每個(gè)集合Gk的置信度Wk為

其中，ωk=Gk。選取置信度最大的集合Gp作為輸出結(jié)果，并根據(jù)輸出結(jié)果的差異度進(jìn)行信任權(quán)值的更新，每次進(jìn)行判決時(shí)如果該執(zhí)行體的輸出結(jié)果與裁決輸出結(jié)果不一致，則計(jì)算其和仲裁輸出結(jié)果的差異率S，并計(jì)算權(quán)值更新，如式(2)所示。

其中，β> 0 為權(quán)值系數(shù)。同時(shí)，判斷是否有執(zhí)行體信任度大于閾值K，如果有，則選擇信任權(quán)值最高的進(jìn)行清洗，若存在多個(gè)K值相同的執(zhí)行體，則按照概率相等原則挑選一個(gè)進(jìn)行清洗。

2) 定時(shí)清洗策略

網(wǎng)絡(luò)攻擊存在協(xié)同攻擊方法，即先滲透攻擊某個(gè)執(zhí)行體，獲取其權(quán)限，但是并不在輸出中表現(xiàn)，接著滲透攻擊其他的執(zhí)行體，只有取得多數(shù)執(zhí)行體權(quán)限后，才同時(shí)產(chǎn)生錯(cuò)誤的輸出結(jié)果。此外，雖然采用了異構(gòu)執(zhí)行體，但是很難保證異構(gòu)執(zhí)行體的完全異構(gòu)，各個(gè)異構(gòu)執(zhí)行體之間不可避免地存在一些共同模塊，如果這些共同模塊存在的漏洞或后門被攻擊利用，單純根據(jù)輸出進(jìn)行裁決的擬態(tài)策略就無法有效防御。

為了有效防御協(xié)同或者共模攻擊，需要執(zhí)行體具有一定的自恢復(fù)能力，能夠根據(jù)系統(tǒng)策略定期或者隨機(jī)進(jìn)行自恢復(fù)。在擬態(tài)交換機(jī)中，采用定時(shí)清洗策略，即設(shè)置定時(shí)器，達(dá)到固定時(shí)間間隔T則根據(jù)信任權(quán)值選取一個(gè)執(zhí)行體進(jìn)行清洗，信任權(quán)值為ωi執(zhí)行體的選取概率為P，清洗過后執(zhí)行體的信任權(quán)值恢復(fù)為0。

3.2 算法效果及代價(jià)分析

一般而言，隨著暴露給外界時(shí)間的增加，執(zhí)行體運(yùn)行時(shí)被攻擊成功的概率也逐漸變大，安全性逐漸降低。假設(shè)函數(shù)p(t)表示隨時(shí)間推移當(dāng)前時(shí)刻執(zhí)行體的安全性（即未被成功攻破的概率），并且有

式(4)表示當(dāng)時(shí)間足夠長(zhǎng)時(shí)，系統(tǒng)肯定會(huì)被攻擊成功。

同樣地，可以認(rèn)為存在一個(gè)函數(shù)q(t)，表示在時(shí)刻t執(zhí)行體處于清洗狀態(tài)并且清洗成功的概率，可以用一個(gè)階躍函數(shù)表示經(jīng)過時(shí)間M執(zhí)行體被清洗成功，清洗成功后其安全概率為1，如式(5)所示。

圖3 為TAMA 抗攻擊能力變遷曲線。執(zhí)行體由于其自身存在的漏洞或后門，隨著時(shí)間的推移，安全風(fēng)險(xiǎn)逐漸加大。如果不采用定時(shí)清洗策略，則其安全曲線如圖3（假設(shè)，M=30）中曲線2所示，隨著時(shí)間推移，抗攻擊能力逐漸降低。而采用了定時(shí)清洗策略，可以對(duì)執(zhí)行體進(jìn)行定期清洗，使其狀態(tài)恢復(fù)，安全風(fēng)險(xiǎn)降低，其抗攻擊能力曲線如圖3 中曲線3 所示。從圖3 中可以看出，TAMA由于采用了定時(shí)清洗策略，隨著時(shí)間推移，其安全性會(huì)在清洗后恢復(fù)，使其安全性一直都會(huì)維持一個(gè)較高的水平。非擬態(tài)交換機(jī)由于自身不可避免地存在后門和漏洞，所以如圖3 中曲線1 所示，開始時(shí)即處于低安全等級(jí)狀態(tài)，隨著時(shí)間推移，假設(shè)沒有采取補(bǔ)丁等安全措施，其安全風(fēng)險(xiǎn)會(huì)隨著攻擊試探急劇增加，使系統(tǒng)變得更加不可靠。

針對(duì)協(xié)同或者共模攻擊，由于存在定時(shí)清洗策略，會(huì)對(duì)系統(tǒng)進(jìn)行定期擾動(dòng)，即使系統(tǒng)受到共模攻擊，在執(zhí)行體后進(jìn)行清洗也會(huì)發(fā)現(xiàn)異常，通過一定的診斷即可使系統(tǒng)重新恢復(fù)正常。

TAMA 需要對(duì)執(zhí)行體進(jìn)行定時(shí)清洗。例如3 個(gè)處理器都正常運(yùn)作時(shí)，清洗一個(gè)正常運(yùn)作的處理器會(huì)造成系統(tǒng)降級(jí)，并造成系統(tǒng)安全風(fēng)險(xiǎn)短期內(nèi)突然跌落，如圖3 中曲線3 出現(xiàn)的下端尖刺所示，并且定期清洗會(huì)加大清洗難度，增加系統(tǒng)設(shè)計(jì)風(fēng)險(xiǎn)。但是總體來說，定期清洗可以在較短時(shí)間內(nèi)將抗攻擊能力恢復(fù)到正常狀態(tài)，并可以預(yù)防系統(tǒng)穩(wěn)態(tài)安全降級(jí)，使擬態(tài)交換機(jī)整體處于高安全等級(jí)狀態(tài)。

圖3 TAMA 抗攻擊能力變遷曲線

4 擬態(tài)交換機(jī)設(shè)計(jì)實(shí)現(xiàn)與測(cè)試

4.1 擬態(tài)防交換機(jī)原理樣機(jī)設(shè)計(jì)實(shí)現(xiàn)

本文依據(jù)擬態(tài)防御以太網(wǎng)交換機(jī)體系結(jié)構(gòu)，設(shè)計(jì)實(shí)現(xiàn)了擬態(tài)交換機(jī)的原型樣機(jī)。該擬態(tài)交換機(jī)采用盛科網(wǎng)絡(luò)的CTC5160 交換芯片，控制管理面包含3 個(gè)異構(gòu)處理模組和一個(gè)擬態(tài)調(diào)度器。其中異構(gòu)處理模組CPU 及操作系統(tǒng)如表1 所示。擬態(tài)調(diào)度器由Xilinx zynq-7045FPGA 實(shí)現(xiàn)，其內(nèi)嵌的ARM處理器用于運(yùn)行交換芯片的軟件工具開發(fā)包（SDK,software development kit）。

表1 異構(gòu)處理模組CPU 及操作系統(tǒng)

CTC5160 交換芯片的上行數(shù)據(jù)通過PCIE 通道交由擬態(tài)調(diào)度器進(jìn)行透明復(fù)制分發(fā)到3 個(gè)異構(gòu)處理模組，由異構(gòu)協(xié)議棧及管理軟件進(jìn)行協(xié)議處理；異構(gòu)處理模組處理完成的數(shù)據(jù)經(jīng)擬態(tài)調(diào)度器判決后交由SDK 處理或直接下發(fā)交換芯片。

在擬態(tài)交換機(jī)中，由于所有上傳主控的數(shù)據(jù)都要經(jīng)過調(diào)度器，主控下發(fā)的數(shù)據(jù)要經(jīng)過調(diào)度器的裁決，因此會(huì)造成系統(tǒng)處理時(shí)延的增加。根據(jù)對(duì)不同協(xié)議的測(cè)試統(tǒng)計(jì)，平均時(shí)延增加了10 ms，普通協(xié)議如RIP、OSPF 的時(shí)延都是秒級(jí)，因此在系統(tǒng)容許范圍之內(nèi)。

此外，擬態(tài)交換機(jī)構(gòu)建的基于動(dòng)態(tài)異構(gòu)冗余的控制管理面，相對(duì)于常規(guī)的交換機(jī)需要新增2 個(gè)主控CPU 模組和一個(gè)調(diào)度器，在硬件實(shí)現(xiàn)成本上大概有30%的提升。所以，該擬態(tài)交換機(jī)架構(gòu)適合構(gòu)建匯聚級(jí)或核心級(jí)的交換機(jī)，對(duì)于成本較敏感的接入級(jí)交換機(jī)不太適合。

4.2 基礎(chǔ)協(xié)議解析功能測(cè)試

首先進(jìn)行擬態(tài)交換機(jī)基礎(chǔ)交換協(xié)議功能測(cè)試，選取以太網(wǎng)交換機(jī)的典型協(xié)議，測(cè)試在異構(gòu)處理模組架構(gòu)下是否能夠正常進(jìn)行協(xié)議解析及應(yīng)答。常用的三層以太網(wǎng)交換機(jī)協(xié)議棧測(cè)試結(jié)果如表2 所示。

4.3 白盒插樁安全測(cè)試

采用白盒插樁實(shí)驗(yàn)對(duì)擬態(tài)交換機(jī)的安全防御功能性進(jìn)行測(cè)試，這是證明交換機(jī)具有擬態(tài)特性的核心測(cè)試內(nèi)容。

擬態(tài)白盒插樁測(cè)試不是通過實(shí)際的漏洞或后門進(jìn)行攻擊，而是通過管理配置監(jiān)測(cè)端配置各異構(gòu)執(zhí)行體，直接模擬并控制執(zhí)行體的受攻擊狀態(tài)。不同的測(cè)試方式（差模、時(shí)間協(xié)同差模、N?1 模、共模）和不同的測(cè)試場(chǎng)景（應(yīng)用程序、操作系統(tǒng)、協(xié)議等）對(duì)應(yīng)不同的配置。配置完成后，通過數(shù)據(jù)輸入端模擬輸入流量（該輸入流量也是針對(duì)具體測(cè)試場(chǎng)景定制的流量），在管理配置監(jiān)測(cè)端對(duì)各異構(gòu)執(zhí)行體的輸出數(shù)據(jù)進(jìn)行監(jiān)測(cè)，經(jīng)過判決處理的數(shù)據(jù)通過數(shù)據(jù)輸出端進(jìn)行監(jiān)測(cè)。擬態(tài)裁決采用TAMA，其中權(quán)值系數(shù)β=1，閾值K=100。

表2 三層以太網(wǎng)交換機(jī)常用協(xié)議棧測(cè)試結(jié)果

1) 差模測(cè)試

差模測(cè)試方式是在各異構(gòu)執(zhí)行體上植入不同后門，使各異構(gòu)執(zhí)行體在輸入相同時(shí)輸出不同，且輸出與正確結(jié)果不同。差模測(cè)試采用2 種觸發(fā)方式，分別如下所述。

觸發(fā)方式1，從管理配置監(jiān)測(cè)端進(jìn)行配置，一次觸發(fā)一個(gè)異構(gòu)執(zhí)行體的攻擊程序接口。這種觸發(fā)測(cè)試方法即為常規(guī)的差模測(cè)試攻擊。

觸發(fā)方式2，從管理配置監(jiān)測(cè)端進(jìn)行配置，一次性觸發(fā)所有異構(gòu)執(zhí)行體的攻擊程序接口。這種觸發(fā)方式也稱為時(shí)間協(xié)同差模攻擊測(cè)試。

差模測(cè)試的測(cè)試結(jié)果如圖4 所示。

從測(cè)試結(jié)果可以看出，對(duì)于觸發(fā)方式1，從配置管理監(jiān)測(cè)端觀測(cè)到異常數(shù)據(jù)，但經(jīng)過擇多判決處理，異常數(shù)據(jù)并不能對(duì)擬態(tài)交換機(jī)正確執(zhí)行任務(wù)產(chǎn)生任何影響。且經(jīng)過一個(gè)清洗周期后，擬態(tài)交換機(jī)就能恢復(fù)正常工作狀態(tài)。攻擊逃逸概率為0。對(duì)于觸發(fā)方式2，觸發(fā)測(cè)試程序會(huì)導(dǎo)致擬態(tài)交換機(jī)出現(xiàn)瞬時(shí)攻擊逃逸現(xiàn)象，但攻擊逃逸現(xiàn)象會(huì)在周期2 過后消失，且擬態(tài)交換機(jī)最終會(huì)恢復(fù)正常工作狀態(tài)。

圖4 差模測(cè)試結(jié)果

2)N?1 模測(cè)試

N表示異構(gòu)執(zhí)行體的數(shù)量，在擬態(tài)交換機(jī)中采用了3 個(gè)執(zhí)行體，所以N?1 模測(cè)試就是指2 模測(cè)試。選取2 個(gè)異構(gòu)執(zhí)行體插入后門，且插入的后門相同，使2 個(gè)異構(gòu)執(zhí)行體在輸入相同時(shí)，保證輸出相同，且輸出與正確結(jié)果不同。

2 模測(cè)試的測(cè)試結(jié)果如圖5 所示。從測(cè)試結(jié)果可以看出，測(cè)試期間會(huì)因?yàn)閾穸嗯袥Q策略，導(dǎo)致擬態(tài)交換機(jī)出現(xiàn)瞬時(shí)攻擊逃逸現(xiàn)象，但攻擊逃逸現(xiàn)象會(huì)在周期2 過后因后向驗(yàn)證機(jī)制的啟動(dòng)而消失，且最終恢復(fù)正常工作狀態(tài)。

3) 共模測(cè)試

共模測(cè)試也稱為N模測(cè)試，在擬態(tài)交換機(jī)中就是指3 模測(cè)試，是在3 個(gè)異構(gòu)執(zhí)行體上都插入相同的后門，使3 個(gè)異構(gòu)執(zhí)行體在輸入相同時(shí)保證輸出相同，且輸出與正確結(jié)果不同。

3 模測(cè)試的測(cè)試結(jié)果如圖6 所示。從測(cè)試結(jié)果可以看出，3 模測(cè)試啟動(dòng)后，擬態(tài)交換機(jī)會(huì)有一段時(shí)間對(duì)攻擊行為無感，但隨機(jī)擾動(dòng)機(jī)制會(huì)隨機(jī)選擇執(zhí)行體進(jìn)行清洗，打破共模攻擊所造成的無感狀態(tài)，使攻擊退化到2 模狀態(tài)，結(jié)合后向驗(yàn)證機(jī)制，擬態(tài)交換機(jī)也會(huì)在周期2 過后開始輸出正確的結(jié)果，并最終恢復(fù)正常工作狀態(tài)。

從上述的測(cè)試結(jié)果可以看出，單個(gè)執(zhí)行體受到攻擊時(shí)，不會(huì)影響擬態(tài)交換機(jī)的運(yùn)行結(jié)果；面對(duì)協(xié)同攻擊或共模攻擊，擬態(tài)交換機(jī)會(huì)出現(xiàn)短暫的攻擊逃逸現(xiàn)象，但逃逸現(xiàn)象不能維持。在白盒插樁各種攻擊測(cè)試模式下的逃逸概率及平均逃逸持續(xù)時(shí)間如表3 所示，逃逸概率對(duì)比如圖7 所示。

表3 白盒插樁攻擊逃逸概率及平均逃逸持續(xù)時(shí)間

表3 中，錯(cuò)誤識(shí)別時(shí)間指從執(zhí)行體開始輸出錯(cuò)誤結(jié)果，到其錯(cuò)誤累積達(dá)到閾值、被調(diào)度器判定為狀態(tài)異常所用的時(shí)間。

圖5 2 模測(cè)試結(jié)果

圖6 3 模測(cè)試結(jié)果

圖7 白盒插樁各攻擊測(cè)試模式的逃逸概率

4.4 基于攻擊鏈的交換機(jī)安全測(cè)試

4.3節(jié)根據(jù)擬態(tài)防御理論，通過標(biāo)準(zhǔn)白盒插樁測(cè)試證明了交換機(jī)的擬態(tài)防御功能，本節(jié)從網(wǎng)絡(luò)實(shí)際攻擊角度來測(cè)試交換機(jī)的安全性。

實(shí)際網(wǎng)絡(luò)攻擊往往分為若干階段，一般包括系統(tǒng)探測(cè)、漏洞發(fā)現(xiàn)、系統(tǒng)突破和系統(tǒng)控制等，交換機(jī)漏洞利用攻擊鏈如圖8 所示。從擬態(tài)交換機(jī)的構(gòu)造來說，白盒插樁測(cè)試也可以應(yīng)用于交換機(jī)的不同層次，包括硬件層、操作系統(tǒng)層、應(yīng)用軟件層。在操作系統(tǒng)層，已知很多相關(guān)漏洞，可以找出不同內(nèi)核版本的特異性或共性漏洞進(jìn)行差模或者多模測(cè)試。協(xié)議層和應(yīng)用層則更為靈活，可以編寫插樁測(cè)試的應(yīng)用程序編程接口（API,application programming interface），通過輸入數(shù)據(jù)刺激插樁程序運(yùn)行，進(jìn)行插樁測(cè)試，觀測(cè)交換機(jī)狀態(tài)演化。

圖8 交換機(jī)漏洞利用攻擊鏈

在系統(tǒng)信息探測(cè)階段，首先關(guān)閉擬態(tài)系統(tǒng)，隨機(jī)選擇一個(gè)執(zhí)行體執(zhí)行，在調(diào)試機(jī)上通過Nmap 掃描工具對(duì)交換機(jī)進(jìn)行探測(cè)，觀測(cè)是否可以得到操作系統(tǒng)、非授權(quán)開放端口及服務(wù)等信息；然后，開啟擬態(tài)系統(tǒng)，進(jìn)行相同步驟，觀測(cè)是否可以得到操作系統(tǒng)、非授權(quán)開放端口及服務(wù)等信息。

在漏洞發(fā)現(xiàn)階段，假設(shè)所有執(zhí)行體都提供相同的服務(wù)，但服務(wù)的實(shí)現(xiàn)版本有所不同，其中一個(gè)執(zhí)行體上的實(shí)現(xiàn)版本較低，或存在可以利用的漏洞。首先，開啟擬態(tài)系統(tǒng)通過特定的漏洞掃描工具，觀測(cè)能否通過統(tǒng)一接口，發(fā)現(xiàn)該版本的漏洞；然后，關(guān)閉擬態(tài)系統(tǒng)，觀測(cè)能否發(fā)現(xiàn)該版本的漏洞。

在系統(tǒng)突破階段，在執(zhí)行體上采用白盒插樁方法模擬交換機(jī)漏洞，如思科旗下明星產(chǎn)品—Cisco Small Business 220系列智能交換機(jī)2019年發(fā)現(xiàn)的3個(gè)高危漏洞，身份驗(yàn)證繞過（CVE-2019-1912，評(píng)級(jí)為致命，評(píng)分為9.1）、遠(yuǎn)程命令執(zhí)行（CVE-2019-1913，評(píng)級(jí)為致命，評(píng)分為 9.8）和命令注入（CVE-2019-1914，評(píng)級(jí)為中等，評(píng)分為7.2）。首先，關(guān)閉擬態(tài)系統(tǒng)，觀測(cè)能否利用這些漏洞；然后，打開擬態(tài)系統(tǒng)，多執(zhí)行體同時(shí)執(zhí)行，觀測(cè)能否利用這些漏洞。

測(cè)試結(jié)果如表4 所示。當(dāng)關(guān)閉擬態(tài)系統(tǒng)時(shí)，攻擊者很容易進(jìn)行系統(tǒng)探測(cè)，一旦發(fā)現(xiàn)漏洞，進(jìn)行突破和攻擊的成功率就是100%。而在擬態(tài)系統(tǒng)中，即使攻擊者已知某執(zhí)行體上存在漏洞，因?yàn)閿M態(tài)機(jī)制的作用，攻擊者通過漏洞觸發(fā)的響應(yīng)數(shù)據(jù)流是個(gè)體行為（針對(duì)同一個(gè)攻擊漏洞輸入僅有一個(gè)執(zhí)行體進(jìn)行響應(yīng)），與其他執(zhí)行體的響應(yīng)行為不一致，因此無法通過裁決點(diǎn)，漏洞利用失敗。而在攻擊鏈的各個(gè)階段都能有效屏蔽攻擊行為，所以具有較高的抗攻擊能力。

表4 測(cè)試結(jié)果（擬態(tài)系統(tǒng)與單執(zhí)行體結(jié)構(gòu)對(duì)比）

5 結(jié)束語

本文針對(duì)以太網(wǎng)交換機(jī)面臨的處理器、操作系統(tǒng)及協(xié)議棧存在的未知漏洞、后門等安全威脅，構(gòu)建了一種基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的擬態(tài)交換機(jī)體系結(jié)構(gòu)，從系統(tǒng)架構(gòu)層面使其具備內(nèi)生安全特性?；谠擉w系結(jié)構(gòu)，設(shè)計(jì)實(shí)現(xiàn)了擬態(tài)交換機(jī)原型樣機(jī)，測(cè)試結(jié)果表明，該擬態(tài)交換機(jī)在正常處理各種交換協(xié)議的基礎(chǔ)上，可以有效應(yīng)對(duì)處理器、操作系統(tǒng)等層面的未知漏洞和未知后門安全威脅，具備十分理想的內(nèi)生安全特性。

交換機(jī)的安全威脅主要存在于控制管理層面，但在數(shù)據(jù)轉(zhuǎn)發(fā)層面，也就是交換芯片層面的安全威脅也必須予以重視。本文構(gòu)建的擬態(tài)交換機(jī)采用國產(chǎn)交換芯片，雖然避免了采用國外芯片可能存在的

人為植入的設(shè)計(jì)后門風(fēng)險(xiǎn)，但是仍不能完全避免在設(shè)計(jì)、加工環(huán)節(jié)引入的未知漏洞和風(fēng)險(xiǎn)。因此，下一步的工作將會(huì)針對(duì)交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)平面的安全威脅，設(shè)計(jì)一種高安全以太網(wǎng)交換芯片系統(tǒng)架構(gòu)，與本文提出的控制管理層擬態(tài)防御安全架構(gòu)結(jié)合，構(gòu)建一種全方位的交換機(jī)內(nèi)生安全體系結(jié)構(gòu)。