陳琳 石悅 董航

(中國信息通信研究院安全研究所,北京 100191)

0 引言

隨著網(wǎng)絡攻擊者的攻擊手段不斷變化和提升,網(wǎng)絡空間安全對人類生活與生產(chǎn)活動造成了嚴重的威脅?，F(xiàn)行的防御體系是基于威脅特征感知的精確防御,遵循“威脅感知,認知決策,問題移除”的防御理論和技術(shù)模式,需要攻擊來源、攻擊特征、攻擊途徑、攻擊行為等先驗知識的支撐,在應對基于未知漏洞后門或病毒木馬等未知攻擊時存在防御體制和機制上的脆弱性[1]。

針對傳統(tǒng)防御技術(shù)難以應對未知漏洞、后門、病毒或木馬等威脅這一問題,鄔江興[2-3]等于2013 年提出基于內(nèi)生安全機制的網(wǎng)絡空間擬態(tài)防御思想,其基本思想是建立一個由輸入輸出代理、異構(gòu)執(zhí)行體集、擬態(tài)調(diào)度器、擬態(tài)裁決器和反饋控制器等組成的動態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy,DHR)架構(gòu)。如圖1 所示,通過異構(gòu)執(zhí)行體的異構(gòu)性使攻擊者很難同時多點攻破,通過策略性的動態(tài)變化使得攻擊者的攻擊經(jīng)驗難以復制或繼承,呈現(xiàn)出對目標體機構(gòu)和運行環(huán)境的測不準效應,從而有效實現(xiàn)對未知威脅的感知和防御[4]。

為了衡量擬態(tài)防御產(chǎn)品的內(nèi)生安全增益以及擬態(tài)結(jié)構(gòu)的復雜性代價與安全防御效果的對比提升,需要對擬態(tài)防御產(chǎn)品進行內(nèi)生安全增益評估,量化擬態(tài)防御效果,從而更為直觀地評價擬態(tài)防御產(chǎn)品的防御能力。

1 內(nèi)生安全增益評估指標度量模型

1.1 評估對象

經(jīng)過多年的技術(shù)驗證和演進發(fā)展,目前國內(nèi)擬態(tài)防御產(chǎn)品體系日益完備,產(chǎn)品類型覆蓋多維度、多領域,包括支持擬態(tài)防御功能的路由器、交換機、防火墻、Web 服務器、域名服務器、云服務等系列化擬態(tài)防御產(chǎn)品[5]。為有效評估現(xiàn)有系列擬態(tài)防御產(chǎn)品的內(nèi)生安全增益,本文研究建立了針對現(xiàn)有擬態(tài)防御系列產(chǎn)品的通用內(nèi)生安全增益評估指標度量模型。

1.2 構(gòu)建原則

在構(gòu)建內(nèi)生安全增益評估指標度量模型時,評估指標的選取和建立應遵循以下原則。

1.2.1 全面性原則

選取的評估指標應能對其進行定量處理,給出具體數(shù)值或能進行排序,這樣才能實施量化評估。對于個別無法量化的指標,應能夠通過主觀判斷進行評價。評估指標體系應能全面反映信息系統(tǒng)的各個方面,特別要把反映系統(tǒng)效能的關鍵性指標選準、選全,這樣才能對系統(tǒng)有一個客觀、合理、全面的評估。

1.2.2 獨立性原則

各評估指標在整個建立過程中應相互獨立,即使相關也不能互相附屬。

1.2.3 客觀性原則

所選評估指標應能客觀反映系統(tǒng)內(nèi)部的變化,能夠把所研究的問題同系統(tǒng)有關的不確定性聯(lián)系起來。

1.2.4 一致性原則

評估指標的建立應與內(nèi)生安全增益評估的目的相一致,與系統(tǒng)擔負的任務密切相關。

1.3 評估指標模型構(gòu)建

根據(jù)擬態(tài)防御產(chǎn)品的安全防護能力要求情況,從擬態(tài)基元、擬態(tài)防御系統(tǒng)和擬態(tài)防御產(chǎn)品三個層面構(gòu)建內(nèi)生安全增益評估指標度量模型。

1.3.1 擬態(tài)基元安全指標

擬態(tài)基元安全指標主要對擬態(tài)架構(gòu)與實現(xiàn)機制的安全性進行評估,包括以下13 個二級指標。

(1)輸入代理:輸入代理是DHR 組成部分,擬態(tài)防御系統(tǒng)的輸入代理將輸入轉(zhuǎn)發(fā)給各執(zhí)行體,執(zhí)行體的輸出矢量提交給表決器進行表決,得到系統(tǒng)輸出。輸入代理是DHR 的第一步也是重要一步,其安全性對于擬態(tài)防御系統(tǒng)的安全性影響較大。

(2)表決器:表決器也是DHR 的重要組成部分,執(zhí)行體的輸出矢量提交給表決器進行表決并產(chǎn)生輸出,所以輸入代理和多模表決器也被稱為擬態(tài)括號。表決器是DHR 進行裁決的重要一環(huán),其安全性對于擬態(tài)防御系統(tǒng)的安全性影響較大。

(3)執(zhí)行體通信誤碼率:擬態(tài)防御系統(tǒng)中各執(zhí)行體的動態(tài)選擇、與輸入代理的通信、與表決器的通信等過程均通過數(shù)據(jù)通信進行,如果通信信道的誤碼率過高,會影響系統(tǒng)執(zhí)行體的選擇和輸出結(jié)果,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。

(4)執(zhí)行體故障率:由功能等價冗余執(zhí)行體構(gòu)成的異構(gòu)構(gòu)建集合是DHR 的執(zhí)行主體,執(zhí)行體的故障率直接影響DHR 的準確性,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。

(5)針對執(zhí)行體攻擊的獨立性:非相似余度構(gòu)造(Dissimilar Redundancy Structure,DRS)依賴于異構(gòu)執(zhí)行體間的功能等價特性,如果針對執(zhí)行體的攻擊不具備獨立性,會影響執(zhí)行體之間的異構(gòu)特性,從而導致功能等價的原因與預期不符。失去DRS 的特有效果會對擬態(tài)防御系統(tǒng)的安全性造成影響。

(6)單一執(zhí)行體的輸入輸出對應性:在DHR 構(gòu)造中,表決器的結(jié)果輸出主要依賴于對各執(zhí)行體的輸出結(jié)果進行分析和裁決,這就要求執(zhí)行體的輸入輸出一一對應,一旦輸入輸出錯位會導致表決器表決失效,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。

(7)異構(gòu)執(zhí)行體的相異性:DRS 依賴于異構(gòu)執(zhí)行體間的功能等價特性,如果針對執(zhí)行體的攻擊不具備相異性,會影響執(zhí)行體之間的異構(gòu)特性,從而導致DRS構(gòu)造失敗。失去DRS 的特有效果會對擬態(tài)防御失效。

(8)執(zhí)行體對攻擊行為的敏感性:DRS 依賴于異構(gòu)執(zhí)行體間的功能等價特性,只有執(zhí)行體對攻擊行為具備一定的敏感性才會導致執(zhí)行體輸出結(jié)果的相異性。如果執(zhí)行體對攻擊行為的敏感性較低,會導致執(zhí)行體異構(gòu)失效,從而失去DRS 的特有效果,使擬態(tài)防御失效。

(9)異構(gòu)執(zhí)行體失效或存在缺陷的隨機性:DRS的基礎是獨立開發(fā)的裝置或模塊發(fā)生共性設計缺陷導致共模故障的情況屬于小概率事件,要保證各功能等價的獨立裝置中的設計缺陷具有不重合的性質(zhì),這就要求異構(gòu)執(zhí)行體失效或存在缺陷具備一定的隨機性。如果異構(gòu)執(zhí)行體失效或存在缺陷的隨機性較弱,會導致執(zhí)行體間的異構(gòu)失效,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。

(10)動態(tài)調(diào)度機制的隨機性:在DHR 結(jié)構(gòu)中,擬態(tài)防御系統(tǒng)通過動態(tài)調(diào)度機制,隨機選擇多個異構(gòu)執(zhí)行體進行工作,在相同外部激勵的情況下,通過比對多個異構(gòu)功能執(zhí)行體的輸出結(jié)果,對功能執(zhí)行體進行異常檢測,實現(xiàn)擬態(tài)防御系統(tǒng)的主動防御功能。如果動態(tài)調(diào)度機制的隨機性較差,會使對比輸出結(jié)果的工作無效,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。

(11)擬態(tài)裁決機制的正確性:擬態(tài)防御系統(tǒng)的有效性由DHR 構(gòu)造的多維動態(tài)重構(gòu)、重組等機制和非配合條件下多模裁決機制的強弱來決定,擬態(tài)裁決機制的正確性直接影響擬態(tài)防御系統(tǒng)的有效性。

(12)虛擬化機制的有效性:多模裁決機制存在“錯誤逃逸”的可能性,所以DHR 構(gòu)造中導入了策略調(diào)度、重構(gòu)重組和虛擬化等多維動態(tài)的不確定性機制,將使得多模判決環(huán)節(jié)中單次逃逸或持續(xù)逃逸的概率大幅度降低。

(13)執(zhí)行體重構(gòu)機制的有效性:執(zhí)行體重構(gòu)機制和虛擬化機制一樣,可以大幅度降低多模判決環(huán)節(jié)中單次逃逸或持續(xù)逃逸的概率。擬態(tài)防御系統(tǒng)的逃逸概率對于其有效性影響較大。

1.3.2 擬態(tài)防御系統(tǒng)安全指標

擬態(tài)防御系統(tǒng)安全指標主要對擬態(tài)構(gòu)造系統(tǒng)的安全能力進行描述,包括以下5 個二級指標。

(1)擬態(tài)逃逸成功率:在擬態(tài)防御系統(tǒng)中,如果一次攻擊成功突破了擬態(tài)界,則稱其發(fā)生了擬態(tài)逃逸。雖然在擬態(tài)防御系統(tǒng)中,一次擬態(tài)逃逸行為并不意味著攻擊成功,但是會影響擬態(tài)防御系統(tǒng)的動態(tài)性,對其“阻斷”甚至“完全破壞”攻擊鏈的行為產(chǎn)生干擾?？刂茢M態(tài)逃逸成功率在安全范圍內(nèi),可以保證整個擬態(tài)防御系統(tǒng)的可用性。

(2)擬態(tài)防御系統(tǒng)容錯能力:擬態(tài)防御是一種源自可靠性領域容錯思想的體系架構(gòu)技術(shù),基本形態(tài)是將靜態(tài)的非相似余度“容錯”架構(gòu)轉(zhuǎn)變?yōu)閯討B(tài)異構(gòu)冗余的“容侵”架構(gòu)。通過將指令、地址、數(shù)據(jù)等動態(tài)化、隨機化、多樣化的方法來增強擬態(tài)防御系統(tǒng)容錯能力,在一定程度上保證系統(tǒng)安全性。

(3)擬態(tài)環(huán)境的魯棒性:擬態(tài)防御系統(tǒng)需要具備應對不確定性威脅感知、增加攻擊鏈不確定性、增加多模裁決逃逸難度、獨立安全增益等能力,由于其復雜性,擬態(tài)環(huán)境需要具備一定程度的魯棒性,來保證整個擬態(tài)防御系統(tǒng)的魯棒性和安全性。

(4)擬態(tài)環(huán)境的柔韌性:擬態(tài)防御系統(tǒng)的擬態(tài)環(huán)境不具備具體的通用標準和檢驗方法,其標準柔性很大,范圍也無法確定。由于擬態(tài)防御系統(tǒng)無法一次性確定所有需求(例如異構(gòu)執(zhí)行體的隨機選取策略、裁決機制等),因此需要不斷地對系統(tǒng)進行優(yōu)化和升級,改變檢驗方法和范圍等。擬態(tài)環(huán)境的柔韌性在一定程度上決定了擬態(tài)防御系統(tǒng)的完成度。

(5)擬態(tài)環(huán)境的安全性:擬態(tài)防御系統(tǒng)基礎環(huán)境的安全性是系統(tǒng)安全的基礎,只有保證擬態(tài)環(huán)境的安全性,才能確保外界的安全風險不會影響擬態(tài)防御系統(tǒng)的穩(wěn)定運行。擬態(tài)環(huán)境的安全性直接決定了擬態(tài)防御系統(tǒng)的可用性。

1.3.3 擬態(tài)防御產(chǎn)品安全指標

擬態(tài)防御產(chǎn)品安全指標主要對擬態(tài)構(gòu)造的各類信息通信產(chǎn)品(基于擬態(tài)構(gòu)造的路由器、防火墻、Web 服務器等)的通用安全功能進行評估,與傳統(tǒng)信息通信設備的安全功能指標項類似,具體包括以下11 個安全指標。

(1)賬號口令:賬號口令的集中化管理可以應對信息系統(tǒng)復雜性的不斷增加,便于對不斷增加的用戶賬戶進行科學管理,并與各主機、網(wǎng)絡設備、信息系統(tǒng)無縫連接。網(wǎng)絡設備賬號口令的集中化管理程度在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(2)身份認證:擬態(tài)防御系統(tǒng)自身的身份認證應滿足一定的強度,通過賬號口令、數(shù)字證書等方案對用戶的身份進行認證,可以在很大程度上避免非授權(quán)訪問及相關風險。服務器身份驗證的覆蓋率在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(3)會話管理:客戶端與服務器的請求與響應是無狀態(tài)通信協(xié)議,服務器維護上一次請求和下一次請求間關系的方式就是會話管理。服務器會話管理的防篡改和抗偽造能力在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(4)權(quán)限管理:服務器權(quán)限管理的覆蓋率在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(5)業(yè)務邏輯安全:擬態(tài)防御系統(tǒng)相關軟件的業(yè)務邏輯安全指軟件能實現(xiàn)的業(yè)務運作模式與操作流程是安全可靠的,包括軟件的功能架構(gòu)、工作流及用戶界面等,軟件邏輯是軟件系統(tǒng)的命脈,也是軟件承載業(yè)務的具體表現(xiàn)形式。軟件的業(yè)務邏輯安全在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(6)原生軟件及后臺系統(tǒng)安全:擬態(tài)防御系統(tǒng)原生軟件及其后臺系統(tǒng)是擬態(tài)防御系統(tǒng)軟件部分的主體,其安全性直接影響擬態(tài)防御系統(tǒng)的可用性、安全性和防御效果等。軟件及其后臺存的漏洞數(shù)量和潛在風險在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(7)能力開放接口安全:能力開放接口有利于軟件功能的復用,減少工作量,提高工作效率。通過能力開放接口提交用戶名密碼、傳遞加密參數(shù)等操作時存在被攻擊者暴力破解、竊取信息等風險,這些風險會在一定程度上影響擬態(tài)防御系統(tǒng)的安全性,應通過認證授權(quán)、帶有時間戳的請求簽名、頻率控制等手段來降低風險。

(8)數(shù)據(jù)安全:擬態(tài)防御系統(tǒng)原生軟件的數(shù)據(jù)安全主要從數(shù)據(jù)機密性保障、數(shù)據(jù)完整性保障和數(shù)據(jù)可用性可靠性保障三個方面對數(shù)據(jù)進行安全保護,但由于數(shù)據(jù)機密性、可靠性保障與系統(tǒng)復雜度之間存在矛盾、數(shù)據(jù)完整性校驗與用戶開銷之間存在矛盾等原因,數(shù)據(jù)保護措施未完全實施,這在一定程度上影響了擬態(tài)防御系統(tǒng)的安全性。

(9)入侵防范:擬態(tài)防御系統(tǒng)應具備入侵防范功能,對于流經(jīng)設備的數(shù)據(jù)流量進行實時監(jiān)控和分析,及時發(fā)現(xiàn)存在的入侵風險、敏感數(shù)據(jù)、病毒木馬等,來保障擬態(tài)防御系統(tǒng)自身的安全性,所以擬態(tài)防御系統(tǒng)的入侵防范能力決定了其系統(tǒng)的安全性。

(10)安全監(jiān)測和審計:安全監(jiān)測和審計功能通過對擬態(tài)防御系統(tǒng)中的安全事件(如網(wǎng)絡攻擊、防病毒等)、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)、網(wǎng)絡存取日志等各類信息,經(jīng)過標準化、過濾、歸并和告警分析等處理后,以統(tǒng)一格式的日志形式進行集中存儲和管理,該功能的有效性在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。

(11)中間件安全:擬態(tài)防御系統(tǒng)的中間件是連接底層網(wǎng)絡設備、服務器和擬態(tài)防御系統(tǒng)應用程序之間可復用的基礎軟件,中間件通過標準的通用接口和通用協(xié)議實現(xiàn)軟件的跨平臺復用,同時帶來了更多的安全問題。擬態(tài)防御系統(tǒng)通過利用Web 服務框架提高中間件安全性,在一定程度上提高了擬態(tài)防御系統(tǒng)自身的安全性。

2 結(jié)束語

本文旨在研究網(wǎng)絡空間擬態(tài)防御產(chǎn)品的內(nèi)生安全增益評估問題,通過分析研究影響擬態(tài)防御技術(shù)產(chǎn)品安全增益的關鍵要素和屬性,從擬態(tài)基元安全指標、擬態(tài)防御系統(tǒng)安全指標和擬態(tài)防御產(chǎn)品安全指標三個層面構(gòu)建內(nèi)生安全增益評估指標度量模型。通過建立內(nèi)生安全增益評估指標度量模型,能夠?qū)M態(tài)防御產(chǎn)品的安全防御效果進行量化評估,驗證擬態(tài)防御產(chǎn)品的安全性是否達到預期效果,為后續(xù)擬態(tài)產(chǎn)品開展內(nèi)生安全增益評估測試提供參考。