网络空间安全拟态防御技术概述.docx

? ? 网络空间安全拟态防御技术概述 ? ? 李政 白利芳 唐刚 朱信铭 摘 要：本文扼要分析了网络空间安全攻防不对称的现状，概要阐述了拟态防御技术的发展历程，重点论述了主动防御的基础原理及其抗攻击性，最后就主动防御的测试评估和应用实践情况进行了介绍，并对其优势与挑战进行了分析。 Key：网络安全；主动防御；拟态防御；动态异构冗余 ：TP393.08 ：A ：1671-2064（2018）20-0037-03 1 网络空间安全现状 作为“陆、海、空、天”后的第五空间，网络空间正处于“有毒带菌”，且“易攻难守”的不对称格局。一方面，网络空间自身在顶层架构设计，生产、供应和服务链等各环节均存在“已知”、“已知的未知”或“未知的未知”安全风险。“已知”风险不存在技术上的难度，但由于安全意识和管理不足往往导致应对策略落实不到位；“已知的未知”风险虽被识别，但不确定其发生概率和影响；而“未知的未知”风险（如0day），因无法知晓攻击相关任何信息，针对性防御无从谈起。此外，即便采取了应对策略或应急措施，仍可能存在次生风险和殘留风险，即任何国家或组织都无法从根本上消除其网络设施和信息系统的安全隐患。 另一方面，现有防御体系存在基因缺陷。大多以检测、阻断为主，且基于攻击相关信息等先验知识，架构透明、处理空间单一，本质上是被动、静态的。攻击者用极小的成本即可让网络空间面临巨大的威胁，在易攻难守的不对称态势下，主动防御逐步成为研究焦点，优势渐显。主动防御即在攻击的具体方法和步骤被知悉前实现防御部署，有效弥补被动防御的缺陷。目前，典型的主动防御技术有入侵容忍[1，4，5]、移动目标[2，3]、拟态防御等，其中拟态防御[6，7]是我国自主研创的新兴主动防御技术，其理论技术和应用实践均通过权威的测试和评估，有望成为网络安全“再平衡战略”的有力抓手。 2 拟态防御发展历程 2007年，中国工程院院士邬江兴首次将拟态计算概念引入域名防御系统。2013年，首台拟态计算机原理样机研制成功，并提出网络空间拟态防御理论。2016年，“Web服务器拟态防御原理验证系统”和“路由器拟态防御原理验证系统”研制成功，并通过科技部委托组织的网络通信和安全领域的权威测评验证。2017年10月，工信部正式批复《关于开展拟态防御技术试点工作的通知》，确定河南联通与拟态团队开展拟态域名服务防御系统试点工作。2018年1月，全球首套拟态域名服务器在中国联通河南分公司上线，首次在运营商现网环境进行试点应用和量化评估。4月，全球首套拟态防御网络设备在郑州投入互联网线上服务，拟态防御在应用实践和产业化进程中迈出了里程碑式的一步。 3 拟态防御理论 3.1 拟态防御原理 拟态防御的灵感源于自然界基于内生机理的“拟态伪装”，在本征功能不变的条件下，能以不确定色彩、纹理和形状等变化给捕猎者或捕猎目标造成认知错觉。同理，在不影响服务功能和性能正常提供的条件下，类似于系统架构、运行机制、异常响应以及未知脆弱点等，均可通过类似拟态伪装的方式进行主动隐匿，以达到干扰或阻断攻击的目的，这种在网络空间中的拟态伪装称为“拟态防御”（Mimic Defense， MD）。将一个存在未知漏洞、后门或病毒、木马等软硬件代码的“有毒带菌”异构执行环境称为拟态防御界。 拟态防御的实现基于动态异构冗余[7]（Dynamic Heterogeneous Redundancy，DHR）思想。异构冗余即异构冗余集合中的任意元素，无论是单独使用还是多元素并联或组合使用，均可实现等价功能的一种机制，其理论基础是异构的冗余元素共性设计缺陷导致共模故障属于小概率事件。该机制的典型范例即非相似余度构造，如图1所示。 DHR即在异构冗余的基础上加入动态性和随机性，使系统呈现相当程度的不确定性，扰乱攻击者信息链，攻击难度非线性增加，攻击成功成为极小概率事件。其实现主要基于异构冗余体池中冗余执行体集的内生构造，即拟态防御的核心过程——拟态伪装：从异构冗余池中根据动态调度算法随机选取若干元素组成执行体（如图2所示），或重构、重组、重建冗余执行体自身，或借助虚拟化技术改变冗余执行体的资源配置，或对冗余执行体进行预防性或修复性的清洗、初始化操作等，增加服务功能与外在表征间的不确定性，实现隐匿拟态界内未知的漏洞和后门等脆弱性[6-9]。而DHR输出依然采用多模裁决机制，和区块链的原理有共通之处。 3.2 拟态防御抗攻击分析 本小节以图2所示的DHR构造为研究对象，分别从攻击发起难度、持续攻击难度何攻击再现难度进行分析。 （1）攻击发起难度。此处设异构构件集合为U，|U|=m，设执行体集合为V，|V|=n，则随机动态选择算法由U到V有种可能，设每种可能经表决器输出后与正常输出不一致的概率为Pi（i=1，2，……，），则在该攻击环节成功的几率为：