试解大规模网络安全方程 [肖新光]

中国安天实验室AntiyLabs试解大规模网络安全方程——安全模型的反思和准复杂巨系统网络的建模思考安天实验室肖新光中国安天实验室AntiyLabs导语-为什么修改题目•既然我们已经站在复杂巨系统的基点，我们就要勇于认为这是一个无解的方程，我们毕生的精力可能都在摸索逼近的近似解。•尝试缩小一些范围，尝试简化一些问题。•勇于工程实践…..中国安天实验室AntiyLabs提纲•传统模型的思辨•准复杂巨系统网络•当前的一些尝试中国安天实验室AntiyLabs安全模型-微观准则•Biba、Clark-Wilson、Bell-LaPadula…..•相关准则是一种微观建模，解决安全实施的节点性、层面性或者设计的问题。•对大型信息体系来说，这是方法性的而非体系性的。中国安天实验室AntiyLabs安全模型-整体模型•整体建模始终缺乏有效的数学模拟和依据。•静态法：隔离法-木桶原理。•动态法：P2DR中国安天实验室AntiyLabs静态安全模型•隔离法：强调把安全整体解析为环节，把复杂问题简单化。起源自美国安全等级划分。•木桶原理：隔离法的上层架构方法导致木桶原理的产生，强调各安全环节的能力均衡。中国安天实验室AntiyLabs聊胜于有：增加环节的悖论WINXPSP2AutoUpdateDEPsasserBlastWittyBlackICEsasserBlastWitty中国安天实验室AntiyLabs过犹不及：叠加强度的悖论AV1:更为稳定可靠的监控。AV2:更强的检测能力。KILLEDFAIL!!!NOTFOUND中国安天实验室AntiyLabs生不如死：通道管制悖论中国安天实验室AntiyLabs动态模型考量•静态模型因先天的型而上学而死亡，那么动态模型呢？•P2DR模型构成了一个完整的实施和反馈控制链路，以动态的、行为的、控制的环节替代静态的结构剥离。•P2DR的后继者们更多的侧重于演绎和补充，包括衍生类似P2D2R等模型。•P2DR模型难于形成实战效果的原因是每个环节的能力都是打折扣的，而且每个环节都实际影响到下一个环节。中国安天实验室AntiyLabsP2DR的理想和现实防护检测响应策略防护：是目前昀完备的环节，防护具有自闭合性，其成功的本质在于实现无人值守和无先决条件的保护。检测：检测范围、能力、准确性以及结果的可参考性都使检测成为P2DR的瓶颈。由于检测结果无可实施价值和人为的不作为，检测到响应在安全实践中往往是断路的。我们并未形成足够有效的处置能力和手段，在检测已经提供定位的情况下依然难以处理。中国安天实验室AntiyLabs提纲•传统模型的思辨•准复杂巨系统网络•当前的一些尝试中国安天实验室AntiyLabs复杂巨系统中国安天实验室AntiyLabs复杂巨系统的启示•系统复杂度与安全性成反比•安全系统的附加本身在增加系统的复杂度•各环节之间是关联的、相互影响的。中国安天实验室AntiyLabs从全局到局部•复杂巨系统网络•网络体系全集•无管理主体•无主信息通道•无基本边界。•准复杂巨系统•网络体系子集•有管理主体•有主要信息通道•有基本边界中国安天实验室AntiyLabs准复杂巨系统典型特色•千兆甚至万兆骨干体系•多层连接、结构复杂•出口百兆、千兆、2.5G•百兆或更高带宽到达桌面•终端设备、实际用户以万为单位中国安天实验室AntiyLabs准复杂巨系统的挑战•网络规模大：随着网络节点数量增加，网络可控性呈几何级数下降。•高带宽：内部节点问题对核心层、以及出口可以构成强大压力，同时使一般的安全设备无法实现监控过滤。•无边界网络：大型网络无法确保出口的唯一性，庞大的网络使每个节点都可能成为数据交换的原点。•游离节点数量不收敛：由于机构庞大，人员众多，难以形成行政上的统一管理，因此大量节点处于不可管理状态。中国安天实验室AntiyLabs传统模型的应对•传统的安全模型，是基于“隔离法”加和。•基本环节划分是出口和各独立节点，因此依靠出口过滤设备防火（毒）墙和确保在每台机器上安装反病毒软件，获得整体的安全。•“进不来，出不去，查的出，杀的掉。”中国安天实验室AntiyLabs当传统遭遇现实•规模：现有网络规模超越了企业级安全/反病毒产品的管理上限，同时，实施成本和价格难以承受。•高带宽：防毒墙如果开放病毒过滤，严重制约网络吞吐量，其自身就已经成为运行隐患。•无边界网络：由于网络没有明显的边界，使进不来，出不去，理论上成为不可能。•游离节点数量不收敛：不具备确保所有节点安全的能力，现有反病毒产品的负荷沉重更导致大量用户拒绝安装。同时由于非集中采购，不同部门采购产品之间冲突，使统一部署成为困难。中国安天实验室AntiyLabs隔离法之死•传统的解决方案是立足于通过必须达到保障所有的点性资源的目的，才能达到保护整个面资源的目的，这个任务显然是不收敛的。•我们必须承认无法通过确保每个节点的安全而构筑复杂巨系的安全。由于节点数量造成管理难度是不收敛的，因此必须假定基本节点为不可靠的。网络整体的可控性不可能是100%节点可控的累加。•传统的解决立足于把守住唯一通道，即使以效率的降低为代价也再所不惜，这是用户无法接受的，同时把守唯一出口的理想也因实际系统的满身是口，而无法实现。•传统的安全解决立足于让每个节点都能变成绝对可靠系统，在此基础上搭建所谓完备方案，其结果是让用户系统付出过多的资源性成本，其结果必然是方便性降低、系统效率变差导致用户拒绝使用，反而增加了不可靠节点的数量。•各个节点的点形事件可能演化为线性的连锁反应。特别是关键节点的失陷会产生关联影响。因此关键节点需要假定为不可失陷的。传统的服务器反病毒只是把桌面反病毒的体系按照服务器时间片进行效率优化，实际上并没有满足服务器的安全要求。中国安天实验室AntiyLabs一种多此一举的抽象和解析传统安全模型复杂巨系统整体：准复杂巨系统网络看成一个非闭合的物质、能量和信息的场，我们剥离其物质载体和能量依赖，可以将其抽象成一个信息场。系统复杂性产生的原因之一是信息具有可拷贝、可变异的特点。主通道：信息场的交换通道是必须的，但其获取的交换内容未必都是有利于场的稳定性的。潜在入口：每一个点信息团可能成为信息场的潜在交换通道。反映：信息团可能产生链式反应或者辐射反映，成为线形或者面性的威胁。信息团：可以将网络中的节点按成一个信息团。信息团有消亡、流失、注入有害信息等威胁。信息团是自我聚合的。信息团的信息粒子不是平等的，而是相互干扰的。信息团表面积越大，受到威胁越大。中国安天实验室AntiyLabs目前建模的基本思考•信息的非守恒性（可复制、衍生）其有别于物质和能量的根本差异，也是网络系统复杂度提高的根本原因。•信息的非守恒性变化是受到物质的制约，并消耗能量的。•基本元素信息团模型：信息团是自聚合的，对每个信息团，其物质载体（硬件）和能量（计算能力和其他衍生的能源消耗）是相对恒定的，安全环节也是信息团的一部分，也同样占用物质和能量资源。中国安天实验室AntiyLabs解决方案的根本思想•宏观粒度：•复杂巨系统没有100%可管理的可能性，立足点在于付出可以接受的成本和管理代价，增强系统可见性和可控性，使系统达到安全与应用的动态平衡。•以宏观监控设备获取病毒预警信息和疫情，形成对网络病毒事件准确有效定位，形成网络病毒的全景视图。•节点与节点之间的威胁压力和安全需求不同，需要个性化处理。•提供安全客户端模块，通过负荷轻载、良好共存、彻底处理的思想，减少不可控节点的数量。•提供主机保护系统，实现基于文件、OS、网络三层的立体防御结构。•客户端系统让安装后的每个节点都拥有了自己的安全边界，这些安全边界可以在无边界网络内部形成一条有边界网络。•客户端系统应该有自己的安全内界。•有安全边界节点成为其他不安全节点和不安全事件的探头，从而增加体系的感知能力。•将上述安全环节通过SOC管理起来，形成有序的体系。•CERT提供全面的技术支撑。•技术环节不可能解决所有问题，必须形成一套技术、管理、服务的综合体系，安全厂商和用户协同如一，安全方能无所不及。中国安天实验室AntiyLabs提纲•传统模型的思辨•准复杂巨系统网络•当前的一些尝试中国安天实验室AntiyLabs近期一些研发介绍•检测能力的增强和补充•提供更可靠的信息和策略。•增加事件质量中国安天实验室AntiyLabs检测能力的补充：体外循环VDS中国安天实验室AntiyLabs检测能力的补充：可嵌入AVSDKAVLSDKAVL引擎AVL网络检测引擎（AVLNet-LevelEngine）AVL系统检测引擎（AVLSystem-LevelEngine）网络检测库系统检测库调用接口（windows、Linux、其他UNIX）网络升级模块调用范例结果分析模块其它外围模块厂商系统接口部分外围模块中国安天实验室AntiyLabs尝试：重新定位能力和疫情中国安天实验室AntiyLabs尝试：重新定位能力和疫情中国安天实验室AntiyLabs增加事件质量：事件处理方法•DEDL，DetectionEventsDescriptionLanguage检测事件描述语言。•采用描述符的方式，将网络检测事件制定为一种规范的格式，并支持一般的条件推导。•定义了事件类型（type）、事件ID、源IP（Source_IP）、目标IP(TargetIP)、事件时间等20多个事件要素。•处理方法•内部技术合并•平行式合并•分析式平行合并•辐射式合并•聚合式合并•传导链式合并中国安天实验室AntiyLabs行为规并DEDL事件AVML行为特性规则Net_Action(act)[IP(1)-IP(2):445;time(1)]Net_Action(act)[IP(1)-IP(3):445;time(2)]….Net_Action(act)[IP(1)-IP(12):445;time(12)]Net_Action(Trans,W02872)[IP(1)-IP(12);time(9)]Virus_act_libVirusseek(id=”W02872”；name=Worm.Win32.Dvldr;dport=139,445;trans=netbios)Worm.Win32.Dvldr├─Scan（12）└─transmit(1)中国安天实验室AntiyLabs创造就是我们的脚步•安全模型尝试过自立门户，但也可以是应用建模的一部分。•切实增强各环节的能力，是无法回避的选择。•我们追求网络安全的道路，是一条必然王国到自由王国之路，这条道路永无尽头！•谢谢各位同仁！