网络空间拟态防御研究

第1卷第4期信息安全学报Vol.1No.42016年10月JournalofCyberSecurityOct.,2016邀稿日期:2016-05-06;收稿日期:2016-09-26本文工作受到国家自然科学基金创新研究群体项目(No.61521003)和国家重点研发计划项目(Nos.2016YFB0800100,2016YFB0800101)支持。网络空间拟态防御研究邬江兴国家数字交换系统工程技术研究中心郑州中国450001摘要本文扼要分析了网络安全不平衡现状及本源问题,重点阐述了动态异构冗余架构以及如何利用不可信软硬构件组成高可靠、高安全等级信息系统的原理与方法,概略的给出了拟态防御的基本概念。最后,介绍了拟态防御原理验证系统的测试评估情况和初步结论。关键词网络安全;不平衡态势;未知漏洞后门;拟态防御;非相似余度;动态异构冗余;验证系统测试评估中图法分类号TP309.1DOI号10.19363/j.cnki.cn10-1380/tn.2016.04.001ResearchonCyberMimicDefenseWUJiangxingNationalDigitalSwitchingSystemEngineering&TechnologicalR&DCenter,Zhengzhou450001,ChinaAbstractTheunbalanceincybersecurityanditsrootisanalyzedinthispaper,ofwhichadynamicallyredundanthet-erogeneityarchitectureandthebasicprincipletocomposeaninformationsystemofhighreliabilityandhighsecuritylevelwithunreliablehardwareismainlydiscussed.Then,basicconceptsaboutmimicdefenseisbrieflystated.Finally,atestevaluationandpreliminaryconclusionaboutthesystemofmimicdefenseverificationispresented.KeywordsCybersecurity;unbalance;unknownbugandbackdoor;mimicdefense;dissimilarredundancy;dynamicallyredundantheterogeneity;testandevaluation1背景正当人们尽情享受信息时代生活和工作乐趣的同时,网络安全问题像幽灵一般成为挥之不去的梦魇。根本原因之一是,网络空间存在泛在化的基于未知漏洞和后门等的不确定性威胁。这使得少数人或团体组织利用少量的资源就能肆意践踏个人乃至公众的隐私权,威胁信息基础设施和公共服务系统安全,危及网络空间秩序和社会稳定。当前,网络空间的基本安全态势是“易攻难守”。1.1网络安全不平衡态势的本源问题首先是未知安全漏洞问题。通常是指,在硬件、软件或协议等的具体实现或系统安全策略上存在的缺陷,从而使攻击者有可能在未经授权下访问或破坏系统。由于人们认知方法与手段的局限性,实践中,设计缺陷或安全漏洞往往难以避免。其次是软硬件后门问题。通常是指留在软硬件系统中的恶意代码,旨在为特殊使用者通过特殊方式绕过安全控制环节而获得系统访问权提供方法与途径。“棱镜门”事件披露了大量的关于后门的黑幕消息,给全球信息技术产品市场带来了极为严重的负面影响。即使在网络安全技术占主导地位,高端信息产品市场占绝对优势的美国,2017年国防授权法案中也提出了“如何保证来自全球化市场、商用等级、非可信源构件的可信性问题”。供应链全球化时代,形成了“你中有我,我中有你,相互依存又互为掣肘”的生态关系。因而,在可以预见的将来,后门问题也是无法杜绝的。排在第三位的是未知漏洞后门或侧信道的发现问题。迄今为止,人类尚未形成穷尽复杂信息系统漏洞和彻查后门的理论与方法。就目前的科技能力来看,网络空间能够查出的漏洞和后门就如同浩瀚宇宙中的一点点尘埃,绝大多数是未被认知的。更为糟糕的是,侧信道带来的安全隐患常常是泛在化的且很难用物理或逻辑的方法彻底消除。在“设计缺陷与不可信的开放式供应链”条件下,无论从技术或经济上都不可能保证网络空间构成环境内“无毒无菌”的理想安全性要求。从“已知的未知”风险防范视角来看,基于未知2JournalofCyberSecurity信息安全学报,2016年10月,第1卷,第4期漏洞或未知后门实施的未知攻击属于“未知的未知”安全威胁,即不确定性威胁,也是网络安全领域最令人惊恐不安、备受煎熬的心理折磨。由于无法适时的了解攻击者采用什么手段、通过何种途径、利用什么缺陷或“内应”,是否已进入目标对象,已经干了什么,正在干什么,未来打算干什么等等一系列不确定性问题,因而也就无从谈起怎样才能实施有效的针对性防御。参照经济学理论[1]的相关说法,已知的未知属于风险,风险可以用概率来表述,而未知的未知属于不确定性,不确定性则是不知道概率的情形。因此,不确定性威胁是造成网络安全不平衡态势难以逆转的核心因素之一。1.2现有防御体系的脆弱性和安全黑洞现有的防御体系是基于威胁特征感知的精确防御,需要获得攻击来源、攻击特征、攻击途径、攻击行为和攻击机制等先验知识作为实施有效防御的基础。因此,它必须建立在“已知风险”或是“已知的未知风险”前提条件上。不幸的是,由于软硬构件中存在未知的漏洞或后门,信息系统和防御体系只能构建在可信性无法保证的运行环境上。从严格意义上说,现有信息系统或防御体系对泛在的不确定性威胁基本上是不设防的,除了加密认证外几乎没有其他实时高效的应对措施。事实上,确保加密认证装置实现上的可信性本身就极富挑战性。如果作为嵌入式装置在非可信环境下使用,很可能存在被“短路”的风险或受到基于“侧信道”原理的各种旁路攻击[2,3]。由于无法保证信息系统或网络空间生态环境的“无漏洞无后门”或者“无毒无菌”,现有的安全防护体系只能期待“后天获得性免疫”。通过不断地亡羊,不停地补牢,不断地挖掘漏洞和发现后门,不停地打补丁,杀毒灭马,封门堵漏等被动的跟随博弈方式来自我完善。但面对不确定性威胁时,被动防御就如同数学上求解缺维方程组,理论上无确定解。所以说,目前网络安全“易攻难守”的不对称态势也是被动防御理论体系和技术的基因缺陷所致。更为严峻的是,网络空间信息系统架构和防御体系本质上说都是“静态的、相似的和确定的”,体系架构透明、处理空间单一,缺乏多样性。软件的遗产继承将导致安全链难以闭合,系统缺陷和脆弱性持续暴露且易于攻击,使之成为了网络空间最大的安全黑洞。2相关概念2.1拟态现象与拟态防御一种生物在色彩、纹理和形状等特征上模拟另一种生物或环境,从而使一方或双方受益的生态适应现象,在生物学中称为拟态现象[4]。按防御行为分类可将其列入基于内生机理的主动防御范畴,我们将其称为“拟态伪装”(MimicGuise,MG)。拟态现象在生物界其实很普遍,诸如竹节虫、枯叶蝶、模拟兰花、树叶虫等林林总总,光怪陆离。尤其是1998年在印尼苏拉威西岛水域发现的条纹章鱼(又名拟态章鱼),算是生物界的拟态伪装大师。据研究表明,它能模拟15种以上海洋生物,可以在珊瑚礁环境和沙质海底完全隐身。在本征功能不变条件下,能以不确定的色彩、纹理、形状和行为变化给掠食者或捕食目标造成认知困境[4]。拟态伪装不能直接作为网络空间主动防御的概念基础。根本原因是,网络空间中大多数信息系统的服务功能和性能是不能被隐匿的,如Web服务、路由交换、文件存储、云计算和数据中心等等。相反,还要尽可能让外界清晰明了其使用方式和功能细节以及考虑使用习惯的延续问题。所以,网络空间的任何主动防御举措都不能影响到目标对象给定服务功能和性能的正常提供。除此之外,其他行为,比如目标对象的系统架构、运行机制、核心算法、异常表现以及可能存在的未知漏洞或后门等等,都可以通过类似拟态伪装的方式进行主动隐匿。那么,除隐匿目标对象服务功能外的拟态伪装就定义为“拟态防御”(MimicDefense,MD)。2.2拟态防御与非相似余度构造根据“给定功能,往往存在多种实现结构”的公理,可靠性领域的异构冗余体制可能满足拟态防御的最低要求。原因是,其异构冗余集合中的任意元素,无论是单独使用还是多个元素的并联或组合使用,可呈现的功能场景都是等价的。异构冗余体制的经典范例就是“非相似余度构造”(DissimilarRedundancyStructure,DRS)[5,6]。如下图所示:图1DRS结构示意邬江兴:网络空间拟态防御研究3其理论基础是“独立开发的装置或模块发生共性设计缺陷导致共模故障的情况属于小概率事件”,工程实现上要保证各功能等价的独立装置中的设计缺陷具有不相互重合的性质。目前,DRS系统的相异性设计主要通过严格的管理手段实现。由不同教育背景和工作经历的人员组成的多个工作组,依托不同的开发环境,根据不同的技术路线,遵循一个共同的功能规范,独立开发多个功能等价的装置。然后,将这些异构等价装置加入到一个具有多模表决机制的容错架构,通过对输出矢量的比较或检测,便可容忍处理可能存在的两种不确定性错误,即软硬件设计潜在缺陷引发的不确定故障和物理机制导致的不确定失效。这说明,原本属于不确定性故障的处理难题可以被DRS架构转换为择多判决的概率问题。尽管理论上不能保证择多结果总是正确的,但却可以证明择多错误的发生概率随DRS余度数增加呈非线性减小。工程实践表明,基于DRS构造的系统能够非线性地提高可靠性等级。如果再借助一定的预清洗或恢复机制,应用系统可以具有非常高的可靠性(例如,美国波音公司的B-777客机飞控系统的失效率就低于10–10,通用动力公司的F-16战斗机飞控系统的失效率也低于10–8)[7]。值得注意的是,上述设计原则与方法不仅对抑制目标系统的共性缺陷和错误有效,而且对管控开发工具和开发环境引入的共性缺陷同样有效。DRS的应用成果证明,异构冗余体制能够有效地检测、定位和隔离“已知的未知”或“未知的未知”故障,还可以显著减少系统验证和确认的时间与费用[7]。2.3DRS架构抗攻击缺陷尽管DRS架构对于不确定性故障具有很好的容错属性,但直接用于应对诸如高级持续威胁(APT)等增量性、持续性、协同性和不确定性高级入侵威胁仍存在以下几方面挑战:1)DRS的基本要求是所有构件、组件有严格的空间独立性,且给定功能交集严格限定。除了等价功能交集,不能存在其他相同的功能交集,这需要极为复杂、代价高昂的相异性设计来保证;2)DRS系统仍然是静态的、确定的,其运作机制也是相似的,理论上具有防御行为的可预测性。攻击者一旦掌握目标对象过程信息或所需的必要资源,就可以从容的造成多数异构体的一致性错误,以实现多模裁决下的逃逸(例如通过侧信道攻击方式实现跨物理域的协同攻击)。更严重的是,一旦攻击成功,其经验具有可继承性,能够准确的复现;3)DRS构造的容错特性是以软硬件故障发生的随机性为前提,通常可以用概率工具来描述。而基于未知漏洞或后门等发起的攻击对防御方来说属于不确定性威胁,不具备可计算性质,也就无法用概率工具进行表达和分析;4)虽然DRS构造同样基于相对不可靠的组件作为冗余体构件,但一般认为可靠性隐患不具有“恶意传播”的性质。因此,并没有强制性的“去协同化”以阻止人为攻击的传播,冗余体间通常存在协同化攻击可利用的互连端口、链路和处理空间等通道或同步机制。总之,一旦攻击者拥有的资源和能力可以覆盖DRS架构的静态环境,理论上就能够实现基于多数冗余体的协同化攻击。3动态异构冗余思想作为一种共同的认知,在诸如DRS等异构冗余体制中导入动态性和随机性可以有效提升其抗攻击性能。首先,该机制在防御方可控或代价可接受条件下,能使系统对攻击者呈现出相当程度上的不确定性,为上节问题(2)提供了强有力的解决手段,也能将问题(3)中人为攻击行动的必然性强制转化为随机性可表述的