网络安全拟态防御技术
一. 拟态防御
拟态现象(Mimic Phenomenon, MP)是指一种生物如果能够在色彩、纹理和形状等特征上模拟另一种生物或环境,从而使一方或双方受益的生态适应现象。按防御行为分类可将其列入基于内生机理的主动防御范畴,又可称之为拟态伪装(Mimic Guise, MG)。如果这种伪装不仅限于色彩、纹理和形状上,而且在行为和形态上也能模拟另一种生物或环境的拟态伪装,我们称之为“拟态防御”(Mimic Defense, MD)。
研究者发现,将这种主动防御方式引入到网络空间中,能够解决网络空间安全问题,尤其是面对当前最大的安全威胁——未知漏洞后门,病毒木马等不确定威胁时,具有显著效果,克服了传统安全方法的诸多问题,网络空间拟态防御(Cyberspace Mimic Defense,CMD)理论应运而生。
二. 应用背景
目前,网络空间的安全现状是“易攻难守”,基本原因是以下两个方面:
当前网络空间存在“未知的未知威胁”或称之为不确定威胁。此类威胁通常基于信息系统软硬构件中的漏洞,或者在全球化时代产业链中蓄意植入软硬件后门实施人为攻击。以人类目前的科技水平和认知能力,尚无法从理论层面对给定的复杂信息系统做出无漏洞、无后门的科学判定,也无法从工程层面彻底避免设计缺陷或完全杜绝后门,这使得基于防御方未知漏洞后门或病毒木马等实施的攻击成为网络空间最大的安全威胁。
网络空间现有防御体系是基于威胁特征感知的精确防御。建立在“已知风险”或者是“已知的未知风险”前提条件上,需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑,在防御机理上属于“后天获得性免疫”,通常需要加密或认证功能作为“底线防御”。显然,在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性。尤其在系统软硬构件可信性不能确保的生态环境中,对于不确定威胁除了“亡羊补牢”外几乎没有任何实时高效的应对措施,也不能绝对保证加密认证环节或功能不被蓄意旁路或短路。此外,现有信息系统架构的静态性、相似性和确定性也给攻击者提供了目标识别、防御行为探测、攻击技术试验完善和打击效果评估等诸多便利。同时,绝大多数信息系统都沿用单一处理空间资源共享运行机制,入侵者只要能进入这个空间就可能通过资源共享机制实现所期望的操作,这也是诸多网络攻击理论的重要基础条件之一,包括时下突破“物理隔离网络”用到的“侧信道”攻击原理。于是,信息系统架构与机制的确定性、被动防御体制的脆弱性和缺乏主动免疫机制等关键要害问题共同构成了网络空间最大的安全黑洞。
网络空间拟态防御理论,就是要打破传统信息系统和防御方法的思想“桎梏”,从根本上清理漏洞后门和病毒木马充斥的恶劣网络环境。
三. 基本思想
类似于生物界的拟态防御,在网络空间防御领域,在目标对象给定服务功能和性能不变前提下,其内部架构、冗余资源、运行机制、核心算法、异常表现等环境因素,以及可能附着其上的未知漏洞后门或木马病毒等都可以做策略性的时空变化,从而对攻击者呈现出“似是而非”的场景,以此扰乱攻击链的构造和生效过程,使攻击成功的代价倍增。
CMD 在技术上以融合多种主动防御要素为宗旨:以异构性、多样或多元性改变目标系统的相似性、单一性;以动态性、随机性改变目标系统的静态性、确定性;以异构冗余多模裁决机制识别和屏蔽未知缺陷与未明威胁;以高可靠性架构增强目标系统服务功能的柔韧性或弹性;以系统的视在不确定属性防御或拒止针对目标系统的不确定性威胁。
以目前的研究进展,研究者是基于动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)架构一体化技术架构集约化地实现上述目标的。
四. 有效范围
拟态防御的应用,同样存在有效范围,我们将其称之为拟态防御界(Mimic Defense Boundary, MDB),简称拟态界。
从技术细节上讲 ,拟态界内部包含若干组定义规范、协议严谨的服务(操作)功能。通过这些标准化协议或规范的一致性或符合性测试,可判定多个异构(复杂度不限的)执行体在给定服务(操作)功能上甚至性能上的等价性。即通过拟态界面的输入输出关系的一致性测试可以研判功能执行体间的等价性,包括给定的异常处理功能或性能的一致性。拟态界面所定义功能的完整性、有效性和安全性是拟态防御有效性的前提条件,界面未明确定义的功能(操作)不属于拟态防御的范围(但也可能存在衍生的保护效应)。换句话说,如果攻击行动未能使拟态界上的输出矢量表现不一致时,拟态防御机制不会做出任何反应。因此,合理设置、划分或选择拟态防御界在工程实现上是非常关键的步骤。
需要特别强调的是,拟态界外的安全问题不属于拟态防御的范围。例如,由钓鱼、在服务软件中捆绑恶意功能、在跨平台解释执行文件中推送木马病毒代码、通过用户下载行为携带有毒软件等不依赖拟态界内未知漏洞或后门等因素而引发的安全威胁,拟态防御效果不确定。
如果一次攻击成功突破了拟态界,我们就称其发生了拟态逃逸(Mimic Escape, ME)。值得一提的是,在CMD 系统中,一次拟态逃逸行为并不意味者攻击成功,与动态目标防御类似,CMD系统的动态性能够“阻断”甚至“完全破坏”攻击链,导致攻击失败。
五. 拟态防御等级
(1) 完全屏蔽级
如果给定的拟态防御界内受到来自外部的入侵或“内鬼”的攻击,所保护的功能、服务或信息未受到任何影响,并且攻击者无法对攻击的有效性作出任何评估,犹如落入“信息黑洞”,称为完全屏蔽级,属于拟态防御的最高级别。
(2) 不可维持级
给定的拟态防御界内如果受到来自内外部的攻击,所保护的功能或信息可能会出现概率不确定、持续时间不确定的“先错后更正”或自愈情形。对攻击者来说,即使达成突破也难以维持或保持攻击效果,或者不能为后续攻击操作给出任何有意义的铺垫,称为不可维持级。
(3) 难以重现级
给定的拟态防御界内如果受到来自内外部的攻击,所保护的功能或信息可能会出现不超过t时段的“失控情形”,但是重复这样的攻击却很难再现完全相同的情景。换句话说,相对攻击者而言,达成突破的攻击场景或经验不具备可继承性,缺乏时间维度上可规划利用的价值,称为难以重现级。
(4) 等级划定原则
可以根据不同应用场景对安全性与实现代价的综合需求定义更多的防御等级,在安全性上需要重点考虑以下四方面因素:给攻击行动造成的不同程度的不确定性则是拟态防御的核心;不可感知性使得攻击者在攻击链的各个阶段都无法获得防御方的有效信息;不可保持性使得攻击链失去可利用的稳定性;不可再现性使得基于探测或攻击积淀的经验,难以作为先验知识在后续攻击任务中加以利用等。
六. 计算与防御
拟态计算,能根据不同任务、不同时段、不同负载情况、不同效能要求、不同资源占用状况等条件或参数,动态的选择构成与之相适应的解算环境,以基于主动认知的动态变结构计算提升系统的处理效能。
拟态防御,则充分挖掘了变结构计算中机理上的内生抗攻击属性。由于具有动态性和随机性的外在表象,在攻击者眼里,拟态计算系统似乎以规律不定的方式在多样化环境间实施基于时空维度上的主动跳变或快速迁移,表现出很强的动态性、异构性、随机性等不确定性特点,难以观察和作出预测,从而增大了构建基于漏洞和后门等的攻击链难度与代价。
总之,拟态计算和拟态防御本质上都是一种功能等价条件下的变结构计算和处理架构,拟态计算通过变结构计算来提高处理效能,拟态防御通过变结构计算那来提供主动防御能力。