擬態防御技術

羅興國，仝青，張錚，鄔江興

（1.中國人民解放軍信息工程大學國家數字交換系統工程技術研究中心，鄭州 450002；2.中國人民解放軍信息工程大學數學工程與先進計算國家重點實驗室，鄭州 450001）

擬態防御技術

羅興國1，仝青2，張錚2，鄔江興1

（1.中國人民解放軍信息工程大學國家數字交換系統工程技術研究中心，鄭州 450002；2.中國人民解放軍信息工程大學數學工程與先進計算國家重點實驗室，鄭州 450001）

網絡空間安全處于易攻難守的非平衡態勢，主動防御技術作為網絡空間防御技術的新星，其研究熱度不斷提高。本文以入侵容忍技術和移動目標防御技術為主線概括了主動防御技術的發展，并介紹了擬態防御技術理論、工程實踐以及測試情況。通過分析對比擬態防御和入侵容忍、移動目標的異同，提出網絡安全再平衡戰略的研究重點和方向，為國家網絡空間安全發展提供借鑒和參考。

擬態防御；主動防御技術；網絡安全再平衡

DOI 10.15302/J-SSCAE-2016.06.014

一、網絡空間安全態勢

隨著社會信息化和全球網絡化進程的推進，國家安全和政治、經濟、社會發展對網絡空間的依賴程度日益加劇，使得網絡空間成為當今社會功能和社會活動的重要支撐。然而，網絡空間的廣泛脆弱性使世界各國都面臨著前所未有的國家安全威脅形勢。網絡犯罪、網絡恐怖主義、黑客攻擊以及網絡戰對國家安全的威脅凸顯，迫使各國將網絡空間安全提升至國家安全的戰略高度，強調網絡空間對于國家利益和國家安全具有非常重要的地位和意義，開始將網絡空間視為陸、海、空、天之后的“第五空間”。

目前，網絡空間攻防態勢基本上處于“易攻難守”狀態，這就造成了攻擊和防御在諸多方面的不對稱。網絡空間信息系統在設計鏈、生產鏈、供應鏈及服務鏈等環節存在可信度或安全風險不受控的情形，使得任何國家或組織都無法從根本上消除信息系統或網絡基礎設施的安全漏洞，而攻擊者只需發現并成功利用其中的一個漏洞，就可能給系統帶來難以預估的安全風險。

盡管大部分防御技術與防御產品，如防火墻、防病毒軟件、基于特征的入侵檢測技術等得到了廣泛使用，然而這些技術是以阻擋和檢測為主要手段，具有一定的被動性和滯后性[1]，屬于靜態的被動防御方法，尤其難以很好地應對未知漏洞和后門的威脅，存在防御缺陷。

在被動防御技術難以應對未知漏洞、后門問題的困境下，主動防御技術逐步發展并成為研究的焦點。主動防御是指能夠在攻擊的具體方法和步驟被防御者知悉之前實現防御部署，有效抵抗未知攻擊的破壞的防御技術。相對于被動防御技術，主動防御能夠降低攻擊對系統的破壞性，最大程度防范攻擊的發生或進行，尤其是針對未知的攻擊，能夠實施更加主動的、前攝的防御。典型的主動防御技術，有入侵容忍、移動目標、擬態防御等。其中擬態防御作為我國新興的主動防御技術，其優勢在工程實踐與應用中得到了較好的實現和驗證，在網絡空間安全防御中具有可觀的發展前景，有望成為“網絡空間再平衡戰略”的有力抓手。

二、主動防御發展歷程

網絡空間主動防御技術是相對于傳統防御技術提出的，強調系統在受到攻擊前能夠主動發現、應對隨時可能發生的攻擊。傳統的防御手段如入侵檢測、病毒檢測、防火墻等方法往往是在攻擊發生以后，通過分析攻擊行為特征、病毒代碼等提出針對性的防御措施，并輔以沙箱、蜜罐等手段捕捉攻擊行為，通過打補丁、軟件升級等方式試圖減少軟硬件漏洞[2]。然而這些手段難以從根本上消除漏洞，也不能很好地應對未知漏洞和后門的威脅，屬于滯后的防御手段。主動防御技術目標通常是構造安全的系統架構或運行方式，盡可能從根本上增大攻擊的難度，降低攻擊成功的概率，對廣義上的攻擊行為進行有效的遏制，從而實現系統的安全。因而，主動防御技術在新型的、未知的攻擊行為面前具有較強的抵抗性，是網絡安全領域的研究熱點之一。

主動防御技術的早期形態以入侵容忍技術為主。入侵容忍技術是由容錯技術發展而來的。容錯技術最初針對的是計算機系統尤其是分布式系統的計算結果一致性問題而提出的。20世紀80年代，容錯技術開始應用于惡意漏洞的防御，由“容錯”發展為“容侵”，由此產生“入侵容忍”的概念[3]。入侵容忍借用容錯技術來達到容侵、保持系統可生存性和彈性的目的，是當時主流的信息系統安全技術之一。基于入侵容忍技術產生的系統被稱作入侵容忍系統（ITS）。入侵容忍系統沒有明確的和廣泛采用的定義，但可概括為：即使在面臨部分組件被成功攻擊時，仍然可以持續正確地工作且向用戶提供預期的服務的系統[4～7]。

入侵容忍系統的實現基本分為三種類型：檢測觸發型、算法驅動型和混合型。檢測觸發型的入侵容忍系統主要通過入侵檢測發現入侵行為，繼而觸發系統的恢復操作以清除入侵，達到入侵容忍的目的。算法驅動型的入侵容忍系統多通過大數表決及其衍生算法和拜占庭表決算法掩蓋部分組件的失效或故障。也存在兩種類型混合的入侵容忍系統，如SITAR，既進行表決，也對系統的內部錯誤進行檢測。

入侵容忍的共同目標是保證系統的可用性和彈性，即當系統受到破壞時能夠繼續維持正常服務或在最短時間內切換服務器使服務持續，盡可能減少平均故障時間。由于入侵容忍技術在主動防御概念之前出現，在防御思路上已經具備了主動防御的特點，同時受限于當時網絡威脅的特點，在入侵容忍系統的設計思路上具有一定的局限性，而入侵容忍的提出和豐富的設計方案為主動防御技術的發展提供了研究起點和基礎。

由于冗余代價較高，入侵容忍技術研究在維持了20年左右的時間后，逐漸沒落。為破解網絡防御困局，以美國為首的部分國家積極轉變防御理念，以主動防范未知漏洞或威脅為目標，以大幅度增加網絡攻擊風險和代價為手段，著力增強網絡防御的靈活適應性與動態自主性，大力探索主動防御新技術，以理論和技術的革命性創新確保美國在網絡攻防領域的壓倒性優勢，并制定了一系列的戰略規劃、計劃和綱領性文件，開展頂層設計。移動目標防御技術應運而生，2011年美國科學技術委員會發布了《可信網絡空間：聯邦網絡空間安全研發戰略規劃》，將“移動目標防御（MTD）”確定為“改變游戲規則”的革命性防御技術[8]，并制定了由聯邦政府、產業和學術機構共同參與的網絡安全研發框架，保障研發規劃的落實。

在美國的帶動和刺激下，俄、英、法、印、日、德、韓等國紛紛跟進，將網絡空間安全提升至國家戰略層面，全面推進相關制度創設、力量創建和技術創新，試圖在塑造全球網絡空間新格局進程中搶占有利位置。以“主動變化、增加攻擊者攻擊難度”為典型特征的主動防御技術成為了網絡防御技術發展方向。

移動目標防御旨在設計能夠在非安全環境中可靠工作的彈性系統，其技術愿景是在多個不同的系統維度上，開發、分析和部署防御者可控的、隨時間動態遷移和變化的機制和策略，以限制自身脆弱性的暴露，降低被攻擊的機會，同時大幅增加攻擊者的成本[9]。移動目標防御技術在網絡層、平臺層、運行環境、軟件層和數據層都具有應用場景，共同的特點是通過動態地改變系統的配置、組成或狀態，使系統具有動態性、隨機性、難以預測性，從而使攻擊者難以發現攻擊目標，或難以針對目標的漏洞實施有效的攻擊。

移動目標防御改變了長久以來的靜態設計，提出增加動態性以提高安全性，是主動防御的重要理念之一。移動目標防御技術的提出在很大程度上提升了主動防御技術的研究熱度。

三、擬態防御理論與實踐

近年來，伴隨著多起震驚世界的網絡安全事件的曝光，全球各國對網絡空間安全的重視程度不斷提高。在國家級網絡空間安全戰略的引領下，擬態防御針對網絡空間未知漏洞和后門問題，提出采用“有毒帶菌”組件和“沙灘建樓”方法構建由內生防御機理保證的風險可控、安全可信的系統[2]。

擬態防御技術以功能等價條件下的變結構擬態計算為基礎，以高可靠的非相似余度“容錯”模式為基本架構，以非配合條件下的多模裁決為核心機制，并以在裝置的服務功能與其外在的結構表征之間導入不確定性關系為重點，利用動態異構冗余構造的控制調度管理環節引入復合調度策略，利用動態異構冗余構造的可重構、可重組、可重建、可重定義和虛擬化等構造方法，增強功能等價條件下裝置結構表征的不確定性并擾亂攻擊者的信息鏈，使攻擊者探測感知或預測防御行為與特征的難度呈非線性增加，使攻擊成果的有效利用轉化為極小概率事件。

目前，擬態防御技術已在路由器和web服務器上進行了原理實踐和驗證，相關的產品化工作和其他原理驗證研究也在同步開展中。

2016年1月至6月，受國家科技部委托，上海市科委組織國家信息技術安全研究中心等9家權威檢測單位，組成聯合測試團隊對擬態防御原理驗證系統開展了測試驗證工作。

測評對象為兩種應用場下的擬態防御原理驗證系統，一種是屬于信息通信網絡基礎設施范疇的擬態路由器或交換機原理驗證系統，另一種是屬于網絡信息服務范疇的擬態web服務器原理驗證系統。為了檢驗擬態系統的內生防御機理，測試程序規定評測對象不得安裝任何防護工具，測試過程中不能進行任何形式的漏洞修補或后門封堵等增量開發，也不能使用諸如防護墻、加密認證等安全手段。

測試采取了包括使用黑盒測試、白盒測試、滲透測試、對比測試等在內的多種測試方法和手段，也包括預置后門和配合注入病毒木馬等方式，測試驗證以下五個方面的問題。

（1）擬態防御系統能否隱匿擬態界內的未知漏洞和后門。

（2）攻擊方能否利用擬態界內未知漏洞注入未知病毒木馬。

（3）防御方能否有效抑制擬態界內基于未知因素的協同攻擊。

（4）能否允許擬態界內使用“不可信、不可控”的軟硬構件。

（5）擬態界內運行環境能否允許“有毒帶菌”。

測試中共完成了13類、113項、204例驗證測試。所有測試驗證都是在保證目標對象服務功能和性能前提下進行的，驗證測試結果與理論預期完全吻合。測試結果和分析評估結果表明受測系統是擬態防御理論與方法的成功實踐，同時也驗證了擬態防御原理的正確性和可行性，進一步說明應用系統工程思想能夠在理論和實踐上解決網絡空間安全防御的難題。

擬態防御是一種內生的安全架構技術，對架構內的未知漏洞、陷門、后門甚至一些未知的病毒和木馬具有自然免疫力，與現有的被動防御手段的有效融合可以形成對抗網絡空間已知或未知攻擊的能力。但擬態防御并不企圖一勞永逸地解決網絡空間的所有安全問題，也不奢望獨立地構建任何安全防護體系，不排除融合已被證明具有安全效果的任何防御體系和技術手段，更不阻礙接納未來可能出現的新安全技術或方法。總之，擬態防御對現有網絡空間安全防御體制具有互補性，在技術上具有融合性，在產品上具有自主可控性。

四、主動防御優勢與挑戰

擬態防御、入侵容忍和移動目標同屬于主動防御技術范疇，而這三種技術在提出背景、實現方法、技術愿景等方面不盡相同。

入侵容忍以維持系統可用性為主要目的，使系統具有較強的生存能力和恢復能力，從而減少平均故障時間，提高系統可生存性，保證了服務、數據等的可靠性。然而入侵容忍對于性價比的研究和探索較少，直觀上看，冗余和表決將帶來較高的資源成本和時延，因而性價比問題可能是導致入侵容忍技術沒落的主要原因。

移動目標防御能夠提高攻擊門檻，對攻擊目標起到一定的隱蔽作用。由于攻擊行為一般具有較強的針對性，因而，通過動態變化使系統靜態性減弱，能夠使攻擊者難以定位攻擊目標，從而起到一定的隱蔽作用，增大了攻擊發起的難度。然而，要保持動態性和有效的防御，需要系統具有較高的變化頻率，可能會對系統的性能造成一定的損失，性能和變化頻率的折衷將是移動目標防御研究的重點之一。另一方面，多樣呈現的系統在特定時刻下仍是單一性質的系統，可能會給攻擊者提供更大的攻擊面和更多的攻擊目標，對系統的防御起到反作用。

擬態防御能夠擾亂攻擊者與被攻擊對象的信息鏈，擾亂攻擊者的判斷，從而造成攻擊發起難、持續難、再現難。擬態防御既能夠維持可用性，同時也能夠對被攻擊目標起到隱蔽作用。與移動目標的隱蔽原理不同，擬態防御通過表決輸出的方式“中和”或掩蓋被攻擊目標的輸出，從而對外表現為無異常或攻擊無效，擾亂攻擊者對攻擊成敗和效果的判斷。相比入侵容忍技術，擬態防御在防御目的上更傾向于對安全性整體的防護而不僅僅是可用性。擬態防御的技術組合具有調優的潛力，能夠用相對較少的資源開銷實現相對較高的防御能力，具有較好的發展前景。

入侵容忍和移動目標防御技術的研究和應用集中在以美國為主的發達國家，在這兩項主動防御技術的研究中，我國雖然加緊跟進，卻始終處于滯后地位。擬態防御作為我國自主提出的網絡空間主動防御技術，在網絡空間安全的重要性不斷被提升的形勢下，需把握先機，加快推進，打造我國自主可控的防御策略體系，構建主動防御堡壘，打破網絡安全在攻防博弈、大國博弈的不平衡態勢，為重構我國網絡空間安全地位提供支撐。

五、網絡安全再平衡戰略

擬態防御技術作為我國新興的主動防御技術，能夠在“軟硬構件供應鏈不可控、不可信”的前提下，支撐全球化時代網絡安全與信息化“一體兩翼，雙輪驅動”發展目標的實現，有助于消除網絡安全與信息化融合領域給全球自由貿易造成的有形或無形壁壘，使得基于未知漏洞、后門、病毒木馬等攻擊失去威脅和震懾作用，顯著增加攻擊代價，創造網絡信息領域新需求，促進功能等價異構多元化市場的繁榮，同時不再只是排他性競爭。擬態防御為國家級信息系統自主可控發展戰略提供了一條新思路。需要綜合利用國家資源優勢，加快推進擬態防御應用推廣，為網絡安全再平衡戰略提供有力抓手。

（一）應用推廣

在擬態防御前期原理驗證系統的研制和測試基礎上，進一步研制擬態路由器或交換機、擬態web服務器、擬態文件或數據存儲系統、擬態防火墻或網關等可產品化的軟硬件技術成果。

作為戰略性任務，需動員全社會力量發展完善擬態防御相關理論與方法，進一步提煉優化關鍵技術，推進技術的創新與融合，為擬態防御的產品化、定制化發展提供完備的理論體系和技術體系保障。

擬態防御作為普適性原理和方法，應發動相關行業技術力量結合本領域特點，研究定制化的實現技術，開展擬態防御產品試驗示范應用，推動擬態防御產品在各行業領域的應用，促進擬態防御技術的產業化。

（二）標準制定

擬態防御研究團隊有責任、有義務以擬態防御技術為出發點，制定出擬態防御技術乃至主動防御技術相關的指標體系和測試規范，編制完成滿足擬態防御設備或系統認證評估要求的分級指標體系，形成國家標準和行業規范，為擬態防御技術的完善和主動防御技術的發展添磚加瓦。

（三）政策策略

在政策與策略研究上，應著力發揮技術領跑優勢，快速搶占產業和市場先機，盡快形成網絡空間新型防御能力，為網絡安全與信息化融合領域釋放出“網絡安全再平衡戰略”所需的創新活力與動力。

[1]Kenkre P S, Pai A, Colaco L. Real time intrusion detection and prevention system[C]//Satapathy S C, Biswal B N, Udgata S K, et al. Proceedings of the 3rd international conference on frontiers of intelligent computing: Theory and applications (FICTA)2014. Switzerland: Springer International Publishing, 2015 (1): 405-411.

[2]Wu J X. Mimic security defense in cyber space [J]. Secrecy Science and Technology, 2014, 10(1): 4-9.

[3]Powell D, Stroud R. Project IST-1999-11583 malicious- and accidental-fault tolerance for internet applications: Conceptual model and architecture of MAFTIA [R]. Newcastle: University of Newcastle upon Tyne, 2003.

[4]Jajodia S, Ghosh A K, Swarup V, et al. Moving target defense: Creating asymmetric uncertainty for cyber threats [M]. New York: Springer, 2011.

[5]Gupta V, Lam V, Ramasamy HG V, et al. Dependability and performance evaluation of intrusion-tolerant server architectures [M]. Berlin: Springer, 2003.

[6]Wang F, Jou F, Gong F, et al. SITAR: A scalable intrusion-tolerant architecture for distributed services [C]// Proceedings of the 2001 IEEE— Workshop on information assurance and security. New York: United States Military Academy, 2003.

[7]Malkhi D, Reiter M. Byzantine quorum systems [J]. Distributed Computing, 1998, 11(4): 203-213.

[8]Kewley D L, Bouchard J F. DARPA information assurance program dynamic defense experiment summary [J]. IEEE Transactions on Systems, Man, and Cybernetics. Part A, Systems and Humans, 2001, 31(4): 331-336.

[9]Okhravi H, Hobson T, Bigelow D, et al. Finding focus in the blur of moving-target techniques [J]. IEEE Security & Privacy, 2014, 12(2): 16-26.

Mimic Defense Technology

Luo Xingguo1, Tong Qing2, Zhang Zheng2, Wu Jiangxing1
(1. National Digital Switching System Engineering & Technological R&D Center, The PLA Information Engineering University, Zhengzhou 450002, China; 2. State Key Laboratory of Mathematical Engineering and Advanced Computing, The PLA Information Engineering University, Zhengzhou 450001, China)

Cybersecurity is in an unbalanced situation: It is easy to attack cybersecurity but difficult to defend it. Active defense technology is a new direction in cybersecurity research that has attracted more and more attention. This paper summarizes the development of active defense via the introduction of intrusion tolerance technology and moving target defense technology. We then introduce the theory, implementation, and testing of mimic defense. By comparing mimic defense with intrusion tolerance and moving target defense, we propose a research direction and a key point in the cybersecurity rebalancing strategy in order to provide a reference for the development of national cybersecurity.

mimic defense; active defense technology; cybersecurity rebalance

TN915

A

2016-10-10；

2016-10-25

羅興國，中國人民解放軍信息工程大學國家數字交換系統工程技術研究中心，教授，博士生導師，主要研究領域為信息通信網絡、網絡安全；E-mail: lxg@ndsc.com.cn

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn