擬態防御技術結合軟件多樣化在軟件安全產業中的應用

龐建民，張宇嘉，張錚，鄔江興

（1.中國人民解放軍信息工程大學數學工程與先進計算國家重點實驗室，鄭州450001；2.中國人民解放軍信息工程大學國家數字交換系統工程技術研究中心，鄭州450002）

擬態防御技術結合軟件多樣化在軟件安全產業中的應用

龐建民1，張宇嘉1，張錚1，鄔江興2

（1.中國人民解放軍信息工程大學數學工程與先進計算國家重點實驗室，鄭州450001；2.中國人民解放軍信息工程大學國家數字交換系統工程技術研究中心，鄭州450002）

隨著互聯網的飛速發展，計算機軟件全球化的進程不斷推進。大量相同軟件安裝在數以萬計的計算機中，容易導致黑客利用軟件的漏洞，攻擊安裝了該軟件的所有計算機。傳統的軟件安全措施是依靠對漏洞進行修補，其只能起到亡羊補牢的作用。軟件多樣化技術可以使這種情況得到緩解，但其并沒有從根本上消除漏洞帶來的威脅。本文提出將擬態防御技術與軟件多樣化技術相結合應用于軟件安全產業，可以消除漏洞帶來的威脅。

軟件多樣化；擬態防御；軟件安全產業

DOI 10.15302/J-SSCAE-2016.06.015

一、前言

我國早在“十五”規劃中就明確指出發展信息產業的重要性，信息技術在國家經濟和社會各領域的應用能夠建設一條在信息化帶動下的新型工業化道路。而近期的“十三五”規劃又指出應該著眼于網絡安全和信息化發展，其中提出了要保障國家網絡基礎設施、重要信息系統和數據資源等一系列關乎國家根本利益客體的安全性，提高網絡治理能力，保障國家信息安全。為了解決網絡安全這一國家發展的根本需求，發展規劃中又提出應該在信息保護、信息管理、安全審查和自主可控等關鍵技術能夠有所創新。軟件安全產業作為網絡空間安全產業中的基石和在未來對社會經濟增長、國家發展具有重要推動力的產業，其標志著一個國家戰略方向，同時也是指導國家經濟的風向標，是一個國家在二十一世紀關鍵競爭力之一。在國際軟件安全產業發展過程中，不同的國家采用了不同的發展道路和模式，經濟學中產業發展的相關理論指出，產業的發展模式、模式選擇以及影響因素等都會對未來該產業發展的道路產生深遠影響，因此我國的軟件安全產業的規劃應該探索出一條適合我國的軟件安全產業發展的道路，其直接影響著未來我國軟件產業的興盛。

擬態防御技術在這一關鍵時期提出了以多維重構函數化體系結構與動態多變體運行機制為核心的擬態計算和擬態防御技術體系，其著重于高效能和高安全性計算。擬態防御技術主要針對網絡空間攻擊成本和防御成本的嚴重不對稱性，以及我國信息領域核心技術與產業基礎嚴重滯后、國家安全需求的嚴峻性而提出，它是一種改變游戲規則的變革性技術，力圖扭轉目前網絡空間“易攻難守”的格局。

二、我國軟件產業的安全現狀

（一）軟件產業面臨的安全問題分析

1. 針對軟件漏洞進行攻擊

2016年8月23日，中國互聯網絡信息中心(CNNIC)發布的第38次《中國互聯網絡發展狀況統計報告》顯示，截至2016年6月，中國網民規模達到7.1億，互聯網普及率達到51.7 %，半數中國人已接入互聯網，越來越多的人接觸到網絡[1]。軟件作為互聯網發展的重要載體，已經滲透到人們生活的各個領域，也因此成為破解者攻擊的目標。這就意味著越來越多的人正受到軟件安全的威脅[2]。2015年，丹麥安全公司Secunia的研究團隊對來自263個軟件供應商的2 484款軟件進行漏洞掃描，結果發現總漏洞數量為1 6081個，相比較2014年總量增加了2 %，相比較2010年總量增加了39 %。進一步分析發現，大部分檢測到的漏洞（45.6 %）是不重要的；而中等級別的危險漏洞占比為25.5 %，高危安全漏洞占比為13.3 %，占比為0.5 %極端危險的漏洞。在漏洞分類上，57 %的缺陷是通過遠程網絡訪問方式進行的，35 %是通過本地網絡進行的，還有小部分（8 %）需要攻擊受害人的電腦來觸發缺陷。IEEE729-1983對缺陷有一個標準的定義：從產品內部看，缺陷是軟件產品開發或維護過程中存在的錯誤、不足等各種問題；從產品外部看，缺陷是系統所需要實現某種功能的失效或違背。

2. 針對軟件進行逆向破解

軟件開發人員代碼編寫粗糙和不安全編程是計算機軟件缺陷形成的主要原因。很多軟件開發人員在設計和編寫代碼初期沒有或者較少考慮軟件的安全問題，而軟件交付后用戶的不恰當使用常常容易導致缺陷的出現。在當前開放性架構的計算系統中，用戶可以完全控制自己的系統并且可以更改軟件和進程。有些用戶會試圖分析軟件保護機制，其常是帶有純技術以外的惡意目的。軟件開發者為了保護未授權的軟件拷貝或軟件中的知識產權，通常需要防止軟件被逆向。常用的加密算法，如AES、RSA、ECC，其設計初衷是專為在“可信”的實體之間交換加密的消息。加密和解密的運算在黑箱中進行，黑箱內部是安全的。攻擊者只存在于受信任的實體之間，無法知道加密、解密實體內部的信息和具體實現 。市場上有很多不同的代碼保護技術，這些技術提供防止逆向工程和代碼分析的功能。這些方案不管是否成功和復雜，大多數都無法對抗通用破解。所謂通用破解指的是一旦能夠成功地破解某個軟件實例，那么就可以把類似的破解應用于同樣軟件的所有實例上。這無疑給軟件廠商造成了巨大的損失。通用破解的根本原因是目標軟件的所有拷貝都有同樣的二進制碼，這樣攻擊者就可以成功地開發出通用的破解方案。

（二）解決軟件安全問題的意義

從需求層面看，隨著愈演愈烈的各種信息泄密、大量的APT（高級持續性威脅）攻擊等事件發生，很多企業對信息安全的認識已經從“被動的防御”變成“主動的核心競爭力塑造”，尤其是新型的互聯網金融、電商、云計算等都前瞻性地把安全當做市場競爭的重要砝碼并尋求各種方法來不斷提升其安全性。

軟件產業不但自身能形成龐大規模，拉升國民經濟指數，還能大幅度提高國家整體經濟運行效率。隨著信息經濟的深入發展，軟件產業將會成為衡量一個國家綜合國力的標志之一。軟件安全產業作為保障國家順利發展的基石，從軟件產業對其他行業的輻射拉動效應層面上看，發展軟件安全產業的意義不僅在于軟件產業發展，而且對傳統制造業也有相同的輻射作用，對整個社會經濟都具有很大的拉動作用。

三、軟件安全問題的解決措施

（一）軟件的自主可控

人們在考慮軟件安全問題時往往只考慮其外部防護措施，例如防火墻、入侵檢測和防病毒軟件等，但對于軟件自身存在的后門和漏洞，以上的安全措施可能完全無效。信息安全的本質是自主可控[3]，應該高度重視信息系統本身軟硬件的安全問題，尤其是基礎軟硬件、核心設備等更是影響重大。自主可控主張如果能用國產軟件就應該用國產的，但是國產化并不等于安全。信息安全的特殊性是一定存在一個“第三方”，即威脅方，他不是一成不變的。而且我國在軟件產業發展的道路上與發達國家還存在一定距離，在IT領域有很多關鍵技術以及零部件往往受制于國外，在軟件開發的質量和效率上還有很長的路要走，因此，實現完全的自主可控在中國還存在一定困難。

（二）軟件多樣化

Cohen早在1993年就指出軟件的一元化會對計算機安全帶來潛在的威脅[4]。攻擊者通過利用軟件漏洞輕易地對部署了該軟件的所有計算機進行攻擊。軟件多樣化是指同一個軟件的多個實例有不同的可執行二進制代碼。其最早的應用是用于某些重要領域系統容錯機制的實現，利用由多個可選版本程序來組成多樣化系統。很明顯軟件多樣化較單版本程序擁有更高的可靠性和安全性。多個可選版本程序的差別對于終端用戶是透明的，其具有完全相同的功能，僅在功能的實現上有細微的差別。對于黑客來說，每個實例具有同樣的功能，但它們具有不同的二進制代碼以及運行流程。軟件多樣化可以防止黑客把從某個實例獲得的信息應用于其他實例，這樣黑客就很難開發出對整個軟件所有實例都適用的通用漏洞利用和破解方案，每個軟件實例必須要單獨攻擊或破解。軟件多樣化是應對通用攻擊和破解的一個十分有效的技術。它能夠大大增加對被保護的應用軟件的攻擊難度和破解所花費的時間。極端狀況下，攻擊者甚至必須要對每個客戶端的二進制代碼進行單獨分析。軟件多樣化對于防止在開放環境下大量分發并安裝的軟件被攻擊和破解是十分有效的手段。軟件多樣化的實現有很多方法，如利用不同編程語言（C/JAVA/Python/Object-C）的多版本編程、基于編譯器的軟件多樣化和軟件二進制代碼重寫等。

雖然軟件多樣化在一定程度上提高了攻擊者對軟件進行攻擊和破解的門檻，但同時也增加了軟件開發和維護的難度，且成本昂貴。對大規模部署的軟件實施軟件多樣化，將使軟件的維護更加復雜。

（三）擬態防御技術

雖然軟件多樣化在一定程度上增大了針對軟件漏洞攻擊與利用的難度，但并沒有完全消除威脅,為了使系統達到更高的安全性和可靠性，不僅需要對軟件采用各種不同的多樣化手段，并且需要引入投票機制（大數表決機制）以產生相較于多版本程序集中單個執行體更加可靠的輸出。在此基礎上提出的擬態防御思想[5]，其核心就是基于多樣化（異構性）的表決機制，其中必要的多樣化可以包括軟件和硬件等多個構件。

基于擬態防御技術的軟件保護，不依賴于自身的保密性，而是通過軟件多樣化方法對待保護軟件構造一個含有多個異構變體的集合，常用的方法是利用多樣化編譯生成變體集合。基于編譯器的多樣化技術，例如等價指令替換、控制流混淆和花指令插入等都在不同程度上改變了程序的目標代碼，添加了新的無關指令或改變現存的控制流方向[6]。圖1展示了依賴于多樣化編譯器的功能等價多變體的生成過程。對程序的所有輸入將會被復制并分發給所有異構變體。多變體的異構性特征和與之采用的多樣化技術相關，當攻擊特征與變體異構性特征相重合時，攻擊產生的輸出在不同變體上將會不同，通過比較變體的所有輸出并對其進行表決，可以防御針對該異構特征的攻擊，并能夠識別出受到攻擊的變體。基于擬態防御的設計框架見圖2，變體A、B、C分別由多樣化編譯器針對同一軟件源碼編譯生成。

從擬態防御的設計框架很容易看出，其將原本只需要一個程序執行的工作同時交給了三個變體，這樣的設計框架帶來的優點如下[7]：

（1）利用多樣化的安全機制，擾亂或阻斷攻擊鏈，增加攻擊難度。

（2）允許一定程度地使用“帶毒含菌”的軟件構件，并能夠做到安全風險可控。

（3）軟件運行機制的組合應用可以構成相當大的動態空間，以有效降低利用漏洞和后門進行攻擊的可靠性。

（4）冗余獲得的高可靠性，擬態計算架構固有的冗余性，使擬態安全防御系統具有內在的可靠性。

（5）能夠形成共生協同、N變體、等效多變體、異構環境遷移等特殊的運行機制， 可以為 “容毒”運行和及時發現、抑制、阻斷、清除木馬及病毒提供創新方法空間。

圖1 功能等價多變體的生成過程

圖2 基于擬態防御的設計框架

四、結語

在網絡空間安全形勢和全球化背景下，國與國之間的產業合作日益緊密，而競爭也更加激烈。軟件產業不僅在規模、創新性上有了更大的發展機遇和挑戰，同時也面臨著日趨復雜的安全性問題。解決軟件安全不僅要綜合利用已有安全技術，更需要理論創新的指導和技術創新的支持。新一代軟件體系需要配合國家安全戰略，一方面關注研發自主可控的軟件體系；另一方面利用擬態防御等安全架構，實現基于非可信組件的可信系統，從各個環節實現軟件安全發展。

擬態防御技術作為“網絡空間再平衡戰略”的有力抓手，能夠為軟件安全提供架構技術，解決軟件安全面臨的漏洞攻擊和破解問題。在當今國內外軟件安全產業市場份額不對等、安全地位不對稱的情況下，擬態防御技術為解決組件級安全問題提供了一種新的解決思路，即通過安全架構技術解決軟件內存在的漏洞和后門，尤其是未知漏洞和后門，在一定程度上，緩解了軟件產業中由于技術劣勢帶來的軟件安全威脅。另外，擬態防御技術是我國首次提出的主動防御技術之一，技術本身的自主可控為軟件產業的安全問題提供了普適的解決方案，為解決信息系統軟件安全問題提供了技術支撐，為推進國家安全戰略部署提供了有利條件。

[1]中國互聯網絡信息中心. 第38次中國互聯網絡發展狀況統計報告 [EB/OL]. (2016-08-03)[2016-10-08]. http://www.cnnic.net.cn/ hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm. China Internet Network Information Center. The 38th statistical report on internet development in China [EB/OL]. (2016-08-03) [2016-10-08]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm.

[2]Symantec Corporation. Internet security threat report 2016 [R/ OL]. (2016-04-01) [2016-10-08]. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf.

[3]倪光南. 信息安全“本質”是自主可控[J]. 中國經濟和信息化, 2013(5):18-19. Ni G N. The Nature of information security: Autonomous and controllable [J]. China Economy & Informatization, 2013(5):18-19.

[4]Cohen F B. Operating system protection through program evolu-tion [J]. Computers & Security, 1993, 12(6): 565-584.

[5]鄔江興. 專題導讀——擬態計算與擬態安全防御的原意和愿景[J]. 電信科學, 2014, 30(7): 1-7. Wu J X. Meaning and vision of mimic computing and mimic security defense [J]. Telecommunications Science, 2014, 30(7): 1-7.

[6]Jackson T, Salamat B, Homescu A, et al. Compiler-generated software diversity[M]//Jajodia S, Ghosh A K, Swarup V, et al. Moving Target Defense. New York: Springer, 2011: 77-98.

[7]鄔江興. 網絡空間擬態安全防御[J]. 保密科學技術, 2014, 10(1): 4-9. Wu J X. Mimic security defense in cyber space [J]. Secrecy Science and Technology, 2014, 10(1): 4-9.

Applying a Combination of Mimic Defense and Software Diversity in the Software Security Industry

Pang Jianmin1, Zhang Yujia1, Zhang Zheng1, Wu Jiangxing2
(1. State Key Laboratory of Mathematical Engineering and Advanced Computing, The PLA Information Engineering University, Zhengzhou 450001, China; 2. National Digital Switching System Engineering & Technological R&D Center, The PLA Information Engineering University, Zhengzhou 450002, China)

With the development of the Internet, the process of computer software globalization continues to push forward. For widely used software, anidentical binary code is installed on millions of computers; sometimes even hundreds of millions. This makes widespread exploitation easy and attractive for an attacker because the same attack vector is likely to succeed on a large number of targets. Traditional software security methods can only counter the threat temporarily, and cannot eliminate essential vulnerabilities. This paper proposes a scheme of combining software diversity with mimic defense in the software security industry.

software diversity; mimic defense; software security product

TN915

A

2016-10-08；

2016-10-28

龐建民，中國人民解放軍信息工程大學數學工程與先進計算國家重點實驗室，教授，博士生導師，主要研究領域為邏輯與推理、信息安全；E-mail: jianmin_pang@hotmail.com

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn