擬態防御：讓黑客找不到破門之機

物聯網時代，萬物互聯，使得網絡安全形勢愈發嚴峻。雖然防護措施不斷更新迭代，卻依舊無法對抗黑客，癥結在何處？計算機與網絡技術專家、中國工程院院士鄔江興表示：“造成網絡安全防御‘易攻難守的主要技術原因是，現有的科技水平尚未形成窮盡與徹查信息系統軟硬件代碼問題的理論與方法。”面對這些隱身于各處的未知漏洞、后門，即便采用入侵檢測技術、防火墻技術、密碼加持技術構筑起一道道“銅墻鐵壁”，如果感知不到具體威脅在何處，就形同虛設。

在太平洋，有一種“聰明”的生物叫條紋章魚。據說，它能模擬至少15種海洋生物，通過變換顏色、條紋等迷惑攻擊者，降低攻擊的有效性，就像孫悟空的七十二變。鄔江興將這種防御策略稱為“擬態防御”，并借用錢學森的系統工程思想——“從復雜問題的總體入手，認為總體大于各部分之和，各部分雖較劣但總體可以優化。”也就是說，忽略各個構件存在的漏洞，從總體上將生物界的擬態防御原理導入網絡安全領域，構建一種新的網絡防御系統，即功能等價條件下異構冗余多維動態重構機制。其特別之處在于系統中放一個構件池。構件像小孩玩的積木，通過拼裝組合成不同的“計算裝置”（比如計算器、計算尺）。系統通過策略調度和多維重構，動態地生成富于變幻的“計算裝置”組合。當執行指令時，“計算裝置”的組合處于復雜變換狀態，而裝置的功能從未改變。巧妙的是，從系統外觀察，計算裝置的漏洞與后門隨著裝置變換而不停變化。

相比傳統精準防御，擬態防御不以弄清木馬病毒與漏洞后門的性質為前提，不依賴于先驗知識——不斷更新的病毒庫，而依靠系統的內生防御技術。鄔江興進一步解釋：“‘擬態防御擁有明顯的創新性，但也不是放之四海皆準的原理。”實現擬態防御的前置條件，首先是要存在可判定異構冗余體之間功能等價性的“擬態界”，還需要在給定功能性能下存在軟硬構件多元或多樣化供應條件，再就是該技術適合于兼具高安全性和高可靠性的應用領域，而且由于成本大幅增加，初始階段投資回報率不高，更適用于高成本投入的安全領域。（魏亮摘編自《科技日報》2016年12月5日第6版，作者：何亮）