網絡安全主動防御技術及應用

◆陶 晶

（沈陽理工大學現代教育中心 遼寧 110159）

網絡安全主動防御技術及應用

◆陶 晶

（沈陽理工大學現代教育中心 遼寧 110159）

傳統的被動防御技術，如防火墻、入侵檢測等，無法對未知的攻擊進行有效檢測。主動防御技術能有效抵抗未知攻擊，增強系統的安全性能。本文分析了入侵容忍、移動目標、擬態安全防御等主動安全技術，并對其應用場景進行了分析。

主動防御；互聯網

0 引言

隨著網絡技術的不斷發展，人們對網絡的依賴性越來越大，同時，網絡安全問題也日益引起大家的關注和重視。傳統的網絡安全技術，如防火墻、入侵檢測、虛擬專用網、訪問控制等，都是被動的防御技術。也就是說，這些技術都是基于先驗知識，即需要先知道網絡攻擊者的特征、行為等，才能采取相應的防范措施。其本質上是一種“亡羊補牢”的機制。另外，這些安全技術等漏洞、后門程序等無法進行有效的檢測。總之，被動的防御技術相對于新型的攻擊手段具有時效性和滯后性的問題，此外，由于漏洞的不可避免性與攻擊方式的變化性導致現有的被動防御技術無法在某些特定的環境下應用。

鑒于被動防御技術的缺點，主動防御技術越來越引起研究者的關注和重視。主動防御技術不同于被動防御技術的事后防御，主要特點是無需知道攻擊的方法和步驟而提前實現防御，從而有效抵抗未知攻擊對系統的破壞，具有顯著的防御優勢。

目前出現了一些典型的主動防御技術，比如入侵容忍技術、移動目標防御技術、擬態防御技術等。這些技術各有特點和優勢，其中擬態防御技術由于具有自主知識產權，更是得到了我國研究者的廣泛興趣和關注。

1 入侵容忍技術

入侵容忍技術是由容錯技術發展而來的一種主動防御技術，是主動防御技術的早期雛形。顧名思義，入侵容忍技術即可以容忍（接受）部分入侵，也被稱為容忍入侵技術或者容侵技術。入侵容忍的核心思想即：認為網絡入侵的不可避免性，不在將防御入侵作為主要目標，而是關注系統即使遭到入侵的情況下，仍舊能正常工作并提供服務的能力。

入侵容忍技術主要使用容錯的技術原理從而達到容侵的目的，是一種主流的網絡安全技術。入侵容忍技術從防御思想上來說，已經具備了主動防御的特點，可以看作是主動防御技術的發展起點。然而，入侵容忍技術的本質核心是容錯，即主要靠部件冗余來實現，因此，容侵的代價比較高，目前已經逐漸不再被重視。

2 移動目標防御技術

為了解決網絡防御的不平衡性，以美國為首的部分國家積極轉變防御理念，大力探索主動防御新技術。移動目標防御技術是美國提出的一項革命性網絡技術。

移動目標防御的主要特點在于設計一種能在不安全的環境中實現可靠工作的彈性安全系統，其部署機制及策略是多樣的、不斷變化的，增加了攻擊的難度及代價，降低系統被攻擊的機會。移動目標防御技術在網絡的各個層次都可以成功應用，其特點是部署的系統具有動態性、可變性、難以捕捉性，因此，攻擊者無法掌握系統的特點從而難以實施有效的攻擊。

移動目標防御提出動態性防御，是主動防御的重要理念之一，提升了主動防御技術的研究熱度。

3 擬態防御

擬態安全防御是國內鄔江興院士研究團隊首創的主動防御理論，主要應對基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有普適意義的防御理論和方法，從根本上改變目前網絡安全存在的攻防不對稱問題。

擬態現象是生物的一種自然現象，具體是指一種生物能夠在色彩、紋理和形狀等自適應模擬另一種生物或適應環境，從而使得互相受益。大自然中生物具有的擬態現象為解決網絡安全問題提供了新的思路和啟示。

擬態安全防御的意愿是從主動性、變化性和隨機性中獲得有利的防御特點和啟發。擬態安全防御技術在實現上主要就是動態和隨機地選擇系統的各種硬件以及相應的軟件變體，從而導致攻擊者無法得到確切的系統狀況，從而無法實施基于漏洞和后門的攻擊鏈條，進而降低系統遭受的安全風險。擬態防御體系有效性的基礎在于：變化的多樣性、變化的隨機性、變化的快速性。

目前，網絡空間的安全現狀是“易攻難守”，主要原因在于：網絡存在不確定威脅，主要體現為漏洞或后門程序。這些問題無法從科學層面被發現，也無法從工程層面避免，這使得其成為最大的安全威脅。

擬態防御的基本思想類似于生物界的擬態防御。擬態防御融合多種主動防御要素為宗旨：以異構性、多樣性改變目標系統的相似性、單一性；以動態性、隨機性改變目標系統的靜態性、確定性；以異構冗余多模機制識別和屏蔽未知缺陷與未明威脅；以高可靠性架構增強目標系統服務功能的柔韌性；在不確定屬性防御針對目標系統的不確定性威脅。

由解放軍信息工程大學、浙江大學等承擔的“網絡空間擬態防御理論及核心方法”已經完成結項和測評，評估結果與預期目標完全相符，說明我國在網絡安全防御領域已經取得了重大成就。此項目的成功將擬態安全的思想落到了實處，打破了傳統網絡安全“易攻難守”的格局。

在此項目的研究基礎上，上述研發團隊針對網絡安全的不確定性重大問題，開展了基于擬態防御的主動理論研究并取得了重大突破。團隊人員提出的可變、異構、容錯的體制架構，將基于未知漏洞、未知后門的不確定性威脅和風險，控制為極小概率事件。由國內權威評測機構的實際驗證表明，擬態安全防御機制能夠破壞網絡安全的攻擊連，對網絡安全技術的發展具有顛覆性意義。

擬態防御也在不同的應用領域取得了進展。如擬態web服務器、擬態路由器、擬態文件和存儲系統 、擬態工業控制處理器、擬態軟件安全產業等。

4 結論主動防御技術改變了傳統的網絡攻防模式。擬態安全防御技術作為具有完全自主知識產權的新一代網絡安全技術，在技術實現上有著非常明顯的優勢，其的廣泛應用必然帶來網絡安全的顛覆性革命。計與實現．軟件學報，2017．

[4]于佳，程相國，李發根，潘振寬，孔凡玉，郝蓉．標準模型下可證明安全的入侵容忍公鑰加密方案．軟件學報，2013．

[5]張煥國，韓文報，來學嘉．網絡空間安全綜述[J]．中國科學：信息科學， 2016．

[6]張曉玉，李振邦．移動目標防御技術綜述[J]．通信技術，2013．

[7]Okhravi H，Hobson T，Bigelow D， et al．Finding focus in the blur of moving-target techniques [J]．IEEE Security & Privacy，2014．

[8]羅興國，仝青．擬態防御技術．中國工程科學，2016．

[9]倪光南．信息安全“本質”是自主可控[J]．中國經濟和信息化， 2013．

[1]鄔江興．網絡空間擬態安全防御[J]．保密科學技術，2014．

[2]鄔江興．擬態計算與擬態安全防御的原意和愿景[J]．電信科學， 2014．

[3]仝青，張錚，張為華，鄔江興．擬態防御web 服務器設