網絡空間擬態防御原理簡介（下）

◎鄔江興院士

編者按：網絡空間擬態防御是鄔江興院士研究團隊首創的主動防御理論，可為應對網絡空間中不同領域相關應用層次上基于未知漏洞、后門、病毒或木馬等未知威脅，提供具有普適創新意義的防御理論和方法。擬態防御為實現網絡安全再平衡戰略提供了全球可以依賴的理論和技術基礎，是中國的創造，也是網絡世界的福音。上期主要介紹了網絡空間面臨的安全威脅、傳統防御體系的脆弱性、脊椎動物免疫機制等內容，在《網絡空間擬態防御原理簡介（下）》，鄔江興院士將對網絡空間擬態防御的愿景、模型、工作原理，以及國家有關部門對其有效性的測試評估情況進行介紹，對其深入應用進行分析預測。

五、網絡空間擬態防御

1.擬態現象與擬態偽裝

一種生物在色彩、紋理和形狀等特征上模擬另一種生物或環境，從而使一方或雙方受益的生態適應現象，稱為擬態現象。按防御行為分類可將其列入基于內生機理的主動防御范疇，可以稱為擬態偽裝。擬態現象在生物界其實很普遍，林林總總，光怪陸離。如果生物體不僅在色彩、紋理和形狀上，而且在行為和形態上也能模擬另一種生物或環境的擬態偽裝，我們稱之為擬態防御。

2.生物界擬態防御大師——條紋章魚

被稱為擬態章魚的條紋章魚，也許是生物界的擬態防御大師。據研究，它可以至少模擬15種以上海洋生物，可以在珊瑚礁環境和沙質海底完全隱身。能在本征功能不變條件下，以不確定的色彩、紋理、形狀和行為變化給攻擊者造成目標認知困境，極大地削弱攻擊的有效性與可靠性。

3.擬態防御在軍事領域的應用

“擬態防御”在軍事領域的典型應用就是隱形飛行器或艦船，目的就是要盡可能的在對方雷達屏幕上隱匿自己的蹤跡和特征。例如美國的F22，將近30噸重的戰斗機在雷達屏幕上的特征僅相當于一只大雁；而上萬噸的驅逐艦DDG1000，雷達屏幕上的特征也只不過類似于一條小漁船。

4.運用系統工程思想解決問題

錢學森老先生曾經指出“從復雜問題的總體入手，認為總體大于各部分之和，各部分雖較劣但總體可以優化。”這就給出了運用系統工程思想解決“用可信性不能確保的軟硬構件搭建安全可控信息系統”問題的方法。就像是自然界里，同樣是碳原子，不同的排列結構就決定了鉆石和石墨具有截然不同的物質硬度和其它特性。

5.網絡空間擬態防御的愿景

網絡空間擬態防御的愿景是，能夠應對擬態界內未知漏洞后門等導致的未知風險或不確定威脅；擬態防御的有效性由架構內生防御機制決定而不是依賴現有的防御手段或方法；不以擬態界內軟硬構件的“可信可控”為前提，適應全球化開放生態環境；能夠融合現有的任何安全防護技術并可以獲得超非線性的放大防御效果。期望解決基于不可信供應鏈構建“自主可控、安全可信”系統的“網絡時代經濟學”難題；最大程度降低攻擊者經驗的可復現性和傳播價值；顯著提高攻擊者入侵難度和獲利代價，逆轉“易攻難守”格局。最終尋求“構造決定內生安全”的革命性防御能力。

6.網絡空間擬態防御模型

系統從構件池獲取功能構件，并經多維重構和策略調度形成服務集k的異構冗余執行體，由動態生成的服務k提供系統當前的服務。期望在給定功能或性能不變條件下，擬態界內的異構冗余執行體可以在時間、空間兩個維度上實現結構上的相異性和冗余性改變，包括對寄生其上的未知漏洞、后門等的改變。其基本工作流程是，輸入序列由輸入代理分發給服務集k的各執行體，他們的輸出經過歸一化處理再實施多模表決，多數相同的結果被選擇輸出。顯然，除非服務集k的各異構執行體中的未知漏洞能被相同激勵觸發并產生完全相同的錯誤輸出，否則，即使各執行體中都存在未知的安全問題也無法瓦解擬態防御。于是，除了給定服務功能不變外，目標對象（包括未知漏洞后門、病毒木馬等）始終處于時空變化中。不確定性威脅被異構冗余架構轉化為“異構執行體同時出現完全或多數相同性錯誤內容的判定問題”，即“未知的未知威脅”被擬態物理機制轉化為“已知的未知風險”控制問題，成為可用概率等數學方法或工具分析和表述的問題。

7.擬態防御的基本目標——“改變網絡安全游戲規則”

擬態防御的基本目標是：要在后全球化時代、開源開放產業模式、“相互依存”關系常態化的生態環境中，基于“有毒帶菌”不可信、不可控的軟硬構件，搭建基于創新的動態異構冗余體制的信息系統，并能提供不依賴但不排斥傳統防御方法的安全可信可靠的信息服務。基于創新理論和方法，首先將確定性攻擊轉變為效果不確定的攻擊事件，其次將效果不確定性事件再轉換成為概率可控的可靠性問題，試圖從根本上降低不確定威脅對目前網絡攻防不對稱游戲規則的影響，開辟網絡安全再平衡的新方法和新途徑。

8.擬態防御工作原理

擬態防御工作原理是：一個功能等價的異構執行體的集合F，在t1時刻隨機從F中選取k個執行體提供帶有裁決機制的輸入輸出服務，在t2時刻作類似動作，在后續的時刻依次類推。在功能等價條件下，動態異構冗余構造的防御界內，在時空維度上具有多維動態重構機制，未知漏洞后門或者病毒木馬及攻擊鏈會隨著防御場景作不確定性的改變。

9.動態異構冗余構造的安全機理

從攻擊者的角度來說，面對多元動態異構空間的攻擊，需要實現非配合條件下的多元目標協同攻擊，還要在環境動態性和隨機性變化情況下保證攻擊的階段性成果，而環境的動態性和隨機性使階段性攻擊成果很難具有可繼承性和可再現性，這使得任何基于目標對象漏洞后門等的攻擊幾乎不可能達成預期的目的。

顯然，擬態防御將攻擊難度提升了三個層次：從現在的基于靜態空間的單一確定目標攻擊難度，增強為靜態異構空間的多目標協同一致攻擊難度，再增強為“動態異構空間，多元目標協同一致攻擊”難度，難度等級呈非線性提升，“即使攻擊成功，也只是一次”。

擬態防御的基本原理也可以視為不確定威脅被動態異構冗余物理架構歸一化為擬態界內同時出現完全或多數相同錯誤的可靠性問題。

10.擬態防御構造的內生屬性

擬態防御架構本質上是一種具有集約化屬性和普適性意義的“四位一體”信息系統架構技術，能夠提供主被動防御一體化，服務提供與安全防御一體化，內生安全與可靠性一體化，高可用與高可信一體化的功能。正如三角形具有幾何意義上的穩定性內涵一樣，理論上可以證明擬態界內：擬態防御架構對“已知的未知風險”或“未知的未知威脅”具有相同的防御功效，且與架構內生機制強相關。這使得信息系統能夠具備類似生物體的非特異性免疫機制，能夠在缺乏攻擊特征信息的情況下，對確定或不確定威脅實施有效的“面防御”。

六、國家測試驗證評估概況

擬態防御的有效性雖然在理論上已經得到證明，但工程實踐效果如何仍需要嚴格的測試驗證和分析評估。

2016年1月，國家科技部委托上海市科委組織中國科學院信息工程研究所、國家信息技術安全研究中心、中國信息通信研究院、軍委裝備發展部第61研究所、上海交通大學、浙江大學、北京奇虎科技有限公司、啟明星辰信息安全技術有限公司、安天科技股份有限公司等業界權威檢測單位，組成聯合眾測團隊，歷時5個月，分別從原理研討與驗證測試方案制定、規范標準對比測試、互聯網滲透測試和驗證測試總結分析四個階段開展測試驗證工作。先后有21名院士和110余名同行專家參與不同階段測評工作。

測評對象為兩種擬態應用場景：一是，屬于信息通信網絡基礎設施范疇的擬態路由器原理驗證系統，另一個是屬于網絡信息服務范疇的擬態web服務器原理驗證系統，并且測評對象的所有軟硬構件都是“來自全球市場的商品化產品”，共完成三輪聯合測試，進行了13類、113項、204例驗證測試。

采取了黑盒測試、白盒測試、滲透測試、對比測試等多種測試方法和手段，也包括直接設置后門或配合注入木馬病毒代碼等極端方式。采取了能夠應用的各種傳統和非傳統的驗證測試方法，包括完全開放條件下的“插樁”測試，是目前網絡安全業界最為嚴苛，也是開放程度最高的測試驗證。

1.擬態系統內生防御機理與構造效應驗證

為了檢驗擬態系統的內生防御機理，測試程序規定評測對象禁止安裝任何殺毒滅馬等防護工具；測試過程中禁止進行任何形式的漏洞修補或后門封堵等增量開發；也禁止使用諸如防火墻、加密認證等安全加固手段。在保證被測對象服務功能和性能的前提下，需要作5個方面的測試驗證：（1）擬態系統能否隱匿擬態界內的未知漏洞和后門；（2）攻擊者能否利用擬態界內未知漏洞注入未知病毒木馬；（3）能否顯著降低攻擊或探測經驗的可重復利用性；（4）能否允許擬態界內使用“不可信不可控”的軟硬構件；（5）擬態界內能否允許存在病毒或木馬。驗證測試和分析評估表明：與理論預期完全吻合，原理具有普適性。同時，還獲得了兩個重要結論，即擬態防御的效果“與軟硬構件代碼缺陷或惡意代碼數量和種類弱相關；與軟硬構件代碼缺陷或惡意代碼時空一致性表現強相關”。

2.擬態防御構造效應

經過測試，擬態防御至少具備如下效應：（1）具有不確定性威脅感知能力，能顯著地降低攻擊鏈的可靠性；（2）顯著增加多模裁決協同逃逸難度，動態異構環境降低漏洞可利用性；（3）具有獨立高效的安全增益，能夠逆轉現今網絡空間攻防不對稱格局；（4）適應全球化開放產業生態環境，一體化架構具有普適意義；（5）能夠自然地繼承或融合信息技術和安全技術成果，對服務提供具有透明性。評測組專家經過反復醞釀于2016年8月，形成《擬態防御原理驗證系統測評意見》并上報中央。

3.測評意見和結論

（1）受測系統是擬態防御理論與方法的成功實踐。在滿足服務功能和性能要求下，能夠獨立且有效地應對或抵御擬態界內已知風險或不確定威脅，其疊加與迭代、融合集成效應能夠非線性地增加目標對象的攻擊難度。證明了擬態防御無論從理論和實踐上都能有效應對擬態界內已知的未知風險和未知的未知威脅。

（2）現有的掃描探測、漏洞利用、后門設置、病毒注入、木馬植入乃至高級持續威脅（APT）等常規或可能采取的非常規攻擊手段和方法，對擬態界內受保護對象沒有預期的作用和可信效力。融合傳統安全技術可獲得“超非線性”防御效果。證明了擬態防御構造在缺乏攻擊特征信息、構件可信性不能確保條件下，能夠實現基于目標對象“內生機制”的“融合式防御”。

（3）擬態防御體制機制還具有大幅度降低系統全壽命周期內專用安全設施配置或更新升級代價、防護的實時性要求、版本同步更新頻度等綜合優勢。在產業鏈開放的全球化生態環境中，使得利用“有毒帶菌”構件實現可管可控的信息系統成為可能。此外，還可以大大縮短新產品入市和成熟的過程。證明了在全球化生態環境、非封閉產業鏈情況下，擬態防御是克服信息通信與服務基礎設施“自主可控、安全可信”難題的新途徑。

（4）擬態防御不僅具有顯著的安全功效，同時還可提供期望的服務功能與高可靠的應用場景（縮短產品進入市場的時間），并能自然地繼承和接納網絡安全與信息化領域的科技成果。普適性的系統架構開辟了內生防御理論和技術研究新方向。證明了擬態防御構造的集約化屬性能夠支持：“服務提供與安全防護”自然結合；“安全性與開放性”完美融合；“高可靠與高可信”自然結合；“內生安全機制與傳統防御手段”完美融合。

（5）作為“網絡安全游戲規則改變者”，擬態防御體系使得：基于全球產業鏈仍然可以搭建自主可控、安全可信的信息服務設施；能夠顯著降低漏洞后門、病毒木馬等的實時性處理要求；不能形成時空、內容一致性表現的漏洞后門、病毒木馬等攻擊，原理上無利用價值；“即使攻擊成功，也只是可能一次”，攻擊經驗難以復制或繼承。擬態防御有效性不依賴任何“絕對可信”要素或部件的支持，安全性由動態異構冗余物理機制決定，與計算復雜度無關。擬態防御顛覆了基于“先發技術和賣方市場”優勢的網絡攻擊戰略；顛覆了基于“同一處理空間共享資源機制”網絡攻擊理論基礎；顛覆了“只有確保構件可信才能達成系統安全”的傳統思維定式。

4.問題與前景

擬態防御自身也存在問題：首先是擬態界外的防護效果不確定；其次是擬態界內異構冗余帶來設計、體積、成本、功耗和維護復雜度的增加，但在高可靠與高安全應用領域，成本增加量可控制在10%以內（但全壽命周期使用維護等綜合成本則顯著低于傳統系統配置）；最后是擬態防御的實現，依賴軟硬構件多樣化、多元化供應水平。但是分析表明，擬態防御實現的工程代價低于可靠性領域經典非相似余度架構，同時實現的安全性要求遠遠高于專用加密裝置。

盡管擬態防御基本原理與方法具有普適性，但是不同領域可能面臨不同的應用挑戰，理論和技術層面尚需不斷完善與再創新。

七、創造網絡安全與信息產業新格局

作為網絡安全再平衡戰略的技術抓手之一，擬態防御架構可以在“軟硬構件供應鏈不可控不可信”的前提下，支撐全球化時代網絡安全與信息化“一體兩翼，雙輪驅動”發展目標的實現；有助于消除網絡安全與信息化融合領域給全球自由貿易造成的有形或無形壁壘；異構冗余體制創造或擴大市場新需求，同質不再只是排他性競爭；顯著降低基于未知漏洞后門等謀利活動的商業價值，遏制灰色產業鏈的發展勢頭。

多元化異構市場越開放，功能等價軟硬件產品越豐富，擬態界內異構部件可選范圍越寬，擬態防御性價比越高。自主可信安全構造加上自主可控軟硬構件，可以創建網絡空間安全新秩序。

如果把擬態構造看成基因的話，其具備天然的滲透性、普適性、集約化和繼承性；作為網絡空間全維防御技術，適合戰略、戰役、戰術各個層面應用；為網信領域“一體之兩翼，雙輪之驅動”發展戰略，提供了抓手級技術和強勁的產業創新力。同時，也開辟了基于擬態架構的器件、部件、構件、中間件、IP核、硬件、軟件、系統、裝置、平臺、網絡、開發測試工具等新興產品市場。

研究團隊在相關領域已經做了試點應用，除了上述的擬態路由器與交換機和擬態Web服務器，還包括：擬態網絡域名服務體系（能夠顛覆某些國家在互聯網上的先天戰略優勢）；擬態工控平臺（可以構建工業4.0時代高可靠、高可信、高可用、高效能一體化控制體系）；擬態文件和數據存儲系統（為云服務打造安全可信的數據文件存儲系統）；擬態的云化服務環境（具有擬態防御需要的內在要素，能突破“雞蛋不能放在一個籃子里”的安全困局）。

網絡空間擬態防御是“中國的創造，網絡世界的福音”。雖然擬態防御理論體系目前已初具形態，但還需進一步完善，普適性和成熟性尚需規模化應用并加以檢驗與提高，相信通過全球業界的努力，實現“網絡安全再平衡”不再是夢想。