網絡空間安全擬態防御技術概述

李政 白利芳 唐剛 朱信銘

摘 要：本文扼要分析了網絡空間安全攻防不對稱的現狀，概要闡述了擬態防御技術的發展歷程，重點論述了主動防御的基礎原理及其抗攻擊性，最后就主動防御的測試評估和應用實踐情況進行了介紹，并對其優勢與挑戰進行了分析。

關鍵詞：網絡安全；主動防御；擬態防御；動態異構冗余

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2018）20-0037-03

1 網絡空間安全現狀

作為“陸、海、空、天”后的第五空間，網絡空間正處于“有毒帶菌”，且“易攻難守”的不對稱格局。一方面，網絡空間自身在頂層架構設計，生產、供應和服務鏈等各環節均存在“已知”、“已知的未知”或“未知的未知”安全風險。“已知”風險不存在技術上的難度，但由于安全意識和管理不足往往導致應對策略落實不到位；“已知的未知”風險雖被識別，但不確定其發生概率和影響；而“未知的未知”風險（如0day），因無法知曉攻擊相關任何信息，針對性防御無從談起。此外，即便采取了應對策略或應急措施，仍可能存在次生風險和殘留風險，即任何國家或組織都無法從根本上消除其網絡設施和信息系統的安全隱患。

另一方面，現有防御體系存在基因缺陷。大多以檢測、阻斷為主，且基于攻擊相關信息等先驗知識，架構透明、處理空間單一，本質上是被動、靜態的。攻擊者用極小的成本即可讓網絡空間面臨巨大的威脅，在易攻難守的不對稱態勢下，主動防御逐步成為研究焦點，優勢漸顯。主動防御即在攻擊的具體方法和步驟被知悉前實現防御部署，有效彌補被動防御的缺陷。目前，典型的主動防御技術有入侵容忍[1，4，5]、移動目標[2，3]、擬態防御等，其中擬態防御[6，7]是我國自主研創的新興主動防御技術，其理論技術和應用實踐均通過權威的測試和評估，有望成為網絡安全“再平衡戰略”的有力抓手。

2 擬態防御發展歷程

2007年，中國工程院院士鄔江興首次將擬態計算概念引入域名防御系統。2013年，首臺擬態計算機原理樣機研制成功，并提出網絡空間擬態防御理論。2016年，“Web服務器擬態防御原理驗證系統”和“路由器擬態防御原理驗證系統”研制成功，并通過科技部委托組織的網絡通信和安全領域的權威測評驗證。2017年10月，工信部正式批復《關于開展擬態防御技術試點工作的通知》，確定河南聯通與擬態團隊開展擬態域名服務防御系統試點工作。2018年1月，全球首套擬態域名服務器在中國聯通河南分公司上線，首次在運營商現網環境進行試點應用和量化評估。4月，全球首套擬態防御網絡設備在鄭州投入互聯網線上服務，擬態防御在應用實踐和產業化進程中邁出了里程碑式的一步。

3 擬態防御理論

3.1 擬態防御原理

擬態防御的靈感源于自然界基于內生機理的“擬態偽裝”，在本征功能不變的條件下，能以不確定色彩、紋理和形狀等變化給捕獵者或捕獵目標造成認知錯覺。同理，在不影響服務功能和性能正常提供的條件下，類似于系統架構、運行機制、異常響應以及未知脆弱點等，均可通過類似擬態偽裝的方式進行主動隱匿，以達到干擾或阻斷攻擊的目的，這種在網絡空間中的擬態偽裝稱為“擬態防御”（Mimic Defense， MD）。將一個存在未知漏洞、后門或病毒、木馬等軟硬件代碼的“有毒帶菌”異構執行環境稱為擬態防御界。

擬態防御的實現基于動態異構冗余[7]（Dynamic Heterogeneous Redundancy，DHR）思想。異構冗余即異構冗余集合中的任意元素，無論是單獨使用還是多元素并聯或組合使用，均可實現等價功能的一種機制，其理論基礎是異構的冗余元素共性設計缺陷導致共模故障屬于小概率事件。該機制的典型范例即非相似余度構造，如圖1所示。

DHR即在異構冗余的基礎上加入動態性和隨機性，使系統呈現相當程度的不確定性，擾亂攻擊者信息鏈，攻擊難度非線性增加，攻擊成功成為極小概率事件。其實現主要基于異構冗余體池中冗余執行體集的內生構造，即擬態防御的核心過程——擬態偽裝：從異構冗余池中根據動態調度算法隨機選取若干元素組成執行體（如圖2所示），或重構、重組、重建冗余執行體自身，或借助虛擬化技術改變冗余執行體的資源配置，或對冗余執行體進行預防性或修復性的清洗、初始化操作等，增加服務功能與外在表征間的不確定性，實現隱匿擬態界內未知的漏洞和后門等脆弱性[6-9]。而DHR輸出依然采用多模裁決機制，和區塊鏈的原理有共通之處。

3.2 擬態防御抗攻擊分析

本小節以圖2所示的DHR構造為研究對象，分別從攻擊發起難度、持續攻擊難度何攻擊再現難度進行分析。

（1）攻擊發起難度。此處設異構構件集合為U，|U|=m，設執行體集合為V，|V|=n，則隨機動態選擇算法由U到V有種可能，設每種可能經表決器輸出后與正常輸出不一致的概率為Pi（i=1，2，……，），則在該攻擊環節成功的幾率為：。由于多模表決器本身的特性，Pi極小，可知Q極小，所以，在該環節的攻擊成功率極小。

（2）持續攻擊難度。一次成功的攻擊往往由多個攻擊環節組成，設某次成功的攻擊行為共涉及r個攻擊環節，若此次攻擊成功，則需每個攻擊環節均成功。則此次攻擊成功的概率為：。此時，P<

（3）攻擊再現難度。某一次攻擊偶然成功后，同上，當攻擊者想再次復現攻擊時，攻擊目標已變，先前的攻擊經驗并不能作為先驗知識庫應用到后續的復現。

綜上分析，擬態防御發起難、持續難、再現難，是有望扭轉“易攻難守”不對稱格局的一種新興技術。

4 擬態防御測試評估

2016年1月至6月，受國家科技部委托，上海市科學技術委員會先后組織國內網絡通信和安全領域的21名院士和110余名專家，對擬態防御理論和驗證系統進行測試評估。測評對象為兩種應用場下的擬態防御原理驗證系統，測試評估內容涵蓋[6]：能否隱匿擬態界內的未知漏洞和后門、能否利用擬態界內未知漏洞注入未知病毒木馬、能否有效抑制擬態界內基于未知因素的協同攻擊、能否允許擬態界內使用“不可信、不可控”的軟硬構件、擬態界內運行環境能否允許“有毒帶菌”。測試方法包括黑盒測試、白盒測試、滲透測試、對比測試等，也包括預置后門和配合注入病毒木馬等方式。

2018年5月10日至12日，首屆“強網”擬態防御國際精英挑戰賽上，基于網絡空間擬態防御理論開發的網絡設備和系統作為“靶機”，接受來自國內外挑戰隊集中火力“打靶”測試，即對其進行高強度的安全測試。

綜合測試分析表明，驗證測試結果與理論預期完全吻合[6，10]。在功能等價異構冗余的多維動態重構機制作用下，幾乎不可能實現擬態界內可靠、持續的協同逃逸，且允許擬態界內使用“不可信、不可控”的軟硬構件，允許“有毒帶菌”的運行環境[6，10]。此外，MD機制對現有網絡空間安全在防御體制上具有互補性，技術上具有融合性，產品上具有自主可控性，還具有降低專用安全設施的更新升級代價、防護實時性要求、版本同步更新頻度等綜合性優勢[6，10]。

5 擬態防御應用實踐

時任國務院副總理的馬凱、劉延東等中央領導同志先后就推進擬態防御技術研發和應用作出批示，工信部、河南省多次就擬態防御應用試點示范組織專家進行研討、部署。2017年10月，工信部網安局下發《關于開展擬態防御技術試點工作的通知》，要求將擬態防御部署應用到現網環境，為擬態防御的推廣應用開展量化評估，推動擬態防御技術及產業不斷成熟完善。2018年1月，全球首套擬態域名服務器在河南聯通上線運行，在不改變現有網絡結構的前提下，通過將擬態構造全面植入傳統域名服務器實現增量部署。4月，全球首套擬態防御網絡設備落戶景安網絡科技股份有限公司，意味著我國自主創新的擬態防御繼電信基礎運營商后正式投入互聯網線上服務。

6 擬態防御優勢與挑戰

在現有主動防御技術中，入侵容忍以維持系統可用性為主要目的，使系統具有較高的生存能力和可靠性[1]，但高成本的冗余和表決時延成為其發展的障礙。移動目標防御通過動態變化使系統靜態性減弱，對攻擊目標起到一定隱蔽作用[2]。然而性能和動態變化頻率之間的平衡成了問題。此外，目標的多樣呈現也可能給攻擊者提供更大的攻擊面，反而起到反作用[6]。擬態防御既能維持可用性，也能對被攻擊目標起到隱蔽作用。相比入侵容忍技術，在防御目的上更傾向于對安全性整體的防護而不僅是可用性。較移動目標，其隱蔽原理不同，通過多模表決“中和”或掩蓋被攻擊目標的輸出，從而對外表現為無異常或攻擊無效，擾亂攻擊者對攻擊效果的判斷[6]，且擬態防御可用相對較少的資源代價實現相對較高的防御能力。

我國對入侵容忍和移動目標防御技術的研究和應用處于落后狀態，而擬態防御作為我國自主提出的網絡空間主動防御技術，有望打造我國自主可控的防御策略體系，打破網絡空間安全在攻防不對稱、大國博弈不平衡的格局。但擬態防御并不意味著可以解決所有領域范圍的網絡安全問題，其實現的前置條件，首先是要存在可判定異構冗余體之間功能等價性的“擬態界”，其次需在給定功能性能下存在軟硬構件多元或多樣化供應條件。也并不意味著沒有被攻破的可能，在同時同地同手段的海量協同攻擊的情形下，理論上不是不無可能，但在非配合的現實情況下，要剛好能同時同地利用同手段實施攻擊并攻擊成功可認為是不可能事件。

參考文獻

[1]Nguyen Q L，Sood A.“A comparison of intrusion-tolerant system architectures.”Security& Privacy IEEE，vol.9，no.4，pp.24-31，2011.

[2]Manadhata P K.“Game theoretic approaches to attack surface shifting.”Moving Target Defense II.Springer，2013.

[3]Jajodia S，Ghosh A K，Swarup V，et al.“Moving target defense.”Springer， 2011.

[4]Levitin G.“Optimal structure of fault-tolerant software systems.”Reliability Engineering & System Safety， vol.89，no.3，pp.286-295，2005.

[5]Pal P， Webber F， Schantz R E， et al. “Intrusion- tolerant systems，” In Proc. IEEE.Information Survivability Workshop （ISW-2000）.pp.24-26，2000.

[6]羅興國，仝青，張錚，鄔江興.擬態防御技術[J].中國工程科學，2016，18（06）：69-73.

[7]鄔江興.網絡空間擬態防御研究[J].信息安全學報，2016，1（04）：1-10.

[8]仝青，張錚，張為華，鄔江興.擬態防御Web服務器設計與實現[J].軟件學報，2017，28（04）：883-897.

[9]仝青，張錚，鄔江興.基于軟硬件多樣性的主動防御技術[J].信息安全學報，2017，2（01）：1-12.

[10]張錚，馬博林，鄔江興.web服務器擬態防御原理驗證系統測試與分析[J].信息安全學報，2017，2（01）2017，2（01）：13-28.