基于擬態防御技術針對關鍵數據進行保護的架構研究

馮峰，周清雷

（鄭州大學信息工程學院，鄭州450001）

0 引言

當今網絡與信息系統已成為人類社會運轉的基礎設施[1]。然而隨著網絡和信息技術的高速發展，信息安全問題也變得愈發嚴峻。因此，信息安全問題也越來越受到世界各個國家的高度重視[2]。針對信息安全問題，傳統的防御技術和手段大都采用亡羊補牢式防御，需要依賴于攻擊技術作為先驗知識來進行有針對性的“點”式防御。而漏洞和后門是攻擊者成功進行攻擊行為的重要入口，但作為防御方卻沒有能力掌握所有的漏洞和后門，傳統防御技術采用對被曝光的漏洞后門進行精準封堵或查殺，顯然對未知漏洞后門束手無策。擬態防御作為近幾年來國內首創的“改變游戲規則”的革命性防御技術，能夠有效防御針對未知漏洞后門的攻擊，目前理論和相關技術發展迅速[3-10]。此外，信息技術作為人類社會先進的生產力，給人類帶來財富的物質形態就是數據。文件、圖像、影音、應用程序等皆屬于數據，因此，對數據的保護是至關重要的。重要數據的泄露、篡改、丟失等事件時有發生，數據保護的技術手段五花八門，但較為有效的方法還是通過對數據進行加密以達到“一夫當關”的效果。然而對數據進行加密的安全性強弱依賴于加密算法和密鑰的復雜度，且由于數據加密的復雜性帶來額外開銷的同時其還是屬于靜態的、單一的防護手段，依然存在被破解的可能。對于信息系統中數據的保護，不同種類的數據根據其重要程度應具有不同的防護強度，否則突破對關鍵數據的防護甚至會威脅到整個防護體系。因此，對關鍵數據的保護處理不當，將成為整個信息系統的安全薄弱環節。舉例來說，對于防火墻所維護的訪問控制列表（Access Control Lists，ACL），如果能夠進行惡意竊取和篡改，則訪問控制將失去意義，整個信息系統也將暴露在安全威脅當中。因此，為了方便描述，本文后續都將以ACL 的保護問題作為背景，來代表針對信息系統中的關鍵數據進行保護的問題。

綜上，本文提出一種基于擬態防御技術針對關鍵數據進行保護的架構，通過運用該架構進行數據保護能夠極大地提升對被保護數據進行竊取、篡改的難度。

1 擬態防御

網絡空間擬態防御（Cyber Mimic Defense，CMD）基于相對正確公理，以結構決定安全為核心思想，通過動態、異構、冗余架構（Dynamic Heterogeneous Redundancy，DHR），使得運用擬態防御技術的系統能夠應對未知的安全威脅，具有內生的高安全性和高可靠性[11-13]。擬態防御是新型的主動防御技術，它允許完成業務功能的執行體“有毒、帶菌”，能夠同時有效的應對已知和未知的漏洞后門所帶來的安全威脅，是“面”式防御。擬態防御通過動態調度機制和負反饋控制機制保證擬態防御系統的動態性、變化性，通過多模裁決機制保證系統的魯棒性和對攻擊行為的主動認知。

擬態防御的核心架構DHR 如圖1 所示。

圖1 DHR架構

需要被安全防護的功能執行體經過功能等價的異構冗余實現后，放入異構執行體池，擬態變換器對這些執行體進行動態調度，控制其上下線切換。分發器負責將系統輸入分發給“上線”異構執行體進行處理，裁決器則對“上線”異構執行體的輸出矢量進行多模裁決，分發器和裁決器被稱為“擬態括號”（Mimic Bracket，MB）。當攻擊發生時，輸出矢量若存在不一致則DHR能夠發現未知攻擊，通過多模裁決產生正確的輸出結果，同時啟動負反饋控制機制，調度異常的“上線”異構執行體，并進行相應的清洗處理，整個過程使攻擊者對異構執行體中的未知漏洞和后門難以利用，攻擊行為難以湊效。

2 防數據攻擊的擬態防御架構

擬態防御在具體應用中允許存在不同程度的差異，因此，最終所呈現的機制架構也可進行改進。本文從擬態防御的DHR 架構出發對數據保護引入了擬態防御機制來進行擬態化構建，形成了一種全新、獨特的機制架構，防數據攻擊的擬態防御架構（Mimic Defense Against Data Attack，MDADA），如圖2 所示。

圖2 防數據攻擊的擬態防御架構

以ACL 保護為背景的MDADA 具體工作機制如下：

（1）功能組件

異構冗余執行體：所有異構冗余執行體構成執行體池，這些執行體的業務功能為對數據的加解密功能。在此著重強調，這里的異構冗余執行體是抽象意義上的，在后文對異構化維度的分析中會說明這一點。

分發器：包含兩種分發器，加密分發器、解密分發器。

裁決器：進行多模裁決，根據裁決結果產生正確輸出與拋出問題輸入。

動態調度器：根據策略對異構冗余執行體進行動態調度。

（2）組件式過程

①加密過程：明文ACL 經由加密分發器進行復制，復制份數與“上線”異構執行體數目一致，冗余明文ACL 與“上線”異構執行體進行無區分標記配對，經過各“上線”異構執行體加密后成為冗余密文ACL，并打上執行體區分標記。

②解密過程：冗余密文ACL 經由解密分發器，根據執行體區分標記與“上線”異構執行體進行配對，經過各“上線”異構執行體解密后成為冗余明文ACL。

③裁決過程：裁決策略為基于數據的Hash 指紋對比，這一過程被封裝在裁決器內。解密后得到的冗余明文ACL 經過相同Hash 運算后，得到冗余指紋矢量，然后進行多模裁決。如果冗余指紋矢量存在不一致，說明存在被篡改的ACL，此時將拋出問題ACL 并根據其他設計進行處理，同時裁決器屏蔽掉篡改帶來的影響，輸出正確的明文ACL。

④動態調度過程：采用一定的動態調度策略，對異構加解密執行體進行動態調度，確定“上線”異構執行體。

（3）運行激勵

初始化激勵：發生在MDADA 宿主系統初始化過程中，在其激勵下MDADA 將經過的過程是d→a。

訪問控制查詢激勵：發生在訪問請求被攔截，且需要與ACL 進行對比時，在其激勵下MDADA 將經過的過程是b→c→ACL 的查詢對比。

訪問控制修改激勵：發生在對ACL 的合法修改更新操作時，在其激勵下MDADA 將經過的過程是b→c→ACL 的修改更新→a。

動態調度激勵：發生在根據策略對異構冗余執行體進行動態調度時，在其激勵下MDADA 將經過的過程是b→（c，d）→a（c 和d 可同時進行）。

MDADA 工作的邏輯原理如圖3 所示。

圖3 MDADA工作的邏輯原理

3 分析與評估

以ACL 保護為用例。

3.1 分析

（1）創新性

擬態防御能對處在擬態括號中的異構冗余執行體進行防護，僅說明目前擬態防御的防護對象可以是包裹在擬態括號內的執行體，這是現有擬態防御理論成果的一個重要基礎。然而，MDADA 可以說明，擬態防御的防護對象可以突破上述局限性。前文介紹的MDADA 其所防護的對象為數據，即此時本文中MDADA 使得擬態防御被用在數據保護上。這一創新對擬態防御理論體系的發展開辟了一個新的途徑，同時對數據保護問題的解決提供了新的思路和手段。

（2）異構化維度

本文給出的加解密異構化維度有三個：加解密算法異構化；加解密密鑰異構化；實現方式異構化（如編程語言、編碼風格等）。根據于此，在不同維度上進行搭配，能衍生出多種組合異構化向量，使得異構化方式更加豐富，這就是為什么MDADA 中的異構冗余執行體具有抽象性，圖4 進行了圖形化示意。

圖4 加解密異構化維度示意

（3）提升手段

MDADA 實際使用時在安全性、性能等方面還有很多提升手段。加強相應算法、密鑰、過程等的復雜度（如采用最新的算法、加大密鑰長度與字符集、增加加密次數等）可以提升安全性，優化相應算法、過程等的實現可以提高性能。此外還可以借助已有技術，舉例來說：在安全性上，冗余密文ACL 的散列存儲及隱藏可以結合一些成熟的技術，例如將其放入“軟件加密狗”中就是一個不錯的選擇；在性能上，加解密算法及輔助的密鑰生成算法等都可以通過FPGA（Field-Programmable Gate Array）方式進行實現，這種算法硬件化的方法毫無疑問會提升運算速度，同時硬件邏輯被逆向的可能性要遠遠低于二進制形式的軟件邏輯。

3.2 評估

（1）安全性

在此著重強調，擬態防御理論已闡明，在社會工程學的范疇內其所做的安全防護理論上是可以被突破的，這是擬態防御及其他防御技術的通性。因此，這里所做的安全性評估是以不包括社會工程學范疇為前提的。

若攻擊者要成功篡改ACL 文件，需要同時具備以下三種能力中的至少前兩種能力。第一種，具有得到大多數冗余密文ACL 的能力，而上述提及，我們可以利用一些已有的成熟技術對冗余密文ACL 進行散列存儲及隱藏。第二種，具有能夠解密大多數冗余密文ACL 并將其統一篡改隨后重新加密并替換的能力，這就要求攻擊者能夠逆向出相應的加解密邏輯。第三種，具有針對具體密文ACL 得到其對應密鑰的能力，這就要求攻擊者能夠逆向出密鑰生成邏輯。分析以上三種能力，攻擊者在不具備第三種能力時，通過暴力窮舉的方式獲取密鑰是具備理論保障的，但實際過程中將會付出極大的代價并最終結果未知。攻擊者至少需要具有上述前兩種能力后，才有實現所謂多模表決機制下聯合逃逸的可能。但獲取這些能力的過程是極其復雜的，再加之動態調度機制使MDADA 處于動態變化當中，使得密碼學與動態性共同作用，密碼學的復雜性使攻擊者短時間內很難具備以上能力，動態性對攻擊者造成時間上的緊迫性并能使其所作的努力前功盡棄，攻擊者想要攻擊成功是極其艱難的。

（2）性能損耗

與不使用MDADA 的原有信息系統相比較，使用MDADA 的信息系統所增加的性能上的損耗主要由新加入的MDADA 產生。由前述可知，以ACL 保護為用例的MDADA 所產生的性能損耗均發生在其運行時，它的運行由前述四種運行激勵來驅動。為了得到其運行后所帶來的安全增益，這種性能損耗是不可避免的。但是這種程度的性能損耗是可以接受的，并可以使用一定手段進行降低。

假設原有系統對ACL 的保護是進行單一形式的加解密保護。對比來看，多核環境下MDADA 的冗余加解密執行體是可以并行執行的，此時它完成加解密過程的速度取決于其中運行速度最慢的執行體，在相同系統過程下拿這一速度與原有系統進行比較，可以看出此時的性能損耗和承載加解密算法的冗余執行體的優劣強相關。由MDADA 額外帶來的性能損耗還包括裁決過程、分發配對過程和因動態調度所引起的過程等，同樣其與實現這些過程的優劣強相關。

MDADA 使用的合理性也是影響性能損耗高低的重要因素。前述以ACL 保護為用例的MDADA，其所保護的ACL 是防火墻的“關鍵薄弱環節”，ACL 具有特定性和關鍵性。作為對比，若將MDADA 濫用（不綜合考慮硬件性能、文件數量、文件重要性等）在整個文件系統中，則毫無疑問會帶來成倍增大文件系統體量、難于管理、性能損耗嚴重等缺陷，以此說明架構在具體應用中，其使用的合理性對性能影響較大。

4 結語

本文提出的防數據攻擊的擬態防御架構，在安全性方面：

（1）通過動態性調度加解密執行體使得數據的攻擊表面處在動態變化當中，解決了傳統靜態加密可被無限期分析邏輯的缺陷，有效防止數據泄露。

（2）通過異構冗余的數據加密加上多模裁決的限制使得解密并篡改數據的難度較之傳統靜態加密的單一性破解難度有超出倍數級的提升。

（3）通過利用冗余思想并結合必要的數據散列存儲及隱藏技術，能有效抗擊關鍵數據被刪除的毀滅性打擊。

在魯棒性方面：

通過多模裁決的保障使得即使少數冗余密文出現成功的篡改攻擊也能夠保證關鍵數據的正常輸出以及關鍵數據的正確性。