安全可信的互聯(lián)網體系結構與端到端傳送關鍵技術

徐恪/XU Ke，馮學偉 /FENG Xuewei，李琦/LI Qi，朱敏/ZHU Min

（清華大學，中國 北京 100084 ）

互聯(lián)網已經成為國民經濟賴以發(fā)展的重要信息基礎設施。與此同時，互聯(lián)網安全也是國家能源、交通、國防、教育等關鍵領域安全的重要保證。近些年，美國Colonial Pipeline輸油管道網絡勒索停服、委內瑞拉電網異常斷電、烏克蘭電信運營商Ukrtelecom服務中斷、Log4j遠程代碼執(zhí)行等大量網絡安全事件表明，當前的互聯(lián)網存在嚴重的安全缺陷和風險，可被攻擊者所利用，從而對基礎設施服務造成破壞，嚴重影響人們的日常生活[1]。

總的來說，網絡應用的破壞和服務安全性的攻擊主要來自3個方面：首先，在分組生成過程中，利用協(xié)議棧漏洞實施攻擊破壞[2-6]；其次，在分組傳輸過程中，利用網絡路由協(xié)議與轉發(fā)機制設計的缺陷實施攻擊破壞[7-10]；最后，在分組應用過程中，利用傳送連接不可信開展大規(guī)模隱蔽攻擊[11-12]。產生上述3個方面攻擊威脅的根本原因在于：互聯(lián)網體系結構在設計之初假設了通信雙方和通信過程是真實可信的，無連接的網絡狀態(tài)也沒有設計保障端到端傳送安全可信的相關技術。這導致惡意攻擊者有機會針對網絡空間中的特定目標發(fā)起地址欺騙、流量劫持、分布式拒絕服務等多種類型的網絡攻擊，最終嚴重破壞網絡中關鍵基礎設施、服務等的安全性[13]。

本文圍繞無連接網絡中安全可信的端到端傳送這一關鍵問題，從互聯(lián)網的功能和原理出發(fā)，深入分析了分組數(shù)據生命周期中不同階段面臨的攻擊威脅，然后從網絡規(guī)范策略與端到端傳送行為一致性保證出發(fā)，提出了基于語義一致性的協(xié)議棧漏洞發(fā)現(xiàn)與修復機制、隨機協(xié)作的分組惡意轉發(fā)檢測機制、基于頻域特征和圖結構的傳送連接可信機制，實現(xiàn)了分組數(shù)據的可靠生成、安全傳輸、可信應用3個不同階段的安全閉環(huán)，增強了網絡向用戶提供正常、有序、可信的端到端傳送服務能力，有效提高了互聯(lián)網的整體安全性。

1 互聯(lián)網端到端傳送基本原理和關鍵安全問題

網絡協(xié)議、系統(tǒng)及應用服務在設計和實現(xiàn)過程中不可避免地存在缺陷。為了增強網絡的安全性，本文從互聯(lián)網的工作原理出發(fā)，依據分組數(shù)據的不同生命周期，將分組數(shù)據在端到端傳送過程中面臨的安全威脅，歸納為以下3個方面，具體如圖1所示。

▲圖1 互聯(lián)網端到端傳輸基本原理和關鍵安全問題

（1）在分組數(shù)據生成過程中，協(xié)議棧交互安全問題引起的攻擊威脅。終端協(xié)議棧承擔分組數(shù)據的可靠生成和安全接收任務。協(xié)議棧安全直接關系到分組數(shù)據源的安全。我們發(fā)現(xiàn)經典的傳輸控制協(xié)議（TCP）/互聯(lián)網協(xié)議（IP）的協(xié)議棧模型存在著一種隱蔽的共性缺陷模式。協(xié)議棧在跨層交互過程中會產生安全問題，這在當前被嚴重忽略。諸如二義性、信息泄露、語義缺失、身份欺騙等安全漏洞可被攻擊者遠程觸發(fā)利用，對分組數(shù)據的可靠生成造成嚴重威脅和破壞[2-6]。

（2）在分組數(shù)據傳輸過程中，路由轉發(fā)安全問題引起的攻擊威脅。路由劫持、數(shù)據攔截和篡改、流量竊聽等攻擊行為會給分組數(shù)據的安全傳輸帶來極大威脅。因此，如何保證分組數(shù)據能夠按照預期的路由配置進行正常轉發(fā)，使路由節(jié)點和目的節(jié)點能夠驗證數(shù)據包的來源并過濾惡意流量，是保證分組數(shù)據安全轉發(fā)的關鍵[7-10]。

（3）在分組數(shù)據應用過程中，傳送連接不可信問題引起的攻擊威脅。隨著互聯(lián)網用戶規(guī)模和應用復雜性的不斷上升，以及新型攻擊技術的不斷出現(xiàn)，保證海量異構分組數(shù)據中沒有隱蔽惡意分組的混淆嵌入，實現(xiàn)高精度、低延遲的惡意分組識別和檢測，是實現(xiàn)傳送連接不可信條件下分組數(shù)據可信應用的關鍵[11-12]。

為了提高整個網絡空間的協(xié)同防御能力，有效解決分組數(shù)據生命周期中3個階段的安全問題，本文提出了無連接網絡中安全可信的端到端傳送體系結構，具體包括：面向分組數(shù)據可靠生成的協(xié)議棧安全，提出基于語義一致性的終端協(xié)議棧漏洞發(fā)現(xiàn)與修復機制，整體上揭示并解決協(xié)議層間交互的深層安全問題，增強了協(xié)議棧的魯棒性和安全性；面向分組數(shù)據安全傳輸?shù)穆酚赊D發(fā)安全，提出通過安全邊界網關協(xié)議（BGP）和真實路徑驗證為互聯(lián)網提供數(shù)據轉發(fā)真實可信保障能力，從控制平面和數(shù)據平面杜絕流量被惡意劫持、重定向或惡意丟棄；面向分組數(shù)據可信應用的傳送連接安全，提出基于頻域特征和圖結構的惡意分組流量檢測識別技術，對抗加密低速等逃逸手段，實現(xiàn)泛化性，適應多場景，為分組數(shù)據的可信應用提供保證。

通過上述3個有機協(xié)作的組成部分，本文提出的無連接網絡中安全可信的端到端傳送體系結構，整體上增強了互聯(lián)網的安全性和魯棒性，使分組數(shù)據具備了全生命周期的安全可信和主動防御能力，從而有效對抗多樣化的攻擊威脅。

2 面向分組數(shù)據可靠生成的協(xié)議棧安全

協(xié)議棧是網絡空間數(shù)據生成的基礎。在生成和解析分組數(shù)據過程中，不同層次間的協(xié)議需要動態(tài)跨層交互和協(xié)同。如圖2所示，在這一過程中，雖然單層協(xié)議足夠安全魯棒，但將它們組合在一起進行跨層交互，則可能會出現(xiàn)嚴重的安全問題，例如協(xié)議跨層交互二義性問題、信息泄露問題、語義缺失問題、身份欺騙問題等。這些問題一旦被攻擊者觸發(fā)利用，將會對數(shù)據分組的可靠生成（即數(shù)據源）造成嚴重的破壞和威脅。當前，協(xié)議跨層交互安全問題并未引起足夠的重視。本文通過對網絡協(xié)議跨層交互的共享變量及資源進行特征分析，發(fā)現(xiàn)并形式化定義了協(xié)議在交互過程中存在的5種典型安全問題。在此基礎之上，我們還提出了鏈式驗證的防御機制，有效解決了協(xié)議層間交互安全問題，并通過熱修復機制為異構平臺提供統(tǒng)一的漏洞自動修復方法，實現(xiàn)了漏洞發(fā)現(xiàn)、防御和修復的安全閉環(huán)。

▲圖2 分層網絡模型跨層交互安全問題

2.1 TCP/IP分層網絡模型的交互式安全性分析方法

我們發(fā)現(xiàn)了TCP/IP協(xié)議棧模型中存在的5種典型跨層交互式安全問題，并提出了形式化的方法以便對這5種安全問題進行歸納概括，抽象出各類安全問題的共性范式。在TCP/IP網絡協(xié)議棧中，我們假設層A和層B在交換數(shù)據（以層B向層A write數(shù)據為例），將這一過程簡化為兩個實體間的數(shù)據傳遞模型。這里我們揭示了5種跨層交互式漏洞范式：

（1）同步問題引起的二義性。B.write ! = A.read，即在層B對內核中某字段進行狀態(tài)更新后，層A并沒有完整讀取到該更新。這將導致層A讀取的字段值不完整或者不正確，致使層間由于狀態(tài)不同步而出現(xiàn)安全漏洞[5]。

（2）封裝不完備引起的信息泄露。A.field = f (B.key) and observable (A.field) == Ture，即層B中的關鍵字段key屬于隱私受保護信息，不可被攻擊者探測到。但層A中某個可觀測字段值field的計算方法依賴于層B中的關鍵字段key，它可以直接由層B中的關鍵字段key計算獲得，也可以根據層B中的關鍵字段key進行判斷，然后篩選相應的計算方法。封裝不完備將導致攻擊者通過A的字段值field推理出B的關鍵字段key，進而導致信息泄露[2-3]。

（3）語義缺失引起的誤操作。A.write = f(B.payload) &&trace (B.payload) ==False，即層A將根據層B的載荷來執(zhí)行寫操作。但是由于層A無法對層B的載荷進行溯源，即無法驗證其是否偽造或者包含錯誤，因此會默認層B的載荷正確合法。這導致層A會潛在地執(zhí)行錯誤操作，形成惡意攻擊[4]。

（4）輸入源缺乏驗證引起的身份欺騙。A.read==X.write and X!=B，即層A所讀取到的字段來自X，而非來自其所期待的B。由于協(xié)議棧中層A的協(xié)議缺乏對其輸入來源進行驗證的安全措施，層A可能接收到偽造信息進而引發(fā)身份欺騙漏洞[6]。

（5）語義過載引起的誤操作。A.read == B.write and A.write1= f1(A.read) and A.write2= f2(A.read )，即層A能夠正常讀取層B所寫內容，同時層A的某個寫操作write1緊密依賴于從層B讀取到的內容。但是，在進行其他不同的寫操作write2時，該操作也會依賴從層B所讀取到的內容。這將可能導致層B所寫的內容語義過載，進而導致內核發(fā)生誤操作漏洞[2-3]。

描述每類安全問題的共性特征和漏洞規(guī)則，然后借鑒經典的程序分析方法，如污點分析、模型檢驗、符號執(zhí)行等，能夠自動化地挖掘協(xié)議?？鐚咏换ナ桨踩┒矗岣邊f(xié)議棧安全漏洞的分析效率和協(xié)議棧的魯棒性。

2.2 基于輕量級鏈式驗證的協(xié)議棧安全性增強

為了增強協(xié)議棧的安全性，我們提出了一種基于輕量級鏈式驗證的傳輸層安全性增強方法。基于哈希驗證的方式，該方法使TCP連接雙方能夠對傳輸層報文形成彼此可驗證的共識，避免攻擊者或中間人竊取和偽造類似敏感信息，從而消除網絡協(xié)議棧面臨的典型安全威脅。我們重新設計了傳輸層報文的校驗和機制，采用鏈式哈希計算的方式，生成報文中可驗證的checksum字段。每一個傳輸層報文校驗和的計算，是根據當前報文數(shù)據和上一個報文的校驗和計算獲得的。這有助于形成一個完整的校驗鏈，從而能夠對抗攻擊者的偽造和破壞。這種新型的傳輸層報文驗證方式，使傳統(tǒng)報文的校驗和字段信息不再孤立，具備了鏈式完整性傳遞和驗證的功能，可以有效抵御攻擊者針對報文的破解、偽造等威脅，實現(xiàn)了協(xié)議棧安全能力的增強。

2.3 基于語義的異構平臺協(xié)議棧漏洞熱修復

為了有效應對不同系統(tǒng)和平臺的異構性，提高協(xié)議棧防御方法的自動化部署能力和防御效果，我們提出并實現(xiàn)了一種通用的漏洞熱修復機制RapidPatch[14]。該機制支持在不修改原始代碼的情況下，通過實時注入擴展的伯克利數(shù)據包過濾器（eBPF）字節(jié)碼實現(xiàn)通用的Patch。該Patch可以適配所有不同軟件、硬件異構系統(tǒng)上相同的漏洞，在不重啟系統(tǒng)的情況下進行動態(tài)加載并實現(xiàn)熱修復。同時，自動驗證和軟件錯誤隔離機制可有效減少人工測試工作量，確保通過驗證的Patch能在各個平臺上安全地運行。

3 面向分組數(shù)據安全傳輸?shù)穆酚赊D發(fā)安全

協(xié)議棧安全保證了數(shù)據分組的可靠生成，確保了數(shù)據源的真實可信。但在分組傳輸過程中，攻擊者可能會在中間鏈路上進行數(shù)據攔截與篡改、流量竊聽、分組惡意轉發(fā)和錯誤路由等。如圖3所示，為應對分組傳輸過程中的惡意攻擊行為，我們從網絡層控制面、數(shù)據面兩個層次設計安全檢測機制，實現(xiàn)了分組的路由轉發(fā)安全[15-16]?；谝?guī)則檢查的BGP路由信息驗證機制能夠保障控制面真實有效。同時，針對數(shù)據面域間高吞吐、高擴展性要求，我們設計了層次化的可擴展路徑驗證方法，實現(xiàn)了規(guī)?；窂津炞C的技術基礎，保證了分組傳輸路徑的真實可信。使用隨機標識方法可進一步降低路徑驗證開銷。為此，我們提出了更高效的基于隨機標識的路徑驗證機制，實現(xiàn)了靈活可擴展、安全收益明確且可支持域間大吞吐的高效驗證能力。

▲圖3 分組路由轉發(fā)安全

3.1 基于規(guī)則檢測的BGP路由信息驗證

BGP易產生錯誤配置或者受到路由攻擊。由于誤配置或者路由攻擊，任何自治系統(tǒng)（AS）都可以通告自己是每一個前綴源的所有者，即實施前綴劫持攻擊，或者通告一個不存在的AS路徑，即偽造路徑攻擊。因而，目的網絡會被劫持并產生路由黑洞。對此，我們提出了基于規(guī)則檢測的BGP（TBGP）路由驗證方案，通過在路由器上檢測路由是否符合BGP路由通告的規(guī)范來驗證路由，并實現(xiàn)了一種自動路由過濾機制。在TBGP中，如果一個BGP路由器在出口過濾器中成功驗證路由通告（即符合路由驗證規(guī)則），則路由器簽名這個路由。鄰居路由器通過在入口過濾器驗證路由簽名的有效性，可以確定這個路由通告是否符合BGP的路由通告規(guī)范。通過這個機制，TBGP路由器可以在每個路徑中建立一個可傳遞的信任關系[17]。

3.2 層次化的可擴展轉發(fā)路徑驗證機制設計

為了簡化控制平面的設計，降低分組轉發(fā)路徑驗證的復雜度，實現(xiàn)可擴展的分段轉發(fā)路徑驗證，我們通過在AS之間建立信任聯(lián)盟，實現(xiàn)了層次化的可擴展分組轉發(fā)路徑驗證機制。AS按照位置可以劃分為3種角色，即主域、邊界域以及非主非邊界域。這里的主域是指子信任聯(lián)盟的代表節(jié)點，用于同其他子信任聯(lián)盟的主域建立聯(lián)系。這樣信任聯(lián)盟之間最后形成的是樹狀關系，不在同一分支下的AS之間不會有直接建聯(lián)的關系。邊界域是位于子信任聯(lián)盟邊界的域。數(shù)據包從該域發(fā)出，即發(fā)往其他子信任聯(lián)盟或者發(fā)出信任聯(lián)盟。非主非邊界域是指既不是主域也不是邊界域的域。上述信任域的構建能夠實現(xiàn)層次化的分段轉發(fā)路徑驗證，有助于將端到端的完整路徑驗證拆分成分段的信任傳遞，達到基于層次化和分段機制的可擴展路徑驗證能力[7]。

3.3 基于數(shù)據包隨機標識的高效真實性路徑驗證

在層次化的路徑驗證機制基礎之上，我們提出了數(shù)據包標識的隨機添加及驗證機制，進一步實現(xiàn)低開銷、高效率的域間轉發(fā)路徑驗證能力[8-9]。從流的角度出發(fā)，我們提出基于數(shù)據包隨機標識的高效真實性路徑驗證機制。該機制使源、目的節(jié)點能夠有效驗證數(shù)據包經過的自治域路由節(jié)點是否和預期一致?；趯哟位湃危咝д鎸嵭月窂津炞C共享各自治域路由節(jié)點之間的動態(tài)標簽；使用動態(tài)標簽為每個數(shù)據包生成驗證碼，并將其作為源、目的節(jié)點與路由節(jié)點驗證數(shù)據包的標識；結合隨機標識技術降低路由節(jié)點開銷和網絡通信開銷，從而實現(xiàn)基于數(shù)據包隨機標識的高效真實性路徑驗證。

4 面向分組數(shù)據可信應用的傳送連接安全

在協(xié)議實現(xiàn)與分組轉發(fā)安全可信的基礎上，攻擊者也可能會利用安全可信的基礎設施進行攻擊，發(fā)送惡意的數(shù)據包到合法流量中，危害互聯(lián)網端到端通信安全，破壞應用服務的可用性。因此，傳送連接不可信條件下的分組數(shù)據的可信應用是另一個關鍵安全需求。然而，分組數(shù)據流中惡意分組的檢測與剔除目前仍存在很大的挑戰(zhàn)。主要原因在于傳統(tǒng)的惡意流量檢測方案通常僅針對少數(shù)已知的攻擊和低速網絡設計，而且無法應對流量動態(tài)變化的特征，即沒有考慮攻擊者的逃逸行為。如圖4所示，我們提出了基于頻域特征的惡意流量實時檢測方案和基于圖結構的高效隱蔽惡意行為檢測方案，兩組檢測方案可以分別識別短期與長期惡意數(shù)據行為。

▲圖4 傳送連接不可信條件下的惡意流量檢測

4.1 基于頻域特征的惡意流量實時檢測

基于頻域的檢測方案針對短時惡意行為，解決了傳統(tǒng)惡意流量檢測系統(tǒng)中檢測速度和魯棒性不可兼得的難題，最終實現(xiàn)了在高帶寬環(huán)境下對抗逃逸行為的實時魯棒性檢測。

基于頻域特征的惡意流量實時檢測主要包含兩個模塊：頻域特征抽取和輕量級的機器學習。頻域特征抽取模塊首先對觀測到的高速流量進行解析，以獲取原始的細粒度逐包特征，對逐包特征進行壓縮編碼；隨后對于編碼后的特征進行頻域特征抽取，并將頻域變換作為特征增強方法來進一步降低特征冗余性，提升特征有效性；最后利用對數(shù)變換，防止檢測過程中機器學習算法的數(shù)值出現(xiàn)不穩(wěn)定。該方法采用輕量級無監(jiān)督機器學習算法，來學習流量的頻域特征向量，在檢測階段將聚類損失率大的流量標注為異常流量。通過真實世界實驗證實，采用頻域分析的方法能精準檢測拒絕服務（DoS）、側信道等42種典型惡意流量，并保證單核1.65 Gbit/s的吞吐量和毫秒級延遲[11]。

4.2 基于圖結構的高效隱蔽惡意行為檢測

基于圖結構的檢測方案針對長期惡意行為，解決了傳統(tǒng)檢測方案不能應對低速加密且隱蔽的惡意流量問題，最終實現(xiàn)了多場景通用的低速隱蔽惡意流量檢測。流量交互圖可有效表示網絡用戶的長期交互信息，能夠挖掘異常的交互模式，檢測出隱蔽的加密惡意流量。

在構建出流量交互圖之后，我們使用四步輕量級圖學習方法，利用圖結構上維護的豐富歷史交互信息來檢測加密的惡意流量。（1）通過提取強連通分量來分析圖的連通性，并通過對粗粒度統(tǒng)計特征進行聚類來識別圖上異常的強聯(lián)通分量。其中，排除正常的聯(lián)通分量可顯著降低圖學習算法的開銷。（2）由于邊特征具備局部鄰接性，使用圖學習算法對邊進行預先聚類，可以顯著降低特征處理開銷，保證檢測的效率。（3）使用Z3 SMT（指一種求解器）求解頂點覆蓋問題，以提取關鍵頂點，然后逐一分析關鍵節(jié)點就可以分析全部的邊。（4）對連接到相同的關鍵節(jié)點的邊特征進行聚類，從正常交互模式相關的邊當中區(qū)分異常的交互模式相關的邊，即識別表示加密惡意流量的邊。在80個場景下，該方法能高精度地檢測各類異常流量，包括傳統(tǒng)暴力洪范攻擊流量、低速率探測流量、加密的洪范流量、代表性惡意軟件流量。相比于傳統(tǒng)方案，基于圖結構的檢測方案可以實現(xiàn)17.5%～31.2%的檢測準確度提升[12]。

5 結束語

針對無連接網絡中安全可信的端到端傳送這一關鍵問題，我們基于互聯(lián)網的工作原理，從分組數(shù)據的可靠生成、安全傳輸和可信應用3個階段出發(fā)，提出了基于語義一致性的協(xié)議棧漏洞發(fā)現(xiàn)與修復機制、隨機協(xié)作的分組惡意轉發(fā)檢測機制、基于頻域特征和圖結構的傳送連接可信機制，改善了互聯(lián)網現(xiàn)有協(xié)議實現(xiàn)不安全、分組轉發(fā)不安全和傳送連接不可信的現(xiàn)狀，整體增強了互聯(lián)網提供正常、有序服務的能力。同時，本文所提出的技術方法已在奇安信、新華三等實現(xiàn)產業(yè)化和規(guī)模化應用。