內生安全賦能網絡彈性研究

引言

隨著數字化轉型的深入及數字經濟的蓬勃發展，網絡空間迅速擴張到生產生活的方方面面。網絡技術的普及與進步，一方面降低了成本，促進了生產；另一方面，網絡空間因其復雜的依賴關系又呈現出前所未有的不穩定性和風險。網絡威脅表現出的不可預測性、極端不確定性和快速演變等使得網絡安全防御問題愈發突出，尤其是針對系統未知漏洞后門的不確定性威脅和高級持續性威脅(Advanced Persistent Threat，APT)令人防不勝防[1]。既然無法實現絕對安全的防護，那么必須要進一步提高對目前這種高危網絡環境的適應性，確保即使在網絡攻擊環境下也要順利完成任務[2]。因此，網絡系統的防護重點應從單純的網絡保護向遭受攻擊后仍能確保核心任務準確完成方向轉變，必須適應不斷變化的威脅，保持重要的系統功能并從攻擊的影響中恢復，即具備“網絡彈性”。

網絡彈性被定義為使用網絡資源或由網絡資源支持的系統面對不利條件、壓力、攻擊或損害情況下的預防、抵御、恢復和適應能力[3]。網絡彈性強調從任務視角去保障系統，重點考慮如何在防護失效的情況下也能確保任務達成。隨著攻擊者們入侵能力的增強，安全形勢進一步惡化，網絡彈性戰略正在逐步成為應急響應管理計劃的重中之重。為了實現彈性，需要考慮整個系統周期，包括設計、構建、分配、安裝以及投入運行，從開始直到系統結束使用都應該部署網絡彈性，以促進各子系統之間的協調性，維護網絡系統業務平穩運營[4]。

近年來一些研究提出了不同的技術及策略用以增強網絡彈性，如NIST網絡彈性工程給出了一個方法庫[3]，但整個方法庫中的目的、目標、技術、方法、設計原則等內容，彼此之間更多是并列的可選項，缺乏邏輯和構造上的層次關系、先后順序分析和系統性增益考量，對網絡彈性開發的可操作性缺乏顯而易見的指導。同時，網絡彈性技術方法原則均是以目標對象功能或性能異?？筛兄獮榍疤幔軌虬l現企圖利用目標對象漏洞的外部攻擊，但無法解決基于未知漏洞后門的不確定性威脅問題。

為解決“未知的未知”威脅問題，鄔江興院士及其團隊借鑒系統工程理論、可靠性設計理論、生物仿生和免疫理論等，在國際上首次提出“結構決定安全”新理念，開創了基于信息系統架構設計的網絡空間內生安全新范式[5]。內生安全理論首先定義了內生安全問題，即任何事物，如果在本征功能外還存在不良(或非期望)的副作用、暗功能，或者一個系統或模型內存在由構造決定的互為依存又存在矛盾關系的“內生或內源性因素”，稱為內生安全問題[6]。對于網絡空間而言，軟件設計的脆弱性問題盡管人們很早就認識到并為之進行了不懈努力，但至今也沒有找到理想的解決方案。

內生安全理論指出，網絡安全防御領域存在三個核心的技術要素，即動態性/隨機性(Dynamics/randomness)、多樣性/異構性(Variety/heterogeneity)、冗余性(Redundancy)，對于增加不確定性和防范未知威脅至關重要。并且，如果不能獲得三個核心要素(D、V、R)的完全交集，那么就無法防范網絡空間未知安全威脅問題[7]。基于上述思想，內生安全理論提供了具有創新性的動態異構冗余(Dynamic Heterogeneous Redundancy，DHR)廣義魯棒賦能架構，能夠在不依賴先驗知識前提下有效抑制構造內存在的“已知的未知”“未知的未知”異常擾動導致的不利影響，自然地獲得高可靠、高可信和高可用三位一體的內生安全屬性，聚焦于支撐組織使命及業務的能力，賦能網絡系統具備網絡彈性。

基于上述理念，本文提出了內生安全架構賦能網絡彈性工程，詳細介紹了內生安全構造在網絡彈性整個生命周期的賦能方法：預防環節實現未知威脅的感知識別；抵御環節提供對基于漏洞后門的網絡攻擊以及緣于隨機錯誤的系統故障的綜合抵御能力；恢復環節利用異構資源快速進行故障組件的替換和系統重構，迅速恢復服務能力；適應環節可通過智能的策略裁決與異構資源調度實現自適應的系統演進。

1 相關工作

1.1 網絡彈性

“網絡彈性”是美國學術界提出的概念，最早可以追溯到MITRE于2010年發表的文章[2]。不同于網絡安全，網絡彈性強調從系統基本任務功能的角度出發，要求這些基本功能在經受威脅攻擊、誤操作或是意外事故時仍然能運作其基本任務業務功能，并能完成恢復功能、適應此類狀態的過程，網絡彈性可能讓網絡資源在不利條件下局部受損，不會保證系統的安全性和完整性。網絡彈性來源于網絡設備自身的功能和安全設計、以及網絡架構的各種配置策略和響應機制，要求基礎設備、體系架構、運行機制等方面具備風險預測能力、主動抵御能力、功能快速恢復能力、動態調整適應能力。MITRE將網絡彈性定義為網絡資源面對不利條件，承受壓力、攻擊或者損害環境下的預防、抵御、恢復和適應的能力[3]。在此基礎上，提出了網絡彈性工程框架，涵蓋4個目的(goal)(預防、抵御、恢復和適應)以及衍生出來的8項目標(objective)和14項技術集合。網絡彈性的概念得到美國軍方乃至美國聯邦政府的高度重視之后，美國政府部門的多個機構也從各自的視角對網絡彈性的概念和理解進行了闡述，其重點仍是“以風險管理框架為指導方法”，“建立起可防御的、可生存的、可信賴的系統”。

盡管網絡彈性的概念得到了各方的高度重視，被認為是關鍵基礎設置和網絡防御的戰略焦點，但是圍繞如何構建優良的網絡彈性系統架構的研究仍然充滿挑戰。本文將當前網絡彈性的瓶頸問題主要總結為以下幾點。

1)缺乏一體化架構支撐。從開發網絡彈性系統工程的初期，探索構建優良的網絡彈性系統體系架構就始終是網絡安全和網絡彈性學術界和工業界高度關注的問題。但目前為止在SoS項目中可檢索到的研究仍沒有取得明顯突破。

2)回避未知攻擊挑戰?，F有網絡彈性工程框架的出發點是以保障關鍵任務和業務流程順利執行為核心目的，主要強調在發現任務或業務異常后能夠及時克服異常并恢復正常服務，思維視角主要是通過對任務或業務異常(尤其是中斷等顯性異常)的檢測和感知來觸發恢復，對未知網絡攻擊導致的隱性任務或業務異常關注不夠，特別是難以察覺的任務或業務異常。

為解決上述難題，我們可以從內生安全理論中尋找一些啟示。

1.2 內生安全

一般來說，任何事物如果在本征功能外還存在不良(或非期望)的副作用、暗功能，或者一個系統或模型內存在由構造決定的互為依存又存在矛盾關系的“內生或內源性因素”，稱為內生安全問題[6]。2013年起，鄔江興院士率領團隊開創性地提出了內生安全理論。該理論將當前網絡安全防御范式的思維視角從“亡羊補牢”的被動防御變換為不依賴(但不排斥)先驗知識的主動防御，從“封門補漏”的方法論轉變為基于“構造決定安全”的系統工程論，從“盡力而為”的不確定實踐規范躍遷為安全性可量化設計與驗證度量的精確實踐規范。網絡空間普遍存在內生安全共性問題，實現網絡空間的內生安全則是避免內生安全共性問題帶來的功能安全風險或威脅。需要注意的是，內生安全共性問題通常不會直接產生負面性影響，它們只有在受到外部因素擾動情況下才有可能構成功能安全風險或威脅[7]。比如，未知漏洞需要被發現然后構造基于漏洞的攻擊才能威脅網絡空間的功能安全，后門則需要攻擊者激活后門才能執行網絡攻擊。也就是說，攻擊者需要發現網絡空間存在的內生安全共性問題，才能通過可達的攻擊面及可利用的軟硬件資源，進而建立有效的攻擊鏈來構成網絡空間的功能安全風險或威脅。

內生安全理論指出，網絡空間安全的三要素為動態性、多樣性、冗余性。動態性可為網絡空間帶來不確定性，從而提高攻擊難度；多樣性也稱異構性，它可為網絡空間帶來非相似性，從而使攻擊者無法簡單地將某目標成功的攻擊經驗直接應用到相似目標的攻擊中；冗余性可為網絡空間帶來可靠性，從而確保網絡空間部分組件被攻破時仍能正確提供網絡服務。

綜上所述，目前網絡彈性對系統開發的可操作性缺乏顯而易見的指導，而內生安全理論能夠提供賦能網絡彈性工程框架的新思路。圍繞構建優良的網絡彈性系統架構這一核心問題，本文提出內生安全賦能網絡彈性統領性架構，并分析其如何感知和抵御未知威脅。

2 內生安全系統架構賦能

2.1 系統架構是網絡彈性的基石

在網絡彈性工程領域，MITRE(The MITRE Corporation)、NIST(National Institute of Standards and Technology)等組織對系統架構設計同樣給予了高度關注，彈性架構(Resilient Architectures)被認為是網絡空間安全領域的五個硬問題之一[8]。

NIST給出的網絡彈性工程框架如圖1所示，其主要方法是首先定義網絡彈性的目的(Goals)，再將目的逐步細化為目標(Objectives)、子目標(Sub-objectives)、行動或能力(Activities/Capabilities)。進一步，通過定義技術方法來支撐各個行動或能力，通過行動或能力的達成，支撐網絡彈性目的實現。然而，正如第二章中所述，NIST給出的網絡彈性工程框架看似豐富，實則缺乏整體性，其提供的各種網絡彈性技術方法、設計原則需根據具體情況“選擇性”使用，缺乏整體架構的設計考量。從系統工程的角度而言，系統組件和系統整體之間并非是簡單的疊加關系，網絡彈性系統層面的關鍵能力必須通過系統架構設計獲得。如圖2所示，組件的各項能力應先由架構進行統一，然后再考察系統架構的能力是否滿足彈性的各項目標。因此，本文基于內生安全理論提出一種新的動態異構冗余架構，一方面能夠有效抑制未知的網絡威脅或攻擊，另一方面能夠整體性滿足預防、抵御、恢復、適應網絡彈性四大目的核心內涵，為破解網絡彈性體系結構硬難題提供了帶引領性、根本性和全局性的架構創新方案。

圖1 NIST網絡彈性工程框架示意

圖2 基于系統架構的網絡彈性工程示意

2.2 內生安全DHR架構

如1.2節中所述，內生安全DHR構造同時具備動態、異構、冗余三個特性，并且具備反饋控制、執行體清洗等機制來消除執行體記憶，這樣的構造能夠實現網絡空間內生安全。

內生安全DHR構造的典型架構如圖3所示。

圖3 內生安全DHR架構示意圖

內生安全DHR構造由輸入代理、異構構件集合、策略調度算法、執行體集合和多模表決器組成。其中輸入由輸入代理分發到執行體集合中的各個執行體，執行體根據策略調度算法從異構構件集合E中選取，形成執行體集合A。異構構件集合由標準化的軟硬件模塊可以組合出 m 種功能等價的異構構件體(E1，E2，...，Em)，根據策略調度算法，系統從E中選出k個構建體作為一個執行體集合A=(A1，A2，...，An)。執行體集合中的各個執行體產生的輸出經過多模表決器裁決生成系統輸出。若執行體產生的輸出存在不一致，則觸發策略調度算法。我們將輸入代理和多模表決器也稱為“擬態括號”(Mimic Bracket，MB)。擬態括號內通常是一個符合 IPO (Input-Process-Output) 模型的防護目標集合，如圖4所示。

圖4 擬態IPO模型

內生安全DHR架構在保證服務集合功能不變條件下，引入基于多模裁決的策略調度和多維動態重構魯棒控制機制，賦予系統測不準特性，使目標系統在抑制廣義不確定擾動方面具備可迭代收斂的動態性、隨機性、多樣性。此外，執行體之間需要執行嚴格的隔離，以阻斷執行體之間的協同途徑或盡可能地消除攻擊者可利用的同步、共享機制，最大限度地提高對軟硬件差模故障或隨機性失效的容忍度?？傊珼HR架構存在以下優勢特性[6]。

1)安全問題降維變換。DHR能將這些種類繁多、看似雜亂無序的安全問題，通過系統架構降維變換成能用概率工具表達的差?；蚬材Ｐ再|的簡單問題，為利用成熟的容錯糾錯和自動控制理論與技術解決或規避這些尋常性工程問題提供了基礎性的支撐。理論上，DHR構造的網絡安全防御效果與是否知曉不確定擾動原委弱相關甚至不相關，但這并不影響恰當地導入人工智能和大數據等后臺分析處理功能，實現從“知其然”到“知其然也知所以然”的轉變。利用運行日志、現場快照及異常狀態保留等記錄信息，借助日益成熟的智能化分析工具可針對性地發現或定位未知漏洞后門、病毒木馬以及相關攻擊資源與手段。

2)融合附加式安全技術。內生安全DHR架構不排斥傳統安全技術，而且與傳統安全技術結合可以獲得非線性的防御增益。比如，在部分或全部可重構的執行體中差異化地部署入侵隔離、檢測、預防等傳統手段，或者采用防火墻、蜜罐、沙箱、殺毒軟件、查補漏洞等多樣化的技術措施，或者應用動態化、虛擬化遷移以及加密認證等主動防御技術，其作用都是提高執行體之間的異構度，而異構度的增加能給非配合環境下的協同攻擊帶來更大的不確定性，從而提高內生安全DHR架構發現攻擊的概率。表1展示了DHR賦能網絡彈性工程框架的設計原則和技術方法。DHR架構的作用在于，整合了動態性、多樣性、冗余性等相關技術方法、設計原則，提供了一般性的指導架構。

表1 DHR賦能網絡彈性工程框架的設計原則和技術方法

2.3 未知威脅的感知與抵御

現有網絡彈性工程的基本思維視角是高級持續威脅(APT)難以檢測，只能盡量采用事先多做預防(如減少攻擊面、分割分段、嚴控訪問等)、事后盡快彌補恢復(冗余替換、重組、轉移等)的策略，在系統任務和業務執行過程中加強對任務和業務功能及性能指標異常的靈敏性、全面性監測，以便盡快觸發異常處理和恢復進程。典型的網絡彈性工程期望愿景如圖5所示，系統在監測到功能性能指標下降后及時啟動修復進程使得任務和業務能持續運行。

圖5 傳統網絡彈性功能破壞和恢復演變示意

為了更好地刻畫高級持續威脅攻擊的進程，可以用網絡攻擊鏈示意圖的方式給出各個攻擊階段的劃分，如圖6所示。

圖6 典型的網絡攻擊鏈示意圖

為更直觀地展示現有網絡彈性的不足，我們在圖6代表的典型網絡彈性演變圖中增加網絡攻擊的進展標注，使得網絡彈性圖既顯示功能性能演變更揭示網絡攻擊進程演變，如圖7所示。

圖7 現有網絡彈性缺乏對APT攻擊本身的早期感知能力

事實上，圖7顯示網絡攻擊是因，任務/業務功能性能異常是果，上半部分的紅色虛線顯示網絡攻擊歷經偵察、武器化(利用對方系統缺陷設計攻擊手段)、投遞、利用、控制等潛伏過程，到執行階段爆發，導致相應的任務/業務功能性能異常，觸發網絡彈性干預和恢復機制，待任務/業務功能性能恢復后，可能反映出上一波網絡攻擊維持階段的終止，同時下一波網絡攻擊又在醞釀，可能是以更隱蔽更進化的方式。DHR架構打破了傳統上多樣性、冗余性僅僅提供資源備份、替補修復的能力假設，通過異構性冗余配置的交叉驗證提供了前所未有的對“未知的未知”網絡攻擊的超強感知能力。同時，DHR架構中的策略裁決也兼具對任務/業務功能性能指標的靈敏感知能力，這樣DHR架構就很好地把傳統網絡彈性的任務/業務運行狀態感知和內生安全網絡攻擊感知無縫的結合到一起，為支撐內生安全網絡彈性思維視角提供了技術架構基礎支撐。這種賦能可以將圖7中未感知到的紅色攻擊線轉變為圖8中可感知到的綠色攻擊線。由圖8可直觀地看到，以綠線表示的對手多次嘗試的APT攻擊被扼制在攻擊的早期(也就大大威懾了對手發起后續攻擊的意愿)，以黑藍色線表示的系統功能性能曲線始終維持平穩，避免大的起落，可更好地避免系統任務和業務功能性能的異常。

圖8 具備對“未知的未知”攻擊檢測防御的網絡彈性演變

2.4 DVR完全交集賦能網絡彈性工程設計實現

網絡彈性工程建立于系統安全工程之上，并借鑒吸收了可靠性、可生存性、容錯性、彈性工程、通信網絡彈性、關鍵基礎設施系統彈性、應急保障等相關領域的概念和技術。然而，如何將上述概念、技術和方法集成到彈性系統中從而實現未知威脅的感知和抵御、如何將來自不同專業學科的設計原則結合成網絡彈性的普適性原則等問題仍缺少系統性的研究。下文將基于內生安全理論，為支撐網絡彈性工程的設計原則交互、各類專業學科相關技術和方法的再適配再創新提供理論指引。

針對網絡空間未知威脅問題，內生安全理論提出了DVR交集原理。原理指出，在不依賴先驗知識的條件下，只要DVR三者間不完全相交，就無法防范網絡空間未知安全威脅問題[7]。例如，對于DV交集來說(典型技術實踐包括移動目標防御，MTD)，多樣化目標對象中只要存在一個防御者未知的后門，通過內外協同方式，攻擊者至少可以達成竊取或篡改敏感信息的攻擊目的；對于VR交集來說(典型技術實踐包括非相似余度構造，DRS)，如果多個冗余體上分布存在攻擊者已知但防御者未知的漏洞后門時，攻擊者可以采用逐個“爆破”或逐個“滲透”的方式，實現對系統整體的攻擊。

圖9列出了NIST給出的14項技術和14個設計原則在DVR域的映射結果?？梢钥闯?，現有網絡彈性框架中的設計原則與技術均沒有落在DVR完全交集之內。因此，當前的網絡彈性框架給出了分別涉及動態性、多樣性和冗余性的多項設計原則和技術，但是，由于缺乏將動態性、多樣性和冗余性三者有機融合的架構和技術，現有的網絡彈性框架并不能解決網絡空間未知安全威脅問題。然而，如果一種構造或算法同時具備動態性(D)、多樣性(V)和冗余性(R)三要素的完全相交表達(如DHR架構)，則即使在缺乏先驗知識條件下，也能有效應對基于構造內任何未知漏洞后門、病毒木馬等的差模攻擊，以及隨機性或不確定性因素引發的差模性質擾動造成的功能失效影響。此時，一個信息物理系統中的未知安全威脅，不論是否源于隨機性或不確定性攝動，還是源于人為或非人為因素擾動，都可以表達為DVR域上差?；蚬材Ｐ再|問題。綜上所述，內生安全理論成果從正反兩個方面為借鑒其它專業學科的理論和技術構建年輕的網絡彈性工程學科提供了理論指引，同時，也為內生安全架構賦能抵御未知威脅提供了理論基礎。

圖9 NIST網絡彈性設計原則和技術在DVR域的映射

3 總結

自2010年MITRE提出最初概念至今，網絡彈性已走過了十余年的發展歷程，然而，當前網絡彈性工程仍存在“缺乏一體化架構支撐技術”“回避未知攻擊挑戰”等問題。本文針對上述問題闡明了內生安全構造賦能網絡彈性的主要優勢，結論總結如下：

1)系統架構是網絡彈性的基石，網絡彈性工程應遵循“結構決定性質、整體大于部分之和”的基本原理，首先關注系統架構設計；

2)DHR架構能夠將傳統網絡彈性的任務/業務運行狀態感知和內生安全網絡攻擊感知結合起來，拓展網絡彈性防御的思維視角，同時為網絡彈性工程提供理論指引。