拟态防御:让黑客找不到破门之机
2017-01-23魏亮
物联网时代,万物互联,使得网络安全形势愈发严峻。虽然防护措施不断更新迭代,却依旧无法对抗黑客,症结在何处?计算机与网络技术专家、中国工程院院士邬江兴表示:“造成网络安全防御‘易攻难守的主要技术原因是,现有的科技水平尚未形成穷尽与彻查信息系统软硬件代码问题的理论与方法。”面对这些隐身于各处的未知漏洞、后门,即便采用入侵检测技术、防火墙技术、密码加持技术构筑起一道道“铜墙铁壁”,如果感知不到具体威胁在何处,就形同虚设。
在太平洋,有一种“聪明”的生物叫条纹章鱼。据说,它能模拟至少15种海洋生物,通过变换颜色、条纹等迷惑攻击者,降低攻击的有效性,就像孙悟空的七十二变。邬江兴将这种防御策略称为“拟态防御”,并借用钱学森的系统工程思想——“从复杂问题的总体入手,认为总体大于各部分之和,各部分虽较劣但总体可以优化。”也就是说,忽略各个构件存在的漏洞,从总体上将生物界的拟态防御原理导入网络安全领域,构建一种新的网络防御系统,即功能等价条件下异构冗余多维动态重构机制。其特别之处在于系统中放一个构件池。构件像小孩玩的积木,通过拼装组合成不同的“计算装置”(比如计算器、计算尺)。系统通过策略调度和多维重构,动态地生成富于变幻的“计算装置”组合。当执行指令时,“计算装置”的组合处于复杂变换状态,而装置的功能从未改变。巧妙的是,从系统外观察,计算装置的漏洞与后门随着装置变换而不停变化。
相比传统精准防御,拟态防御不以弄清木马病毒与漏洞后门的性质为前提,不依赖于先验知识——不断更新的病毒库,而依靠系统的内生防御技术。邬江兴进一步解释:“‘拟态防御拥有明显的创新性,但也不是放之四海皆准的原理。”实现拟态防御的前置条件,首先是要存在可判定异构冗余体之间功能等价性的“拟态界”,还需要在给定功能性能下存在软硬构件多元或多样化供应条件,再就是该技术适合于兼具高安全性和高可靠性的应用领域,而且由于成本大幅增加,初始阶段投资回报率不高,更适用于高成本投入的安全领域。(魏亮摘编自《科技日报》2016年12月5日第6版,作者:何亮)