网络空间拟态防御原理简介(下)
2017-05-26邬江兴院士
◎邬江兴院士
编者按:网络空间拟态防御是邬江兴院士研究团队首创的主动防御理论,可为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁,提供具有普适创新意义的防御理论和方法。拟态防御为实现网络安全再平衡战略提供了全球可以依赖的理论和技术基础,是中国的创造,也是网络世界的福音。上期主要介绍了网络空间面临的安全威胁、传统防御体系的脆弱性、脊椎动物免疫机制等内容,在《网络空间拟态防御原理简介(下)》,邬江兴院士将对网络空间拟态防御的愿景、模型、工作原理,以及国家有关部门对其有效性的测试评估情况进行介绍,对其深入应用进行分析预测。
五、网络空间拟态防御
1.拟态现象与拟态伪装
一种生物在色彩、纹理和形状等特征上模拟另一种生物或环境,从而使一方或双方受益的生态适应现象,称为拟态现象。按防御行为分类可将其列入基于内生机理的主动防御范畴,可以称为拟态伪装。拟态现象在生物界其实很普遍,林林总总,光怪陆离。如果生物体不仅在色彩、纹理和形状上,而且在行为和形态上也能模拟另一种生物或环境的拟态伪装,我们称之为拟态防御。
2.生物界拟态防御大师——条纹章鱼
被称为拟态章鱼的条纹章鱼,也许是生物界的拟态防御大师。据研究,它可以至少模拟15种以上海洋生物,可以在珊瑚礁环境和沙质海底完全隐身。能在本征功能不变条件下,以不确定的色彩、纹理、形状和行为变化给攻击者造成目标认知困境,极大地削弱攻击的有效性与可靠性。
3.拟态防御在军事领域的应用
“拟态防御”在军事领域的典型应用就是隐形飞行器或舰船,目的就是要尽可能的在对方雷达屏幕上隐匿自己的踪迹和特征。例如美国的F22,将近30吨重的战斗机在雷达屏幕上的特征仅相当于一只大雁;而上万吨的驱逐舰DDG1000,雷达屏幕上的特征也只不过类似于一条小渔船。
4.运用系统工程思想解决问题
钱学森老先生曾经指出“从复杂问题的总体入手,认为总体大于各部分之和,各部分虽较劣但总体可以优化。”这就给出了运用系统工程思想解决“用可信性不能确保的软硬构件搭建安全可控信息系统”问题的方法。就像是自然界里,同样是碳原子,不同的排列结构就决定了钻石和石墨具有截然不同的物质硬度和其它特性。
5.网络空间拟态防御的愿景
网络空间拟态防御的愿景是,能够应对拟态界内未知漏洞后门等导致的未知风险或不确定威胁;拟态防御的有效性由架构内生防御机制决定而不是依赖现有的防御手段或方法;不以拟态界内软硬构件的“可信可控”为前提,适应全球化开放生态环境;能够融合现有的任何安全防护技术并可以获得超非线性的放大防御效果。期望解决基于不可信供应链构建“自主可控、安全可信”系统的“网络时代经济学”难题;最大程度降低攻击者经验的可复现性和传播价值;显著提高攻击者入侵难度和获利代价,逆转“易攻难守”格局。最终寻求“构造决定内生安全”的革命性防御能力。
6.网络空间拟态防御模型
系统从构件池获取功能构件,并经多维重构和策略调度形成服务集k的异构冗余执行体,由动态生成的服务k提供系统当前的服务。期望在给定功能或性能不变条件下,拟态界内的异构冗余执行体可以在时间、空间两个维度上实现结构上的相异性和冗余性改变,包括对寄生其上的未知漏洞、后门等的改变。其基本工作流程是,输入序列由输入代理分发给服务集k的各执行体,他们的输出经过归一化处理再实施多模表决,多数相同的结果被选择输出。显然,除非服务集k的各异构执行体中的未知漏洞能被相同激励触发并产生完全相同的错误输出,否则,即使各执行体中都存在未知的安全问题也无法瓦解拟态防御。于是,除了给定服务功能不变外,目标对象(包括未知漏洞后门、病毒木马等)始终处于时空变化中。不确定性威胁被异构冗余架构转化为“异构执行体同时出现完全或多数相同性错误内容的判定问题”,即“未知的未知威胁”被拟态物理机制转化为“已知的未知风险”控制问题,成为可用概率等数学方法或工具分析和表述的问题。
7.拟态防御的基本目标——“改变网络安全游戏规则”
拟态防御的基本目标是:要在后全球化时代、开源开放产业模式、“相互依存”关系常态化的生态环境中,基于“有毒带菌”不可信、不可控的软硬构件,搭建基于创新的动态异构冗余体制的信息系统,并能提供不依赖但不排斥传统防御方法的安全可信可靠的信息服务。基于创新理论和方法,首先将确定性攻击转变为效果不确定的攻击事件,其次将效果不确定性事件再转换成为概率可控的可靠性问题,试图从根本上降低不确定威胁对目前网络攻防不对称游戏规则的影响,开辟网络安全再平衡的新方法和新途径。
8.拟态防御工作原理
拟态防御工作原理是:一个功能等价的异构执行体的集合F,在t1时刻随机从F中选取k个执行体提供带有裁决机制的输入输出服务,在t2时刻作类似动作,在后续的时刻依次类推。在功能等价条件下,动态异构冗余构造的防御界内,在时空维度上具有多维动态重构机制,未知漏洞后门或者病毒木马及攻击链会随着防御场景作不确定性的改变。
9.动态异构冗余构造的安全机理
从攻击者的角度来说,面对多元动态异构空间的攻击,需要实现非配合条件下的多元目标协同攻击,还要在环境动态性和随机性变化情况下保证攻击的阶段性成果,而环境的动态性和随机性使阶段性攻击成果很难具有可继承性和可再现性,这使得任何基于目标对象漏洞后门等的攻击几乎不可能达成预期的目的。
显然,拟态防御将攻击难度提升了三个层次:从现在的基于静态空间的单一确定目标攻击难度,增强为静态异构空间的多目标协同一致攻击难度,再增强为“动态异构空间,多元目标协同一致攻击”难度,难度等级呈非线性提升,“即使攻击成功,也只是一次”。
拟态防御的基本原理也可以视为不确定威胁被动态异构冗余物理架构归一化为拟态界内同时出现完全或多数相同错误的可靠性问题。
10.拟态防御构造的内生属性
拟态防御架构本质上是一种具有集约化属性和普适性意义的“四位一体”信息系统架构技术,能够提供主被动防御一体化,服务提供与安全防御一体化,内生安全与可靠性一体化,高可用与高可信一体化的功能。正如三角形具有几何意义上的稳定性内涵一样,理论上可以证明拟态界内:拟态防御架构对“已知的未知风险”或“未知的未知威胁”具有相同的防御功效,且与架构内生机制强相关。这使得信息系统能够具备类似生物体的非特异性免疫机制,能够在缺乏攻击特征信息的情况下,对确定或不确定威胁实施有效的“面防御”。
六、国家测试验证评估概况
拟态防御的有效性虽然在理论上已经得到证明,但工程实践效果如何仍需要严格的测试验证和分析评估。
2016年1月,国家科技部委托上海市科委组织中国科学院信息工程研究所、国家信息技术安全研究中心、中国信息通信研究院、军委装备发展部第61研究所、上海交通大学、浙江大学、北京奇虎科技有限公司、启明星辰信息安全技术有限公司、安天科技股份有限公司等业界权威检测单位,组成联合众测团队,历时5个月,分别从原理研讨与验证测试方案制定、规范标准对比测试、互联网渗透测试和验证测试总结分析四个阶段开展测试验证工作。先后有21名院士和110余名同行专家参与不同阶段测评工作。
测评对象为两种拟态应用场景:一是,属于信息通信网络基础设施范畴的拟态路由器原理验证系统,另一个是属于网络信息服务范畴的拟态web服务器原理验证系统,并且测评对象的所有软硬构件都是“来自全球市场的商品化产品”,共完成三轮联合测试,进行了13类、113项、204例验证测试。
采取了黑盒测试、白盒测试、渗透测试、对比测试等多种测试方法和手段,也包括直接设置后门或配合注入木马病毒代码等极端方式。采取了能够应用的各种传统和非传统的验证测试方法,包括完全开放条件下的“插桩”测试,是目前网络安全业界最为严苛,也是开放程度最高的测试验证。
1.拟态系统内生防御机理与构造效应验证
为了检验拟态系统的内生防御机理,测试程序规定评测对象禁止安装任何杀毒灭马等防护工具;测试过程中禁止进行任何形式的漏洞修补或后门封堵等增量开发;也禁止使用诸如防火墙、加密认证等安全加固手段。在保证被测对象服务功能和性能的前提下,需要作5个方面的测试验证:(1)拟态系统能否隐匿拟态界内的未知漏洞和后门;(2)攻击者能否利用拟态界内未知漏洞注入未知病毒木马;(3)能否显著降低攻击或探测经验的可重复利用性;(4)能否允许拟态界内使用“不可信不可控”的软硬构件;(5)拟态界内能否允许存在病毒或木马。验证测试和分析评估表明:与理论预期完全吻合,原理具有普适性。同时,还获得了两个重要结论,即拟态防御的效果“与软硬构件代码缺陷或恶意代码数量和种类弱相关;与软硬构件代码缺陷或恶意代码时空一致性表现强相关”。
2.拟态防御构造效应
经过测试,拟态防御至少具备如下效应:(1)具有不确定性威胁感知能力,能显著地降低攻击链的可靠性;(2)显著增加多模裁决协同逃逸难度,动态异构环境降低漏洞可利用性;(3)具有独立高效的安全增益,能够逆转现今网络空间攻防不对称格局;(4)适应全球化开放产业生态环境,一体化架构具有普适意义;(5)能够自然地继承或融合信息技术和安全技术成果,对服务提供具有透明性。评测组专家经过反复酝酿于2016年8月,形成《拟态防御原理验证系统测评意见》并上报中央。
3.测评意见和结论
(1)受测系统是拟态防御理论与方法的成功实践。在满足服务功能和性能要求下,能够独立且有效地应对或抵御拟态界内已知风险或不确定威胁,其叠加与迭代、融合集成效应能够非线性地增加目标对象的攻击难度。证明了拟态防御无论从理论和实践上都能有效应对拟态界内已知的未知风险和未知的未知威胁。
(2)现有的扫描探测、漏洞利用、后门设置、病毒注入、木马植入乃至高级持续威胁(APT)等常规或可能采取的非常规攻击手段和方法,对拟态界内受保护对象没有预期的作用和可信效力。融合传统安全技术可获得“超非线性”防御效果。证明了拟态防御构造在缺乏攻击特征信息、构件可信性不能确保条件下,能够实现基于目标对象“内生机制”的“融合式防御”。
(3)拟态防御体制机制还具有大幅度降低系统全寿命周期内专用安全设施配置或更新升级代价、防护的实时性要求、版本同步更新频度等综合优势。在产业链开放的全球化生态环境中,使得利用“有毒带菌”构件实现可管可控的信息系统成为可能。此外,还可以大大缩短新产品入市和成熟的过程。证明了在全球化生态环境、非封闭产业链情况下,拟态防御是克服信息通信与服务基础设施“自主可控、安全可信”难题的新途径。
(4)拟态防御不仅具有显著的安全功效,同时还可提供期望的服务功能与高可靠的应用场景(缩短产品进入市场的时间),并能自然地继承和接纳网络安全与信息化领域的科技成果。普适性的系统架构开辟了内生防御理论和技术研究新方向。证明了拟态防御构造的集约化属性能够支持:“服务提供与安全防护”自然结合;“安全性与开放性”完美融合;“高可靠与高可信”自然结合;“内生安全机制与传统防御手段”完美融合。
(5)作为“网络安全游戏规则改变者”,拟态防御体系使得:基于全球产业链仍然可以搭建自主可控、安全可信的信息服务设施;能够显著降低漏洞后门、病毒木马等的实时性处理要求;不能形成时空、内容一致性表现的漏洞后门、病毒木马等攻击,原理上无利用价值;“即使攻击成功,也只是可能一次”,攻击经验难以复制或继承。拟态防御有效性不依赖任何“绝对可信”要素或部件的支持,安全性由动态异构冗余物理机制决定,与计算复杂度无关。拟态防御颠覆了基于“先发技术和卖方市场”优势的网络攻击战略;颠覆了基于“同一处理空间共享资源机制”网络攻击理论基础;颠覆了“只有确保构件可信才能达成系统安全”的传统思维定式。
4.问题与前景
拟态防御自身也存在问题:首先是拟态界外的防护效果不确定;其次是拟态界内异构冗余带来设计、体积、成本、功耗和维护复杂度的增加,但在高可靠与高安全应用领域,成本增加量可控制在10%以内(但全寿命周期使用维护等综合成本则显著低于传统系统配置);最后是拟态防御的实现,依赖软硬构件多样化、多元化供应水平。但是分析表明,拟态防御实现的工程代价低于可靠性领域经典非相似余度架构,同时实现的安全性要求远远高于专用加密装置。
尽管拟态防御基本原理与方法具有普适性,但是不同领域可能面临不同的应用挑战,理论和技术层面尚需不断完善与再创新。
七、创造网络安全与信息产业新格局
作为网络安全再平衡战略的技术抓手之一,拟态防御架构可以在“软硬构件供应链不可控不可信”的前提下,支撑全球化时代网络安全与信息化“一体两翼,双轮驱动”发展目标的实现;有助于消除网络安全与信息化融合领域给全球自由贸易造成的有形或无形壁垒;异构冗余体制创造或扩大市场新需求,同质不再只是排他性竞争;显著降低基于未知漏洞后门等谋利活动的商业价值,遏制灰色产业链的发展势头。
多元化异构市场越开放,功能等价软硬件产品越丰富,拟态界内异构部件可选范围越宽,拟态防御性价比越高。自主可信安全构造加上自主可控软硬构件,可以创建网络空间安全新秩序。
如果把拟态构造看成基因的话,其具备天然的渗透性、普适性、集约化和继承性;作为网络空间全维防御技术,适合战略、战役、战术各个层面应用;为网信领域“一体之两翼,双轮之驱动”发展战略,提供了抓手级技术和强劲的产业创新力。同时,也开辟了基于拟态架构的器件、部件、构件、中间件、IP核、硬件、软件、系统、装置、平台、网络、开发测试工具等新兴产品市场。
研究团队在相关领域已经做了试点应用,除了上述的拟态路由器与交换机和拟态Web服务器,还包括:拟态网络域名服务体系(能够颠覆某些国家在互联网上的先天战略优势);拟态工控平台(可以构建工业4.0时代高可靠、高可信、高可用、高效能一体化控制体系);拟态文件和数据存储系统(为云服务打造安全可信的数据文件存储系统);拟态的云化服务环境(具有拟态防御需要的内在要素,能突破“鸡蛋不能放在一个篮子里”的安全困局)。
网络空间拟态防御是“中国的创造,网络世界的福音”。虽然拟态防御理论体系目前已初具形态,但还需进一步完善,普适性和成熟性尚需规模化应用并加以检验与提高,相信通过全球业界的努力,实现“网络安全再平衡”不再是梦想。