網(wǎng)絡空間安全進入動態(tài)防御時代

來源：現(xiàn)代軍事（xiandaijunshi），馬衛(wèi)局

現(xiàn)代計算機網(wǎng)絡中包括各種各樣的設備和軟件。這些設備和軟件存在著大量的未知和已知漏洞,漏洞是安全問題的根本,在漏洞面前,攻守雙方并不平等,一個弱點被黑客利用,最終可以導致危險在整個網(wǎng)絡擴散。漏洞具有的高威脅性、突發(fā)性、高破壞性、大規(guī)模性的主要特點。地下黑市交易的零日漏洞、廠商設置的后門漏洞以及網(wǎng)絡間諜的APT攻擊威脅著國家、企業(yè)和個人的網(wǎng)絡安全。

2017年2月,360互聯(lián)網(wǎng)威脅情報中心發(fā)布《2016年中國互聯(lián)網(wǎng)安全報告》,報告詳細披露了我國當前面臨的嚴峻網(wǎng)絡安全形勢,認為我國政企機構需重視APT、DDoS以及工業(yè)互聯(lián)網(wǎng)等三大安全威脅。中國成為全球網(wǎng)絡攻擊的第一目標國。報告認為,網(wǎng)絡空間目前已經(jīng)成為大國博弈的新戰(zhàn)場。日益頻繁的APT等網(wǎng)絡攻擊,正在導致政企行業(yè)機密情報被竊取、工業(yè)系統(tǒng)被破壞、金融系統(tǒng)遭受經(jīng)濟損失,甚至對地緣產(chǎn)生影響。

2017年5月12日,中國、英國、意大利、俄羅斯等100多國爆發(fā)WannaCry勒索病毒攻擊,并迅速蔓延,中毒的機器中的磁盤文件會被加密,只有繳納高額贖金(有的要比特幣)才能解密資料和數(shù)據(jù)。我國大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染:大批高校出現(xiàn)感染情況,造成了教學系統(tǒng)癱瘓,眾多師生的電腦文件被勒索病毒加密;國內(nèi)多地公安網(wǎng)系統(tǒng)受影響癱瘓;多地中石油加油站加油無法網(wǎng)絡支付;部分醫(yī)院因為受到攻擊延遲了手術。此次勒索病毒爆發(fā)是由于美國國家安全局(NSA)旗下“方程式黑客組織”所使用的部分網(wǎng)絡武器被公開導致,其中包括可以遠程攻破全球約70% 使用Windows系統(tǒng)機器的漏洞利用工具。不法分子正是其中一款工具——“永恒之藍”進行攻擊。2017年6月27日,代號為“Petya”的病毒在全球多國肆虐。這一系列事件為我們敲響了網(wǎng)絡安全的警鐘。

▲犯罪分子將使用機器學習技術進行自動化攻擊和繞過檢測。近年來不斷紕漏的網(wǎng)絡安全事件及由此帶來的嚴重后果也逐漸暴露了傳統(tǒng)的網(wǎng)絡安全防御技術存在的問題，凸顯了傳統(tǒng)防御技術難以有效抵御系統(tǒng)未知的軟硬件漏洞的攻擊，難以預防潛在的各類后門攻擊，難以有效應對各類越來越復雜和智能化的滲透式網(wǎng)絡入侵

1傳統(tǒng)防御的不足之處

傳統(tǒng)的網(wǎng)絡安全防御思想是在現(xiàn)有網(wǎng)絡體系架構的基礎上建立包括防火墻和安全網(wǎng)關、入侵檢測、病毒查殺、訪問控制、數(shù)據(jù)加密等多層次的防御體系來提升網(wǎng)絡及應用的安全性。傳統(tǒng)防御技術都是基于靜態(tài)網(wǎng)絡配置下的,即網(wǎng)絡中的節(jié)點地址、網(wǎng)絡結構、網(wǎng)絡協(xié)議等均固定不變,這些配置信息一旦被入侵者搜集得到,就可以根據(jù)網(wǎng)絡特點有針對性地入侵,達到事半功倍的效果。再者,傳統(tǒng)防御的思想是根據(jù)已知病毒的數(shù)據(jù)、代碼、行為等特征對攻擊進行識別,對于未知的0day漏洞、后門漏洞沒有有效的解決方案,往往攻擊發(fā)生之后,經(jīng)過安全審計才有可能發(fā)現(xiàn)攻擊的線索,然后再進行亡羊補牢。

據(jù)統(tǒng)計,95%以上的企業(yè)只能通過外部通報或看到顯著損失后才能發(fā)現(xiàn)其自身正在面臨的網(wǎng)絡威脅。新型的技術也不斷被黑客利用,《邁克菲實驗室2017威脅預測報告》中寫道,犯罪分子將使用機器學習技術進行自動化攻擊和繞過檢測。近年來不斷紕漏的網(wǎng)絡安全事件及由此帶來的嚴重后果也逐漸暴露了傳統(tǒng)的網(wǎng)絡安全防御技術存在的問題,凸顯了傳統(tǒng)防御技術難以有效抵御系統(tǒng)未知的軟硬件漏洞的攻擊,難以預防潛在的各類后門攻擊,難以有效應對各類越來越復雜和智能化的滲透式網(wǎng)絡入侵。

2動態(tài)防御 改變游戲規(guī)則的主動防御

美國國家技術在2011提出了“移動目標防御”(MTD)的概念,也有學者將MTD技術稱為“動態(tài)防御技術”、“動態(tài)彈性安全防御技術”或者“動態(tài)賦能網(wǎng)絡防御技術”。動態(tài)防御不同于以往的網(wǎng)絡安全研究思路,它旨在部署和運行不確定、隨機動態(tài)的網(wǎng)絡和系統(tǒng),讓攻擊者難以發(fā)現(xiàn)目標。動態(tài)防御還可以主動欺騙攻擊者,擾亂攻擊者的視線,將其引入死胡同,并可以設置一個偽目標/誘餌,誘騙攻擊者對其實施攻擊,從而觸發(fā)攻擊告警。動態(tài)防御改變了網(wǎng)絡防御被動的態(tài)勢,改變了攻防雙方的“游戲規(guī)則”,真正實現(xiàn)“主動”防御。

美國和美軍將動態(tài)防御技術作為網(wǎng)絡安全研究的重點。以美國為主的一些研發(fā)團隊紛紛投入到MTD技術的先期研發(fā)當中。例如,美國堪薩斯州大學2012年開始的“自適應計算機網(wǎng)絡”項目,開啟了MTD學術研究活動的先河。佛羅里達理工學院2013年與美簽訂了總金額190萬美元、為期3年的合同,引領一個全新的網(wǎng)絡安全研究項目———設計、實現(xiàn)一個用于計算機網(wǎng)絡移動目標防御管理和協(xié)調的指揮控制框架。美國陸軍在2012年投資310萬美元,授予雷聲公司基于移動目標防御技術的變形網(wǎng)絡項目。美國空軍致力于在2015年~2020年,用5年的時間將移動目標防御技術與現(xiàn)有指揮框架集成。西北太平洋國家實驗室(PNNL)開發(fā)了基于蟻群社會性行為的分散式協(xié)同網(wǎng)絡架構,支持移動目標防御。這些團隊取得了MTD技術的很多新進展,包括自適應計算機網(wǎng)絡、IPv6移動目標防御和變形網(wǎng)絡等等。

自從美國提出MTD的概念,動態(tài)防御技術已經(jīng)成為網(wǎng)絡安全理論研究的熱點和技術的制高點。國際上許多網(wǎng)絡安全研究機構都正在研究基于動態(tài)防御的理論和技術,比較著名的有美國SCIT實驗室、IBM公司沃森實驗室、美國麻省理工大學、堪薩斯州立大學、加州大學、弗吉尼亞大學、卡內(nèi)基-梅隆大學、哥倫比亞大學、以及喬治·梅森大學。

我國也對動態(tài)防御技術進行了重點研究,鄔江興院士提出了網(wǎng)絡空間擬態(tài)防御(CMD)思想。CMD理論在可靠性領域非相似余度架構基礎上導入異構冗余動態(tài)重構機制,造成在功能不變條件下,目標對象內(nèi)部的非相似余度構造元素始終在作數(shù)量或類型、時間或空間維度上的策略性變化或變換,用不確定防御原理來對抗網(wǎng)絡空間的確定或不確定威脅。

美國阿貢國家實驗室2016年3月22日報道,更多的動態(tài)防御技術被美國國家專利局授權。2015年美國新型動態(tài)防御公司吸引到投資界的關注,動態(tài)防御概念的3家公司獲得超過5000萬美元的融資。其中,CrowdStrike(動態(tài)防御概念)獲得3000萬美元天使輪融資,Morphisec獲得800萬美元融資,ShapeSecurity獲得2600萬美元融資。北京衛(wèi)達科技有限公司將動態(tài)防御技術應用到內(nèi)網(wǎng)防御、邊界防御、工控防御、DDos防御、web應用防御、云安全等應用場景,研發(fā)了6個系列的產(chǎn)品。

3動態(tài)防御的系統(tǒng)架構

一種隨機變化形式的動態(tài)防御系統(tǒng)頂層結構,如圖1所示。該防御系統(tǒng)會形成隨機的變化。形成隨機適配的關鍵基礎是“邏輯任務模型”,該模型按網(wǎng)絡的功能需求捕獲物理網(wǎng)絡當前狀態(tài)的概貌。其驅動器就是“適配引擎”,它以隨機的時間間隔,定制網(wǎng)絡配置的隨機變化。變化由“配置管理器”實施,它負責控制“物理網(wǎng)絡”的配置。

圖1顯示的是一個完整的智能動態(tài)防御系統(tǒng)的結構組成?！斑m配引擎”對物理網(wǎng)絡輸入隨機變化參數(shù),使網(wǎng)絡狀態(tài)進行隨機變化,“分析引擎”能夠從“物理網(wǎng)絡”獲取實時事件、從“配置管理器”獲取當前的配置,確定可能的脆弱性和正在進行的攻擊。“適配引擎”擴展功能是觀察網(wǎng)絡當前狀態(tài)以及安全狀態(tài),和“邏輯安全模型”捕獲的一樣?！斑壿嫲踩Ｐ汀币灿?個運行時間模型組成:一個是目標模型,一個是系統(tǒng)脆弱性模型。

目前對動態(tài)彈性安全防御思想的解釋,主要從系統(tǒng)攻擊面和攻擊生存期來進行理解。系統(tǒng)通過改變自身各種資源配置、系統(tǒng)屬性,向攻擊者呈現(xiàn)不斷變化的攻擊面,使攻擊者更難發(fā)起有效的攻擊。攻擊者制定有效攻擊方案所需的時間較長,當建立攻擊模型時,系統(tǒng)在這段時間已經(jīng)發(fā)生足夠的變化,這些變化足以破壞攻擊模型的有效性。關于系統(tǒng)攻擊面(系統(tǒng)安全指標,攻擊面越大,系統(tǒng)越不安全),從直觀上看,攻擊面是攻擊系統(tǒng)時使用的系統(tǒng)資源(程序、通道和數(shù)據(jù))的子集。同時,防御者可以不斷轉移系統(tǒng)攻擊面,以增加攻擊者利用系統(tǒng)漏洞的難度。防御者轉移攻擊面示意圖如圖2所示。圖2中,若防御者轉移系統(tǒng)的攻擊面,則原本有效的攻擊,如攻擊1,可能將不復存在。為此,攻擊者需要花費更多心思使原來的攻擊重新有效或尋求新的攻擊途徑,如攻擊4。

圖3顯示了攻擊生存期示意圖。在時刻時間t0,系統(tǒng)防御者生成防御方案k0,并啟動多樣化服務STk0。te定義為攻擊者從開始發(fā)動攻擊到系統(tǒng)受損之間的時間,也可以認為攻擊者從服務器獲得秘密賬戶信息所需要的時間。

從圖3可以看出,對于一次成功攻擊,從探測到攻擊完成總用時t1+teTk0,在服務STk0結束之前未能完成攻擊過程。

通過上述模型,我們可以看出:動態(tài)防御使系統(tǒng)防御者以可控的方式隨機的改變系統(tǒng)配置和結構,可以增加系統(tǒng)的不確定性和復雜度,從而增加攻擊者的攻擊復雜度和攻擊花銷,限制系統(tǒng)漏洞的暴露和遭受攻擊的機會,增加系統(tǒng)的彈性。

4動態(tài)防御的關鍵技術

動態(tài)防御技術是以保護信息系統(tǒng)中的某種實體為目的。一般來說,信息系統(tǒng)中的實體主要包括軟件、網(wǎng)絡、計算平臺與數(shù)據(jù)等。下面我們從軟件、網(wǎng)絡、平臺與數(shù)據(jù)層四個層面對現(xiàn)有的動態(tài)防御關鍵技術進行了梳理。

5軟件動態(tài)防御技術

軟件動態(tài)防御技術是指動態(tài)更改應用程序自身及其執(zhí)行環(huán)境的技術。相關的技術主要有地址空間布局隨機化(ASLR)、指令集隨機化技術、就地代碼隨機化技術、軟件多態(tài)化技術等。

地址空間布局隨機化是為了防止攻擊者在內(nèi)存中能夠可靠地對跳轉到特定利用函數(shù),隨機排列程序的關鍵數(shù)據(jù)區(qū)域的位置,包括可執(zhí)行的部分、堆、棧及共享庫的位置,Linux和Windows操作系統(tǒng)已經(jīng)廣泛應用了地址空間布局隨機化技術。

指令集隨機化是一種通過掩蓋目標的指令集應對代碼注入攻擊的動態(tài)防御方法,隨機化指令集不僅能夠阻止代碼注入攻擊,而且能夠降低網(wǎng)絡蠕蟲利用某一漏洞進行大規(guī)模擴散的可能性。

基于編譯器的軟件多態(tài)化主要包含了MVEE和MSSD兩類技術,這兩類技術都依賴于自動化的編譯器產(chǎn)生功能相同但代碼不同的程序。MVEE屬于運行時的技術,其原理是一個程序構建多個變體,系統(tǒng)接收到的輸入同時被送給所有的變體,這就使得入侵者幾乎不可能針對所有的變體設計不同的入侵程序,然后在系統(tǒng)監(jiān)控中比較所有變體的輸出,如果輸出不同,則預示著系統(tǒng)可能受到了入侵。MSSD是一種大規(guī)模的靜態(tài)的軟件多態(tài)化技術,其基本原理是,如果同一個軟件產(chǎn)品可以有不同的副本(這些副本都可以實現(xiàn)相同的功能),那么入侵者要么對所有的副本進行研究,找出每一個副本的漏洞,然后入侵;要么找到一個非常巧妙的方法和漏洞,能夠同時入侵不同的副本,這就增大了入侵者的入侵難度,能夠更好地保護系統(tǒng)和軟件的正常運行。

6網(wǎng)絡動態(tài)防御技術

網(wǎng)絡動態(tài)防御是指在網(wǎng)絡層面實施動態(tài)防御,具體是指在網(wǎng)絡拓撲、網(wǎng)絡配置、網(wǎng)絡資源、網(wǎng)絡節(jié)點、網(wǎng)絡業(yè)務等網(wǎng)絡要素方面,通過動態(tài)化、虛擬化和隨機化方法,破除網(wǎng)絡配置的靜態(tài)性、確定性和相似性,提升攻擊者進行網(wǎng)絡探測和內(nèi)網(wǎng)節(jié)點滲透的難度,進一步阻礙入侵者掃描、發(fā)現(xiàn)和滲透網(wǎng)絡。

美國堪薩斯州大學開展了“自適應計算機網(wǎng)絡”項目,并在2012年4月與空軍科學研究辦公室簽訂了為期5年金額超過100萬美元的合同,開始了“了解和量化移動目標防御對計算機網(wǎng)絡的影響”的專項研究,目的是研究計算機網(wǎng)絡通過自動改變自身設置和結構來對抗在線攻擊的可行性,并開發(fā)有效的分析模型,以確定MTD系統(tǒng)的有效性。

2012年8月,美陸軍授予雷聲公司價值310萬美元的“限制敵方偵察的變形網(wǎng)絡設施”(MORPHINATOR)項目,為其研制具有“變形”能力的計算機網(wǎng)絡原型機。該項目主要研究在敵方無法探測和預知的情況下,網(wǎng)絡管理員有目的地對網(wǎng)絡、主機和應用程序進行動態(tài)調整和配置,從而預防、延遲或制止網(wǎng)絡攻擊。

北京衛(wèi)達科技有限公司綜合利用了動態(tài)防御、軟件定義網(wǎng)絡(SDN)、網(wǎng)絡功能虛擬化(NFV)、欺騙、微隔離等技術研制了“內(nèi)網(wǎng)動態(tài)防御系統(tǒng)”。該系統(tǒng)實現(xiàn)了網(wǎng)絡拓撲和網(wǎng)絡地址隨機跳變,實時發(fā)現(xiàn)內(nèi)網(wǎng)橫向滲透行為,并可以實時阻斷攻擊行為,在全球范圍內(nèi)首先將網(wǎng)絡動態(tài)防御產(chǎn)品化。首先,結合SDN技術,保持原有網(wǎng)絡配置的完整性,在內(nèi)網(wǎng)中隱藏終端的真實IP地址,為終端分配虛擬IP地址,并使正常網(wǎng)絡應用不受影響的情況下,實現(xiàn)網(wǎng)絡拓撲和終端的IP地址高速隨機跳變,大幅提高攻擊者發(fā)現(xiàn)目標的難度,從而大大地降低攻擊成功地概率。其次,在內(nèi)網(wǎng)中部署大量的偽裝節(jié)點和虛開的端口,這些節(jié)點和端口能夠迷惑攻擊者,偽裝節(jié)點的IP地址也能夠和真實的節(jié)點IP一起隨機跳變,極大地增加網(wǎng)絡的復雜性,從而能夠完全打破攻擊者對網(wǎng)絡的認知。無論攻擊者用任何形式的方式(無論是利用已知病毒還是未知病毒)內(nèi)網(wǎng)進行掃描或滲透,會以極大的概率碰到偽裝的節(jié)點或者虛開的端口,偽裝的節(jié)點或虛開的端口會向系統(tǒng)發(fā)出警報。另外,利用微隔離技術,每個節(jié)點都被定義為一個邏輯隔離的子網(wǎng),一旦某個節(jié)點發(fā)起掃描或滲透行為,系統(tǒng)可以自動地、實時地對攻擊者進行定位和封堵,斬斷攻擊鏈的第一環(huán),從而可以進行事前防御,并防御未知新型病毒的威脅。

▲2017年5月12日，中國、英國、意大利、俄羅斯等100多國爆發(fā)WannaCry勒索病毒攻擊，并迅速蔓延，中毒的機器中的磁盤文件會被加密，只有繳納高額贖金才能解密資料和數(shù)據(jù)

7平臺動態(tài)防御技術

平臺,主要指能夠承載應用運行的軟/硬件環(huán)境,包括處理器、操作系統(tǒng)、虛擬化平臺以及具體應用的開發(fā)環(huán)境。目前,應用系統(tǒng)的設計往往采用單一的設計架構,在交付使用后長期保持不變,這就給惡意攻擊者提供了足夠的時間來探測和學習系統(tǒng)的構造和漏洞。平臺動態(tài)防御系統(tǒng)通過構建動態(tài)變化的系統(tǒng)運行平臺,在保證服務可用性的前提下,持續(xù)改變服務的可見特征,如運行平臺、應用類型、版本信息等,防止攻擊者對服務的有效探測及滲透。虛擬化技術為服務多樣化提供了支撐保障。

基于可重構計算的平臺動態(tài)化技術通過多樣化的軟/硬件任務劃分和差異化的邏輯電路設計,設計滿足應用任務,運行于通用處理器和可編程邏輯器件中的多個可執(zhí)行文件和配置數(shù)據(jù),并在系統(tǒng)運行過程中,隨便變化加載在系統(tǒng)中的可執(zhí)行文件和對應的配置數(shù)據(jù)文件。

基于異構平臺的應用熱遷移技術,是指通過構造異構的多種系統(tǒng)平臺,包括異構的硬件和操作系統(tǒng),并使運行在其中的應用程序能夠以可控的方式隨機地在不同的平臺間遷移,從而減少單一平臺暴露的時間窗口,使得惡意攻擊者難以對系統(tǒng)進行有效偵查,最終達到提升系統(tǒng)防御能力的目的。

Web應用平臺動態(tài)防御可以從Web應用、Web服務、OS和虛擬化基礎層構建虛擬服務器,然后將每一個虛擬服務器都配置成具有唯一的軟件特性,這樣多個虛擬服務器就會呈現(xiàn)出不同的攻擊面。采用動態(tài)替換輪循等機制隨機選擇若干個服務器構成一個在線服務器集,對外提供服務。

8數(shù)據(jù)動態(tài)防御技術

數(shù)據(jù)動態(tài)防御,主要是指能夠根據(jù)系統(tǒng)防御需求,動態(tài)化地更改相關數(shù)據(jù)的格式、句法、編碼或者表現(xiàn)形式,從而達到加強攻擊者攻擊難度的效果。數(shù)據(jù)動態(tài)防御技術特點在于:一、尋找一種保持數(shù)據(jù)語義不變的策略,使數(shù)據(jù)動態(tài)化行為不影響數(shù)據(jù)語義本身;二、通過對選定數(shù)據(jù)的動態(tài)化,能規(guī)避漏洞或者有效發(fā)現(xiàn)攻擊。數(shù)據(jù)動態(tài)防御的效果體現(xiàn)在以下三個方面:一、防止系統(tǒng)有意而為之的設計錯誤;二、防止攻擊者惡意注入代碼二進行緩沖區(qū)溢出攻擊;三、防止Web應用程序中SQL注入和跨站腳本攻擊。

9結 語

基于先驗知識和精確識別的傳統(tǒng)防護手段,難以應對未知漏洞和未知威脅;基于靜態(tài)性、相似性、確定性構建的信息系統(tǒng),難以應對動態(tài)的、智能的、高強度攻擊。動態(tài)防御是對網(wǎng)絡空間安全防御技術和體系的一種探索,是將安全能力作為信息系統(tǒng)自身標準屬性的一種設想。動態(tài)防御可以有效降低系統(tǒng)的確定性、相似性和靜態(tài)性,讓信息系統(tǒng)呈現(xiàn)不可預測的變化狀態(tài),讓攻擊者難以發(fā)現(xiàn)系統(tǒng)漏洞,并可以結合欺騙的戰(zhàn)術戰(zhàn)法,將攻擊者引入死胡同,觸發(fā)警告并實施阻斷攻擊。未來的網(wǎng)絡空間防御體系一定是在動態(tài)防御思想指導下的安全體系。隨著SDN、NFV、虛擬化、人工智能等技術的高速發(fā)展,動態(tài)防御思想將不斷地與這些技術結合,推動動態(tài)防御技術廣泛應用。