商品详情
书名:网络空间拟态防御原理——广义鲁棒控制与内生安全(第二版)下册
定价:135.0
ISBN:9787030590961
作者:邬江兴
版次:2
出版时间:2018-11
内容提要:
针对网络空间基于目标对象软硬件漏洞后门等暗功能的安全威胁问题,本书从“结构决定安全”的哲学层面诠释了改变游戏规则的“网络空间拟态防御”思想与理论形成过程、原意与愿景、原理与方法、实现基础与工程代价以及尚需完善的理论和方法等。在理论与实践结合的基础上,证明了在创新的“动态异构冗余”构造上运用生物拟态伪装机制可获得内生性的“测不准防御”效应。在不依赖关于攻击者的先验知识和行为特征信息的情况下,按照可量化设计的指标管控拟态界内未知的未知攻击或者已知的未知失效引起的广义不确定扰动影响,并能以一体化的方式处理信息系统传统与非传统安全问题。建立了拟态构造模型,并就抗攻击性和可靠性等问题给出了初步的定量分析结论以及第三方完成的“白盒实验”结果。
目录:
目录
下册
第8章 拟态防御原意与愿景/291
8.1 拟态伪装与拟态防御/291
8.1.1 生物拟态现象/291
8.1.2 拟态伪装与拟态防御/293
8.1.3 两个基本安全问题和两个严峻挑战/294
8.1.4 一个切入点:攻击链的脆弱性/296
8.1.5 构建拟态防御/298
8.1.6 拟态防御原意/301
8.2 拟态计算与内生安全/303
8.2.1 HPC 功耗之殇/303
8.2.2 拟态计算初衷/304
8.2.3 拟态计算愿景/305
8.2.4 变结构计算与内生安全/308
8.3 拟态防御愿景/309
8.3.1 颠覆“易攻难守”格局/310
8.3.2 普适架构与机制/311
8.3.3 鲁棒控制与服务功能分离/312
8.3.4 未知威胁感知/312
8.3.5 多元化生态环境/313
8.3.6 达成多维度目标/314
8.3.7 降低安全维护复杂度/315
参考文献/316
第9章 网络空间拟态防御原理/317
9.1 概述/317
9.1.1 核心思想/318
9.1.2 安全问题需从源头治理/319
9.1.3 生物免疫与内生安全/320
9.1.4 非特异性面防御/323
9.1.5 融合式防御/324
9.1.6 广义鲁棒控制与拟态构造/324
9.1.7 目标与期望/325
9.1.8 潜在应用对象/329
9.2 网络空间拟态防御/330
9.2.1 基础理论与基本原理/331
9.2.2 拟态防御体系/335
9.2.3 基本特征与核心流程/348
9.2.4 内涵与外延技术/353
9.2.5 总结与归纳/354
9.2.6 相关问题讨论/355
9.3 结构表征与拟态场景/363
9.3.1 结构的不确定表征/363
9.3.2 拟态场景创建方式/365
9.3.3 典型拟态场景/366
9.4 拟态呈现/367
9.4.1 拟态呈现的典型模式/367
9.4.2 拟态括号可信性考虑/370
9.5 抗攻击性与可靠性分析/372
9.5.1 概述/372
9.5.2 抗攻击性与可靠性模型/373
9.5.3 抗攻击性分析/376
9.5.4 可靠性分析/400
9.5.5 小结/406
9.6 与异构容侵的区别/407
9.6.1 主要区别/407
9.6.2 前提与功能差异/409
9.6.3 小结/410
参考文献/410
第10章 拟态防御工程实现/413
10.1 基本条件与约束条件/413
10.1.1 基本条件/413
10.1.2 约束条件/414
10.2 主要实现机制/415
10.2.1 构造效应与功能融合机制/415
10.2.2 单线或单向联系机制/416
10.2.3 策略调度机制/416
10.2.4 拟态裁决机制/417
10.2.5 负反馈控制机制/417
10.2.6 输入指配与适配机制/418
10.2.7 输出代理与归一化机制/418
10.2.8 分片化/碎片化机制/418
10.2.9 随机化/动态化/多样化机制/419
10.2.10 虚拟化机制/419
10.2.11 迭代与叠加机制/420
10.2.12 软件容错机制/421
10.2.13 相异性机制/421
10.2.14 可重构重组机制/422
10.2.15 执行体清洗恢复机制/423
10.2.16 多样化编译机制/424
10.3 工程实现上的主要挑战/425
10.3.1 功能交集*佳匹配问题/425
10.3.2 多模裁决复杂性问题/426
10.3.3 服务颠簸问题/427
10.3.4 使用开放元素问题/428
10.3.5 拟态化软件执行效率问题/428
10.3.6 应用程序多样化问题/429
10.3.7 拟态防御界设置问题/430
10.3.8 版本更新问题/433
10.3.9 非跨平台应用程序装载问题/433
10.3.10 再同步与环境重建问题/434
10.3.11 简化异构冗余实现复杂度/434
10.4 拟态防御评测评估/438
10.4.1 拟态防御效果分析/438
10.4.2 拟态防御效果参考界/440
10.4.3 拟态防御验证与评测考虑/442
10.4.4 类隐形性评估思考/453
10.4.5 基于拟态裁决的可度量评测/454
10.4.6 拟态防御基准功能实验/455
10.4.7 攻击者角度的思考/460
参考文献/462
第11章 拟态防御基础与代价/464
11.1 拟态防御实现基础/464
11.1.1 复杂性与成本弱相关时代/464
11.1.2 高效能计算与异构计算/465
11.1.3 多样化生态环境/466
11.1.4 标准化和开放架构/468
11.1.5 虚拟化技术/468
11.1.6 可重构与可重组/469
11.1.7 分布式与云计算服务/470
11.1.8 动态调度/472
11.1.9 反馈控制/472
11.1.10 类可信计算/472
11.1.11 体系结构技术新进展/473
11.2 传统技术相容性分析/474
11.2.1 自然接纳附加型安全技术/474
11.2.2 自然接纳硬件技术进步/475
11.2.3 与软件技术发展强关联/475
11.2.4 依赖开放的多元化生态环境/476
11.3 拟态防御实现代价/476
11.3.1 动态的代价/476
11.3.2 异构的代价/477
11.3.3 冗余的代价/478
11.3.4 清洗与重构的代价/478
11.3.5 虚拟化代价/479
11.3.6 同步的代价/479
11.3.7 裁决的代价/480
11.3.8 输入/输出代理的代价/481
11.3.9 单线联系的代价/481
11.4 需要研究解决的科学与技术问题/482
11.4.1 CMD 领域亟待探讨的科学问题/483
11.4.2 CMD 领域亟待解决的工程技术问题/483
11.4.3 防御效果测试和评估问题/486
11.4.4 防御能力的综合运用/487
11.4.5 需要持续关注的问题/487
11.4.6 重视自然灵感的解决方案/488
参考文献/488
第12章 拟态原理应用举例/490
12.1 拟态路由器验证系统/490
12.1.1 威胁设计/490
12.1.2 设计思路/491
12.1.3 基于DHR 的路由器拟态防御体系模型/493
12.1.4 系统架构设计/494
12.1.5 既有网络的拟态化改造/500
12.1.6 可行性及安全性分析/501
12.2 网络存储验证系统/502
12.2.1 总体方案/502
12.2.2 仲裁器/504
12.2.3 元数据服务器集群/505
12.2.4 分布式数据服务器/505
12.2.5 客户端/506
12.2.6 系统安全性测试及结果分析/508
12.3 拟态构造Web 服务器验证系统/509
12.3.1 威胁分析/509
12.3.2 设计思路/510
12.3.3 系统架构设计/511
12.3.4 功能单元设计/513
12.3.5 样机设计与实现/519
12.3.6 攻击难度评估/520
12.3.7 成本分析/524
12.4 云化服务平台应用设想/524
12.5 软件设计上的应用考虑/525
12.5.1 随机调用移动攻击表面效应/525
12.5.2 防范第三方安全隐患/525
12.5.3 经典拟态防御效应/526
12.6 系统级应用共性归纳/526
参考文献/527
第13章 拟态原理验证系统测试评估/529
13.1 路由器环境下的拟态原理验证测试/529
13.1.1 拟态构造路由器测试方法设计/529
13.1.2 路由器基础功能与性能测试/532
13.1.3 拟态防御机制测试及结果分析/533
13.1.4 防御效果测试及结果分析/539
13.1.5 拟态构造路由器测试小结/545
13.2 Web 服务器环境下的拟态原理验证测试/546
13.2.1 拟态构造Web 服务器测试方法设计/546
13.2.2 Web 服务器基础功能测试与兼容性测试/547
13.2.3 拟态防御机制测试及结果分析/549
13.2.4 防御效果测试及结果分析/550
13.2.5 Web 服务器性能测试/555
13.2.6 Web 原理验证系统测试小结/558
13.3 测试结论与展望/558
参考文献/560
第14章 拟态防御应用示范与现网测试/562
14.1 概述/562
14.2 拟态构造路由器应用示范/563
14.2.1 试点网络现状/563
14.2.2 现网测试/570
14.3 拟态构造Web 服务器/573
14.3.1 应用示范/573
14.3.2 现网测试/585
14.4 拟态构造域名服务器/595
14.4.1 应用示范/595
14.4.2 测试评估/602
14.5 总结与展望/606
在线试读:
第8章 拟态防御原意与愿景
DHR 作为一种创新的、大道至简的系统架构能够提供传统技术所不具备的广义鲁棒控制功能。可以在不依赖任何先验知识及附加安全技术支撑的情况下,将架构内的随机性故障或者蓄意行为导致的不确定扰动归一化为经典的可靠性问题并统一处理之,其固有的“测不准”效应,可以为DHR 构造获得内在的“隐身”防御功能。不过,其隐身性能除了与功能等价条件下执行体的冗余度和异构性相关外,还与多模裁决算法丰度、执行体调度策略、清洗恢复与重组重构机制以及传统安全技术的运用技巧强关联。那么用什么样的博弈策略和机制才能使之获得期望的隐身防御效果呢?有着数亿年自然演化经历的生物界往往能为我们提供重要的解题思路。
8.1 拟态伪装与拟态防御
8.1.1 生物拟态现象
1998 年,澳洲墨尔本大学的马克?诺曼,在印度尼西亚苏拉威西岛水域发现了一种拟态章鱼,学名条纹章鱼,堪称自然界的模仿大师,如图8.1(a)所示。遇到鲨鱼的时候,它会将触手并在一起,组成椭圆形,贴在海底缓慢游动,就像比目鱼一样。由于比目鱼有专门对付鲨鱼的毒液,鲨鱼不敢冒险进攻。在开阔水域中游动时,它会将触手均匀地散开,看上去就像一条多刺又有毒的蓑鲉,能有效地吓走敌人。拟态章鱼的另一个把戏是将六只触腕放入一个洞穴里,然后伸出剩余的两只触腕,就像一条灰蓝扁尾海蛇,当然,这种海蛇也是有毒的。除此之外,它还能模仿礁石和要猎食的鱼类等,结合它的变色能力,更让这些模仿天衣无缝。研究表明,它不仅能主动地改变自身体色和纹理,还能模仿其他生物的形状和行为方式,在沙砾海底和珊瑚礁环境中完全隐身,条纹章鱼至少可以模拟15 种海洋生物。它以本体构造相近或相似的参照物,用色彩、纹理、外观和行为的仿真或模拟来隐匿本征体的外在表象(包括形态和行为等),用视在的特征或功能造成掠食对象的认知困境或认知误区,以此获得生存优势和安全保障。
漫长的进化和变异过程,为众多生物赢得了天然“伪装大师”的美称,如图8.1(b)的竹节虫,图8.1(c)的隐形蛙,图8.1(d)的格纹鹰鱼等。生物利用其自身结构及生理特性“隐真示假”,与军事隐身的初衷如出一辙。形形色色的生物伪装伴随着物竞天择与适者生存的自然规律不断演进,有着与生命史一般久远的发展历程,生物学将这种现象称为“拟态现象”。拟态现象广泛存在于生物界,能够有效提高防御能力或攻击能力。生物的拟态分为缪氏拟态(Müllerian mimicry)、贝氏拟态(Batesian mimicry)、瓦氏拟态(Wasmannian mimicry)、波氏拟态(Poultonian mimicry)等。其中,缪氏拟态中的模拟者和被模拟者都是有毒、不可食的,它们彼此之间的模拟可以互相降低在取食期间的死亡率,对双方物种都有利。贝氏拟态中的被模拟者是有毒的和不可食的,而模拟者则是无毒的和可食的[1]。广义的瓦氏拟态是指昆虫模拟生存环境的现象,如枯叶蝶模拟树叶、竹节虫模拟树枝等,而狭义的瓦氏拟态则特指寄生性昆虫模拟宿主的现象。波氏拟态是指有毒害的昆虫模拟无毒害生物的现象,是一种攻击性拟态,通过拟态隐藏伪装自己,迷惑猎物[2]。
生物拟态的两个核心是内生和模拟。内生,即生物拟态依赖的是自身具备的体态特征或功能行为,而不用借助其他外在的工具或设施。模拟,即参照其生存环境中的物体、天敌、宿主或其他生物特征,形成与之相似的形态、色彩、纹理或行为特征,达到迷惑其他生物、提高自体生存性的目的。
生物拟态通常可以分为两类:静态拟态和动态拟态。其中静态拟态仅在特定环境和场景下有效,例如,枯叶蝶在落叶林里能很好地隐藏自己,而在针叶林里便格外醒目。静态拟态通常没有感知、认知、决策和执行的过程。相对地,动态拟态的呈现形态不固定,会根据所处环境的特点动态决定拟态目标,当环境变化时,拟态目标和拟态行为也随之改变。动态拟态的生物环境适应性较强,可在多种复杂环境下拥有较好的生存性,如前面提到的拟态章鱼。动态拟态的生物需要感知环境的变化并提取特征信息,然后决定拟态行为,有完整的感知、认知、决策和执行的过程。动态拟态是拟态的高级形态。
图8.1 生物界的拟态现象
8.1.2 拟态伪装与拟态防御
从防御角度看,我们将生物内生的拟态行为称为拟态伪装(Mimic Disguise,MD)。拟态伪装可以根据所处环境隐匿或隐身本体外在形态和特征,包括尽可能地掩饰本体固有的功能、性能,本质上就是增加视在的不确定度,以降低攻击的有效性,达到提高自身安全性或生存优势的目的。
拟态伪装的性质可以归纳为以下5 点:
(1)拟态伪装对于生物本体或元功能具有透明性,不会因为拟态呈现的多样性而改变自身的基本功能,即元功能不变性。
(2)拟态伪装是其元功能不可分割的一部分,伪装的效果不依赖于附加的物理装置和工具,属于内生性功能。
(3)拟态伪装具有明确的指向性,是对确定目标或环境的模仿。
(4)拟态伪装对于所模仿对象的色彩、纹理、外形和行为具有相同性或相似性。
(5)拟态伪装的有限性使之可模仿对象或种类受限,且与自身基本构造和所处环境强相关。
借鉴自然界生物拟态伪装的概念,我们将计算机系统、智能控制装置、网络、平台、模块等软硬件系统通过设计内生防护机制来提高自体生存性和抵御外界攻击的能力称为狭义拟态防御(Narrow Mimic Defense,NMD)。需要指出,NMD 虽然包括拟态伪装的含义,但是拟态伪装却不是拟态防御的全部内涵,原因有二:
(1)生物的拟态伪装会尽可能地掩饰本体固有的功能、性能及外在特征,以增加视在的不确定度。而计算机和网络空间大多数信息处理系统的对象实体与服务功能是不允许或不能够隐匿的。例如Web 服务、路由交换、文件存储、数据中心等网络服务功能,不但不能伪装隐身,还要尽可能地让用户清晰明了其功能、性能和使用方式,任何附加的防护措施都应尽可能地不触动或不改变用户原有的操作使用习惯等。
(2)计算机执行进程、资源占用情况和服务状态等运行环境是不断变化的,潜在的攻击威胁和安全风险对防御方而言常常是未知的。在这种情况下,基于目标或环境感知的拟态伪装就难以有效抵御攻击者的高级持续性入侵。
这就是说,NMD 一方面强调不能影响到目标对象给定服务功能和性能的正常提供或呈现;另一方面又要求具有视环境情况实施拟态伪装的能力,包括隐匿目标对象自身的系统架构、运行机制、实现方法、异常表现以及可能存在的已知或未知漏洞后门或病毒木马等。因此,NMD 可以视为隐匿目标对象服务功能除外的主动式拟态伪装。
8.1.3 两个基本安全问题和两个严峻挑战
当前,网络空间安全问题正日益受到社会各阶层的高度关注,各种创新的网络安全技术也不断涌现。然而,漏洞和后门的数量反而呈越来越多的趋势。根据国家互联网应急中心发布的《中国互联网网络安全报告》[3]和《中国互联网网络安全态势综述》[4],自2013 年以来,国家信息安全漏洞共享平台收录安全漏洞数量年平均增长率为21.6%,但2017 年较2016 年收录安全漏洞数量增长了47.4%,达15955 个,收录安全漏洞数量达到历史新高。其中,高危漏洞收录数量高达5615 个(占35.2%),同比增长35.4%;“零日”漏洞3854 个(占24.2%),同比增长75.0%。安全漏洞主要涵盖Google、Oracle、Microsoft、IBM、Cisco、Apple、WordPress、Adobe、HUAWEI、ImageMagick、Linux 等厂商产品。信息系统存在安全漏洞是诱发网络安全事件的重要因素,而2017 年,CNVD“零日”漏洞收录数量同比增长75.0%,这些漏洞给网络空间安全带来严重安全隐患,加强安全漏洞的保护工作显得尤为重要。根据影响对象的类型,漏洞可分为:应用程序漏洞、Web 应用漏洞、操作系统漏洞、网络设备漏洞(如路由器、交换机等)、安全产品漏洞(如防火墙、入侵检测系统等)、数据库漏洞。事实上,网络空间面临的安全形势比这些公布的数据更为严峻,就如同浩瀚的宇宙空间,我们已发现的漏洞后门或病毒木马充其量只能算作是一点点星际尘埃,绝大多数是我们未认知的或被人为隐藏的或正在这个世界上有意、无意地创造与生产着,不能也不可能给出任何统计意义上的数据和评估。更为严峻的是,由于软硬件产品广义鲁棒控制功能的缺位,漏洞后门问题会随着信息化产品的日益丰富和数字经济发展程度的加速发展,迅速扩散或弥漫到整个网络空间,使得安全问题陷入万劫不复、恶性循环的境地。
正如本书第1 章所述,漏洞是可被攻击者恶意利用的设计或实现缺陷。理论上,用形式化的正确性证明技术(Formal Correctness Proof Techniques,FCPT),就一个给定的规范,可以找出并消除软硬件设计中所有的错误,也就是说,能够彻底地杜绝所有漏洞。然而在工程实践中,试图构建不含缺陷(因此不含安全漏洞)的复杂软硬件系统,几乎是不可能实现的任务。**,给定规范的正确性认知(尤其是明确严谨的假设)可以随技术发展阶段而改变,过去不是缺陷的代码可能成为将来的漏洞。第二,实际上难以为复杂系统制定出科学的形式化检查规范,因为复杂系统的形式化检查规范更是复杂巨系统,很难保证检查规范自身工程设计的正确性和完整性。第三,实践中发现,缺陷或错误(包括特定的安全漏洞,如缓冲区溢出等)的形式化验证工具,受待检对象代码规模、复杂度和状态爆炸等条件约束,通常不得不在完整性、完备性、遍历性方面进行折中处理。第四,设计缺陷能否成为可利用的漏洞与攻击者拥有的资源和经验有关,而且还与其所处的运行环境和资源配置强相关。第五,人类科学技术发展具有阶段性,很难**认知的时代局限性,我们不能也不可能识别出将来可能被利用的漏洞。因此,漏洞问题本质上是目前人类科学技术尚不能完全避免的问题。而后门问题的实质则是全球价值链形成与发展过程中,由于国家间分工、产业内部分工乃至产品构件分工造成的相互依存格局,导致了数字经济生态环境中难以消除的“恶性肿瘤”,尤其对技术后进国家和国际市场依赖者的危害更为巨大。糟糕的是,无论漏洞还是后门,迄今为止除了亡羊补牢式的打补丁、贴膏药、封门堵漏或基于经验的查找方式,尚无彻底检出和排除这两类问题的技术手段与工程措施,更无法对给定软硬件系统作出不存在漏洞后门的科学诊断。上述原因*终导致软硬件产品的设计、生产、供应、维护和使用过程中难以实施有效的安全质量控制,致使网络空间基本安全问题无法从软硬件产品源头进行管控或治理,安全生态圈陷入恶性循环的境地。
漏洞后门存在的客观性与必然性使得信息系统或控制装置构件、部件、器件等在理论上就不可能是“无毒无菌”的。因而,信息化建设面临两个严峻挑战:一方面,自主可控战略在相当长的时期内,尚不能及时地、全方位地、可持续地提供信息化建设所需要的成熟稳定与高性能的器件、部件、构件等基础性或支撑性的软硬件产品,况且自主可控也无法从根本上杜绝漏洞和彻底管控后门;另一方面,全球化时代要完全彻底地解决设计链、工具链、制造链、供应链、服务链等的“自主可控、安全可信”问题,除了科学技术方面要有重大突破外,还涉及一系列多边贸易、意识形态、国家利益和网络经济学方面的艰难挑战。事实上,网络空间安全问题很大程度上是由于信息技术和产业发展模式所造成的。如果说在过去相当长的历史时期内因为硬件处理能力一直是“高端紧俏资源”而无力考虑安全性能实属无奈之举的话,那么在摩尔定律持续有效超过半个世纪的情况下,业界一直将软硬构件自身的安全性与可信性设计始终排除在信息技术和产品追求的功能性能指标之外,就没有任何合理性可言了。作者以为,自主可控的本意是为了打破技术和市场垄断,寻求经济技术共同发展格局的建设性做法,初衷只是为解决产品供应链的安全问题,不能也不可能**解决信息安全或网络安全的问题,更不应该成为贸易保护主义和“去全球化”思潮的借口。网络空间安全呼唤信息技术发展观念的转变和设计理念的创新,数字经济时代期盼“改变游戏规则”的技术变革和产业模式创新。
为此,需要正视“你中有我、我中有你”的产业和技术现状,适时地转变传统安全防护的设计理念,用创新的鲁棒控制架构和内生的安全机制,破解软硬组件、部件、构件等可信性不能确保供应链的“自主可控、安全可信”难题。换言之,就是要借助系统工程理论和方法,开拓以构造层技术抵消或降低目标对象软硬构件暗功能影响的新途径,研究如何通过鲁棒控制构造和机理的内生效应,抑制或阻断包括未知安全威胁在内的广义不确定扰动之新方法。
8.1.4 一个切入点:攻击链的脆弱性
时至今日,尽管网络空间安全防御领域已发展出静态防御、动态防御、被动防御、主动防御以及组合式防御等多种研究方向,也取得了不容忽视的技术进步。但由于上述两个基本安全问题和两个严峻挑战,网络空间安全态势仍无法得到根本性改观。急需发展颠覆性的、具有包容性、开放性、融合性的新型防御技术体系,用信息系统或控制装置架构技术的变革或创新,终结目前基于目标对象软硬件代码的攻击威胁,极大地削弱全球化时代、开放式产业链给网
定价:135.0
ISBN:9787030590961
作者:邬江兴
版次:2
出版时间:2018-11
内容提要:
针对网络空间基于目标对象软硬件漏洞后门等暗功能的安全威胁问题,本书从“结构决定安全”的哲学层面诠释了改变游戏规则的“网络空间拟态防御”思想与理论形成过程、原意与愿景、原理与方法、实现基础与工程代价以及尚需完善的理论和方法等。在理论与实践结合的基础上,证明了在创新的“动态异构冗余”构造上运用生物拟态伪装机制可获得内生性的“测不准防御”效应。在不依赖关于攻击者的先验知识和行为特征信息的情况下,按照可量化设计的指标管控拟态界内未知的未知攻击或者已知的未知失效引起的广义不确定扰动影响,并能以一体化的方式处理信息系统传统与非传统安全问题。建立了拟态构造模型,并就抗攻击性和可靠性等问题给出了初步的定量分析结论以及第三方完成的“白盒实验”结果。
目录:
目录
下册
第8章 拟态防御原意与愿景/291
8.1 拟态伪装与拟态防御/291
8.1.1 生物拟态现象/291
8.1.2 拟态伪装与拟态防御/293
8.1.3 两个基本安全问题和两个严峻挑战/294
8.1.4 一个切入点:攻击链的脆弱性/296
8.1.5 构建拟态防御/298
8.1.6 拟态防御原意/301
8.2 拟态计算与内生安全/303
8.2.1 HPC 功耗之殇/303
8.2.2 拟态计算初衷/304
8.2.3 拟态计算愿景/305
8.2.4 变结构计算与内生安全/308
8.3 拟态防御愿景/309
8.3.1 颠覆“易攻难守”格局/310
8.3.2 普适架构与机制/311
8.3.3 鲁棒控制与服务功能分离/312
8.3.4 未知威胁感知/312
8.3.5 多元化生态环境/313
8.3.6 达成多维度目标/314
8.3.7 降低安全维护复杂度/315
参考文献/316
第9章 网络空间拟态防御原理/317
9.1 概述/317
9.1.1 核心思想/318
9.1.2 安全问题需从源头治理/319
9.1.3 生物免疫与内生安全/320
9.1.4 非特异性面防御/323
9.1.5 融合式防御/324
9.1.6 广义鲁棒控制与拟态构造/324
9.1.7 目标与期望/325
9.1.8 潜在应用对象/329
9.2 网络空间拟态防御/330
9.2.1 基础理论与基本原理/331
9.2.2 拟态防御体系/335
9.2.3 基本特征与核心流程/348
9.2.4 内涵与外延技术/353
9.2.5 总结与归纳/354
9.2.6 相关问题讨论/355
9.3 结构表征与拟态场景/363
9.3.1 结构的不确定表征/363
9.3.2 拟态场景创建方式/365
9.3.3 典型拟态场景/366
9.4 拟态呈现/367
9.4.1 拟态呈现的典型模式/367
9.4.2 拟态括号可信性考虑/370
9.5 抗攻击性与可靠性分析/372
9.5.1 概述/372
9.5.2 抗攻击性与可靠性模型/373
9.5.3 抗攻击性分析/376
9.5.4 可靠性分析/400
9.5.5 小结/406
9.6 与异构容侵的区别/407
9.6.1 主要区别/407
9.6.2 前提与功能差异/409
9.6.3 小结/410
参考文献/410
第10章 拟态防御工程实现/413
10.1 基本条件与约束条件/413
10.1.1 基本条件/413
10.1.2 约束条件/414
10.2 主要实现机制/415
10.2.1 构造效应与功能融合机制/415
10.2.2 单线或单向联系机制/416
10.2.3 策略调度机制/416
10.2.4 拟态裁决机制/417
10.2.5 负反馈控制机制/417
10.2.6 输入指配与适配机制/418
10.2.7 输出代理与归一化机制/418
10.2.8 分片化/碎片化机制/418
10.2.9 随机化/动态化/多样化机制/419
10.2.10 虚拟化机制/419
10.2.11 迭代与叠加机制/420
10.2.12 软件容错机制/421
10.2.13 相异性机制/421
10.2.14 可重构重组机制/422
10.2.15 执行体清洗恢复机制/423
10.2.16 多样化编译机制/424
10.3 工程实现上的主要挑战/425
10.3.1 功能交集*佳匹配问题/425
10.3.2 多模裁决复杂性问题/426
10.3.3 服务颠簸问题/427
10.3.4 使用开放元素问题/428
10.3.5 拟态化软件执行效率问题/428
10.3.6 应用程序多样化问题/429
10.3.7 拟态防御界设置问题/430
10.3.8 版本更新问题/433
10.3.9 非跨平台应用程序装载问题/433
10.3.10 再同步与环境重建问题/434
10.3.11 简化异构冗余实现复杂度/434
10.4 拟态防御评测评估/438
10.4.1 拟态防御效果分析/438
10.4.2 拟态防御效果参考界/440
10.4.3 拟态防御验证与评测考虑/442
10.4.4 类隐形性评估思考/453
10.4.5 基于拟态裁决的可度量评测/454
10.4.6 拟态防御基准功能实验/455
10.4.7 攻击者角度的思考/460
参考文献/462
第11章 拟态防御基础与代价/464
11.1 拟态防御实现基础/464
11.1.1 复杂性与成本弱相关时代/464
11.1.2 高效能计算与异构计算/465
11.1.3 多样化生态环境/466
11.1.4 标准化和开放架构/468
11.1.5 虚拟化技术/468
11.1.6 可重构与可重组/469
11.1.7 分布式与云计算服务/470
11.1.8 动态调度/472
11.1.9 反馈控制/472
11.1.10 类可信计算/472
11.1.11 体系结构技术新进展/473
11.2 传统技术相容性分析/474
11.2.1 自然接纳附加型安全技术/474
11.2.2 自然接纳硬件技术进步/475
11.2.3 与软件技术发展强关联/475
11.2.4 依赖开放的多元化生态环境/476
11.3 拟态防御实现代价/476
11.3.1 动态的代价/476
11.3.2 异构的代价/477
11.3.3 冗余的代价/478
11.3.4 清洗与重构的代价/478
11.3.5 虚拟化代价/479
11.3.6 同步的代价/479
11.3.7 裁决的代价/480
11.3.8 输入/输出代理的代价/481
11.3.9 单线联系的代价/481
11.4 需要研究解决的科学与技术问题/482
11.4.1 CMD 领域亟待探讨的科学问题/483
11.4.2 CMD 领域亟待解决的工程技术问题/483
11.4.3 防御效果测试和评估问题/486
11.4.4 防御能力的综合运用/487
11.4.5 需要持续关注的问题/487
11.4.6 重视自然灵感的解决方案/488
参考文献/488
第12章 拟态原理应用举例/490
12.1 拟态路由器验证系统/490
12.1.1 威胁设计/490
12.1.2 设计思路/491
12.1.3 基于DHR 的路由器拟态防御体系模型/493
12.1.4 系统架构设计/494
12.1.5 既有网络的拟态化改造/500
12.1.6 可行性及安全性分析/501
12.2 网络存储验证系统/502
12.2.1 总体方案/502
12.2.2 仲裁器/504
12.2.3 元数据服务器集群/505
12.2.4 分布式数据服务器/505
12.2.5 客户端/506
12.2.6 系统安全性测试及结果分析/508
12.3 拟态构造Web 服务器验证系统/509
12.3.1 威胁分析/509
12.3.2 设计思路/510
12.3.3 系统架构设计/511
12.3.4 功能单元设计/513
12.3.5 样机设计与实现/519
12.3.6 攻击难度评估/520
12.3.7 成本分析/524
12.4 云化服务平台应用设想/524
12.5 软件设计上的应用考虑/525
12.5.1 随机调用移动攻击表面效应/525
12.5.2 防范第三方安全隐患/525
12.5.3 经典拟态防御效应/526
12.6 系统级应用共性归纳/526
参考文献/527
第13章 拟态原理验证系统测试评估/529
13.1 路由器环境下的拟态原理验证测试/529
13.1.1 拟态构造路由器测试方法设计/529
13.1.2 路由器基础功能与性能测试/532
13.1.3 拟态防御机制测试及结果分析/533
13.1.4 防御效果测试及结果分析/539
13.1.5 拟态构造路由器测试小结/545
13.2 Web 服务器环境下的拟态原理验证测试/546
13.2.1 拟态构造Web 服务器测试方法设计/546
13.2.2 Web 服务器基础功能测试与兼容性测试/547
13.2.3 拟态防御机制测试及结果分析/549
13.2.4 防御效果测试及结果分析/550
13.2.5 Web 服务器性能测试/555
13.2.6 Web 原理验证系统测试小结/558
13.3 测试结论与展望/558
参考文献/560
第14章 拟态防御应用示范与现网测试/562
14.1 概述/562
14.2 拟态构造路由器应用示范/563
14.2.1 试点网络现状/563
14.2.2 现网测试/570
14.3 拟态构造Web 服务器/573
14.3.1 应用示范/573
14.3.2 现网测试/585
14.4 拟态构造域名服务器/595
14.4.1 应用示范/595
14.4.2 测试评估/602
14.5 总结与展望/606
在线试读:
第8章 拟态防御原意与愿景
DHR 作为一种创新的、大道至简的系统架构能够提供传统技术所不具备的广义鲁棒控制功能。可以在不依赖任何先验知识及附加安全技术支撑的情况下,将架构内的随机性故障或者蓄意行为导致的不确定扰动归一化为经典的可靠性问题并统一处理之,其固有的“测不准”效应,可以为DHR 构造获得内在的“隐身”防御功能。不过,其隐身性能除了与功能等价条件下执行体的冗余度和异构性相关外,还与多模裁决算法丰度、执行体调度策略、清洗恢复与重组重构机制以及传统安全技术的运用技巧强关联。那么用什么样的博弈策略和机制才能使之获得期望的隐身防御效果呢?有着数亿年自然演化经历的生物界往往能为我们提供重要的解题思路。
8.1 拟态伪装与拟态防御
8.1.1 生物拟态现象
1998 年,澳洲墨尔本大学的马克?诺曼,在印度尼西亚苏拉威西岛水域发现了一种拟态章鱼,学名条纹章鱼,堪称自然界的模仿大师,如图8.1(a)所示。遇到鲨鱼的时候,它会将触手并在一起,组成椭圆形,贴在海底缓慢游动,就像比目鱼一样。由于比目鱼有专门对付鲨鱼的毒液,鲨鱼不敢冒险进攻。在开阔水域中游动时,它会将触手均匀地散开,看上去就像一条多刺又有毒的蓑鲉,能有效地吓走敌人。拟态章鱼的另一个把戏是将六只触腕放入一个洞穴里,然后伸出剩余的两只触腕,就像一条灰蓝扁尾海蛇,当然,这种海蛇也是有毒的。除此之外,它还能模仿礁石和要猎食的鱼类等,结合它的变色能力,更让这些模仿天衣无缝。研究表明,它不仅能主动地改变自身体色和纹理,还能模仿其他生物的形状和行为方式,在沙砾海底和珊瑚礁环境中完全隐身,条纹章鱼至少可以模拟15 种海洋生物。它以本体构造相近或相似的参照物,用色彩、纹理、外观和行为的仿真或模拟来隐匿本征体的外在表象(包括形态和行为等),用视在的特征或功能造成掠食对象的认知困境或认知误区,以此获得生存优势和安全保障。
漫长的进化和变异过程,为众多生物赢得了天然“伪装大师”的美称,如图8.1(b)的竹节虫,图8.1(c)的隐形蛙,图8.1(d)的格纹鹰鱼等。生物利用其自身结构及生理特性“隐真示假”,与军事隐身的初衷如出一辙。形形色色的生物伪装伴随着物竞天择与适者生存的自然规律不断演进,有着与生命史一般久远的发展历程,生物学将这种现象称为“拟态现象”。拟态现象广泛存在于生物界,能够有效提高防御能力或攻击能力。生物的拟态分为缪氏拟态(Müllerian mimicry)、贝氏拟态(Batesian mimicry)、瓦氏拟态(Wasmannian mimicry)、波氏拟态(Poultonian mimicry)等。其中,缪氏拟态中的模拟者和被模拟者都是有毒、不可食的,它们彼此之间的模拟可以互相降低在取食期间的死亡率,对双方物种都有利。贝氏拟态中的被模拟者是有毒的和不可食的,而模拟者则是无毒的和可食的[1]。广义的瓦氏拟态是指昆虫模拟生存环境的现象,如枯叶蝶模拟树叶、竹节虫模拟树枝等,而狭义的瓦氏拟态则特指寄生性昆虫模拟宿主的现象。波氏拟态是指有毒害的昆虫模拟无毒害生物的现象,是一种攻击性拟态,通过拟态隐藏伪装自己,迷惑猎物[2]。
生物拟态的两个核心是内生和模拟。内生,即生物拟态依赖的是自身具备的体态特征或功能行为,而不用借助其他外在的工具或设施。模拟,即参照其生存环境中的物体、天敌、宿主或其他生物特征,形成与之相似的形态、色彩、纹理或行为特征,达到迷惑其他生物、提高自体生存性的目的。
生物拟态通常可以分为两类:静态拟态和动态拟态。其中静态拟态仅在特定环境和场景下有效,例如,枯叶蝶在落叶林里能很好地隐藏自己,而在针叶林里便格外醒目。静态拟态通常没有感知、认知、决策和执行的过程。相对地,动态拟态的呈现形态不固定,会根据所处环境的特点动态决定拟态目标,当环境变化时,拟态目标和拟态行为也随之改变。动态拟态的生物环境适应性较强,可在多种复杂环境下拥有较好的生存性,如前面提到的拟态章鱼。动态拟态的生物需要感知环境的变化并提取特征信息,然后决定拟态行为,有完整的感知、认知、决策和执行的过程。动态拟态是拟态的高级形态。
图8.1 生物界的拟态现象
8.1.2 拟态伪装与拟态防御
从防御角度看,我们将生物内生的拟态行为称为拟态伪装(Mimic Disguise,MD)。拟态伪装可以根据所处环境隐匿或隐身本体外在形态和特征,包括尽可能地掩饰本体固有的功能、性能,本质上就是增加视在的不确定度,以降低攻击的有效性,达到提高自身安全性或生存优势的目的。
拟态伪装的性质可以归纳为以下5 点:
(1)拟态伪装对于生物本体或元功能具有透明性,不会因为拟态呈现的多样性而改变自身的基本功能,即元功能不变性。
(2)拟态伪装是其元功能不可分割的一部分,伪装的效果不依赖于附加的物理装置和工具,属于内生性功能。
(3)拟态伪装具有明确的指向性,是对确定目标或环境的模仿。
(4)拟态伪装对于所模仿对象的色彩、纹理、外形和行为具有相同性或相似性。
(5)拟态伪装的有限性使之可模仿对象或种类受限,且与自身基本构造和所处环境强相关。
借鉴自然界生物拟态伪装的概念,我们将计算机系统、智能控制装置、网络、平台、模块等软硬件系统通过设计内生防护机制来提高自体生存性和抵御外界攻击的能力称为狭义拟态防御(Narrow Mimic Defense,NMD)。需要指出,NMD 虽然包括拟态伪装的含义,但是拟态伪装却不是拟态防御的全部内涵,原因有二:
(1)生物的拟态伪装会尽可能地掩饰本体固有的功能、性能及外在特征,以增加视在的不确定度。而计算机和网络空间大多数信息处理系统的对象实体与服务功能是不允许或不能够隐匿的。例如Web 服务、路由交换、文件存储、数据中心等网络服务功能,不但不能伪装隐身,还要尽可能地让用户清晰明了其功能、性能和使用方式,任何附加的防护措施都应尽可能地不触动或不改变用户原有的操作使用习惯等。
(2)计算机执行进程、资源占用情况和服务状态等运行环境是不断变化的,潜在的攻击威胁和安全风险对防御方而言常常是未知的。在这种情况下,基于目标或环境感知的拟态伪装就难以有效抵御攻击者的高级持续性入侵。
这就是说,NMD 一方面强调不能影响到目标对象给定服务功能和性能的正常提供或呈现;另一方面又要求具有视环境情况实施拟态伪装的能力,包括隐匿目标对象自身的系统架构、运行机制、实现方法、异常表现以及可能存在的已知或未知漏洞后门或病毒木马等。因此,NMD 可以视为隐匿目标对象服务功能除外的主动式拟态伪装。
8.1.3 两个基本安全问题和两个严峻挑战
当前,网络空间安全问题正日益受到社会各阶层的高度关注,各种创新的网络安全技术也不断涌现。然而,漏洞和后门的数量反而呈越来越多的趋势。根据国家互联网应急中心发布的《中国互联网网络安全报告》[3]和《中国互联网网络安全态势综述》[4],自2013 年以来,国家信息安全漏洞共享平台收录安全漏洞数量年平均增长率为21.6%,但2017 年较2016 年收录安全漏洞数量增长了47.4%,达15955 个,收录安全漏洞数量达到历史新高。其中,高危漏洞收录数量高达5615 个(占35.2%),同比增长35.4%;“零日”漏洞3854 个(占24.2%),同比增长75.0%。安全漏洞主要涵盖Google、Oracle、Microsoft、IBM、Cisco、Apple、WordPress、Adobe、HUAWEI、ImageMagick、Linux 等厂商产品。信息系统存在安全漏洞是诱发网络安全事件的重要因素,而2017 年,CNVD“零日”漏洞收录数量同比增长75.0%,这些漏洞给网络空间安全带来严重安全隐患,加强安全漏洞的保护工作显得尤为重要。根据影响对象的类型,漏洞可分为:应用程序漏洞、Web 应用漏洞、操作系统漏洞、网络设备漏洞(如路由器、交换机等)、安全产品漏洞(如防火墙、入侵检测系统等)、数据库漏洞。事实上,网络空间面临的安全形势比这些公布的数据更为严峻,就如同浩瀚的宇宙空间,我们已发现的漏洞后门或病毒木马充其量只能算作是一点点星际尘埃,绝大多数是我们未认知的或被人为隐藏的或正在这个世界上有意、无意地创造与生产着,不能也不可能给出任何统计意义上的数据和评估。更为严峻的是,由于软硬件产品广义鲁棒控制功能的缺位,漏洞后门问题会随着信息化产品的日益丰富和数字经济发展程度的加速发展,迅速扩散或弥漫到整个网络空间,使得安全问题陷入万劫不复、恶性循环的境地。
正如本书第1 章所述,漏洞是可被攻击者恶意利用的设计或实现缺陷。理论上,用形式化的正确性证明技术(Formal Correctness Proof Techniques,FCPT),就一个给定的规范,可以找出并消除软硬件设计中所有的错误,也就是说,能够彻底地杜绝所有漏洞。然而在工程实践中,试图构建不含缺陷(因此不含安全漏洞)的复杂软硬件系统,几乎是不可能实现的任务。**,给定规范的正确性认知(尤其是明确严谨的假设)可以随技术发展阶段而改变,过去不是缺陷的代码可能成为将来的漏洞。第二,实际上难以为复杂系统制定出科学的形式化检查规范,因为复杂系统的形式化检查规范更是复杂巨系统,很难保证检查规范自身工程设计的正确性和完整性。第三,实践中发现,缺陷或错误(包括特定的安全漏洞,如缓冲区溢出等)的形式化验证工具,受待检对象代码规模、复杂度和状态爆炸等条件约束,通常不得不在完整性、完备性、遍历性方面进行折中处理。第四,设计缺陷能否成为可利用的漏洞与攻击者拥有的资源和经验有关,而且还与其所处的运行环境和资源配置强相关。第五,人类科学技术发展具有阶段性,很难**认知的时代局限性,我们不能也不可能识别出将来可能被利用的漏洞。因此,漏洞问题本质上是目前人类科学技术尚不能完全避免的问题。而后门问题的实质则是全球价值链形成与发展过程中,由于国家间分工、产业内部分工乃至产品构件分工造成的相互依存格局,导致了数字经济生态环境中难以消除的“恶性肿瘤”,尤其对技术后进国家和国际市场依赖者的危害更为巨大。糟糕的是,无论漏洞还是后门,迄今为止除了亡羊补牢式的打补丁、贴膏药、封门堵漏或基于经验的查找方式,尚无彻底检出和排除这两类问题的技术手段与工程措施,更无法对给定软硬件系统作出不存在漏洞后门的科学诊断。上述原因*终导致软硬件产品的设计、生产、供应、维护和使用过程中难以实施有效的安全质量控制,致使网络空间基本安全问题无法从软硬件产品源头进行管控或治理,安全生态圈陷入恶性循环的境地。
漏洞后门存在的客观性与必然性使得信息系统或控制装置构件、部件、器件等在理论上就不可能是“无毒无菌”的。因而,信息化建设面临两个严峻挑战:一方面,自主可控战略在相当长的时期内,尚不能及时地、全方位地、可持续地提供信息化建设所需要的成熟稳定与高性能的器件、部件、构件等基础性或支撑性的软硬件产品,况且自主可控也无法从根本上杜绝漏洞和彻底管控后门;另一方面,全球化时代要完全彻底地解决设计链、工具链、制造链、供应链、服务链等的“自主可控、安全可信”问题,除了科学技术方面要有重大突破外,还涉及一系列多边贸易、意识形态、国家利益和网络经济学方面的艰难挑战。事实上,网络空间安全问题很大程度上是由于信息技术和产业发展模式所造成的。如果说在过去相当长的历史时期内因为硬件处理能力一直是“高端紧俏资源”而无力考虑安全性能实属无奈之举的话,那么在摩尔定律持续有效超过半个世纪的情况下,业界一直将软硬构件自身的安全性与可信性设计始终排除在信息技术和产品追求的功能性能指标之外,就没有任何合理性可言了。作者以为,自主可控的本意是为了打破技术和市场垄断,寻求经济技术共同发展格局的建设性做法,初衷只是为解决产品供应链的安全问题,不能也不可能**解决信息安全或网络安全的问题,更不应该成为贸易保护主义和“去全球化”思潮的借口。网络空间安全呼唤信息技术发展观念的转变和设计理念的创新,数字经济时代期盼“改变游戏规则”的技术变革和产业模式创新。
为此,需要正视“你中有我、我中有你”的产业和技术现状,适时地转变传统安全防护的设计理念,用创新的鲁棒控制架构和内生的安全机制,破解软硬组件、部件、构件等可信性不能确保供应链的“自主可控、安全可信”难题。换言之,就是要借助系统工程理论和方法,开拓以构造层技术抵消或降低目标对象软硬构件暗功能影响的新途径,研究如何通过鲁棒控制构造和机理的内生效应,抑制或阻断包括未知安全威胁在内的广义不确定扰动之新方法。
8.1.4 一个切入点:攻击链的脆弱性
时至今日,尽管网络空间安全防御领域已发展出静态防御、动态防御、被动防御、主动防御以及组合式防御等多种研究方向,也取得了不容忽视的技术进步。但由于上述两个基本安全问题和两个严峻挑战,网络空间安全态势仍无法得到根本性改观。急需发展颠覆性的、具有包容性、开放性、融合性的新型防御技术体系,用信息系统或控制装置架构技术的变革或创新,终结目前基于目标对象软硬件代码的攻击威胁,极大地削弱全球化时代、开放式产业链给网