網(wǎng)絡動態(tài)防御技術發(fā)展概況研究

一、引言

傳統(tǒng)的網(wǎng)絡安全防御思想是基于防火墻、入侵檢測系統(tǒng)、反病毒系統(tǒng)、身份認證技術、網(wǎng)絡安全風險檢測等技術手段建立縱深型立體網(wǎng)絡安全防御體系，保護網(wǎng)絡系統(tǒng)免遭惡意入侵破壞，其技術出發(fā)點是堵塞和消除被保護網(wǎng)絡系統(tǒng)中存在的脆弱性。

在網(wǎng)絡攻防的過程中，攻擊方不斷地推陳出新，始終占據(jù)著對抗過程中的主動，而防御方則陷入了疲于應對的被動局面。長期以來，網(wǎng)絡安全基本上都處于“易攻難守”的不對稱局面。造成這種局面的原因在于：一是傳統(tǒng)網(wǎng)絡的確定性、靜態(tài)性，使攻擊者具備時間優(yōu)勢和空間優(yōu)勢，能夠?qū)δ繕讼到y(tǒng)的脆弱性進行反復的探測分析和滲透測試，進而找到突破途徑；二是傳統(tǒng)網(wǎng)絡的相似性，使攻擊者具備攻擊成本優(yōu)勢，可以把同樣的攻擊手段應用于大量類似的目標。

由于新型網(wǎng)絡攻擊技術手段不斷涌現(xiàn)，網(wǎng)絡防御方不得不頻繁地更新升級網(wǎng)絡安全防御技術，筑牢加固網(wǎng)絡安全防御體系。隨著對抗手段自動化、智能化水平的不斷提高，單靠筑牢加固網(wǎng)絡安全防御體系已經(jīng)不能適應網(wǎng)絡安全防御的實際需求，網(wǎng)絡動態(tài)防御技術逐漸引起人們的廣泛關注，被認為是改變網(wǎng)絡安全不對稱局面的革命性技術。

二、網(wǎng)絡動態(tài)防御的概念與分類

網(wǎng)絡安全漏洞的不可避免性和基于威脅特征感知防御方法的局限性迫使人們轉(zhuǎn)變防御思想，創(chuàng)新防御機制，以扭轉(zhuǎn)網(wǎng)絡空間“易攻難守”的被動局面。網(wǎng)絡動態(tài)防御旨在通過主動地重構(gòu)系統(tǒng)來阻止或降低網(wǎng)絡攻擊的影響，其基本思想是通過動態(tài)地改變、偽裝目標網(wǎng)絡系統(tǒng)的特征，以增加攻擊代價，提高目標系統(tǒng)彈性，增強防御能力。

實際上，動態(tài)防御的思想由來已久，在《孫子兵法-虛實篇》中就有“攻而必取者，攻其所不守也；守而必固者，守其所不攻也。故善攻者，敵不知其所守；善守者，敵不知其所攻”的論述，充分體現(xiàn)了虛實結(jié)合、動態(tài)變化對于控制戰(zhàn)局的重要性。

2011年12月，美國國家科學技術委員會（NITRD）發(fā)布《可信網(wǎng)絡空間：聯(lián)邦網(wǎng)絡空間安全研發(fā)戰(zhàn)略規(guī)劃》，明確指出“針對網(wǎng)絡空間所面臨的現(xiàn)實和潛在威脅”，要突破傳統(tǒng)思路，發(fā)展“改變游戲規(guī)則”的革命性技術，開啟了網(wǎng)絡動態(tài)防御研究熱潮，涌現(xiàn)出了以移動目標防御（Moving Target Defense，MTD）、擬態(tài)防御（Cyberspace Mimic Defense，CMD）和網(wǎng)絡欺騙（Cyber Deception，CD）等為代表的網(wǎng)絡動態(tài)防御技術。

三、移動目標防御

移動目標防御的基本觀點認為絕對的安全是不可能實現(xiàn)的，因而更加關注如何使系統(tǒng)能夠在可能遭受損害的環(huán)境下連續(xù)地安全運行，并不追求建立一種完美無瑕的防御體系來對抗各種形式的攻擊。移動目標防御的思路是通過增加系統(tǒng)的隨機性、減少系統(tǒng)的可預見性來對抗同類型攻擊，通過有效降低其確定性、相似性和靜態(tài)性來顯著增加攻擊成本。通常的實現(xiàn)方式是通過變換系統(tǒng)配置，縮短系統(tǒng)配置屬性信息的有效期，使得攻擊者不能在有限時間內(nèi)完成目標探測和攻擊代碼開發(fā)，同時降低收集的歷史信息的有效性，使探測到的信息在攻擊期間已失效。

移動目標防御技術可以在系統(tǒng)的不同層面、以不同的方式實現(xiàn)，總體上可以分為五大類：動態(tài)運行環(huán)境、動態(tài)軟件、動態(tài)網(wǎng)絡、動態(tài)數(shù)據(jù)、動態(tài)平臺。

（一）動態(tài)運行環(huán)境

動態(tài)運行環(huán)境指操作系統(tǒng)提供給應用程序的執(zhí)行環(huán)境動態(tài)改變，其又分為地址空間隨機化和指令集隨機化兩類。地址空間隨機化指內(nèi)存地址空間分布動態(tài)變化；指令集隨機化指操作系統(tǒng)提供給應用程序的接口動態(tài)變化。

地址空間分布排列（Address SpaceLayout Permutation, ASLP ）是典型的地址空間隨機化技術，主要用來防御緩沖區(qū)溢出攻擊。

G-Free是典型的指令集隨機化技術，主要用來防御ROP攻擊。G-Free使用特殊的編譯器編譯可執(zhí)行文件，編譯時消除所有未對齊的自由分支指令，減少攻擊者可用的自由分支指令；同時對棧返回指針進行加密，當棧溢岀時，攻擊者無法向返回指針注入值。

（二）動態(tài)軟件

動態(tài)軟件指應用程序代碼動態(tài)變化，包括程序的指令及指令的順序、組合和格式等。

主動模糊（Proactive Obfuscation ）是典型的動態(tài)軟件技術。主動模糊用來防御對網(wǎng)絡可見服務的緩沖區(qū)溢出攻擊和其他注入攻擊。對特定的可執(zhí)行文件，注入攻擊的方法是特定的，主動模糊技術對每種服務的可執(zhí)行文件隨機創(chuàng)建多個不同的副本，當服務接收到一個請求，每個副本都進行處理，如果大多數(shù)副本接受這個請求，服務才會對請求進行響應。

（三）動態(tài)網(wǎng)絡

動態(tài)網(wǎng)絡指網(wǎng)絡配置及屬性動態(tài)變化，包括IP地址、端口號、系統(tǒng)指紋以及響應行為等。按照不同的角度，可以將動態(tài)網(wǎng)絡技術劃分為不同的類型。

（1）根據(jù)參與者不同，可以分為兩類：單向動態(tài)變化和雙向動態(tài)變化。單向動態(tài)變化指只有服務端的配置信息進行動態(tài)變化；雙向動態(tài)變化指通信過程中通信雙方的配置信息都進行動態(tài)變化。

（2）根據(jù)變化的內(nèi)容不同，可以分為端口跳變、IP地址突變、隨機指紋、路由突變等，各項變化都有其自身的使用環(huán)境和防護特點。

（3）根據(jù)是否改變真實配置信息的不同，可以分為兩類：一是改變真實信息，如服務的端口改變，主機的真實IP地址改變等；二是攔截覆蓋虛擬信息，通過某種方式攔截進出的數(shù)據(jù)包，將端口、地址等相關信息進行隨機修改，但不改變主機的真實配置信息。

SDN-MTD是一種基于軟件定義網(wǎng)絡（SDN ）實現(xiàn)的移動目標防御系統(tǒng)，基本實現(xiàn)了常用配置信息的動態(tài)變化。其主要功能包括：主機存活性和端口隨機、服務版本和操作系統(tǒng)指紋隱藏、IP地址突變。主機存活性和端口隨機用來抵御網(wǎng)絡踩點和掃描；服務版本和操作系統(tǒng)指紋隱藏用來抵御操作系統(tǒng)指紋及漏洞探測；IP地址突變用來抵御網(wǎng)絡蠕蟲和拒絕服務攻擊。

（四）動態(tài)平臺

動態(tài)平臺指軟硬件平臺的屬性動態(tài)變化，包括操作系統(tǒng)及其版本、CPU架構(gòu)、平臺數(shù)據(jù)格式等。

可信動態(tài)邏輯異構(gòu)系統(tǒng)（Trusted Dynamic Logical Heterogeneity System，TALENT ）是一種典型的動態(tài)平臺技術。TALENT用來防御注入攻擊、網(wǎng)絡掃描和供應鏈攻擊（Supply Chain Attacks ）。TALENT通過運行一個關鍵的應用程序來改變硬件平臺和操作系統(tǒng)，從而提供平臺多樣性。這種技術使用操作系統(tǒng)級虛擬化容器和一種便攜檢測點編譯器來創(chuàng)建一個虛擬的執(zhí)行環(huán)境，使正在運行的應用程序在不同的平臺間遷移，同時保持程序的狀態(tài)。這些平臺以不同的操作系統(tǒng)、硬件、架構(gòu)、庫進行部署。

（五）動態(tài)數(shù)據(jù)

動態(tài)數(shù)據(jù)指應用程序數(shù)據(jù)的格式、句法規(guī)則、編碼方式和表示形式動態(tài)變化。

數(shù)據(jù)隨機化（Data Randomization）是典型的動態(tài)數(shù)據(jù)技術。該技術通過將存儲于內(nèi)存的所有數(shù)據(jù)進行隨機化來防御注入攻擊。這種技術在受保護的系統(tǒng)上部署一個編譯器，系統(tǒng)程序必須用該編譯器進行編譯。在隨機化過程中，系統(tǒng)程序讀寫內(nèi)存的所有數(shù)據(jù)將與一個隨機密鑰異或，與同一對象相關的操作數(shù)歸為一組，每組隨機使用不同的密鑰，這些組在編譯時由編譯器通過靜態(tài)分析建立。

四、擬態(tài)防御

擬態(tài)防御是以鄔江興院士為代表的國內(nèi)研究人員受自然界生物自我防御的擬態(tài)現(xiàn)象的啟迪，提出的一種網(wǎng)絡空間新型動態(tài)防御技術，旨在通過擬態(tài)防御構(gòu)造的內(nèi)生機理提高信息設備或系統(tǒng)的抗攻擊能力。之所以稱為擬態(tài)防御，是因為其機理上與擬態(tài)偽裝相似，都依賴于擬態(tài)構(gòu)造。擬態(tài)構(gòu)造把可靠性、安全性問題歸一化為可靠性問題處理。對于擬態(tài)防御而言，目標對象防御場景處于“測不準”狀態(tài)，任何針對執(zhí)行體個體的攻擊首先被擬態(tài)構(gòu)造轉(zhuǎn)化為群體攻擊效果不確定事件，同時被變換為概率可控的可靠性事件，其防御有效性取決于“非配合條件下動態(tài)多元目標協(xié)同一致攻擊難度”。

在工程制造領域中，經(jīng)常采用異構(gòu)冗余的方法來增強目標系統(tǒng)的可靠性，其經(jīng)典應用范例是“非相似余度構(gòu)造”（Dissimilar Redundancy Structure, DRS）。DRS構(gòu)造能夠發(fā)現(xiàn)和處理一些由宕機錯誤或拜占庭錯誤（即偽造信息惡意響應）造成的異常，具有一定程度的抗攻擊效果。然而，DRS構(gòu)造本質(zhì)上仍是靜態(tài)和確定的架構(gòu)，各執(zhí)行體的運行環(huán)境以及相關漏洞或后門的可利用條件也是固定不變的，多元執(zhí)行體的并聯(lián)配置方式并不會影響攻擊表面的可達性，這使得攻擊者有可能通過反復試錯攻擊找到多元執(zhí)行體漏洞或缺陷的交集，從而實現(xiàn)攻擊。

擬態(tài)防御的基本思想是通過組織多個冗余的異構(gòu)功能等價體來共同處理外部相同的請求，并在多個冗余體之間進行動態(tài)調(diào)度，彌補網(wǎng)絡信息系統(tǒng)中存在的靜態(tài)、相似和單一等安全缺陷，其核心是動態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，DHR）構(gòu)造。DHR構(gòu)造通過在DRS構(gòu)造中引入基于閉環(huán)負反饋控制機制和MTD動態(tài)思想實現(xiàn)，理論上能夠改變其構(gòu)造場景的靜態(tài)性、相似性以及運行機制的確定性。DHR構(gòu)造具有內(nèi)生的抗攻擊特性，在網(wǎng)絡空間安全領域的研究與應用越來越廣泛。DHR構(gòu)造的組成如圖1所示。

輸入代理需要根據(jù)負反饋控制器的指令將輸入序列分發(fā)到相應的多個異構(gòu)功能等價體；異構(gòu)執(zhí)行體集合中接收到輸入激勵的執(zhí)行體，在大概率情況下能夠正常工作且獨立地產(chǎn)生滿足給定語義和語法的輸岀矢量；多模裁決器根據(jù)裁決參數(shù)或算法生成的裁決策略，研判多模輸出矢量內(nèi)容的一致性情況并形成輸出響應序列，一旦發(fā)現(xiàn)不一致情況就激活負反饋控制器；負反饋控制器被激活后將根據(jù)控制參數(shù)生成的控制算法決定是否要向輸入代理發(fā)送替換異常執(zhí)行體的指令，或者指示“輸出異�！眻�(zhí)行體實施在線或離線清洗恢復操作等。

擬態(tài)防御的DHR構(gòu)造具有以下特點：一是不確定性威脅感知能力，能顯著地降低攻擊鏈的可靠性；二是顯著增加多模裁決協(xié)同逃逸難度，動態(tài)異構(gòu)環(huán)境降低漏洞可利用性。

從基本實現(xiàn)思想來看，擬態(tài)防御也具有移動目標防御的動態(tài)、隨機和多備選等屬性，但同時又具有相對獨立完整的理論基礎，因此可以認為擬態(tài)防御是移動目標防御的一種系統(tǒng)化、體系化實現(xiàn)。

當前，擬態(tài)防御技術在理論研究與產(chǎn)業(yè)化方面都取得了較大發(fā)展，發(fā)布了包括擬態(tài)域名服務器、擬態(tài)路由器、擬態(tài)Web服務器、擬態(tài)防火墻等在內(nèi)的系列化產(chǎn)品，并進行了安全性的公開測試。

五、網(wǎng)絡欺騙

網(wǎng)絡欺騙是一種通過在己方網(wǎng)絡信息系統(tǒng)中布設騙局，干擾、誤導攻擊者對己方網(wǎng)絡信息系統(tǒng)的感知與判斷，誘使攻擊者做出對防御方有利的決策或動作，從而達到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的動態(tài)防御技術。

網(wǎng)絡欺騙主要利用了攻擊者一般需要依據(jù)網(wǎng)絡偵察獲取的信息來決定下一步動作的特點，通過干擾攻擊者的認知以促使其采取有利于防御方的行動。網(wǎng)絡欺騙的本質(zhì)特征是通過布設騙局干擾攻擊者對目標網(wǎng)絡的認知，因此欺騙環(huán)境的構(gòu)建機制是其關鍵所在。按照欺騙環(huán)境的構(gòu)建方式可以將網(wǎng)絡欺騙技術分為掩蓋欺騙、混淆欺騙、偽造欺騙、模仿欺騙等4大類。

掩蓋欺騙通過消除特征來隱藏真實的資源，防止被攻擊者發(fā)現(xiàn)。典型的掩蓋欺騙技術有網(wǎng)絡地址變換，通過周期性地重新映射網(wǎng)絡地址和網(wǎng)絡系統(tǒng)之間的關系改變網(wǎng)絡的外在特征，以限制攻擊者掃描、發(fā)現(xiàn)、識別和定位網(wǎng)絡目標的能力。

混淆欺騙通過更改系統(tǒng)資源的特征使得系統(tǒng)資源看上去像另外的資源，從而挫敗攻擊者的攻擊企圖。具體的混淆策略包括使真實系統(tǒng)具有“蜜罐”的特征從而嚇阻攻擊者，使受保護的操作系統(tǒng)對遠程探測工具表現(xiàn)出其他操作系統(tǒng)的特性等。

偽造欺騙通過采用真實系統(tǒng)或網(wǎng)絡資源構(gòu)建欺騙網(wǎng)絡環(huán)境，并偽造資源吸引攻擊者的注意力，從而發(fā)現(xiàn)攻擊或者消耗攻擊者的時間。偽造欺騙的典型實現(xiàn)技術有高交互“蜜罐”、蜜標等。

模擬欺騙則是通過軟件模擬的方式構(gòu)造出資源的特征，誘騙攻擊者訪問。Deception Tool Kit （ DTK）是一種典型的模擬欺騙實現(xiàn)，DTK綁定系統(tǒng)未使用的端口，被動地等待連接，并記錄訪問信息。模擬欺騙的逼真度與機密性較低，不適于對攻擊者行為的長期觀察，但是因其占資源少且?guī)缀醪粫�帶來風險，因此可以在業(yè)務主機上部署。

六、結(jié)語

網(wǎng)絡動態(tài)防御是為了應對越來越嚴峻的網(wǎng)絡空間安全形勢而逐步發(fā)展起來的創(chuàng)新性網(wǎng)絡防御技術體系，為打破長期存在的“易攻難守”不對稱局面提供了可能，將使未來的網(wǎng)絡攻防難易程度趨于平衡。網(wǎng)絡動態(tài)防御的思想由來已久，在許多網(wǎng)絡安全技術中都有所體現(xiàn)，但作為系統(tǒng)化的網(wǎng)絡安全防御體系被提出的時間并不長。當前，網(wǎng)絡動態(tài)防御的發(fā)展主要有移動目標防御、擬態(tài)防御和網(wǎng)絡欺騙3個分支，分別從攻擊面變換、架構(gòu)內(nèi)生安全和資源偽裝等角度提高攻擊的復雜度和代價，從而增強系統(tǒng)安全防御能力。各分支的技術之間不僅沒有嚴格的界限，相互間甚至可以進行融合，構(gòu)造出更加安全的網(wǎng)絡動態(tài)防御體系架構(gòu)。

 

（原載于《保密科學技術》雜志2020年6月刊）