陳琳 石悅 董航
(中國信息通信研究院安全研究所,北京 100191)
0 引言
隨著網絡攻擊者的攻擊手段不斷變化和提升,網絡空間安全對人類生活與生產活動造成了嚴重的威脅。現行的防御體系是基于威脅特征感知的精確防御,遵循“威脅感知,認知決策,問題移除”的防御理論和技術模式,需要攻擊來源、攻擊特征�����、攻擊途徑�、攻擊行為等先驗知識的支撐,在應對基于未知漏洞后門或病毒木馬等未知攻擊時存在防御體制和機制上的脆弱性[1]�����。
針對傳統防御技術難以應對未知漏洞�、后門、病毒或木馬等威脅這一問題,鄔江興[2-3]等于2013 年提出基于內生安全機制的網絡空間擬態防御思想,其基本思想是建立一個由輸入輸出代理�����、異構執行體集���、擬態調度器���、擬態裁決器和反饋控制器等組成的動態異構冗余(Dynamic Heterogeneous Redundancy,DHR)架構��。如圖1 所示,通過異構執行體的異構性使攻擊者很難同時多點攻破,通過策略性的動態變化使得攻擊者的攻擊經驗難以復制或繼承,呈現出對目標體機構和運行環境的測不準效應,從而有效實現對未知威脅的感知和防御[4]����。
為了衡量擬態防御產品的內生安全增益以及擬態結構的復雜性代價與安全防御效果的對比提升,需要對擬態防御產品進行內生安全增益評估,量化擬態防御效果,從而更為直觀地評價擬態防御產品的防御能力���。
1 內生安全增益評估指標度量模型
1.1 評估對象
經過多年的技術驗證和演進發展,目前國內擬態防御產品體系日益完備,產品類型覆蓋多維度���、多領域,包括支持擬態防御功能的路由器��、交換機���、防火墻���、Web 服務器�����、域名服務器、云服務等系列化擬態防御產品[5]�����。為有效評估現有系列擬態防御產品的內生安全增益,本文研究建立了針對現有擬態防御系列產品的通用內生安全增益評估指標度量模型�����。
1.2 構建原則
在構建內生安全增益評估指標度量模型時,評估指標的選取和建立應遵循以下原則。
1.2.1 全面性原則
選取的評估指標應能對其進行定量處理,給出具體數值或能進行排序,這樣才能實施量化評估。對于個別無法量化的指標,應能夠通過主觀判斷進行評價�����。評估指標體系應能全面反映信息系統的各個方面,特別要把反映系統效能的關鍵性指標選準����、選全,這樣才能對系統有一個客觀、合理���、全面的評估。
1.2.2 獨立性原則
各評估指標在整個建立過程中應相互獨立,即使相關也不能互相附屬�。
1.2.3 客觀性原則
所選評估指標應能客觀反映系統內部的變化,能夠把所研究的問題同系統有關的不確定性聯系起來��。
1.2.4 一致性原則
評估指標的建立應與內生安全增益評估的目的相一致,與系統擔負的任務密切相關。
1.3 評估指標模型構建
根據擬態防御產品的安全防護能力要求情況,從擬態基元��、擬態防御系統和擬態防御產品三個層面構建內生安全增益評估指標度量模型�����。
1.3.1 擬態基元安全指標
擬態基元安全指標主要對擬態架構與實現機制的安全性進行評估,包括以下13 個二級指標���。
(1)輸入代理:輸入代理是DHR 組成部分,擬態防御系統的輸入代理將輸入轉發給各執行體,執行體的輸出矢量提交給表決器進行表決,得到系統輸出��。輸入代理是DHR 的第一步也是重要一步,其安全性對于擬態防御系統的安全性影響較大。
(2)表決器:表決器也是DHR 的重要組成部分,執行體的輸出矢量提交給表決器進行表決并產生輸出,所以輸入代理和多模表決器也被稱為擬態括號。表決器是DHR 進行裁決的重要一環,其安全性對于擬態防御系統的安全性影響較大����。
(3)執行體通信誤碼率:擬態防御系統中各執行體的動態選擇、與輸入代理的通信�����、與表決器的通信等過程均通過數據通信進行,如果通信信道的誤碼率過高,會影響系統執行體的選擇和輸出結果,從而對擬態防御系統的安全性造成影響���。
(4)執行體故障率:由功能等價冗余執行體構成的異構構建集合是DHR 的執行主體,執行體的故障率直接影響DHR 的準確性,從而對擬態防御系統的安全性造成影響。
(5)針對執行體攻擊的獨立性:非相似余度構造(Dissimilar Redundancy Structure,DRS)依賴于異構執行體間的功能等價特性,如果針對執行體的攻擊不具備獨立性,會影響執行體之間的異構特性,從而導致功能等價的原因與預期不符���。失去DRS 的特有效果會對擬態防御系統的安全性造成影響。
(6)單一執行體的輸入輸出對應性:在DHR 構造中,表決器的結果輸出主要依賴于對各執行體的輸出結果進行分析和裁決,這就要求執行體的輸入輸出一一對應,一旦輸入輸出錯位會導致表決器表決失效,從而對擬態防御系統的安全性造成影響��。
(7)異構執行體的相異性:DRS 依賴于異構執行體間的功能等價特性,如果針對執行體的攻擊不具備相異性,會影響執行體之間的異構特性,從而導致DRS構造失敗��。失去DRS 的特有效果會對擬態防御失效����。
(8)執行體對攻擊行為的敏感性:DRS 依賴于異構執行體間的功能等價特性,只有執行體對攻擊行為具備一定的敏感性才會導致執行體輸出結果的相異性����。如果執行體對攻擊行為的敏感性較低,會導致執行體異構失效,從而失去DRS 的特有效果,使擬態防御失效。
(9)異構執行體失效或存在缺陷的隨機性:DRS的基礎是獨立開發的裝置或模塊發生共性設計缺陷導致共模故障的情況屬于小概率事件,要保證各功能等價的獨立裝置中的設計缺陷具有不重合的性質,這就要求異構執行體失效或存在缺陷具備一定的隨機性。如果異構執行體失效或存在缺陷的隨機性較弱,會導致執行體間的異構失效,從而對擬態防御系統的安全性造成影響�����。
(10)動態調度機制的隨機性:在DHR 結構中,擬態防御系統通過動態調度機制,隨機選擇多個異構執行體進行工作,在相同外部激勵的情況下,通過比對多個異構功能執行體的輸出結果,對功能執行體進行異常檢測,實現擬態防御系統的主動防御功能�����。如果動態調度機制的隨機性較差,會使對比輸出結果的工作無效,從而對擬態防御系統的安全性造成影響��。
(11)擬態裁決機制的正確性:擬態防御系統的有效性由DHR 構造的多維動態重構、重組等機制和非配合條件下多模裁決機制的強弱來決定,擬態裁決機制的正確性直接影響擬態防御系統的有效性��。
(12)虛擬化機制的有效性:多模裁決機制存在“錯誤逃逸”的可能性,所以DHR 構造中導入了策略調度��、重構重組和虛擬化等多維動態的不確定性機制,將使得多模判決環節中單次逃逸或持續逃逸的概率大幅度降低。
(13)執行體重構機制的有效性:執行體重構機制和虛擬化機制一樣,可以大幅度降低多模判決環節中單次逃逸或持續逃逸的概率��。擬態防御系統的逃逸概率對于其有效性影響較大����。
1.3.2 擬態防御系統安全指標
擬態防御系統安全指標主要對擬態構造系統的安全能力進行描述,包括以下5 個二級指標。
(1)擬態逃逸成功率:在擬態防御系統中,如果一次攻擊成功突破了擬態界,則稱其發生了擬態逃逸�����。雖然在擬態防御系統中,一次擬態逃逸行為并不意味著攻擊成功,但是會影響擬態防御系統的動態性,對其“阻斷”甚至“完全破壞”攻擊鏈的行為產生干擾��������?刂茢M態逃逸成功率在安全范圍內,可以保證整個擬態防御系統的可用性。
(2)擬態防御系統容錯能力:擬態防御是一種源自可靠性領域容錯思想的體系架構技術,基本形態是將靜態的非相似余度“容錯”架構轉變為動態異構冗余的“容侵”架構���。通過將指令、地址�����、數據等動態化�����、隨機化�����、多樣化的方法來增強擬態防御系統容錯能力,在一定程度上保證系統安全性。
(3)擬態環境的魯棒性:擬態防御系統需要具備應對不確定性威脅感知��、增加攻擊鏈不確定性�����、增加多模裁決逃逸難度、獨立安全增益等能力,由于其復雜性,擬態環境需要具備一定程度的魯棒性,來保證整個擬態防御系統的魯棒性和安全性。
(4)擬態環境的柔韌性:擬態防御系統的擬態環境不具備具體的通用標準和檢驗方法,其標準柔性很大,范圍也無法確定。由于擬態防御系統無法一次性確定所有需求(例如異構執行體的隨機選取策略���、裁決機制等),因此需要不斷地對系統進行優化和升級,改變檢驗方法和范圍等。擬態環境的柔韌性在一定程度上決定了擬態防御系統的完成度。
(5)擬態環境的安全性:擬態防御系統基礎環境的安全性是系統安全的基礎,只有保證擬態環境的安全性,才能確保外界的安全風險不會影響擬態防御系統的穩定運行��。擬態環境的安全性直接決定了擬態防御系統的可用性����。
1.3.3 擬態防御產品安全指標
擬態防御產品安全指標主要對擬態構造的各類信息通信產品(基于擬態構造的路由器�、防火墻�����、Web 服務器等)的通用安全功能進行評估,與傳統信息通信設備的安全功能指標項類似,具體包括以下11 個安全指標�����。
(1)賬號口令:賬號口令的集中化管理可以應對信息系統復雜性的不斷增加,便于對不斷增加的用戶賬戶進行科學管理,并與各主機、網絡設備����、信息系統無縫連接����。網絡設備賬號口令的集中化管理程度在一定程度上決定了擬態防御系統的安全性��。
(2)身份認證:擬態防御系統自身的身份認證應滿足一定的強度,通過賬號口令��、數字證書等方案對用戶的身份進行認證,可以在很大程度上避免非授權訪問及相關風險。服務器身份驗證的覆蓋率在一定程度上決定了擬態防御系統的安全性���。
(3)會話管理:客戶端與服務器的請求與響應是無狀態通信協議,服務器維護上一次請求和下一次請求間關系的方式就是會話管理��。服務器會話管理的防篡改和抗偽造能力在一定程度上決定了擬態防御系統的安全性�。
(4)權限管理:服務器權限管理的覆蓋率在一定程度上決定了擬態防御系統的安全性����。
(5)業務邏輯安全:擬態防御系統相關軟件的業務邏輯安全指軟件能實現的業務運作模式與操作流程是安全可靠的,包括軟件的功能架構、工作流及用戶界面等,軟件邏輯是軟件系統的命脈,也是軟件承載業務的具體表現形式�。軟件的業務邏輯安全在一定程度上決定了擬態防御系統的安全性�����。
(6)原生軟件及后臺系統安全:擬態防御系統原生軟件及其后臺系統是擬態防御系統軟件部分的主體,其安全性直接影響擬態防御系統的可用性、安全性和防御效果等。軟件及其后臺存的漏洞數量和潛在風險在一定程度上決定了擬態防御系統的安全性��。
(7)能力開放接口安全:能力開放接口有利于軟件功能的復用,減少工作量,提高工作效率�。通過能力開放接口提交用戶名密碼、傳遞加密參數等操作時存在被攻擊者暴力破解、竊取信息等風險,這些風險會在一定程度上影響擬態防御系統的安全性,應通過認證授權���、帶有時間戳的請求簽名、頻率控制等手段來降低風險。
(8)數據安全:擬態防御系統原生軟件的數據安全主要從數據機密性保障、數據完整性保障和數據可用性可靠性保障三個方面對數據進行安全保護,但由于數據機密性�、可靠性保障與系統復雜度之間存在矛盾�����、數據完整性校驗與用戶開銷之間存在矛盾等原因,數據保護措施未完全實施,這在一定程度上影響了擬態防御系統的安全性。
(9)入侵防范:擬態防御系統應具備入侵防范功能,對于流經設備的數據流量進行實時監控和分析,及時發現存在的入侵風險、敏感數據、病毒木馬等,來保障擬態防御系統自身的安全性,所以擬態防御系統的入侵防范能力決定了其系統的安全性。
(10)安全監測和審計:安全監測和審計功能通過對擬態防御系統中的安全事件(如網絡攻擊��、防病毒等)��、用戶訪問記錄�����、系統運行日志、系統運行狀態���、網絡存取日志等各類信息,經過標準化、過濾��、歸并和告警分析等處理后,以統一格式的日志形式進行集中存儲和管理,該功能的有效性在一定程度上決定了擬態防御系統的安全性��。
(11)中間件安全:擬態防御系統的中間件是連接底層網絡設備、服務器和擬態防御系統應用程序之間可復用的基礎軟件,中間件通過標準的通用接口和通用協議實現軟件的跨平臺復用,同時帶來了更多的安全問題�。擬態防御系統通過利用Web 服務框架提高中間件安全性,在一定程度上提高了擬態防御系統自身的安全性��。
2 結束語
本文旨在研究網絡空間擬態防御產品的內生安全增益評估問題,通過分析研究影響擬態防御技術產品安全增益的關鍵要素和屬性,從擬態基元安全指標、擬態防御系統安全指標和擬態防御產品安全指標三個層面構建內生安全增益評估指標度量模型�����。通過建立內生安全增益評估指標度量模型,能夠對擬態防御產品的安全防御效果進行量化評估,驗證擬態防御產品的安全性是否達到預期效果,為后續擬態產品開展內生安全增益評估測試提供參考�����。
