陳琳 石悅 董航
(中國信息通信研究院安全研究所,北京 100191)
0 引言
隨著網(wǎng)絡(luò)攻擊者的攻擊手段不斷變化和提升,網(wǎng)絡(luò)空間安全對人類生活與生產(chǎn)活動造成了嚴(yán)重的威脅,F(xiàn)行的防御體系是基于威脅特征感知的精確防御,遵循“威脅感知,認(rèn)知決策,問題移除”的防御理論和技術(shù)模式,需要攻擊來源、攻擊特征、攻擊途徑、攻擊行為等先驗(yàn)知識的支撐,在應(yīng)對基于未知漏洞后門或病毒木馬等未知攻擊時(shí)存在防御體制和機(jī)制上的脆弱性[1]。
針對傳統(tǒng)防御技術(shù)難以應(yīng)對未知漏洞、后門、病毒或木馬等威脅這一問題,鄔江興[2-3]等于2013 年提出基于內(nèi)生安全機(jī)制的網(wǎng)絡(luò)空間擬態(tài)防御思想,其基本思想是建立一個(gè)由輸入輸出代理、異構(gòu)執(zhí)行體集、擬態(tài)調(diào)度器、擬態(tài)裁決器和反饋控制器等組成的動態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy,DHR)架構(gòu)。如圖1 所示,通過異構(gòu)執(zhí)行體的異構(gòu)性使攻擊者很難同時(shí)多點(diǎn)攻破,通過策略性的動態(tài)變化使得攻擊者的攻擊經(jīng)驗(yàn)難以復(fù)制或繼承,呈現(xiàn)出對目標(biāo)體機(jī)構(gòu)和運(yùn)行環(huán)境的測不準(zhǔn)效應(yīng),從而有效實(shí)現(xiàn)對未知威脅的感知和防御[4]。
為了衡量擬態(tài)防御產(chǎn)品的內(nèi)生安全增益以及擬態(tài)結(jié)構(gòu)的復(fù)雜性代價(jià)與安全防御效果的對比提升,需要對擬態(tài)防御產(chǎn)品進(jìn)行內(nèi)生安全增益評估,量化擬態(tài)防御效果,從而更為直觀地評價(jià)擬態(tài)防御產(chǎn)品的防御能力。
1 內(nèi)生安全增益評估指標(biāo)度量模型
1.1 評估對象
經(jīng)過多年的技術(shù)驗(yàn)證和演進(jìn)發(fā)展,目前國內(nèi)擬態(tài)防御產(chǎn)品體系日益完備,產(chǎn)品類型覆蓋多維度、多領(lǐng)域,包括支持?jǐn)M態(tài)防御功能的路由器、交換機(jī)、防火墻、Web 服務(wù)器、域名服務(wù)器、云服務(wù)等系列化擬態(tài)防御產(chǎn)品[5]。為有效評估現(xiàn)有系列擬態(tài)防御產(chǎn)品的內(nèi)生安全增益,本文研究建立了針對現(xiàn)有擬態(tài)防御系列產(chǎn)品的通用內(nèi)生安全增益評估指標(biāo)度量模型。
1.2 構(gòu)建原則
在構(gòu)建內(nèi)生安全增益評估指標(biāo)度量模型時(shí),評估指標(biāo)的選取和建立應(yīng)遵循以下原則。
1.2.1 全面性原則
選取的評估指標(biāo)應(yīng)能對其進(jìn)行定量處理,給出具體數(shù)值或能進(jìn)行排序,這樣才能實(shí)施量化評估。對于個(gè)別無法量化的指標(biāo),應(yīng)能夠通過主觀判斷進(jìn)行評價(jià)。評估指標(biāo)體系應(yīng)能全面反映信息系統(tǒng)的各個(gè)方面,特別要把反映系統(tǒng)效能的關(guān)鍵性指標(biāo)選準(zhǔn)、選全,這樣才能對系統(tǒng)有一個(gè)客觀、合理、全面的評估。
1.2.2 獨(dú)立性原則
各評估指標(biāo)在整個(gè)建立過程中應(yīng)相互獨(dú)立,即使相關(guān)也不能互相附屬。
1.2.3 客觀性原則
所選評估指標(biāo)應(yīng)能客觀反映系統(tǒng)內(nèi)部的變化,能夠把所研究的問題同系統(tǒng)有關(guān)的不確定性聯(lián)系起來。
1.2.4 一致性原則
評估指標(biāo)的建立應(yīng)與內(nèi)生安全增益評估的目的相一致,與系統(tǒng)擔(dān)負(fù)的任務(wù)密切相關(guān)。
1.3 評估指標(biāo)模型構(gòu)建
根據(jù)擬態(tài)防御產(chǎn)品的安全防護(hù)能力要求情況,從擬態(tài)基元、擬態(tài)防御系統(tǒng)和擬態(tài)防御產(chǎn)品三個(gè)層面構(gòu)建內(nèi)生安全增益評估指標(biāo)度量模型。
1.3.1 擬態(tài)基元安全指標(biāo)
擬態(tài)基元安全指標(biāo)主要對擬態(tài)架構(gòu)與實(shí)現(xiàn)機(jī)制的安全性進(jìn)行評估,包括以下13 個(gè)二級指標(biāo)。
(1)輸入代理:輸入代理是DHR 組成部分,擬態(tài)防御系統(tǒng)的輸入代理將輸入轉(zhuǎn)發(fā)給各執(zhí)行體,執(zhí)行體的輸出矢量提交給表決器進(jìn)行表決,得到系統(tǒng)輸出。輸入代理是DHR 的第一步也是重要一步,其安全性對于擬態(tài)防御系統(tǒng)的安全性影響較大。
(2)表決器:表決器也是DHR 的重要組成部分,執(zhí)行體的輸出矢量提交給表決器進(jìn)行表決并產(chǎn)生輸出,所以輸入代理和多模表決器也被稱為擬態(tài)括號。表決器是DHR 進(jìn)行裁決的重要一環(huán),其安全性對于擬態(tài)防御系統(tǒng)的安全性影響較大。
(3)執(zhí)行體通信誤碼率:擬態(tài)防御系統(tǒng)中各執(zhí)行體的動態(tài)選擇、與輸入代理的通信、與表決器的通信等過程均通過數(shù)據(jù)通信進(jìn)行,如果通信信道的誤碼率過高,會影響系統(tǒng)執(zhí)行體的選擇和輸出結(jié)果,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。
(4)執(zhí)行體故障率:由功能等價(jià)冗余執(zhí)行體構(gòu)成的異構(gòu)構(gòu)建集合是DHR 的執(zhí)行主體,執(zhí)行體的故障率直接影響DHR 的準(zhǔn)確性,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。
(5)針對執(zhí)行體攻擊的獨(dú)立性:非相似余度構(gòu)造(Dissimilar Redundancy Structure,DRS)依賴于異構(gòu)執(zhí)行體間的功能等價(jià)特性,如果針對執(zhí)行體的攻擊不具備獨(dú)立性,會影響執(zhí)行體之間的異構(gòu)特性,從而導(dǎo)致功能等價(jià)的原因與預(yù)期不符。失去DRS 的特有效果會對擬態(tài)防御系統(tǒng)的安全性造成影響。
(6)單一執(zhí)行體的輸入輸出對應(yīng)性:在DHR 構(gòu)造中,表決器的結(jié)果輸出主要依賴于對各執(zhí)行體的輸出結(jié)果進(jìn)行分析和裁決,這就要求執(zhí)行體的輸入輸出一一對應(yīng),一旦輸入輸出錯(cuò)位會導(dǎo)致表決器表決失效,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。
(7)異構(gòu)執(zhí)行體的相異性:DRS 依賴于異構(gòu)執(zhí)行體間的功能等價(jià)特性,如果針對執(zhí)行體的攻擊不具備相異性,會影響執(zhí)行體之間的異構(gòu)特性,從而導(dǎo)致DRS構(gòu)造失敗。失去DRS 的特有效果會對擬態(tài)防御失效。
(8)執(zhí)行體對攻擊行為的敏感性:DRS 依賴于異構(gòu)執(zhí)行體間的功能等價(jià)特性,只有執(zhí)行體對攻擊行為具備一定的敏感性才會導(dǎo)致執(zhí)行體輸出結(jié)果的相異性。如果執(zhí)行體對攻擊行為的敏感性較低,會導(dǎo)致執(zhí)行體異構(gòu)失效,從而失去DRS 的特有效果,使擬態(tài)防御失效。
(9)異構(gòu)執(zhí)行體失效或存在缺陷的隨機(jī)性:DRS的基礎(chǔ)是獨(dú)立開發(fā)的裝置或模塊發(fā)生共性設(shè)計(jì)缺陷導(dǎo)致共模故障的情況屬于小概率事件,要保證各功能等價(jià)的獨(dú)立裝置中的設(shè)計(jì)缺陷具有不重合的性質(zhì),這就要求異構(gòu)執(zhí)行體失效或存在缺陷具備一定的隨機(jī)性。如果異構(gòu)執(zhí)行體失效或存在缺陷的隨機(jī)性較弱,會導(dǎo)致執(zhí)行體間的異構(gòu)失效,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。
(10)動態(tài)調(diào)度機(jī)制的隨機(jī)性:在DHR 結(jié)構(gòu)中,擬態(tài)防御系統(tǒng)通過動態(tài)調(diào)度機(jī)制,隨機(jī)選擇多個(gè)異構(gòu)執(zhí)行體進(jìn)行工作,在相同外部激勵(lì)的情況下,通過比對多個(gè)異構(gòu)功能執(zhí)行體的輸出結(jié)果,對功能執(zhí)行體進(jìn)行異常檢測,實(shí)現(xiàn)擬態(tài)防御系統(tǒng)的主動防御功能。如果動態(tài)調(diào)度機(jī)制的隨機(jī)性較差,會使對比輸出結(jié)果的工作無效,從而對擬態(tài)防御系統(tǒng)的安全性造成影響。
(11)擬態(tài)裁決機(jī)制的正確性:擬態(tài)防御系統(tǒng)的有效性由DHR 構(gòu)造的多維動態(tài)重構(gòu)、重組等機(jī)制和非配合條件下多模裁決機(jī)制的強(qiáng)弱來決定,擬態(tài)裁決機(jī)制的正確性直接影響擬態(tài)防御系統(tǒng)的有效性。
(12)虛擬化機(jī)制的有效性:多模裁決機(jī)制存在“錯(cuò)誤逃逸”的可能性,所以DHR 構(gòu)造中導(dǎo)入了策略調(diào)度、重構(gòu)重組和虛擬化等多維動態(tài)的不確定性機(jī)制,將使得多模判決環(huán)節(jié)中單次逃逸或持續(xù)逃逸的概率大幅度降低。
(13)執(zhí)行體重構(gòu)機(jī)制的有效性:執(zhí)行體重構(gòu)機(jī)制和虛擬化機(jī)制一樣,可以大幅度降低多模判決環(huán)節(jié)中單次逃逸或持續(xù)逃逸的概率。擬態(tài)防御系統(tǒng)的逃逸概率對于其有效性影響較大。
1.3.2 擬態(tài)防御系統(tǒng)安全指標(biāo)
擬態(tài)防御系統(tǒng)安全指標(biāo)主要對擬態(tài)構(gòu)造系統(tǒng)的安全能力進(jìn)行描述,包括以下5 個(gè)二級指標(biāo)。
(1)擬態(tài)逃逸成功率:在擬態(tài)防御系統(tǒng)中,如果一次攻擊成功突破了擬態(tài)界,則稱其發(fā)生了擬態(tài)逃逸。雖然在擬態(tài)防御系統(tǒng)中,一次擬態(tài)逃逸行為并不意味著攻擊成功,但是會影響擬態(tài)防御系統(tǒng)的動態(tài)性,對其“阻斷”甚至“完全破壞”攻擊鏈的行為產(chǎn)生干擾。控制擬態(tài)逃逸成功率在安全范圍內(nèi),可以保證整個(gè)擬態(tài)防御系統(tǒng)的可用性。
(2)擬態(tài)防御系統(tǒng)容錯(cuò)能力:擬態(tài)防御是一種源自可靠性領(lǐng)域容錯(cuò)思想的體系架構(gòu)技術(shù),基本形態(tài)是將靜態(tài)的非相似余度“容錯(cuò)”架構(gòu)轉(zhuǎn)變?yōu)閯討B(tài)異構(gòu)冗余的“容侵”架構(gòu)。通過將指令、地址、數(shù)據(jù)等動態(tài)化、隨機(jī)化、多樣化的方法來增強(qiáng)擬態(tài)防御系統(tǒng)容錯(cuò)能力,在一定程度上保證系統(tǒng)安全性。
(3)擬態(tài)環(huán)境的魯棒性:擬態(tài)防御系統(tǒng)需要具備應(yīng)對不確定性威脅感知、增加攻擊鏈不確定性、增加多模裁決逃逸難度、獨(dú)立安全增益等能力,由于其復(fù)雜性,擬態(tài)環(huán)境需要具備一定程度的魯棒性,來保證整個(gè)擬態(tài)防御系統(tǒng)的魯棒性和安全性。
(4)擬態(tài)環(huán)境的柔韌性:擬態(tài)防御系統(tǒng)的擬態(tài)環(huán)境不具備具體的通用標(biāo)準(zhǔn)和檢驗(yàn)方法,其標(biāo)準(zhǔn)柔性很大,范圍也無法確定。由于擬態(tài)防御系統(tǒng)無法一次性確定所有需求(例如異構(gòu)執(zhí)行體的隨機(jī)選取策略、裁決機(jī)制等),因此需要不斷地對系統(tǒng)進(jìn)行優(yōu)化和升級,改變檢驗(yàn)方法和范圍等。擬態(tài)環(huán)境的柔韌性在一定程度上決定了擬態(tài)防御系統(tǒng)的完成度。
(5)擬態(tài)環(huán)境的安全性:擬態(tài)防御系統(tǒng)基礎(chǔ)環(huán)境的安全性是系統(tǒng)安全的基礎(chǔ),只有保證擬態(tài)環(huán)境的安全性,才能確保外界的安全風(fēng)險(xiǎn)不會影響擬態(tài)防御系統(tǒng)的穩(wěn)定運(yùn)行。擬態(tài)環(huán)境的安全性直接決定了擬態(tài)防御系統(tǒng)的可用性。
1.3.3 擬態(tài)防御產(chǎn)品安全指標(biāo)
擬態(tài)防御產(chǎn)品安全指標(biāo)主要對擬態(tài)構(gòu)造的各類信息通信產(chǎn)品(基于擬態(tài)構(gòu)造的路由器、防火墻、Web 服務(wù)器等)的通用安全功能進(jìn)行評估,與傳統(tǒng)信息通信設(shè)備的安全功能指標(biāo)項(xiàng)類似,具體包括以下11 個(gè)安全指標(biāo)。
(1)賬號口令:賬號口令的集中化管理可以應(yīng)對信息系統(tǒng)復(fù)雜性的不斷增加,便于對不斷增加的用戶賬戶進(jìn)行科學(xué)管理,并與各主機(jī)、網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)無縫連接。網(wǎng)絡(luò)設(shè)備賬號口令的集中化管理程度在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(2)身份認(rèn)證:擬態(tài)防御系統(tǒng)自身的身份認(rèn)證應(yīng)滿足一定的強(qiáng)度,通過賬號口令、數(shù)字證書等方案對用戶的身份進(jìn)行認(rèn)證,可以在很大程度上避免非授權(quán)訪問及相關(guān)風(fēng)險(xiǎn)。服務(wù)器身份驗(yàn)證的覆蓋率在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(3)會話管理:客戶端與服務(wù)器的請求與響應(yīng)是無狀態(tài)通信協(xié)議,服務(wù)器維護(hù)上一次請求和下一次請求間關(guān)系的方式就是會話管理。服務(wù)器會話管理的防篡改和抗偽造能力在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(4)權(quán)限管理:服務(wù)器權(quán)限管理的覆蓋率在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(5)業(yè)務(wù)邏輯安全:擬態(tài)防御系統(tǒng)相關(guān)軟件的業(yè)務(wù)邏輯安全指軟件能實(shí)現(xiàn)的業(yè)務(wù)運(yùn)作模式與操作流程是安全可靠的,包括軟件的功能架構(gòu)、工作流及用戶界面等,軟件邏輯是軟件系統(tǒng)的命脈,也是軟件承載業(yè)務(wù)的具體表現(xiàn)形式。軟件的業(yè)務(wù)邏輯安全在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(6)原生軟件及后臺系統(tǒng)安全:擬態(tài)防御系統(tǒng)原生軟件及其后臺系統(tǒng)是擬態(tài)防御系統(tǒng)軟件部分的主體,其安全性直接影響擬態(tài)防御系統(tǒng)的可用性、安全性和防御效果等。軟件及其后臺存的漏洞數(shù)量和潛在風(fēng)險(xiǎn)在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(7)能力開放接口安全:能力開放接口有利于軟件功能的復(fù)用,減少工作量,提高工作效率。通過能力開放接口提交用戶名密碼、傳遞加密參數(shù)等操作時(shí)存在被攻擊者暴力破解、竊取信息等風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)會在一定程度上影響擬態(tài)防御系統(tǒng)的安全性,應(yīng)通過認(rèn)證授權(quán)、帶有時(shí)間戳的請求簽名、頻率控制等手段來降低風(fēng)險(xiǎn)。
(8)數(shù)據(jù)安全:擬態(tài)防御系統(tǒng)原生軟件的數(shù)據(jù)安全主要從數(shù)據(jù)機(jī)密性保障、數(shù)據(jù)完整性保障和數(shù)據(jù)可用性可靠性保障三個(gè)方面對數(shù)據(jù)進(jìn)行安全保護(hù),但由于數(shù)據(jù)機(jī)密性、可靠性保障與系統(tǒng)復(fù)雜度之間存在矛盾、數(shù)據(jù)完整性校驗(yàn)與用戶開銷之間存在矛盾等原因,數(shù)據(jù)保護(hù)措施未完全實(shí)施,這在一定程度上影響了擬態(tài)防御系統(tǒng)的安全性。
(9)入侵防范:擬態(tài)防御系統(tǒng)應(yīng)具備入侵防范功能,對于流經(jīng)設(shè)備的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控和分析,及時(shí)發(fā)現(xiàn)存在的入侵風(fēng)險(xiǎn)、敏感數(shù)據(jù)、病毒木馬等,來保障擬態(tài)防御系統(tǒng)自身的安全性,所以擬態(tài)防御系統(tǒng)的入侵防范能力決定了其系統(tǒng)的安全性。
(10)安全監(jiān)測和審計(jì):安全監(jiān)測和審計(jì)功能通過對擬態(tài)防御系統(tǒng)中的安全事件(如網(wǎng)絡(luò)攻擊、防病毒等)、用戶訪問記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)存取日志等各類信息,經(jīng)過標(biāo)準(zhǔn)化、過濾、歸并和告警分析等處理后,以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理,該功能的有效性在一定程度上決定了擬態(tài)防御系統(tǒng)的安全性。
(11)中間件安全:擬態(tài)防御系統(tǒng)的中間件是連接底層網(wǎng)絡(luò)設(shè)備、服務(wù)器和擬態(tài)防御系統(tǒng)應(yīng)用程序之間可復(fù)用的基礎(chǔ)軟件,中間件通過標(biāo)準(zhǔn)的通用接口和通用協(xié)議實(shí)現(xiàn)軟件的跨平臺復(fù)用,同時(shí)帶來了更多的安全問題。擬態(tài)防御系統(tǒng)通過利用Web 服務(wù)框架提高中間件安全性,在一定程度上提高了擬態(tài)防御系統(tǒng)自身的安全性。
2 結(jié)束語
本文旨在研究網(wǎng)絡(luò)空間擬態(tài)防御產(chǎn)品的內(nèi)生安全增益評估問題,通過分析研究影響擬態(tài)防御技術(shù)產(chǎn)品安全增益的關(guān)鍵要素和屬性,從擬態(tài)基元安全指標(biāo)、擬態(tài)防御系統(tǒng)安全指標(biāo)和擬態(tài)防御產(chǎn)品安全指標(biāo)三個(gè)層面構(gòu)建內(nèi)生安全增益評估指標(biāo)度量模型。通過建立內(nèi)生安全增益評估指標(biāo)度量模型,能夠?qū)M態(tài)防御產(chǎn)品的安全防御效果進(jìn)行量化評估,驗(yàn)證擬態(tài)防御產(chǎn)品的安全性是否達(dá)到預(yù)期效果,為后續(xù)擬態(tài)產(chǎn)品開展內(nèi)生安全增益評估測試提供參考。