網(wǎng)絡(luò)空間安全進(jìn)入動(dòng)態(tài)防御時(shí)代

來源：現(xiàn)代軍事（xiandaijunshi），馬衛(wèi)局

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中包括各種各樣的設(shè)備和軟件。這些設(shè)備和軟件存在著大量的未知和已知漏洞,漏洞是安全問題的根本,在漏洞面前,攻守雙方并不平等,一個(gè)弱點(diǎn)被黑客利用,最終可以導(dǎo)致危險(xiǎn)在整個(gè)網(wǎng)絡(luò)擴(kuò)散。漏洞具有的高威脅性、突發(fā)性、高破壞性、大規(guī)模性的主要特點(diǎn)。地下黑市交易的零日漏洞、廠商設(shè)置的后門漏洞以及網(wǎng)絡(luò)間諜的APT攻擊威脅著國(guó)家、企業(yè)和個(gè)人的網(wǎng)絡(luò)安全。

2017年2月,360互聯(lián)網(wǎng)威脅情報(bào)中心發(fā)布《2016年中國(guó)互聯(lián)網(wǎng)安全報(bào)告》,報(bào)告詳細(xì)披露了我國(guó)當(dāng)前面臨的嚴(yán)峻網(wǎng)絡(luò)安全形勢(shì),認(rèn)為我國(guó)政企機(jī)構(gòu)需重視APT、DDoS以及工業(yè)互聯(lián)網(wǎng)等三大安全威脅。中國(guó)成為全球網(wǎng)絡(luò)攻擊的第一目標(biāo)國(guó)。報(bào)告認(rèn)為,網(wǎng)絡(luò)空間目前已經(jīng)成為大國(guó)博弈的新戰(zhàn)場(chǎng)。日益頻繁的APT等網(wǎng)絡(luò)攻擊,正在導(dǎo)致政企行業(yè)機(jī)密情報(bào)被竊取、工業(yè)系統(tǒng)被破壞、金融系統(tǒng)遭受經(jīng)濟(jì)損失,甚至對(duì)地緣產(chǎn)生影響。

2017年5月12日,中國(guó)、英國(guó)、意大利、俄羅斯等100多國(guó)爆發(fā)WannaCry勒索病毒攻擊,并迅速蔓延,中毒的機(jī)器中的磁盤文件會(huì)被加密,只有繳納高額贖金(有的要比特幣)才能解密資料和數(shù)據(jù)。我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染:大批高校出現(xiàn)感染情況,造成了教學(xué)系統(tǒng)癱瘓,眾多師生的電腦文件被勒索病毒加密;國(guó)內(nèi)多地公安網(wǎng)系統(tǒng)受影響癱瘓;多地中石油加油站加油無法網(wǎng)絡(luò)支付;部分醫(yī)院因?yàn)槭艿焦粞舆t了手術(shù)。此次勒索病毒爆發(fā)是由于美國(guó)國(guó)家安全局(NSA)旗下“方程式黑客組織”所使用的部分網(wǎng)絡(luò)武器被公開導(dǎo)致,其中包括可以遠(yuǎn)程攻破全球約70% 使用Windows系統(tǒng)機(jī)器的漏洞利用工具。不法分子正是其中一款工具——“永恒之藍(lán)”進(jìn)行攻擊。2017年6月27日,代號(hào)為“Petya”的病毒在全球多國(guó)肆虐。這一系列事件為我們敲響了網(wǎng)絡(luò)安全的警鐘。

▲犯罪分子將使用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行自動(dòng)化攻擊和繞過檢測(cè)。近年來不斷紕漏的網(wǎng)絡(luò)安全事件及由此帶來的嚴(yán)重后果也逐漸暴露了傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)存在的問題，凸顯了傳統(tǒng)防御技術(shù)難以有效抵御系統(tǒng)未知的軟硬件漏洞的攻擊，難以預(yù)防潛在的各類后門攻擊，難以有效應(yīng)對(duì)各類越來越復(fù)雜和智能化的滲透式網(wǎng)絡(luò)入侵

1傳統(tǒng)防御的不足之處

傳統(tǒng)的網(wǎng)絡(luò)安全防御思想是在現(xiàn)有網(wǎng)絡(luò)體系架構(gòu)的基礎(chǔ)上建立包括防火墻和安全網(wǎng)關(guān)、入侵檢測(cè)、病毒查殺、訪問控制、數(shù)據(jù)加密等多層次的防御體系來提升網(wǎng)絡(luò)及應(yīng)用的安全性。傳統(tǒng)防御技術(shù)都是基于靜態(tài)網(wǎng)絡(luò)配置下的,即網(wǎng)絡(luò)中的節(jié)點(diǎn)地址、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議等均固定不變,這些配置信息一旦被入侵者搜集得到,就可以根據(jù)網(wǎng)絡(luò)特點(diǎn)有針對(duì)性地入侵,達(dá)到事半功倍的效果。再者,傳統(tǒng)防御的思想是根據(jù)已知病毒的數(shù)據(jù)、代碼、行為等特征對(duì)攻擊進(jìn)行識(shí)別,對(duì)于未知的0day漏洞、后門漏洞沒有有效的解決方案,往往攻擊發(fā)生之后,經(jīng)過安全審計(jì)才有可能發(fā)現(xiàn)攻擊的線索,然后再進(jìn)行亡羊補(bǔ)牢。

據(jù)統(tǒng)計(jì),95%以上的企業(yè)只能通過外部通報(bào)或看到顯著損失后才能發(fā)現(xiàn)其自身正在面臨的網(wǎng)絡(luò)威脅。新型的技術(shù)也不斷被黑客利用,《邁克菲實(shí)驗(yàn)室2017威脅預(yù)測(cè)報(bào)告》中寫道,犯罪分子將使用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行自動(dòng)化攻擊和繞過檢測(cè)。近年來不斷紕漏的網(wǎng)絡(luò)安全事件及由此帶來的嚴(yán)重后果也逐漸暴露了傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)存在的問題,凸顯了傳統(tǒng)防御技術(shù)難以有效抵御系統(tǒng)未知的軟硬件漏洞的攻擊,難以預(yù)防潛在的各類后門攻擊,難以有效應(yīng)對(duì)各類越來越復(fù)雜和智能化的滲透式網(wǎng)絡(luò)入侵。

2動(dòng)態(tài)防御 改變游戲規(guī)則的主動(dòng)防御

美國(guó)國(guó)家技術(shù)在2011提出了“移動(dòng)目標(biāo)防御”(MTD)的概念,也有學(xué)者將MTD技術(shù)稱為“動(dòng)態(tài)防御技術(shù)”、“動(dòng)態(tài)彈性安全防御技術(shù)”或者“動(dòng)態(tài)賦能網(wǎng)絡(luò)防御技術(shù)”。動(dòng)態(tài)防御不同于以往的網(wǎng)絡(luò)安全研究思路,它旨在部署和運(yùn)行不確定、隨機(jī)動(dòng)態(tài)的網(wǎng)絡(luò)和系統(tǒng),讓攻擊者難以發(fā)現(xiàn)目標(biāo)。動(dòng)態(tài)防御還可以主動(dòng)欺騙攻擊者,擾亂攻擊者的視線,將其引入死胡同,并可以設(shè)置一個(gè)偽目標(biāo)/誘餌,誘騙攻擊者對(duì)其實(shí)施攻擊,從而觸發(fā)攻擊告警。動(dòng)態(tài)防御改變了網(wǎng)絡(luò)防御被動(dòng)的態(tài)勢(shì),改變了攻防雙方的“游戲規(guī)則”,真正實(shí)現(xiàn)“主動(dòng)”防御。

美國(guó)和美軍將動(dòng)態(tài)防御技術(shù)作為網(wǎng)絡(luò)安全研究的重點(diǎn)。以美國(guó)為主的一些研發(fā)團(tuán)隊(duì)紛紛投入到MTD技術(shù)的先期研發(fā)當(dāng)中。例如,美國(guó)堪薩斯州大學(xué)2012年開始的“自適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)”項(xiàng)目,開啟了MTD學(xué)術(shù)研究活動(dòng)的先河。佛羅里達(dá)理工學(xué)院2013年與美簽訂了總金額190萬美元、為期3年的合同,引領(lǐng)一個(gè)全新的網(wǎng)絡(luò)安全研究項(xiàng)目———設(shè)計(jì)、實(shí)現(xiàn)一個(gè)用于計(jì)算機(jī)網(wǎng)絡(luò)移動(dòng)目標(biāo)防御管理和協(xié)調(diào)的指揮控制框架。美國(guó)陸軍在2012年投資310萬美元,授予雷聲公司基于移動(dòng)目標(biāo)防御技術(shù)的變形網(wǎng)絡(luò)項(xiàng)目。美國(guó)空軍致力于在2015年~2020年,用5年的時(shí)間將移動(dòng)目標(biāo)防御技術(shù)與現(xiàn)有指揮框架集成。西北太平洋國(guó)家實(shí)驗(yàn)室(PNNL)開發(fā)了基于蟻群社會(huì)性行為的分散式協(xié)同網(wǎng)絡(luò)架構(gòu),支持移動(dòng)目標(biāo)防御。這些團(tuán)隊(duì)取得了MTD技術(shù)的很多新進(jìn)展,包括自適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)、IPv6移動(dòng)目標(biāo)防御和變形網(wǎng)絡(luò)等等。

自從美國(guó)提出MTD的概念,動(dòng)態(tài)防御技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全理論研究的熱點(diǎn)和技術(shù)的制高點(diǎn)。國(guó)際上許多網(wǎng)絡(luò)安全研究機(jī)構(gòu)都正在研究基于動(dòng)態(tài)防御的理論和技術(shù),比較著名的有美國(guó)SCIT實(shí)驗(yàn)室、IBM公司沃森實(shí)驗(yàn)室、美國(guó)麻省理工大學(xué)、堪薩斯州立大學(xué)、加州大學(xué)、弗吉尼亞大學(xué)、卡內(nèi)基-梅隆大學(xué)、哥倫比亞大學(xué)、以及喬治·梅森大學(xué)。

我國(guó)也對(duì)動(dòng)態(tài)防御技術(shù)進(jìn)行了重點(diǎn)研究,鄔江興院士提出了網(wǎng)絡(luò)空間擬態(tài)防御(CMD)思想。CMD理論在可靠性領(lǐng)域非相似余度架構(gòu)基礎(chǔ)上導(dǎo)入異構(gòu)冗余動(dòng)態(tài)重構(gòu)機(jī)制,造成在功能不變條件下,目標(biāo)對(duì)象內(nèi)部的非相似余度構(gòu)造元素始終在作數(shù)量或類型、時(shí)間或空間維度上的策略性變化或變換,用不確定防御原理來對(duì)抗網(wǎng)絡(luò)空間的確定或不確定威脅。

美國(guó)阿貢國(guó)家實(shí)驗(yàn)室2016年3月22日?qǐng)?bào)道,更多的動(dòng)態(tài)防御技術(shù)被美國(guó)國(guó)家專利局授權(quán)。2015年美國(guó)新型動(dòng)態(tài)防御公司吸引到投資界的關(guān)注,動(dòng)態(tài)防御概念的3家公司獲得超過5000萬美元的融資。其中,CrowdStrike(動(dòng)態(tài)防御概念)獲得3000萬美元天使輪融資,Morphisec獲得800萬美元融資,ShapeSecurity獲得2600萬美元融資。北京衛(wèi)達(dá)科技有限公司將動(dòng)態(tài)防御技術(shù)應(yīng)用到內(nèi)網(wǎng)防御、邊界防御、工控防御、DDos防御、web應(yīng)用防御、云安全等應(yīng)用場(chǎng)景,研發(fā)了6個(gè)系列的產(chǎn)品。

3動(dòng)態(tài)防御的系統(tǒng)架構(gòu)

一種隨機(jī)變化形式的動(dòng)態(tài)防御系統(tǒng)頂層結(jié)構(gòu),如圖1所示。該防御系統(tǒng)會(huì)形成隨機(jī)的變化。形成隨機(jī)適配的關(guān)鍵基礎(chǔ)是“邏輯任務(wù)模型”,該模型按網(wǎng)絡(luò)的功能需求捕獲物理網(wǎng)絡(luò)當(dāng)前狀態(tài)的概貌。其驅(qū)動(dòng)器就是“適配引擎”,它以隨機(jī)的時(shí)間間隔,定制網(wǎng)絡(luò)配置的隨機(jī)變化。變化由“配置管理器”實(shí)施,它負(fù)責(zé)控制“物理網(wǎng)絡(luò)”的配置。

圖1顯示的是一個(gè)完整的智能動(dòng)態(tài)防御系統(tǒng)的結(jié)構(gòu)組成。“適配引擎”對(duì)物理網(wǎng)絡(luò)輸入隨機(jī)變化參數(shù),使網(wǎng)絡(luò)狀態(tài)進(jìn)行隨機(jī)變化,“分析引擎”能夠從“物理網(wǎng)絡(luò)”獲取實(shí)時(shí)事件、從“配置管理器”獲取當(dāng)前的配置,確定可能的脆弱性和正在進(jìn)行的攻擊?！斑m配引擎”擴(kuò)展功能是觀察網(wǎng)絡(luò)當(dāng)前狀態(tài)以及安全狀態(tài),和“邏輯安全模型”捕獲的一樣。“邏輯安全模型”也由2個(gè)運(yùn)行時(shí)間模型組成:一個(gè)是目標(biāo)模型,一個(gè)是系統(tǒng)脆弱性模型。

目前對(duì)動(dòng)態(tài)彈性安全防御思想的解釋,主要從系統(tǒng)攻擊面和攻擊生存期來進(jìn)行理解。系統(tǒng)通過改變自身各種資源配置、系統(tǒng)屬性,向攻擊者呈現(xiàn)不斷變化的攻擊面,使攻擊者更難發(fā)起有效的攻擊。攻擊者制定有效攻擊方案所需的時(shí)間較長(zhǎng),當(dāng)建立攻擊模型時(shí),系統(tǒng)在這段時(shí)間已經(jīng)發(fā)生足夠的變化,這些變化足以破壞攻擊模型的有效性。關(guān)于系統(tǒng)攻擊面(系統(tǒng)安全指標(biāo),攻擊面越大,系統(tǒng)越不安全),從直觀上看,攻擊面是攻擊系統(tǒng)時(shí)使用的系統(tǒng)資源(程序、通道和數(shù)據(jù))的子集。同時(shí),防御者可以不斷轉(zhuǎn)移系統(tǒng)攻擊面,以增加攻擊者利用系統(tǒng)漏洞的難度。防御者轉(zhuǎn)移攻擊面示意圖如圖2所示。圖2中,若防御者轉(zhuǎn)移系統(tǒng)的攻擊面,則原本有效的攻擊,如攻擊1,可能將不復(fù)存在。為此,攻擊者需要花費(fèi)更多心思使原來的攻擊重新有效或?qū)で笮碌墓敉緩?如攻擊4。

圖3顯示了攻擊生存期示意圖。在時(shí)刻時(shí)間t0,系統(tǒng)防御者生成防御方案k0,并啟動(dòng)多樣化服務(wù)STk0。te定義為攻擊者從開始發(fā)動(dòng)攻擊到系統(tǒng)受損之間的時(shí)間,也可以認(rèn)為攻擊者從服務(wù)器獲得秘密賬戶信息所需要的時(shí)間。

從圖3可以看出,對(duì)于一次成功攻擊,從探測(cè)到攻擊完成總用時(shí)t1+teTk0,在服務(wù)STk0結(jié)束之前未能完成攻擊過程。

通過上述模型,我們可以看出:動(dòng)態(tài)防御使系統(tǒng)防御者以可控的方式隨機(jī)的改變系統(tǒng)配置和結(jié)構(gòu),可以增加系統(tǒng)的不確定性和復(fù)雜度,從而增加攻擊者的攻擊復(fù)雜度和攻擊花銷,限制系統(tǒng)漏洞的暴露和遭受攻擊的機(jī)會(huì),增加系統(tǒng)的彈性。

4動(dòng)態(tài)防御的關(guān)鍵技術(shù)

動(dòng)態(tài)防御技術(shù)是以保護(hù)信息系統(tǒng)中的某種實(shí)體為目的。一般來說,信息系統(tǒng)中的實(shí)體主要包括軟件、網(wǎng)絡(luò)、計(jì)算平臺(tái)與數(shù)據(jù)等。下面我們從軟件、網(wǎng)絡(luò)、平臺(tái)與數(shù)據(jù)層四個(gè)層面對(duì)現(xiàn)有的動(dòng)態(tài)防御關(guān)鍵技術(shù)進(jìn)行了梳理。

5軟件動(dòng)態(tài)防御技術(shù)

軟件動(dòng)態(tài)防御技術(shù)是指動(dòng)態(tài)更改應(yīng)用程序自身及其執(zhí)行環(huán)境的技術(shù)。相關(guān)的技術(shù)主要有地址空間布局隨機(jī)化(ASLR)、指令集隨機(jī)化技術(shù)、就地代碼隨機(jī)化技術(shù)、軟件多態(tài)化技術(shù)等。

地址空間布局隨機(jī)化是為了防止攻擊者在內(nèi)存中能夠可靠地對(duì)跳轉(zhuǎn)到特定利用函數(shù),隨機(jī)排列程序的關(guān)鍵數(shù)據(jù)區(qū)域的位置,包括可執(zhí)行的部分、堆、棧及共享庫的位置,Linux和Windows操作系統(tǒng)已經(jīng)廣泛應(yīng)用了地址空間布局隨機(jī)化技術(shù)。

指令集隨機(jī)化是一種通過掩蓋目標(biāo)的指令集應(yīng)對(duì)代碼注入攻擊的動(dòng)態(tài)防御方法,隨機(jī)化指令集不僅能夠阻止代碼注入攻擊,而且能夠降低網(wǎng)絡(luò)蠕蟲利用某一漏洞進(jìn)行大規(guī)模擴(kuò)散的可能性。

基于編譯器的軟件多態(tài)化主要包含了MVEE和MSSD兩類技術(shù),這兩類技術(shù)都依賴于自動(dòng)化的編譯器產(chǎn)生功能相同但代碼不同的程序。MVEE屬于運(yùn)行時(shí)的技術(shù),其原理是一個(gè)程序構(gòu)建多個(gè)變體,系統(tǒng)接收到的輸入同時(shí)被送給所有的變體,這就使得入侵者幾乎不可能針對(duì)所有的變體設(shè)計(jì)不同的入侵程序,然后在系統(tǒng)監(jiān)控中比較所有變體的輸出,如果輸出不同,則預(yù)示著系統(tǒng)可能受到了入侵。MSSD是一種大規(guī)模的靜態(tài)的軟件多態(tài)化技術(shù),其基本原理是,如果同一個(gè)軟件產(chǎn)品可以有不同的副本(這些副本都可以實(shí)現(xiàn)相同的功能),那么入侵者要么對(duì)所有的副本進(jìn)行研究,找出每一個(gè)副本的漏洞,然后入侵;要么找到一個(gè)非常巧妙的方法和漏洞,能夠同時(shí)入侵不同的副本,這就增大了入侵者的入侵難度,能夠更好地保護(hù)系統(tǒng)和軟件的正常運(yùn)行。

6網(wǎng)絡(luò)動(dòng)態(tài)防御技術(shù)

網(wǎng)絡(luò)動(dòng)態(tài)防御是指在網(wǎng)絡(luò)層面實(shí)施動(dòng)態(tài)防御,具體是指在網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)業(yè)務(wù)等網(wǎng)絡(luò)要素方面,通過動(dòng)態(tài)化、虛擬化和隨機(jī)化方法,破除網(wǎng)絡(luò)配置的靜態(tài)性、確定性和相似性,提升攻擊者進(jìn)行網(wǎng)絡(luò)探測(cè)和內(nèi)網(wǎng)節(jié)點(diǎn)滲透的難度,進(jìn)一步阻礙入侵者掃描、發(fā)現(xiàn)和滲透網(wǎng)絡(luò)。

美國(guó)堪薩斯州大學(xué)開展了“自適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)”項(xiàng)目,并在2012年4月與空軍科學(xué)研究辦公室簽訂了為期5年金額超過100萬美元的合同,開始了“了解和量化移動(dòng)目標(biāo)防御對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響”的專項(xiàng)研究,目的是研究計(jì)算機(jī)網(wǎng)絡(luò)通過自動(dòng)改變自身設(shè)置和結(jié)構(gòu)來對(duì)抗在線攻擊的可行性,并開發(fā)有效的分析模型,以確定MTD系統(tǒng)的有效性。

2012年8月,美陸軍授予雷聲公司價(jià)值310萬美元的“限制敵方偵察的變形網(wǎng)絡(luò)設(shè)施”(MORPHINATOR)項(xiàng)目,為其研制具有“變形”能力的計(jì)算機(jī)網(wǎng)絡(luò)原型機(jī)。該項(xiàng)目主要研究在敵方無法探測(cè)和預(yù)知的情況下,網(wǎng)絡(luò)管理員有目的地對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序進(jìn)行動(dòng)態(tài)調(diào)整和配置,從而預(yù)防、延遲或制止網(wǎng)絡(luò)攻擊。

北京衛(wèi)達(dá)科技有限公司綜合利用了動(dòng)態(tài)防御、軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)功能虛擬化(NFV)、欺騙、微隔離等技術(shù)研制了“內(nèi)網(wǎng)動(dòng)態(tài)防御系統(tǒng)”。該系統(tǒng)實(shí)現(xiàn)了網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)地址隨機(jī)跳變,實(shí)時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)橫向滲透行為,并可以實(shí)時(shí)阻斷攻擊行為,在全球范圍內(nèi)首先將網(wǎng)絡(luò)動(dòng)態(tài)防御產(chǎn)品化。首先,結(jié)合SDN技術(shù),保持原有網(wǎng)絡(luò)配置的完整性,在內(nèi)網(wǎng)中隱藏終端的真實(shí)IP地址,為終端分配虛擬IP地址,并使正常網(wǎng)絡(luò)應(yīng)用不受影響的情況下,實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)浜徒K端的IP地址高速隨機(jī)跳變,大幅提高攻擊者發(fā)現(xiàn)目標(biāo)的難度,從而大大地降低攻擊成功地概率。其次,在內(nèi)網(wǎng)中部署大量的偽裝節(jié)點(diǎn)和虛開的端口,這些節(jié)點(diǎn)和端口能夠迷惑攻擊者,偽裝節(jié)點(diǎn)的IP地址也能夠和真實(shí)的節(jié)點(diǎn)IP一起隨機(jī)跳變,極大地增加網(wǎng)絡(luò)的復(fù)雜性,從而能夠完全打破攻擊者對(duì)網(wǎng)絡(luò)的認(rèn)知。無論攻擊者用任何形式的方式(無論是利用已知病毒還是未知病毒)內(nèi)網(wǎng)進(jìn)行掃描或滲透,會(huì)以極大的概率碰到偽裝的節(jié)點(diǎn)或者虛開的端口,偽裝的節(jié)點(diǎn)或虛開的端口會(huì)向系統(tǒng)發(fā)出警報(bào)。另外,利用微隔離技術(shù),每個(gè)節(jié)點(diǎn)都被定義為一個(gè)邏輯隔離的子網(wǎng),一旦某個(gè)節(jié)點(diǎn)發(fā)起掃描或滲透行為,系統(tǒng)可以自動(dòng)地、實(shí)時(shí)地對(duì)攻擊者進(jìn)行定位和封堵,斬?cái)喙翩湹牡谝画h(huán),從而可以進(jìn)行事前防御,并防御未知新型病毒的威脅。

▲2017年5月12日，中國(guó)、英國(guó)、意大利、俄羅斯等100多國(guó)爆發(fā)WannaCry勒索病毒攻擊，并迅速蔓延，中毒的機(jī)器中的磁盤文件會(huì)被加密，只有繳納高額贖金才能解密資料和數(shù)據(jù)

7平臺(tái)動(dòng)態(tài)防御技術(shù)

平臺(tái),主要指能夠承載應(yīng)用運(yùn)行的軟/硬件環(huán)境,包括處理器、操作系統(tǒng)、虛擬化平臺(tái)以及具體應(yīng)用的開發(fā)環(huán)境。目前,應(yīng)用系統(tǒng)的設(shè)計(jì)往往采用單一的設(shè)計(jì)架構(gòu),在交付使用后長(zhǎng)期保持不變,這就給惡意攻擊者提供了足夠的時(shí)間來探測(cè)和學(xué)習(xí)系統(tǒng)的構(gòu)造和漏洞。平臺(tái)動(dòng)態(tài)防御系統(tǒng)通過構(gòu)建動(dòng)態(tài)變化的系統(tǒng)運(yùn)行平臺(tái),在保證服務(wù)可用性的前提下,持續(xù)改變服務(wù)的可見特征,如運(yùn)行平臺(tái)、應(yīng)用類型、版本信息等,防止攻擊者對(duì)服務(wù)的有效探測(cè)及滲透。虛擬化技術(shù)為服務(wù)多樣化提供了支撐保障。

基于可重構(gòu)計(jì)算的平臺(tái)動(dòng)態(tài)化技術(shù)通過多樣化的軟/硬件任務(wù)劃分和差異化的邏輯電路設(shè)計(jì),設(shè)計(jì)滿足應(yīng)用任務(wù),運(yùn)行于通用處理器和可編程邏輯器件中的多個(gè)可執(zhí)行文件和配置數(shù)據(jù),并在系統(tǒng)運(yùn)行過程中,隨便變化加載在系統(tǒng)中的可執(zhí)行文件和對(duì)應(yīng)的配置數(shù)據(jù)文件。

基于異構(gòu)平臺(tái)的應(yīng)用熱遷移技術(shù),是指通過構(gòu)造異構(gòu)的多種系統(tǒng)平臺(tái),包括異構(gòu)的硬件和操作系統(tǒng),并使運(yùn)行在其中的應(yīng)用程序能夠以可控的方式隨機(jī)地在不同的平臺(tái)間遷移,從而減少單一平臺(tái)暴露的時(shí)間窗口,使得惡意攻擊者難以對(duì)系統(tǒng)進(jìn)行有效偵查,最終達(dá)到提升系統(tǒng)防御能力的目的。

Web應(yīng)用平臺(tái)動(dòng)態(tài)防御可以從Web應(yīng)用、Web服務(wù)、OS和虛擬化基礎(chǔ)層構(gòu)建虛擬服務(wù)器,然后將每一個(gè)虛擬服務(wù)器都配置成具有唯一的軟件特性,這樣多個(gè)虛擬服務(wù)器就會(huì)呈現(xiàn)出不同的攻擊面。采用動(dòng)態(tài)替換輪循等機(jī)制隨機(jī)選擇若干個(gè)服務(wù)器構(gòu)成一個(gè)在線服務(wù)器集,對(duì)外提供服務(wù)。

8數(shù)據(jù)動(dòng)態(tài)防御技術(shù)

數(shù)據(jù)動(dòng)態(tài)防御,主要是指能夠根據(jù)系統(tǒng)防御需求,動(dòng)態(tài)化地更改相關(guān)數(shù)據(jù)的格式、句法、編碼或者表現(xiàn)形式,從而達(dá)到加強(qiáng)攻擊者攻擊難度的效果。數(shù)據(jù)動(dòng)態(tài)防御技術(shù)特點(diǎn)在于:一、尋找一種保持?jǐn)?shù)據(jù)語義不變的策略,使數(shù)據(jù)動(dòng)態(tài)化行為不影響數(shù)據(jù)語義本身;二、通過對(duì)選定數(shù)據(jù)的動(dòng)態(tài)化,能規(guī)避漏洞或者有效發(fā)現(xiàn)攻擊。數(shù)據(jù)動(dòng)態(tài)防御的效果體現(xiàn)在以下三個(gè)方面:一、防止系統(tǒng)有意而為之的設(shè)計(jì)錯(cuò)誤;二、防止攻擊者惡意注入代碼二進(jìn)行緩沖區(qū)溢出攻擊;三、防止Web應(yīng)用程序中SQL注入和跨站腳本攻擊。

9結(jié) 語

基于先驗(yàn)知識(shí)和精確識(shí)別的傳統(tǒng)防護(hù)手段,難以應(yīng)對(duì)未知漏洞和未知威脅;基于靜態(tài)性、相似性、確定性構(gòu)建的信息系統(tǒng),難以應(yīng)對(duì)動(dòng)態(tài)的、智能的、高強(qiáng)度攻擊。動(dòng)態(tài)防御是對(duì)網(wǎng)絡(luò)空間安全防御技術(shù)和體系的一種探索,是將安全能力作為信息系統(tǒng)自身標(biāo)準(zhǔn)屬性的一種設(shè)想。動(dòng)態(tài)防御可以有效降低系統(tǒng)的確定性、相似性和靜態(tài)性,讓信息系統(tǒng)呈現(xiàn)不可預(yù)測(cè)的變化狀態(tài),讓攻擊者難以發(fā)現(xiàn)系統(tǒng)漏洞,并可以結(jié)合欺騙的戰(zhàn)術(shù)戰(zhàn)法,將攻擊者引入死胡同,觸發(fā)警告并實(shí)施阻斷攻擊。未來的網(wǎng)絡(luò)空間防御體系一定是在動(dòng)態(tài)防御思想指導(dǎo)下的安全體系。隨著SDN、NFV、虛擬化、人工智能等技術(shù)的高速發(fā)展,動(dòng)態(tài)防御思想將不斷地與這些技術(shù)結(jié)合,推動(dòng)動(dòng)態(tài)防御技術(shù)廣泛應(yīng)用。