网络空间安全主动防御技术概述

网络空间安全主动防御技术概述网络空间防御现状现有的网络安全防御体系综合采用防火墙、入侵检测、主机监控、身份认证、防病毒软件、漏洞修补等多种构筑堡垒式的刚性防御体系，阻挡或隔绝外界入侵，这种静态分层的深度防御体系基于先验知识，在面对一直攻击时，具有反应迅速、防护有效的优点，但在对抗未知攻击对手时则力不从心，且存在自身易被攻击的危险。总结来说，目前的传统网络空间安全防护体系主要是静态的而且无法实现各部件之间的有效联动，具体特征如下：（1）主要采用了静态网络安全技术，如防火墙，加密和认证技术等。（2）内各部件的防御或检测能力是静态的。（3）内各部件孤立工作，不能实现有效的信息共享、能力共享、协同工作。（4）网络设备没有防护安全措施，一旦遭受攻击行为会因无法被识别，而在网络中自由横行。国内外应对措施为了应对传统网络安全防御体系静态不变的特点，国内外的科研团队和技术团队都相继展开了技术研究和创新工作。特别是在2011年12月，美国国家科学技术委员会（NSCT）发布《可信网络空间：联邦网络空间安全研究战略规划》，核心是：针对网络空间所面临的现实和潜在的威胁来能“改变游戏规则”的革命性技术，确定内置安全、移动目标防御、量身定制可信空间、网络经济激励4个〃改变游戏规则'’的研发主题，作为美国白宫网络安全研究与发展战略规划的四大关键领域，其中动态防御技术被学术界、工业界看做是最有希望进入实战化的研究方向。在这场“改变游戏规则”的革命性动态网络空间安全防护体系建设中，国内外也先后展开了其他相关的技术研究工作，例如美国的寰因斯坦〃技术和MTD（移动目标防御体系）；国内的网络空间拟态防御理论、动态赋能网络空间防御体系和卫达内网防护体系等。1、“爱因斯坦”计划〃爱因斯坦”计划是美国联邦政府主导的一个网络空间安全自动监测项目，由国土安全部（DepartmentofHomelandSecurity，DHS）下属的美国计算机应急响应小组（US-CERT）开发，用于监测针对政府网络的入侵行为，保护政府网络系统安全。下面是寰因斯坦”计划经历的三个阶段：（1）“爱因斯坦-1”自2003年开始实施，监控联邦政府机构网络的进出流量，收集和分析网络流量记录，使得DHS能够识别潜在的攻击活动，并在攻击事件发生后进行关键的取证分析。（2）“爱因斯坦-2”始于2007年，在〃爱因斯坦1”的基础上加入了入侵检测（IntrusionDetection）技术，基于特定已知特征识别联邦政府网络流量中的恶意或潜在的有害计算机网络活动。〃爱因斯坦2”传感器产生大量关于潜在网络攻击的警报，DHS安保人员会对这些警报进行评估，以确认警报是否具有威胁，以及是否需要进一步的补救，如果需要DHS会与受害者机构合作解决。〃爱因斯坦2”是〃爱因斯坦1””的增强，系统在原来对异常行为分析的基础上，增加了对恶意行为的分析能力，使得US-CERT具备更好的态势感知能力。（3）2010年，DHS计划设计和开发入侵防御（IntrusionPrevention）来识别和阻止网络攻击，即寰因斯坦3”。根据奥巴马政府公布的摘要，〃爱因斯坦3”将利用商业科技和政府专业能力相结合的方式，实现实时的完整数据包检测，并能够基于威胁情况对进出联邦行政部门的网络流量进行决策，在危害发生前，对网络威胁自动检测并正确响应，形成一个支持动态保护的入侵防御系统。根据目前披露的资料，〃爱因斯坦-3”的入侵防御能力主要来自于美国国家安全局（NationalSecurityAgency,NSA）开发的一套名为TUTELAGE的系统。TUTELAGE是一套具有网络流量监控、主动防御与反击功能的系统，用于保护美军的网络安全，相关文件显示早至2009年以前就已投入使用。TUTELAGE通过SIGINT提前发现对手的工具、意图并设计反制手段，在对手入侵之前拒止。即使对手成功入侵，也能通过阻断、修改C2指令等方法，缓解威胁。2、移动目标防御体系（MTD）建设美国国家技术委员会在2011年提出了〃移动目标防御”（MTD）的概念，该技术不同于以往的网络安全研究思路，它旨在部署和运行不确定、随机动态的网络和系统，让攻击者难以发现目标。动态防御还可以主动欺骗攻击者，扰乱攻击者的视线，将其引入死胡同，并可以设置一个伪目标/诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警。动态防御改变了网络防御被动的态势，改变了攻防双方的“游戏规则”，真正实现了“主动”防御。3、网络空间拟态防御理论网络空间拟态防御理论是由中国工程院院士邬江兴院士提出，该理论不再追求建立一种无漏洞、无后门、无缺陷、无毒无菌、完美无瑕的运行场景或防御环境来对抗网络空间的各种安全威胁，而是旨在软硬件系统中采取一种可迭代收敛的广义动态化控制策略，构建一种基于多模裁决的策略调度和多维动态重构负反馈机制。拟态实施动态防御的基本架构是“动态异构冗余”构造(DynamicHeterogeneousRedundancy，DHR)。DHR通过向成熟的非相似余度架构(DissimilarRedundancyStructure，DRS)中导入动态性和随机性来改善其抗攻击性能。DHR架构要求系统对外呈现结构上的随机性和不可预测性，可采用的机制包括不定期地对当前运行的执行体集合进行变换，又或是重构异构冗余体，还可以借助虚拟化等技术改变运行环境等配置，从而使得攻击者难以再次复现成功的攻击场景。DHR的结构示意图1如下图所示。图1'DHR结构示意图'*项"DHR架构主要包含异构构建集、动态调度机制、输入代理、执行体集和裁决器部件。其中异构构建集由标准化的软硬件模块编译生成n个功能等价的执行体构成。然后依据动态选择策略从中选出m个执行体作为执行体集。输入代理则负责将输入分发给当前正运行的执行体。裁决器则对所有执行体产生的输出矢量进行大数判决，得到最终输出。4、动态赋能网络空间防护体系动态赋能网络空间防御系统是由北京信息系统研究所研究员杨林提出，该防御体系以软件定义的安全防护设施为基础，以服务化的后台安全服务设施为支撑，将静态设防的网络空间安全能力载体，变成动态赋能的活体系，通过集约使用有限的资源和力量，提供全局赋能的新活力。它是一种需要在网络空间信息系统的全生命周期设计过程中贯彻的基本安全理念，其目的在于通过一切可能的途径，在保证网络空间系统可用性的同时，使信息系统全生命周期运转过程中所有参与主体、通信协议、信息数据等都具备在时间和空间两个领域单独或者同时变换自身特征属性或者属性对外呈现信息的能力，从而达到如下效果：（1）攻击者难以发现目标。（2）攻击者发现目标是错误的。（3）攻击者发现了目标但是无法实施攻击。（4）攻击者能实施攻击但不能持续。（5）攻击者能实施攻击但能快被检测到。动态防御的核心技术一般来说，信息系统中的实体主要包括软件、网络节点、计算平台和数据等。在动态赋能网络空间防护体系中提出动态软件防御技术、动态网络防御技术、动态平台防御技术和动态数据防御技术等。1、动态软件防御技术：是指动态更改应用程序自身及其执行环境的技术。相关的技术包括地址空间布局随机化技术、指令集随机化技术、就地代码随机化技术、软件多态化技术以及多变体执行技术等。2、动态网络防御技术：是指在网络层面实施动态防御，具体是在为网络拓扑、网络配置、网络资源、网络节点、网络业务等网络要素方面，通过动态化、虚拟化和随机化方法，打破网络各要素的静态性、确定性和相似性的缺陷，抵御针对目标网络的恶意攻击，提升攻击者网络探测和内网节点渗透的攻击难度。例如，以网络伪装为代表的各种动态网络安全技术，主要包括主动伪装和被动伪装技术。网络伪装技术在黑客进行踩点，准备发动进攻的时候,通过在真实信息中加入虚假的信息，使黑客对目标逐级进行扫描之后，不能采取正确的攻击手段和攻击方法。因为对以不同的网络环境，小同的网络状态，将要采取不同的网络攻击手段。如果夹杂有虚假信息，攻击者将很难利用自己的攻击工具对现有的网络实施攻击。3、动态平台防御技术：传统平台系统设计往往采用单一的架构、且在交付使用后长期保持不变，这样为攻击者进行侦查和攻击尝试提供了足够的时间。一旦系统漏洞被恶意攻击者发现并成功利用。系统将面临服务异常、信息被窃取、数据被篡改等严重的危害。平台动态防御技术即是解决这种固有缺陷的一种途径。平台防御技术构建多样化的运行平台，通过动态改变应用运行的环境来使西戎呈现出不确定性和动态性，使其难以摸清系统的具体构造，从而难以发动有效的攻击。相关技术有：基于可重构的平台动态化、基于异构平台的应用热迁移、Web服务的多样化以及基于入侵容忍的平台动态化。4、动态数据防御技术：动态数据防御技术是指能够根据系统的防御需求，动态化更改相关数据的格式、句法、编码或者表现形式，从而增大攻击者的攻击面，达到增强攻击难度的效果。相关技术主要包括：数据随机化技术、N变体数据多样化技术、面向容错的N-Copy数据多样化以及面向Web应用安全的数据多样化技术。总结网络空间安全日益严峻的背景下，全面提升我国网络信息系统的安全防御能力已经迫在眉睫，以MTD为代表的新一代网络防护体系将改变防御能力集中在边界、防御能力静态化、防御能力滞后性等一系列问题，依托该技术将网络防护推向一个新的高度。参考资料动态赋能网络空间防御.杨林，人民邮电出版社.网络空间拟态