網(wǎng)絡(luò)動(dòng)態(tài)防御技術(shù)發(fā)展概況研究

一、引言

傳統(tǒng)的網(wǎng)絡(luò)安全防御思想是基于防火墻、入侵檢測(cè)系統(tǒng)、反病毒系統(tǒng)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)等技術(shù)手段建立縱深型立體網(wǎng)絡(luò)安全防御體系，保護(hù)網(wǎng)絡(luò)系統(tǒng)免遭惡意入侵破壞，其技術(shù)出發(fā)點(diǎn)是堵塞和消除被保護(hù)網(wǎng)絡(luò)系統(tǒng)中存在的脆弱性。

在網(wǎng)絡(luò)攻防的過(guò)程中，攻擊方不斷地推陳出新，始終占據(jù)著對(duì)抗過(guò)程中的主動(dòng)，而防御方則陷入了疲于應(yīng)對(duì)的被動(dòng)局面。長(zhǎng)期以來(lái)，網(wǎng)絡(luò)安全基本上都處于“易攻難守”的不對(duì)稱局面。造成這種局面的原因在于：一是傳統(tǒng)網(wǎng)絡(luò)的確定性、靜態(tài)性，使攻擊者具備時(shí)間優(yōu)勢(shì)和空間優(yōu)勢(shì)，能夠?qū)δ繕?biāo)系統(tǒng)的脆弱性進(jìn)行反復(fù)的探測(cè)分析和滲透測(cè)試，進(jìn)而找到突破途徑；二是傳統(tǒng)網(wǎng)絡(luò)的相似性，使攻擊者具備攻擊成本優(yōu)勢(shì)，可以把同樣的攻擊手段應(yīng)用于大量類(lèi)似的目標(biāo)。

由于新型網(wǎng)絡(luò)攻擊技術(shù)手段不斷涌現(xiàn)，網(wǎng)絡(luò)防御方不得不頻繁地更新升級(jí)網(wǎng)絡(luò)安全防御技術(shù)，筑牢加固網(wǎng)絡(luò)安全防御體系。隨著對(duì)抗手段自動(dòng)化、智能化水平的不斷提高，單靠筑牢加固網(wǎng)絡(luò)安全防御體系已經(jīng)不能適應(yīng)網(wǎng)絡(luò)安全防御的實(shí)際需求，網(wǎng)絡(luò)動(dòng)態(tài)防御技術(shù)逐漸引起人們的廣泛關(guān)注，被認(rèn)為是改變網(wǎng)絡(luò)安全不對(duì)稱局面的革命性技術(shù)。

二、網(wǎng)絡(luò)動(dòng)態(tài)防御的概念與分類(lèi)

網(wǎng)絡(luò)安全漏洞的不可避免性和基于威脅特征感知防御方法的局限性迫使人們轉(zhuǎn)變防御思想，創(chuàng)新防御機(jī)制，以扭轉(zhuǎn)網(wǎng)絡(luò)空間“易攻難守”的被動(dòng)局面。網(wǎng)絡(luò)動(dòng)態(tài)防御旨在通過(guò)主動(dòng)地重構(gòu)系統(tǒng)來(lái)阻止或降低網(wǎng)絡(luò)攻擊的影響，其基本思想是通過(guò)動(dòng)態(tài)地改變、偽裝目標(biāo)網(wǎng)絡(luò)系統(tǒng)的特征，以增加攻擊代價(jià)，提高目標(biāo)系統(tǒng)彈性，增強(qiáng)防御能力。

實(shí)際上，動(dòng)態(tài)防御的思想由來(lái)已久，在《孫子兵法-虛實(shí)篇》中就有“攻而必取者，攻其所不守也；守而必固者，守其所不攻也。故善攻者，敵不知其所守；善守者，敵不知其所攻”的論述，充分體現(xiàn)了虛實(shí)結(jié)合、動(dòng)態(tài)變化對(duì)于控制戰(zhàn)局的重要性。

2011年12月，美國(guó)國(guó)家科學(xué)技術(shù)委員會(huì)（NITRD）發(fā)布《可信網(wǎng)絡(luò)空間：聯(lián)邦網(wǎng)絡(luò)空間安全研發(fā)戰(zhàn)略規(guī)劃》，明確指出“針對(duì)網(wǎng)絡(luò)空間所面臨的現(xiàn)實(shí)和潛在威脅”，要突破傳統(tǒng)思路，發(fā)展“改變游戲規(guī)則”的革命性技術(shù)，開(kāi)啟了網(wǎng)絡(luò)動(dòng)態(tài)防御研究熱潮，涌現(xiàn)出了以移動(dòng)目標(biāo)防御（Moving Target Defense，MTD）、擬態(tài)防御（Cyberspace Mimic Defense，CMD）和網(wǎng)絡(luò)欺騙（Cyber Deception，CD）等為代表的網(wǎng)絡(luò)動(dòng)態(tài)防御技術(shù)。

三、移動(dòng)目標(biāo)防御

移動(dòng)目標(biāo)防御的基本觀點(diǎn)認(rèn)為絕對(duì)的安全是不可能實(shí)現(xiàn)的，因而更加關(guān)注如何使系統(tǒng)能夠在可能遭受損害的環(huán)境下連續(xù)地安全運(yùn)行，并不追求建立一種完美無(wú)瑕的防御體系來(lái)對(duì)抗各種形式的攻擊。移動(dòng)目標(biāo)防御的思路是通過(guò)增加系統(tǒng)的隨機(jī)性、減少系統(tǒng)的可預(yù)見(jiàn)性來(lái)對(duì)抗同類(lèi)型攻擊，通過(guò)有效降低其確定性、相似性和靜態(tài)性來(lái)顯著增加攻擊成本。通常的實(shí)現(xiàn)方式是通過(guò)變換系統(tǒng)配置，縮短系統(tǒng)配置屬性信息的有效期，使得攻擊者不能在有限時(shí)間內(nèi)完成目標(biāo)探測(cè)和攻擊代碼開(kāi)發(fā)，同時(shí)降低收集的歷史信息的有效性，使探測(cè)到的信息在攻擊期間已失效。

移動(dòng)目標(biāo)防御技術(shù)可以在系統(tǒng)的不同層面、以不同的方式實(shí)現(xiàn)，總體上可以分為五大類(lèi)：動(dòng)態(tài)運(yùn)行環(huán)境、動(dòng)態(tài)軟件、動(dòng)態(tài)網(wǎng)絡(luò)、動(dòng)態(tài)數(shù)據(jù)、動(dòng)態(tài)平臺(tái)。

（一）動(dòng)態(tài)運(yùn)行環(huán)境

動(dòng)態(tài)運(yùn)行環(huán)境指操作系統(tǒng)提供給應(yīng)用程序的執(zhí)行環(huán)境動(dòng)態(tài)改變，其又分為地址空間隨機(jī)化和指令集隨機(jī)化兩類(lèi)。地址空間隨機(jī)化指內(nèi)存地址空間分布動(dòng)態(tài)變化；指令集隨機(jī)化指操作系統(tǒng)提供給應(yīng)用程序的接口動(dòng)態(tài)變化。

地址空間分布排列（Address SpaceLayout Permutation, ASLP ）是典型的地址空間隨機(jī)化技術(shù)，主要用來(lái)防御緩沖區(qū)溢出攻擊。

G-Free是典型的指令集隨機(jī)化技術(shù)，主要用來(lái)防御ROP攻擊。G-Free使用特殊的編譯器編譯可執(zhí)行文件，編譯時(shí)消除所有未對(duì)齊的自由分支指令，減少攻擊者可用的自由分支指令；同時(shí)對(duì)棧返回指針進(jìn)行加密，當(dāng)棧溢岀時(shí)，攻擊者無(wú)法向返回指針注入值。

（二）動(dòng)態(tài)軟件

動(dòng)態(tài)軟件指應(yīng)用程序代碼動(dòng)態(tài)變化，包括程序的指令及指令的順序、組合和格式等。

主動(dòng)模糊（Proactive Obfuscation ）是典型的動(dòng)態(tài)軟件技術(shù)。主動(dòng)模糊用來(lái)防御對(duì)網(wǎng)絡(luò)可見(jiàn)服務(wù)的緩沖區(qū)溢出攻擊和其他注入攻擊。對(duì)特定的可執(zhí)行文件，注入攻擊的方法是特定的，主動(dòng)模糊技術(shù)對(duì)每種服務(wù)的可執(zhí)行文件隨機(jī)創(chuàng)建多個(gè)不同的副本，當(dāng)服務(wù)接收到一個(gè)請(qǐng)求，每個(gè)副本都進(jìn)行處理，如果大多數(shù)副本接受這個(gè)請(qǐng)求，服務(wù)才會(huì)對(duì)請(qǐng)求進(jìn)行響應(yīng)。

（三）動(dòng)態(tài)網(wǎng)絡(luò)

動(dòng)態(tài)網(wǎng)絡(luò)指網(wǎng)絡(luò)配置及屬性動(dòng)態(tài)變化，包括IP地址、端口號(hào)、系統(tǒng)指紋以及響應(yīng)行為等。按照不同的角度，可以將動(dòng)態(tài)網(wǎng)絡(luò)技術(shù)劃分為不同的類(lèi)型。

（1）根據(jù)參與者不同，可以分為兩類(lèi)：?jiǎn)蜗騽?dòng)態(tài)變化和雙向動(dòng)態(tài)變化。單向動(dòng)態(tài)變化指只有服務(wù)端的配置信息進(jìn)行動(dòng)態(tài)變化；雙向動(dòng)態(tài)變化指通信過(guò)程中通信雙方的配置信息都進(jìn)行動(dòng)態(tài)變化。

（2）根據(jù)變化的內(nèi)容不同，可以分為端口跳變、IP地址突變、隨機(jī)指紋、路由突變等，各項(xiàng)變化都有其自身的使用環(huán)境和防護(hù)特點(diǎn)。

（3）根據(jù)是否改變真實(shí)配置信息的不同，可以分為兩類(lèi)：一是改變真實(shí)信息，如服務(wù)的端口改變，主機(jī)的真實(shí)IP地址改變等；二是攔截覆蓋虛擬信息，通過(guò)某種方式攔截進(jìn)出的數(shù)據(jù)包，將端口、地址等相關(guān)信息進(jìn)行隨機(jī)修改，但不改變主機(jī)的真實(shí)配置信息。

SDN-MTD是一種基于軟件定義網(wǎng)絡(luò)（SDN ）實(shí)現(xiàn)的移動(dòng)目標(biāo)防御系統(tǒng)，基本實(shí)現(xiàn)了常用配置信息的動(dòng)態(tài)變化。其主要功能包括：主機(jī)存活性和端口隨機(jī)、服務(wù)版本和操作系統(tǒng)指紋隱藏、IP地址突變。主機(jī)存活性和端口隨機(jī)用來(lái)抵御網(wǎng)絡(luò)踩點(diǎn)和掃描；服務(wù)版本和操作系統(tǒng)指紋隱藏用來(lái)抵御操作系統(tǒng)指紋及漏洞探測(cè)；IP地址突變用來(lái)抵御網(wǎng)絡(luò)蠕蟲(chóng)和拒絕服務(wù)攻擊。

（四）動(dòng)態(tài)平臺(tái)

動(dòng)態(tài)平臺(tái)指軟硬件平臺(tái)的屬性動(dòng)態(tài)變化，包括操作系統(tǒng)及其版本、CPU架構(gòu)、平臺(tái)數(shù)據(jù)格式等。

可信動(dòng)態(tài)邏輯異構(gòu)系統(tǒng)（Trusted Dynamic Logical Heterogeneity System，TALENT ）是一種典型的動(dòng)態(tài)平臺(tái)技術(shù)。TALENT用來(lái)防御注入攻擊、網(wǎng)絡(luò)掃描和供應(yīng)鏈攻擊（Supply Chain Attacks ）。TALENT通過(guò)運(yùn)行一個(gè)關(guān)鍵的應(yīng)用程序來(lái)改變硬件平臺(tái)和操作系統(tǒng)，從而提供平臺(tái)多樣性。這種技術(shù)使用操作系統(tǒng)級(jí)虛擬化容器和一種便攜檢測(cè)點(diǎn)編譯器來(lái)創(chuàng)建一個(gè)虛擬的執(zhí)行環(huán)境，使正在運(yùn)行的應(yīng)用程序在不同的平臺(tái)間遷移，同時(shí)保持程序的狀態(tài)。這些平臺(tái)以不同的操作系統(tǒng)、硬件、架構(gòu)、庫(kù)進(jìn)行部署。

（五）動(dòng)態(tài)數(shù)據(jù)

動(dòng)態(tài)數(shù)據(jù)指應(yīng)用程序數(shù)據(jù)的格式、句法規(guī)則、編碼方式和表示形式動(dòng)態(tài)變化。

數(shù)據(jù)隨機(jī)化（Data Randomization）是典型的動(dòng)態(tài)數(shù)據(jù)技術(shù)。該技術(shù)通過(guò)將存儲(chǔ)于內(nèi)存的所有數(shù)據(jù)進(jìn)行隨機(jī)化來(lái)防御注入攻擊。這種技術(shù)在受保護(hù)的系統(tǒng)上部署一個(gè)編譯器，系統(tǒng)程序必須用該編譯器進(jìn)行編譯。在隨機(jī)化過(guò)程中，系統(tǒng)程序讀寫(xiě)內(nèi)存的所有數(shù)據(jù)將與一個(gè)隨機(jī)密鑰異或，與同一對(duì)象相關(guān)的操作數(shù)歸為一組，每組隨機(jī)使用不同的密鑰，這些組在編譯時(shí)由編譯器通過(guò)靜態(tài)分析建立。

四、擬態(tài)防御

擬態(tài)防御是以鄔江興院士為代表的國(guó)內(nèi)研究人員受自然界生物自我防御的擬態(tài)現(xiàn)象的啟迪，提出的一種網(wǎng)絡(luò)空間新型動(dòng)態(tài)防御技術(shù)，旨在通過(guò)擬態(tài)防御構(gòu)造的內(nèi)生機(jī)理提高信息設(shè)備或系統(tǒng)的抗攻擊能力。之所以稱為擬態(tài)防御，是因?yàn)槠錂C(jī)理上與擬態(tài)偽裝相似，都依賴于擬態(tài)構(gòu)造。擬態(tài)構(gòu)造把可靠性、安全性問(wèn)題歸一化為可靠性問(wèn)題處理。對(duì)于擬態(tài)防御而言，目標(biāo)對(duì)象防御場(chǎng)景處于“測(cè)不準(zhǔn)”狀態(tài)，任何針對(duì)執(zhí)行體個(gè)體的攻擊首先被擬態(tài)構(gòu)造轉(zhuǎn)化為群體攻擊效果不確定事件，同時(shí)被變換為概率可控的可靠性事件，其防御有效性取決于“非配合條件下動(dòng)態(tài)多元目標(biāo)協(xié)同一致攻擊難度”。

在工程制造領(lǐng)域中，經(jīng)常采用異構(gòu)冗余的方法來(lái)增強(qiáng)目標(biāo)系統(tǒng)的可靠性，其經(jīng)典應(yīng)用范例是“非相似余度構(gòu)造”（Dissimilar Redundancy Structure, DRS）。DRS構(gòu)造能夠發(fā)現(xiàn)和處理一些由宕機(jī)錯(cuò)誤或拜占庭錯(cuò)誤（即偽造信息惡意響應(yīng)）造成的異常，具有一定程度的抗攻擊效果。然而，DRS構(gòu)造本質(zhì)上仍是靜態(tài)和確定的架構(gòu)，各執(zhí)行體的運(yùn)行環(huán)境以及相關(guān)漏洞或后門(mén)的可利用條件也是固定不變的，多元執(zhí)行體的并聯(lián)配置方式并不會(huì)影響攻擊表面的可達(dá)性，這使得攻擊者有可能通過(guò)反復(fù)試錯(cuò)攻擊找到多元執(zhí)行體漏洞或缺陷的交集，從而實(shí)現(xiàn)攻擊。

擬態(tài)防御的基本思想是通過(guò)組織多個(gè)冗余的異構(gòu)功能等價(jià)體來(lái)共同處理外部相同的請(qǐng)求，并在多個(gè)冗余體之間進(jìn)行動(dòng)態(tài)調(diào)度，彌補(bǔ)網(wǎng)絡(luò)信息系統(tǒng)中存在的靜態(tài)、相似和單一等安全缺陷，其核心是動(dòng)態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，DHR）構(gòu)造。DHR構(gòu)造通過(guò)在DRS構(gòu)造中引入基于閉環(huán)負(fù)反饋控制機(jī)制和MTD動(dòng)態(tài)思想實(shí)現(xiàn)，理論上能夠改變其構(gòu)造場(chǎng)景的靜態(tài)性、相似性以及運(yùn)行機(jī)制的確定性。DHR構(gòu)造具有內(nèi)生的抗攻擊特性，在網(wǎng)絡(luò)空間安全領(lǐng)域的研究與應(yīng)用越來(lái)越廣泛。DHR構(gòu)造的組成如圖1所示。

輸入代理需要根據(jù)負(fù)反饋控制器的指令將輸入序列分發(fā)到相應(yīng)的多個(gè)異構(gòu)功能等價(jià)體；異構(gòu)執(zhí)行體集合中接收到輸入激勵(lì)的執(zhí)行體，在大概率情況下能夠正常工作且獨(dú)立地產(chǎn)生滿足給定語(yǔ)義和語(yǔ)法的輸岀矢量；多模裁決器根據(jù)裁決參數(shù)或算法生成的裁決策略，研判多模輸出矢量?jī)?nèi)容的一致性情況并形成輸出響應(yīng)序列，一旦發(fā)現(xiàn)不一致情況就激活負(fù)反饋控制器；負(fù)反饋控制器被激活后將根據(jù)控制參數(shù)生成的控制算法決定是否要向輸入代理發(fā)送替換異常執(zhí)行體的指令，或者指示“輸出異�！眻�(zhí)行體實(shí)施在線或離線清洗恢復(fù)操作等。

擬態(tài)防御的DHR構(gòu)造具有以下特點(diǎn)：一是不確定性威脅感知能力，能顯著地降低攻擊鏈的可靠性；二是顯著增加多模裁決協(xié)同逃逸難度，動(dòng)態(tài)異構(gòu)環(huán)境降低漏洞可利用性。

從基本實(shí)現(xiàn)思想來(lái)看，擬態(tài)防御也具有移動(dòng)目標(biāo)防御的動(dòng)態(tài)、隨機(jī)和多備選等屬性，但同時(shí)又具有相對(duì)獨(dú)立完整的理論基礎(chǔ)，因此可以認(rèn)為擬態(tài)防御是移動(dòng)目標(biāo)防御的一種系統(tǒng)化、體系化實(shí)現(xiàn)。

當(dāng)前，擬態(tài)防御技術(shù)在理論研究與產(chǎn)業(yè)化方面都取得了較大發(fā)展，發(fā)布了包括擬態(tài)域名服務(wù)器、擬態(tài)路由器、擬態(tài)Web服務(wù)器、擬態(tài)防火墻等在內(nèi)的系列化產(chǎn)品，并進(jìn)行了安全性的公開(kāi)測(cè)試。

五、網(wǎng)絡(luò)欺騙

網(wǎng)絡(luò)欺騙是一種通過(guò)在己方網(wǎng)絡(luò)信息系統(tǒng)中布設(shè)騙局，干擾、誤導(dǎo)攻擊者對(duì)己方網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷，誘使攻擊者做出對(duì)防御方有利的決策或動(dòng)作，從而達(dá)到發(fā)現(xiàn)、延遲或阻斷攻擊者活動(dòng)的動(dòng)態(tài)防御技術(shù)。

網(wǎng)絡(luò)欺騙主要利用了攻擊者一般需要依據(jù)網(wǎng)絡(luò)偵察獲取的信息來(lái)決定下一步動(dòng)作的特點(diǎn)，通過(guò)干擾攻擊者的認(rèn)知以促使其采取有利于防御方的行動(dòng)。網(wǎng)絡(luò)欺騙的本質(zhì)特征是通過(guò)布設(shè)騙局干擾攻擊者對(duì)目標(biāo)網(wǎng)絡(luò)的認(rèn)知，因此欺騙環(huán)境的構(gòu)建機(jī)制是其關(guān)鍵所在。按照欺騙環(huán)境的構(gòu)建方式可以將網(wǎng)絡(luò)欺騙技術(shù)分為掩蓋欺騙、混淆欺騙、偽造欺騙、模仿欺騙等4大類(lèi)。

掩蓋欺騙通過(guò)消除特征來(lái)隱藏真實(shí)的資源，防止被攻擊者發(fā)現(xiàn)。典型的掩蓋欺騙技術(shù)有網(wǎng)絡(luò)地址變換，通過(guò)周期性地重新映射網(wǎng)絡(luò)地址和網(wǎng)絡(luò)系統(tǒng)之間的關(guān)系改變網(wǎng)絡(luò)的外在特征，以限制攻擊者掃描、發(fā)現(xiàn)、識(shí)別和定位網(wǎng)絡(luò)目標(biāo)的能力。

混淆欺騙通過(guò)更改系統(tǒng)資源的特征使得系統(tǒng)資源看上去像另外的資源，從而挫敗攻擊者的攻擊企圖。具體的混淆策略包括使真實(shí)系統(tǒng)具有“蜜罐”的特征從而嚇阻攻擊者，使受保護(hù)的操作系統(tǒng)對(duì)遠(yuǎn)程探測(cè)工具表現(xiàn)出其他操作系統(tǒng)的特性等。

偽造欺騙通過(guò)采用真實(shí)系統(tǒng)或網(wǎng)絡(luò)資源構(gòu)建欺騙網(wǎng)絡(luò)環(huán)境，并偽造資源吸引攻擊者的注意力，從而發(fā)現(xiàn)攻擊或者消耗攻擊者的時(shí)間。偽造欺騙的典型實(shí)現(xiàn)技術(shù)有高交互“蜜罐”、蜜標(biāo)等。

模擬欺騙則是通過(guò)軟件模擬的方式構(gòu)造出資源的特征，誘騙攻擊者訪問(wèn)。Deception Tool Kit （ DTK）是一種典型的模擬欺騙實(shí)現(xiàn)，DTK綁定系統(tǒng)未使用的端口，被動(dòng)地等待連接，并記錄訪問(wèn)信息。模擬欺騙的逼真度與機(jī)密性較低，不適于對(duì)攻擊者行為的長(zhǎng)期觀察，但是因其占資源少且?guī)缀醪粫?huì)帶來(lái)風(fēng)險(xiǎn)，因此可以在業(yè)務(wù)主機(jī)上部署。

六、結(jié)語(yǔ)

網(wǎng)絡(luò)動(dòng)態(tài)防御是為了應(yīng)對(duì)越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)空間安全形勢(shì)而逐步發(fā)展起來(lái)的創(chuàng)新性網(wǎng)絡(luò)防御技術(shù)體系，為打破長(zhǎng)期存在的“易攻難守”不對(duì)稱局面提供了可能，將使未來(lái)的網(wǎng)絡(luò)攻防難易程度趨于平衡。網(wǎng)絡(luò)動(dòng)態(tài)防御的思想由來(lái)已久，在許多網(wǎng)絡(luò)安全技術(shù)中都有所體現(xiàn)，但作為系統(tǒng)化的網(wǎng)絡(luò)安全防御體系被提出的時(shí)間并不長(zhǎng)。當(dāng)前，網(wǎng)絡(luò)動(dòng)態(tài)防御的發(fā)展主要有移動(dòng)目標(biāo)防御、擬態(tài)防御和網(wǎng)絡(luò)欺騙3個(gè)分支，分別從攻擊面變換、架構(gòu)內(nèi)生安全和資源偽裝等角度提高攻擊的復(fù)雜度和代價(jià)，從而增強(qiáng)系統(tǒng)安全防御能力。各分支的技術(shù)之間不僅沒(méi)有嚴(yán)格的界限，相互間甚至可以進(jìn)行融合，構(gòu)造出更加安全的網(wǎng)絡(luò)動(dòng)態(tài)防御體系架構(gòu)。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年6月刊）