網(wǎng)絡(luò)安全主動防御技術(shù)及應用

◆陶 晶

（沈陽理工大學現(xiàn)代教育中心 遼寧 110159）

網(wǎng)絡(luò)安全主動防御技術(shù)及應用

◆陶 晶

（沈陽理工大學現(xiàn)代教育中心 遼寧 110159）

傳統(tǒng)的被動防御技術(shù)，如防火墻、入侵檢測等，無法對未知的攻擊進行有效檢測。主動防御技術(shù)能有效抵抗未知攻擊，增強系統(tǒng)的安全性能。本文分析了入侵容忍、移動目標、擬態(tài)安全防御等主動安全技術(shù)，并對其應用場景進行了分析。

主動防御；互聯(lián)網(wǎng)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們對網(wǎng)絡(luò)的依賴性越來越大，同時，網(wǎng)絡(luò)安全問題也日益引起大家的關(guān)注和重視。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，如防火墻、入侵檢測、虛擬專用網(wǎng)、訪問控制等，都是被動的防御技術(shù)。也就是說，這些技術(shù)都是基于先驗知識，即需要先知道網(wǎng)絡(luò)攻擊者的特征、行為等，才能采取相應的防范措施。其本質(zhì)上是一種“亡羊補牢”的機制。另外，這些安全技術(shù)等漏洞、后門程序等無法進行有效的檢測。總之，被動的防御技術(shù)相對于新型的攻擊手段具有時效性和滯后性的問題，此外，由于漏洞的不可避免性與攻擊方式的變化性導致現(xiàn)有的被動防御技術(shù)無法在某些特定的環(huán)境下應用。

鑒于被動防御技術(shù)的缺點，主動防御技術(shù)越來越引起研究者的關(guān)注和重視。主動防御技術(shù)不同于被動防御技術(shù)的事后防御，主要特點是無需知道攻擊的方法和步驟而提前實現(xiàn)防御，從而有效抵抗未知攻擊對系統(tǒng)的破壞，具有顯著的防御優(yōu)勢。

目前出現(xiàn)了一些典型的主動防御技術(shù)，比如入侵容忍技術(shù)、移動目標防御技術(shù)、擬態(tài)防御技術(shù)等。這些技術(shù)各有特點和優(yōu)勢，其中擬態(tài)防御技術(shù)由于具有自主知識產(chǎn)權(quán)，更是得到了我國研究者的廣泛興趣和關(guān)注。

1 入侵容忍技術(shù)

入侵容忍技術(shù)是由容錯技術(shù)發(fā)展而來的一種主動防御技術(shù)，是主動防御技術(shù)的早期雛形。顧名思義，入侵容忍技術(shù)即可以容忍（接受）部分入侵，也被稱為容忍入侵技術(shù)或者容侵技術(shù)。入侵容忍的核心思想即：認為網(wǎng)絡(luò)入侵的不可避免性，不在將防御入侵作為主要目標，而是關(guān)注系統(tǒng)即使遭到入侵的情況下，仍舊能正常工作并提供服務的能力。

入侵容忍技術(shù)主要使用容錯的技術(shù)原理從而達到容侵的目的，是一種主流的網(wǎng)絡(luò)安全技術(shù)。入侵容忍技術(shù)從防御思想上來說，已經(jīng)具備了主動防御的特點，可以看作是主動防御技術(shù)的發(fā)展起點。然而，入侵容忍技術(shù)的本質(zhì)核心是容錯，即主要靠部件冗余來實現(xiàn)，因此，容侵的代價比較高，目前已經(jīng)逐漸不再被重視。

2 移動目標防御技術(shù)

為了解決網(wǎng)絡(luò)防御的不平衡性，以美國為首的部分國家積極轉(zhuǎn)變防御理念，大力探索主動防御新技術(shù)。移動目標防御技術(shù)是美國提出的一項革命性網(wǎng)絡(luò)技術(shù)。

移動目標防御的主要特點在于設(shè)計一種能在不安全的環(huán)境中實現(xiàn)可靠工作的彈性安全系統(tǒng)，其部署機制及策略是多樣的、不斷變化的，增加了攻擊的難度及代價，降低系統(tǒng)被攻擊的機會。移動目標防御技術(shù)在網(wǎng)絡(luò)的各個層次都可以成功應用，其特點是部署的系統(tǒng)具有動態(tài)性、可變性、難以捕捉性，因此，攻擊者無法掌握系統(tǒng)的特點從而難以實施有效的攻擊。

移動目標防御提出動態(tài)性防御，是主動防御的重要理念之一，提升了主動防御技術(shù)的研究熱度。

3 擬態(tài)防御

擬態(tài)安全防御是國內(nèi)鄔江興院士研究團隊首創(chuàng)的主動防御理論，主要應對基于未知漏洞、后門或病毒木馬等的未知威脅，提供具有普適意義的防御理論和方法，從根本上改變目前網(wǎng)絡(luò)安全存在的攻防不對稱問題。

擬態(tài)現(xiàn)象是生物的一種自然現(xiàn)象，具體是指一種生物能夠在色彩、紋理和形狀等自適應模擬另一種生物或適應環(huán)境，從而使得互相受益。大自然中生物具有的擬態(tài)現(xiàn)象為解決網(wǎng)絡(luò)安全問題提供了新的思路和啟示。

擬態(tài)安全防御的意愿是從主動性、變化性和隨機性中獲得有利的防御特點和啟發(fā)。擬態(tài)安全防御技術(shù)在實現(xiàn)上主要就是動態(tài)和隨機地選擇系統(tǒng)的各種硬件以及相應的軟件變體，從而導致攻擊者無法得到確切的系統(tǒng)狀況，從而無法實施基于漏洞和后門的攻擊鏈條，進而降低系統(tǒng)遭受的安全風險。擬態(tài)防御體系有效性的基礎(chǔ)在于：變化的多樣性、變化的隨機性、變化的快速性。

目前，網(wǎng)絡(luò)空間的安全現(xiàn)狀是“易攻難守”，主要原因在于：網(wǎng)絡(luò)存在不確定威脅，主要體現(xiàn)為漏洞或后門程序。這些問題無法從科學層面被發(fā)現(xiàn)，也無法從工程層面避免，這使得其成為最大的安全威脅。

擬態(tài)防御的基本思想類似于生物界的擬態(tài)防御。擬態(tài)防御融合多種主動防御要素為宗旨：以異構(gòu)性、多樣性改變目標系統(tǒng)的相似性、單一性；以動態(tài)性、隨機性改變目標系統(tǒng)的靜態(tài)性、確定性；以異構(gòu)冗余多模機制識別和屏蔽未知缺陷與未明威脅；以高可靠性架構(gòu)增強目標系統(tǒng)服務功能的柔韌性；在不確定屬性防御針對目標系統(tǒng)的不確定性威脅。

由解放軍信息工程大學、浙江大學等承擔的“網(wǎng)絡(luò)空間擬態(tài)防御理論及核心方法”已經(jīng)完成結(jié)項和測評，評估結(jié)果與預期目標完全相符，說明我國在網(wǎng)絡(luò)安全防御領(lǐng)域已經(jīng)取得了重大成就。此項目的成功將擬態(tài)安全的思想落到了實處，打破了傳統(tǒng)網(wǎng)絡(luò)安全“易攻難守”的格局。

在此項目的研究基礎(chǔ)上，上述研發(fā)團隊針對網(wǎng)絡(luò)安全的不確定性重大問題，開展了基于擬態(tài)防御的主動理論研究并取得了重大突破。團隊人員提出的可變、異構(gòu)、容錯的體制架構(gòu)，將基于未知漏洞、未知后門的不確定性威脅和風險，控制為極小概率事件。由國內(nèi)權(quán)威評測機構(gòu)的實際驗證表明，擬態(tài)安全防御機制能夠破壞網(wǎng)絡(luò)安全的攻擊連，對網(wǎng)絡(luò)安全技術(shù)的發(fā)展具有顛覆性意義。

擬態(tài)防御也在不同的應用領(lǐng)域取得了進展。如擬態(tài)web服務器、擬態(tài)路由器、擬態(tài)文件和存儲系統(tǒng) 、擬態(tài)工業(yè)控制處理器、擬態(tài)軟件安全產(chǎn)業(yè)等。

4 結(jié)論主動防御技術(shù)改變了傳統(tǒng)的網(wǎng)絡(luò)攻防模式。擬態(tài)安全防御技術(shù)作為具有完全自主知識產(chǎn)權(quán)的新一代網(wǎng)絡(luò)安全技術(shù)，在技術(shù)實現(xiàn)上有著非常明顯的優(yōu)勢，其的廣泛應用必然帶來網(wǎng)絡(luò)安全的顛覆性革命。計與實現(xiàn)．軟件學報，2017．

[4]于佳，程相國，李發(fā)根，潘振寬，孔凡玉，郝蓉．標準模型下可證明安全的入侵容忍公鑰加密方案．軟件學報，2013．

[5]張煥國，韓文報，來學嘉．網(wǎng)絡(luò)空間安全綜述[J]．中國科學：信息科學， 2016．

[6]張曉玉，李振邦．移動目標防御技術(shù)綜述[J]．通信技術(shù)，2013．

[7]Okhravi H，Hobson T，Bigelow D， et al．Finding focus in the blur of moving-target techniques [J]．IEEE Security & Privacy，2014．

[8]羅興國，仝青．擬態(tài)防御技術(shù)．中國工程科學，2016．

[9]倪光南．信息安全“本質(zhì)”是自主可控[J]．中國經(jīng)濟和信息化， 2013．

[1]鄔江興．網(wǎng)絡(luò)空間擬態(tài)安全防御[J]．保密科學技術(shù)，2014．

[2]鄔江興．擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J]．電信科學， 2014．

[3]仝青，張錚，張為華，鄔江興．擬態(tài)防御web 服務器設(shè)