一種面向網絡擬態防御系統的信息安全建模方法*

常 簫，張保穩,2，張 瑩

（1.上海交通大學 電子信息與電氣工程學院，上海 200240；2.上海市信息安全綜合管理技術研究重點實驗室 上海 200240）

0 引 言

隨著互聯網的飛速發展，一方面諸如軟件自定義網SDN﹑物聯網等新型網絡系統不斷應運而生，另一方面社交工程﹑APT等新的網絡安全攻擊方式也正在成為網絡攻防關注的焦點。傳統的網絡系統多數使用靜態構架，無法有效抵御攻擊者的持續探測與攻擊，導致網絡態勢呈現易攻難守的局面。針對當前攻擊成本和防御成本的嚴重不對稱現狀，國內外研究人員開始著力探索移動目標防御等新的安全防御機制。其中，國內鄔江興院士面對這種“易攻難守”的網絡現狀，提出了“改變游戲規則”這一防御理念，用“擬態防御系統”來防御“未知的漏洞”[1]。

擬態防御是一種新的防御手段，是模仿生物界中的“擬態現象”，通過外在的多樣性或多變性來表達隱匿自己，從而達到防御的效果。擬態防御是一種主動防御，與傳統的靜態防御方法有著極大的不同。它具有動態性﹑異構性﹑多樣性等特性，通過阻撓攻擊者獲取信息和破壞攻擊者攻擊路徑，有效起到防御作用。由于引入了上述特性，擬態防御系統的安全性問題無法完全套用常規信息系統的既有研究方法。

本文介紹擬態防御的機理和體系架構，接下來歸納和總結現有擬態防御系統的安全問題研究進展，提出了一種基于本體的擬態防御系統安全建模方法，并通過測試用例說明了該模型用于防御系統安全檢查的流程，同時驗證了其有效性。

1 擬態防御系統機理簡介

1.1 擬態防御機理

擬態安全防御技術是針對網絡空間攻擊成本和防御成本的嚴重不對稱性提出的一種安全策略。通過異構性﹑多樣性改變系統的相似性﹑單一性，利用動態性﹑隨機性改變系統的靜態性﹑確定性，利用非相似余度空間阻斷或擾亂網絡攻擊，以達成系統安全風險可控的要求。

具體而言，擬態防護以異構的相同相似執行體構成核心功能，以動態冗余構架實現動態性和隨機性，使內部執行體處于不斷變化的狀態中，大幅強了功能表征的不確定性，使攻擊者的探測感知或預測防御行為與特征的難度呈非線性增加，使得系統的復雜性前所未有，從而使攻擊者利用系統漏洞極端困難[1]。

擬態防御包含復合調度與擇多裁決﹑隨機化/動態化﹑迭代與疊加﹑相異性設計與動態異構冗余構造等機制，而這些機制又共同構成擬態防御系統整體的防御功能。

1.2 動態異構冗余機制

動態異構冗余（Dynamic Heterogeneous Redundancy，簡稱DHR系統）是擬態防御系統的核心機制。如圖1所示，DHR系統一般由輸入代理﹑異構元素池﹑異構構件集﹑動態選擇算法﹑動態選擇算法﹑執行體集和表決器組成[2-4]。

圖1 DHR系統結構

輸入代理：輸入代理進行輸入處理，保證把每個輸入分別發送給不同的執行體，以避免出現協同。

異構元素池：所有用于組成系統構件的異構元素集，它們之間遵循著異構原則，盡可能使元功能正交，從而由它們組成系統功能的異構構件。

異構構件集：用異構元素池中的元素組成異構同功能系統構件，用于被選擇作為執行體的儲備池。

動態選擇算法：通過動態選擇算法隨機獨立選擇異構構件集中的構件組成執行體，進行功能實現。

執行體集：由動態選擇算法選擇異構構件的集合，每一個執行體都獨立接收輸入代理的輸入進行處理，并把輸出發送給表決器。

表決器：采取多模裁決方式，把從執行體收集到的所有結果整合進行多模判決，把相同結果最多的結果作為系統的結果進行輸出。

擬態防御系統通過動態選擇算法選出若干異構構件組成執行體集，通過輸入代理把輸入分別輸入每個執行體，再通過多模裁決進行判斷系統的輸出。該構架的優點在于，每個實現功能的執行體都是隨機選擇的，每個執行體都由異構元素池隨機組合，這將使系統處于不斷變化中，對外呈現極大的不確定性，且構架本身可以迭代與疊加，極大地提高了攻擊者攻擊的復雜度，有效破壞了攻擊者的持續探測行為。

2 擬態防御安全問題相關研究

目前，國內外擬態防御安全問題相關研究尚處于起步階段。張錚等[5]構建了基于擬態防御原理的web服務器，通過把web服務器軟件分配到非相似虛擬機池中構建資源池實現擬態化，并對擬態web服務器進行了性能測試﹑DIL模塊化性能測試﹑系統整體性能測試﹑HTTP通信協議一致性測試﹑擬態防御原理功能測試﹑兼容性測試﹑滲透測試﹑掃描檢測﹑SQL注入攻擊測試﹑服務器軟件漏洞測試﹑命令注入測試，最終證明了擬態方法的合理有效性。

3 基于本體的擬態安全防護模型

3.1 本體的概念與相關知識

本體是研究世界上各種實體及其相互關聯關系建模的科學[7]。本體通過形式化的統一術語與術語之間的關系，使原本孤立的術語相互聯系，完整地描述術語構成的領域的概念。同時，構成的本體可在這種概念之內進行邏輯推理和查詢[8-9]。

本體一般基于類及其類間關系來描述實體進行建模。本文使用protégé和OWL語言類構筑模型，如圖2所示[10]。在OWL語言中，主要包括Classes（類）﹑Individuals（實例）﹑Properties（關系），其中Properties又包括Object Properties（類之間的關系）和Datatype Properties（類與數據之間的關系）。

圖2 擬態防御本體模型

3.2 擬態本體類及其語義

結合擬態防御原理，本文構建的主要擬態本體類及其語義具體如下。

信息系統組件ISComponents：信息系統組件包括信息系統機器構成的各層次組件。這些信息系統組件包括（但不限于）各類信息系統﹑服務器﹑網絡﹑硬件﹑軟件﹑協議等，擬態機理可以用于各個層次的信息系統組件的實現。

擬態防御體MDB：擬態防御體是一個信息系統組件，內含多個動態異構冗余執行體，通過動態異構冗余機制和多模裁決機制實現其核心功能。擬態防御體的動態異構冗余執行體自身也可以通過擬態機制實現，即擬態防御體允許通過彼此疊加﹑自身嵌套等機制構成新的擬態體。

動態異構冗余執行體DHRE：一組具有等價功能輸出的異構的信息系統組件，彼此功能冗余，通過多模裁決模塊對外提供功能服務。根據定義2可知，DHRE本身可能是一個擬態防御體，具備嵌套機制，如果DHRE內部不再含有DHRE，則稱DHRE為擬態基元組件，簡稱AHRE。

安全弱點Security Vulnerabilities：存在于信息組件上的安全缺陷﹑漏洞或后門。攻擊者可能利用安全弱點發動攻擊，損害信息組件的安全屬性甚至獲取其控制權。

可利用的安全弱點ESV：擬態防御系統存在一條或多條發起于攻擊面的攻擊路徑，位于攻擊路徑上的安全弱點成為可利用安全弱點。

可持續利用指數(ESI)為農業生態系統凈能值產出率NEYR與環境負載率ELR之比，用來說明生態經濟系統的可持續性，一般該指標數值處于1～10之間，數值過大說明對資源的利用不夠，過小又預示著系統因環境負載率較高而處于耗竭狀態。2001-2010年河南省農業生產可持續利用指數處于3.15～5.99之間，說明其農業生態經濟系統具有較強的可持續發展能力。從時間變化趨勢上看，近年來河南省可持續利用指數數值呈現顯著下降趨勢，說明其農業發展的可持續性有所降低，農業生產存在一定只用不養的掠奪式經營成分。

3.3 擬態本體及其類間關系建模

在具體進行擬態本體模型構建時，如圖2所示，本文把擬態模型分為了四大本體類，并定義了它們之間的關系。

Vulnerability本體類代表安全漏洞。ESV是Vulnerability的子類，存放著所有位于攻擊面上的漏洞。Vulnerability和Attack Surface是onAttackSurface的關系。

ISComponents本體類代表信息系統組件。Application﹑Network﹑Host﹑MDB均是它的子類，MDB是IS Components上應用的擬態防御構件，MDB擁有DHREpool和DHRE兩個子類，DHREpool是MDB中異構構件集的類，DHRE是MDB中異構執行體的類，MDB和DHRE之間具有contains關系。同理，AHREpool和AHRE與DHRE的關系類似。

PropertiesOfMDB本體類代表MDB的屬性。Output﹑AttackSurface﹑RS是PropertiesOfMDB的子類。Output是MDB所有輸出的類。本文中輸出只有true和false兩種輸出，即當系統被攻破時輸出為false。AttackSurface是MDB上某時段暴露出的攻擊面的類。RS是MDB所用的選擇算法的類。

Attacker代表攻擊者本體類。CompromisedIS本體類代表被攻破的系統組件，是異構執行體超過半數被攻破的MDB的集合。它既是MDB的子類也是ISComponents的子類。

對于擬態防御的建模，如 圖3所示。由RS算法從DHREpool中選出至少3個DHRE組成MDB，數據輸入MDB，由MDB輸入到每個DHRE。每個DHRE產生各自的輸出，通過多模裁決（即選取最多相同者）決定最終MDB的輸出。

圖3 MDB模型概念圖

對攻擊者的建模，如圖4所示。

圖4 安全攻擊建模

每個DHRE上都可能存在漏洞，其中漏洞的等級也不盡相同。攻擊者對每個DHRE進行攻擊時，當且僅當這個DHRE的漏洞危險等級是high的時候，視為攻擊者可以攻破該DHRE，使DHRE的輸出由true轉為false，而這個DHRE視為CompromisedDHRE。對MDB而言，如果CompromisedDHRE超過組成MDB的DHRE多模裁決下限，則MDB的輸出由true轉為false，這個MDB視為CompromisedMDB。

4 測試用例

為了說明本文安全模型的應用方法，本文選取了主機層面的擬態架構來進行擬態系統testMDB的安全校驗。其中，擬態系統的DHRE池由不同類型的操作系統組成。具體而言，testMDB的DHRE池子包含Unix平臺的unixDHRE﹑Windows平臺的windowsDHRE和Linux平臺的linuxDHRE。其中，linuxDHRE平臺上存在有Bufferoverflow高危漏洞。在unixDHRE有一個FTP擬態對象，其DHRE池子里的FTP執行體分別為Tnftp﹑Vsftpd﹑Wuftpd。其中，在Tnftp和Vsftpd上存在Bufferoverflow高危漏洞。該測試用例本體關系見圖5，其具體配置如表1所示。

圖5 測試案例實例關系

表1 測試案例安全配置

為了模擬攻擊場景，本模型使用SWRL設計了對應的安全攻防規則。

攻擊者能力規則：

attacker(?x)^attackers(?x,?z)^DHRE(?y)^DHRE(?z)^contains(?y,?z)->attacks(?x,?y)attacker(?x)^attackers(?x,?z)^MDB(?y)^DHRE(?z)^contains(?y,?z)->attacks(?x,?y)

語義：如果攻擊者攻擊MDB上的DHRE，則攻擊者攻擊此MDB。

判斷這個漏洞是否是一個ESV：

Vnlnerability(?x)^AttackSurface(?y)^onAttackSurfac e(?x,?y)->ESV(?x)

語義：如果這個漏洞位于DHRE的攻擊面上，則這個漏洞是這個DHRE的ESV。

攻擊者攻破執行體﹑改變狀態和輸出：

Attacker(?x)^attackers(?x,?y)^DHRE(?y)^MDB(?a)^Contains(?a,?y)^hasVulnerability(?y,?z)^ESV(?z)^Vulner abilityLevel(?z,“high”)→HasCompromisedDHRE(?a,?y)^DHREoutput(?y,false)

語義：如果攻擊者攻擊MDB上的DHRE，且此DHRE擁有ESV，那么這個DHRE視為被攻破的DHRE，DHRE的輸出為false。

多模裁決機制：

MDB(?x)^HalfNumbersOfDHRE(?x,?y)^NumbersO fCompromisedDHRE(?x,?z)^Swrlb∶greaterThan(?z,?y)->MDBoutput(?x,false)

語義：如果被攻破的DHRE多于MDB的DHRE的半數，則MDB的輸出為false，視為MDB被攻破。

在上述安全配置和規則下，啟用protégé推理機進行推理，發現其推理過程具體如下：

①攻擊者攻擊unixDHRE上的tnftp﹑vsftpd﹑wuftpd和linuxDHRE；

②由于tnftp和vftpd包含緩沖區溢出高危漏洞并暴露在攻擊面上，則tnftp和vsftpd的輸出由true轉變為false，tnftp和vsftpd視為CompromisedDHRE；

③由于linuxDHRE上也有高危漏洞并暴露在攻擊面上，linuxDHRE的輸出也由true轉變為false，linuxDHRE視為CompromisedDHRE；

④由于tnftp和vsftpd是unixDHRE的DHRE，且超過了總執行體的半數，所以unixDHRE被攻破，UnixDHRE的輸出由true轉為false，unixDHRE視為CompromisedDHRE；

⑤由于unixDHRE和LinuxDHRE被攻破，則testMDB也被攻破；

⑥CompromisedIS下出現被攻破的testMDB和unixDHRE。

具體推理結果截圖如圖6所示。

圖6 測試用例推理結果

如圖6所示，CompromisedIS下出現了testMDB和unixDHRE兩個實例，均為推理過程生成。說明在多模裁決機制下，當攻擊者攻克異構執行的數目不少于多模裁決的下限閾值時，擬態防御系統會被攻破，與測試用例的安全配置情況相符。

5 結 語

作為一種新型安全防御機制，網絡擬態防御的安全建模和評估問題研究尚處于起步階段。本文提出了一種使用本體對擬態防御系統CMD進行建模的方法，不僅可以清晰刻畫CMD和DHRE的內部組件關系，而且在該模型中納入了安全漏洞和攻擊面等本體安全類。測試用例表明，利用該模型，輔以通過SWRL編寫的對應安全攻防規則，可以通過本體以邏輯推理的形式，有效完成CMD系統的安全性判斷。

[1] 鄔江興.網絡空間擬態防御研究[J].信息安全學報,2016,1(04):1-10.

WU Jiang-xing.Study on Network Space Mimicry Defense[J].Journal of Information Security,2016,1(04):1-10.

[2] 扈紅超,陳福才,王禛鵬.擬態防御DHR模型若干問題探討和性能評估[J].信息安全學報,2016,1(04):40-51.

HU Hong-chao,CHEN Fu-cai,WANG Zhen-peng.Performance Evaluations on DHR for Cyberspace Mimic Defense[J].Journal o f Information,2016,1(04):40-51.

[3] 馬海龍,伊鵬,江逸茗等.基于動態異構冗余機制的路由器擬態防御體系結構[J].信息安全學報,2017,2(01):29-42.

MA Hai-long,YI Peng,JIANG Yi-ming,et al.Dynamic Heterogeneous Redundancy based Router Architecture with Mimic Defenses[J].Journal of Information,2017,2(01):29-42.

[4] 鄔江興.擬態計算與擬態安全防御原理的原意和愿景[J].電信科學,2014(07):2-7.

WU Jiang-xing.Meaning and Vision of Mimic Computing and Mimic Security Defense[J].Telecommunications Science,2014(07):2-7.

[5] 張錚,馬博林,鄔江興.web服務器擬態防御原理驗證系統測試與分析[J].信息安全學報,2017,2(01):13-28.

ZHANG Zheng,MA Bo-lin,WU Jiang-xing.The Test and Analysis of Prototype of Mimic Defense in Web Servers[J].Journal of Information,2017,2(01):13-28.

[6] 馬海龍,江逸茗,白冰等.路由器擬態防御能力測試與分析[J].信息安全學報,2017,2(01):43-53.

MA Hai-long,JIANG Yi-ming,BAI Bing,et al.Tests and Analyses for Mimic Defense Ability of Routers[J].Journal of Information,2017,2(01):43-53.

[7] 張宇一,張保穩.基于本體的RBAC建模及其應用研究[J].通信技術,2017,50(01):102-108.

ZHANG Yu-yi,ZHANG Bao-wen.Ontology-based RBAC Model and Its Application[J].Journal of Informati on,2017,50(01):102-108.

[8] 高建波,張保穩,陳曉樺.安全本體研究進展[J].計算機科學,2012,39(08):14-41.

GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua.Research Progress in Security Ontology[J].Computer Science,2012,39(08):14-41.

[9] Donner.Toward A Security Ontology[J].IEEE Security &Privacy,2003,1(03):6-7.

[10] Bechhofer S.OWL:Web Ontology Language[J].Springer US,2009,63(45):990-996.