網絡動態防御技術發展概況研究

一、引言

傳統的網絡安全防御思想是基于防火墻、入侵檢測系統、反病毒系統、身份認證技術、網絡安全風險檢測等技術手段建立縱深型立體網絡安全防御體系，保護網絡系統免遭惡意入侵破壞，其技術出發點是堵塞和消除被保護網絡系統中存在的脆弱性。

在網絡攻防的過程中，攻擊方不斷地推陳出新，始終占據著對抗過程中的主動，而防御方則陷入了疲于應對的被動局面。長期以來，網絡安全基本上都處于“易攻難守”的不對稱局面。造成這種局面的原因在于：一是傳統網絡的確定性、靜態性，使攻擊者具備時間優勢和空間優勢，能夠對目標系統的脆弱性進行反復的探測分析和滲透測試，進而找到突破途徑；二是傳統網絡的相似性，使攻擊者具備攻擊成本優勢，可以把同樣的攻擊手段應用于大量類似的目標。

由于新型網絡攻擊技術手段不斷涌現，網絡防御方不得不頻繁地更新升級網絡安全防御技術，筑牢加固網絡安全防御體系。隨著對抗手段自動化、智能化水平的不斷提高，單靠筑牢加固網絡安全防御體系已經不能適應網絡安全防御的實際需求，網絡動態防御技術逐漸引起人們的廣泛關注，被認為是改變網絡安全不對稱局面的革命性技術。

二、網絡動態防御的概念與分類

網絡安全漏洞的不可避免性和基于威脅特征感知防御方法的局限性迫使人們轉變防御思想，創新防御機制，以扭轉網絡空間“易攻難守”的被動局面。網絡動態防御旨在通過主動地重構系統來阻止或降低網絡攻擊的影響，其基本思想是通過動態地改變、偽裝目標網絡系統的特征，以增加攻擊代價，提高目標系統彈性，增強防御能力。

實際上，動態防御的思想由來已久，在《孫子兵法-虛實篇》中就有“攻而必取者，攻其所不守也；守而必固者，守其所不攻也。故善攻者，敵不知其所守；善守者，敵不知其所攻”的論述，充分體現了虛實結合、動態變化對于控制戰局的重要性。

2011年12月，美國國家科學技術委員會（NITRD）發布《可信網絡空間：聯邦網絡空間安全研發戰略規劃》，明確指出“針對網絡空間所面臨的現實和潛在威脅”，要突破傳統思路，發展“改變游戲規則”的革命性技術，開啟了網絡動態防御研究熱潮，涌現出了以移動目標防御（Moving Target Defense，MTD）、擬態防御（Cyberspace Mimic Defense，CMD）和網絡欺騙（Cyber Deception，CD）等為代表的網絡動態防御技術。

三、移動目標防御

移動目標防御的基本觀點認為絕對的安全是不可能實現的，因而更加關注如何使系統能夠在可能遭受損害的環境下連續地安全運行，并不追求建立一種完美無瑕的防御體系來對抗各種形式的攻擊。移動目標防御的思路是通過增加系統的隨機性、減少系統的可預見性來對抗同類型攻擊，通過有效降低其確定性、相似性和靜態性來顯著增加攻擊成本。通常的實現方式是通過變換系統配置，縮短系統配置屬性信息的有效期，使得攻擊者不能在有限時間內完成目標探測和攻擊代碼開發，同時降低收集的歷史信息的有效性，使探測到的信息在攻擊期間已失效。

移動目標防御技術可以在系統的不同層面、以不同的方式實現，總體上可以分為五大類：動態運行環境、動態軟件、動態網絡、動態數據、動態平臺。

（一）動態運行環境

動態運行環境指操作系統提供給應用程序的執行環境動態改變，其又分為地址空間隨機化和指令集隨機化兩類。地址空間隨機化指內存地址空間分布動態變化；指令集隨機化指操作系統提供給應用程序的接口動態變化。

地址空間分布排列（Address SpaceLayout Permutation, ASLP ）是典型的地址空間隨機化技術，主要用來防御緩沖區溢出攻擊。

G-Free是典型的指令集隨機化技術，主要用來防御ROP攻擊。G-Free使用特殊的編譯器編譯可執行文件，編譯時消除所有未對齊的自由分支指令，減少攻擊者可用的自由分支指令；同時對棧返回指針進行加密，當棧溢岀時，攻擊者無法向返回指針注入值。

（二）動態軟件

動態軟件指應用程序代碼動態變化，包括程序的指令及指令的順序、組合和格式等。

主動模糊（Proactive Obfuscation ）是典型的動態軟件技術。主動模糊用來防御對網絡可見服務的緩沖區溢出攻擊和其他注入攻擊。對特定的可執行文件，注入攻擊的方法是特定的，主動模糊技術對每種服務的可執行文件隨機創建多個不同的副本，當服務接收到一個請求，每個副本都進行處理，如果大多數副本接受這個請求，服務才會對請求進行響應。

（三）動態網絡

動態網絡指網絡配置及屬性動態變化，包括IP地址、端口號、系統指紋以及響應行為等。按照不同的角度，可以將動態網絡技術劃分為不同的類型。

（1）根據參與者不同，可以分為兩類：單向動態變化和雙向動態變化。單向動態變化指只有服務端的配置信息進行動態變化；雙向動態變化指通信過程中通信雙方的配置信息都進行動態變化。

（2）根據變化的內容不同，可以分為端口跳變、IP地址突變、隨機指紋、路由突變等，各項變化都有其自身的使用環境和防護特點。

（3）根據是否改變真實配置信息的不同，可以分為兩類：一是改變真實信息，如服務的端口改變，主機的真實IP地址改變等；二是攔截覆蓋虛擬信息，通過某種方式攔截進出的數據包，將端口、地址等相關信息進行隨機修改，但不改變主機的真實配置信息。

SDN-MTD是一種基于軟件定義網絡（SDN ）實現的移動目標防御系統，基本實現了常用配置信息的動態變化。其主要功能包括：主機存活性和端口隨機、服務版本和操作系統指紋隱藏、IP地址突變。主機存活性和端口隨機用來抵御網絡踩點和掃描；服務版本和操作系統指紋隱藏用來抵御操作系統指紋及漏洞探測；IP地址突變用來抵御網絡蠕蟲和拒絕服務攻擊。

（四）動態平臺

動態平臺指軟硬件平臺的屬性動態變化，包括操作系統及其版本、CPU架構、平臺數據格式等。

可信動態邏輯異構系統（Trusted Dynamic Logical Heterogeneity System，TALENT ）是一種典型的動態平臺技術。TALENT用來防御注入攻擊、網絡掃描和供應鏈攻擊（Supply Chain Attacks ）。TALENT通過運行一個關鍵的應用程序來改變硬件平臺和操作系統，從而提供平臺多樣性。這種技術使用操作系統級虛擬化容器和一種便攜檢測點編譯器來創建一個虛擬的執行環境，使正在運行的應用程序在不同的平臺間遷移，同時保持程序的狀態。這些平臺以不同的操作系統、硬件、架構、庫進行部署。

（五）動態數據

動態數據指應用程序數據的格式、句法規則、編碼方式和表示形式動態變化。

數據隨機化（Data Randomization）是典型的動態數據技術。該技術通過將存儲于內存的所有數據進行隨機化來防御注入攻擊。這種技術在受保護的系統上部署一個編譯器，系統程序必須用該編譯器進行編譯。在隨機化過程中，系統程序讀寫內存的所有數據將與一個隨機密鑰異或，與同一對象相關的操作數歸為一組，每組隨機使用不同的密鑰，這些組在編譯時由編譯器通過靜態分析建立。

四、擬態防御

擬態防御是以鄔江興院士為代表的國內研究人員受自然界生物自我防御的擬態現象的啟迪，提出的一種網絡空間新型動態防御技術，旨在通過擬態防御構造的內生機理提高信息設備或系統的抗攻擊能力。之所以稱為擬態防御，是因為其機理上與擬態偽裝相似，都依賴于擬態構造。擬態構造把可靠性、安全性問題歸一化為可靠性問題處理。對于擬態防御而言，目標對象防御場景處于“測不準”狀態，任何針對執行體個體的攻擊首先被擬態構造轉化為群體攻擊效果不確定事件，同時被變換為概率可控的可靠性事件，其防御有效性取決于“非配合條件下動態多元目標協同一致攻擊難度”。

在工程制造領域中，經常采用異構冗余的方法來增強目標系統的可靠性，其經典應用范例是“非相似余度構造”（Dissimilar Redundancy Structure, DRS）。DRS構造能夠發現和處理一些由宕機錯誤或拜占庭錯誤（即偽造信息惡意響應）造成的異常，具有一定程度的抗攻擊效果。然而，DRS構造本質上仍是靜態和確定的架構，各執行體的運行環境以及相關漏洞或后門的可利用條件也是固定不變的，多元執行體的并聯配置方式并不會影響攻擊表面的可達性，這使得攻擊者有可能通過反復試錯攻擊找到多元執行體漏洞或缺陷的交集，從而實現攻擊。

擬態防御的基本思想是通過組織多個冗余的異構功能等價體來共同處理外部相同的請求，并在多個冗余體之間進行動態調度，彌補網絡信息系統中存在的靜態、相似和單一等安全缺陷，其核心是動態異構冗余（Dynamic Heterogeneous Redundancy，DHR）構造。DHR構造通過在DRS構造中引入基于閉環負反饋控制機制和MTD動態思想實現，理論上能夠改變其構造場景的靜態性、相似性以及運行機制的確定性。DHR構造具有內生的抗攻擊特性，在網絡空間安全領域的研究與應用越來越廣泛。DHR構造的組成如圖1所示。

輸入代理需要根據負反饋控制器的指令將輸入序列分發到相應的多個異構功能等價體；異構執行體集合中接收到輸入激勵的執行體，在大概率情況下能夠正常工作且獨立地產生滿足給定語義和語法的輸岀矢量；多模裁決器根據裁決參數或算法生成的裁決策略，研判多模輸出矢量內容的一致性情況并形成輸出響應序列，一旦發現不一致情況就激活負反饋控制器；負反饋控制器被激活后將根據控制參數生成的控制算法決定是否要向輸入代理發送替換異常執行體的指令，或者指示“輸出異常”執行體實施在線或離線清洗恢復操作等。

擬態防御的DHR構造具有以下特點：一是不確定性威脅感知能力，能顯著地降低攻擊鏈的可靠性；二是顯著增加多模裁決協同逃逸難度，動態異構環境降低漏洞可利用性。

從基本實現思想來看，擬態防御也具有移動目標防御的動態、隨機和多備選等屬性，但同時又具有相對獨立完整的理論基礎，因此可以認為擬態防御是移動目標防御的一種系統化、體系化實現。

當前，擬態防御技術在理論研究與產業化方面都取得了較大發展，發布了包括擬態域名服務器、擬態路由器、擬態Web服務器、擬態防火墻等在內的系列化產品，并進行了安全性的公開測試。

五、網絡欺騙

網絡欺騙是一種通過在己方網絡信息系統中布設騙局，干擾、誤導攻擊者對己方網絡信息系統的感知與判斷，誘使攻擊者做出對防御方有利的決策或動作，從而達到發現、延遲或阻斷攻擊者活動的動態防御技術。

網絡欺騙主要利用了攻擊者一般需要依據網絡偵察獲取的信息來決定下一步動作的特點，通過干擾攻擊者的認知以促使其采取有利于防御方的行動。網絡欺騙的本質特征是通過布設騙局干擾攻擊者對目標網絡的認知，因此欺騙環境的構建機制是其關鍵所在。按照欺騙環境的構建方式可以將網絡欺騙技術分為掩蓋欺騙、混淆欺騙、偽造欺騙、模仿欺騙等4大類。

掩蓋欺騙通過消除特征來隱藏真實的資源，防止被攻擊者發現。典型的掩蓋欺騙技術有網絡地址變換，通過周期性地重新映射網絡地址和網絡系統之間的關系改變網絡的外在特征，以限制攻擊者掃描、發現、識別和定位網絡目標的能力。

混淆欺騙通過更改系統資源的特征使得系統資源看上去像另外的資源，從而挫敗攻擊者的攻擊企圖。具體的混淆策略包括使真實系統具有“蜜罐”的特征從而嚇阻攻擊者，使受保護的操作系統對遠程探測工具表現出其他操作系統的特性等。

偽造欺騙通過采用真實系統或網絡資源構建欺騙網絡環境，并偽造資源吸引攻擊者的注意力，從而發現攻擊或者消耗攻擊者的時間。偽造欺騙的典型實現技術有高交互“蜜罐”、蜜標等。

模擬欺騙則是通過軟件模擬的方式構造出資源的特征，誘騙攻擊者訪問。Deception Tool Kit （ DTK）是一種典型的模擬欺騙實現，DTK綁定系統未使用的端口，被動地等待連接，并記錄訪問信息。模擬欺騙的逼真度與機密性較低，不適于對攻擊者行為的長期觀察，但是因其占資源少且幾乎不會帶來風險，因此可以在業務主機上部署。

六、結語

網絡動態防御是為了應對越來越嚴峻的網絡空間安全形勢而逐步發展起來的創新性網絡防御技術體系，為打破長期存在的“易攻難守”不對稱局面提供了可能，將使未來的網絡攻防難易程度趨于平衡。網絡動態防御的思想由來已久，在許多網絡安全技術中都有所體現，但作為系統化的網絡安全防御體系被提出的時間并不長。當前，網絡動態防御的發展主要有移動目標防御、擬態防御和網絡欺騙3個分支，分別從攻擊面變換、架構內生安全和資源偽裝等角度提高攻擊的復雜度和代價，從而增強系統安全防御能力。各分支的技術之間不僅沒有嚴格的界限，相互間甚至可以進行融合，構造出更加安全的網絡動態防御體系架構。

 

（原載于《保密科學技術》雜志2020年6月刊）