現代計算機網絡中包括各種各樣的設備和軟件。這些設備和軟件存在着大量的未知和已知漏洞,漏洞是安全問題的根本,在漏洞面前,攻守雙方並不平等,一個弱點被黑客利用,最終可以導致危險在整個網絡擴散。漏洞具有的高威脅性、突發性、高破壞性、大規模性的主要特點。地下黑市交易的零日漏洞、廠商設置的後門漏洞以及網絡間諜的APT攻擊威脅着國家、企業和個人的網絡安全。
2017年2月,360互聯網威脅情報中心發佈《2016年中國互聯網安全報告》,報告詳細披露了我國當前面臨的嚴峻網絡安全形勢,認爲我國政企機構需重視APT、DDoS以及工業互聯網等三大安全威脅。中國成爲全球網絡攻擊的第一目標國。報告認爲,網絡空間目前已經成爲大國博弈的新戰場。日益頻繁的APT等網絡攻擊,正在導致政企行業機密情報被竊取、工業系統被破壞、金融系統遭受經濟損失,甚至對地緣政治產生影響。
2017年5月12日,中國、英國、意大利、俄羅斯等100多國爆發WannaCry勒索病毒攻擊,並迅速蔓延,中毒的機器中的磁盤文件會被加密,只有繳納高額贖金(有的要比特幣)才能解密資料和數據。我國大量行業企業內網大規模感染:大批高校出現感染情況,造成了教學系統癱瘓,衆多師生的電腦文件被勒索病毒加密;國內多地公安網系統受影響癱瘓;多地中石油加油站加油無法網絡支付;部分醫院因爲受到攻擊延遲了手術。此次勒索病毒爆發是由於美國國家安全局(NSA)旗下“方程式黑客組織”所使用的部分網絡武器被公開導致,其中包括可以遠程攻破全球約70% 使用Windows系統機器的漏洞利用工具。不法分子正是其中一款工具——“永恆之藍”進行攻擊。2017年6月27日,代號爲“Petya”的病毒在全球多國肆虐。這一系列事件爲我們敲響了網絡安全的警鐘。
▲犯罪分子將使用機器學習技術進行自動化攻擊和繞過檢測。近年來不斷紕漏的網絡安全事件及由此帶來的嚴重後果也逐漸暴露了傳統的網絡安全防禦技術存在的問題,凸顯了傳統防禦技術難以有效抵禦系統未知的軟硬件漏洞的攻擊,難以預防潛在的各類後門攻擊,難以有效應對各類越來越複雜和智能化的滲透式網絡入侵
傳統防禦的不足之處
傳統的網絡安全防禦思想是在現有網絡體系架構的基礎上建立包括防火牆和安全網關、入侵檢測、病毒查殺、訪問控制、數據加密等多層次的防禦體系來提升網絡及應用的安全性。傳統防禦技術都是基於靜態網絡配置下的,即網絡中的節點地址、網絡結構、網絡協議等均固定不變,這些配置信息一旦被入侵者蒐集得到,就可以根據網絡特點有針對性地入侵,達到事半功倍的效果。再者,傳統防禦的思想是根據已知病毒的數據、代碼、行爲等特徵對攻擊進行識別,對於未知的0day漏洞、後門漏洞沒有有效的解決方案,往往攻擊發生之後,經過安全審計纔有可能發現攻擊的線索,然後再進行亡羊補牢。
據統計,95%以上的企業只能通過外部通報或看到顯著損失後才能發現其自身正在面臨的網絡威脅。新型的技術也不斷被黑客利用,《邁克菲實驗室2017威脅預測報告》中寫道,犯罪分子將使用機器學習技術進行自動化攻擊和繞過檢測。近年來不斷紕漏的網絡安全事件及由此帶來的嚴重後果也逐漸暴露了傳統的網絡安全防禦技術存在的問題,凸顯了傳統防禦技術難以有效抵禦系統未知的軟硬件漏洞的攻擊,難以預防潛在的各類後門攻擊,難以有效應對各類越來越複雜和智能化的滲透式網絡入侵。
動態防禦 改變遊戲規則的主動防禦
美國國家技術委員會在2011提出了“移動目標防禦”(MTD)的概念,也有學者將MTD技術稱爲“動態防禦技術”、“動態彈性安全防禦技術”或者“動態賦能網絡防禦技術”。動態防禦不同於以往的網絡安全研究思路,它旨在部署和運行不確定、隨機動態的網絡和系統,讓攻擊者難以發現目標。動態防禦還可以主動欺騙攻擊者,擾亂攻擊者的視線,將其引入死衚衕,並可以設置一個僞目標/誘餌,誘騙攻擊者對其實施攻擊,從而觸發攻擊告警。動態防禦改變了網絡防禦被動的態勢,改變了攻防雙方的“遊戲規則”,真正實現“主動”防禦。
美國政府和美軍將動態防禦技術作爲網絡安全研究的重點。以美國爲主的一些研發團隊紛紛投入到MTD技術的先期研發當中。例如,美國堪薩斯州大學2012年開始的“自適應計算機網絡”項目,開啓了MTD學術研究活動的先河。佛羅里達理工學院2013年與美國防部簽訂了總金額190萬美元、爲期3年的合同,引領一個全新的網絡安全研究項目———設計、實現一個用於計算機網絡移動目標防禦管理和協調的指揮控制框架。美國陸軍在2012年投資310萬美元,授予雷聲公司基於移動目標防禦技術的變形網絡項目。美國空軍致力於在2015年~2020年,用5年的時間將移動目標防禦技術與現有指揮框架集成。西北太平洋國家實驗室(PNNL)開發了基於蟻羣社會性行爲的分散式協同網絡架構,支持移動目標防禦。這些團隊取得了MTD技術的很多新進展,包括自適應計算機網絡、IPv6移動目標防禦和變形網絡等等。
自從美國提出MTD的概念,動態防禦技術已經成爲網絡安全理論研究的熱點和技術的制高點。國際上許多網絡安全研究機構都正在研究基於動態防禦的理論和技術,比較著名的有美國SCIT實驗室、IBM公司沃森實驗室、美國麻省理工大學、堪薩斯州立大學、加州大學、弗吉尼亞大學、卡內基-梅隆大學、哥倫比亞大學、以及喬治·梅森大學。
我國也對動態防禦技術進行了重點研究,鄔江興院士提出了網絡空間擬態防禦(CMD)思想。CMD理論在可靠性領域非相似餘度架構基礎上導入異構冗餘動態重構機制,造成在功能不變條件下,目標對象內部的非相似餘度構造元素始終在作數量或類型、時間或空間維度上的策略性變化或變換,用不確定防禦原理來對抗網絡空間的確定或不確定威脅。
美國阿貢國家實驗室2016年3月22日報道,更多的動態防禦技術被美國國家專利局授權。2015年美國新型動態防禦公司吸引到投資界的關注,動態防禦概念的3家公司獲得超過5000萬美元的融資。其中,CrowdStrike(動態防禦概念)獲得3000萬美元天使輪融資,Morphisec獲得800萬美元融資,ShapeSecurity獲得2600萬美元融資。北京衛達科技有限公司將動態防禦技術應用到內網防禦、邊界防禦、工控防禦、DDos防禦、web應用防禦、雲安全等應用場景,研發了6個系列的產品。
動態防禦的系統架構
一種隨機變化形式的動態防禦系統頂層結構,如圖1所示。該防禦系統會形成隨機的變化。形成隨機適配的關鍵基礎是“邏輯任務模型”,該模型按網絡的功能需求捕獲物理網絡當前狀態的概貌。其驅動器就是“適配引擎”,它以隨機的時間間隔,定製網絡配置的隨機變化。變化由“配置管理器”實施,它負責控制“物理網絡”的配置。
圖1顯示的是一個完整的智能動態防禦系統的結構組成。“適配引擎”對物理網絡輸入隨機變化參數,使網絡狀態進行隨機變化,“分析引擎”能夠從“物理網絡”獲取實時事件、從“配置管理器”獲取當前的配置,確定可能的脆弱性和正在進行的攻擊。“適配引擎”擴展功能是觀察網絡當前狀態以及安全狀態,和“邏輯安全模型”捕獲的一樣。“邏輯安全模型”也由2個運行時間模型組成:一個是目標模型,一個是系統脆弱性模型。
目前對動態彈性安全防禦思想的解釋,主要從系統攻擊面和攻擊生存期來進行理解。系統通過改變自身各種資源配置、系統屬性,向攻擊者呈現不斷變化的攻擊面,使攻擊者更難發起有效的攻擊。攻擊者制定有效攻擊方案所需的時間較長,當建立攻擊模型時,系統在這段時間已經發生足夠的變化,這些變化足以破壞攻擊模型的有效性。關於系統攻擊面(系統安全指標,攻擊面越大,系統越不安全),從直觀上看,攻擊面是攻擊系統時使用的系統資源(程序、通道和數據)的子集。同時,防禦者可以不斷轉移系統攻擊面,以增加攻擊者利用系統漏洞的難度。防禦者轉移攻擊面示意圖如圖2所示。圖2中,若防禦者轉移系統的攻擊面,則原本有效的攻擊,如攻擊1,可能將不復存在。爲此,攻擊者需要花費更多心思使原來的攻擊重新有效或尋求新的攻擊途徑,如攻擊4。
圖3顯示了攻擊生存期示意圖。在時刻時間t0,系統防禦者生成防禦方案k0,並啓動多樣化服務STk0。te定義爲攻擊者從開始發動攻擊到系統受損之間的時間,也可以認爲攻擊者從服務器獲得祕密賬戶信息所需要的時間。
從圖3可以看出,對於一次成功攻擊,從探測到攻擊完成總用時t1+te<tk0,在服務sTk0結束之前就完成了攻擊過程。而對於一次受挫攻擊,從探測到攻擊完成總用時t2+te>Tk0,在服務STk0結束之前未能完成攻擊過程。
通過上述模型,我們可以看出:動態防禦使系統防禦者以可控的方式隨機的改變系統配置和結構,可以增加系統的不確定性和複雜度,從而增加攻擊者的攻擊複雜度和攻擊花銷,限制系統漏洞的暴露和遭受攻擊的機會,增加系統的彈性。
動態防禦的關鍵技術
動態防禦技術是以保護信息系統中的某種實體爲目的。一般來說,信息系統中的實體主要包括軟件、網絡、計算平臺與數據等。下面我們從軟件、網絡、平臺與數據層四個層面對現有的動態防禦關鍵技術進行了梳理。
軟件動態防禦技術
軟件動態防禦技術是指動態更改應用程序自身及其執行環境的技術。相關的技術主要有地址空間佈局隨機化(ASLR)、指令集隨機化技術、就地代碼隨機化技術、軟件多態化技術等。
地址空間佈局隨機化是爲了防止攻擊者在內存中能夠可靠地對跳轉到特定利用函數,隨機排列程序的關鍵數據區域的位置,包括可執行的部分、堆、棧及共享庫的位置,Linux和Windows操作系統已經廣泛應用了地址空間佈局隨機化技術。
指令集隨機化是一種通過掩蓋目標的指令集應對代碼注入攻擊的動態防禦方法,隨機化指令集不僅能夠阻止代碼注入攻擊,而且能夠降低網絡蠕蟲利用某一漏洞進行大規模擴散的可能性。
基於編譯器的軟件多態化主要包含了MVEE和MSSD兩類技術,這兩類技術都依賴於自動化的編譯器產生功能相同但代碼不同的程序。MVEE屬於運行時的技術,其原理是一個程序構建多個變體,系統接收到的輸入同時被送給所有的變體,這就使得入侵者幾乎不可能針對所有的變體設計不同的入侵程序,然後在系統監控中比較所有變體的輸出,如果輸出不同,則預示着系統可能受到了入侵。MSSD是一種大規模的靜態的軟件多態化技術,其基本原理是,如果同一個軟件產品可以有不同的副本(這些副本都可以實現相同的功能),那麼入侵者要麼對所有的副本進行研究,找出每一個副本的漏洞,然後入侵;要麼找到一個非常巧妙的方法和漏洞,能夠同時入侵不同的副本,這就增大了入侵者的入侵難度,能夠更好地保護系統和軟件的正常運行。
網絡動態防禦技術
網絡動態防禦是指在網絡層面實施動態防禦,具體是指在網絡拓撲、網絡配置、網絡資源、網絡節點、網絡業務等網絡要素方面,通過動態化、虛擬化和隨機化方法,破除網絡配置的靜態性、確定性和相似性,提升攻擊者進行網絡探測和內網節點滲透的難度,進一步阻礙入侵者掃描、發現和滲透網絡。
美國堪薩斯州大學開展了“自適應計算機網絡”項目,並在2012年4月與空軍科學研究辦公室簽訂了爲期5年金額超過100萬美元的合同,開始了“瞭解和量化移動目標防禦對計算機網絡的影響”的專項研究,目的是研究計算機網絡通過自動改變自身設置和結構來對抗在線攻擊的可行性,並開發有效的分析模型,以確定MTD系統的有效性。
2012年8月,美陸軍授予雷聲公司價值310萬美元的“限制敵方偵察的變形網絡設施”(MORPHINATOR)項目,爲其研製具有“變形”能力的計算機網絡原型機。該項目主要研究在敵方無法探測和預知的情況下,網絡管理員有目的地對網絡、主機和應用程序進行動態調整和配置,從而預防、延遲或制止網絡攻擊。
北京衛達科技有限公司綜合利用了動態防禦、軟件定義網絡(SDN)、網絡功能虛擬化(NFV)、欺騙、微隔離等技術研製了“內網動態防禦系統”。該系統實現了網絡拓撲和網絡地址隨機跳變,實時發現內網橫向滲透行爲,並可以實時阻斷攻擊行爲,在全球範圍內首先將網絡動態防禦產品化。首先,結合SDN技術,保持原有網絡配置的完整性,在內網中隱藏終端的真實IP地址,爲終端分配虛擬IP地址,並使正常網絡應用不受影響的情況下,實現網絡拓撲和終端的IP地址高速隨機跳變,大幅提高攻擊者發現目標的難度,從而大大地降低攻擊成功地概率。其次,在內網中部署大量的僞裝節點和虛開的端口,這些節點和端口能夠迷惑攻擊者,僞裝節點的IP地址也能夠和真實的節點IP一起隨機跳變,極大地增加網絡的複雜性,從而能夠完全打破攻擊者對網絡的認知。無論攻擊者用任何形式的方式(無論是利用已知病毒還是未知病毒)內網進行掃描或滲透,會以極大的概率碰到僞裝的節點或者虛開的端口,僞裝的節點或虛開的端口會向系統發出警報。另外,利用微隔離技術,每個節點都被定義爲一個邏輯隔離的子網,一旦某個節點發起掃描或滲透行爲,系統可以自動地、實時地對攻擊者進行定位和封堵,斬斷攻擊鏈的第一環,從而可以進行事前防禦,並防禦未知新型病毒的威脅。
▲2017年5月12日,中國、英國、意大利、俄羅斯等100多國爆發WannaCry勒索病毒攻擊,並迅速蔓延,中毒的機器中的磁盤文件會被加密,只有繳納高額贖金才能解密資料和數據
平臺動態防禦技術
平臺,主要指能夠承載應用運行的軟/硬件環境,包括處理器、操作系統、虛擬化平臺以及具體應用的開發環境。目前,應用系統的設計往往採用單一的設計架構,在交付使用後長期保持不變,這就給惡意攻擊者提供了足夠的時間來探測和學習系統的構造和漏洞。平臺動態防禦系統通過構建動態變化的系統運行平臺,在保證服務可用性的前提下,持續改變服務的可見特徵,如運行平臺、應用類型、版本信息等,防止攻擊者對服務的有效探測及滲透。虛擬化技術爲服務多樣化提供了支撐保障。
基於可重構計算的平臺動態化技術通過多樣化的軟/硬件任務劃分和差異化的邏輯電路設計,設計滿足應用任務,運行於通用處理器和可編程邏輯器件中的多個可執行文件和配置數據,並在系統運行過程中,隨便變化加載在系統中的可執行文件和對應的配置數據文件。
基於異構平臺的應用熱遷移技術,是指通過構造異構的多種系統平臺,包括異構的硬件和操作系統,並使運行在其中的應用程序能夠以可控的方式隨機地在不同的平臺間遷移,從而減少單一平臺暴露的時間窗口,使得惡意攻擊者難以對系統進行有效偵查,最終達到提升系統防禦能力的目的。
Web應用平臺動態防禦可以從Web應用、Web服務、OS和虛擬化基礎層構建虛擬服務器,然後將每一個虛擬服務器都配置成具有唯一的軟件特性,這樣多個虛擬服務器就會呈現出不同的攻擊面。採用動態替換輪循等機制隨機選擇若干個服務器構成一個在線服務器集,對外提供服務。
數據動態防禦技術
數據動態防禦,主要是指能夠根據系統防禦需求,動態化地更改相關數據的格式、句法、編碼或者表現形式,從而達到加強攻擊者攻擊難度的效果。數據動態防禦技術特點在於:一、尋找一種保持數據語義不變的策略,使數據動態化行爲不影響數據語義本身;二、通過對選定數據的動態化,能規避漏洞或者有效發現攻擊。數據動態防禦的效果體現在以下三個方面:一、防止系統有意而爲之的設計錯誤;二、防止攻擊者惡意注入代碼二進行緩衝區溢出攻擊;三、防止Web應用程序中SQL注入和跨站腳本攻擊。
結 語
基於先驗知識和精確識別的傳統防護手段,難以應對未知漏洞和未知威脅;基於靜態性、相似性、確定性構建的信息系統,難以應對動態的、智能的、高強度攻擊。動態防禦是對網絡空間安全防禦技術和體系的一種探索,是將安全能力作爲信息系統自身標準屬性的一種設想。動態防禦可以有效降低系統的確定性、相似性和靜態性,讓信息系統呈現不可預測的變化狀態,讓攻擊者難以發現系統漏洞,並可以結合欺騙的戰術戰法,將攻擊者引入死衚衕,觸發警告並實施阻斷攻擊。未來的網絡空間防禦體系一定是在動態防禦思想指導下的安全體系。隨着SDN、NFV、虛擬化、人工智能等技術的高速發展,動態防禦思想將不斷地與這些技術結合,推動動態防禦技術廣泛應用。