基于动态伪装技术的网络安全防御系统研究

丁朝晖，张伟，杨国玉

(中国大唐集团科学技术研究院，北京 100043)

0 引言

在当今信息化的时代，物联网、云计算、大数据、移动互联、人工智能、工业控制系统等新技术的出现使得人们的生活变得更加便利和舒适，这些新技术正在迅速占领着人类社会的方方面面，其所应用领域不仅深刻影响着人们的日常生活，而且关系到各个国家的命脉。与此同时，网络空间的安全问题不容忽视，新技术应用的规模越庞大，网络空间的安全问题越严峻，网络安全风险空前巨大[1]。而且，随着新技术应用的深入，越来越多的安全问题是未知的，带来的影响也是未知，这种“未知的未知风险”如同达摩克利斯之剑，随时都有爆发的可能。为此，突破目前静态、被动的安全防御技术的局限性，研究动态、主动的安全防御系统已成为网络安全领域重要的研究方向。

1 网络安全现状分析

从网络安全的整体情况来看，有两个方面的安全难题一直困扰着网络安全防御者。一方面，暴露在互联网上的安全漏洞和后门不计其数，绝大多数漏洞和后门是未知的。迄今为止，尚未形成穷尽复杂信息系统漏洞和彻查后门的理论与方法。从网络防御者角度来看，攻击者利用未知漏洞或后门实施的攻击具备极强的隐蔽性，防御者无法知晓攻击者经过何种途径、通过什么方法进入被防御系统。因此，防御者使用当前的技术手段无法有效防御这种未知的威胁。另一方面，在信息技术全球化的今天，系统中各种软硬件的设计与开发过程中，不可能做到毫无瑕疵，出现缺陷、漏洞或后门的概率极大，而且随着时间的推移，还会暴露出更多更严重的缺陷、漏洞或后门[2]。

就算这些缺陷、漏洞和后门能被防御者所探测或感知。但是，由于种种原因无法将全部缺陷、漏洞和后门完全修复，这也造成了传统的安全扫描和渗透测试技术难以完全发挥其作用，无法实现对已知缺陷、漏洞和后门的完全修复和清除。

目前，传统的网络防御以“筑高墙、堵漏洞、打补丁”为主，不断地挖掘漏洞、检测后门、寻找缺陷，不断地修补安全漏洞、缺陷与后门，通过不停地防恶意代码、封门堵漏等被动的博弈方式来自我完善。在这种情况下，形成了“易攻难守”的网络安全现状。

在缺陷、漏洞和后门无法完全修复和清除的背景下，亟需一种打破传统安全防御观念的新安全思路，研究用动态伪装技术来掩盖无法修复和未知的安全缺陷、漏洞和后门具有重大意义。

2 基于动态伪装技术的安全防御系统原理

动态伪装技术借鉴了“动态目标防御”的理念，在我国由中国工程院院士邬江兴提出，是在动态防御的基础上发展出的新型网络防御理念。采用类似仿生学的概念，借鉴一些动物的习性，模仿动物保护自身或猎捕猎物的方法，来武装网络安全产品。例如，深海中的灯笼鱼，通过模拟亮光来诱捕猎物；如变色龙，通过改变自身的颜色来适应环境，隐藏自己[3]。

动态伪装技术是为了防御者在功能等价条件下，提供可控的多样化环境间的主动跳变和动态组合，建立欺骗化、拟态化的高价值、高仿真目标，使攻击者难以察觉和预测目标环境的变化，诱骗攻击者对基于动态伪装技术的安全防御系统进行攻击[4]。同时，使用“漏洞疑阵”技术，不断动态地评估攻击者水平，为其构建独特的攻防环境副本，为其不断地提供适合其水平、适合于目标架构、适合于网络和应用环境的虚假漏洞，使其产生入侵即将成功的错觉，但是入侵总是无法获取实质性进展，使得攻击者陷入漏洞一直能够发现，但是总是无法利用的循环之中，达到掩盖真实漏洞的目的[5]。

3 基于动态伪装技术的安全防御系统设计

动态伪装安全防御模型的基本思想是建立动态仿真系统[6]。

动态仿真系统可以动态模拟真实系统中的任意元素，通过功能等价异构执行体池中异构执行体集构造异构执行体，实现动态伪装。其设计思路如下：

(1)根据动态变换器的计算从异构执行体池中组合出异构执行体，在功能等价异构执行体池中选出若干异构执行体。

(2)当系统输入到达时，由输入分发器分发给各个选出异构执行体，它们分别执行，互相无影响、无通信。

(3)当判断为攻击者对系统进行扫描或者攻击时，输出裁决器将攻击者的输入反馈给拟态变换器，其使用动态调度算法和负反馈控制机制计算选取若干异构构件和执行体组成异构执行体，并将异构执行体进行重构、重组或重建，也可以借助虚拟化技术改变执行体的资源配置或清洗、初始化执行体等，增加虚假漏洞、后门或缺陷数量，造成系统外在特征不确定性的假象，实现隐匿真实系统内未知的漏洞、后门和缺陷的作用[7]。动态伪装防御系统设计如图1 所示。

图1 动态伪装防御系统核心架构图

为了研究方便，不妨假定当前考虑的安全相关基本要素分为4 层，分别为网络层、计算资源层、软件层、数据层。动态异构执行体变换内容举例如表1 所示，表中针对假定的4 种信息系统要素[8]，分别列举了要素中对应的基本单元及可变换内容。

表1 动态异构执行体变换内容举例

设信息系统有m 个要素，每个要素都有n 个元素，n=max{n1，n2，…，nm}，i=1，2，…，m，其中ni为第i个要素的元素个数。对于元素个数少于n 的要素，以空元素来进行扩充。如果用表示第j 个要素中第i 个元素的状态，那么t 时刻信息系统的状态可以用矩阵Ω(t)来表示。

根据拟态安全的思想，动态变换可以定义如下：

设σ1表示第一个要素的动态变换，以此类推，动态异构执行体的要素变换可记为σ={σ1，σ2，…，σn}，则σ可以看成是Ω(t)的一个加扰序列，不同的加扰序列对应着不同的动态异构执行体变换[9]。

动态变换使得安全防御系统具有不确定性、灵活性、无法预知等特点，改善了传统安全防御系统顺序、固化、静态的防御理念，从而提升了信息系统的整体安全性。

4 基于动态伪装技术的安全防御系统抗网络攻击有效性分析

在进行基于动态伪装技术的安全防御系统抗网络攻击有效性分析前，提出如下假设[10]：

(1)忽略由于硬件错误导致的执行体故障；

(2)暂不考虑分发器和裁决器受到攻击的情况；

(3)攻击者仅基于执行体的漏洞、缺陷和后门发起攻击，不考虑其他非技术手段，而且每次攻击事件是独立的。

本节以图1 所示的动态伪装系统为研究对象，分别从攻击发起难度、持续攻击难度和攻击再现难度[11]进行分析。

(1)攻击发起难度

①设异构构件集合为A，|A|=m；

②设执行体集合为B，|B|=n。

由于裁决器本身的特性，Pi极小，可得Q 极小。所以，在该环节的攻击成功率极小[12]。

(2)持续攻击难度

攻击者发起一次成功的攻击一般由多个攻击环节组成，缺一步或者错一步都可能造成攻击失败。

设某次成功的攻击行为共涉及k 个攻击环节，若此次攻击成功，则需k 个攻击环节都成功。则此次攻击成功的概率为：

此时，P＜＜Q。若在某个环节失败，当攻击者再次尝试一次新的攻击时，由于每个环节的异构构件经过再次的随机动态选择后执行体发生改变，因此相当于发起一次新的攻击。由此可知，在动态安全防御系统中，攻击不具有持续性[13]。

(3)攻击再现难度

设某一次攻击偶然成功，同上分析，当攻击试图再次复现攻击时，由于攻击目标已变，先前的攻击过程并不能复现，因此再次攻击难以成功。

综上所述，基于动态伪装技术的安全防御系统能极大地提升攻击难度、防止攻击再现，是扭转当前“易攻难守”的网络安全现状的必然选择[14]。

5 利用本地代理与云服务模式实现基于动态伪装技术的安全防御系统应用解决方案

通过以上分析，基于动态伪装技术的网络安全防御系统设计思路明确，抗网络攻击有效性相比传统的安全防护系统更高。如何将设计思路与实际信息系统安全防护相结合，是本节讨论的重点内容。

以面向互联网提供服务的Web 应用为例，将多套不同操作系统、中间件软件、应用软件、数据库管理系统等组成异构体集群部署在云端的SAAS 服务中。

来自互联网的未知请求数据包通过安全防御系统的本地代理发送给SAAS 服务平台的分发器，分发器复制多份请求数据包分别发送给各个异构执行体中，在异构执行体中分别处理请求数据包并将响应结果返回给裁决器，裁决器通过预先设计的算法对执行结果进行表决，最终将正常的访问请求返回给本地代理，由本地代理转发正常的访问请求，其经过本地网络设备、安全设备后发送给Web 应用服务器。如发现疑似攻击行为，将执行结果和非正常请求数据包一同报送威胁溯源分析系统，该系统分析评估攻击者的设备指纹、漏洞扫描、攻击、验证和漏洞利用等行为，持续评估攻击者的水平，结合异构执行体的执行结果，为攻击者制定诱捕策略，构造出具体的虚假漏洞，根据虚假漏洞伪造响应数据包返回给攻击者。为其营造出“攻击还差一步就能成功，但是总也攻不破”的体验，持续吸引攻击者火力，在威胁溯源分析系统中不断对攻击者进行评价，为侦查、反制、预警、预防等动作争取宝贵的处置响应时间。同时，跟踪收集攻击者身份信息，进行身份识别，精准打击。基于动态伪装技术的网络安全防御SAAS 服务平台架构图如图2 所示。

图2 基于动态伪装技术的网络安全防御SAAS 服务平台架构图

6 结论

在当前安全形势严峻的情况下，亟需网络安全创新思路，研究基于动态伪装技术的安全防御系统已成为网络安全领域的重要研究方向[15]。目前，大部分蜜罐易被攻击者识破而被绕过或者自身被攻击而引起更严重的安全问题[16]。因此，本文提出了基于动态伪装技术的网络安全防御设计理论和应用方案，下一步应将这种安全防御理论运用到物联网、云计算、大数据、移动互联、人工智能、工业控制系统等新技术新应用的网络安全防护之中，提升新技术新应用的整体安全防护水平，以适应新时代安全发展的需求。