内生安全赋能网络弹性研究

引言

随着数字化转型的深入及数字经济的蓬勃发展，网络空间迅速扩张到生产生活的方方面面。网络技术的普及与进步，一方面降低了成本，促进了生产；另一方面，网络空间因其复杂的依赖关系又呈现出前所未有的不稳定性和风险。网络威胁表现出的不可预测性、极端不确定性和快速演变等使得网络安全防御问题愈发突出，尤其是针对系统未知漏洞后门的不确定性威胁和高级持续性威胁(Advanced Persistent Threat，APT)令人防不胜防[1]。既然无法实现绝对安全的防护，那么必须要进一步提高对目前这种高危网络环境的适应性，确保即使在网络攻击环境下也要顺利完成任务[2]。因此，网络系统的防护重点应从单纯的网络保护向遭受攻击后仍能确保核心任务准确完成方向转变，必须适应不断变化的威胁，保持重要的系统功能并从攻击的影响中恢复，即具备“网络弹性”。

网络弹性被定义为使用网络资源或由网络资源支持的系统面对不利条件、压力、攻击或损害情况下的预防、抵御、恢复和适应能力[3]。网络弹性强调从任务视角去保障系统，重点考虑如何在防护失效的情况下也能确保任务达成。随着攻击者们入侵能力的增强，安全形势进一步恶化，网络弹性战略正在逐步成为应急响应管理计划的重中之重。为了实现弹性，需要考虑整个系统周期，包括设计、构建、分配、安装以及投入运行，从开始直到系统结束使用都应该部署网络弹性，以促进各子系统之间的协调性，维护网络系统业务平稳运营[4]。

近年来一些研究提出了不同的技术及策略用以增强网络弹性，如NIST网络弹性工程给出了一个方法库[3]，但整个方法库中的目的、目标、技术、方法、设计原则等内容，彼此之间更多是并列的可选项，缺乏逻辑和构造上的层次关系、先后顺序分析和系统性增益考量，对网络弹性开发的可操作性缺乏显而易见的指导。同时，网络弹性技术方法原则均是以目标对象功能或性能异常可感知为前提，能够发现企图利用目标对象漏洞的外部攻击，但无法解决基于未知漏洞后门的不确定性威胁问题。

为解决“未知的未知”威胁问题，邬江兴院士及其团队借鉴系统工程理论、可靠性设计理论、生物仿生和免疫理论等，在国际上首次提出“结构决定安全”新理念，开创了基于信息系统架构设计的网络空间内生安全新范式[5]。内生安全理论首先定义了内生安全问题，即任何事物，如果在本征功能外还存在不良(或非期望)的副作用、暗功能，或者一个系统或模型内存在由构造决定的互为依存又存在矛盾关系的“内生或内源性因素”，称为内生安全问题[6]。对于网络空间而言，软件设计的脆弱性问题尽管人们很早就认识到并为之进行了不懈努力，但至今也没有找到理想的解决方案。

内生安全理论指出，网络安全防御领域存在三个核心的技术要素，即动态性/随机性(Dynamics/randomness)、多样性/异构性(Variety/heterogeneity)、冗余性(Redundancy)，对于增加不确定性和防范未知威胁至关重要。并且，如果不能获得三个核心要素(D、V、R)的完全交集，那么就无法防范网络空间未知安全威胁问题[7]。基于上述思想，内生安全理论提供了具有创新性的动态异构冗余(Dynamic Heterogeneous Redundancy，DHR)广义鲁棒赋能架构，能够在不依赖先验知识前提下有效抑制构造内存在的“已知的未知”“未知的未知”异常扰动导致的不利影响，自然地获得高可靠、高可信和高可用三位一体的内生安全属性，聚焦于支撑组织使命及业务的能力，赋能网络系统具备网络弹性。

基于上述理念，本文提出了内生安全架构赋能网络弹性工程，详细介绍了内生安全构造在网络弹性整个生命周期的赋能方法：预防环节实现未知威胁的感知识别；抵御环节提供对基于漏洞后门的网络攻击以及缘于随机错误的系统故障的综合抵御能力；恢复环节利用异构资源快速进行故障组件的替换和系统重构，迅速恢复服务能力；适应环节可通过智能的策略裁决与异构资源调度实现自适应的系统演进。

1 相关工作

1.1 网络弹性

“网络弹性”是美国学术界提出的概念，最早可以追溯到MITRE于2010年发表的文章[2]。不同于网络安全，网络弹性强调从系统基本任务功能的角度出发，要求这些基本功能在经受威胁攻击、误操作或是意外事故时仍然能运作其基本任务业务功能，并能完成恢复功能、适应此类状态的过程，网络弹性可能让网络资源在不利条件下局部受损，不会保证系统的安全性和完整性。网络弹性来源于网络设备自身的功能和安全设计、以及网络架构的各种配置策略和响应机制，要求基础设备、体系架构、运行机制等方面具备风险预测能力、主动抵御能力、功能快速恢复能力、动态调整适应能力。MITRE将网络弹性定义为网络资源面对不利条件，承受压力、攻击或者损害环境下的预防、抵御、恢复和适应的能力[3]。在此基础上，提出了网络弹性工程框架，涵盖4个目的(goal)(预防、抵御、恢复和适应)以及衍生出来的8项目标(objective)和14项技术集合。网络弹性的概念得到美国军方乃至美国联邦政府的高度重视之后，美国政府部门的多个机构也从各自的视角对网络弹性的概念和理解进行了阐述，其重点仍是“以风险管理框架为指导方法”，“建立起可防御的、可生存的、可信赖的系统”。

尽管网络弹性的概念得到了各方的高度重视，被认为是关键基础设置和网络防御的战略焦点，但是围绕如何构建优良的网络弹性系统架构的研究仍然充满挑战。本文将当前网络弹性的瓶颈问题主要总结为以下几点。

1)缺乏一体化架构支撑。从开发网络弹性系统工程的初期，探索构建优良的网络弹性系统体系架构就始终是网络安全和网络弹性学术界和工业界高度关注的问题。但目前为止在SoS项目中可检索到的研究仍没有取得明显突破。

2)回避未知攻击挑战。现有网络弹性工程框架的出发点是以保障关键任务和业务流程顺利执行为核心目的，主要强调在发现任务或业务异常后能够及时克服异常并恢复正常服务，思维视角主要是通过对任务或业务异常(尤其是中断等显性异常)的检测和感知来触发恢复，对未知网络攻击导致的隐性任务或业务异常关注不够，特别是难以察觉的任务或业务异常。

为解决上述难题，我们可以从内生安全理论中寻找一些启示。

1.2 内生安全

一般来说，任何事物如果在本征功能外还存在不良(或非期望)的副作用、暗功能，或者一个系统或模型内存在由构造决定的互为依存又存在矛盾关系的“内生或内源性因素”，称为内生安全问题[6]。2013年起，邬江兴院士率领团队开创性地提出了内生安全理论。该理论将当前网络安全防御范式的思维视角从“亡羊补牢”的被动防御变换为不依赖(但不排斥)先验知识的主动防御，从“封门补漏”的方法论转变为基于“构造决定安全”的系统工程论，从“尽力而为”的不确定实践规范跃迁为安全性可量化设计与验证度量的精确实践规范。网络空间普遍存在内生安全共性问题，实现网络空间的内生安全则是避免内生安全共性问题带来的功能安全风险或威胁。需要注意的是，内生安全共性问题通常不会直接产生负面性影响，它们只有在受到外部因素扰动情况下才有可能构成功能安全风险或威胁[7]。比如，未知漏洞需要被发现然后构造基于漏洞的攻击才能威胁网络空间的功能安全，后门则需要攻击者激活后门才能执行网络攻击。也就是说，攻击者需要发现网络空间存在的内生安全共性问题，才能通过可达的攻击面及可利用的软硬件资源，进而建立有效的攻击链来构成网络空间的功能安全风险或威胁。

内生安全理论指出，网络空间安全的三要素为动态性、多样性、冗余性。动态性可为网络空间带来不确定性，从而提高攻击难度；多样性也称异构性，它可为网络空间带来非相似性，从而使攻击者无法简单地将某目标成功的攻击经验直接应用到相似目标的攻击中；冗余性可为网络空间带来可靠性，从而确保网络空间部分组件被攻破时仍能正确提供网络服务。

综上所述，目前网络弹性对系统开发的可操作性缺乏显而易见的指导，而内生安全理论能够提供赋能网络弹性工程框架的新思路。围绕构建优良的网络弹性系统架构这一核心问题，本文提出内生安全赋能网络弹性统领性架构，并分析其如何感知和抵御未知威胁。

2 内生安全系统架构赋能

2.1 系统架构是网络弹性的基石

在网络弹性工程领域，MITRE(The MITRE Corporation)、NIST(National Institute of Standards and Technology)等组织对系统架构设计同样给予了高度关注，弹性架构(Resilient Architectures)被认为是网络空间安全领域的五个硬问题之一[8]。

NIST给出的网络弹性工程框架如图1所示，其主要方法是首先定义网络弹性的目的(Goals)，再将目的逐步细化为目标(Objectives)、子目标(Sub-objectives)、行动或能力(Activities/Capabilities)。进一步，通过定义技术方法来支撑各个行动或能力，通过行动或能力的达成，支撑网络弹性目的实现。然而，正如第二章中所述，NIST给出的网络弹性工程框架看似丰富，实则缺乏整体性，其提供的各种网络弹性技术方法、设计原则需根据具体情况“选择性”使用，缺乏整体架构的设计考量。从系统工程的角度而言，系统组件和系统整体之间并非是简单的叠加关系，网络弹性系统层面的关键能力必须通过系统架构设计获得。如图2所示，组件的各项能力应先由架构进行统一，然后再考察系统架构的能力是否满足弹性的各项目标。因此，本文基于内生安全理论提出一种新的动态异构冗余架构，一方面能够有效抑制未知的网络威胁或攻击，另一方面能够整体性满足预防、抵御、恢复、适应网络弹性四大目的核心内涵，为破解网络弹性体系结构硬难题提供了带引领性、根本性和全局性的架构创新方案。

图1 NIST网络弹性工程框架示意

图2 基于系统架构的网络弹性工程示意

2.2 内生安全DHR架构

如1.2节中所述，内生安全DHR构造同时具备动态、异构、冗余三个特性，并且具备反馈控制、执行体清洗等机制来消除执行体记忆，这样的构造能够实现网络空间内生安全。

内生安全DHR构造的典型架构如图3所示。

图3 内生安全DHR架构示意图

内生安全DHR构造由输入代理、异构构件集合、策略调度算法、执行体集合和多模表决器组成。其中输入由输入代理分发到执行体集合中的各个执行体，执行体根据策略调度算法从异构构件集合E中选取，形成执行体集合A。异构构件集合由标准化的软硬件模块可以组合出 m 种功能等价的异构构件体(E1，E2，...，Em)，根据策略调度算法，系统从E中选出k个构建体作为一个执行体集合A=(A1，A2，...，An)。执行体集合中的各个执行体产生的输出经过多模表决器裁决生成系统输出。若执行体产生的输出存在不一致，则触发策略调度算法。我们将输入代理和多模表决器也称为“拟态括号”(Mimic Bracket，MB)。拟态括号内通常是一个符合 IPO (Input-Process-Output) 模型的防护目标集合，如图4所示。

图4 拟态IPO模型

内生安全DHR架构在保证服务集合功能不变条件下，引入基于多模裁决的策略调度和多维动态重构鲁棒控制机制，赋予系统测不准特性，使目标系统在抑制广义不确定扰动方面具备可迭代收敛的动态性、随机性、多样性。此外，执行体之间需要执行严格的隔离，以阻断执行体之间的协同途径或尽可能地消除攻击者可利用的同步、共享机制，最大限度地提高对软硬件差模故障或随机性失效的容忍度。总之，DHR架构存在以下优势特性[6]。

1)安全问题降维变换。DHR能将这些种类繁多、看似杂乱无序的安全问题，通过系统架构降维变换成能用概率工具表达的差模或共模性质的简单问题，为利用成熟的容错纠错和自动控制理论与技术解决或规避这些寻常性工程问题提供了基础性的支撑。理论上，DHR构造的网络安全防御效果与是否知晓不确定扰动原委弱相关甚至不相关，但这并不影响恰当地导入人工智能和大数据等后台分析处理功能，实现从“知其然”到“知其然也知所以然”的转变。利用运行日志、现场快照及异常状态保留等记录信息，借助日益成熟的智能化分析工具可针对性地发现或定位未知漏洞后门、病毒木马以及相关攻击资源与手段。

2)融合附加式安全技术。内生安全DHR架构不排斥传统安全技术，而且与传统安全技术结合可以获得非线性的防御增益。比如，在部分或全部可重构的执行体中差异化地部署入侵隔离、检测、预防等传统手段，或者采用防火墙、蜜罐、沙箱、杀毒软件、查补漏洞等多样化的技术措施，或者应用动态化、虚拟化迁移以及加密认证等主动防御技术，其作用都是提高执行体之间的异构度，而异构度的增加能给非配合环境下的协同攻击带来更大的不确定性，从而提高内生安全DHR架构发现攻击的概率。表1展示了DHR赋能网络弹性工程框架的设计原则和技术方法。DHR架构的作用在于，整合了动态性、多样性、冗余性等相关技术方法、设计原则，提供了一般性的指导架构。

表1 DHR赋能网络弹性工程框架的设计原则和技术方法

2.3 未知威胁的感知与抵御

现有网络弹性工程的基本思维视角是高级持续威胁(APT)难以检测，只能尽量采用事先多做预防(如减少攻击面、分割分段、严控访问等)、事后尽快弥补恢复(冗余替换、重组、转移等)的策略，在系统任务和业务执行过程中加强对任务和业务功能及性能指标异常的灵敏性、全面性监测，以便尽快触发异常处理和恢复进程。典型的网络弹性工程期望愿景如图5所示，系统在监测到功能性能指标下降后及时启动修复进程使得任务和业务能持续运行。

图5 传统网络弹性功能破坏和恢复演变示意

为了更好地刻画高级持续威胁攻击的进程，可以用网络攻击链示意图的方式给出各个攻击阶段的划分，如图6所示。

图6 典型的网络攻击链示意图

为更直观地展示现有网络弹性的不足，我们在图6代表的典型网络弹性演变图中增加网络攻击的进展标注，使得网络弹性图既显示功能性能演变更揭示网络攻击进程演变，如图7所示。

图7 现有网络弹性缺乏对APT攻击本身的早期感知能力

事实上，图7显示网络攻击是因，任务/业务功能性能异常是果，上半部分的红色虚线显示网络攻击历经侦察、武器化(利用对方系统缺陷设计攻击手段)、投递、利用、控制等潜伏过程，到执行阶段爆发，导致相应的任务/业务功能性能异常，触发网络弹性干预和恢复机制，待任务/业务功能性能恢复后，可能反映出上一波网络攻击维持阶段的终止，同时下一波网络攻击又在酝酿，可能是以更隐蔽更进化的方式。DHR架构打破了传统上多样性、冗余性仅仅提供资源备份、替补修复的能力假设，通过异构性冗余配置的交叉验证提供了前所未有的对“未知的未知”网络攻击的超强感知能力。同时，DHR架构中的策略裁决也兼具对任务/业务功能性能指标的灵敏感知能力，这样DHR架构就很好地把传统网络弹性的任务/业务运行状态感知和内生安全网络攻击感知无缝的结合到一起，为支撑内生安全网络弹性思维视角提供了技术架构基础支撑。这种赋能可以将图7中未感知到的红色攻击线转变为图8中可感知到的绿色攻击线。由图8可直观地看到，以绿线表示的对手多次尝试的APT攻击被扼制在攻击的早期(也就大大威慑了对手发起后续攻击的意愿)，以黑蓝色线表示的系统功能性能曲线始终维持平稳，避免大的起落，可更好地避免系统任务和业务功能性能的异常。

图8 具备对“未知的未知”攻击检测防御的网络弹性演变

2.4 DVR完全交集赋能网络弹性工程设计实现

网络弹性工程建立于系统安全工程之上，并借鉴吸收了可靠性、可生存性、容错性、弹性工程、通信网络弹性、关键基础设施系统弹性、应急保障等相关领域的概念和技术。然而，如何将上述概念、技术和方法集成到弹性系统中从而实现未知威胁的感知和抵御、如何将来自不同专业学科的设计原则结合成网络弹性的普适性原则等问题仍缺少系统性的研究。下文将基于内生安全理论，为支撑网络弹性工程的设计原则交互、各类专业学科相关技术和方法的再适配再创新提供理论指引。

针对网络空间未知威胁问题，内生安全理论提出了DVR交集原理。原理指出，在不依赖先验知识的条件下，只要DVR三者间不完全相交，就无法防范网络空间未知安全威胁问题[7]。例如，对于DV交集来说(典型技术实践包括移动目标防御，MTD)，多样化目标对象中只要存在一个防御者未知的后门，通过内外协同方式，攻击者至少可以达成窃取或篡改敏感信息的攻击目的；对于VR交集来说(典型技术实践包括非相似余度构造，DRS)，如果多个冗余体上分布存在攻击者已知但防御者未知的漏洞后门时，攻击者可以采用逐个“爆破”或逐个“渗透”的方式，实现对系统整体的攻击。

图9列出了NIST给出的14项技术和14个设计原则在DVR域的映射结果。可以看出，现有网络弹性框架中的设计原则与技术均没有落在DVR完全交集之内。因此，当前的网络弹性框架给出了分别涉及动态性、多样性和冗余性的多项设计原则和技术，但是，由于缺乏将动态性、多样性和冗余性三者有机融合的架构和技术，现有的网络弹性框架并不能解决网络空间未知安全威胁问题。然而，如果一种构造或算法同时具备动态性(D)、多样性(V)和冗余性(R)三要素的完全相交表达(如DHR架构)，则即使在缺乏先验知识条件下，也能有效应对基于构造内任何未知漏洞后门、病毒木马等的差模攻击，以及随机性或不确定性因素引发的差模性质扰动造成的功能失效影响。此时，一个信息物理系统中的未知安全威胁，不论是否源于随机性或不确定性摄动，还是源于人为或非人为因素扰动，都可以表达为DVR域上差模或共模性质问题。综上所述，内生安全理论成果从正反两个方面为借鉴其它专业学科的理论和技术构建年轻的网络弹性工程学科提供了理论指引，同时，也为内生安全架构赋能抵御未知威胁提供了理论基础。

图9 NIST网络弹性设计原则和技术在DVR域的映射

3 总结

自2010年MITRE提出最初概念至今，网络弹性已走过了十余年的发展历程，然而，当前网络弹性工程仍存在“缺乏一体化架构支撑技术”“回避未知攻击挑战”等问题。本文针对上述问题阐明了内生安全构造赋能网络弹性的主要优势，结论总结如下：

1)系统架构是网络弹性的基石，网络弹性工程应遵循“结构决定性质、整体大于部分之和”的基本原理，首先关注系统架构设计；

2)DHR架构能够将传统网络弹性的任务/业务运行状态感知和内生安全网络攻击感知结合起来，拓展网络弹性防御的思维视角，同时为网络弹性工程提供理论指引。