陳森

如今，網(wǎng)絡(luò)空間已經(jīng)成為影響國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展和文化傳播的全新生存空間，網(wǎng)絡(luò)空間安全隨之成為國際社會日益關(guān)注的重要議題。日益猖獗的網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)恐怖以及肆意擴散的網(wǎng)絡(luò)攻擊技術(shù)使網(wǎng)絡(luò)空間安全形勢變得空前嚴(yán)峻。軍事上，美國已明確宣稱網(wǎng)絡(luò)空間為新的作戰(zhàn)領(lǐng)域，不僅視我國為最大對手，而且實踐中大幅擴編網(wǎng)絡(luò)空間司令部和作戰(zhàn)部隊，持續(xù)聚力網(wǎng)絡(luò)空間作戰(zhàn)武器研發(fā)。傳統(tǒng)上，依賴防火墻、入侵檢測和反病毒軟件等靜態(tài)、片面的被動防御已難堪大任。網(wǎng)絡(luò)安全防御“需要想象力的跨越”。近年來，一些突破常規(guī)思維、超越傳統(tǒng)理念的網(wǎng)絡(luò)安全防御研發(fā)和部署備受矚目，且隨著信息科技的迭代更新，預(yù)期的卓越實效性亦逐漸顯現(xiàn)。關(guān)注其前沿動態(tài)，順應(yīng)信息和通信技術(shù)交融互惠的必然趨勢，對于打造網(wǎng)絡(luò)空間防御利器、防衛(wèi)網(wǎng)絡(luò)邊疆，具有啟發(fā)意義和借鑒價值。

移動目標(biāo)防御

網(wǎng)絡(luò)攻擊行動均需要一定的時間用于掃描和研究目標(biāo)網(wǎng)絡(luò)，探尋并利用系統(tǒng)“漏洞”，達(dá)成入侵控制目的。當(dāng)前典型環(huán)境下，傳統(tǒng)的計算機網(wǎng)絡(luò)都是設(shè)計成工作于相對靜態(tài)的環(huán)境，網(wǎng)絡(luò)和操作系統(tǒng)構(gòu)造相對固定，IP地址、端口號、域名及防火墻規(guī)則等配置參數(shù)均是長期保持相對靜止?fàn)顟B(tài)。從理論上說，攻擊者有無限的時間研究這些結(jié)構(gòu)設(shè)施及其潛在弱點，展開破解和入侵行為。近年出現(xiàn)的先進(jìn)持久威脅如“震網(wǎng)”、“火焰”、“高斯”、“沙蒙”、“迷你火焰”等病毒，侵入基于防火墻、殺毒軟件、升級補丁程序等的傳統(tǒng)安全系統(tǒng)如入無人之境。為此，網(wǎng)絡(luò)先行者美國著力籌劃和部署網(wǎng)絡(luò)安全防御轉(zhuǎn)型，要突破傳統(tǒng)防御理念，發(fā)展能“改變游戲規(guī)則”的革命性技術(shù)，移動目標(biāo)防御即是其中之一。

移動目標(biāo)防御被稱為網(wǎng)絡(luò)空間安全防御新范式，旨在通過對防護(hù)目標(biāo)本身的處理和控制，改變網(wǎng)絡(luò)設(shè)置和配置，對其構(gòu)成和組織方法進(jìn)行變革，使網(wǎng)絡(luò)和操作系統(tǒng)“動起來”，即設(shè)備或網(wǎng)絡(luò)在某種程度上是以時間的函數(shù)變化的，從而難以被“擊中”。具體實現(xiàn)方法可分為兩類：

一是改變網(wǎng)絡(luò)以“移動”潛在的攻擊面。如通過網(wǎng)絡(luò)服務(wù)器周期性切換，使每個服務(wù)器暴露在網(wǎng)絡(luò)中的時間小于攻擊者探測系統(tǒng)（端口掃描、系統(tǒng)脆弱性識別、漏洞利用和植入后門等）的時間，以此阻斷為實施惡意攻擊所必須的準(zhǔn)備時間，使其無功而返。服務(wù)器再次上線前實施“清洗”操作，還原到可信的安全狀態(tài)。

二是在網(wǎng)絡(luò)配置層賦予動態(tài)變化。包括重構(gòu)軟件定義的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和通過設(shè)置復(fù)雜的子網(wǎng)節(jié)點以破壞進(jìn)攻，改變地址空間布局以阻斷緩沖區(qū)溢出攻擊等。

總之，移動目標(biāo)防御不再單純依賴安全系統(tǒng)的復(fù)雜度，還將充分挖掘和利用時間、空間和物理環(huán)境變化實施防御，進(jìn)而降低脆弱性暴露及實質(zhì)性損失的幾率。

移動目標(biāo)防御備受美國政府和軍方重視。從目前披露的以網(wǎng)絡(luò)空間為主題的項目中，移動目標(biāo)防御相關(guān)技術(shù)開發(fā)在各類研究中均享有優(yōu)先權(quán)，涵蓋了動態(tài)網(wǎng)絡(luò)技術(shù)、動態(tài)平臺技術(shù)、動態(tài)運行環(huán)境技術(shù)、動態(tài)軟件和動態(tài)數(shù)據(jù)技術(shù)等五大方面。2012年，美國堪薩斯大學(xué)為美空軍科學(xué)研究辦公室研究“自適應(yīng)計算機網(wǎng)絡(luò)”項目，開啟了移動目標(biāo)防御的學(xué)術(shù)研究先河。2013年，佛羅里達(dá)理工學(xué)院與美國防部簽訂合同，引領(lǐng)全新網(wǎng)絡(luò)安全研究項目——設(shè)計、實現(xiàn)用于計算機網(wǎng)絡(luò)移動目標(biāo)防御管理和協(xié)調(diào)的指揮控制框架。近期，美國雷聲公司受美陸軍委托，開展“限制敵方偵察的變形網(wǎng)絡(luò)設(shè)施”項目，研制具有“變形”能力的計算機網(wǎng)絡(luò)原型機，涉及對網(wǎng)絡(luò)、主機和應(yīng)用程序進(jìn)行動態(tài)調(diào)整和配置的相關(guān)技術(shù)。

在安全機制上，移動目標(biāo)防御不是單純依靠額外固定附加，而主要是通過隨機調(diào)動信息系統(tǒng)本身原有資源的冗余性、異構(gòu)性和空間分布性，作為網(wǎng)絡(luò)空間安全領(lǐng)域的新思路，反映了未來網(wǎng)絡(luò)防御將“死”網(wǎng)絡(luò)變成“活”網(wǎng)絡(luò)的技術(shù)發(fā)展趨勢，還將會有更多的研發(fā)投入，更多的成果應(yīng)用。

蜜罐誘騙防御

常規(guī)的網(wǎng)絡(luò)安全防護(hù)主要是從正面抵御網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)活動、用戶及可能的攻擊者進(jìn)行監(jiān)控，對有關(guān)安全事件進(jìn)行檢測和回應(yīng)，從而改進(jìn)防御措施。雖然網(wǎng)絡(luò)安全防御逐步取得了重大進(jìn)步，包括自適應(yīng)機制、提高可視化等方法，但仍未改變網(wǎng)絡(luò)空間易攻難守的基本局面。近年來才被重視起來但尚未被廣泛使用的蜜罐（蜜網(wǎng)、蜜場，蜜罐的升級與延伸）誘騙防御則提出了一個“旁路引導(dǎo)”的新理念，即通過吸納網(wǎng)絡(luò)入侵和消耗攻擊者的資源來減少網(wǎng)絡(luò)入侵對真正要防護(hù)目標(biāo)的威脅，進(jìn)而贏得時間與信息以增強安全防護(hù)策略與措施，彌補傳統(tǒng)網(wǎng)絡(luò)空間防御體系的不足。蜜罐誘騙防御與其他網(wǎng)絡(luò)安全防護(hù)技術(shù)相結(jié)合，共同構(gòu)成多層次的網(wǎng)絡(luò)安全保障體系。

蜜罐誘騙防御是主動地利用安全防御層級較低的計算機網(wǎng)絡(luò)，引誘、捕獲并分析各類攻擊，了解攻擊手段和屬性，在真正需要做網(wǎng)絡(luò)防御的計算機網(wǎng)絡(luò)系統(tǒng)上設(shè)置相應(yīng)的防御體系，以阻止類似攻擊。蜜罐可分為兩種類型，即產(chǎn)品型蜜罐和研究型蜜罐。前者主要目的是減輕攻擊的威脅，增強受保護(hù)機器的安全性。這種蜜罐所做的工作是檢測并防范惡意攻擊者；后者則是專門為研究和獲取攻擊信息而設(shè)計，不強調(diào)內(nèi)部安全性，反而是使用各種監(jiān)控技術(shù)來捕獲攻擊者的行為，要求網(wǎng)絡(luò)健壯且監(jiān)視能力強大。通常，蜜罐建立在真實的網(wǎng)絡(luò)系統(tǒng)環(huán)境中，計算機系統(tǒng)均是標(biāo)準(zhǔn)機器，運行的也是真實完整的操作系統(tǒng)及應(yīng)用，并不刻意模擬某種環(huán)境或不安全的系統(tǒng)，以達(dá)到增加誘騙的效果。整個誘騙系統(tǒng)均由防火墻和入侵檢測系統(tǒng)保護(hù)，所有出入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)都會受到監(jiān)聽、捕獲和控制。從該系統(tǒng)中捕獲到的所有數(shù)據(jù)都將被用于研究網(wǎng)絡(luò)攻擊使用的工具、方法及其動機。

基于蜜罐技術(shù)的誘騙防御吸引了全球的安全團(tuán)體。世界蜜網(wǎng)項目組織旗下已擁有32支來自世界各國（地區(qū)）的研究團(tuán)隊，其中我國北京大學(xué)計算機安全研究所的“狩獵女神”項目組被評為三支最佳團(tuán)隊之一；美國著名安全公司賽門鐵克已推出相關(guān)安全產(chǎn)品，并進(jìn)入網(wǎng)絡(luò)安全市場。蜜罐誘騙防御關(guān)鍵技術(shù)主要集聚在以下幾方面：

網(wǎng)絡(luò)誘騙

如IP地址欺騙、模擬系統(tǒng)漏洞引誘攻擊、模擬訪問流量、對系統(tǒng)動態(tài)端口的配置等，作用是檢測進(jìn)攻手段，獲取攻擊目的，耗費入侵者大量的時間和資源。

數(shù)據(jù)采集

數(shù)據(jù)采集是指蜜罐對監(jiān)控的所有威脅活動的記錄，也是蜜罐系統(tǒng)設(shè)計中的核心模塊。正是利用這種捕獲的數(shù)據(jù)，就可以分析攻擊者的動機、策略和使用工具。

數(shù)據(jù)分析

主要是對攻擊行為特征進(jìn)行分析，也是蜜罐系統(tǒng)的技術(shù)難點。蜜罐收集信息往往龐雜且缺乏必然的聯(lián)系，需要建立數(shù)據(jù)統(tǒng)計模型形成專門的分析模塊以實現(xiàn)數(shù)據(jù)分析。

數(shù)據(jù)控制

蜜罐誘騙攻擊本身就存在隱患，加之網(wǎng)絡(luò)中存在的其它安全漏洞，控制蜜罐主機數(shù)據(jù)的流入和流出，以確保蜜罐主機安全可控，對整個網(wǎng)絡(luò)安全有著極其重要的作用。數(shù)據(jù)控制可以對網(wǎng)絡(luò)入侵活動進(jìn)行遏制，以減輕攻擊者利用蜜罐或惡意代碼的攻擊。

蜜罐誘騙防御將更多地應(yīng)用于敏感目標(biāo)網(wǎng)絡(luò)中，因為這里有更多的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊千變?nèi)f化，人的智慧也在不斷地融入到攻擊的每一過程中，這都會對誘騙防御提出更高的要求。構(gòu)建不同的誘騙技術(shù)途徑，在誘騙性和安全性上達(dá)到一個合理的平衡，在確保安全性的同時達(dá)到多層次深度交互、不易識別的目的，需要進(jìn)一步的研究與完善?？梢钥隙ǖ氖?，基于誘騙的網(wǎng)絡(luò)積極防御思想將會被進(jìn)一步重視，實現(xiàn)誘騙的技術(shù)途徑也將會越來越多。

聯(lián)動協(xié)同防御

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊除了手段越來越復(fù)雜、獲取攻擊工具越來越容易以及攻擊頻率大幅增高外，還呈現(xiàn)出大規(guī)模、分布式、協(xié)同化的新特點。而且，網(wǎng)絡(luò)攻擊具有隱蔽性，及時發(fā)現(xiàn)已成應(yīng)對的關(guān)鍵。目前雖然普遍部署了大量的安全防護(hù)裝備、迥異的安全防御技術(shù)，但大都是“各自為戰(zhàn)”，尚未實現(xiàn)全面、有效的一體化協(xié)同聯(lián)動應(yīng)用。網(wǎng)絡(luò)防護(hù)節(jié)點問的數(shù)據(jù)難共享，防護(hù)技術(shù)不關(guān)聯(lián)，導(dǎo)致目前的防御體系是孤立和靜態(tài)的，已不能滿足日趨復(fù)雜的網(wǎng)絡(luò)安全形勢需要。美國“愛因斯坦計劃”最初的動因就在于各聯(lián)邦機構(gòu)獨享互聯(lián)網(wǎng)出口，使得整體安全性難以保障。通過協(xié)同聯(lián)動機制把網(wǎng)絡(luò)中相對獨立的安全防護(hù)設(shè)備和技術(shù)有機組合起來，取長補短，互相配合，共同抵御各種攻擊，已成為未來網(wǎng)絡(luò)空間安全防御發(fā)展的必然選擇。

聯(lián)動協(xié)同防御是指利用現(xiàn)有安全技術(shù)、措施和設(shè)備，將時間上分離、空間上分布而工作上又相互依賴的多個安全系統(tǒng)有機組織起來，從而使整個安全系統(tǒng)具有預(yù)防、檢測、分析、恢復(fù)、對抗等綜合防御功能，使其能夠最大程度或近似最大程度地發(fā)揮效能。縱向上，是多個安全技術(shù)的聯(lián)動協(xié)同防御。即一種安全技術(shù)直接包含或是通過某種通信方式鏈接另一種安全技術(shù)。如美國海軍網(wǎng)絡(luò)防御體系采用的“縱深防御”機制，針對核心部署層層防護(hù)措施，包括基于標(biāo)志的攻擊檢測、廣域網(wǎng)安全審計、脆弱性警報等，并依據(jù)每一層具體不同的網(wǎng)絡(luò)環(huán)境特殊性各有側(cè)重，攻擊方須突破多個防御層才能進(jìn)入系統(tǒng)，從而降低其成功攻擊幾率。橫向上，則為多個網(wǎng)絡(luò)節(jié)點的聯(lián)動協(xié)同。當(dāng)系統(tǒng)中某節(jié)點受到威脅時，節(jié)點能夠及時將威脅信息轉(zhuǎn)發(fā)給其他節(jié)點并發(fā)布威脅告警，按照一定策略通知其他節(jié)點采取相應(yīng)防護(hù)措施，如快速隔離威脅源，阻止或減緩可能發(fā)生的連鎖破壞效應(yīng)，進(jìn)行一體化調(diào)整和部署防護(hù)策略和規(guī)則，提供安全防護(hù)體系的整體能力。

聯(lián)動協(xié)同防御的關(guān)鍵技術(shù)包括安全數(shù)據(jù)處理、安全態(tài)勢生成、安全防護(hù)數(shù)據(jù)分發(fā)與管理、安全防護(hù)資源與業(yè)務(wù)集成和安全防護(hù)裝備協(xié)同運行等技術(shù)，也是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點。較有代表性的研究有三個方向：

通過集成提升現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

如添加信息管理子系統(tǒng)，升級攻擊防御系統(tǒng)為攻擊管理系統(tǒng)，可收集、關(guān)聯(lián)、管理網(wǎng)絡(luò)安全體系各方面反饋信息，增強判斷后續(xù)攻擊能力，通過技術(shù)整合，實現(xiàn)可視、可控、可管的防御體系。

應(yīng)用“黑板”架構(gòu)來解決多安全系統(tǒng)協(xié)同

技術(shù)核心在于完成并行和分布計算的“黑板”模型，實現(xiàn)異構(gòu)知識源集成。“黑板”提供各系統(tǒng)之間的共享信息，根據(jù)安全閾值不同，各安全系統(tǒng)采取不同的響應(yīng)；

基于多智能體的安全技術(shù)協(xié)同

多智能體可以通過協(xié)同和分布式信息處理實現(xiàn)對大規(guī)模網(wǎng)絡(luò)的監(jiān)控、通信、數(shù)據(jù)收集和分析，近年來多智能體在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面也開始得到應(yīng)用。具體采用“全民皆兵”思想，多個智能體負(fù)責(zé)不同功能（協(xié)同控制），如網(wǎng)絡(luò)事件、特征檢測、脆弱掃描、攻擊分析等，輔以主動安全系統(tǒng)用來交換攻擊信息并響應(yīng)攻擊，通過實時審計、實時共享安全信息、實時調(diào)度，實現(xiàn)多層次、全方位的安全目的。

昔日的單兵作戰(zhàn)已不能適應(yīng)當(dāng)今網(wǎng)絡(luò)安全防御的需要，全局意識指導(dǎo)下的協(xié)同聯(lián)動戰(zhàn)術(shù)將躍升為網(wǎng)絡(luò)安全領(lǐng)域的主流。整合多種防御技術(shù)，使其各司其職、彼此協(xié)作，努力推動網(wǎng)絡(luò)安全探索從分散到協(xié)同、從無序到有序，建立組織性或準(zhǔn)組織性的防御體系，才能更有效地防患于未然，拒攻擊于門外。

最優(yōu)策略防御

網(wǎng)絡(luò)與生俱來的隱蔽、快捷以及跨越國境易、追蹤溯源難等突出特性，同傳統(tǒng)的陸、海、空、天“四維疆域”一樣，網(wǎng)絡(luò)空間這一新興“第五疆域”也難以擺脫國際無政府狀態(tài)的魔咒。網(wǎng)絡(luò)空間的攻擊越來越復(fù)雜，而現(xiàn)有主流安全技術(shù)都是針對特定安全漏洞或攻擊進(jìn)行特定防護(hù)，具有很強的針對性與時效性，但也表現(xiàn)出技術(shù)復(fù)雜、防護(hù)成本高、效率低等問題。理想的網(wǎng)絡(luò)安全防護(hù)當(dāng)然是對所有的弱項或攻擊行為都做出對應(yīng)的防護(hù)，但是從組織資源限制等情況考慮，追求絕對安全、“不惜一切代價”的防御顯然是不現(xiàn)實的。基于“適度安全”理念，最優(yōu)策略防御呼之欲出。

最優(yōu)策略防御可以理解為在網(wǎng)絡(luò)安全風(fēng)險和投入之間尋求一種均衡，利用有限的資源做出最合理決策的防御。策略最優(yōu)，通?；谌齻€層次考量：

防御成本層

即便是實力超群的美國，為確保網(wǎng)絡(luò)空間的“絕對優(yōu)勢”與“行動自由”，也是打造網(wǎng)絡(luò)空間集體防御體系。網(wǎng)絡(luò)時代的“五眼同盟”、事實上的“網(wǎng)絡(luò)北約”、美國與澳大利亞將網(wǎng)絡(luò)空間防御納入軍事同盟協(xié)定以及日美2013年首次“網(wǎng)絡(luò)對話”發(fā)布網(wǎng)絡(luò)防御合作聯(lián)合聲明，其背后無不有“成果共享、成本分?jǐn)偂钡挠白印?/p>

防御配置層次

即考慮網(wǎng)絡(luò)資產(chǎn)關(guān)鍵度和潛在的攻擊以確定最優(yōu)的防御配置。針對單個攻擊，防御決策只需選擇綜合防御代價最小的策略。而在多步（個）攻擊情況下一些防御配置則可能對某個攻擊有效，而對其他攻擊無效，這就需要考慮防御配置對特定攻擊的有效性及負(fù)面影響等因素。此外，每個攻擊的發(fā)生概率是未知的，保證防御配置最優(yōu)，就要使得期望綜合防御代價最低。

防御風(fēng)險層次

對絕對安全的追求將會秉持安全至上原則，在制訂戰(zhàn)略目標(biāo)和對威脅做出反應(yīng)時，絕對安全的邏輯和思維容易忽視所擁有資源和手段的有限性、合法性，導(dǎo)致在戰(zhàn)略上過度擴張，難以掌握進(jìn)退。同時，一個國家的絕對安全，就意味著其他國家的絕對不安全。其他國家為了維護(hù)本國的網(wǎng)絡(luò)安全，也會競相加強相關(guān)網(wǎng)絡(luò)軍事力量的建設(shè)，這終將導(dǎo)致網(wǎng)絡(luò)軍備競賽的安全困境。

最優(yōu)策略防御在技術(shù)層面上的研究主要圍繞策略“最優(yōu)”而展開集中在網(wǎng)絡(luò)空間安全測評、網(wǎng)絡(luò)空間防御成本量化計算、代價分析、安全防御模型構(gòu)建與演化等研究方向上，涉及近年來逐漸成為研究熱點的信息安全經(jīng)濟學(xué)、博弈論等理論方法與技術(shù)。網(wǎng)絡(luò)空間安全測評是保障網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)，能夠預(yù)先識別網(wǎng)絡(luò)系統(tǒng)脆弱性以及所面臨的潛在的安全威脅，從而根據(jù)安全需求來選取符合最優(yōu)成本效應(yīng)的安全防御措施和策略，目前研究重點主要集中在網(wǎng)絡(luò)安全評估模型及其評價技術(shù)方面。在成本量化計算和代價分析方面，當(dāng)前完整的網(wǎng)絡(luò)空間攻防分類及其成本敏感模型、網(wǎng)絡(luò)脆弱性利用成本估算模型及其量化評估均取得了一些研究成果，但還處于起步階段，尚未形成系統(tǒng)化的理論方法，需要進(jìn)一步深入研究。在安全防御模型構(gòu)建與演化方向，由于網(wǎng)絡(luò)攻防對抗的本質(zhì)特征是攻防雙方的目標(biāo)對立性、關(guān)系非合作性、策略依存性，而這些正是博弈論的基本特征。將博弈論的思想應(yīng)用到網(wǎng)絡(luò)攻擊和防御中，為解決最優(yōu)防御決策等難題研究提供了一種新思路。

最優(yōu)策略防御的實現(xiàn)具有高度復(fù)雜性，形式化定義網(wǎng)絡(luò)安全防御策略選取、刻畫網(wǎng)絡(luò)安全攻防矛盾均需要堅實的基礎(chǔ)研究支撐。進(jìn)一步講，應(yīng)用隨機博弈來對網(wǎng)絡(luò)中的正常節(jié)點和惡意節(jié)點進(jìn)行理性分析、利用不完全信息重復(fù)博弈對網(wǎng)絡(luò)空間攻擊者和防御者行為建模、基于博弈理論的攻擊意圖和策略推理模型等，是未來網(wǎng)絡(luò)安全最優(yōu)策略防御更有潛力的研究方向。

入侵容忍防御

提及網(wǎng)絡(luò)空間安全，往往想到的主要是如何提高防御能力，以及事后被動的應(yīng)急響應(yīng)等。但網(wǎng)絡(luò)空間存在著諸多可變因素和未知數(shù)，網(wǎng)絡(luò)空間面臨的威脅很多是不可預(yù)見、無法抗拒和防不勝防的，防護(hù)再好也不能完全避免系統(tǒng)失效、使命偏離甚至中斷運行等現(xiàn)象發(fā)生，而傳統(tǒng)的可靠性理論和容錯計算技術(shù)面對這種隨時可能出現(xiàn)的事件顯得過于笨拙，難以滿足實際需要，因此亟需自動而靈活的防護(hù)方法。這就不得不思考比單純防護(hù)更全面更深層次的問題。在此背景下，與傳統(tǒng)安全技術(shù)思路不同的新一代入侵容忍防御愈發(fā)受到重視。入侵容忍防御是網(wǎng)絡(luò)空間安全的一道更具寬度和厚度的閘門，是網(wǎng)絡(luò)空間安全向縱深發(fā)展的重要一步。

入侵容忍是第三代網(wǎng)絡(luò)安全技術(shù)，其不同于以防御為主要手段的第一代網(wǎng)絡(luò)安全技術(shù)和以檢測為主要手段的第二代網(wǎng)絡(luò)安全技術(shù)。入侵容忍承認(rèn)脆弱點的存在，并且假設(shè)這些脆弱點能夠被入侵者利用而使系統(tǒng)遭到入侵，其關(guān)注的不是如何防御或檢測入侵，而是考慮系統(tǒng)在已遭到入侵的情況下，如何有效地屏蔽或遏制入侵行為，并保證系統(tǒng)中數(shù)據(jù)的機密性、完整性，以及系統(tǒng)對外服務(wù)的可用性。入侵容忍可分為兩類：

基于攻擊屏蔽的入侵容忍

在設(shè)計時充分考慮系統(tǒng)在遭到入侵時可能發(fā)生的情況，通過預(yù)先采取的措施，使得系統(tǒng)在遭到入侵時能夠成功地屏蔽入侵，即好像入侵并未發(fā)生一樣?；诠羝帘蔚娜肭秩萑滩灰笙到y(tǒng)能夠檢測到入侵，在入侵發(fā)生后也不要求系統(tǒng)對入侵作出響應(yīng)，對入侵的容忍完全依靠系統(tǒng)設(shè)計時所預(yù)先采取的安全措施。

基于攻擊響應(yīng)的入侵容忍

與基于攻擊屏蔽的入侵容忍系統(tǒng)不同，基于攻擊響應(yīng)的入侵容忍系統(tǒng)需通過對入侵的檢測和響應(yīng)來實現(xiàn)。當(dāng)入侵發(fā)生時，基于攻擊響應(yīng)的入侵容忍系統(tǒng)首先通過其入侵檢測系統(tǒng)檢測并識別入侵，然后根據(jù)具體的入侵行為以及系統(tǒng)在入侵狀態(tài)下的具體情況，選擇合適的安全措施，如進(jìn)程清除、拒絕服務(wù)請求、資源重分配、系統(tǒng)重構(gòu)等來清除或遏制入侵行為。

入侵容忍技術(shù)近期才開始引起業(yè)界的注意，并逐漸成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的一個研究熱點。具體實現(xiàn)技術(shù)包括多樣化冗余技術(shù)、秘密共享技術(shù)、系統(tǒng)重構(gòu)技術(shù)等。

多樣化冗余技術(shù)

通過引入額外的資源來減少不可預(yù)料事件破壞系統(tǒng)的可能性，方法有硬件冗余、軟件冗余、信息冗余以及時間冗余等幾種。多樣化既指多種冗余方法的結(jié)合，也指同一種方法中不同冗余部件或?qū)崿F(xiàn)方式的結(jié)合。

秘密共享技術(shù)

指將一個秘密在多個參與者中進(jìn)行分配，并規(guī)定只有具有資質(zhì)的參與者集合才能夠恢復(fù)原始秘密。即除非入侵者能夠攻陷所有參與者，否則就不能獲取原始數(shù)據(jù)。而且，只要未被全部攻陷，系統(tǒng)仍可恢復(fù)原始數(shù)據(jù)。

系統(tǒng)重構(gòu)技術(shù)

指利用冗余軟硬件資源以及預(yù)設(shè)組合方法，來實現(xiàn)系統(tǒng)在異常情況下的自恢復(fù)。對各種復(fù)制品和系統(tǒng)資源進(jìn)行重配置，是入侵容忍中系統(tǒng)重構(gòu)的重要策略。復(fù)制品的重配置包括復(fù)制品的創(chuàng)建、刪除、轉(zhuǎn)移等操作；而資源重配置主要是指通過犧牲非關(guān)鍵對象的資源來確保關(guān)鍵對象擁有足夠的可使用資源。

入侵容忍的相關(guān)理論和技術(shù)已經(jīng)取得了較多的研究成果，但入侵容忍畢竟是一個新興的研究領(lǐng)域，還主要偏重于秘密共享技術(shù)、多樣化冗余技術(shù)等的應(yīng)用，被入侵狀態(tài)下的重構(gòu)和自適應(yīng)技術(shù)等方面的研究相對欠缺。入侵容忍防御成本、代價、效益等研究，是入侵容忍最終能夠形成一個完善體系所必需的一部分，也將是更進(jìn)一步的研究方向。