斯雪明，王偉，曾俊杰，楊本朝，李光松，苑超，張帆

（1.中國(guó)人民解放軍信息工程大學(xué)數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州450001；2.中國(guó)人民解放軍信息工程大學(xué)國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州450002）

擬態(tài)防御基礎(chǔ)理論研究綜述

斯雪明1，王偉1，曾俊杰1，楊本朝1，李光松1，苑超1，張帆2

（1.中國(guó)人民解放軍信息工程大學(xué)數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州450001；2.中國(guó)人民解放軍信息工程大學(xué)國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州450002）

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)空間安全問(wèn)題已成為關(guān)系到國(guó)家安全的大問(wèn)題。本文首先介紹了一些經(jīng)典的網(wǎng)絡(luò)安全防御技術(shù)；其次介紹了擬態(tài)防御技術(shù)，包括擬態(tài)防御系統(tǒng)的構(gòu)成、擬態(tài)防御的科學(xué)問(wèn)題及其理論框架，對(duì)比傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)，分析了擬態(tài)防御系統(tǒng)的有效性；最后對(duì)擬態(tài)防御基礎(chǔ)理論還需要解決的問(wèn)題做了闡述。

擬態(tài)防御；網(wǎng)絡(luò)空間；移動(dòng)目標(biāo)防御；擬態(tài)變換

DOI 10.15302/J-SSCAE-2016.06.013

一、前言

近年來(lái)，世界各國(guó)高度重視網(wǎng)絡(luò)空間這一新興全球公共領(lǐng)域，并圍繞網(wǎng)絡(luò)空間發(fā)展權(quán)、主導(dǎo)權(quán)和控制權(quán)展開(kāi)激烈角逐。隨著全球網(wǎng)絡(luò)空間重要性的日益凸顯，網(wǎng)絡(luò)空間安全問(wèn)題已成為亟待解決的重要問(wèn)題，網(wǎng)絡(luò)空間安全技術(shù)已成為關(guān)系到國(guó)家利益和安全的核心技術(shù)[1]。

傳統(tǒng)的網(wǎng)絡(luò)安全防御思想是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的基礎(chǔ)上建立包括防火墻和安全網(wǎng)關(guān)、安全路由器/交換機(jī)、入侵檢測(cè)、病毒查殺、用戶(hù)認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密技術(shù)、安全評(píng)估與控制、可信計(jì)算、分級(jí)保護(hù)等多層次的防御體系，通過(guò)不同類(lèi)型傳統(tǒng)安全技術(shù)的綜合應(yīng)用來(lái)提升網(wǎng)絡(luò)及其應(yīng)用的安全性。但近年來(lái)不斷被披露的國(guó)內(nèi)外網(wǎng)絡(luò)安全事件及由此帶來(lái)的嚴(yán)重后果也逐漸暴露了傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)存在的問(wèn)題。為此，突破依賴(lài)于對(duì)網(wǎng)絡(luò)攻擊先驗(yàn)知識(shí)的靜態(tài)、被動(dòng)式的防御技術(shù)的局限，提出網(wǎng)絡(luò)安全動(dòng)態(tài)防御的創(chuàng)新思路，研究新型網(wǎng)絡(luò)安全架構(gòu)的基礎(chǔ)理論與關(guān)鍵技術(shù)已成為網(wǎng)絡(luò)安全領(lǐng)域的重要研究方向。

二、國(guó)內(nèi)外相關(guān)理論研究成果

（一）移動(dòng)目標(biāo)防御（MTD）技術(shù)

MTD技術(shù)是美國(guó)近年來(lái)提出的網(wǎng)絡(luò)空間“改變游戲規(guī)則”的革命性技術(shù)之一，其構(gòu)建、評(píng)價(jià)和部署機(jī)制及策略是多樣的、不斷變化的[2～5]。這種不斷變化的思路可以增加攻擊者的攻擊難度及代價(jià)，有效限制脆弱性暴露及被攻擊的機(jī)會(huì)，提高系統(tǒng)的彈性。在理論研究上，2014年Zhuang等提出一個(gè)初步的理論來(lái)回答MTD的有效性問(wèn)題，并討論了MTD系統(tǒng)的關(guān)鍵概念和基本性質(zhì)，提出了MTD熵假設(shè)，即系統(tǒng)配置的熵越大，則該系統(tǒng)就越有效[6]。

（二）端信息跳變技術(shù)

端信息跳變技術(shù)是指在端到端的數(shù)據(jù)傳輸中通信雙方或一方按協(xié)定偽隨機(jī)地改變端口、地址、時(shí)隙、加密算法甚至協(xié)議等端信息，從而破壞敵方的攻擊與干擾，實(shí)現(xiàn)主動(dòng)網(wǎng)絡(luò)防護(hù)。

基于端信息跳變的主動(dòng)網(wǎng)絡(luò)防護(hù)模型包括預(yù)警分析、協(xié)同控制、端信息管理和任務(wù)切換4個(gè)模塊以及眾多任務(wù)機(jī)群。預(yù)警分析模塊負(fù)責(zé)對(duì)當(dāng)前網(wǎng)絡(luò)遭受的攻擊進(jìn)行信息收集分析；協(xié)同控制模塊是整個(gè)系統(tǒng)的核心，協(xié)調(diào)各模塊實(shí)現(xiàn)網(wǎng)絡(luò)防御；端信息管理模塊用于偽隨機(jī)地產(chǎn)生端信息跳變圖案；任務(wù)切換模塊則按照協(xié)同控制模塊的指令進(jìn)行干擾、通信、蜜罐等任務(wù)轉(zhuǎn)換，實(shí)現(xiàn)協(xié)同防御。研究結(jié)果表明，相比于傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)，端信息跳變具有抗攻擊性強(qiáng)、主動(dòng)性、抗截獲性、性能增量性等優(yōu)勢(shì)[7]。

（三）擬態(tài)式蜜罐動(dòng)態(tài)博弈模型

擬態(tài)式蜜罐是指在傳統(tǒng)蜜罐網(wǎng)絡(luò)基礎(chǔ)上通過(guò)綜合運(yùn)用模擬服務(wù)環(huán)境的保護(hù)色機(jī)制和模擬蜜罐特征的警戒色機(jī)制進(jìn)行擬態(tài)演化和對(duì)抗博弈，以有效迷惑和誘騙攻擊者，實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)抗。保護(hù)色指蜜罐在硬件、軟件、數(shù)據(jù)、服務(wù)信息等方面模仿周邊服務(wù)器和網(wǎng)絡(luò)環(huán)境的特征，使得攻擊者難以識(shí)別蜜罐的存在；而警戒色指服務(wù)器在硬件、軟件或數(shù)據(jù)等方面模仿蜜罐特征，使得攻擊者將該系統(tǒng)認(rèn)作蜜罐而躲避攻擊[8,9]。

蜜罐防護(hù)是防御者和攻擊者參與的理性、非合作的誘騙過(guò)程，攻防雙方策略相互依存，都期望保護(hù)自身信息并獲得對(duì)方信息以獲得收益最大化，因而構(gòu)成了非合作不完全信息動(dòng)態(tài)博弈。從不同局中人視角來(lái)看，博弈對(duì)手具有不同的類(lèi)型。在攻擊者視角中，博弈對(duì)手不再是只有“真實(shí)服務(wù)”這一單一服務(wù)類(lèi)型，而是增加了“蜜罐”和“偽蜜罐”這兩種欺騙服務(wù)類(lèi)型；從防御者視角來(lái)看，博弈對(duì)手有合法用戶(hù)和攻擊者兩種不同類(lèi)型的來(lái)訪者。給定攻防雙方收益矩陣，根據(jù)攻擊者是否知曉偽蜜罐的存在，可分析確定出雙方策略到達(dá)貝葉斯納什均衡的條件。

（四）非相似余度計(jì)算機(jī)系統(tǒng)

非相似余度計(jì)算機(jī)系統(tǒng)是一種應(yīng)用于飛控系統(tǒng)中的計(jì)算機(jī)系統(tǒng)，它使用不同的、完全獨(dú)立的設(shè)計(jì)組，使用不同的開(kāi)發(fā)語(yǔ)言、不同的開(kāi)發(fā)工具，并在不同的處理器上運(yùn)行，達(dá)到避免共性故障、提高關(guān)鍵系統(tǒng)的任務(wù)可靠性目的。設(shè)計(jì)者應(yīng)用一種簡(jiǎn)化的馬爾可夫模型對(duì)其進(jìn)行了可靠性分析。試驗(yàn)結(jié)果表明，非相似余度計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)提高了系統(tǒng)可靠性，平均故障間隔時(shí)間達(dá)到了9 000 h以上[10]。

三、信息系統(tǒng)形式化描述及其安全性

為了對(duì)網(wǎng)絡(luò)空間中各種錯(cuò)綜復(fù)雜的因素及其關(guān)系、影響等進(jìn)行合理的數(shù)學(xué)建模，需要對(duì)信息系統(tǒng)進(jìn)行更科學(xué)合理的描述，進(jìn)而采用形式化的方法對(duì)擬態(tài)防御系統(tǒng)進(jìn)行描述。通過(guò)對(duì)信息系統(tǒng)做形式化描述，進(jìn)而對(duì)擬態(tài)防御系統(tǒng)進(jìn)行形式化描述，可以為闡述如何應(yīng)用擬態(tài)防御的思想對(duì)網(wǎng)絡(luò)空間中的信息系統(tǒng)進(jìn)行保護(hù)，介紹擬態(tài)變換的原理、方式奠定理論基礎(chǔ)。

（一）傳統(tǒng)信息系統(tǒng)的形式化描述

基于不同的關(guān)注角度和研究目的，信息系統(tǒng)可以由不同的核心要素來(lái)刻畫(huà)。一般來(lái)說(shuō)，信息系統(tǒng)的構(gòu)成要素較多，如軟件、硬件、操作、策略等，為了表述方便，可借助于多維空間中的向量（組）(v1, v2, …, vn)進(jìn)行描述（見(jiàn)圖1）。

信息系統(tǒng)通常不是一成不變的，往往需要根據(jù)外在條件或周?chē)鸂顩r在某些時(shí)間做相應(yīng)調(diào)整，從而使信息系統(tǒng)與時(shí)間因素相關(guān)。假定當(dāng)前研究主要關(guān)注的信息系統(tǒng)要素除時(shí)間外還有m個(gè)，那么信息系統(tǒng)在不同的時(shí)間點(diǎn)可能會(huì)有多個(gè)不同的狀態(tài)。當(dāng)然對(duì)于這些不同的要素還可以進(jìn)一步用小指標(biāo)來(lái)細(xì)分表示，即可以根據(jù)所研究問(wèn)題的需要，選擇合適的粒度表示一個(gè)信息系統(tǒng)。

圖1 信息系統(tǒng)多維向量示意圖

（二）從安全角度考慮的信息系統(tǒng)實(shí)例

對(duì)于網(wǎng)絡(luò)空間中的信息系統(tǒng)，與安全相關(guān)的因素很多，把影響信息系統(tǒng)安全的某個(gè)具體因素稱(chēng)為基本元素，這是研究時(shí)考慮的基本單元。對(duì)于影響網(wǎng)絡(luò)空間安全的基本元素通?？梢园阉鼈儦w為：網(wǎng)絡(luò)、平臺(tái)、運(yùn)行環(huán)境、軟件、數(shù)據(jù)等類(lèi)別，它們形成了系統(tǒng)的不同層次。

一般來(lái)說(shuō)，各要素的基本元素?cái)?shù)量是不同的，為對(duì)這些信息系統(tǒng)的構(gòu)成要素和元素進(jìn)行統(tǒng)一描述，不妨假設(shè)信息系統(tǒng)有m個(gè)要素，每個(gè)要素都有n個(gè)元素， n = max{n1, n2, …, nm}，i = 1, 2, …, m，其中ni為第i個(gè)要素的元素個(gè)數(shù)。對(duì)于元素個(gè)數(shù)少于n的要素，以空元素來(lái)進(jìn)行擴(kuò)充。如果用xij表示第i個(gè)要素中第j個(gè)元素的狀態(tài)，那么t時(shí)刻信息系統(tǒng)的狀態(tài)我們可以用矩陣Ω(t)來(lái)表示。

為了研究方便，不妨假定當(dāng)前考慮的安全相關(guān)基本要素分為網(wǎng)絡(luò)、平臺(tái)、運(yùn)行環(huán)境、軟件、數(shù)據(jù)5類(lèi)。

網(wǎng)絡(luò)要素包含網(wǎng)絡(luò)的連接形式、通信標(biāo)準(zhǔn)、安全協(xié)議、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)地址、網(wǎng)絡(luò)端口等元素。

平臺(tái)要素指的是信息系統(tǒng)依賴(lài)的硬件設(shè)備及支撐性軟件等部件，包含多種類(lèi)型的硬件設(shè)備、操作系統(tǒng)、處理器架構(gòu)、虛擬機(jī)、存儲(chǔ)系統(tǒng)等元素。

運(yùn)行環(huán)境要素指的是平臺(tái)與上層應(yīng)用的接口，包含指令集、地址空間等元素。

軟件要素是指信息系統(tǒng)中安裝的各種應(yīng)用軟件，包含具有不同軟件執(zhí)行體、程序指令序列、指令格式、內(nèi)部數(shù)據(jù)結(jié)構(gòu)等元素。

數(shù)據(jù)要素指的是與信息服務(wù)相關(guān)的系統(tǒng)中存儲(chǔ)的各類(lèi)數(shù)據(jù)，包含格式、語(yǔ)法、編碼等元素。上述的網(wǎng)絡(luò)、平臺(tái)、運(yùn)行環(huán)境、軟件、數(shù)據(jù)包含的各元素都和信息系統(tǒng)的安全息息相關(guān)。在這種意義下，可以把信息系統(tǒng)看成是網(wǎng)絡(luò)、平臺(tái)、運(yùn)行環(huán)境、軟件、數(shù)據(jù)的5層架構(gòu)。

四、擬態(tài)防御系統(tǒng)及其形式化描述

現(xiàn)有網(wǎng)絡(luò)空間的信息系統(tǒng)多是靜態(tài)的、相似的和確定的，其安全缺陷在于體系結(jié)構(gòu)層面具有持續(xù)性、穩(wěn)定性和可利用性，易于被攻擊或控制?；诼┒春秃箝T(mén)的攻擊高度依賴(lài)目標(biāo)系統(tǒng)的靜態(tài)性、相似性和確定性，目標(biāo)系統(tǒng)所暴露的時(shí)間越長(zhǎng)，可供攻擊者研究其運(yùn)行規(guī)律、發(fā)現(xiàn)其弱點(diǎn)、創(chuàng)建和驗(yàn)證有效攻擊方法的時(shí)間窗口就越大。如果能動(dòng)態(tài)地改變信息系統(tǒng)的狀態(tài)，阻斷或擾亂攻擊鏈所依賴(lài)的靜態(tài)性、相似性和確定性，可以達(dá)成系統(tǒng)安全風(fēng)險(xiǎn)可控的要求。

（一）擬態(tài)防御系統(tǒng)

擬態(tài)防御系統(tǒng)一般來(lái)說(shuō)由信息系統(tǒng)、擬態(tài)變換、異構(gòu)執(zhí)行體集與表決器等部件構(gòu)成。擬態(tài)防御系統(tǒng)通過(guò)主動(dòng)改變信息系統(tǒng)構(gòu)成要素的狀態(tài)，實(shí)現(xiàn)信息系統(tǒng)在不同狀態(tài)間的遷移，用于改變信息系統(tǒng)狀態(tài)的方法稱(chēng)為擬態(tài)變換。擬態(tài)變換可以有效地改變網(wǎng)絡(luò)攻擊所依賴(lài)的系統(tǒng)靜態(tài)性和確定性，對(duì)于擬態(tài)變換后面將做詳細(xì)描述。表決器的引入是為了進(jìn)一步迷惑攻擊者，降低系統(tǒng)被攻擊的風(fēng)險(xiǎn)，同時(shí)增加系統(tǒng)的可靠性，在目標(biāo)對(duì)象元功能與其等價(jià)的多元實(shí)現(xiàn)結(jié)構(gòu)或算法間導(dǎo)入不確定性映射關(guān)系，從而隱藏系統(tǒng)輸入與輸出的真實(shí)關(guān)系。MTD系統(tǒng)可以看作是擬態(tài)防御系統(tǒng)的一個(gè)特例，它通過(guò)一些擬態(tài)變換使系統(tǒng)具有動(dòng)態(tài)性特征，但是并沒(méi)有應(yīng)用異構(gòu)冗余架構(gòu)[11,12]。

（二）擬態(tài)變換

擬態(tài)變換是通過(guò)改變信息系統(tǒng)構(gòu)成要素的基本單元來(lái)實(shí)施的。擬態(tài)變換可以?xún)H對(duì)某一個(gè)構(gòu)成要素的一個(gè)基本元素進(jìn)行變換，也可以對(duì)該構(gòu)成要素的多個(gè)基本元素進(jìn)行變換；或是對(duì)多個(gè)要素的基本元素同時(shí)進(jìn)行變換，這可以看作是多種基本擬態(tài)變化的疊加。為了達(dá)到迷惑攻擊者的目的，在生存期內(nèi)信息系統(tǒng)在不同狀態(tài)間遷移所實(shí)施的擬態(tài)變換序列應(yīng)該是隨機(jī)的。也就是說(shuō)，在不同時(shí)刻要改變信息系統(tǒng)的狀態(tài)時(shí)，要采用什么樣的擬態(tài)變換，對(duì)哪些要素及哪些基本單元進(jìn)行變換，必須具有不確定性和隨機(jī)性。

擬態(tài)變換應(yīng)具備下列性質(zhì)：

（1）功能等效性。擬態(tài)變換前后，系統(tǒng)的功能一致。

（2）安全性。變換后系統(tǒng)的安全度要高于變換前的安全度。

（3）隨機(jī)性。攻擊者不能預(yù)測(cè)變換后的系統(tǒng)狀態(tài)。

（4）可疊加性。多個(gè)擬態(tài)變換共同作用到系統(tǒng)上其效果相當(dāng)于一個(gè)更復(fù)雜的擬態(tài)變換。

（三）擬態(tài)變換的設(shè)計(jì)

擬態(tài)變換的設(shè)計(jì)主要依據(jù)異構(gòu)冗余、動(dòng)態(tài)化、隨機(jī)化、分片化和碎片化、隱匿偽裝等原理，并且需要考慮不同層次的構(gòu)成要素和基本元素的特性。由于有些元素狀態(tài)的改變會(huì)有相關(guān)性，改變一個(gè)元素狀態(tài)可能會(huì)引起其他元素狀態(tài)的變化，這會(huì)影響系統(tǒng)狀態(tài)變化的效果，需要針對(duì)具體情況來(lái)分析。這里只是從構(gòu)造不同擬態(tài)變換的角度考慮，從改變一個(gè)狀態(tài)的方式來(lái)得到一個(gè)基本變換，并不關(guān)心從改變不同的元素狀態(tài)得到的擬態(tài)變換之間的等價(jià)性。

1.異構(gòu)冗余原理

異構(gòu)冗余原理就是為系統(tǒng)的基本元素產(chǎn)生多個(gè)功能相同的異構(gòu)執(zhí)行體或變體，根據(jù)某種設(shè)定的規(guī)則在這些異構(gòu)體中進(jìn)行隨機(jī)切換。以平臺(tái)層為例，在平臺(tái)層，操作系統(tǒng)是一個(gè)基本元素，異構(gòu)冗余原理就是為信息系統(tǒng)準(zhǔn)備多種不同的操作系統(tǒng)。

2.動(dòng)態(tài)化原理

動(dòng)態(tài)化原理就是使信息系統(tǒng)基本元素的狀態(tài)動(dòng)態(tài)變化。以網(wǎng)絡(luò)層為例，系統(tǒng)網(wǎng)絡(luò)之間互連的協(xié)議（IP）地址是一個(gè)基本元素，動(dòng)態(tài)化就是要設(shè)計(jì)一種機(jī)制讓系統(tǒng)的IP地址動(dòng)態(tài)變化。

3.隨機(jī)化原理

隨機(jī)化原理是使信息系統(tǒng)基本元素的狀態(tài)變成某個(gè)范圍內(nèi)的隨機(jī)信息。對(duì)于數(shù)據(jù)層的數(shù)據(jù)存儲(chǔ)狀態(tài)元素而言，加密是一種很容易理解的擬態(tài)變換，可以使存儲(chǔ)的信息變成隨機(jī)信息。

4.分片化和碎片化原理

分片化和碎片化原理主要針對(duì)數(shù)據(jù)層，可以把文件分成幾片按順序存儲(chǔ)在不同位置，甚至可以把文件分成更多的碎片，分別存儲(chǔ)在不同的位置。假定一個(gè)文件大小是1 M字節(jié)，可以如下設(shè)計(jì)擬態(tài)變換：將文件分為1 000份，每份長(zhǎng)度是1 K字節(jié)。假定計(jì)算機(jī)內(nèi)現(xiàn)有系統(tǒng)文件目錄2 000個(gè)，將這些目錄編號(hào)隨機(jī)選取1 000個(gè)，然后把文件碎片分別存儲(chǔ)進(jìn)這些目錄。

5.隱匿偽裝原理

隱匿偽裝原理指的是系統(tǒng)主動(dòng)隱藏狀態(tài)的真實(shí)屬性，以達(dá)到迷惑攻擊者的目的。如定義一個(gè)擬態(tài)變換改變文件名的后綴。M是一個(gè)PDF類(lèi)型的文件，通過(guò)變換把它的文件名后綴改為word類(lèi)型，以.doc結(jié)尾。這樣攻擊者拿到這個(gè)文件后，用word軟件無(wú)法打開(kāi)，會(huì)以為這是一個(gè)錯(cuò)誤文件而丟棄，從而起到保護(hù)文件的作用。

依據(jù)上述原則，針對(duì)不同層次的基本單元，可以設(shè)計(jì)相應(yīng)的基本擬態(tài)變換，然后再由這些基本的擬態(tài)變換構(gòu)造更復(fù)雜的擬態(tài)變換。表1中針對(duì)信息系統(tǒng)的5層架構(gòu)，分別列舉了主要的元素，以及可以設(shè)計(jì)的一些變換。

五、擬態(tài)防御科學(xué)問(wèn)題與理論框架

(一)擬態(tài)防御科學(xué)問(wèn)題

擬態(tài)安全理論研究的目標(biāo)是從理論上回答擬態(tài)安全主動(dòng)防御機(jī)理科學(xué)性的問(wèn)題，初步建立擬態(tài)安全基礎(chǔ)理論體系，并在此基礎(chǔ)上對(duì)擬態(tài)安全的關(guān)鍵技術(shù)和現(xiàn)有系統(tǒng)向擬態(tài)安全系統(tǒng)的演進(jìn)方法與方案進(jìn)行研究。擬態(tài)安全基本科學(xué)問(wèn)題包括網(wǎng)絡(luò)攻擊行為規(guī)律，擬態(tài)安全機(jī)制機(jī)理，擬態(tài)安全有效性，擬態(tài)安全系統(tǒng)量化評(píng)估等。

表1 擬態(tài)防御系統(tǒng)中不同層次的擬態(tài)變換

網(wǎng)絡(luò)攻擊行為規(guī)律研究針對(duì)信息系統(tǒng)的網(wǎng)絡(luò)攻擊方法，建立網(wǎng)絡(luò)攻擊鏈的模型，研究攻擊鏈的建立與網(wǎng)絡(luò)系統(tǒng)的靜態(tài)性、確定性、相似性和持續(xù)性的依賴(lài)關(guān)系，研究漏洞利用機(jī)制的形式化描述方法。

擬態(tài)安全機(jī)制機(jī)理研究擬態(tài)安全的可重構(gòu)、多態(tài)化、隨機(jī)化等特征及其對(duì)系統(tǒng)的靜態(tài)性、相似性、確定性和持續(xù)性的改變程度，闡明擬態(tài)安全破壞攻擊鏈的形成、降低攻擊成功率的機(jī)制機(jī)理，揭示擬態(tài)安全的風(fēng)險(xiǎn)控制本質(zhì)。通過(guò)對(duì)相關(guān)概念的抽象，建立形式化語(yǔ)言刻畫(huà)擬態(tài)安全的基本思想。

擬態(tài)安全有效性的科學(xué)論證是基于網(wǎng)絡(luò)攻擊行為規(guī)律和擬態(tài)安全機(jī)理所建立的擬態(tài)安全體系的形式化描述，建立合理的推理系統(tǒng)，對(duì)擬態(tài)安全防御的有效性進(jìn)行科學(xué)論證。

擬態(tài)安全系統(tǒng)量化評(píng)估方法建立對(duì)擬態(tài)系統(tǒng)進(jìn)行安全評(píng)價(jià)的量化評(píng)估模型，分析由擬態(tài)安全系統(tǒng)結(jié)構(gòu)變化所帶來(lái)的新問(wèn)題，并與傳統(tǒng)的信息安全評(píng)價(jià)方法進(jìn)行對(duì)比。

(二)擬態(tài)防御安全理論框架

基于擬態(tài)防御的科學(xué)問(wèn)題，擬態(tài)安全理論研究主要集中在以下5個(gè)方面。

1.網(wǎng)絡(luò)攻擊行為分析與建模

現(xiàn)有的網(wǎng)絡(luò)攻擊建模方法有很多,主要集中于攻擊語(yǔ)言、攻擊樹(shù)、攻擊網(wǎng)、狀態(tài)轉(zhuǎn)移圖和攻擊圖等。擬態(tài)防御系統(tǒng)將信息系統(tǒng)抽象為5層，提取各層的可變?cè)?，進(jìn)行形式化描述。信息系統(tǒng)的攻防對(duì)抗中攻擊者需要利用5層及其要素以達(dá)到攻擊目的，網(wǎng)絡(luò)攻擊行為的分析主要是通過(guò)對(duì)攻擊流程進(jìn)行分析，提取與系統(tǒng)相關(guān)的知識(shí)建立知識(shí)圖譜，通過(guò)攻擊表面和知識(shí)流統(tǒng)一表征網(wǎng)絡(luò)攻擊行為，建立起網(wǎng)絡(luò)攻擊鏈模型。

2.擬態(tài)變換理論

根據(jù)擬態(tài)安全的思想，擬態(tài)變換可以定義如下：

σ: Ω(ti) → Ω(ti+1)該變換的定義域?yàn)橄到y(tǒng)所有狀態(tài)組成的集合Ω，值域也是Ω。

對(duì)不同要素的變換方法，對(duì)應(yīng)不同的變換，因此記σ = {σ1, σ2, …,σn}，其中σ1表示第一個(gè)要素的擬態(tài)變換，其他依此類(lèi)推。若Ω(t)以0,1序列表示，則σ就可以看成是一個(gè)加擾序列，不同的加擾序列就對(duì)應(yīng)著不同的變換。

擬態(tài)安全系統(tǒng)的目標(biāo)可形式化為：

條件1：sr(Ω(t, σ)) ≤ a，其中sr表示Ω(t)使用的計(jì)算存儲(chǔ)互聯(lián)等資源的函數(shù)；

條件2：pf (Ω(t, σ)) ≤b，其中pf表示Ω(t)的性能函數(shù)，b為一個(gè)常數(shù)。

在約束條件1或約束條件2下，選擇適當(dāng)?shù)臄M態(tài)變換σ，實(shí)現(xiàn)Max(spt|σ)。

擬態(tài)變換使得擬態(tài)安全系統(tǒng)具有隨機(jī)性、動(dòng)態(tài)性和多樣性等特點(diǎn)，有效改善了傳統(tǒng)系統(tǒng)的確定性、靜態(tài)性和相似性，從而使得整個(gè)信息系統(tǒng)的安全性得到提升。

3.擬態(tài)安全系統(tǒng)構(gòu)造方法

擬態(tài)安全系統(tǒng)構(gòu)造方法主要包括態(tài)勢(shì)感知方法、擬態(tài)化方法和協(xié)同化方法。研究擬態(tài)安全網(wǎng)絡(luò)軟傳感器的部署方法與應(yīng)用策略，安全威脅和安全態(tài)勢(shì)認(rèn)知與風(fēng)險(xiǎn)評(píng)估和安全態(tài)勢(shì)演化預(yù)測(cè)的方法，實(shí)現(xiàn)供感知、認(rèn)知及決策使用的統(tǒng)一的描述模型、參數(shù)集合、描述語(yǔ)言、描述方法、推理規(guī)則、決策模型和知識(shí)庫(kù)系統(tǒng)，以?xún)?yōu)化和決策擬態(tài)安全系統(tǒng)的具體擬態(tài)化方法強(qiáng)度、主動(dòng)變遷和協(xié)同化時(shí)機(jī)。研究擬態(tài)安全系統(tǒng)的隨機(jī)化、多樣化和動(dòng)態(tài)化等擬態(tài)化方法，以提供動(dòng)態(tài)隨機(jī)化機(jī)制、輸入輸出代理機(jī)制、異構(gòu)冗余機(jī)制、分片化和碎片化機(jī)制、單線聯(lián)系機(jī)制，以及偽裝、蜜罐等“欺騙”機(jī)制的具體實(shí)現(xiàn)方法和組合應(yīng)用方法。

4.擬態(tài)安全有效性理論

研究擬態(tài)安全的可重構(gòu)、多態(tài)化、隨機(jī)化等特征的主動(dòng)防御理論和機(jī)制對(duì)當(dāng)前主流網(wǎng)絡(luò)攻擊的有效性；研究各種擬態(tài)防御機(jī)制有效組合方式，建立信息系統(tǒng)擬態(tài)安全防御的攻擊表面刻畫(huà)；研究擬態(tài)安全防御對(duì)攻擊表面的影響，刻畫(huà)其對(duì)抵抗攻擊的貢獻(xiàn)。

5.擬態(tài)安全量化評(píng)估理論

傳統(tǒng)網(wǎng)絡(luò)安全量化評(píng)估模型包括故障樹(shù)模型、攻擊樹(shù)模型、基于Petri Net的模型、特權(quán)圖模型、攻擊圖模型等，這些評(píng)估模型雖然具有一定的借鑒意義，但擬態(tài)防御系統(tǒng)特性有別于傳統(tǒng)系統(tǒng)的確定性、靜態(tài)性和相似性，因此有必要根據(jù)擬態(tài)網(wǎng)絡(luò)的定義和特點(diǎn)，結(jié)合網(wǎng)絡(luò)各層次安全的屬性，建立適合擬態(tài)網(wǎng)絡(luò)安全的評(píng)估模型；細(xì)化模型中不同維度上的評(píng)價(jià)指標(biāo)，構(gòu)建層次化的擬態(tài)網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系；根據(jù)擬態(tài)網(wǎng)絡(luò)的評(píng)估指標(biāo)體系和安全要素模型，建立擬態(tài)網(wǎng)絡(luò)安全指標(biāo)到安全要素狀態(tài)的映射關(guān)系，即通過(guò)評(píng)估指標(biāo)能夠清晰刻畫(huà)擬態(tài)網(wǎng)絡(luò)的安全防護(hù)能力；采用聚類(lèi)等方法對(duì)安全空間進(jìn)行劃分，建立擬態(tài)網(wǎng)絡(luò)安全等級(jí)評(píng)定標(biāo)準(zhǔn)。

六、擬態(tài)防御系統(tǒng)有效性分析

一般情況下，要完成攻擊任務(wù)，可將攻擊過(guò)程分解為若干步驟，而不同的擬態(tài)機(jī)制可能在不同的步驟中起作用。以下基于網(wǎng)絡(luò)攻擊鏈模型對(duì)擬態(tài)防御機(jī)制進(jìn)行有效性分析（見(jiàn)表2）。

表2 擬態(tài)防御機(jī)制的有效性分析

異構(gòu)冗余機(jī)制下：訪問(wèn)和提權(quán)攻擊成功的概率被降低，因?yàn)檫@兩個(gè)步驟一般都依賴(lài)于漏洞和后門(mén)，而冗余機(jī)制可以有效防御依賴(lài)漏洞和后門(mén)的攻擊。

單線聯(lián)系機(jī)制：在單線聯(lián)系下，由于敏感路徑或關(guān)鍵環(huán)節(jié)權(quán)限不同，因而在不同的權(quán)限下，所收集的信息和信息的竊取會(huì)不完整，從而降低其成功概率。

分片化和碎片化機(jī)制：由于文件和系統(tǒng)信息分別被分片存儲(chǔ)和多路徑傳輸，可以有效降低攻擊者獲得信息的概率，因而對(duì)信息收集和信息竊取有效。

在攻擊鏈概率模型下，對(duì)于每一個(gè)攻擊鏈，在不同擬態(tài)機(jī)制下，其可以降低其中某幾步攻擊成功的概率，從而降低整個(gè)攻擊鏈攻擊成功的概率，所以擬態(tài)安全系統(tǒng)的攻擊成功率要小于傳統(tǒng)信息系統(tǒng)的攻擊成功率。

七、結(jié)語(yǔ)

目前，針對(duì)擬態(tài)防御思想，給出了信息系統(tǒng)的形式化描述和擬態(tài)防御系統(tǒng)的形式描述，并對(duì)不同擬態(tài)防御機(jī)制進(jìn)行了初步分析。下一步擬態(tài)安全基礎(chǔ)理論研究將集中在信息系統(tǒng)形式化表示的細(xì)化、網(wǎng)絡(luò)攻擊行為的形式化表示、網(wǎng)絡(luò)攻擊場(chǎng)景的分類(lèi)與描述、網(wǎng)絡(luò)安全的度量問(wèn)題、擬態(tài)安全5種機(jī)制的有效性詳細(xì)分析以及擬態(tài)安全體系結(jié)構(gòu)的數(shù)學(xué)抽象等。

[1]張煥國(guó),韓文報(bào),來(lái)學(xué)嘉,等.網(wǎng)絡(luò)空間安全綜述[J].中國(guó)科學(xué):信息科學(xué), 2016,46(2):125-164. Zhang H G, Han W B, Lai X J, et al. Survey on cyberspace security [J]. SCIENTIA SINICA Informationis, 2016, 46(2):125-164.

[2]Jajodia S, Ghosh A K, Swarup V, et al, editors. Moving target defense—Creating asymmetric uncertainty for cyber threats [M]. New York: Springer Publishing Company, 2011.

[3]Evans D, Nguyen-Tuong A, Knight J. Effectiveness of moving target defenses [M]// Jajodia S, Ghosh A K, Swarup V, et al, editors. Moving Target Defense—Creating asymmetric uncertainty for cyber threats. New York: Springer Publishing Company, 2011:29-48.

[4]Han Y J, Lu W L, Xu S H. Characterizing the power of moving target defense via cyber epidemic dynamics [C]// HotSoS'14 proceedings of the 2014 symposium and bootcamp on the science of security. New York: Association for Computing Machinery (ACM), 2014:1-12.

[5]張曉玉,李振邦.移動(dòng)目標(biāo)防御技術(shù)綜述[J].通信技術(shù), 2013,46(6):111-113. Zhang X Y, Li Z B. Overview on moving target defense technology [J].Communications Technology, 2013, 46(6):111-113.

[6]Zhuang R, DeLoach S A, Ou X M . Towards a theory of moving target defense[C]// MTD'14 proceedings of the first ACM workshop on moving target defense. New York: ACM, 2014: 31-40.

[7]石樂(lè)義,賈春福,呂述望. 基于端信息跳變的主動(dòng)網(wǎng)絡(luò)防護(hù)研究[J].通信學(xué)報(bào), 2008,29(2):106-110. Shi L Y, Jia C F, Lv S W. Research on end hopping for active network confrontation[J]. Journal on Communications, 2008, 29(2):106-110.

[8]李之棠,徐曉丹.動(dòng)態(tài)蜜罐技術(shù)分析與設(shè)計(jì)[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版), 2005,33(2):86-88. Li Z T, Xu X D. The analysis of dynamic honeypot and its design [J]. Journal of Huazhong University of Science and Technology (Nature Science Edition), 2005,33(2):86-88.

[9]石樂(lè)義,姜藍(lán)藍(lán),劉昕, 等.擬態(tài)式蜜罐誘騙特性的博弈理論分析[J].電子與信息學(xué)報(bào), 2013,35(5):1063-1068. Shi L Y, Jiang L L, Liu X, et al. Game theoretic analysis for the feature of mimicry honeypot [J]. Journal of Electronics & Information Technology, 2013, 35(5):1063-1068.

[10]臧紅偉, 韓煒, 高德遠(yuǎn).非相似余度計(jì)算機(jī)系統(tǒng)及其可靠性分析[J].哈爾濱工業(yè)大學(xué)學(xué)報(bào), 2008,33(3):492-494. Zang H W, Han W, Gao D Y. Dissimilar redundancy computer system and reliability analysis [J]. Journal of Harbin Institute of Technology, 2008,33(3):492-494.

[11]鄔江興.擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J].電信科學(xué), 2014,30(7):2-7. Wu J X. Meaning and vision of mimic computing and mimic security defense [J]. Telecommunications Science, 2014,30(7): 2-7.

[12]鄔江興.網(wǎng)絡(luò)空間擬態(tài)安全防御[J].保密科學(xué)技術(shù), 2014(10):4-9. Wu J X. Mimic security defense in cyber space [J].Secrecy Science and Technology, 2014(10):4-9.

A Review of the Basic Theory of Mimic Defense

Si Xueming1, Wang Wei1, Zeng Junjie1, Yang Benchao1, Li Guangsong1, Yuan Chao1, Zhang Fan2
(1. State Key Laboratory of Mathematical Engineering and Advanced Computing, The PLA Information Engineering University, Zhengzhou 450001, China; 2. National Digital Switching System Engineering & Technological R&D Center, The PLA Information Engineering University, Zhengzhou 450002, China)

With the development of the Internet, cyberspace security issues have become a major concern related to national security. This paper first introduces some classic network defense technology. Next, it introduces the technology of mimic defense, including mimic defense systems, related scientific problems, and the theoretical framework of mimicry defense. The effectiveness of a mimic defense system is also analyzed in comparison with a traditional network defense technology. Finally, some problems worthy of study are presented regarding the basic theory of mimic defense.

mimic defense; cyberspace; moving target defense; mimicry transformation

TN915

A

2016-10-21；

2016-11-01

斯雪明，中國(guó)人民解放軍信息工程大學(xué)數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，教授，研究方向?yàn)榫W(wǎng)絡(luò)密碼、擬態(tài)防御；E-mail: sxm@fudan.edu.cn

中國(guó)工程院重大咨詢(xún)項(xiàng)目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)；國(guó)家重點(diǎn)研發(fā)計(jì)劃(2016YFB0800101, 2016YFB0800100)；數(shù)學(xué)與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題(2015A14)；國(guó)家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目(61521003)；國(guó)家自然科學(xué)基金項(xiàng)目(61572520，61602512)

本刊網(wǎng)址：www.enginsci.cn