龐建民，張宇嘉，張錚，鄔江興

（1.中國人民解放軍信息工程大學(xué)數(shù)學(xué)工程與先進(jìn)計算國家重點實驗室，鄭州450001；2.中國人民解放軍信息工程大學(xué)國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州450002）

擬態(tài)防御技術(shù)結(jié)合軟件多樣化在軟件安全產(chǎn)業(yè)中的應(yīng)用

龐建民1，張宇嘉1，張錚1，鄔江興2

（1.中國人民解放軍信息工程大學(xué)數(shù)學(xué)工程與先進(jìn)計算國家重點實驗室，鄭州450001；2.中國人民解放軍信息工程大學(xué)國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，鄭州450002）

隨著互聯(lián)網(wǎng)的飛速發(fā)展，計算機(jī)軟件全球化的進(jìn)程不斷推進(jìn)。大量相同軟件安裝在數(shù)以萬計的計算機(jī)中，容易導(dǎo)致黑客利用軟件的漏洞，攻擊安裝了該軟件的所有計算機(jī)。傳統(tǒng)的軟件安全措施是依靠對漏洞進(jìn)行修補(bǔ)，其只能起到亡羊補(bǔ)牢的作用。軟件多樣化技術(shù)可以使這種情況得到緩解，但其并沒有從根本上消除漏洞帶來的威脅。本文提出將擬態(tài)防御技術(shù)與軟件多樣化技術(shù)相結(jié)合應(yīng)用于軟件安全產(chǎn)業(yè)，可以消除漏洞帶來的威脅。

軟件多樣化；擬態(tài)防御；軟件安全產(chǎn)業(yè)

DOI 10.15302/J-SSCAE-2016.06.015

一、前言

我國早在“十五”規(guī)劃中就明確指出發(fā)展信息產(chǎn)業(yè)的重要性，信息技術(shù)在國家經(jīng)濟(jì)和社會各領(lǐng)域的應(yīng)用能夠建設(shè)一條在信息化帶動下的新型工業(yè)化道路。而近期的“十三五”規(guī)劃又指出應(yīng)該著眼于網(wǎng)絡(luò)安全和信息化發(fā)展，其中提出了要保障國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)和數(shù)據(jù)資源等一系列關(guān)乎國家根本利益客體的安全性，提高網(wǎng)絡(luò)治理能力，保障國家信息安全。為了解決網(wǎng)絡(luò)安全這一國家發(fā)展的根本需求，發(fā)展規(guī)劃中又提出應(yīng)該在信息保護(hù)、信息管理、安全審查和自主可控等關(guān)鍵技術(shù)能夠有所創(chuàng)新。軟件安全產(chǎn)業(yè)作為網(wǎng)絡(luò)空間安全產(chǎn)業(yè)中的基石和在未來對社會經(jīng)濟(jì)增長、國家發(fā)展具有重要推動力的產(chǎn)業(yè)，其標(biāo)志著一個國家戰(zhàn)略方向，同時也是指導(dǎo)國家經(jīng)濟(jì)的風(fēng)向標(biāo)，是一個國家在二十一世紀(jì)關(guān)鍵競爭力之一。在國際軟件安全產(chǎn)業(yè)發(fā)展過程中，不同的國家采用了不同的發(fā)展道路和模式，經(jīng)濟(jì)學(xué)中產(chǎn)業(yè)發(fā)展的相關(guān)理論指出，產(chǎn)業(yè)的發(fā)展模式、模式選擇以及影響因素等都會對未來該產(chǎn)業(yè)發(fā)展的道路產(chǎn)生深遠(yuǎn)影響，因此我國的軟件安全產(chǎn)業(yè)的規(guī)劃應(yīng)該探索出一條適合我國的軟件安全產(chǎn)業(yè)發(fā)展的道路，其直接影響著未來我國軟件產(chǎn)業(yè)的興盛。

擬態(tài)防御技術(shù)在這一關(guān)鍵時期提出了以多維重構(gòu)函數(shù)化體系結(jié)構(gòu)與動態(tài)多變體運行機(jī)制為核心的擬態(tài)計算和擬態(tài)防御技術(shù)體系，其著重于高效能和高安全性計算。擬態(tài)防御技術(shù)主要針對網(wǎng)絡(luò)空間攻擊成本和防御成本的嚴(yán)重不對稱性，以及我國信息領(lǐng)域核心技術(shù)與產(chǎn)業(yè)基礎(chǔ)嚴(yán)重滯后、國家安全需求的嚴(yán)峻性而提出，它是一種改變游戲規(guī)則的變革性技術(shù)，力圖扭轉(zhuǎn)目前網(wǎng)絡(luò)空間“易攻難守”的格局。

二、我國軟件產(chǎn)業(yè)的安全現(xiàn)狀

（一）軟件產(chǎn)業(yè)面臨的安全問題分析

1. 針對軟件漏洞進(jìn)行攻擊

2016年8月23日，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第38次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2016年6月，中國網(wǎng)民規(guī)模達(dá)到7.1億，互聯(lián)網(wǎng)普及率達(dá)到51.7 %，半數(shù)中國人已接入互聯(lián)網(wǎng)，越來越多的人接觸到網(wǎng)絡(luò)[1]。軟件作為互聯(lián)網(wǎng)發(fā)展的重要載體，已經(jīng)滲透到人們生活的各個領(lǐng)域，也因此成為破解者攻擊的目標(biāo)。這就意味著越來越多的人正受到軟件安全的威脅[2]。2015年，丹麥安全公司Secunia的研究團(tuán)隊對來自263個軟件供應(yīng)商的2 484款軟件進(jìn)行漏洞掃描，結(jié)果發(fā)現(xiàn)總漏洞數(shù)量為1 6081個，相比較2014年總量增加了2 %，相比較2010年總量增加了39 %。進(jìn)一步分析發(fā)現(xiàn)，大部分檢測到的漏洞（45.6 %）是不重要的；而中等級別的危險漏洞占比為25.5 %，高危安全漏洞占比為13.3 %，占比為0.5 %極端危險的漏洞。在漏洞分類上，57 %的缺陷是通過遠(yuǎn)程網(wǎng)絡(luò)訪問方式進(jìn)行的，35 %是通過本地網(wǎng)絡(luò)進(jìn)行的，還有小部分（8 %）需要攻擊受害人的電腦來觸發(fā)缺陷。IEEE729-1983對缺陷有一個標(biāo)準(zhǔn)的定義：從產(chǎn)品內(nèi)部看，缺陷是軟件產(chǎn)品開發(fā)或維護(hù)過程中存在的錯誤、不足等各種問題；從產(chǎn)品外部看，缺陷是系統(tǒng)所需要實現(xiàn)某種功能的失效或違背。

2. 針對軟件進(jìn)行逆向破解

軟件開發(fā)人員代碼編寫粗糙和不安全編程是計算機(jī)軟件缺陷形成的主要原因。很多軟件開發(fā)人員在設(shè)計和編寫代碼初期沒有或者較少考慮軟件的安全問題，而軟件交付后用戶的不恰當(dāng)使用常常容易導(dǎo)致缺陷的出現(xiàn)。在當(dāng)前開放性架構(gòu)的計算系統(tǒng)中，用戶可以完全控制自己的系統(tǒng)并且可以更改軟件和進(jìn)程。有些用戶會試圖分析軟件保護(hù)機(jī)制，其常是帶有純技術(shù)以外的惡意目的。軟件開發(fā)者為了保護(hù)未授權(quán)的軟件拷貝或軟件中的知識產(chǎn)權(quán)，通常需要防止軟件被逆向。常用的加密算法，如AES、RSA、ECC，其設(shè)計初衷是專為在“可信”的實體之間交換加密的消息。加密和解密的運算在黑箱中進(jìn)行，黑箱內(nèi)部是安全的。攻擊者只存在于受信任的實體之間，無法知道加密、解密實體內(nèi)部的信息和具體實現(xiàn) 。市場上有很多不同的代碼保護(hù)技術(shù)，這些技術(shù)提供防止逆向工程和代碼分析的功能。這些方案不管是否成功和復(fù)雜，大多數(shù)都無法對抗通用破解。所謂通用破解指的是一旦能夠成功地破解某個軟件實例，那么就可以把類似的破解應(yīng)用于同樣軟件的所有實例上。這無疑給軟件廠商造成了巨大的損失。通用破解的根本原因是目標(biāo)軟件的所有拷貝都有同樣的二進(jìn)制碼，這樣攻擊者就可以成功地開發(fā)出通用的破解方案。

（二）解決軟件安全問題的意義

從需求層面看，隨著愈演愈烈的各種信息泄密、大量的APT（高級持續(xù)性威脅）攻擊等事件發(fā)生，很多企業(yè)對信息安全的認(rèn)識已經(jīng)從“被動的防御”變成“主動的核心競爭力塑造”，尤其是新型的互聯(lián)網(wǎng)金融、電商、云計算等都前瞻性地把安全當(dāng)做市場競爭的重要砝碼并尋求各種方法來不斷提升其安全性。

軟件產(chǎn)業(yè)不但自身能形成龐大規(guī)模，拉升國民經(jīng)濟(jì)指數(shù)，還能大幅度提高國家整體經(jīng)濟(jì)運行效率。隨著信息經(jīng)濟(jì)的深入發(fā)展，軟件產(chǎn)業(yè)將會成為衡量一個國家綜合國力的標(biāo)志之一。軟件安全產(chǎn)業(yè)作為保障國家順利發(fā)展的基石，從軟件產(chǎn)業(yè)對其他行業(yè)的輻射拉動效應(yīng)層面上看，發(fā)展軟件安全產(chǎn)業(yè)的意義不僅在于軟件產(chǎn)業(yè)發(fā)展，而且對傳統(tǒng)制造業(yè)也有相同的輻射作用，對整個社會經(jīng)濟(jì)都具有很大的拉動作用。

三、軟件安全問題的解決措施

（一）軟件的自主可控

人們在考慮軟件安全問題時往往只考慮其外部防護(hù)措施，例如防火墻、入侵檢測和防病毒軟件等，但對于軟件自身存在的后門和漏洞，以上的安全措施可能完全無效。信息安全的本質(zhì)是自主可控[3]，應(yīng)該高度重視信息系統(tǒng)本身軟硬件的安全問題，尤其是基礎(chǔ)軟硬件、核心設(shè)備等更是影響重大。自主可控主張如果能用國產(chǎn)軟件就應(yīng)該用國產(chǎn)的，但是國產(chǎn)化并不等于安全。信息安全的特殊性是一定存在一個“第三方”，即威脅方，他不是一成不變的。而且我國在軟件產(chǎn)業(yè)發(fā)展的道路上與發(fā)達(dá)國家還存在一定距離，在IT領(lǐng)域有很多關(guān)鍵技術(shù)以及零部件往往受制于國外，在軟件開發(fā)的質(zhì)量和效率上還有很長的路要走，因此，實現(xiàn)完全的自主可控在中國還存在一定困難。

（二）軟件多樣化

Cohen早在1993年就指出軟件的一元化會對計算機(jī)安全帶來潛在的威脅[4]。攻擊者通過利用軟件漏洞輕易地對部署了該軟件的所有計算機(jī)進(jìn)行攻擊。軟件多樣化是指同一個軟件的多個實例有不同的可執(zhí)行二進(jìn)制代碼。其最早的應(yīng)用是用于某些重要領(lǐng)域系統(tǒng)容錯機(jī)制的實現(xiàn)，利用由多個可選版本程序來組成多樣化系統(tǒng)。很明顯軟件多樣化較單版本程序擁有更高的可靠性和安全性。多個可選版本程序的差別對于終端用戶是透明的，其具有完全相同的功能，僅在功能的實現(xiàn)上有細(xì)微的差別。對于黑客來說，每個實例具有同樣的功能，但它們具有不同的二進(jìn)制代碼以及運行流程。軟件多樣化可以防止黑客把從某個實例獲得的信息應(yīng)用于其他實例，這樣黑客就很難開發(fā)出對整個軟件所有實例都適用的通用漏洞利用和破解方案，每個軟件實例必須要單獨攻擊或破解。軟件多樣化是應(yīng)對通用攻擊和破解的一個十分有效的技術(shù)。它能夠大大增加對被保護(hù)的應(yīng)用軟件的攻擊難度和破解所花費的時間。極端狀況下，攻擊者甚至必須要對每個客戶端的二進(jìn)制代碼進(jìn)行單獨分析。軟件多樣化對于防止在開放環(huán)境下大量分發(fā)并安裝的軟件被攻擊和破解是十分有效的手段。軟件多樣化的實現(xiàn)有很多方法，如利用不同編程語言（C/JAVA/Python/Object-C）的多版本編程、基于編譯器的軟件多樣化和軟件二進(jìn)制代碼重寫等。

雖然軟件多樣化在一定程度上提高了攻擊者對軟件進(jìn)行攻擊和破解的門檻，但同時也增加了軟件開發(fā)和維護(hù)的難度，且成本昂貴。對大規(guī)模部署的軟件實施軟件多樣化，將使軟件的維護(hù)更加復(fù)雜。

（三）擬態(tài)防御技術(shù)

雖然軟件多樣化在一定程度上增大了針對軟件漏洞攻擊與利用的難度，但并沒有完全消除威脅,為了使系統(tǒng)達(dá)到更高的安全性和可靠性，不僅需要對軟件采用各種不同的多樣化手段，并且需要引入投票機(jī)制（大數(shù)表決機(jī)制）以產(chǎn)生相較于多版本程序集中單個執(zhí)行體更加可靠的輸出。在此基礎(chǔ)上提出的擬態(tài)防御思想[5]，其核心就是基于多樣化（異構(gòu)性）的表決機(jī)制，其中必要的多樣化可以包括軟件和硬件等多個構(gòu)件。

基于擬態(tài)防御技術(shù)的軟件保護(hù)，不依賴于自身的保密性，而是通過軟件多樣化方法對待保護(hù)軟件構(gòu)造一個含有多個異構(gòu)變體的集合，常用的方法是利用多樣化編譯生成變體集合?；诰幾g器的多樣化技術(shù)，例如等價指令替換、控制流混淆和花指令插入等都在不同程度上改變了程序的目標(biāo)代碼，添加了新的無關(guān)指令或改變現(xiàn)存的控制流方向[6]。圖1展示了依賴于多樣化編譯器的功能等價多變體的生成過程。對程序的所有輸入將會被復(fù)制并分發(fā)給所有異構(gòu)變體。多變體的異構(gòu)性特征和與之采用的多樣化技術(shù)相關(guān)，當(dāng)攻擊特征與變體異構(gòu)性特征相重合時，攻擊產(chǎn)生的輸出在不同變體上將會不同，通過比較變體的所有輸出并對其進(jìn)行表決，可以防御針對該異構(gòu)特征的攻擊，并能夠識別出受到攻擊的變體?；跀M態(tài)防御的設(shè)計框架見圖2，變體A、B、C分別由多樣化編譯器針對同一軟件源碼編譯生成。

從擬態(tài)防御的設(shè)計框架很容易看出，其將原本只需要一個程序執(zhí)行的工作同時交給了三個變體，這樣的設(shè)計框架帶來的優(yōu)點如下[7]：

（1）利用多樣化的安全機(jī)制，擾亂或阻斷攻擊鏈，增加攻擊難度。

（2）允許一定程度地使用“帶毒含菌”的軟件構(gòu)件，并能夠做到安全風(fēng)險可控。

（3）軟件運行機(jī)制的組合應(yīng)用可以構(gòu)成相當(dāng)大的動態(tài)空間，以有效降低利用漏洞和后門進(jìn)行攻擊的可靠性。

（4）冗余獲得的高可靠性，擬態(tài)計算架構(gòu)固有的冗余性，使擬態(tài)安全防御系統(tǒng)具有內(nèi)在的可靠性。

（5）能夠形成共生協(xié)同、N變體、等效多變體、異構(gòu)環(huán)境遷移等特殊的運行機(jī)制， 可以為 “容毒”運行和及時發(fā)現(xiàn)、抑制、阻斷、清除木馬及病毒提供創(chuàng)新方法空間。

圖1 功能等價多變體的生成過程

圖2 基于擬態(tài)防御的設(shè)計框架

四、結(jié)語

在網(wǎng)絡(luò)空間安全形勢和全球化背景下，國與國之間的產(chǎn)業(yè)合作日益緊密，而競爭也更加激烈。軟件產(chǎn)業(yè)不僅在規(guī)模、創(chuàng)新性上有了更大的發(fā)展機(jī)遇和挑戰(zhàn)，同時也面臨著日趨復(fù)雜的安全性問題。解決軟件安全不僅要綜合利用已有安全技術(shù)，更需要理論創(chuàng)新的指導(dǎo)和技術(shù)創(chuàng)新的支持。新一代軟件體系需要配合國家安全戰(zhàn)略，一方面關(guān)注研發(fā)自主可控的軟件體系；另一方面利用擬態(tài)防御等安全架構(gòu)，實現(xiàn)基于非可信組件的可信系統(tǒng)，從各個環(huán)節(jié)實現(xiàn)軟件安全發(fā)展。

擬態(tài)防御技術(shù)作為“網(wǎng)絡(luò)空間再平衡戰(zhàn)略”的有力抓手，能夠為軟件安全提供架構(gòu)技術(shù)，解決軟件安全面臨的漏洞攻擊和破解問題。在當(dāng)今國內(nèi)外軟件安全產(chǎn)業(yè)市場份額不對等、安全地位不對稱的情況下，擬態(tài)防御技術(shù)為解決組件級安全問題提供了一種新的解決思路，即通過安全架構(gòu)技術(shù)解決軟件內(nèi)存在的漏洞和后門，尤其是未知漏洞和后門，在一定程度上，緩解了軟件產(chǎn)業(yè)中由于技術(shù)劣勢帶來的軟件安全威脅。另外，擬態(tài)防御技術(shù)是我國首次提出的主動防御技術(shù)之一，技術(shù)本身的自主可控為軟件產(chǎn)業(yè)的安全問題提供了普適的解決方案，為解決信息系統(tǒng)軟件安全問題提供了技術(shù)支撐，為推進(jìn)國家安全戰(zhàn)略部署提供了有利條件。

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心. 第38次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告 [EB/OL]. (2016-08-03)[2016-10-08]. http://www.cnnic.net.cn/ hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm. China Internet Network Information Center. The 38th statistical report on internet development in China [EB/OL]. (2016-08-03) [2016-10-08]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/t20160803_54392.htm.

[2]Symantec Corporation. Internet security threat report 2016 [R/ OL]. (2016-04-01) [2016-10-08]. https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf.

[3]倪光南. 信息安全“本質(zhì)”是自主可控[J]. 中國經(jīng)濟(jì)和信息化, 2013(5):18-19. Ni G N. The Nature of information security: Autonomous and controllable [J]. China Economy & Informatization, 2013(5):18-19.

[4]Cohen F B. Operating system protection through program evolu-tion [J]. Computers & Security, 1993, 12(6): 565-584.

[5]鄔江興. 專題導(dǎo)讀——擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué), 2014, 30(7): 1-7. Wu J X. Meaning and vision of mimic computing and mimic security defense [J]. Telecommunications Science, 2014, 30(7): 1-7.

[6]Jackson T, Salamat B, Homescu A, et al. Compiler-generated software diversity[M]//Jajodia S, Ghosh A K, Swarup V, et al. Moving Target Defense. New York: Springer, 2011: 77-98.

[7]鄔江興. 網(wǎng)絡(luò)空間擬態(tài)安全防御[J]. 保密科學(xué)技術(shù), 2014, 10(1): 4-9. Wu J X. Mimic security defense in cyber space [J]. Secrecy Science and Technology, 2014, 10(1): 4-9.

Applying a Combination of Mimic Defense and Software Diversity in the Software Security Industry

Pang Jianmin1, Zhang Yujia1, Zhang Zheng1, Wu Jiangxing2
(1. State Key Laboratory of Mathematical Engineering and Advanced Computing, The PLA Information Engineering University, Zhengzhou 450001, China; 2. National Digital Switching System Engineering & Technological R&D Center, The PLA Information Engineering University, Zhengzhou 450002, China)

With the development of the Internet, the process of computer software globalization continues to push forward. For widely used software, anidentical binary code is installed on millions of computers; sometimes even hundreds of millions. This makes widespread exploitation easy and attractive for an attacker because the same attack vector is likely to succeed on a large number of targets. Traditional software security methods can only counter the threat temporarily, and cannot eliminate essential vulnerabilities. This paper proposes a scheme of combining software diversity with mimic defense in the software security industry.

software diversity; mimic defense; software security product

TN915

A

2016-10-08；

2016-10-28

龐建民，中國人民解放軍信息工程大學(xué)數(shù)學(xué)工程與先進(jìn)計算國家重點實驗室，教授，博士生導(dǎo)師，主要研究領(lǐng)域為邏輯與推理、信息安全；E-mail: jianmin_pang@hotmail.com

中國工程院重大咨詢項目“網(wǎng)絡(luò)空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn