动态网络主动安全防御若干思考.docVIP

动态网络主动安全防御若干思考 　　摘要：提出以动态化、随机化、主动化为特点的动态网络主动安全防御是解决信息系统中未知漏洞与后门攻击的一种新途径。在动态网络的主动变迁技术中，提出了演进防御机制（EDM），该机制可以根据网络系统安全状态、网络系统安全需求等，选择最佳的网络配置变化元素组合来应对潜在的攻击、保证特定等级的安全要求。网络的动态重构和变迁需要根据系统的安全态势和可能遭受的网络攻击来考虑，其关键是如何有效对系统的安全态势和网络的攻击进行主动探测与感知。尚处于起步阶段的动态网络主动安全防御的创新技术研究任重而道远。 　　关键词：被动防御；未知攻击；主动防御 　　棱镜计划的曝光和斯诺登事件的持续发酵，表明了美国网络监控计划和针对中国物理隔离网络的威胁已穿透国门直逼我们面前，以“物理隔离”为基础的最后一道防线不复存在。 　　传统的网络安全防御思想是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检测、病毒查杀、访问控制、数据加密等多层次的防御体系来提升网络及其应用的安全性。但近年来不断被披露的网络安全事件及由此带来的严重后果也逐渐暴露了传统的网络安全防御技术存在的问题，尤其是难以有效抵御系统未知软硬件漏洞的攻击，难以防御潜在的各类后门攻击，难以有效应对各类越来越复杂和智能化的渗透式网络入侵。近年来，研究动态网络主动安全防御技术已成为信息安全领域的重要方向。 　　如何通过动态化、随机化、主动化的手段改变网络信息系统的运行或执行环境，突破传统网络信息安全被动防御的窘境，将“亡羊补牢”式的被动防御转变为难以被侦测的主动防御是一种值得我们思考的创新思路[1-3]。 　　中国作为信息技术后进国家，关键领域的信息基础设施或装备几乎都被西方寡头公司控制，绝大部分核心元器件、高端芯片、基础/工具软件和半导体制程装备也都严重依赖进口。中国网络空间几乎单向透明地呈现在以美国为首的西方发达国家面前，信息安全面临极大威胁。当前，网络空间的软件攻击技术发展迅速，且已进入自动化程度高、攻击速度快、攻击工具复杂、潜伏更趋隐蔽的高级阶段。集成电路设计、制造、封装、测试和工具软件等环节被全球少数寡头企业垄断，在硬件或物理电路中植入或预留后门/陷阱成为新的攻击手段，且难以检测和有效防范。正在兴起的软硬件和电磁协同攻击技术具有植入更隐蔽、识别更困难、隔离效果差、清理代价高等综合优势，正在成为主流攻击模式，给安全风险的评估、检测和防御都带来了前所未有的挑战，甚至作为防御方底线的加密手段也很难保证其最终的有效性，现有网络空间安全手段的匮乏已严重危及国家主权和社会安定。 　　在全球经济一体化、专业分工国际化的时代背景下，任何一个国家都不可能完全掌控包含设计链、生产链和供应链在内的完整的安全链。从理论上讲，目前软硬件设计中的漏洞又是不可避免的，即使中国自主设计的芯片、硬件和软件，迄今尚无有效的漏洞检测手段和杜绝方法，从工程科学的角度也很难证明在整个安全链诸环节中没有漏洞、或未被植入病毒木马和预留后门。而近年来，控制系统安全事故频发，中国工业安全也受到了严重威胁，已引起了各国政府和学术界的广泛关注[4]。 　　动态网络主动安全防御以提供运行环境的动态性、非确定性、异构性、非持续性为目的，通过网络系统中的环境、软件、数据等主动重构或迁移实现动态环境，以防御者可控的方式进行主动变化，对攻击者则表现为难以观察和预测的动态目标，从而大幅增加攻击难度和成本，大幅降低系统安全风险[5]。 　　文章从多个方面论述了我们对动态网络主动安全防御技术的一些思考和目前所做工作。 　　1 动态网络的主动变迁技术 　　安全这个话题，多年来是从防护、抵御外界的入侵、攻击的角度来谈论的，但由于目前防御和攻击之间的不对称，因此一旦遭到无所不在的攻击后，能主动招架、有效抵抗的可能性就变得很小。据此形态，我们可以从另外一个角度来看待这个问题：即利用网络的基础设施、传输协议、数据访问等能力来完成特定的某项任务，在执行任务过程中有效保护好各环节的动作或操作，对注入、驻留、渗透的攻击所需感知或匹配的网络环境进行动态变换，以切断攻击行为过程中的先验知识链（即在平时的攻防僵持状态，双方保持静态化）；因没有实质性的行为发生，此时的威胁是可容忍的；在访问、请求等功能或操作启动后即可发起动态变换的指令，配置成与静态化对峙时刻不同的网络状态，增加入侵攻击的难度；一旦任务结束即可释放各类资源，形成机动网络的生成、配置、执行与释放卸载的动态化机制[6]。 　　为了增强网络动态变化的随机性，可以增加部分冗余网络节点设备和链路，在不同时刻根据不同需求将其随机激活或休眠，以动态重构网络，从而使得整个网络难以被探测。 　　通过网络与配置的动态化，将静态的网络变成动态、随机可重构的网络，改变目前网络攻防双方