内生安全增益评估指标度量模型研究-通信界-中国通信门户

陈琳石悦董航

(中国信息通信研究院安全研究所,北京 100191)

0 引言
随着网络攻击者的攻击手段不断变化和提升,网络空间安全对人类生活与生产活动造成了严重的威胁。现行的防御体系是基于威胁特征感知的精确防御,遵循“威胁感知,认知决策,问题移除”的防御理论和技术模式,需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑,在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性[1]。

针对传统防御技术难以应对未知漏洞、后门、病毒或木马等威胁这一问题,邬江兴[2-3]等于2013 年提出基于内生安全机制的网络空间拟态防御思想,其基本思想是建立一个由输入输出代理、异构执行体集、拟态调度器、拟态裁决器和反馈控制器等组成的动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)架构。如图1 所示,通过异构执行体的异构性使攻击者很难同时多点攻破,通过策略性的动态变化使得攻击者的攻击经验难以复制或继承,呈现出对目标体机构和运行环境的测不准效应,从而有效实现对未知威胁的感知和防御[4]。

为了衡量拟态防御产品的内生安全增益以及拟态结构的复杂性代价与安全防御效果的对比提升,需要对拟态防御产品进行内生安全增益评估,量化拟态防御效果,从而更为直观地评价拟态防御产品的防御能力。

1 内生安全增益评估指标度量模型
1.1 评估对象
经过多年的技术验证和演进发展,目前国内拟态防御产品体系日益完备,产品类型覆盖多维度、多领域,包括支持拟态防御功能的路由器、交换机、防火墙、Web 服务器、域名服务器、云服务等系列化拟态防御产品[5]。为有效评估现有系列拟态防御产品的内生安全增益,本文研究建立了针对现有拟态防御系列产品的通用内生安全增益评估指标度量模型。

1.2 构建原则
在构建内生安全增益评估指标度量模型时,评估指标的选取和建立应遵循以下原则。

1.2.1 全面性原则

选取的评估指标应能对其进行定量处理,给出具体数值或能进行排序,这样才能实施量化评估。对于个别无法量化的指标,应能够通过主观判断进行评价。评估指标体系应能全面反映信息系统的各个方面,特别要把反映系统效能的关键性指标选准、选全,这样才能对系统有一个客观、合理、全面的评估。

1.2.2 独立性原则

各评估指标在整个建立过程中应相互独立,即使相关也不能互相附属。

1.2.3 客观性原则

所选评估指标应能客观反映系统内部的变化,能够把所研究的问题同系统有关的不确定性联系起来。

1.2.4 一致性原则

评估指标的建立应与内生安全增益评估的目的相一致,与系统担负的任务密切相关。

1.3 评估指标模型构建
根据拟态防御产品的安全防护能力要求情况,从拟态基元、拟态防御系统和拟态防御产品三个层面构建内生安全增益评估指标度量模型。

1.3.1 拟态基元安全指标

拟态基元安全指标主要对拟态架构与实现机制的安全性进行评估,包括以下13 个二级指标。

(1)输入代理:输入代理是DHR 组成部分,拟态防御系统的输入代理将输入转发给各执行体,执行体的输出矢量提交给表决器进行表决,得到系统输出。输入代理是DHR 的第一步也是重要一步,其安全性对于拟态防御系统的安全性影响较大。

(2)表决器:表决器也是DHR 的重要组成部分,执行体的输出矢量提交给表决器进行表决并产生输出,所以输入代理和多模表决器也被称为拟态括号。表决器是DHR 进行裁决的重要一环,其安全性对于拟态防御系统的安全性影响较大。

(3)执行体通信误码率:拟态防御系统中各执行体的动态选择、与输入代理的通信、与表决器的通信等过程均通过数据通信进行,如果通信信道的误码率过高,会影响系统执行体的选择和输出结果,从而对拟态防御系统的安全性造成影响。

(4)执行体故障率:由功能等价冗余执行体构成的异构构建集合是DHR 的执行主体,执行体的故障率直接影响DHR 的准确性,从而对拟态防御系统的安全性造成影响。

(5)针对执行体攻击的独立性:非相似余度构造(Dissimilar Redundancy Structure,DRS)依赖于异构执行体间的功能等价特性,如果针对执行体的攻击不具备独立性,会影响执行体之间的异构特性,从而导致功能等价的原因与预期不符。失去DRS 的特有效果会对拟态防御系统的安全性造成影响。

(6)单一执行体的输入输出对应性:在DHR 构造中,表决器的结果输出主要依赖于对各执行体的输出结果进行分析和裁决,这就要求执行体的输入输出一一对应,一旦输入输出错位会导致表决器表决失效,从而对拟态防御系统的安全性造成影响。

(7)异构执行体的相异性:DRS 依赖于异构执行体间的功能等价特性,如果针对执行体的攻击不具备相异性,会影响执行体之间的异构特性,从而导致DRS构造失败。失去DRS 的特有效果会对拟态防御失效。

(8)执行体对攻击行为的敏感性:DRS 依赖于异构执行体间的功能等价特性,只有执行体对攻击行为具备一定的敏感性才会导致执行体输出结果的相异性。如果执行体对攻击行为的敏感性较低,会导致执行体异构失效,从而失去DRS 的特有效果,使拟态防御失效。

(9)异构执行体失效或存在缺陷的随机性:DRS的基础是独立开发的装置或模块发生共性设计缺陷导致共模故障的情况属于小概率事件,要保证各功能等价的独立装置中的设计缺陷具有不重合的性质,这就要求异构执行体失效或存在缺陷具备一定的随机性。如果异构执行体失效或存在缺陷的随机性较弱,会导致执行体间的异构失效,从而对拟态防御系统的安全性造成影响。

(10)动态调度机制的随机性:在DHR 结构中,拟态防御系统通过动态调度机制,随机选择多个异构执行体进行工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现拟态防御系统的主动防御功能。如果动态调度机制的随机性较差,会使对比输出结果的工作无效,从而对拟态防御系统的安全性造成影响。

(11)拟态裁决机制的正确性:拟态防御系统的有效性由DHR 构造的多维动态重构、重组等机制和非配合条件下多模裁决机制的强弱来决定,拟态裁决机制的正确性直接影响拟态防御系统的有效性。

(12)虚拟化机制的有效性:多模裁决机制存在“错误逃逸”的可能性,所以DHR 构造中导入了策略调度、重构重组和虚拟化等多维动态的不确定性机制,将使得多模判决环节中单次逃逸或持续逃逸的概率大幅度降低。

(13)执行体重构机制的有效性:执行体重构机制和虚拟化机制一样,可以大幅度降低多模判决环节中单次逃逸或持续逃逸的概率。拟态防御系统的逃逸概率对于其有效性影响较大。

1.3.2 拟态防御系统安全指标

拟态防御系统安全指标主要对拟态构造系统的安全能力进行描述,包括以下5 个二级指标。

(1)拟态逃逸成功率:在拟态防御系统中,如果一次攻击成功突破了拟态界,则称其发生了拟态逃逸。虽然在拟态防御系统中,一次拟态逃逸行为并不意味着攻击成功,但是会影响拟态防御系统的动态性,对其“阻断”甚至“完全破坏”攻击链的行为产生干扰。控制拟态逃逸成功率在安全范围内,可以保证整个拟态防御系统的可用性。

(2)拟态防御系统容错能力:拟态防御是一种源自可靠性领域容错思想的体系架构技术,基本形态是将静态的非相似余度“容错”架构转变为动态异构冗余的“容侵”架构。通过将指令、地址、数据等动态化、随机化、多样化的方法来增强拟态防御系统容错能力,在一定程度上保证系统安全性。

(3)拟态环境的鲁棒性:拟态防御系统需要具备应对不确定性威胁感知、增加攻击链不确定性、增加多模裁决逃逸难度、独立安全增益等能力,由于其复杂性,拟态环境需要具备一定程度的鲁棒性,来保证整个拟态防御系统的鲁棒性和安全性。

(4)拟态环境的柔韧性:拟态防御系统的拟态环境不具备具体的通用标准和检验方法,其标准柔性很大,范围也无法确定。由于拟态防御系统无法一次性确定所有需求(例如异构执行体的随机选取策略、裁决机制等),因此需要不断地对系统进行优化和升级,改变检验方法和范围等。拟态环境的柔韧性在一定程度上决定了拟态防御系统的完成度。

(5)拟态环境的安全性:拟态防御系统基础环境的安全性是系统安全的基础,只有保证拟态环境的安全性,才能确保外界的安全风险不会影响拟态防御系统的稳定运行。拟态环境的安全性直接决定了拟态防御系统的可用性。

1.3.3 拟态防御产品安全指标

拟态防御产品安全指标主要对拟态构造的各类信息通信产品(基于拟态构造的路由器、防火墙、Web 服务器等)的通用安全功能进行评估,与传统信息通信设备的安全功能指标项类似,具体包括以下11 个安全指标。

(1)账号口令:账号口令的集中化管理可以应对信息系统复杂性的不断增加,便于对不断增加的用户账户进行科学管理,并与各主机、网络设备、信息系统无缝连接。网络设备账号口令的集中化管理程度在一定程度上决定了拟态防御系统的安全性。

(2)身份认证:拟态防御系统自身的身份认证应满足一定的强度,通过账号口令、数字证书等方案对用户的身份进行认证,可以在很大程度上避免非授权访问及相关风险。服务器身份验证的覆盖率在一定程度上决定了拟态防御系统的安全性。

(3)会话管理:客户端与服务器的请求与响应是无状态通信协议,服务器维护上一次请求和下一次请求间关系的方式就是会话管理。服务器会话管理的防篡改和抗伪造能力在一定程度上决定了拟态防御系统的安全性。

(4)权限管理:服务器权限管理的覆盖率在一定程度上决定了拟态防御系统的安全性。

(5)业务逻辑安全:拟态防御系统相关软件的业务逻辑安全指软件能实现的业务运作模式与操作流程是安全可靠的,包括软件的功能架构、工作流及用户界面等,软件逻辑是软件系统的命脉,也是软件承载业务的具体表现形式。软件的业务逻辑安全在一定程度上决定了拟态防御系统的安全性。

(6)原生软件及后台系统安全:拟态防御系统原生软件及其后台系统是拟态防御系统软件部分的主体,其安全性直接影响拟态防御系统的可用性、安全性和防御效果等。软件及其后台存的漏洞数量和潜在风险在一定程度上决定了拟态防御系统的安全性。

(7)能力开放接口安全:能力开放接口有利于软件功能的复用,减少工作量,提高工作效率。通过能力开放接口提交用户名密码、传递加密参数等操作时存在被攻击者暴力破解、窃取信息等风险,这些风险会在一定程度上影响拟态防御系统的安全性,应通过认证授权、带有时间戳的请求签名、频率控制等手段来降低风险。

(8)数据安全:拟态防御系统原生软件的数据安全主要从数据机密性保障、数据完整性保障和数据可用性可靠性保障三个方面对数据进行安全保护,但由于数据机密性、可靠性保障与系统复杂度之间存在矛盾、数据完整性校验与用户开销之间存在矛盾等原因,数据保护措施未完全实施,这在一定程度上影响了拟态防御系统的安全性。

(9)入侵防范:拟态防御系统应具备入侵防范功能,对于流经设备的数据流量进行实时监控和分析,及时发现存在的入侵风险、敏感数据、病毒木马等,来保障拟态防御系统自身的安全性,所以拟态防御系统的入侵防范能力决定了其系统的安全性。

(10)安全监测和审计:安全监测和审计功能通过对拟态防御系统中的安全事件(如网络攻击、防病毒等)、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息,经过标准化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,该功能的有效性在一定程度上决定了拟态防御系统的安全性。

(11)中间件安全:拟态防御系统的中间件是连接底层网络设备、服务器和拟态防御系统应用程序之间可复用的基础软件,中间件通过标准的通用接口和通用协议实现软件的跨平台复用,同时带来了更多的安全问题。拟态防御系统通过利用Web 服务框架提高中间件安全性,在一定程度上提高了拟态防御系统自身的安全性。

2 结束语
本文旨在研究网络空间拟态防御产品的内生安全增益评估问题,通过分析研究影响拟态防御技术产品安全增益的关键要素和属性,从拟态基元安全指标、拟态防御系统安全指标和拟态防御产品安全指标三个层面构建内生安全增益评估指标度量模型。通过建立内生安全增益评估指标度量模型,能够对拟态防御产品的安全防御效果进行量化评估,验证拟态防御产品的安全性是否达到预期效果,为后续拟态产品开展内生安全增益评估测试提供参考。