推廣 | 令人窒息的獎品等你―2016最權威的全球開發者調研

繼10月美國網站大規模宕機后，當地時間11月27日歐洲最大電信運營商德國電信又遭受嚴重攻擊，導致約90萬路由器發生故障，連續兩日斷網。

物聯網時代，當所有的設備都變成智能化，都接入網絡后，邊界的概念將會進一步被削弱。而萬物互聯，使得網絡安全形勢非但沒有減弱，相反愈發嚴峻。

四處“漏風”的安全防衛系統

根據國家互聯網應急中心抽樣檢測數據顯示，僅2015年我國就有1978萬多臺主機被10.5萬多個木馬和僵尸網絡控制端控制，2015年檢測到的瀏覽器漏洞數比2014年高出37%、操作系統漏洞數高出73%.事實說明，我國已成為遭受網絡攻擊最為嚴重的國家之一。

雖然防護措施不斷更新迭代，卻依舊無法對抗黑客，癥結在何處?

計算機與網絡技術專家、中國工程院院士鄔江興在接受科技日報記者采訪時表示：“網絡信息安全問題復雜而多變，這些問題當中造成網絡安全防御‘易攻難守’的主要技術原因是，現有的科技水平尚未形成窮盡與徹查信息系統軟硬件代碼問題的理論與方法。而且，現有防御體系的脆弱性加上免疫機制的缺陷，再加上信息系統的基因問題，共同構成網絡空間最大的安全黑洞。”

面對這些隱身于各處的未知漏洞、后門，首先是無法用概率表示，其次是現有計算機根本對它探測不準。即便采用入侵檢測技術、防火墻技術、密碼加持技術構筑起一道道“銅墻鐵壁”，如果感知不到具體威脅在何處，就等于形同虛設。比如，漏洞或后門設置在機密機的底下，加密技術被輕易繞過，密碼成了擺設!

“七十二變”讓攻擊者失去目標

在太平洋，有一種“聰明”的生物叫條紋章魚。據說，它能模擬至少15種海洋生物，通過變換顏色、條紋等迷惑攻擊者，降低攻擊的有效性，就像孫悟空的七十二變。

鄔江興將這種防御策略稱為“擬態防御”，并借用錢學森的系統工程思想——“從復雜問題的總體入手，認為總體大于各部分之和，各部分雖較劣但總體可以優化。”也就是說，忽略各個構件存在的漏洞，從總體上將生物界的擬態防御原理導入網絡安全領域，構建一種新的網絡防御系統，即功能等價條件下異構冗余多維動態重構機制。

這一復雜的信息防御體系，其特別之處在于系統中放一個構件池。構件像小孩玩的積

木，通過拼裝組合成不同的“計算裝置”(比如計算器、計算尺等)。系統通過策略調度和多維重構，動態地生成富于變幻的“計算裝置”組合。當執行指令時，“計算裝置”的組合處于復雜變換狀態，而裝置的功能從未改變。巧妙的是，從系統外觀察，計算裝置的漏洞與后門隨著裝置的變換而不停地變化。漏洞成為瞄不準、測不到、打不著的存在，漏洞的缺陷也就無法被有效利用。

讓“計算裝置”的漏洞失效是有前提條件的，即計算器、計算尺、算盤等執行體是網絡設備的軟、硬件，自身都存在漏洞缺陷并具有相同的功能。漏洞失效的機理在于，當三個裝置同時執行2×3的指令后，系統只輸出多數相同的結果。如果三個結果均為6，輸出結果為6;如果一個為5、兩個為6，這時5為少數，輸出結果仍然為6.“其實，這樣的算法并不知道什么是對、什么是錯，只是按照多數還是少數執行。其巧妙之處在于，不知道各個裝置有什么問題，只知道很難出現同樣的問題。” 鄔江興說。

相比傳統精準防御，擬態防御不以弄清木馬病毒與漏洞后門的性質為前提，不依賴于先驗知識——不斷更新的病毒庫，而依靠系統的內生防御技術。同時，隨著執行體的快速變化，設置在執行體中的后門成為了一個“轉門”，攻擊者連入口都無法找到。總之，系統通過快速選擇不同功能的組合執行體，在變化中完成給定的任務，使單位時間內攻擊者做出的攻擊決策既不能一招制敵，又在短時間內迅速失效。這時，不確定性威脅就變成一個極小概率的網絡攻擊事件。

擬態防御并非“神乎其神”

2016年8月，由53位同行專家(包括13名院士)署名的《擬態防御原理驗證系統測評意見》正式公布，測評結果表明：現有的掃描探測、漏洞利用、后門設置、病毒注入、木馬植入乃至高級持續威脅(APT)等常規或非常規攻擊手段方法，對擬態界內受保護對象沒有預期的作用和可信效力。有媒體給出高度評價：“擬態防御或將是網絡安全與信息化融合領域的‘游戲規則改變者’!”

“任何事物都不可能‘神乎其神’，‘擬態防御’擁有明顯的創新性，但也不是放之四海皆準的原理。”作為理論的提出者，鄔江興特別強調擬態防御的適用范圍。

鄔江興進一步解釋，實現擬態防御的前置條件包括四個方面。首當其沖是要存在可判定異構冗余體之間功能等價性的“擬態界”，還需要在給定功能性能下存在軟硬構件多元或多樣化供應條件;再就是該技術適合于兼具高安全性和高可靠性的應用領域，比如交通、電力、能源、國防這些領域。

此外，由于擬態防御系統要求同一功能的多構件組合，相比單一構件系統，成本大幅增加。因此，在初始階段，擬態防御的投資回報率不高，更適用于高成本投入的安全領域。

【編輯推薦】