引言
隨著信息技術(shù)的發(fā)展和應(yīng)用范圍的不斷擴(kuò)大,網(wǎng)絡(luò)安全問題日益突出,各種網(wǎng)絡(luò)攻擊手段層出不窮,給信息系統(tǒng)的安全性帶來了巨大挑戰(zhàn)。傳統(tǒng)的安全防御體現(xiàn)往往采用隧道加密、防火墻、入侵檢測等手段,但隨著攻擊技術(shù)的不斷進(jìn)步,這些傳統(tǒng)手段應(yīng)對于未知攻擊、未定義特征的防御能力相對薄弱,對于 0-Day性質(zhì)的漏洞后門、病毒木馬等網(wǎng)絡(luò)攻擊更是束手無策。因此,針對未知攻擊、未定義特征、 0-Day攻擊進(jìn)行擬態(tài)防御是內(nèi)生安全領(lǐng)域的一個重要研究方向。在《關(guān)于印發(fā)“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃的通知》規(guī)劃也提出:促進(jìn)擬態(tài)防御等網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng),持續(xù)深入探索基于動態(tài)冗余架構(gòu)的網(wǎng)絡(luò)內(nèi)生安全機(jī)制。
內(nèi)生安全強(qiáng)調(diào)了所有由軟硬件構(gòu)成的信息物理系統(tǒng)或控制裝置都不可避免地存在內(nèi)生安全共性問題,所以應(yīng)當(dāng)從系統(tǒng)的設(shè)計(jì)、開發(fā)過程中就建立應(yīng)對內(nèi)生安全問題的結(jié)構(gòu)和機(jī)制,在面臨攻擊時通過該機(jī)制實(shí)現(xiàn)自我保護(hù)、自我檢測和自我恢復(fù)。
擬態(tài)防御是一種模仿真實(shí)系統(tǒng)的正常行為,并通過混淆、隱藏等手段使攻擊者無法分辨真實(shí)系統(tǒng)和擬態(tài)系統(tǒng)的安全機(jī)制。與傳統(tǒng)的被動防御機(jī)制不同,擬態(tài)防御強(qiáng)調(diào)對攻擊者的混淆和欺騙,使其無法準(zhǔn)確識別真實(shí)系統(tǒng)和擬態(tài)系統(tǒng)的區(qū)別,從而達(dá)到保護(hù)系統(tǒng)安全的目的。在這種機(jī)制下,攻擊者很難對系統(tǒng)進(jìn)行攻擊,因?yàn)樗麄儫o法找到真正的目標(biāo)。
動態(tài)異構(gòu)冗余架構(gòu)是擬態(tài)防御的核心技術(shù)。動態(tài)異構(gòu)冗余架構(gòu)是利用不同的技術(shù)、硬件或軟件來實(shí)現(xiàn)冗余功能的安全機(jī)制。通過將系統(tǒng)的關(guān)鍵組件部署在不同的硬件、軟件環(huán)境中,即使其中一個組件受到攻擊或失效,系統(tǒng)仍能保持正常運(yùn)行。動態(tài)異構(gòu)冗余在一定程度上可以提高系統(tǒng)的安全性和穩(wěn)定性,增強(qiáng)系統(tǒng)對外部攻擊的抵御能力。
本文將擬態(tài)防御和動態(tài)異構(gòu)冗余架構(gòu)的定義、原理、設(shè)計(jì)原則應(yīng)用到工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)安全防護(hù)中。通過將擬態(tài)防御和動態(tài)異構(gòu)冗余相結(jié)合,構(gòu)建內(nèi)生安全機(jī)制,可以更好地應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)安全威脅。
二、被動防御體系的演進(jìn)和困局
被動防御體系演進(jìn)
第一階段的安全技術(shù)主要通過劃分明確的網(wǎng)絡(luò)邊界,利用各種保護(hù)和隔離技術(shù)手段,例如用戶鑒權(quán)與認(rèn)證、訪問控制、信息加解密、網(wǎng)絡(luò)隔離等,在網(wǎng)絡(luò)邊界上部署,防止外部非法入侵與信息泄露,達(dá)到系統(tǒng)加固的目的。此類技術(shù)在確保網(wǎng)絡(luò)系統(tǒng)的正常訪問、鑒別合法用戶身份和權(quán)限管理、機(jī)密數(shù)據(jù)信息安全方面有較強(qiáng)的防護(hù)作用,但這一階段技術(shù)對部分攻擊行為如用戶身份假冒、系統(tǒng)漏洞后門攻擊等顯得無能為力。
第二階段的安全防護(hù)融合了保護(hù)、檢測、響應(yīng)、恢復(fù)四大技術(shù)。此階段主要采用特征掃描、模式匹配等手段對系統(tǒng)狀態(tài)進(jìn)行檢測與報(bào)警,尋找被植入的惡意代碼并進(jìn)行查殺,找出導(dǎo)致惡意代碼可被植入的原因并用補(bǔ)丁的方式進(jìn)行修補(bǔ),發(fā)現(xiàn)不規(guī)范的蓄意行為和特征并加以抑制。此階段技術(shù)高度依賴檢測能力,且攻擊方發(fā)展出對應(yīng)的偽裝欺騙技術(shù),導(dǎo)致不可能發(fā)現(xiàn)全部攻擊。
第三階段的安全防護(hù)在前兩階段的基礎(chǔ)上疊加了信息生存技術(shù)。此階段網(wǎng)絡(luò)在假設(shè)漏洞后門不可避免,攻擊和意外事故已然、必然發(fā)生的條件下,通過實(shí)時狀況感知與響應(yīng),實(shí)時調(diào)整安全策略,采用自我診斷隔離、還原重構(gòu)等手段,仍可在限定時間內(nèi)完成全部關(guān)鍵使命。容侵技術(shù)可以作為網(wǎng)絡(luò)系統(tǒng)的最后一道防線,使攻擊侵犯的影響降到最低。但目前容侵技術(shù)主要基于門限密碼秘密共享理論的容侵模型設(shè)計(jì),尚未達(dá)到規(guī)模化實(shí)用的程度,并且模型的建立依賴大量先驗(yàn)知識與實(shí)際經(jīng)驗(yàn),對于未定義的攻擊行為仍然較難防范。
被動防御體系困局
被動防御體系,如常見的防火墻、入侵檢測系統(tǒng)、反病毒軟件等,主要依賴于對已知攻擊模式和特征的識別來發(fā)揮作用。這種依賴使得它們在面對新型的、未知的攻擊手段時顯得力不從心。由于其防御策略是基于事先設(shè)定的規(guī)則和模式,一旦攻擊者采用了未曾預(yù)見的攻擊方式或者對已知攻擊進(jìn)行了巧妙的變形和偽裝,被動防御體系很可能無法及時有效地做出響應(yīng)。
再者,被動防御體系往往在攻擊發(fā)生后才能檢測到異常,這意味著在發(fā)現(xiàn)威脅之前,系統(tǒng)可能已經(jīng)遭受了一定程度的損害。而且,它們通常只能針對特定類型的攻擊或威脅進(jìn)行防護(hù),對于跨領(lǐng)域、多維度的復(fù)雜攻擊,可能無法提供全面的保護(hù)。
另外,被動防御體系的更新和維護(hù)是一個持續(xù)的挑戰(zhàn)。為了保持有效性,需要不斷更新特征庫、規(guī)則集以及軟件版本,以應(yīng)對不斷變化的攻擊手段。然而,這個過程通常存在時間延遲,給攻擊者留下了可乘之機(jī)。
從更宏觀的角度來看,被動防御體系在應(yīng)對大規(guī)模、協(xié)同式的網(wǎng)絡(luò)攻擊時,可能會因?yàn)橘Y源消耗過大或者協(xié)調(diào)不暢而出現(xiàn)防護(hù)漏洞。隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜和攻擊者技術(shù)的不斷進(jìn)步,被動防御體系的部署和管理成本也在不斷增加,但其防護(hù)效果卻難以實(shí)現(xiàn)與投入成正比的提升。
迄今為止,傳統(tǒng)的被動防御網(wǎng)絡(luò)安全思維模式和技術(shù)路線很少能跳出“盡力而為、問題歸零“的慣性思維。相比之下,內(nèi)生安全機(jī)制中的擬態(tài)防御體系則具有主動應(yīng)對、動態(tài)變化和自適應(yīng)的特點(diǎn),能夠更好地適應(yīng)復(fù)雜多變的網(wǎng)絡(luò)威脅環(huán)境,為網(wǎng)絡(luò)安全提供更強(qiáng)大、更靈活的保障。
三、擬態(tài)防御和動態(tài)冗余架構(gòu)簡介
在上述背景下,學(xué)術(shù)界和工業(yè)界逐步認(rèn)識到,僅僅依賴于傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)已經(jīng)不能有效應(yīng)對不斷演變的網(wǎng)絡(luò)威脅。大量的網(wǎng)絡(luò)安全事件表明,網(wǎng)絡(luò)空間絕大部分安全威脅都是由人為攻擊這個外因,通過目標(biāo)對象自身存在的漏洞后門這個內(nèi)因的相互作用而形成的。為此,由中國工程院鄔江興院士提出的內(nèi)生安全和擬態(tài)防御概念應(yīng)運(yùn)而生,旨在通過增強(qiáng)系統(tǒng)自身安全性、動態(tài)性和不確定性來應(yīng)對復(fù)雜多變的威脅。
擬態(tài)防御
擬態(tài)防御是實(shí)現(xiàn)內(nèi)生安全的具體方法之一,從生物學(xué)的擬態(tài)現(xiàn)象中獲得靈感,旨在通過動態(tài)變化、隨機(jī)性、異構(gòu)冗余等機(jī)制,使系統(tǒng)表現(xiàn)出多樣化和不可預(yù)測性,從而使攻擊者難以識別和攻擊真實(shí)目標(biāo);核心是通過設(shè)立擬態(tài)邊界和重點(diǎn)區(qū)域防御,確保目標(biāo)對象的穩(wěn)定性。為了提高防御資源的利用率,采用了策略調(diào)度與動態(tài)重構(gòu)的負(fù)反饋機(jī)制。在防御過程中,重點(diǎn)在于管理異構(gòu)執(zhí)行體漏洞后門的可達(dá)性與協(xié)同利用性,借助擬態(tài)裁決,實(shí)現(xiàn)目標(biāo)對象功能和系統(tǒng)性能的健壯性。
擬態(tài)防御以“相對正確公理”,即“人人都存在這樣或那樣的缺點(diǎn),但極少出現(xiàn)獨(dú)立完成同樣任務(wù)時,多數(shù)人在同一個地點(diǎn)、同一時間、犯完全一樣錯誤的情形”為基礎(chǔ),引申出動態(tài)異構(gòu)冗余架構(gòu),動態(tài)冗余架構(gòu)是擬態(tài)防御的核心技術(shù)之一。
動態(tài)冗余架構(gòu)((Dynamic Heterogeneous Redundancy,DHR)
動態(tài)異構(gòu)冗余架構(gòu)(DHR)的核心思想是依據(jù)“構(gòu)造決定安全”的公知,在保證本征功能集不變條件下,導(dǎo)入基于多模裁決的策略調(diào)度和多維動態(tài)重構(gòu)魯棒控制機(jī)制,賦予運(yùn)行環(huán)境動態(tài)可重組、軟件可定義、算法可重構(gòu)的功能屬性,形成攻擊者視角下的測不準(zhǔn)效應(yīng),使目標(biāo)運(yùn)行場景在抑制廣義不確定擾動方面具備可迭代收斂的動態(tài)性、隨機(jī)性、多樣性。
動態(tài)異構(gòu)冗余架構(gòu)(DHR),包括輸入代理、等價異構(gòu)執(zhí)行體資源池、輸出代理、擬態(tài)裁決、異構(gòu)體重構(gòu)和策略調(diào)度、反饋控制等功能部件。
動態(tài)異構(gòu)冗余構(gòu)造來化解或規(guī)避目標(biāo)對象內(nèi)部“已知的未知風(fēng)險(xiǎn)”或“未知的未知威脅”的原理與方法,表現(xiàn)有五個方面:
首先:能將基于構(gòu)造內(nèi)執(zhí)行體個體未知漏洞后門的隱匿性攻擊,轉(zhuǎn)變?yōu)閿M態(tài)界內(nèi)攻擊效果不確定的事件;
其次:能將效果不確定的攻擊事件歸一化為具有概率屬性的廣義不確定擾動問題;
三是:基于擬態(tài)裁決的策略調(diào)度和多維動態(tài)重構(gòu)負(fù)反饋機(jī)制產(chǎn)生的“測不準(zhǔn)”防御迷霧,可以瓦解試錯或盲攻擊的前提條件;
四是:借助“相對正確”公理的邏輯表達(dá)機(jī)制,可以在不依賴攻擊者先驗(yàn)知識或行為特征信息情況下提供高置信度的敵我識別功能;
五是:能將非傳統(tǒng)安全威脅歸一化為廣義魯棒控制問題并可實(shí)現(xiàn)一體化的處理。
四、擬態(tài)防御與傳統(tǒng)安全結(jié)合場景
傳統(tǒng)安全技術(shù)在互聯(lián)網(wǎng)中面臨多重風(fēng)險(xiǎn),特別是對于針對0 Day漏洞的攻擊(零日攻擊)和繞過WAF攻擊的方式缺乏有效的防御手段,而通過擬態(tài)防御和傳統(tǒng)安全混和部署的方式可以彌補(bǔ)傳統(tǒng)安全技術(shù)的缺陷,也可以有效阻止未定義攻擊造成系統(tǒng)異常或損壞,如圖所示:
五、基于動態(tài)冗余架構(gòu)的工業(yè)控制網(wǎng)絡(luò)內(nèi)生安全機(jī)制
工業(yè)控制網(wǎng)絡(luò)比之互聯(lián)網(wǎng)更需要穩(wěn)定、安全的防護(hù)措施,基于動態(tài)冗余架構(gòu)的工業(yè)控制網(wǎng)絡(luò)內(nèi)生安全機(jī)制可以提高工業(yè)控制網(wǎng)絡(luò)對于攻擊的防護(hù)能力和靈活性。
工業(yè)控制網(wǎng)絡(luò)內(nèi)生安全機(jī)制中包括輸入代理、冗余執(zhí)行體集合、策略裁決、負(fù)反饋控制器、輸出代理、異構(gòu)組件庫模塊,如圖所示:
1.輸入代理模塊:負(fù)責(zé)報(bào)文的接收和向冗余執(zhí)行體集合分發(fā),并執(zhí)行檢查報(bào)文格式、協(xié)議類型、合法性等初步篩選或過濾動作,如發(fā)現(xiàn)可疑報(bào)文,輸入代理可直接丟棄報(bào)文,避免其進(jìn)入下一階段。
2.冗余執(zhí)行體集合:由多個功能等價但設(shè)計(jì)和實(shí)現(xiàn)不同的異構(gòu)執(zhí)行體構(gòu)成。這些執(zhí)行體分別處理相同的報(bào)文,即使某個執(zhí)行體發(fā)生故障或遭受攻擊,其他執(zhí)行體仍然能夠正常工作;同時,由于每個執(zhí)行體具有不同的實(shí)現(xiàn)方式,攻擊者即使發(fā)現(xiàn)某個執(zhí)行體的漏洞,也很難通過相同的攻擊手段同時攻破其他執(zhí)行體,這種設(shè)計(jì)可以有效防御零日攻擊。
3.策略裁決模塊:接受冗余執(zhí)行體集合中多個執(zhí)行體處理后的結(jié)果,并對這些結(jié)果進(jìn)行裁決。由于多個執(zhí)行體可能由于環(huán)境、配置或潛在的攻擊而產(chǎn)生不同的輸出,策略裁決模塊通過比較和分析這些結(jié)果,識別潛在的攻擊或故障,向反饋控制器發(fā)送警報(bào)并決定最終的系統(tǒng)輸出;同時,策略裁決模塊可以動態(tài)調(diào)整裁決策略,通過動態(tài)調(diào)整,策略裁決模塊能夠適應(yīng)不斷變化的環(huán)境和威脅。
4.負(fù)反饋控制器:持續(xù)監(jiān)控系統(tǒng)的運(yùn)行狀態(tài),包括執(zhí)行體的健康狀態(tài)、輸出結(jié)果和結(jié)果的準(zhǔn)確性、安全性等。一旦檢測到執(zhí)行體異常,負(fù)反饋控制器會向異常執(zhí)行體發(fā)出調(diào)度指令,以促使其做出相應(yīng)調(diào)整;同時,負(fù)反饋控制器也向策略裁決模塊實(shí)時傳遞反饋信息以促使策略裁決模塊根據(jù)反饋進(jìn)行動態(tài)調(diào)整,優(yōu)化裁決過程和輸出結(jié)果。
5.輸出代理模塊:將策略裁決模塊的最終結(jié)果安全、準(zhǔn)確地傳遞到生產(chǎn)環(huán)境。它通過執(zhí)行安全檢查、反饋異常信息、隔離生產(chǎn)環(huán)境和管理輸出的可追溯性,確保系統(tǒng)的輸出過程既安全又高效,從而保障整個工業(yè)控制網(wǎng)絡(luò)的穩(wěn)定和可靠運(yùn)行。
6.異構(gòu)組件庫模塊:為系統(tǒng)提供了多種異構(gòu)組件,這些組件在系統(tǒng)運(yùn)行過程中被動態(tài)地選取、組合和部署,它支持多種工控協(xié)議和不同操作系統(tǒng)以確保冗余執(zhí)行體集合中執(zhí)行體的冗余度,隨著安全技術(shù)的發(fā)展,新的異構(gòu)組件可以不斷添加到組件庫中,而舊的或已被攻破的組件則可以被淘汰或更新。該模塊是實(shí)現(xiàn)動態(tài)異構(gòu)冗余架構(gòu)的關(guān)鍵,確保系統(tǒng)在面對復(fù)雜威脅時能夠保持穩(wěn)定和安全的運(yùn)行。
工業(yè)控制系統(tǒng)內(nèi)部動態(tài)冗余的實(shí)現(xiàn)流程如圖所示:
1.工控Modbus報(bào)文首先會進(jìn)入“輸入代理”模塊中,輸入代理模塊驗(yàn)證后將報(bào)文分發(fā)至功能等價冗余執(zhí)行體集合。
2.異構(gòu)冗余組件中的執(zhí)行體將會響應(yīng)并執(zhí)行報(bào)文,其結(jié)果將發(fā)送至“策略裁決”模塊;攻擊者需要在擬態(tài)環(huán)境下實(shí)現(xiàn)多元目標(biāo)的協(xié)同攻擊并取得一致攻擊效果,才能進(jìn)行下一個攻擊步驟,但此過程需要攻擊者付出大量的攻擊成本和攻擊代價。
3.“策略裁決”模塊通過多模選擇、一致性比較或權(quán)重裁決等組合或迭代方式對異構(gòu)冗余組件的執(zhí)行結(jié)果進(jìn)行裁決,并將裁決結(jié)果發(fā)送至負(fù)反饋控制器,并根據(jù)裁決結(jié)果決定是否發(fā)送至“輸出代理”模塊。
4.負(fù)反饋控制器收到來自裁決模塊的裁決結(jié)果后,向異構(gòu)組件庫發(fā)送調(diào)度命令以執(zhí)行對異構(gòu)冗余執(zhí)行體的調(diào)整。
5.“輸出代理”模塊將會格式化輸出,將原報(bào)文發(fā)送至工業(yè)控制網(wǎng)絡(luò)中,并記錄相關(guān)日志。
6.異構(gòu)組件庫根據(jù)接收到來自反饋控制器或外部命令的調(diào)度指令執(zhí)行策略調(diào)整,并根據(jù)動態(tài)選擇算法從異構(gòu)組件庫中組裝新的異構(gòu)執(zhí)行體加入異構(gòu)執(zhí)行體集合。
7. 當(dāng)“策略裁決”模塊檢測到預(yù)期的正常報(bào)文數(shù)量更多時,則向工業(yè)控制網(wǎng)絡(luò)中發(fā)送該報(bào)文;當(dāng)檢測到非預(yù)期的異常報(bào)文數(shù)量更多時,則拒絕該報(bào)文進(jìn)入工業(yè)控制網(wǎng)絡(luò)中。
動態(tài)冗余架構(gòu)的工業(yè)控制網(wǎng)絡(luò)內(nèi)生安全機(jī)制具有顯著的優(yōu)點(diǎn),在工業(yè)控制系統(tǒng)中發(fā)揮著重要作用。在高可信度上,擬態(tài)防御具備完善的裁決機(jī)制和反饋機(jī)制。面對內(nèi)外部威脅攻擊,擬態(tài)防御機(jī)制能夠?qū)⑨槍€體的攻擊事件轉(zhuǎn)化為系統(tǒng)層面可量化且概率可控的安全事件。具體表現(xiàn)為裁決機(jī)制的組合迭代式裁決能力,在高可靠性上,冗余執(zhí)行體與生產(chǎn)環(huán)境相隔離,即便冗余執(zhí)行體內(nèi)的執(zhí)行體發(fā)生故障無法正常工作,也不會影響系統(tǒng)的業(yè)務(wù)功能運(yùn)行。而且,反饋機(jī)制能夠?qū)崟r檢測異常執(zhí)行體并進(jìn)行清洗、上線操作,進(jìn)一步確保系統(tǒng)服務(wù)或功能穩(wěn)定可靠地運(yùn)行。
六、結(jié)束語
在信息技術(shù)高速發(fā)展的當(dāng)下,工業(yè)控制網(wǎng)絡(luò)面臨的安全挑戰(zhàn)愈發(fā)嚴(yán)峻。通過對傳統(tǒng)安全防御手段的局限性分析,我們明確了針對未知攻擊、未定義特征以及 0-Day 攻擊進(jìn)行擬態(tài)防御研究的重要性和緊迫性。這不僅是內(nèi)生安全領(lǐng)域的關(guān)鍵研究方向,也是應(yīng)對未來復(fù)雜多變網(wǎng)絡(luò)威脅的必然選擇。正如《關(guān)于印發(fā)“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃的通知》所強(qiáng)調(diào),促進(jìn)擬態(tài)防御等網(wǎng)絡(luò)安全技術(shù)在信息系統(tǒng)中的應(yīng)用具有重要的戰(zhàn)略意義。我們應(yīng)緊跟時代步伐,持續(xù)深入探索基于動態(tài)冗余架構(gòu)的工業(yè)控制網(wǎng)絡(luò)內(nèi)生安全機(jī)制,不斷創(chuàng)新和完善相關(guān)技術(shù),為工業(yè)控制網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行提供堅(jiān)實(shí)的保障,助力數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,共同構(gòu)建一個安全、可靠、高效的網(wǎng)絡(luò)環(huán)境。
