網(wǎng)絡(luò)空間擬態(tài)防御原理簡介（上）

◎鄔江興

中國工程院院士、解放軍信息工程大學(xué)教授鄔江興在“互聯(lián)網(wǎng)之光”博覽會介紹擬態(tài)防御原理（圖片來源：大河網(wǎng)）

當(dāng)前，我國已邁入實現(xiàn)“第一個百年目標(biāo)”的沖刺階段，面臨實現(xiàn)中華民族偉大復(fù)興中國夢的關(guān)鍵時期。與此同時，我們面臨的各種外部壓力和風(fēng)險挑戰(zhàn)急劇增多。從安全的角度來看，我們面臨“修昔底德陷阱”，即“新興大國”和“守成大國”之間爆發(fā)戰(zhàn)爭沖突的可能性會增大。從發(fā)展的角度看，我們面臨“中等收入陷阱”，即一國的人均GDP到了“中等收入”階段，如果不能成功實現(xiàn)經(jīng)濟(jì)發(fā)展方式的轉(zhuǎn)型，就無法跨入高收入國家行列?？朔邢拶Y源的矛盾，同時跨越“兩大陷阱”，關(guān)鍵在于實現(xiàn)軍事優(yōu)勢、經(jīng)濟(jì)優(yōu)勢的良性循環(huán)。歷史上，能夠長期保持強(qiáng)大的所有強(qiáng)國都在經(jīng)濟(jì)優(yōu)勢與軍事優(yōu)勢之間建立了良性循環(huán)。美國能夠長期保持超級大國地位，關(guān)鍵是能夠?qū)⒂邢拶Y源打造為雙向互動的“生產(chǎn)力”和“戰(zhàn)斗力”，這也是我們跨過“兩大陷阱”的核心要義。黨的十八大以來，以習(xí)近平同志為核心的黨中央把軍民融合發(fā)展上升為國家戰(zhàn)略。這既是興國之舉，又是強(qiáng)軍之策，吹響了富國和強(qiáng)軍相統(tǒng)一的號角。無論是《關(guān)于經(jīng)濟(jì)建設(shè)和國防建設(shè)融合發(fā)展的意見》出臺，還是中央軍民融合發(fā)展委員會的成立，都是要打破軍民兩大體系的界限，使得“生產(chǎn)力發(fā)展”和“戰(zhàn)斗力生成”相互轉(zhuǎn)化、相得益彰，保障中華民族和平崛起、永續(xù)發(fā)展。

信息時代給我們帶來生活和工作樂趣的同時，網(wǎng)絡(luò)安全問題像幽靈一般成為揮之不去的夢魘。網(wǎng)絡(luò)空間“易攻難守”的不平衡或不對稱現(xiàn)狀，使得少數(shù)組織甚至個人就能挑戰(zhàn)整個網(wǎng)絡(luò)世界的安全秩序。

習(xí)近平總書記《在網(wǎng)絡(luò)安全和信息化工作座談會上的講話》中指出，“從世界范圍看，網(wǎng)絡(luò)安全威脅和風(fēng)險日益突出，特別是國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨較大風(fēng)險隱患，難以有效應(yīng)對國家級、有組織的高強(qiáng)度網(wǎng)絡(luò)攻擊。這對世界各國都是一個難題，我們當(dāng)然也不例外”。

在經(jīng)濟(jì)技術(shù)全球化浪潮的推動下，世界各國都面臨全球化帶來的許多新挑戰(zhàn)。2011年12月，美國國家科學(xué)技術(shù)委員會在《可信網(wǎng)絡(luò)空間：聯(lián)邦網(wǎng)空安全研發(fā)戰(zhàn)略規(guī)劃》中也指出：在經(jīng)濟(jì)全球化、產(chǎn)業(yè)技術(shù)國際化大趨勢下，“網(wǎng)絡(luò)空間任何信息系統(tǒng)只要在設(shè)計鏈、生產(chǎn)鏈以及供應(yīng)鏈等環(huán)節(jié)存在可信度或安全風(fēng)險不受控的情形，就無法從根本上消除信息系統(tǒng)或網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全漏洞”。這句話揭示了：在目前全球化大背景下，信息系統(tǒng)的安全漏洞問題非常嚴(yán)重，網(wǎng)絡(luò)空間的安全形勢非常嚴(yán)峻。

現(xiàn)有的各種信息裝置和服務(wù)系統(tǒng)，從芯片、板卡、軟硬件部件、信息系統(tǒng)乃至平臺和網(wǎng)絡(luò)，甚至密碼裝置，可以確保安全可信嗎？這個問題恐怕再高明的密碼或安全專家也沒有辦法回答。我們稱這種現(xiàn)象叫信息裝置和服務(wù)設(shè)施的安全之殤。如何才能在全球化環(huán)境下基于可信性不能確保的軟硬件供應(yīng)鏈，構(gòu)建自主可控、安全可信的信息系統(tǒng)或設(shè)施，這是科技界和工業(yè)界無法再回避的技術(shù)挑戰(zhàn)，也是國家安全必須直面的戰(zhàn)略性問題。

網(wǎng)絡(luò)空間擬態(tài)防御將改變網(wǎng)絡(luò)安全游戲規(guī)則（圖片來源：大河網(wǎng)）

一、網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅

1.網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之一——安全漏洞

網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之一是安全漏洞。漏洞通常是指，在硬件、軟件或協(xié)議等的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未經(jīng)授權(quán)下訪問或破壞信息系統(tǒng)。據(jù)來自中國國家信息安全漏洞庫的資料，2015年檢測到的瀏覽器漏洞數(shù)比2014年增長37%，操作系統(tǒng)漏洞數(shù)增長73%。而令人擔(dān)憂的問題是，未能檢出的漏洞有多少？更為糟糕的是，人類現(xiàn)有的科技能力尚無法從理論和實踐上徹底避免漏洞問題。漏洞是人類設(shè)計缺陷造成的，而設(shè)計缺陷又跟人的認(rèn)知水平有關(guān)。上個世紀(jì)60年代末，美國科學(xué)家們發(fā)明Internet，那個時候的基本技術(shù)訴求只是想把各個孤立的計算機(jī)或網(wǎng)絡(luò)互連起來為大家共享使用，最后卻發(fā)展成了今天的全球互聯(lián)網(wǎng)。當(dāng)初創(chuàng)造Internet的是一幫正人君子，絕沒想到后來網(wǎng)上會出現(xiàn)那么多的小人。

網(wǎng)絡(luò)空間擬態(tài)防御發(fā)布現(xiàn)場（圖片來源：大河網(wǎng)）

2.網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之二——軟硬件后門

網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之二是軟硬件后門。通常是指留在軟硬件系統(tǒng)中的惡意代碼，為特殊使用者通過特殊方式繞過安全控制環(huán)節(jié)而獲得系統(tǒng)訪問權(quán)的方法與途徑。僅就2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告的數(shù)據(jù)來看，2014年中國境內(nèi)被篡改網(wǎng)站數(shù)量較2013年增長53.8%。2014年我國境內(nèi)4萬多個網(wǎng)站被植入后門，其中政府網(wǎng)站就達(dá)1500多個。與漏洞同樣的問題是，查不出的后門有多少？更為嚴(yán)峻的是，在供應(yīng)鏈全球化時代下，“你中有我，我中有你”是必然趨勢。因而，在相當(dāng)時期內(nèi)，后門將是無法杜絕的。

3.“棱鏡門”事件及相關(guān)事件的啟迪

“棱鏡門”事件披露了大量的關(guān)于硬件后門的黑幕信息，嚴(yán)重打擊了國際社會全球化的信心，給貿(mào)易自由化帶來了長期的負(fù)面影響。即使在網(wǎng)絡(luò)安全與信息技術(shù)最發(fā)達(dá)的美國，2017年國防授權(quán)法案中也提出了“如何保證來自全球化市場、商用等級、非可信源構(gòu)件的可信性問題”。其實這個問題2005年美國人就提出了相關(guān)的國家研究計劃，可是到2016年，十二年過去了，這個問題依然沒有得到有效的解決。今天，美國國會繼續(xù)在國防授權(quán)法里面要求為此撥款研究。一個典型的例子是，據(jù)美國一家著名戰(zhàn)略咨詢公司的報告稱，如果不利用全球化市場和技術(shù)資源，據(jù)估算，F(xiàn)22戰(zhàn)斗機(jī)所有零部件完全靠美國自主設(shè)計和加工生產(chǎn)，到2015年，單機(jī)價格很可能超過30億美元，即使是最富有的美國人在技術(shù)和經(jīng)濟(jì)上也都是無法承受的。

4.網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之三——網(wǎng)絡(luò)空間中存在巨大的未知數(shù)

網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之三是網(wǎng)絡(luò)空間中存在巨大的未知數(shù)。我們已知的漏洞和后門就如同浩瀚宇宙中的一點點塵埃，絕大多數(shù)漏洞后門仍然是未知的，在數(shù)學(xué)上根本給不出任何有意義的數(shù)據(jù)。其中的一個重要原因就是，迄今為止，人類尚未形成窮盡復(fù)雜信息系統(tǒng)漏洞和徹查后門的理論與方法。在“設(shè)計缺陷與不可信開放式供應(yīng)鏈”條件下，無論從技術(shù)或經(jīng)濟(jì)上都不可能徹底保證網(wǎng)絡(luò)空間（包括核心信息裝備或關(guān)鍵信息基礎(chǔ)設(shè)施）構(gòu)成環(huán)境內(nèi)“無毒無菌”的安全性要求。

擬態(tài)安全作用域

5.基于未知漏洞后門等的未知攻擊

從網(wǎng)絡(luò)防御者角度來看，基于未知漏洞或利用未知后門實施的未知攻擊屬于“未知的未知”安全威脅，也即不確定性威脅，這是網(wǎng)絡(luò)安全領(lǐng)域最令人惶恐不安的威脅。因為我們永遠(yuǎn)無法知道攻擊者在什么時候、用什么手段、經(jīng)過何種途徑進(jìn)入目標(biāo)對象，正在干什么，已經(jīng)干了什么，未來可能干什么等一系列問題，更不知道從何處下手才能實施有針對性的防御。這是最具挑戰(zhàn)性的安全問題，也是最使人抓狂的安全威脅，沒有之一。一個說不清道不白的問題是，這些信息設(shè)備和安全防護(hù)裝備自身安全嗎？以加密機(jī)為例，加密部件本身是不是存在一些病毒或者木馬呢？這是任何廠家都沒有辦法回答的問題。目前所知許多被破譯的密碼，其中被暴力破解的微乎其微，大部分是通過加密機(jī)本身的缺陷將密碼破解。在安全領(lǐng)域，大家以后可能會經(jīng)常見到一個名詞叫“未見異?！?，這個詞以前可是醫(yī)學(xué)檢查報告里常見的。醫(yī)學(xué)上對“未見異?！钡闹赶蛐允欠浅Ｃ鞔_的，這句話應(yīng)該這么理解，不是你沒有病，而是說我的水平?jīng)]有檢察出你有什么病癥。現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域的檢查也開始用這個詞了，“未見異常”，必須正確認(rèn)識，否則會大錯特錯的。

6.風(fēng)險與不確定性問題的經(jīng)濟(jì)學(xué)區(qū)別

美國經(jīng)濟(jì)學(xué)家佛蘭克·奈特對風(fēng)險和不確定威脅有段富有哲學(xué)和數(shù)學(xué)意味的描述，大概的意思說，已知的未知屬于風(fēng)險，風(fēng)險可以用概率來表述，而未知的未知屬于不確定威脅，不確定性則是不知道概率的情形。

“互聯(lián)網(wǎng)之光”擬態(tài)防御展臺（圖片來源：大河網(wǎng)）

二、傳統(tǒng)防御體系的脆弱性

1.網(wǎng)絡(luò)空間傳統(tǒng)（主被動）防御體系

網(wǎng)絡(luò)空間現(xiàn)有的防御體系，是基于威脅特征感知的精確防御。建立在“已知風(fēng)險”甚至可以是“已知的未知風(fēng)險”前提條件下，必須獲得攻擊來源、攻擊特征、攻擊途徑、攻擊行為、攻擊機(jī)制等先驗知識才能實施有效防御。更為嚴(yán)峻的是，網(wǎng)絡(luò)空間信息系統(tǒng)架構(gòu)和防御體系本質(zhì)上說都是靜態(tài)、相似和確定的，體系架構(gòu)透明脆弱、又缺乏多樣性，缺陷持續(xù)暴露易于攻擊，從而成為網(wǎng)絡(luò)空間最大的安全黑洞。這種“亡羊補(bǔ)牢式”的防御體系屬于后天獲得性免疫，一般是將加密認(rèn)證技術(shù)作為底線防御手段。

2.應(yīng)對不確定威脅的體系脆弱性

傳統(tǒng)防御體系應(yīng)對不確定危險方面的體系脆弱性，其實是一種基因缺陷。大量未知的軟硬件漏洞，預(yù)設(shè)的軟硬件后門，以及同一處理空間共享資源運行機(jī)制等，都使得整個系統(tǒng)處在可信性不能確保的生態(tài)環(huán)境中。即使是自主設(shè)計的CPU、操作系統(tǒng)、數(shù)據(jù)庫等，也無法確保沒有設(shè)計漏洞，更沒有辦法完全避免使用開源軟硬件代碼而引入的后門或陷門問題。因此，才有我們時常聽到的“自主決不等于可控，可控更不等于可信”的說法。傳統(tǒng)防御體系的“軟肋”是不能感知和認(rèn)知不確定性危險，而作為底線防御的加密或認(rèn)證手段，并不能確保不被基于未知漏洞后門的未知攻擊旁路或者短路。也就是說，基于可信性不能確保的軟硬件構(gòu)件，想要建立起自主可控、安全可信的防御體系，沒有創(chuàng)新的理論和技術(shù)，此路能通的可能性渺茫。

3.傳統(tǒng)防御體系基因缺陷

傳統(tǒng)防御體系的基因缺陷體現(xiàn)在，無論從理論和實踐上，都無法確保網(wǎng)絡(luò)空間生態(tài)環(huán)境無漏洞無后門。這種基于威脅感知和特征提取的主被動防御體制，在機(jī)理上只有點防御功能而沒有面防御功能，以一個功能不完備的防御體系應(yīng)對不確定性威脅注定無解。因為無法保證復(fù)雜信息系統(tǒng)或網(wǎng)絡(luò)空間生態(tài)環(huán)境“無漏洞無后門”或者“無毒無菌”，現(xiàn)有的安全防護(hù)只能期待“后天獲得性免疫”。通過不斷地亡羊，不停地補(bǔ)牢，不斷地挖掘漏洞和發(fā)現(xiàn)后門，不停地打補(bǔ)丁，殺毒滅馬，封門堵漏等被動的跟隨博弈方式來自我完善。所以說“易攻難守”不對稱現(xiàn)狀是被動防御體系基因缺陷所致，因此被動防御對于不確定威脅如同數(shù)學(xué)上求解缺維方程組，理論上無確定解。所以說，網(wǎng)絡(luò)安全嚴(yán)重失衡現(xiàn)狀是傳統(tǒng)安全防御理論和技術(shù)體系基因缺陷所致，也并非言過其實。

三、脊椎動物免疫機(jī)制的啟示

破解目前網(wǎng)絡(luò)空間安全困局，也許能從生物學(xué)的脊椎動物免疫機(jī)制獲得靈感。

1.生物免疫與內(nèi)生安全——非特異性免疫

生物免疫是一種內(nèi)生安全，叫非特異性免疫，就是不需要任何特征的免疫。這種與生俱來的能力是生物在漫長進(jìn)化過程中獲得的一種遺傳特性。它有三個特點，即：

（1）機(jī)體對于入侵抗原物質(zhì)的清除沒有特異選擇性；

（2）不受入侵抗原物質(zhì)的影響，也不會因為強(qiáng)弱和次數(shù)有所增減，這部分的抵抗力與每天跑步、游泳、打球等鍛煉沒有關(guān)系，這是遺傳特性；

（3）當(dāng)抗原物質(zhì)入侵機(jī)體以后，首先發(fā)揮作用的是非特異性免疫，而后產(chǎn)生特異性免疫。只有通過非特異性免疫發(fā)現(xiàn)抗原物質(zhì)入侵，才能啟動面防御進(jìn)而去激發(fā)點防御，而不是直接拿點防御代替面防御，這種面防御是非特異性，不需要知道抗原的具體特征。

2.生物免疫與內(nèi)生安全——特異性免疫

與非特異性免疫相對應(yīng)的是特異性免疫，這是后天獲得性免疫，他具備以下四個特點：

（1）通常只針對一種抗原，需經(jīng)后天（病愈或無癥狀）感染或人工預(yù)防接種（疫苗等）獲得抵抗感染的能力。

（2）機(jī)體的二次應(yīng)答只對再次進(jìn)入的抗原，對于初次侵入抗原無感，不是先天的，一定是通過“吃一塹長一智”的方式完成的。

（3）個體特征存在質(zhì)和量的差異，也即免疫力有高低的區(qū)別。

（4）到現(xiàn)在為止沒有證據(jù)表明特異性免疫獲得的信息能夠遺傳。

3.生物免疫與內(nèi)生安全的關(guān)系

從生物免疫的機(jī)理可以看到，非特異性免疫對于侵入機(jī)體的抗原是一律通殺，屬于面防御，只有出現(xiàn)漏網(wǎng)之魚的時候才觸發(fā)特異性免疫；特異性免疫是在機(jī)體出生后，在非特異性免疫的基礎(chǔ)上，通過抗原的反復(fù)刺激后建立的個體保護(hù)功能，屬于點防御。類似的，除加密技術(shù)外，現(xiàn)有網(wǎng)絡(luò)空間的防御技術(shù)都屬于點防御性質(zhì)。

生物學(xué)的免疫能力，是內(nèi)生安全機(jī)制的完美結(jié)合，先天的非特異性免疫負(fù)責(zé)面防御，后天的特異性免疫負(fù)責(zé)點防御，即：“點面結(jié)合、融合式防御，與生俱來”。但是生物學(xué)界也有一個不解之惑，即：非特異性免疫，究竟是用何種“敵我識別”機(jī)制做到既能“通殺任何已知或未知的入侵抗原”又不至于“誤傷自己”；為什么特異性免疫獲得的信息不反饋給非特異性免疫，以實現(xiàn)“不斷增強(qiáng)的遺傳特質(zhì)”？

4.生物免疫與內(nèi)生安全的幾點啟示

（1）網(wǎng)絡(luò)空間因為缺乏基于“內(nèi)生安全”的“面防御”功能，所以到處“跑冒滴漏”，防不勝防。

（2）如何才能在缺乏先驗知識的條件下防御已知安全風(fēng)險或未知安全威脅，即網(wǎng)絡(luò)空間要具有非特異性免疫功能。

（3）網(wǎng)絡(luò)空間如何才能實現(xiàn)基于內(nèi)生安全的點面融合式防御?？磥?，生物界的自然防御機(jī)制遠(yuǎn)比人造的網(wǎng)絡(luò)空間要完美的多。因此，網(wǎng)絡(luò)空間防御之道需要從生物學(xué)獲得解決問題的靈感。

四、一個重要公理的物理實現(xiàn)

1.“相對正確”或“小概率事件”公理

這個公理的內(nèi)涵是“人人都存在這樣或那樣的缺點，但極少出現(xiàn)獨立完成同樣任務(wù)時，多數(shù)人在同一個地方、同一時間、犯完全一樣錯誤的情形”。這個公理成立的前提條件首先是給定功能或性能等價，即人人都具有獨立完成這個任務(wù)的功能性能；其次人人都不完全相同，包括不同的優(yōu)點和缺點。這個公理有三個核心要素，即：異構(gòu)、冗余和多數(shù)性。

這個公理說明在缺乏對錯標(biāo)準(zhǔn)的情況下，多數(shù)人的意見具有相對高的置信度。盡管，多數(shù)人意見也不總是正確的（因為真理也有時掌握在少數(shù)人手里）。但是，在缺乏對錯標(biāo)準(zhǔn)的情況下，靠相對性作出判斷是合適的。不過相對性也存在一個小概率事件――多數(shù)人也會同時在同一地方犯同樣的錯誤。

2.可靠性領(lǐng)域的應(yīng)用

在可靠性設(shè)計領(lǐng)域就經(jīng)常應(yīng)用此公理的物理表達(dá)來解決不確定性故障的挑戰(zhàn)。一個復(fù)雜系統(tǒng)的不確定性故障挑戰(zhàn)是指，系統(tǒng)的構(gòu)件物理性失效導(dǎo)致的隨機(jī)故障、軟硬構(gòu)件設(shè)計缺陷導(dǎo)致的隨機(jī)故障以及何時、何處發(fā)生何種形式的故障。挑戰(zhàn)的場景就是如何提高不確定性失效條件下的系統(tǒng)可靠性?？梢岳玫臈l件是，系統(tǒng)各種零部件出現(xiàn)物理性隨機(jī)失效是小概率事件；零部件設(shè)計缺陷導(dǎo)致的隨機(jī)性故障也是小概率事件。用相對正確公理的物理表達(dá)來解決不確定性故障的問題，就是要將隨機(jī)性的不確定性故障，通過這種表達(dá)機(jī)制轉(zhuǎn)變成一個概率可控的事件。

3.異構(gòu)冗余表決構(gòu)造

異構(gòu)冗余表決機(jī)制可以看作是上述公理的物理表達(dá)。在這個機(jī)制下，同一個輸入激勵，被送到多個功能等價異構(gòu)冗余執(zhí)行體中處理，通過多模表決形成輸出響應(yīng)。由于功能等價異構(gòu)冗余執(zhí)行體的處理空間和實現(xiàn)算法不同，多數(shù)相同導(dǎo)致正確結(jié)果是大概率事件，多數(shù)相同導(dǎo)致錯誤結(jié)果是小概率事件。因此，無論是物理性隨機(jī)失效還是設(shè)計缺陷導(dǎo)致的隨機(jī)故障，經(jīng)過異構(gòu)冗余表決后，“相對正確”物理機(jī)制都可以把不確定故障轉(zhuǎn)化為概率可控事件。