一種面向網(wǎng)絡(luò)擬態(tài)防御系統(tǒng)的信息安全建模方法*

常 簫，張保穩(wěn),2，張 瑩

（1.上海交通大學(xué) 電子信息與電氣工程學(xué)院，上海 200240；2.上海市信息安全綜合管理技術(shù)研究重點實驗室 上海 200240）

0 引 言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，一方面諸如軟件自定義網(wǎng)SDN﹑物聯(lián)網(wǎng)等新型網(wǎng)絡(luò)系統(tǒng)不斷應(yīng)運而生，另一方面社交工程﹑APT等新的網(wǎng)絡(luò)安全攻擊方式也正在成為網(wǎng)絡(luò)攻防關(guān)注的焦點。傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)多數(shù)使用靜態(tài)構(gòu)架，無法有效抵御攻擊者的持續(xù)探測與攻擊，導(dǎo)致網(wǎng)絡(luò)態(tài)勢呈現(xiàn)易攻難守的局面。針對當(dāng)前攻擊成本和防御成本的嚴(yán)重不對稱現(xiàn)狀，國內(nèi)外研究人員開始著力探索移動目標(biāo)防御等新的安全防御機(jī)制。其中，國內(nèi)鄔江興院士面對這種“易攻難守”的網(wǎng)絡(luò)現(xiàn)狀，提出了“改變游戲規(guī)則”這一防御理念，用“擬態(tài)防御系統(tǒng)”來防御“未知的漏洞”[1]。

擬態(tài)防御是一種新的防御手段，是模仿生物界中的“擬態(tài)現(xiàn)象”，通過外在的多樣性或多變性來表達(dá)隱匿自己，從而達(dá)到防御的效果。擬態(tài)防御是一種主動防御，與傳統(tǒng)的靜態(tài)防御方法有著極大的不同。它具有動態(tài)性﹑異構(gòu)性﹑多樣性等特性，通過阻撓攻擊者獲取信息和破壞攻擊者攻擊路徑，有效起到防御作用。由于引入了上述特性，擬態(tài)防御系統(tǒng)的安全性問題無法完全套用常規(guī)信息系統(tǒng)的既有研究方法。

本文介紹擬態(tài)防御的機(jī)理和體系架構(gòu)，接下來歸納和總結(jié)現(xiàn)有擬態(tài)防御系統(tǒng)的安全問題研究進(jìn)展，提出了一種基于本體的擬態(tài)防御系統(tǒng)安全建模方法，并通過測試用例說明了該模型用于防御系統(tǒng)安全檢查的流程，同時驗證了其有效性。

1 擬態(tài)防御系統(tǒng)機(jī)理簡介

1.1 擬態(tài)防御機(jī)理

擬態(tài)安全防御技術(shù)是針對網(wǎng)絡(luò)空間攻擊成本和防御成本的嚴(yán)重不對稱性提出的一種安全策略。通過異構(gòu)性﹑多樣性改變系統(tǒng)的相似性﹑單一性，利用動態(tài)性﹑隨機(jī)性改變系統(tǒng)的靜態(tài)性﹑確定性，利用非相似余度空間阻斷或擾亂網(wǎng)絡(luò)攻擊，以達(dá)成系統(tǒng)安全風(fēng)險可控的要求。

具體而言，擬態(tài)防護(hù)以異構(gòu)的相同相似執(zhí)行體構(gòu)成核心功能，以動態(tài)冗余構(gòu)架實現(xiàn)動態(tài)性和隨機(jī)性，使內(nèi)部執(zhí)行體處于不斷變化的狀態(tài)中，大幅強(qiáng)了功能表征的不確定性，使攻擊者的探測感知或預(yù)測防御行為與特征的難度呈非線性增加，使得系統(tǒng)的復(fù)雜性前所未有，從而使攻擊者利用系統(tǒng)漏洞極端困難[1]。

擬態(tài)防御包含復(fù)合調(diào)度與擇多裁決﹑隨機(jī)化/動態(tài)化﹑迭代與疊加﹑相異性設(shè)計與動態(tài)異構(gòu)冗余構(gòu)造等機(jī)制，而這些機(jī)制又共同構(gòu)成擬態(tài)防御系統(tǒng)整體的防御功能。

1.2 動態(tài)異構(gòu)冗余機(jī)制

動態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，簡稱DHR系統(tǒng)）是擬態(tài)防御系統(tǒng)的核心機(jī)制。如圖1所示，DHR系統(tǒng)一般由輸入代理﹑異構(gòu)元素池﹑異構(gòu)構(gòu)件集﹑動態(tài)選擇算法﹑動態(tài)選擇算法﹑執(zhí)行體集和表決器組成[2-4]。

圖1 DHR系統(tǒng)結(jié)構(gòu)

輸入代理：輸入代理進(jìn)行輸入處理，保證把每個輸入分別發(fā)送給不同的執(zhí)行體，以避免出現(xiàn)協(xié)同。

異構(gòu)元素池：所有用于組成系統(tǒng)構(gòu)件的異構(gòu)元素集，它們之間遵循著異構(gòu)原則，盡可能使元功能正交，從而由它們組成系統(tǒng)功能的異構(gòu)構(gòu)件。

異構(gòu)構(gòu)件集：用異構(gòu)元素池中的元素組成異構(gòu)同功能系統(tǒng)構(gòu)件，用于被選擇作為執(zhí)行體的儲備池。

動態(tài)選擇算法：通過動態(tài)選擇算法隨機(jī)獨立選擇異構(gòu)構(gòu)件集中的構(gòu)件組成執(zhí)行體，進(jìn)行功能實現(xiàn)。

執(zhí)行體集：由動態(tài)選擇算法選擇異構(gòu)構(gòu)件的集合，每一個執(zhí)行體都獨立接收輸入代理的輸入進(jìn)行處理，并把輸出發(fā)送給表決器。

表決器：采取多模裁決方式，把從執(zhí)行體收集到的所有結(jié)果整合進(jìn)行多模判決，把相同結(jié)果最多的結(jié)果作為系統(tǒng)的結(jié)果進(jìn)行輸出。

擬態(tài)防御系統(tǒng)通過動態(tài)選擇算法選出若干異構(gòu)構(gòu)件組成執(zhí)行體集，通過輸入代理把輸入分別輸入每個執(zhí)行體，再通過多模裁決進(jìn)行判斷系統(tǒng)的輸出。該構(gòu)架的優(yōu)點在于，每個實現(xiàn)功能的執(zhí)行體都是隨機(jī)選擇的，每個執(zhí)行體都由異構(gòu)元素池隨機(jī)組合，這將使系統(tǒng)處于不斷變化中，對外呈現(xiàn)極大的不確定性，且構(gòu)架本身可以迭代與疊加，極大地提高了攻擊者攻擊的復(fù)雜度，有效破壞了攻擊者的持續(xù)探測行為。

2 擬態(tài)防御安全問題相關(guān)研究

目前，國內(nèi)外擬態(tài)防御安全問題相關(guān)研究尚處于起步階段。張錚等[5]構(gòu)建了基于擬態(tài)防御原理的web服務(wù)器，通過把web服務(wù)器軟件分配到非相似虛擬機(jī)池中構(gòu)建資源池實現(xiàn)擬態(tài)化，并對擬態(tài)web服務(wù)器進(jìn)行了性能測試﹑DIL模塊化性能測試﹑系統(tǒng)整體性能測試﹑HTTP通信協(xié)議一致性測試﹑擬態(tài)防御原理功能測試﹑兼容性測試﹑滲透測試﹑掃描檢測﹑SQL注入攻擊測試﹑服務(wù)器軟件漏洞測試﹑命令注入測試，最終證明了擬態(tài)方法的合理有效性。

3 基于本體的擬態(tài)安全防護(hù)模型

3.1 本體的概念與相關(guān)知識

本體是研究世界上各種實體及其相互關(guān)聯(lián)關(guān)系建模的科學(xué)[7]。本體通過形式化的統(tǒng)一術(shù)語與術(shù)語之間的關(guān)系，使原本孤立的術(shù)語相互聯(lián)系，完整地描述術(shù)語構(gòu)成的領(lǐng)域的概念。同時，構(gòu)成的本體可在這種概念之內(nèi)進(jìn)行邏輯推理和查詢[8-9]。

本體一般基于類及其類間關(guān)系來描述實體進(jìn)行建模。本文使用protégé和OWL語言類構(gòu)筑模型，如圖2所示[10]。在OWL語言中，主要包括Classes（類）﹑Individuals（實例）﹑Properties（關(guān)系），其中Properties又包括Object Properties（類之間的關(guān)系）和Datatype Properties（類與數(shù)據(jù)之間的關(guān)系）。

圖2 擬態(tài)防御本體模型

3.2 擬態(tài)本體類及其語義

結(jié)合擬態(tài)防御原理，本文構(gòu)建的主要擬態(tài)本體類及其語義具體如下。

信息系統(tǒng)組件ISComponents：信息系統(tǒng)組件包括信息系統(tǒng)機(jī)器構(gòu)成的各層次組件。這些信息系統(tǒng)組件包括（但不限于）各類信息系統(tǒng)﹑服務(wù)器﹑網(wǎng)絡(luò)﹑硬件﹑軟件﹑協(xié)議等，擬態(tài)機(jī)理可以用于各個層次的信息系統(tǒng)組件的實現(xiàn)。

擬態(tài)防御體MDB：擬態(tài)防御體是一個信息系統(tǒng)組件，內(nèi)含多個動態(tài)異構(gòu)冗余執(zhí)行體，通過動態(tài)異構(gòu)冗余機(jī)制和多模裁決機(jī)制實現(xiàn)其核心功能。擬態(tài)防御體的動態(tài)異構(gòu)冗余執(zhí)行體自身也可以通過擬態(tài)機(jī)制實現(xiàn)，即擬態(tài)防御體允許通過彼此疊加﹑自身嵌套等機(jī)制構(gòu)成新的擬態(tài)體。

動態(tài)異構(gòu)冗余執(zhí)行體DHRE：一組具有等價功能輸出的異構(gòu)的信息系統(tǒng)組件，彼此功能冗余，通過多模裁決模塊對外提供功能服務(wù)。根據(jù)定義2可知，DHRE本身可能是一個擬態(tài)防御體，具備嵌套機(jī)制，如果DHRE內(nèi)部不再含有DHRE，則稱DHRE為擬態(tài)基元組件，簡稱AHRE。

安全弱點Security Vulnerabilities：存在于信息組件上的安全缺陷﹑漏洞或后門。攻擊者可能利用安全弱點發(fā)動攻擊，損害信息組件的安全屬性甚至獲取其控制權(quán)。

可利用的安全弱點ESV：擬態(tài)防御系統(tǒng)存在一條或多條發(fā)起于攻擊面的攻擊路徑，位于攻擊路徑上的安全弱點成為可利用安全弱點。

可持續(xù)利用指數(shù)(ESI)為農(nóng)業(yè)生態(tài)系統(tǒng)凈能值產(chǎn)出率NEYR與環(huán)境負(fù)載率ELR之比，用來說明生態(tài)經(jīng)濟(jì)系統(tǒng)的可持續(xù)性，一般該指標(biāo)數(shù)值處于1～10之間，數(shù)值過大說明對資源的利用不夠，過小又預(yù)示著系統(tǒng)因環(huán)境負(fù)載率較高而處于耗竭狀態(tài)。2001-2010年河南省農(nóng)業(yè)生產(chǎn)可持續(xù)利用指數(shù)處于3.15～5.99之間，說明其農(nóng)業(yè)生態(tài)經(jīng)濟(jì)系統(tǒng)具有較強(qiáng)的可持續(xù)發(fā)展能力。從時間變化趨勢上看，近年來河南省可持續(xù)利用指數(shù)數(shù)值呈現(xiàn)顯著下降趨勢，說明其農(nóng)業(yè)發(fā)展的可持續(xù)性有所降低，農(nóng)業(yè)生產(chǎn)存在一定只用不養(yǎng)的掠奪式經(jīng)營成分。

3.3 擬態(tài)本體及其類間關(guān)系建模

在具體進(jìn)行擬態(tài)本體模型構(gòu)建時，如圖2所示，本文把擬態(tài)模型分為了四大本體類，并定義了它們之間的關(guān)系。

Vulnerability本體類代表安全漏洞。ESV是Vulnerability的子類，存放著所有位于攻擊面上的漏洞。Vulnerability和Attack Surface是onAttackSurface的關(guān)系。

ISComponents本體類代表信息系統(tǒng)組件。Application﹑Network﹑Host﹑MDB均是它的子類，MDB是IS Components上應(yīng)用的擬態(tài)防御構(gòu)件，MDB擁有DHREpool和DHRE兩個子類，DHREpool是MDB中異構(gòu)構(gòu)件集的類，DHRE是MDB中異構(gòu)執(zhí)行體的類，MDB和DHRE之間具有contains關(guān)系。同理，AHREpool和AHRE與DHRE的關(guān)系類似。

PropertiesOfMDB本體類代表MDB的屬性。Output﹑AttackSurface﹑RS是PropertiesOfMDB的子類。Output是MDB所有輸出的類。本文中輸出只有true和false兩種輸出，即當(dāng)系統(tǒng)被攻破時輸出為false。AttackSurface是MDB上某時段暴露出的攻擊面的類。RS是MDB所用的選擇算法的類。

Attacker代表攻擊者本體類。CompromisedIS本體類代表被攻破的系統(tǒng)組件，是異構(gòu)執(zhí)行體超過半數(shù)被攻破的MDB的集合。它既是MDB的子類也是ISComponents的子類。

對于擬態(tài)防御的建模，如 圖3所示。由RS算法從DHREpool中選出至少3個DHRE組成MDB，數(shù)據(jù)輸入MDB，由MDB輸入到每個DHRE。每個DHRE產(chǎn)生各自的輸出，通過多模裁決（即選取最多相同者）決定最終MDB的輸出。

圖3 MDB模型概念圖

對攻擊者的建模，如圖4所示。

圖4 安全攻擊建模

每個DHRE上都可能存在漏洞，其中漏洞的等級也不盡相同。攻擊者對每個DHRE進(jìn)行攻擊時，當(dāng)且僅當(dāng)這個DHRE的漏洞危險等級是high的時候，視為攻擊者可以攻破該DHRE，使DHRE的輸出由true轉(zhuǎn)為false，而這個DHRE視為CompromisedDHRE。對MDB而言，如果CompromisedDHRE超過組成MDB的DHRE多模裁決下限，則MDB的輸出由true轉(zhuǎn)為false，這個MDB視為CompromisedMDB。

4 測試用例

為了說明本文安全模型的應(yīng)用方法，本文選取了主機(jī)層面的擬態(tài)架構(gòu)來進(jìn)行擬態(tài)系統(tǒng)testMDB的安全校驗。其中，擬態(tài)系統(tǒng)的DHRE池由不同類型的操作系統(tǒng)組成。具體而言，testMDB的DHRE池子包含Unix平臺的unixDHRE﹑Windows平臺的windowsDHRE和Linux平臺的linuxDHRE。其中，linuxDHRE平臺上存在有Bufferoverflow高危漏洞。在unixDHRE有一個FTP擬態(tài)對象，其DHRE池子里的FTP執(zhí)行體分別為Tnftp﹑Vsftpd﹑Wuftpd。其中，在Tnftp和Vsftpd上存在Bufferoverflow高危漏洞。該測試用例本體關(guān)系見圖5，其具體配置如表1所示。

圖5 測試案例實例關(guān)系

表1 測試案例安全配置

為了模擬攻擊場景，本模型使用SWRL設(shè)計了對應(yīng)的安全攻防規(guī)則。

攻擊者能力規(guī)則：

attacker(?x)^attackers(?x,?z)^DHRE(?y)^DHRE(?z)^contains(?y,?z)->attacks(?x,?y)attacker(?x)^attackers(?x,?z)^MDB(?y)^DHRE(?z)^contains(?y,?z)->attacks(?x,?y)

語義：如果攻擊者攻擊MDB上的DHRE，則攻擊者攻擊此MDB。

判斷這個漏洞是否是一個ESV：

Vnlnerability(?x)^AttackSurface(?y)^onAttackSurfac e(?x,?y)->ESV(?x)

語義：如果這個漏洞位于DHRE的攻擊面上，則這個漏洞是這個DHRE的ESV。

攻擊者攻破執(zhí)行體﹑改變狀態(tài)和輸出：

Attacker(?x)^attackers(?x,?y)^DHRE(?y)^MDB(?a)^Contains(?a,?y)^hasVulnerability(?y,?z)^ESV(?z)^Vulner abilityLevel(?z,“high”)→HasCompromisedDHRE(?a,?y)^DHREoutput(?y,false)

語義：如果攻擊者攻擊MDB上的DHRE，且此DHRE擁有ESV，那么這個DHRE視為被攻破的DHRE，DHRE的輸出為false。

多模裁決機(jī)制：

MDB(?x)^HalfNumbersOfDHRE(?x,?y)^NumbersO fCompromisedDHRE(?x,?z)^Swrlb∶greaterThan(?z,?y)->MDBoutput(?x,false)

語義：如果被攻破的DHRE多于MDB的DHRE的半數(shù)，則MDB的輸出為false，視為MDB被攻破。

在上述安全配置和規(guī)則下，啟用protégé推理機(jī)進(jìn)行推理，發(fā)現(xiàn)其推理過程具體如下：

①攻擊者攻擊unixDHRE上的tnftp﹑vsftpd﹑wuftpd和linuxDHRE；

②由于tnftp和vftpd包含緩沖區(qū)溢出高危漏洞并暴露在攻擊面上，則tnftp和vsftpd的輸出由true轉(zhuǎn)變?yōu)閒alse，tnftp和vsftpd視為CompromisedDHRE；

③由于linuxDHRE上也有高危漏洞并暴露在攻擊面上，linuxDHRE的輸出也由true轉(zhuǎn)變?yōu)閒alse，linuxDHRE視為CompromisedDHRE；

④由于tnftp和vsftpd是unixDHRE的DHRE，且超過了總執(zhí)行體的半數(shù)，所以unixDHRE被攻破，UnixDHRE的輸出由true轉(zhuǎn)為false，unixDHRE視為CompromisedDHRE；

⑤由于unixDHRE和LinuxDHRE被攻破，則testMDB也被攻破；

⑥CompromisedIS下出現(xiàn)被攻破的testMDB和unixDHRE。

具體推理結(jié)果截圖如圖6所示。

圖6 測試用例推理結(jié)果

如圖6所示，CompromisedIS下出現(xiàn)了testMDB和unixDHRE兩個實例，均為推理過程生成。說明在多模裁決機(jī)制下，當(dāng)攻擊者攻克異構(gòu)執(zhí)行的數(shù)目不少于多模裁決的下限閾值時，擬態(tài)防御系統(tǒng)會被攻破，與測試用例的安全配置情況相符。

5 結(jié) 語

作為一種新型安全防御機(jī)制，網(wǎng)絡(luò)擬態(tài)防御的安全建模和評估問題研究尚處于起步階段。本文提出了一種使用本體對擬態(tài)防御系統(tǒng)CMD進(jìn)行建模的方法，不僅可以清晰刻畫CMD和DHRE的內(nèi)部組件關(guān)系，而且在該模型中納入了安全漏洞和攻擊面等本體安全類。測試用例表明，利用該模型，輔以通過SWRL編寫的對應(yīng)安全攻防規(guī)則，可以通過本體以邏輯推理的形式，有效完成CMD系統(tǒng)的安全性判斷。

[1] 鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御研究[J].信息安全學(xué)報,2016,1(04):1-10.

WU Jiang-xing.Study on Network Space Mimicry Defense[J].Journal of Information Security,2016,1(04):1-10.

[2] 扈紅超,陳福才,王禛鵬.擬態(tài)防御DHR模型若干問題探討和性能評估[J].信息安全學(xué)報,2016,1(04):40-51.

HU Hong-chao,CHEN Fu-cai,WANG Zhen-peng.Performance Evaluations on DHR for Cyberspace Mimic Defense[J].Journal o f Information,2016,1(04):40-51.

[3] 馬海龍,伊鵬,江逸茗等.基于動態(tài)異構(gòu)冗余機(jī)制的路由器擬態(tài)防御體系結(jié)構(gòu)[J].信息安全學(xué)報,2017,2(01):29-42.

MA Hai-long,YI Peng,JIANG Yi-ming,et al.Dynamic Heterogeneous Redundancy based Router Architecture with Mimic Defenses[J].Journal of Information,2017,2(01):29-42.

[4] 鄔江興.擬態(tài)計算與擬態(tài)安全防御原理的原意和愿景[J].電信科學(xué),2014(07):2-7.

WU Jiang-xing.Meaning and Vision of Mimic Computing and Mimic Security Defense[J].Telecommunications Science,2014(07):2-7.

[5] 張錚,馬博林,鄔江興.web服務(wù)器擬態(tài)防御原理驗證系統(tǒng)測試與分析[J].信息安全學(xué)報,2017,2(01):13-28.

ZHANG Zheng,MA Bo-lin,WU Jiang-xing.The Test and Analysis of Prototype of Mimic Defense in Web Servers[J].Journal of Information,2017,2(01):13-28.

[6] 馬海龍,江逸茗,白冰等.路由器擬態(tài)防御能力測試與分析[J].信息安全學(xué)報,2017,2(01):43-53.

MA Hai-long,JIANG Yi-ming,BAI Bing,et al.Tests and Analyses for Mimic Defense Ability of Routers[J].Journal of Information,2017,2(01):43-53.

[7] 張宇一,張保穩(wěn).基于本體的RBAC建模及其應(yīng)用研究[J].通信技術(shù),2017,50(01):102-108.

ZHANG Yu-yi,ZHANG Bao-wen.Ontology-based RBAC Model and Its Application[J].Journal of Informati on,2017,50(01):102-108.

[8] 高建波,張保穩(wěn),陳曉樺.安全本體研究進(jìn)展[J].計算機(jī)科學(xué),2012,39(08):14-41.

GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua.Research Progress in Security Ontology[J].Computer Science,2012,39(08):14-41.

[9] Donner.Toward A Security Ontology[J].IEEE Security &Privacy,2003,1(03):6-7.

[10] Bechhofer S.OWL:Web Ontology Language[J].Springer US,2009,63(45):990-996.