高安全需求的Web服務(wù)器群主動防御體系研究

王楊 蔣巍 蔣海巖 劉桂香 劉歡

摘? ?要：針對金融、證券等行業(yè)對Web服務(wù)器高等級的安全需求，采用擬態(tài)防御、白名單、智能學(xué)習(xí)、可信計算等技術(shù)，構(gòu)建一整套主動安全防御體系，有效提高Web服務(wù)器系統(tǒng)化服務(wù)器群的安全防護(hù)等級。

關(guān)鍵詞：系統(tǒng)安全;快速部署;云平臺;擬態(tài)防御

中圖分類號：TP3-05? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： In view of the high-level security requirements of Web servers in finance， securities and other industries， a set of active security defense system is constructed by using pseudo-defense， whitelist， intelligent learning， trusted computing and other technologies， which can effectively improve the security protection level of Web servers.

Key words： system security; rapid deployment; cloud platform; mimetic defense

1 引言

一般來說，Web服務(wù)器的功能和安全機(jī)制不能由單獨的服務(wù)器來完成，必須由系統(tǒng)化服務(wù)器和安全設(shè)備協(xié)作完成。根據(jù)木桶原理，服務(wù)器群只要有一塊安全短板就會降低整個Web系統(tǒng)的安全等級。為解決目前網(wǎng)絡(luò)空間安全缺陷存在的普遍性問題，將不可控的網(wǎng)絡(luò)空間安全威脅問題，轉(zhuǎn)化為自主可控的網(wǎng)絡(luò)空間服務(wù)魯棒性控制問題，從內(nèi)生機(jī)制或構(gòu)造層面獲得對未知缺陷的主動免疫能力。期望能夠解決多維度的網(wǎng)絡(luò)空間安全問題，引入主動防御技術(shù)是十分必要的。

目前，主動防御技術(shù)主要有擬態(tài)防御技術(shù)和白名單技術(shù)，但是兩種技術(shù)的側(cè)重點不同，各自存在利弊。

擬態(tài)防御技術(shù)主要針對基于未知漏洞和后門攻擊，或者新型病毒木馬引發(fā)的未知安全問題。但是，對整個系統(tǒng)安全防護(hù)鏈還不完整，大型系統(tǒng)化Web服務(wù)防御能力有限，內(nèi)部攻擊安全防護(hù)能力有限，防御系統(tǒng)自身安全防護(hù)能力不足，另外擬態(tài)防御技術(shù)對設(shè)備的性能及運行效率都有消耗，且對管理者專業(yè)技術(shù)要求高。

白名單技術(shù)主要針對可信的應(yīng)用程序、軟件硬件信息和外部通信環(huán)境，存在著可信程序的白名單機(jī)制是否足夠全面、更新速度是否足夠快、是否會形成大量誤報的問題，同時對系統(tǒng)的未知漏洞預(yù)防能力較弱。

本文將通過采用擬態(tài)防御、白名單、智能學(xué)習(xí)等技術(shù)，為系統(tǒng)化服務(wù)器群構(gòu)建一個高安全等級的Web服務(wù)器主動防御體系。

2 Web服務(wù)器安全主動防御

Web服務(wù)器安全主動防御系統(tǒng)分別在六個層面進(jìn)行防護(hù)，即硬件層、操作系統(tǒng)層、虛擬化層、虛擬操作系統(tǒng)層、服務(wù)器軟件層、應(yīng)用腳本層。針對危害程度較高的未知漏洞利用擬態(tài)技術(shù)進(jìn)行主動防御，針對可能存在的硬件破壞、內(nèi)部病毒、木馬等利用白名單技術(shù)進(jìn)行主動防御。

2.1 總體架構(gòu)

Web服務(wù)器安全主動防御系統(tǒng)總體架構(gòu)如圖1所示。

（1）硬件層：在基礎(chǔ)硬件層，可能出現(xiàn)的問題是外接未受權(quán)的硬件設(shè)備，造成數(shù)據(jù)信息泄露或木馬病毒的侵入;重要硬件設(shè)備故障或檢測到被入侵，可能造成系統(tǒng)運行故障等。解決辦法：利用白名單技術(shù)啟用受權(quán)機(jī)制，防止非法硬件接入;啟用擬態(tài)技術(shù)切換硬件平臺。

（2）操作系統(tǒng)層、虛擬化層、虛擬操作系統(tǒng)層：利用多系統(tǒng)管理和虛擬化多樣性，實現(xiàn)擬態(tài)技術(shù)切換;利用系統(tǒng)白名單和進(jìn)程白名單來固化虛擬化底層平臺的安全性。

（3）服務(wù)器軟件層、應(yīng)用腳本層：利用多應(yīng)用腳本和服務(wù)軟件異構(gòu)化，實現(xiàn)擬態(tài)技術(shù)切換;利用軟件白名單、文件白名單、用戶白名單等多項機(jī)制實現(xiàn)系統(tǒng)安全的主動防御。

2.2 核心技術(shù)

擬態(tài)防御技術(shù)：擬態(tài)安全Web服務(wù)器旨在現(xiàn)有Web服務(wù)器基礎(chǔ)上，構(gòu)建具有異構(gòu)性、多樣性、動態(tài)性特征的處理架構(gòu)，在不影響Web服務(wù)器基本功能、性能、兼容性的前提下，有效應(yīng)對后門和漏洞的安全威脅。自下而上的構(gòu)成主要包括操作系統(tǒng)層、服務(wù)器軟件層和應(yīng)用軟件層。大部分漏洞存在于各種各樣的Web應(yīng)用中，然而危害程度較高的漏洞往往存在于服務(wù)器軟件層和操作系統(tǒng)層，同時由于這兩層的基礎(chǔ)地位，也時常成為新型攻擊的主要目標(biāo)。

擬態(tài)防御重點針對已知和未知安全漏洞，與白名單技術(shù)配合使用，會達(dá)到相當(dāng)好的防御效果。

白名單技術(shù)：如果設(shè)立了白名單，則在白名單中的用戶（或IP地址、IP包、電子郵件等）會優(yōu)先通過，不會被當(dāng)成非法文件拒收，也不會對任何一個程序運行都要被當(dāng)成未知程序進(jìn)行安全檢查。這樣，系統(tǒng)的安全性和快捷性都有所保障。

可信計算技術(shù)：可信計算以安全芯片為核心，來測量整個平臺（包括操作系統(tǒng)、應(yīng)用程序、硬件配置等）的安全性和完整性，將整個平臺的完整性數(shù)據(jù)存儲在可信任平臺模塊中，從而判斷該平臺是否可信，以此保證所交互的平臺的安全性。可信計算技術(shù)可以對主機(jī)實施有效的安全防護(hù)，保護(hù)計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全運行，從而向用戶提供一個可信的執(zhí)行環(huán)境。

2.3 核心功能聯(lián)動

擬態(tài)防御架構(gòu)通過多樣化與隨機(jī)化方法，在時空維度上產(chǎn)生的不確定性，在時間上以動態(tài)性呈現(xiàn)，在空間上則以異構(gòu)性呈現(xiàn)。其中，核心聯(lián)動機(jī)制是擬態(tài)防御架構(gòu)的關(guān)鍵組成部分。

核心聯(lián)動執(zhí)行體調(diào)度器結(jié)構(gòu)如圖2所示。動態(tài)執(zhí)行體調(diào)度器由檢測系統(tǒng)、執(zhí)行器、分發(fā)器和跨平臺通信客戶端組成。

核心聯(lián)動執(zhí)行體調(diào)度器設(shè)計的關(guān)鍵環(huán)節(jié)是虛擬機(jī)調(diào)度策略。虛擬機(jī)調(diào)度方法采用非相似Web虛擬機(jī)子池獨立調(diào)度，并由中心調(diào)度器通過跨平臺消息傳遞機(jī)制實現(xiàn)遠(yuǎn)程協(xié)助調(diào)度。當(dāng)收到響應(yīng)輸入，白名單模塊載決在信任庫范圍，繼續(xù)按時間緯度進(jìn)行動態(tài)變換。當(dāng)響應(yīng)輸入不在白名單模塊載決在信任庫范圍，啟用空間緯度異構(gòu)性變換。當(dāng)白名單模塊收到信任模塊信息對相應(yīng)的白名單庫進(jìn)行修改，白名單模塊載決在信任庫范圍，繼續(xù)按時間緯度進(jìn)行動態(tài)變換。完成非相似Web虛擬機(jī)池中虛擬機(jī)的啟動、停止、快照恢復(fù)等調(diào)度任務(wù)，并記錄虛擬機(jī)的各個運行狀態(tài)存儲到數(shù)據(jù)庫中。

核心聯(lián)動執(zhí)行體調(diào)度器主要的功能是保證Web服務(wù)器的多樣性和周期性或以事件驅(qū)動形式，清洗回滾可能存在漏洞的Web服務(wù)器。動態(tài)執(zhí)行體調(diào)度器縮短了攻擊者探測某一臺Web服務(wù)器的時間，增大了探測結(jié)果的不確定性，擾亂攻擊者視線，使其無法確定攻擊對象。

3 主動防御體系的效果

對于重要信息系統(tǒng)，基于白名單構(gòu)建主動防御體系，對應(yīng)用進(jìn)行管控，能夠?qū)崿F(xiàn)比等級保護(hù)更高的安全要求，能夠有效防止APT攻擊。防御效果主要體現(xiàn)在幾個方面。

（1）防止應(yīng)用攻擊。四位一體的應(yīng)用白名單，保征在應(yīng)用運行的整個過程中，不被惡意軟件、 特殊木馬等污染或被注入攻擊。

（2）防止數(shù)據(jù)泄漏。當(dāng)應(yīng)用系統(tǒng)被惡意軟件、特殊木馬侵蝕后，通過應(yīng)用管控，并以業(yè)務(wù)為中心建立保護(hù)規(guī)則，所以數(shù)據(jù)不會被泄漏到系統(tǒng)之外。

（3）防止信息系統(tǒng)崩潰。當(dāng)應(yīng)用管控及監(jiān)控到進(jìn)程、線程級時，一旦惡意軟件發(fā)作，就能被立即發(fā)現(xiàn)，保證信息系統(tǒng)不被破壞，防止信息系統(tǒng)崩潰。

（4）防止APT攻擊。在APT攻擊的初始攻陷、建立立足點、特權(quán)升級、橫向移動、數(shù)據(jù)輸出的各個階段，都進(jìn)行了有針對性的防護(hù)。

4 結(jié)束語

該防御體系針對系統(tǒng)化服務(wù)器和安全設(shè)備協(xié)作設(shè)計。利用擬態(tài)防御技術(shù)結(jié)合白名單技術(shù)、智能學(xué)習(xí)技術(shù)、可信計算技術(shù)，為系統(tǒng)化服務(wù)器群構(gòu)建Web服務(wù)器主動防御體系。系統(tǒng)設(shè)計完善了擬態(tài)防御技術(shù)內(nèi)部安全弱，無法針對內(nèi)部已經(jīng)存在的安全問題進(jìn)行防御，完善了整個安全防護(hù)鏈;通過白名單技術(shù)提高了系統(tǒng)的效率和性能;通過智能學(xué)習(xí)和可信計算簡化了技術(shù)人員的工作，提高了運行效率和安全性。

基金項目：

1.賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項目（項目編號：NG1120180202）;

2. 2018年省屬本科高校基本科研業(yè)務(wù)費項目（項目編號：2018-KYYWF-E008）。

參考文獻(xiàn)

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統(tǒng)漏洞量化評估方法[J].計算機(jī)科學(xué)，2012，39（07）：58-63.

[2] 余前帆.大數(shù)據(jù)時代網(wǎng)絡(luò)空間安全問題的思考[J].網(wǎng)絡(luò)空間安全，2017，8（Z1）：66-69.

[3] 蔣巍，王楊，齊景嘉，張明輝，艾何潔.針對黑客滲透思維制定Web服務(wù)器安全防護(hù)策略[J].網(wǎng)絡(luò)空間安全，2018（Z5）：45-49.

[4] 王楊，蔣巍，劉柳，孔子范.基于IPv6的行業(yè)云安全服務(wù)互助平臺[J].網(wǎng)絡(luò)空間安全，2019，10（02）：70-73.