擬態(tài)防御技術(shù)在無(wú)人機(jī)飛控領(lǐng)域的應(yīng)用與分析

◆倪曉波 劉進(jìn)芬

擬態(tài)防御技術(shù)在無(wú)人機(jī)飛控領(lǐng)域的應(yīng)用與分析

◆倪曉波1劉進(jìn)芬2

（1.紫金山實(shí)驗(yàn)室 江蘇 211100；2.南京工業(yè)大學(xué)浦江學(xué)院 江蘇 211222）

無(wú)人機(jī)在近年來(lái)的快速發(fā)展中，由于各種各樣的未知漏洞，導(dǎo)致了許多的安全問(wèn)題，傳統(tǒng)的防御技術(shù)難以應(yīng)對(duì)未知特征和未知缺陷的攻擊，本文以動(dòng)態(tài)冗余作為核心架構(gòu)技術(shù)，提出了一種結(jié)合擬態(tài)防御技術(shù)的無(wú)人機(jī)飛控架構(gòu)系統(tǒng)，可以有效地解決未知漏洞帶來(lái)的威脅。

擬態(tài)；無(wú)人機(jī)；飛控；異構(gòu)執(zhí)行體

1 引言

近年來(lái)隨著傳感、遙感、飛控、云臺(tái)、計(jì)算式視覺、圖像傳輸?shù)认嚓P(guān)技術(shù)的快速完善，無(wú)人機(jī)的發(fā)展也進(jìn)入了快車道，在軍用無(wú)人機(jī)市場(chǎng)依舊火熱的前提下民用無(wú)人機(jī)的應(yīng)用也開始逐步普及。無(wú)人機(jī)的身影出現(xiàn)在高速路口、鄉(xiāng)間村落、城市樓宇、田間農(nóng)地、醫(yī)院工廠等場(chǎng)景，目前在航拍、農(nóng)業(yè)、植保、微型自拍、快遞運(yùn)輸、災(zāi)難救援、觀察野生動(dòng)物、監(jiān)控傳染病、測(cè)繪、新聞報(bào)道、電力巡檢、救災(zāi)、影視拍攝、制造浪漫等等領(lǐng)域的應(yīng)用，大大拓展了無(wú)人機(jī)本身的用途，發(fā)達(dá)國(guó)家也在積極擴(kuò)展行業(yè)應(yīng)用與發(fā)展無(wú)人機(jī)技術(shù)。無(wú)人機(jī)用途廣泛，2020年新冠疫情暴發(fā)，無(wú)人機(jī)作為智能無(wú)人化工作的代表，具有高效無(wú)休的工作能力、零接觸的工作特點(diǎn)，成為阻斷疫情傳播的防控利器，在安防巡檢、消殺作業(yè)、物流配送、宣傳喊話、照明測(cè)溫、農(nóng)業(yè)植保等方面發(fā)揮了重要的作用。

然而，無(wú)人機(jī)領(lǐng)域的高速發(fā)展也帶來(lái)了更大的危機(jī)和挑戰(zhàn)，前段時(shí)間，西安無(wú)人機(jī)“亂碼”事件成為網(wǎng)絡(luò)焦點(diǎn)。正值五一勞動(dòng)節(jié)，西安市耗費(fèi)上千萬(wàn)人民幣舉辦規(guī)模盛大的無(wú)人機(jī)飛行表演。沒想到現(xiàn)場(chǎng)發(fā)生嚴(yán)重事故，部分設(shè)計(jì)好的圖案最終呈現(xiàn)為“亂碼”；不少無(wú)人機(jī)直接墜毀。此事雖未經(jīng)確切考證是因?yàn)楹诳凸魧?dǎo)致，但無(wú)人機(jī)安全問(wèn)題卻早就不是個(gè)新鮮事兒。世界各地，無(wú)人機(jī)被黑客攻擊的例子還有很多。無(wú)人機(jī)看起來(lái)高端大氣上檔次，實(shí)際上安全防護(hù)性十分脆弱，很容易遭受攻擊。

2 擬態(tài)防御體系結(jié)構(gòu)

在目前無(wú)人機(jī)安全領(lǐng)域，攻擊者的攻擊手段主要是通過(guò)挖掘微處理器和實(shí)時(shí)操作系統(tǒng)的漏洞，并利用這些漏洞開發(fā)工具，從而干擾操作站對(duì)飛行過(guò)程的控制，攻擊者利用實(shí)時(shí)操作系統(tǒng)漏洞或者控制軟件編程漏洞或者微處理器設(shè)備缺陷來(lái)達(dá)到操控飛控程序或者設(shè)備的目的，使得傳統(tǒng)的防護(hù)手段全部失效，當(dāng)前傳統(tǒng)的被動(dòng)防護(hù)手段和技術(shù)，主要通過(guò)某些特定的特征信息來(lái)匹配規(guī)則、識(shí)別攻擊，來(lái)達(dá)到安全防護(hù)的目的，能否成功防護(hù)往往取決于防御規(guī)則數(shù)據(jù)庫(kù)的完備性以及在新漏洞爆發(fā)后的響應(yīng)及時(shí)性。但是這些都是后知的防護(hù)，每次出現(xiàn)一種新的攻擊手段或漏洞，受到損失后再進(jìn)行防護(hù)，是一種“亡羊補(bǔ)牢”式的修補(bǔ)；并且，不是攻擊者的每一次攻擊都會(huì)留有通用的規(guī)則，若規(guī)則匹配失敗，會(huì)有較高的誤檢率，對(duì)于未知漏洞的防護(hù)能力幾乎為零，近年來(lái)，多家無(wú)人機(jī)廠商如大疆和零度等均被曝光出安全漏洞，嚴(yán)重影響用戶體驗(yàn)以及存在重大安全隱患。由于被動(dòng)式防御存在的缺陷，安全界開始關(guān)注網(wǎng)絡(luò)信息安全主動(dòng)防御技術(shù)的研究。

移動(dòng)目標(biāo)防御（Moving Target Defense，MTD）[1]主要采用一些多樣性動(dòng)態(tài)隨機(jī)化技術(shù)，如有效地址突變，IP地址隨機(jī)化，端口隨機(jī)化，加密隨機(jī)化技術(shù)等不斷地變換系統(tǒng)運(yùn)行時(shí)的攻擊面，隱藏某些關(guān)鍵的信息，同時(shí)動(dòng)態(tài)地改變環(huán)境來(lái)迷惑對(duì)手，進(jìn)一步放大攻擊者信息收集的難度，增加系統(tǒng)缺陷的不確定性和動(dòng)態(tài)性，可以有效降低系統(tǒng)缺陷暴露和被攻擊的概率。但是目前，MTD技術(shù)存在很多問(wèn)題，在動(dòng)態(tài)切換兩個(gè)系統(tǒng)攻擊面的過(guò)程中，攻擊者會(huì)通過(guò)切換存在的間隔時(shí)間，獲取得到動(dòng)態(tài)切換的規(guī)律并以此來(lái)進(jìn)行突破。效能評(píng)估機(jī)制很難取得平衡：動(dòng)態(tài)性過(guò)強(qiáng)時(shí)影響系統(tǒng)開銷，動(dòng)態(tài)性過(guò)低時(shí)目標(biāo)的安全性和彈性技術(shù)又得不到保證。

擬態(tài)安全防御（Mimic Security Defense，MSD）[2]是由我國(guó)工程院院士鄔江興提出的一種新型主動(dòng)防御技術(shù)，主要目的是針對(duì)網(wǎng)絡(luò)空間中可能存在的大量未知漏洞和軟件后門，采用動(dòng)態(tài)異構(gòu)冗余（DHR，Dynamic Heterogeneous Redundancy）的系統(tǒng)架構(gòu)和運(yùn)行機(jī)制，在允許基本運(yùn)行環(huán)境有一定程度的“有毒帶菌”的情況下，采用沙灘建樓的方法構(gòu)建有內(nèi)生機(jī)理安全的風(fēng)險(xiǎn)可控、可信的系統(tǒng)來(lái)實(shí)現(xiàn)主動(dòng)防御，可為信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施或提供不依賴傳統(tǒng)安全手段，最近幾年在國(guó)內(nèi)外引起廣泛關(guān)注。目前已有一些典型的擬態(tài)防御系統(tǒng)依據(jù)MSD技術(shù)陸續(xù)出現(xiàn)，如擬態(tài)存儲(chǔ)服務(wù)器[3]，擬態(tài)構(gòu)造Web服務(wù)器[4]、擬態(tài)構(gòu)造路由器[5]、擬態(tài)構(gòu)造域名服務(wù)器[6]、擬態(tài)軟件定義網(wǎng)絡(luò)（Software Defined Network）[7]、擬態(tài)防御以太網(wǎng)交換機(jī)[8]等相關(guān)領(lǐng)域都有著廣泛應(yīng)用。

3 擬態(tài)無(wú)人機(jī)飛控系統(tǒng)架構(gòu)

傳統(tǒng)的無(wú)人機(jī)系統(tǒng)架構(gòu)如圖1所示，由于飛控使用的處理器架構(gòu)（如MWC使用atmega）單一，很容易受到攻擊者的攻擊，攻擊者通過(guò)發(fā)送惡意指令挖掘處理器或者操作系統(tǒng)漏洞，進(jìn)而繞過(guò)權(quán)限驗(yàn)證，進(jìn)行劫持攻擊或者拒絕服務(wù)攻擊，造成飛行軌跡的安全隱患。

圖1 傳統(tǒng)無(wú)人機(jī)飛控系統(tǒng)架構(gòu)圖

擬態(tài)飛控?zé)o人機(jī)硬件架構(gòu)如圖2所示，主要由通信系統(tǒng)、擬態(tài)控制系統(tǒng)、異構(gòu)執(zhí)行體集、動(dòng)力系統(tǒng)構(gòu)成。其中通信系統(tǒng)主要由GPS模塊、遙控接收器模塊、天線以及數(shù)傳模塊構(gòu)成；動(dòng)力系統(tǒng)主要由電池、螺旋槳、電機(jī)、調(diào)速器組成；其他外設(shè)系統(tǒng)主要包括SPI、I2C、SDRAM、LED燈、FLASH存儲(chǔ)器、壓力計(jì)、串口和調(diào)試下載口以及相應(yīng)的外設(shè)驅(qū)動(dòng)程序；擬態(tài)控制系統(tǒng)主要由策略分發(fā)器、調(diào)度器、以及判決器構(gòu)成，包含了擬態(tài)防御中核心功能，策略分發(fā)模塊主要負(fù)責(zé)將收到的控制指令通過(guò)復(fù)制然后發(fā)送給每一個(gè)異構(gòu)微處理器進(jìn)行處理，判決器模塊主要負(fù)責(zé)對(duì)微處理器執(zhí)行結(jié)果進(jìn)行判決，并將判決結(jié)果輸出至動(dòng)力系統(tǒng)和外設(shè)系統(tǒng)。

異構(gòu)執(zhí)行體集由3個(gè)不同的異構(gòu)體組成，每個(gè)異構(gòu)執(zhí)行體包含不同的微處理器MCU，如Atmel公司的at91rm系列或者Arm公司的cortexm等，分別運(yùn)行不同的實(shí)時(shí)操作系統(tǒng)如nuttx，ucos，uclinux等和通過(guò)不同的編譯工具鏈交叉編譯出的控制管理軟件。

4 擬態(tài)飛控指令執(zhí)行步驟

根據(jù)擬態(tài)防御理論，無(wú)人機(jī)飛控的指令執(zhí)行步驟如下：

（1）通信系統(tǒng)收到地面控制平臺(tái)的控制指令信息和基于GPS的定位信息，通過(guò)擬態(tài)控制系統(tǒng)的策略分發(fā)模塊進(jìn)行復(fù)制并分發(fā)到各個(gè)異構(gòu)微控制器；

（2）微控制器收到控制指令并獨(dú)立響應(yīng)，進(jìn)行處理解析，并把結(jié)果輸出到擬態(tài)控制系統(tǒng)的判決模塊；

（3）判決模塊收到處理結(jié)果后根據(jù)多數(shù)一致性表決算法將結(jié)果反饋到動(dòng)力系統(tǒng)；

（4）如果有某個(gè)擬態(tài)微處理器輸出結(jié)果不一致，則認(rèn)為該擬態(tài)微處理器受到攻擊，標(biāo)記其為異常狀態(tài)，擬態(tài)調(diào)度模塊將輸出異常狀態(tài)的微控制器進(jìn)行清洗恢復(fù)，主要是通過(guò)重啟來(lái)完成。

5 結(jié)論

本文以擬態(tài)防御理論為基礎(chǔ)，分析了當(dāng)前無(wú)人機(jī)領(lǐng)域的安全現(xiàn)狀，提出了一種基于擬態(tài)防御技術(shù)的無(wú)人機(jī)飛控架構(gòu)系統(tǒng)，并詳細(xì)設(shè)計(jì)以及介紹了飛控系統(tǒng)中各個(gè)子系統(tǒng)及模塊的功能，給出了無(wú)人機(jī)飛控指令擬態(tài)控制系統(tǒng)中的執(zhí)行步驟。實(shí)驗(yàn)表明，該飛控系統(tǒng)可以有效地防御中間人攻擊（MITM），拒絕服務(wù)攻擊（Dos）帶來(lái)的惡意指令攻擊。

圖2 基于擬態(tài)防御的無(wú)人機(jī)飛控系統(tǒng)架構(gòu)

[1]KEWLEY D L，BOUCHARD J F. DARPA information assurance program dynamic defense experiment summary [J]. IEEE Transactions on Systems，Man，and Cybernetics?Part A： Systems and Humans，2001，31（4）：331-336.

[2]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御導(dǎo)論[M].科學(xué)出版社，2017.

[3]陳越，王龍江，嚴(yán)新成，等. 基于再生碼的擬態(tài)數(shù)據(jù)存儲(chǔ)方案[J].通信學(xué)報(bào)，2018，39（4）：21-34.

[4]仝青，張錚，張為華，等. 擬態(tài)防御Web服務(wù)器設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件學(xué)報(bào)，2017，28（4）：883-897.

[5]馬海龍，伊鵬，江逸茗，等. 基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的路由器擬態(tài)防御體系結(jié)構(gòu)[J]. 信息安全學(xué)報(bào)，2017，2（1）： 29-42.

[6]王禛鵬，扈紅超，程國(guó)振. 一種基于擬態(tài)安全防御的DNS框架設(shè)計(jì)[J]. 電子學(xué)報(bào)，2017，45（11）：139-148.

[7]李傳煌，任云方，湯中運(yùn)，等. SDN中服務(wù)部署的擬態(tài)防御方法[J].通信學(xué)報(bào)，2018，39（S2）：121-130.

[8]宋克，劉勤讓，魏帥，等. 基于擬態(tài)防御的以太網(wǎng)交換機(jī)內(nèi)生安全體系結(jié)構(gòu)[J]. 通信學(xué)報(bào)，2020，41（5）：18-26.

南京工業(yè)大學(xué)浦江學(xué)院2020年度校級(jí)課題（njpj2020-1-02）