“拟态防御”: 让黑客找不到破门之机

继10月美国网站大规模宕机后,当地时间11月27日欧洲最大电信运营商德国电信又遭受严重攻击,导致约90万路由器发生故障,连续两日断网。

物联网时代,当所有的设备都变成智能化,都接入网络后,边界的概念将会进一步被削弱。而万物互联,使得网络安全形势非但没有减弱,相反愈发严峻。

四处“漏风”的安全防卫系统

根据国家互联网应急中心抽样检测数据显示,仅2015年我国就有1978万多台主机被10.5万多个木马和僵尸网络控制端控制,2015年检测到的浏览器漏洞数比2014年高出37%、操作系统漏洞数高出73%。事实说明,我国已成为遭受网络攻击最为严重的国家之一。

虽然防护措施不断更新迭代,却依旧无法对抗黑客,症结在何处?

计算机与网络技术专家、中国工程院院士邬江兴在接受科技日报记者采访时表示:“网络信息安全问题复杂而多变,这些问题当中造成网络安全防御‘易攻难守’的主要技术原因是,现有的科技水平尚未形成穷尽与彻查信息系统软硬件代码问题的理论与方法。而且,现有防御体系的脆弱性加上免疫机制的缺陷,再加上信息系统的基因问题,共同构成网络空间最大的安全黑洞。”

面对这些隐身于各处的未知漏洞、后门,首先是无法用概率表示,其次是现有计算机根本对它探测不准。即便采用入侵检测技术、防火墙技术、密码加持技术构筑起一道道“铜墙铁壁”,如果感知不到具体威胁在何处,就等于形同虚设。比如,漏洞或后门设置在机密机的底下,加密技术被轻易绕过,密码成了摆设!

“七十二变”让攻击者失去目标

在太平洋,有一种“聪明”的生物叫条纹章鱼。据说,它能模拟至少15种海洋生物,通过变换颜色、条纹等迷惑攻击者,降低攻击的有效性,就像孙悟空的七十二变。

邬江兴将这种防御策略称为“拟态防御”,并借用钱学森的系统工程思想——“从复杂问题的总体入手,认为总体大于各部分之和,各部分虽较劣但总体可以优化。”也就是说,忽略各个构件存在的漏洞,从总体上将生物界的拟态防御原理导入网络安全领域,构建一种新的网络防御系统,即功能等价条件下异构冗余多维动态重构机制。

这一复杂的信息防御体系,其特别之处在于系统中放一个构件池。构件像小孩玩的积

木,通过拼装组合成不同的“计算装置”(比如计算器、计算尺等)。系统通过策略调度和多维重构,动态地生成富于变幻的“计算装置”组合。当执行指令时,“计算装置”的组合处于复杂变换状态,而装置的功能从未改变。巧妙的是,从系统外观察,计算装置的漏洞与后门随着装置的变换而不停地变化。漏洞成为瞄不准、测不到、打不着的存在,漏洞的缺陷也就无法被有效利用。

让“计算装置”的漏洞失效是有前提条件的,即计算器、计算尺、算盘等执行体是网络设备的软、硬件,自身都存在漏洞缺陷并具有相同的功能。漏洞失效的机理在于,当三个装置同时执行2×3的指令后,系统只输出多数相同的结果。如果三个结果均为6,输出结果为6;如果一个为5、两个为6,这时5为少数,输出结果仍然为6。“其实,这样的算法并不知道什么是对、什么是错,只是按照多数还是少数执行。其巧妙之处在于,不知道各个装置有什么问题,只知道很难出现同样的问题。” 邬江兴说。

相比传统精准防御,拟态防御不以弄清木马病毒与漏洞后门的性质为前提,不依赖于先验知识——不断更新的病毒库,而依靠系统的内生防御技术。同时,随着执行体的快速变化,设置在执行体中的后门成为了一个“转门”,攻击者连入口都无法找到。总之,系统通过快速选择不同功能的组合执行体,在变化中完成给定的任务,使单位时间内攻击者做出的攻击决策既不能一招制敌,又在短时间内迅速失效。这时,不确定性威胁就变成一个极小概率的网络攻击事件。

拟态防御并非“神乎其神”

2016年8月,由53位同行专家(包括13名院士)署名的《拟态防御原理验证系统测评意见》正式公布,测评结果表明:现有的扫描探测、漏洞利用、后门设置、病毒注入、木马植入乃至高级持续威胁(APT)等常规或非常规攻击手段方法,对拟态界内受保护对象没有预期的作用和可信效力。有媒体给出高度评价:“拟态防御或将是网络安全与信息化融合领域的‘游戏规则改变者’!”

“任何事物都不可能‘神乎其神’,‘拟态防御’拥有明显的创新性,但也不是放之四海皆准的原理。”作为理论的提出者,邬江兴特别强调拟态防御的适用范围。

邬江兴进一步解释,实现拟态防御的前置条件包括四个方面。首当其冲是要存在可判定异构冗余体之间功能等价性的“拟态界”,还需要在给定功能性能下存在软硬构件多元或多样化供应条件;再就是该技术适合于兼具高安全性和高可靠性的应用领域,比如交通、电力、能源、国防这些领域。

此外,由于拟态防御系统要求同一功能的多构件组合,相比单一构件系统,成本大幅增加。因此,在初始阶段,拟态防御的投资回报率不高,更适用于高成本投入的安全领域。

本文转自d1net(转载)

时间: 2024-11-10 12:39:20

“拟态防御”: 让黑客找不到破门之机的相关文章

中国院士提"拟态防御": 让黑客找不到破门之机

继10月美国网站大规模宕机后,当地时间11月27日欧洲最大电信运营商德国电信又遭受严重攻击,导致约90万路由器发生故障,连续两日断网. 物联网时代,当所有的设备都变成智能化,都接入网络后,边界的概念将会进一步被削弱.而万物互联,使得网络安全形势非但没有减弱,相反愈发严峻. 四处"漏风"的安全防卫系统 根据国家互联网应急中心抽样检测数据显示,仅2015年我国就有1978万多台主机被10.5万多个木马和僵尸网络控制端控制,2015年检测到的浏览器漏洞数比2014年高出37%.操作系统漏洞数

以色列网络安全新技术:让黑客找不着北

本文讲的是 以色列网络安全新技术:让黑客找不着北,击败黑客的最佳方法就是让他们找不着北--诱骗他们挖掘没料的虚假数据.尽管他们费尽心思穿透了防火墙,但却盗不走任何真实的数据. 以色列一家新成立的网络安全公司Illusive设计了一种欺骗攻击的系统,伪造攻击点把恶意黑客引向错误的方向,使他们忙于毫无意义的信息.同时,安全人员却可以收集他们的信息,包括攻击的源头以及攻击的方式. 上面的描述乍一听上去,似乎是个蜜罐.但Illusive公司的首席执行官Shlomo Touboul表示,他们的系统不仅仅是

拟态防御或助网络安全实现再平衡

信息时代的高速发展为人们的生活带来了无限便利,但随之而来的是网络环境中出现了诸多威胁和风险,网络空间安全问题亦像幽灵一样存在于人们生活中的各个角落.在日前举办的2016isc中国互联网安全大会上,中国工程院院士.国家数字交换系统工程技术研究中心主任邬江兴向记者表示,网络空间安全需要再平衡战略,重塑网络空间新秩序,而"拟态防御为实现网络安全再平衡战略提供了全球可以信赖的理论和技术基础,是中国的创造,也是网络世界的福音". 当前,网络安全的不平衡现象有几个明显的表现,令人关注.邬江兴指出,

IT运维不再被动防御 反击黑客从这开始

本文讲的是IT运维不再被动防御 反击黑客从这开始,2011年末爆发的网站泄密事件给所有搞IT运维管理的同学上了一堂最生动的实践课,2012年信息安全也必将受到企业的关注.作为企业的IT运维管理人员,除了打报告向企业申请更新安全设备,还可以做哪些工作来体现IT运维人员的价值呢? 以往IT运维管理往往是利用部署在企业IT系统之上的防火墙.入侵检测.防病毒等等设备来被动的防御,面对肆无忌惮的黑客入侵,作为IT运维管理人员,我们是否能主动出击呢?其实想要对付入侵企业网站的黑客IT运维人员可以做的有很多,

“拟态安全”让黑客失去攻击目标

摘要: 设计灵感来自于拟态章鱼 颠覆传统计算机基本架构 在科技部和上海市政府联合支持下,9月底,由解放军信息工程大学.中国电子科技集团第三十二研究所.复旦.交大等十余家单位 设计灵感来自于拟态章鱼 颠覆传统计算机基本架构 在科技部和上海市政府联合支持下,9月底,由解放军信息工程大学.中国电子科技集团第三十二研究所.复旦.交大等十余家单位500余名研究员研发的"新概念高效能计算机体系结构及系统研究开放"在沪通过验收.由中国科学家首先提出的拟态计算机技术成为现实.面对"拟态计算机

拟态防御理论将改变网络安全游戏规则

13日,解放军信息工程大学发布消息,由该校联合复旦.浙大和中国科学院承担的863计划"网络空间拟态防御理论及核心方法",经科技部授权上海市科委组织测试评估,测评结果与理论预期完全吻合.中国工程院院士邬江兴说,这标志着我国在网络防御领域取得重大理论和方法创新,将打破网络空间"易攻难守"的战略格局,改变网络安全游戏规则. 据介绍,早在2008年,邬江兴从条纹章鱼能模仿十几种海洋生物的形态和行为中受到启发,提出了研发拟态计算机的构想.在科技部和上海市支持下,拟态计算原理样

以色列欺骗攻击系统让黑客找不着北

击败黑客的最佳方法就是让他们找不着北--诱骗他们挖掘没料的虚假数据.尽管他们费尽心思穿透了防火墙,但却盗不走任何真实的数据. 以色列一家新成立的网络安全公司Illusive设计了一种欺骗攻击的系统,伪造攻击点把恶意黑客引向错误的方向,使他们忙于毫无意义的信息.同时,安全人员却可以收集他们的信息,包括攻击的源头以及攻击的方式. 上面的描述乍一听上去,似乎是个蜜罐.但Illusive公司的首席执行官Shlomo Touboul表示,他们的系统不仅仅是黑客陷阱式的"蜜罐",而是一种全新的网络

微软领投网络安全公司Synack巨额融资:雇黑客找BUG

据<财富>杂志北京时间4月12日报道,微软创投日前领投了网络安全公司Synack的2125万美元融资,该公司业务模式奇特,雇佣黑客为客户的软件寻找漏洞. 参与这家加州雷德伍德城公司C轮融资的还包括,惠普企业,新加坡电信旗下风投机构Innov8. 新一轮融资让Synack迄今的总融资额增至了5500万美元.该公司此前的投资者包括纪源资本.谷歌风投和凯鹏华盈. Synack的业务模式类似于渗透测试人员的Uber,为高端客户加快它们的私人漏洞赏金项目.该公司管理着一个黑客网络,其中的黑客全部经过审查

让黑客无隙可乘——企业级Web网站安全解决方案揭秘

在3月10日举办的阿里云网站热点研讨会上,阿里云资深安全业务架构师蕴藉就网站Web应用的安全性及业务可用性进行了一系列细致的讲解和介绍,接下来我们就来共同了解一下他分享的内容. 以下内容根据现场分享以及幻灯片整理而成 Web应用面临的主要安全问题:   现如今,大多数的互联网业务都以Web的方式进行,相较以往以PC浏览器为主的访问形式,移动App上的Web访问正逐渐成为主流.2014年推出的HTML5标准就是一个很好的例子,它为在移动设备上支持多媒体而设置,并得到了大范围的推广. 一个Web网站