一只章鱼带来的启发 改变了网络安全游戏规则

2天时间,9支国内外顶尖“白帽黑客”战队,290余万次全方位、高强度的攻击……

5月23日下午,第二届“强网”拟态防御国际精英挑战赛在南京落下帷幕,无论各路“黑客”如何强攻巧战,始终无法突破拟态防御构筑的网络“金钟罩”。全球首次网络空间“人机对战”的结果证明,我国独创的拟态防御理论与技术拥有极高的安全属性。

网络空间拟态防御理论的创立者,中国工程院院士、国家数字交换系统工程技术研究中心主任邬江兴表示,该技术将一改以往网络空间“亡羊补牢”的安全问题处理方式,颠覆了当前网络空间“易攻难守”的不平衡态势。“未来网络空间安全‘游戏规则’或因此而改变,网络空间安全新秩序也有望重塑。”

变被动为主动,让网络空间“自带免疫”

在太平洋,有一种“聪明”的生物叫条纹章鱼。据说,它能模拟至少15种海洋生物,通过变换颜色、条纹等迷惑攻击者,降低攻击的有效性,就像孙悟空的七十二变。

万物互联时代,带来便利的同时,网络安全问题成为挥之不去的梦魇。据国家互联网应急中心《2017年中国互联网网络安全发展报告》显示,自2013年以来,国家信息安全漏洞共享平台收录的安全漏洞数量年平均增长率为21.6%,2017年较2016年收录的安全漏洞数量增长47.4%,达到历史新高。

目前,社会上常用的的防病毒软件、升级系统补丁、设置防火墙等手段,在邬江兴看来,都是生病吃药、亡羊补牢式的后处理方式。

邬江兴认为:“就像人生病了要去医院看病、吃药打针,传统的防御主要也是靠吃药打针来获得后天防御,对于未知的漏洞和后门基本就没有办法。但是人和所有的生物存活主要依靠自身的免疫,而不是吃药获得的后天免疫。所以我们现有网络空间的机器产品缺乏这种内生的安全。”

那么,能否让条纹章鱼拥有的拟态防御技术,应用到网络空间,成为重塑网络空间新的安全秩序的利器?

拟态,是自然界中一种生物伪装成另一种生物,或伪装成环境中其它物体以获取生存优势的现象。“应该让我们的信息网络设备,像生物学的内生安全一样,能够靠先天免疫来获得对自然界体内体外细菌病毒的对抗能力。”邬江兴说道。

受这只章鱼启发,邬江兴院士提出了一套我国独创、具有内生性安全效应的网络空间拟态防御理论。

该理论通过内生的“测不准”效应,可以使按此设计的软硬件系统在不依赖“附加或外在”的防御措施和手段情况下,就能有效抑制隐藏在系统内部已知或未知的漏洞后门、病毒木马等引起的安全威胁,即拟态系统可以在“有毒带菌”条件下正常运行。这就变被动为主动,有力促进了具有“自身免疫力”的软硬件技术和产品的升级换代。

摆下测试擂台,验证防御“金钟罩”

面对网络世界的防不胜防的安全威胁,以美国为首的技术领先国家,较早提出了用理论和技术的革命性创新确保其在网络攻防领域的绝对优势。

2011年,美国科学技术委员会发布的《可信网络空间:联邦网络空间安全研发战略规划》中提到,未来重点发展具备“改变游戏规则”能力的革命性防御技术,包括移动目标防御、定制可信空间和内在安全等。

“内在安全可能与拟态防御有相似之处,但至今还未见任何相关公开论文或文献报道。”邬江兴院士说,“从全世界已公开的研究资料来看,还没有发现与拟态防御类似的新型防御理论、方法和工程实践。”

既然拟态防御是一套全新的理论和技术,如何验证其安全性成为首要目标。

在第二届“强网”拟态防御国际精英挑战赛现场,邬江兴谈到,创新的理论技术需要更大范围、更多的人去质疑和验证。

拟态防御技术在顺利通过2016年科技部组织的测试验证、2018年工信部组织的线上测试与去年首届挑战赛实战测试后,今年再次摆下“擂台”,邀请国际知名“白帽黑客”(“白帽黑客”是指那些用黑客技术来维护网络关系公平正义的黑客)来攻,目的就是通过多轮次“国际众测”,全方位对其安全属性进行测试。

来自中国、美国、俄罗斯、德国、日本等10个国家的29支顶级“白帽黑客”战队,针对系列拟态防御网络设备发起的攻击,全部被拟态化的网络设备和系统发现并封堵。

赛事期间,技术提供方还向每支战队做出让步,授权战队获得某一设备内部执行体的控制权。战队可通过预置后门等协助方式,尝试突破拟态防御。

这种主动配合攻击选手的情况,犹如大楼管理方主动向“小偷”提供了一把入口“钥匙”,充分展示了中国在网信安全技术领域的技术自信。

同时,南京紫金山实验室“网络内生安全试验场”(NEST)也正式开通,这是国际上首个永久在线、面向全球开放的网络内生安全防御技术试验场。邬江兴自信地说:“该试验场上线后将保持永久在线模式,随时欢迎来自全球的个人和组织的攻击挑战。”

步入产业化,未来应用可期

10多年来,历经理论探索、原理验证、技术突破、系统研制、线上评估、实战检验等全流程艰辛探索,网络空间拟态防御技术已经具备了大规模产业化基础。

从2014年开始,邬江兴院士对拟态防御的研究不再局限于理论层面,而是同步开展了工程化实践。2016年初,拟态路由器和拟态web服务器两类原理验证系统研制成功。2017年,科技部和上海市科委启动了重点研发项目“拟态防御技术试验场”,为相关理论和技术研究、标准规范制定、测试方法研究、仪器仪表开发、产品装备孵化提供了重要抓手,将加速技术成熟及产品落地。

2018年4月12日,基于拟态防御理论设计开发的成套网络设备,包括拟态域名服务器、拟态路由器、拟态web虚拟机、拟态云服务器和拟态防火墙等多种类型的设备与装置,在河南省景安网络科技股份有限公司完成全球首次线上体系化部署,可为两万余家企业网站提供可量化的高可靠、高可用、高可信一体化的服务,具有显著的技术经济效益。这标志着我国“自主可控、安全可信”的新一代信息技术产品,在实用化与产业化进程中迈出了里程碑性的一步。

尽管拟态防御的基本原理和方法具有普适性,但不同应用领域还有不少需要再创新的理论和技术问题,从产品定型到产业落地再到大规模推广还存在很多困难和挑战。

“我们今后将加快拟态防御理论体系和关键技术体系的完善,推进相关技术标准规范的制定,出台行业及产品检验规范等,同时呼吁国家从产业规划和政策层面加大扶持力度,引导和鼓励相关领域开展拟态防御技术产品的发明创造和应用试点。”邬江兴表示。

未来,具有拟态防御功能的信息系统安全等级在设计阶段就可以量化确定,防御性能可以用成熟的可靠性理论和方法检测度量。可以预见,现有信息产业技术和市场格局将会被打破,“重新洗牌”将不可避免。网络空间任由黑客纵横捭阖、为所欲为以及信息技术厂家不承诺“产品安全质量”的时代,将随着拟态防御等新技术产品的推出而走向终结。