拟态安全主动防御

• 网络空间面临的主要威胁

1.安全漏洞

漏洞通常是指，在硬件、软件或协议等的具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未经授权下访问或破坏信息系统。据中国国家信息安全漏洞库的资料显示，2015年检测到的浏览器漏洞数比2014年增长37%，操作系统漏洞数增长73%。而令人担忧的问题是，未能检出的漏洞有多少？更为糟糕的是，人类现有的科技能力尚无法从理论和实践上彻底避免漏洞问题。漏洞是人类设计缺陷造成的，而设计缺陷又跟人的认知水平有关。

2.软硬件后门

指留在软硬件系统中的恶意代码，为特殊使用者通过特殊方式绕过安全控制环节而获得系统访问权的方法与途径。仅就2014年中国互联网网络安全报告的数据来看，2014年中国境内被篡改网站数量较2013年增长53.8%。2014年我国境内4万多个网站被植入后门，其中政府网站就达1500多个。与漏洞同样的问题是，查不出的后门有多少？更为严峻的是，在供应链全球化时代下，“你中有我，我中有你”是必然趋势。因而，在相当长时期内，后门将是无法杜绝的。

3.未知威胁

我们已知的漏洞和后门就如同浩瀚宇宙中的一点点尘埃，绝大多数漏洞后门仍然是未知的。在“设计缺陷与不可信开放式供应链”条件下，无论从技术或经济上都不可能彻底保证网络空间构成环境内“无毒无菌”的安全性要求。

---

• 什么是拟态安全

拟态安全是邬江兴院士于2014年正式提出的一种网络空间安全防御理论，该理论从拟态章鱼不断变换形状、纹理和颜色从而避免被敌人攻击的行为中受到启发，在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体，使得内外部观察者观察到的硬件执行环境和软件工作状态非常不确定，无法或很难构建起基于漏洞或后门的攻击链，以达到增强系统安全的目的。

拟态防御工作原理是：一个功能等价的异构执行体的集合F，在t1时刻随机从F中选取k个执行体提供带有裁决机制的输入输出服务。打个比方，F是一个有n个保安的安保公司，现在要执行某会场入口处安检任务，此时这n个保安就构成了一个集合，这个集合中的每一个人功能等价——对进入会场的人进行安检。但他们每一个人的性格、当天的心情、对待工作的认真程度以及自身的弱点和原则都不相同——异构性。任务开始的时候，随机从这n个人中选取k个先来执行安检任务，每来一个要进入会场的人，这k个保安会同时对他的请求进行审核，每个保安在审核后会独立地将自己的意见（是否允许进入）报告给保安队长，这时保安队长的工作就相当于裁决机制。这是对防御机制的简单比喻，现在回过头来说，假如进入会场的是一个破坏者，他想要进入会场就要同时让执行任务的k个保安形成统一的意见，而这一点是很难同时做到的，当这个破坏者终于摸清了这k个保安的脾性、弱点，知道如何让他们放自己通过时又轮到另外随机选择的k个保安上岗了（t2时刻）。在这种机制下，不论是已知的威胁（一看就是坏人——手提菜刀、肩扛炸药包），还是未知威胁（装扮的像好人一样，行为举止也模仿好人。但要干坏事终究他还是有不一样的地方，和好人完全一样也就不用防了），只要你在通过安检时这k个保安对你有不同意见，保安队长就能发现。这也就是“相对正确公理”，即执行相同任务的不同个体很少会在同一时间、同一地点犯相同的错误！这样就把威胁（包括未知威胁）带来的不确定扰动通过拟态构造转换成了拟态界内同时出现多数致性错误的概率问题且具有可控性。

显然，拟态防御将攻击难度提升了三个层次：从现在的静态、单一确定的目标攻击难度，增强为“静态异构空间的多目标协同一致攻击”难度，再增强为“动态异构空间，多元目标协同一致攻击”难度，难度等级呈非线性提升，“即使攻击成功，也只是一次”。

---

• 拟态安全的优势

网络空间现有的防御体系，是基于威胁特征感知的精确防御。例如常见的防火墙、入侵检测、态势感知等防御措施，是建立在获得已知攻击模型、攻击机制、攻击特征等先验知识的前提下，才能有效实施。在整个攻防体系中，防守方往往处于“发现攻击、发现漏洞、修复漏洞”的亡羊补牢式的被动局面。由于无法保证复杂信息系统或网络空间生态环境“无漏洞无后门”或者“无毒无菌”，现有的安全只能期待“后天获得性免疫”，即获得新型攻击特征、最新漏洞补丁来完善防御体系。

而拟态安全不再追求建立一种无漏洞、无后门、无缺陷、完美无瑕的防御系统来对抗网络空间安全威胁，而是采取多样的、不断变化的评价和部署机制，构建一种动态的、异构的、冗余的、不确定的体系架构，形成“探测难、渗透难、攻击激励难、攻击成果利用难”等困境，彻底扭转“易攻难守”的攻防战略格局，有效解决利用未知漏洞、未知后门的未知攻击防御问题。