《网络空间内生安全》读书笔记：第六章 内生安全与可靠性技术

第六章 内生安全与可靠性技术

• 网络空间最大的安全威胁是**基于目标对象内生安全问题的不确定攻击*

• 网络空间最大的防御难题是在缺乏先验知识条件下能否可靠应对基于未知的未知因素的不确定攻击

• 最大的理论挑战在于如何量化防御不确定攻击的有效性 为了解决上述问题，必须解决以下科学问题：

  • 在不依赖攻击者特征信息的情况下感知不确定威胁是否具有理论可行性

  • 如果回答是肯定的，则基本理论和方法依据以及约束条件是什么

  • 基于这种感知理论和机制，能否创建可度量的抗不确定攻击能力

  • 如何保证这种能力在博弈对抗条件下具有稳定鲁棒性和品质鲁棒性

• 可以借鉴可靠性问题的理论和方法来解决网络安全问题

6.1 引言

1. 冗余设计（Redundancy Design，RD）方法是解决可靠性的有效途径之一。

2. 共模失效（Common Mode Failure， CMF）：同构冗余（Isomorphism Redundancy，IR）在单个特定故障冲击作用下出现的多个并联组件同时失效。

3. 异构冗余（Heterogeneous Redundancy，HR）可以有效降低共模失效的发生概率。

4. 非相似余度构造（Dissimilar Redundance Structure，DRS）是指各异构并连体组件中的设计缺陷在某种限制条件下具有不互相重合性质的冗余结构。

5. 当目标系统采用DRS构造时，无论是针对执行体个体的未知攻击事件还是执行体自身的随机性故障都可以在系统层面，被有条件的归一化为可用概率表达的可靠性问题，从而使原本无法度量的攻击性有可能借用成熟的可靠性理论和方法来分析。

6. 如果将DRS构造用于具有博弈性质的人为攻击方面则存在先天性弱点，其核心是缺乏稳定鲁棒性。

6.2 因对不确定性故障挑战

6.2.1 问题的提出

这部分无实质内容

6.2.2 相对正确公理

1. 多人同时独立完成同样的任务时，极少出现多数人在同一时间、同一地点、犯完全一样的错误的情况，这就是相对正确公里（True Relatively Axiom，TRA）。

2. TRA适用的前提：

   • 每个执行体都能独立完成给定的任务

   • 每个执行体正确完成任务时大概率事件

   • 执行体之间不存在任何协同协作

   • 不排除多模大多数表决结果是错误的可能。

6.2.3 TRA的形式化描述

6.3 冗余与异构冗余的作用

6.3.1 容错与冗余

在错误检出能力一定的情况下，不同结构和性质的冗余资源可以获得不同能力或程度的容错功能。

6.3.2 内生性功能与构造效应

凡是与给定构造无法分割的效应都属于该构造的内生性或内源性功能，包括设计功能、后门及未知漏洞。

6.3.3 冗余与态势感知

1. 态势感知是指：在复杂系统环境中，对能够引起系统态势发生变化的安全要素进行获取、理解、显示并预测未来的发展趋势.

2. 传统非冗余系统通常无法直接判断复杂系统处理结果的正确与否，即可信性无法自证。

3. 冗余结构具有态势感知功能

6.3.4 从同构到异构

1. 异构冗余在可靠性方面强于同构冗余

2. 绝对的异构冗余是不存在的

6.3.5 容错与容侵

• 容侵 = 入侵检测 + 结构冗余

• 容错 = 故障检测 + 结构冗余

• 无论是不确定的入侵行为还是随机性的故障失效扰动，只要能影响到异构执行部件的输出矢量且可被TRA感知或定位，则不论是异构冗余的容错系统还是异构冗余的容侵装置，此时在机理上并不存在什么本质的却别。

6.4 表决与裁决

6.4.1 则多表决与共识机制

• 基于HR架构的则多表决，可以用作不依赖任何先验知识的“相对正确”应用场景下，高置信度的异常感知算法。

• 同构冗余（IR）系统中通常采用大多数表决或一致性表决算法

6.4.2 多模裁决与迭代判决

迭代判决：在给定相同激励的条件下，多次执行任务，根据多次执行的结果所作的判决。

6.5 非相似余度架构

工程实践表明，基于非相似余度架构设计的系统，其可靠性相对于非冗余或同构冗余构造的系统而言，可获得指数级的提升。

6.5.1 DRS容侵属性分析

非相似余度容侵能力的本质是将单一空间共享资源机制下的静态目标攻击难度，通过DRS构造的多模输出矢量共识机制转变为非配合条件下对静态多元执行体的协同一致的攻击难度。对此可归纳为五个重要认知：

1. 能非线性的降低对目标系统的成功攻击概率

2. 既不用区分已知还是未知攻击，也不用甄别外部还是内部攻击

3. DRS架构能够适当降低单部件或构件可靠性方面的要求

4. DRS架构的静态性和确定性是的攻击者可以利用其内生安全问题实施试错或待机战术成功攻击逃逸木点，其容侵属性不具有稳定鲁棒性或“信息熵不减”的特性。换言之：逃逸并不能根本避免，只是降低了逃逸发生的概率

5. 攻击者一旦控制了多数执行体，DRS容侵和容错属性乃至基本功能可能丧失且始终处于“城门洞开”的状态。

6.5.2 DRS内生安全效应归纳

1. 对于差模攻击、失效或偶发性故障，只要处于错误状态的执行体数量f<=(n-1)/2， DRS的安全效应就是确定的。

2. DRS使得已知或未知入侵必须具有协同攻击多个异构执行体的能力

3. 多模输出矢量则多表决机制使得已知或未知入侵，必须产生与表决策略完全匹配、时空一致性的系统攻击效果（共模逃逸）

4. DRS内生的容侵效应不以任何攻击者信息或行为特征等先验知识为前提

5. 随着输出矢量语义或信息丰度和表决精度的增加将使多元目标协同攻击成功的概率呈指数级衰减

6. 执行体有无实时清洗恢复机制以及问题规避动态转移能力关系到容侵效应的可保持行

7. 攻击者一旦能实现共模逃逸，则可长时间维持这种态势。 在现实工程层面：

8. 增加余度数n可以非线性的提高系统的安全性

9. 增加执行体相异性和输出信息丰度（信息丰度指异构执行体输出适量的语义复杂度和比特长度）可以指数级减低出现一致性错误（共模失效）的概率

10. 攻击者必须在非配合条件下，同时破解多个异构执行体方能实现攻击逃逸。

6.5.3DRS的层次化效应

1. 系统分层中，越是下层的漏洞后门危害越大。

2. 在同一个层次化构造和共享资源环境内采取的安全措施，对于未知漏洞后门的防范作用是十分有限的。

6.5.4 系统指纹与隧道穿越

• 系统指纹： 对于以I【P】O系统，当关于P的功能集合P[i1]=P[i2]，其中i1，i2属于{1，2，...，i}保持不变的情况下，理论上变化输入激励和序列关系可以在输出端得到关于P的全部响应信息，我们称之为系统指纹（System-Fingerprint，ST），包括正常的响应、异常响应、时延和状态信息，以及这些信息之间的时间和逻辑上的关联性认知。

• 隧道穿越（Tunnel-Through， TR ）: 攻击者通过人为刻意改变系统指纹特征的方法将敏感数据传递出去的攻击方法称。

• P216有关TR的例子讲的很好！！！

6.5.6 鲁棒控制与广义不确定扰动

• 广义不确定扰动（General Uncertain Disturbance，GUD)： 除了包括传统控制理论中各种零部件的物理性不确定失效或软硬件设计缺陷导致的不确定性故障外，还包括目标系统内生安全问题实施的人为扰动（漏洞、后门、人为攻击）。

• 鲁棒性：控制对象在一定范围内变化时，他能在某种程度上保持系统的稳定性或动态性的能力。

  • 稳定鲁棒性

  • 性能或品质鲁棒性

6.6 抗攻击建模

6.7 空攻击性分析

6.8 思考与演绎

6.8.1 条件感知不确定威胁

• 在I【P】O模型中，可以利用功能等价的异构冗余和多模则多判决机制，有可能在构造层间感知不确定威胁，威胁的具体表现为为输出矢量的差模表现（多个执行体返回的结果不一致）

6.8.2 广义鲁棒控制新内涵

用鲁棒控制理论解决广义不确定扰动的方法，赋予了鲁棒控制的新内涵。

6.8.3 DRS容侵缺陷

1. 需要采用非常复杂、代价高昂的相异性设计

2. 经典冗余架构仍然是静态的、确定的、其运作机制也是相似的，从严格意义上说仍具有“防御环境的可探测性和防御行为的可预测性”。

3. 用非相似于都容错模型直接作为网络空间复杂攻击条件下的安全分析模型是不合适的。（迷惑，不懂！）

4. 非相似余度构造在工程实现成面，无法要求异构执行体之间的严格地“去协同化“

5. 在当前网络空间全球化生态环境，尤其是哪些拥有50%以上市场份额地软硬件产品中存在漏洞后门地情况下，任何异构执行体地地执行都是理论上不可信地，因此DRS也无法理论上保持可信。

6. DRS无法应对”协同作弊“或”试错“式攻击，对不确定威胁不具有稳定鲁棒控制特征。

6.8.4 改造DRS地思想演绎

• 在DRS中导入动态性、随机性、多样性以及鲁棒控制理论

6.9 内生安全体制与机制设想

• 期望的内生安全体制

  • 开放的组织架构

  • 一体化融合架构

  • 协同使用多样性、随机性和动态性

  • 具有异构、冗余、动态、裁决和反馈控制的构造要素

  • 不排斥传统防御技术，并能与之协同工作

  • 具有普适性

• 期望的内生安全机制

• 期望的技术特征

  • 属于目标对象内源性安全功能

  • 内生安全功效不依赖于攻击者先验知识和行为特征信息

  • 必须通过时空一致性的精确系统攻击才有逃逸可能

  • 能够归一化出传统可靠性问题与基于目标对象的网络安全问题

  • 理论上，“差模逃逸”不可能，“共模逃逸”发生概率极小。