我国网络空间防御技术取得重大突破

将改变网络安全游戏规则

　　新华社上海１１月１３日电（黎云、杨森）经科技部授权上海市科学技术委员会组织的测试评估，由解放军信息工程大学、复旦大学、浙江大学和中国科学院信息工程研究所等科研团队联合承担的国家“８６３计划”重点项目研究成果“网络空间拟态防御理论及核心方法”近期通过验证，测评结果与理论预期完全吻合。这标志着我国在网络防御领域取得重大理论和方法创新，将打破网络空间“易攻难守”的战略格局，改变网络安全游戏规则。

　　拟态，是指一种生物模拟另一种生物或环境的现象。２００８年，中国工程院院士邬江兴从条纹章鱼能模仿十几种海洋生物的形态和行为中受到启发，提出了研发拟态计算机的构想。在科技部和上海市的共同支持下，拟态计算原理样机研制成功并入选“２０１３年度中国十大科技进展”。在此基础上，研发团队针对网络空间不确定性威胁等重大安全问题，开展基于拟态伪装的主动防御理论研究并取得重大突破，所提出的“动态异构冗余体制架构”，能够将基于未知漏洞后门的不确定性威胁或已知的未知风险变为极小概率事件。

　　２０１６年１月起，由国内９家权威评测机构组成的联合测试验证团队，对拟态防御原理验证系统进行了为期６个月的验证测试，先后有２１名院士和１１０余名专家参与不同阶段的测评工作。测评专家委员会发布的《拟态防御原理验证系统测评意见》认为：拟态防御机制能够独立且有效地应对或抵御基于漏洞、后门等已知风险或不确定威胁。受测系统达到拟态防御理论预期，并使利用“有毒带菌”构件实现可管可控的信息系统成为可能，对基于“后门工程和隐匿漏洞”的“卖方市场”攻势战略具有颠覆性意义。

　　邬江兴介绍说，我国是遭受网络攻击最严重的国家之一。据国家互联网应急中心数据显示，仅２０１５年的抽样监测，我国有１９７８万余台主机被１０．５万余个木马和僵尸网络控制端控制。由于现有的网络防御体制采用的是“后天获得性免疫”机制，先“亡了羊”，才能通过打补丁、封门堵漏来“补牢”，对于不能感知和认知的网络攻击几乎不设防，而拟态防御理论与方法能够有效应对这些问题。

　　邬江兴还表示，网络空间拟态防御理论与方法是全人类的共同财富，中国科学家愿意将这一技术与世界分享，为构建网络空间命运共同体作出贡献。

附：

邬江兴院士：拟态防御——网络安全“再平衡战略”抓手

X

摘要：“当前网络安全现状不平衡，面对未知的漏洞、攻击等安全威胁，静态、相似、确定的IT系统架构成为网络空间最大的安全黑洞。中国工程院院士邬江兴表示,”生物拟态现象为破解安全网络难题提供了启示，网络空间拟态防御的目标是在开源模式的后全球化时代，以不确定防御应对网络空间中不确定的安全威胁。拟态防御不是一个单纯的防御架构，而是具有集约化属性的普适意义的信息系统架构，针对未知的风险及威胁提供安全防护机制，从根本上改变网络空间攻防不对称”。

我国的网络和信息化建设经过多年发展取得了举世瞩目的成就，基于信息系统的体系构建能力显著增强，网络和信息系统的应用水平大幅提升。但是，在以美国为首的西方科技强国先发技术优势和咄咄逼人的攻势战略面前，我国网络安全水平和防御体系整体上尚处于战略弱势。主要的网络空间基本现状表现为：产业基础比较差；整体上属于跟踪式的科研，包括网络空间安全也属于跟踪式的科研，还存在空心化的一些现象；自主开发难以覆盖整个生态环境和掌控安全链的全部环节；网络空间呈现“被透明、被制网”的状态，这也是习总书记近来反复强调的,“中国网络几乎赤裸地站在以“八大金刚”为首的美国企业面前”，“没有网络安全，就没有国家安全”，“建设网络安全，要有自己的技术，要有过硬的技术”。

但是我国目前网络安全建设过程中面临一个战略“冏境”：一方面，不用进口的，先进性、成熟性和及时性得不到保证；但另一方面，用进口的又不能避免“有毒带菌”构件的威胁，安全性难以保证。
所以我们面临两个无法回避的基本的安全问题：首先是在当今的技术能力下，信息系统设计与实现中的漏洞是无法避免的；其次是就我国目前的自主产业能力而言，完全自主可控难以达成，“被后门”无法避免。
 
究其原因，一是漏洞存在的普遍性，理论上讲，人为设计的软件、硬件、网络、平台、系统、工具、环境、协议、器件、构件等都有可能存在缺陷和错误，很难从根本上去避免。无论国内还是国外设计的产品，漏洞是硬件/软件系统设计或实现上的质量缺陷，有漏洞就可能被攻击者利用并以漏洞注入攻击方式，访问或破坏目标系统。

二是后门的易安插性，产品的设计者可以透过产品的设计链、工具链、制造链、加工链、供应链、销售链、服务链等多种环节，有意地植入各种隐蔽的恶意后门。整个的安全链很长，植入后门的环节很多，生态环境很复杂，全面掌控并杜绝后门植入，几乎不太可能。
三是信 息系统基因的单一性，整体的信息系统基本上依托两个理论，理论上是图灵-邱奇-哥德尔的可计算性理论，结构上是冯•诺依曼的体系或等效结构，这是主流体系机制，多样化缺乏导致网络空间一元化基因环境，极易遭受大规模的攻击威胁。
四是防御模式的被动性，目前的防御体系都是基于先验知识（包括攻击者的特征、行为、指纹等）实施的被动防护，本质上是一种“亡羊补牢，守株待兔”的机制。对于预先安插的后门的检出和防范没有有效的办法。

五是架构缺陷的遗传性，现行的防御体系设计基本都是克隆的产物，体系设计思想不清楚，相关问题的折中机制不了解，何处是薄弱环节和“命门”不清楚，有哪些副作用和遗传性疾病完全茫然。所以，一个基本的结论就是，只要有依靠或利用外部的环节，在当前的技术框架下，“被后门”是一种常态化，相当长的时期内无法根本地去改变。
这就对我们国家的信息化建设提出抉择和挑战：一是相当长的时期内国内的信息化建设不得不使用“有毒带菌”的构件；二是网络安全体系不得不基于有毒带菌的环境而构建。这也是我们需要破解的两难问题，即信息化建设如何同时保持先进性和安全性？我们认为，唯一的途径是发展“非对称的、战略性的、能够改变游戏规则的”革命性技术。

启迪是来自大自然的拟态（Minicry），拟态在生物学上是指一种生物模仿另外一种生物的外观和行为以获得生存好处的现象。它和通常所说的伪装（Camouflage）还不太一样，伪装一般是指生物以体色和纹理的变化，与环境相似来躲过敌人攻击的一种生存伎俩。拟态不仅仅是外观还有行为，典型的拟态生物是拟态章鱼，它可以模拟至少15种海洋生物，从外形到行为都能模拟，而且能在沙质海底和珊瑚礁环境完全隐身。

我们提出拟态安全防御（Mimic Security Defense, MSD），以期能从主动性、变化性和随机性中来获得有利的防御态势。所谓拟态安全防御，是指在主动和被动触发条件下动态地、伪随机地选择执行各种硬件变体以及相应的软件变体，使得内外部攻击者观察到的硬件执行环境和软件工作状况非常不确定，无法或很难构建起基于漏洞或后门的攻击链，以达成降低系统安全风险的目的。从本质上来讲，拟态安全防御是一种主被动融合防御体系，即拟态安全主动防御与传统被控防御相融合的引入“安全基因”的主被动融合防御体系。

一个具备拟态安全防御属性的系统能够在功能（甚至是性能）等价条件下主动、随机地改变自身的架构及执行环境，利用软硬件多样化、系统化、动态化，获得伪随机性属性，在表象上给攻击方造成防御系统攻击面不可预测的“迷局”，并能有效地放大传统安全措施的有效性。

提出拟态安全防御的核心依据，就是目前的攻击链必须依赖目标系统的3个特性，即静态性、确定性和相似性，期间任何一个环节的改变，都无法达到攻击目的。比如说对已植入构件内部的木马和病毒，它一定是要依据确定的使用环境和运行机制，一旦环境和机制发生变化，即使网络诱骗技术是带病毒、带木马的，它的功能也会失效。

拟态安全防御的基本思想，就是在功能等价的条件下，以提供目标环境的动态性、非确定性、异构性和非持续性为目的，通过网络、平台、环境、软件、数据等结构的主动跳变或快速迁移来实现拟态环境，以防御者可控的方式进行动态变化，对攻击者则表现为难以观察和预测目标变化，从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。

拟态安全防御的技术路线，我们将之归结为“转基因工程”，设想将动态性、多样性、随机性作为一种安全基因，对信息通信技术实施“转基因工程”，在网络、平台、环境、系统、软件、硬件和数据等相关层面及核心节点和重要设施导入“安全基因”，使得“基因受体”获得主动防御功能。可以看到，我们现有的芯片、操作系统、软件等信息系统的产品，通过网络转基因工程，加入动态多样化的随机基因，使其变成多样化的拟态芯片、拟态操作系统、拟态软件，整个构成拟态安全防御系统。

芯片加入了拟态，还是芯片，芯片技术可以继续发展，只是加入安全的基因；操作系统该怎么做还是怎么做，但是要有拟态的机制在里面，这是我们的一个整个的技术路线，即实施转基因工程。

首先是网络通信领域，包括网络架构、关键设备、协议体系，例如可以做拟态云路由网络、拟态云计算通讯移动体系、拟态移动网。包括现在的云路由、云计算平台、防火墙、网关、拟态网络、拟态安全核心路由器、边界路由器、汇聚/企业路由器、动态安全协议、动态地址分配、动态域名服务体系等。其次在信息领域，包括拟态安全的器件/组件，例如高阶可重构运算栈、各种可重构处理器、可重构智能互联器件、可重构路由器；拟态安全的计算平台，例如服务器、集群计算机、容错计算机、高性能计算系统等；拟态安全嵌入式平台，包括各种嵌入式平台。

2013年，我们研制出第一台拟态安全的原理样机，包括对各种基础软件，例如各类操作系统、各类数据库；支撑软件，例如即时任务编译器、自动多变体编译器；工具软件，例如仿真模拟、评估评测、各种开发工具，以及各种嵌入式软件、各种应用软件，都可以进行拟态化。

拟态安全防御主要针对基于未知的可利用漏洞或后门的攻击进行防御，其体系有效性的基础，一是变化的多样性，迷茫攻击者和渗透者，锁定目标；二是变化的随机性，攻击者很难把握目标的变化规律；三是变化的快速性，让攻击者来不及采取恰当应对策略。
拟态安全防御体系的革命性表现在，一是动态防御，从静态的体系结构转变为动态的体系结构；二是主动防御，从被动感知的安全机制到主动设障的安全机制；三是随机防御，从规律性的运行方式到随机化的运行方式。基本目标是针对基于未知漏洞和后门的外部攻击实施主动防御。

一是目标随动增加攻击难度，针对攻击链依赖传统系统架构和运行机制特有的脆弱性，组合应用多维重构技术和动态化、随机化、多样化安全机制，扰乱或阻断攻击链，增加攻击难度，实现不依赖先验知识的主动防御。
二是容忍“带毒含菌”的构件，在所构建的动态化、非确定和非相似的“迷局”中，允许一定程度地使用“带毒含菌”的器件、部件或软硬件构件，并能够做到安全风险可控，可缓解自主产业能力不足的困境。
三是大的系统熵值，利用函数化的硬件结构和动态化的软硬
件运行机制的组合应用，再加上时间维的变量，可以构成相当大的动态空间，以有效降低利用漏洞和后门进行攻击的可靠性。对于预先植入或预留的木马或病毒，也会造成相似的难度。
四是开放内核安全机制，内核的安全风险并不取决于“零缺陷”设计实现或算法保密等外在因素，只取决于系统当前的资源状态、服务质量、运行效率、异常情况、流量特征和时间基准等非封闭动态参数的随机性，这是我们达到其内核安全性的依据。
五是融合防御体系，能够放大安全防御措施效能，有机整合现有（或未来可能发展出）的安全防御手段，通过与拟态机制的深度组合运用，构成主被动融合防御体系，倍增各种安全技术的实际效能。
六是固有的高性能计算属性，作为内核的拟态计算架构具有高效计算的固有特性，可为防御的实时性要求提供强有力的系统结构层面的支撑。
七是冗余获得的高可靠性，拟态计算架构固有的冗余性，使拟态安全防御系统具有内在的可靠性，根据安全性需求可以调整冗余度，控制系统成本，权衡可靠性指标。
八是多余度运行的新效应，基于资源冗余配置的冗余资源应用模式，能够形成共生协同、N变体、等效多变体、异构环境迁移等特殊的运行机制。
邬江兴简介
邬江兴，１９５３年出生于浙江嘉兴，中国工程院院士，中国著名通信与信息系统、计算机与网络技术专家，中国人民解放军信息工程大学原校长，国家数字交换系统工程技术研究中心主任，少将军衔。
１９７０年参加我国第一台集成电路计算机研制并担任内存储器调试组长，１９９１年主持研制成功我国第一台容量可达６万等效线的程控数字交换机并实现产业化，２００２年主持研制成功中国高速信息示范网并实现了我国互联网核心技术和装备制造业“零”的突破，２００６年主持研制成功中国高速信息示范网并在中国长三角地区构建了全球最大规模的先进技术示范网—３Ｔｎｅｔ，２０１１年主持研制成功中国下一代有线电视网（ＮＧＢ）上海示范网，２０１３年带领团队研制成功世界首台拟态计算机。

（本文转自赵建毅力新浪博客）