构建新型软件定义的主动纵深防御体系

Original 郝璐萌李楠中国保密协会科学技术分会 2022-10-02

前

言

当下网络攻防新态势渐显，如何率先掌握建立网络空间安全治理新秩序的主动权，已上升为国家顶层战略计划。中美网络空间战略博弈进入白热化阶段，中国的网络安全力量亟需强化“保网控网”能力，重视网控战略规划，改变只通过打补丁、封门堵漏的方法形成“后天获得性免疫”的传统网络防御体制，构建网络新形势下的主动纵深防御防护体系。

传统防御体系缺陷

传统网络防御基于精确感知的技术发展模式，防御重点在于目标系统的外部安全加固以及针对已知威胁的发现与消除。由于目标系统的确定性、静态性、相似性导致的机制脆弱性，以及安全漏洞的不可避免性、软硬件后门的不可杜绝性，传统防御较难应对基于漏洞、后门等的未知攻击。总体来说，传统网络防御手段存在的问题主要有以下几点：（1）边界化静态防御思路。传统防御能力主要集中在边界，而对于目标对象内部的安全漏洞和被预先植入的后门等，攻击者能够较容易地穿透静态网络安全技术防御屏障发起攻击。传统防御能力不能随环境的变化提升，攻击者的攻击能力却终将超过安全组件的防御能力。（2）安全组件缺乏联动能力。传统网络安全组件的防御能力是固定的，其防御或检测能力不能随网络生态环境动态提升，只能以人工或者定期的方式升级，防护能力的有效性、持续性和及时性强烈依赖于安全人员的专业知识以及厂家的服务保障能力，并存在很大的不确定性；同时，单一的安全组件（如防火墙、入侵检测系统、漏洞扫描等外置式网络防护手段）所能获得的信息有限，不足以检测到复杂攻击。（3）检测攻击具有被动性和延迟性。入侵检测系统（IDS）、防火墙以及杀毒工具一般采用“发现威胁-分析威胁-处置威胁”的传统防御思路，而且均基于现有的特征码或者规则对网络数据和行为进行过滤，对新型的、未知的网络攻击难以有效地发现和阻止。（4）内生安全机制缺失。传统网络设备自身并不具备安全功能，安全分析处置和手段范围难以覆盖管控全网；基础设施厂商各异、型号各异，都给网络设备与安全设备的联动提出了严峻的挑战。

主动防御技术现状

早在2003年12月17日，美国国土安全总统令（HSPD 7）正式提出“爱因斯坦计划1”。随后“爱因斯坦计划2”，“爱因斯坦计划3”相继增强实施，形成一系列支持动态保护的入侵防御系统。国内专家和企业也纷纷寻求解决方案，其中最具代表性的是中国工程院邬江兴院士关于网络空间拟态防御理论的研究、北京信息系统研究所杨林研究员关于动态赋能网络空间防御体系的研究和北京卫达信息技术有限公司内网动态防御系统相关产品的研制。中国科学院信息工程研究所早在成立之初，组织开展中科院“面向感知中国的新一代信息技术研究”战略性先导科技专项工作，以构建“海云创新试验环境”为驱动，创新性构建“海云协同主动防御技术体系”，实现数量级提升威胁响应功效，有效满足了国家战略方面的需求，解决了关系国家长远发展的重大科技问题。另一方面，为应对传统防御方法暴露的安全问题，提高目标系统的安全性和可靠性，“内构安全”成为主动防御的主流思路。该思路是将主动防御机制融入在系统全周期阶段，基于主动防御技术形成软硬件协同的安全纵深防御体系，实现全方位、随机化动态安全防御策略，有效抵御网络漏洞威胁和攻击。

软件定义架构概述

软件定义架构凭借其“数控分离”的优势成为近几年的前沿研究热点，与传统网络架构不同，核心思想是将数据平面和控制平面进行完全解耦，在逻辑上进行集中的管控，提供了高度开放性和可编程能力，增加网络应用程序的创新性的同时也降低了网络运营成本。目前已经在众多领域有了实际应用，比如虚拟化、数据中心和云计算，流量工程、负载均衡等，国内运营商也正在积极推进软件定义/NFV的应用，软件定义架构有效简化了网络管理工作，使得网络运营更加方便和灵活，为用户提供了良好的可编程能力。软件定义架构的优势主要有：（1）集中化管理。软件定义对数据转发与控制的解耦使得其整体更加模块化，易于扩展，其接口的标准化也使得其对异构的网络设备可以实现统一管理，并且提供给管理员更全局化的管理视图。（2）有效的资源利用。软件定义对控制的抽离使得控制平面可以从网络全局把握资源的调配，提高资源利用率。（3）弹性的资源调度。软件定义中的可编程接口使得用户可以自定义应用程序，并向控制平面提供更符合需求的网络资源调度策略，实现资源的弹性调度。

基于软件定义的主动纵深防御体系架构

（一）基于软件定义的主动防御体系数据层动态防御机制。在数据层（基础设施层）接入交换机核心处理芯片，并与控制层，应用层形成纵深的全视图动态防御机制。数据层融合内生安全，并采用如下主动防御技术：（1）地址跳变。防御隐身扫描、蠕虫传播和其他基于扫描的攻击；（2）路由跳变。通过网络路径的动态迁移实现对攻击的最大化防御；（3）端口跳变。将服务端口动态随机映射到未使用的端口，使攻击者无法准确找到网路服务所使用的开放端口，以此达到混淆攻击者攻击行为的目的。依托以上技术，接入层交换机内置流量重定向、策略重定向、网络伪装、欺骗、变形和深度包检测等动态防御能力。控制层动态防御机制。控制层是基于软件定义安全防护体系最为核心的部件，也是整个防护体系中最脆弱的环节，它决定整个网络的工作状态。当控制器因受到攻击而无法正常工作时，整个防护体系将陷入瘫痪。控制层通过软件定义核心控制器分发、配置管理数据流表规则，采用安全分析引擎技术，分析威胁情报、网络安全事件以及原始报文，并提取任务载荷的功能和特征值。动态防御体系主要采用基于多控制器迁移机制、CP 动态防御机制、博弈奖惩机制等技术实现控制层的动态安全防御，极大增加攻击者的攻击开销和攻击难度。应用层动态防御机制。应用层建立基于人工智能的自动化安全管理平台，对安全日志与镜像数据进行动态防御智能决策，充分分析网络中的数据流、会话、文件、元数据、网络日志及行为，检测特征未知的0day、APT攻击，实现按需动态防护。同时在应用层采用动态访问控制技术、基于虚拟机迁移技术来限制攻击效应。软硬件联动防御机制。基于软件定义网络中，通过上层的软件控制下层的硬件设备，网络服务与应用可以建立在软件层，以利用并管控异构的网络资源；在安全需求上，网络管理者能够通过应用层建立安全策略，实现对硬件终端设备的点对点安全管控和安全分析。最终实现应用软件与底层硬件基础设施层联动，改变防御技术松散、不成体系的局面。（二）软件定义防御体系的自身协同保护基于软件定义的协同防御体系同样是由软件和硬件实现的，其不可避免存在漏洞。软件定义主动防御体系不能在所有环节具备“移动”特性，“固定特性”易成为攻击者可利用的弱点。因此该防御机制自身需要有效防护策略进行保护，形成各机制相互融合的纵深防御系统。（1）应用层防护措施冲突实时检测。当应用层用户调用北向接口进行流规则下发时，位于控制层的流规则合法性检测模块会对待下发流规则的合法性进行实时检测和自动化冲突解决，主要分为静态冲突检测和动态冲突检测两个阶段，静态冲突检测主要是检测流规则本身是否存在语法错误，而动态冲突检测则是检测待下发的流规则是否与网络中现有的其他应用下发的流规则之间存在冲突，在流规则正式下发到底层网络设备之前，在控制层进行实时检测，将产生冲突的流规则进行拦截并记录，防止不合法流规则下发至交换机中。冲突离线检测。网络中现有的Set-Fild类型流规则可能会和防火墙规则形成间接违反的情况，制定依赖冲突离线检测方案。由于依赖冲突检测是进行全局流规则的检测，将软件定义网络中所有的Set-Fild类型流规则与现有的防火墙规则之间进行整体比较，检测耗时较长，为了不影响流规则下发的速率，可采用离线定时检测的方式。（2）控制层防护措施将拟态防御思想应用于软件定义网络控制层，并提出拟态网络操作系统（Mimic Network Operating System，MNOS）方案，将动态性、异构性、冗余性引入到软件定义网络控制层，期望可以有效提升架构的可靠性和容错能力。针对拟态防御的思想可能存在的安全问题，基于动态防御体系架构对拟态NOS进行改进，如在拟态NOS架构中，确定一种动态调度策略，使得系统失效率降低。（3）数据层防护措施基于网络权限的防护。对所有入网的数据层硬件资源进行认证，防止可疑设备进入数据层的网络。基于嗅探器的防护。在网络设备代理和控制器之间使用TLS协议，建立认证加密机制，控制器和网络设备/软件定义网络代理之间可以互相验证其身份，避免网络嗅探和南向接口的欺骗通信。基于网络节点的防护。很多攻击者试图攻击整个网络架构，获得有利资源，因此可以采用虚拟网络和实际网络结合的方法，增加攻击者得到整个网络架构的难度。基于流表数据的防护。在软件定义网络南向通信中引入流表数据源加密技术，以及在交换机中加入对流表的防篡改技术，实现软件定义网络架构中流表数据全链路的安全防护，并提供流表数据端到端的加密认证全链路防护。（4）南北向接口防护措施南向接口安全防护。考虑南向接口协议经常被使用，因此南向接口的通信安全必须被强化。一些协议可能会使用TLS会话机制、共享密钥密码或随机数的方式来预防再次发起的攻击。其他的专有南向接口协议可能使用自己的方法来建立控制器和网络代理设备之间的加密认证通信机制，从而有效防止攻击者的网络嗅探和欺骗。为改变传统OpenFlow协议不强制对通信数据加密的现状，强制实施TLS实现控制器与交换机之间的双向认证以及南向接口通信数据加密保护，以避免攻击者利用节点窃听控制器与交换机之间的通信。北向接口安全防护。针对北向接口存在的安全问题，从身份认证、授权和安全审计入手，设计一种完善的北向接口安全防护方案。主要包括提供对北向接口调用者的身份认证，并对数据资源和接口资源进行细粒度的权限控制，从而有效过滤掉不合法的请求；对于控制器资源的访问和操作的活动信息进行严格的安全审计，便于网络分析和其他方面的检测，提高网络的安全性。

小结

本文以高安全等级网络防护标准为基础，提出构建基于软件定义的纵深主动防御体系架构，利用具备动态、“内生安全”的网络环境来保护目标系统对象。通过动态地改变系统、网络和数据信息达到扰乱攻击者的目的，转变网络安全防御思路，将网络与安全融合接入具备网络安全功能增强级的交换机，把安全防御的阵地推进到终端接入网络的第一个点上，形成基于软件定义架构，对网络攻击渗透实现多层次报警、立体拦截、实时阻断体的动态主动防御纵深安全体系。

参考文献

[1] 动态赋能网络空间防御.杨林，人民邮电出版社.

[2] 网络空间拟态防御理论--广义鲁棒性控制与内生安全（上/下册）.邬江兴，科学出版社.

[3] 动态目标防御--为应对赛博威胁构建非对称的不确定性.杨林，国防工业出版社.

[4] 零信任网络--在不可信网络中构建安全系统.中国工信出版集团.

刘宝旭, 李雪莹, 曹爱娟, et al. 网络安全主动防御技术综述[C]// 第11届全国计算机在现代科学技术领域应用学术会议论文集. 2003.

中国保密协会

科学技术分会

长按扫码关注我们

作者：郝璐萌李楠

责编：高琪

往期精彩文章TOP5回顾