“拟态防御”:让黑客找不到破门之机

行业动态 2019-05-30 16:2287http://www.baidu.com/添宝儿

继10月美国网站大规模宕机后,当地时间11月27日欧洲最大电信运营商德国电信又遭受严重攻击,导致约90万路由器发生故障,连续两日断网。物联网时代,当所有的设备都变成智能化,都接入网络后,边界的概念将会进一步被削弱。而万物互联,使得网络安全形势非但没有减弱,相反愈发严峻。四处的安全防卫系统根据国家互联网应急中心抽样检测数据显示,仅2015年我国就有1978万多台主机被10.5万多个木马和僵尸网络控制端控制,2015年检测到的浏览器漏洞数比2014年高出37%、操作系统漏洞数高出73%。事实说明,我国已成为遭受网络攻击最为严重的国家之一。虽然防护措施不断更新迭代,却依旧无法对抗黑客,症结在何处?计算机与网络技术专家、中国工程院院士邬江兴在接受科技日报记者采访时表示:面对这些隐身于各处的未知漏洞、后门,首先是无法用概率表示,其次是现有计算机根本对它探测不准。即便采用入侵检测技术、防火墙技术、密码加持技术构筑起一道道,如果感知不到具体威胁在何处,就等于形同虚设。比如,漏洞或后门设置在机密机的底下,加密技术被轻易绕过,密码成了摆设!让攻击者失去目标在太平洋,有一种的生物叫条纹章鱼。据说,它能模拟至少15种海洋生物,通过变换颜色、条纹等迷惑攻击者,降低攻击的有效性,就像孙悟空的七十二变。邬江兴将这种防御策略称为,并借用钱学森的系统工程思想——也就是说,忽略各个构件存在的漏洞,从总体上将生物界的拟态防御原理导入网络安全领域,构建一种新的网络防御系统,即功能等价条件下异构冗余多维动态重构机制。这一复杂的信息防御体系,其特别之处在于系统中放一个构件池。构件像小孩玩的积木,通过拼装组合成不同的(比如计算器、计算尺等)。系统通过策略调度和多维重构,动态地生成富于变幻的组合。当执行指令时,的组合处于复杂变换状态,而装置的功能从未改变。巧妙的是,从系统外观察,计算装置的漏洞与后门随着装置的变换而不停地变化。漏洞成为瞄不准、测不到、打不着的存在,漏洞的缺陷也就无法被有效利用。让的漏洞失效是有前提条件的,即计算器、计算尺、算盘等执行体是网络设备的软、硬件,自身都存在漏洞缺陷并具有相同的功能。漏洞失效的机理在于,当三个装置同时执行2×3的指令后,系统只输出多数相同的结果。如果三个结果均为6,输出结果为6;如果一个为5、两个为6,这时5为少数,输出结果仍然为6。邬江兴说。相比传统精准防御,拟态防御不以弄清木马病毒与漏洞后门的性质为前提,不依赖于先验知识——不断更新的病毒库,而依靠系统的内生防御技术。同时,随着执行体的快速变化,设置在执行体中的后门成为了一个,攻击者连入口都无法找到。总之,系统通过快速选择不同功能的组合执行体,在变化中完成给定的任务,使单位时间内攻击者做出的攻击决策既不能一招制敌,又在短时间内迅速失效。这时,不确定性威胁就变成一个极小概率的网络攻击事件。拟态防御并非2016年8月,由53位同行专家(包括13名院士)署名的《拟态防御原理验证系统测评意见》正式公布,测评结果表明:现有的扫描探测、漏洞利用、后门设置、病毒注入、木马植入乃至高级持续威胁(APT)等常规或非常规攻击手段方法,对拟态界内受保护对象没有预期的作用和可信效力。有媒体给出高度评价:作为理论的提出者,邬江兴特别强调拟态防御的适用范围。邬江兴进一步解释,实现拟态防御的前置条件包括四个方面。首当其冲是要存在可判定异构冗余体之间功能等价性的,还需要在给定功能性能下存在软硬构件多元或多样化供应条件;再就是该技术适合于兼具高安全性和高可靠性的应用领域,比如交通、电力、能源、国防这些领域。此外,由于拟态防御系统要求同一功能的多构件组合,相比单一构件系统,成本大幅增加。因此,在初始阶段,拟态防御的投资回报率不高,更适用于高成本投入的安全领域。

网站建设-网站制作-网站设计-武汉众成建站公司 Copyright © 2009-2019 DEDECMS. 武汉建站公司 版权所有 备案号:

联系QQ:326651279 邮箱地址:网站地图