基本介紹
- 中文名:移動目標防禦
- 外文名:Moving Target Defense,MTD
- 所屬學科:網路空間安全
- 提出時間:2011年12月6日
- 相關概念:動態化,隨機化,多樣化
技術概念,機制原理,隨機化機制,多樣化機制,動態化機制,共生機制,技術特點,套用與發展,
技術概念
移動目標防禦的技術思想為:針對攻擊鏈的創立與維持嚴重依賴目標環境的靜態性、相似性和確定性,利用無線通信跳頻抗干擾體制類似的手段,通過不斷變化目標系統環境或資源配置關係,增加攻擊者利用漏洞創建和維持攻擊鏈的難度,使基於目標系統已知或未知缺陷的攻擊效果失去有效性與可靠性意義,從而能顯著地提升網路攻擊門檻和攻擊者成本。該思想開創了以變化的內因防禦外部攻擊的先河,對扭轉當前網路空間易攻難守局面具有十分重要的意義。然而,仍未脫離“加殼”或附加式防禦的傳統套路,只是給目標對象內生安全問題包覆一個動態、多樣、隨機的外表以增加攻擊表面視在的不確定性,其有效性和無效性之標的都是顯而易見的,後門或陷門問題是其“死穴”。
機制原理
隨機化機制
在MTD技術中,隨機化機制對記憶體中存放的重要的可執行程式或數據使用隨機加擾(或加密)裝入機制,在執行前進行解密,用以防禦運行中來自外部的注入式篡改或掃描式竊取。該機制為系統帶來不確定性,使原本確定的系統參數以機率形式呈現,難以被惡意控制和利用。地址空間布局隨機化(Address space layout randomization, ASLR)是最成功的MTD技術,已被現有商用OS廣泛採用和部署,在包括Mac OS X、Ubuntu、WindowsVista和Windows 7等大多數現代作業系統中得到使用。指令集隨機化(Instruction Set Randomization,ISR)是一個通過模糊目標指令集來阻止代碼注入攻擊的技術。通過生成隨機位元組序列,系統在代碼文本載入時將程式中的每條指令與相應的隨機位元組異或而被隨機化。另外,還有數據存儲位置隨機化、數據隨機等方式。儘管隨機化機制能夠有效阻止多種攻擊方式,但正如前面所提到的,由於其信息熵總是有限的,所以仍會受到暴力攻擊和探針攻擊侵擾。此外,任何隨機化保護機制都需要可信的CPU功能來完成。不幸的是,2017年一份報告《ASLR保護機制被突破的攻擊技術分析》詳細闡述了基於處理器記憶體管理單元(MMU)與頁表的互動方式攻陷地址空間隨機化保護機制(ASLR)的方法。
多樣化機制
多樣化機制的安全思想是改變目標系統相似性的被動條件,使攻擊者無法簡單地將某目標成功的攻擊經驗直接利用到相似目標的攻擊中,試圖營造一個具有一定“抗性”的套用生態圈,其期望能夠自動生成改變系統性能的目標程式或系統變體,這些變化旨在保護正常輸入的原始程式的基本語義,但在惡意輸入下的行為會表現出不同。目前,研究者普遍利用編譯器最佳化原理,在源程式到可執行程式的編譯過程中,通過調整參數生成多種變體的執行檔案,在功能不變的前提下增加執行檔案之間的差異化(檔案長度、局部算法結構、運行規律等)。除此之外,多樣化機制還被廣泛套用其他領域,比如通過在系統中布置功能等價的異構原件,進而降低系統中同質化漏洞被攻擊者利用的風險。但是,絕不能指望多樣化編譯方法能從原理上消除源檔案中的後門或惡意代碼。
動態化機制
MTD引入了動態化機制改變系統原有靜態特徵,克服靜態隨機化、多樣化存在的局限,進一步提升了系統安全性。當系統攻擊面變化足夠快,即使在低熵或存在探針攻擊的情況下,動態防禦也能夠有效保護系統,相比靜態系統能發揮更為顯著的防禦效果。但可以預見的是,動態化機制會帶來不可忽視的額外負載,從而降低可用性,且隨著變化頻率的提升,系統性能將大幅下降。就像“一次一密”這樣烏托邦的想法一樣,系統也難以做到“一次一變”,動態化機制的安全增益效費比將是防禦者重點關注的問題。近些年,研究者嘗試利用博弈論的思想,將系統的可用性—安全性—開銷,建模為均衡最佳化問題,以此設計出最優動態化防禦策略,但目前還沒有令人滿意的最優動態機制選擇方案。
共生機制
一種基於主機的防禦機制,稱為共生嵌入機(SymbioteEmbedded Machines, SEM),也稱為共生機。共生生物的防禦協作是生物界的一種自然現象,這種現象通常是指不同種群間存在的短期或長期依存關係,從而增強了一個或更多物種的存活率或進化的適應性。當兩個或更多的不同生物系統對緊急情況作出反應時,其結果通常是互利的。反映到數字信息領域,共生嵌入機可以認為是一種數位化的“生命形式”,與任意執行檔緊密共存、協作防禦,在從宿主中獲取計算資源的同時保護宿主免受攻擊。此外,共生機具備多樣化的本性,根據防禦協作的原則,可以對指向宿主防禦體系的直接攻擊提供天然的保護。通過共生機與宿主的組合,產生一個與眾不同的可執行程式,形成冗餘的“移動目標”,改變系統靜態性、確定性和相似性。
技術特點
MTD的特徵是以防禦者可控的方式動態地改變系統內部那些具有靜態性、確定性和相似性的部分或環節,增加基於系統內部未知漏洞的外部攻擊難度。該方法使得攻擊者必須完全悉知目標系統的動態特性,才能構造起一個有效利用系統漏洞的攻擊鏈,且在攻擊者試圖用類似窮盡參數等方法了解動態特性和構造攻擊的這段時間中,系統將會再次改變環境,使攻擊的階段性成果失效,從而瓦解攻擊過程。MTD從機理上仍屬於外層或加殼防護技術,防護對象限定為基於未知漏洞的外部攻擊,核心思想是對指令程式、數據檔案、存儲地址甚至對外連線埠等相對靜態的內容或位置進行防禦者可控的主動加噪,可通俗地理解為針對系統關鍵環境參數的廣義加密技術,以達到期望的防禦效果。
由於MTD的基本思想是導入“隨機化、動態化、多樣化”特性,使攻擊依賴的系統參數動態化從而縮小攻擊面,所以追求變化速度和足夠的熵空間成為了防禦強度的關鍵。近年來的研究成果以及披露的事例,已經給出了MTD破解思路和具體實例,這使得研究者在重新總結和反思MTD的利與弊,以便在發揚其優勢機制的同時剔除安全缺陷和規避技術劣勢。
套用與發展
如圖集所示,MTD技術可落在網路、平台、運行環境、軟體、數據等多個層面實施,具體技術包括IP位址跳變、連線埠跳變、動態路由和IP安全協定(IPSec)信道、網路和主機身份的隨機化、執行代碼的隨機化、地址空間的隨機化、指令集合的隨機化、數據存放形式的隨機化等。其發展規劃為三個里程碑:創建階段、評價/分析階段和部署階段,每個階段又分為近期、中期和長期目標。現在已經進入了中期目標的創建、評估和部署階段。在一系列戰略布局的推動下,美國從政府到企業再到學術團體很快形成合力,形成了明確的技術研發方向,系統推出了許多研究項目,MTD技術發展勢頭迅猛。
MTD技術的發展也面臨諸多挑戰,例如,系統開銷過高影響服務性能問題;虛擬化基礎設施本身的安全性;虛擬環境中移動目標的安全和彈性技術;自動變體技術等等。其中最致命的就是無法應對基於目標對象後門/陷門類的未知攻擊,這在基於相對優勢理論的全球化技術經濟生態和產業鏈專業化、精細化分工的當今世界,對於MTD技術而言幾乎是個無解問題,除非世界經濟徹底倒退回“自給自足”的年代。顯然,這既不現實也無可能。
