術語含義 由於工作狀況變動、外部干擾、建模誤差以及
網路攻擊 的緣故,實際網路空間信息系統或控制裝置運行過程的精確模型很難得到,不僅存在系統各種
故障 導致模型的不確定性,而且存在基於模型構造內軟硬構件內生安全問題的不確定攻擊行為,因此可以說,網路空間目標對象模型存在泛在化的廣義不確定性。如何設計一個軟硬體目標對象,使之在廣義不確定擾動下仍能維持設計的功能性能滿足期望的控制品質,也就是廣義魯棒控制,成為國內外信息技術和網路安全界科研人員的研究熱門課題。
網路空間廣義魯邦控制理論 網路空間廣義魯棒控制概念是中國科學家
鄔江興 院士於2013年提出,2017年初步形成理論框架,首先在2017年12月出版的《網路空間擬態防禦導論》中有相關的表述和套用;2018年11月出版的《網路空間擬態防禦原理—內生安全與廣義魯棒控制》正式提出了相關概念;基於此書中文版修訂的、2020年由Springer出版的英文版《Cyberspace Mimic Defense——Generalized Robust Control and Endogenous Security》更加系統化了該理論。
理論提出背景 由於網路空間信息系統或控制裝置中廣泛存在內生安全問題和廣義不確定擾動問題,信息系統或控制裝置的運營環境十分惡劣。尤其是基於目標對象內生安全問題的蓄意擾動,除了信息安全或數據安全遭受重大威脅之外,以
網路戰 為代表的制癱、制亂甚至直接造成目標對象物理損壞的戰術,使得信息系統的設計開始重視魯棒性能。例如提出了入侵容忍、可生存性、彈性或柔性等設計概念,試圖達成“即使攻擊成功也可能只此一次”的目標,給攻擊者維持攻擊鏈的可靠性與有效性造成挑戰。但是,在網路空間人-機攻防對抗中,攻擊者往往具有特殊的博弈優勢,在掌握目標對象一定的背景知識及可利用資源情況下,攻擊者除了可以採取精準的威脅方式外,還可以採用
試錯 或盲攻擊或
APT攻擊 等手法逐步降低防禦對象的初始信息熵,直至達成攻擊逃逸或制癱制亂或信息竊取的目的。因此,網路空間的魯棒控制與傳統意義上的魯棒控制內涵有所不同,前者需要同時具備二種能力,不僅要維持目標對象功能的健壯性還要保護目標對象信息或數據服務的
安全性 。外延也有所不同,現代魯棒控制的設計目標是找到在實際環境中為保證安全要求控制系統最小必須滿足的要求,一旦設計好這個控制器,它的參數不能改變而且控制性能可以得到保證。而面向網路空間安全的魯棒控制需要最大程度的發揮功能等價條件下配置資源多樣性、隨機性和冗餘性的優勢,控制器的參數需要可重構、可重定義甚至通過智慧型學習的機制自我調節,以便獲得模型在攻擊者視角下的不確定性。
基於非相似余度DRS構造發展的理論 非相似余度 (Dissimilarity Redundancy Structure,DRS)構造具有內在的、非魯棒性的抗攻擊屬性,能將單一空間共享資源機制下基於靜態目標
漏洞 後門 的“單向透明、裡應外合”式攻擊複雜度,提升到基於靜態多元目標漏洞後門的協同攻擊階段,使得針對冗餘執行體個體特徵的確定性攻擊,在給定的多模輸出矢量空間上,被擇多表決機制強制轉換成一個與冗餘規模、執行體間相異性、輸出矢量複雜度強相關的機率性事件。但是,DRS架構的抗攻擊性受下列條件或因素約束:①DRS假定冗餘執行體間的異構度足夠大,並期望消除任何暗功能交集;②構造內同時處於異常狀態執行體的數量需要滿足f≤(N-1)/2(N是異構執行體的總數)條件;③不考慮利用構造內後門或惡意代碼實施內外協同攻擊的情況;④擇多表決算法對多數或一致性攻擊逃逸存在判識盲區;⑤對輸出矢量異常的執行體除“掛起/清洗”外沒有其他的後處理機制;⑥尤其是DRS架構內各執行體的運行環境以及相關漏洞後門等的可利用條件是靜態確定的,且執行體的並行部署方式通常也不會改變攻擊表面的可達性。因而,理論上,攻擊者可以通過試錯方式達兩個目的,一是可逐個的攻陷存在可利用漏洞後門的執行體,使得構造內的異構執行體同時出現或使得處於異常狀態執行體的數量f大於(N-1)/2;二是利用執行體中的暗功能實現待機式協同攻擊或隧道穿越,再利用擇多表決機制的判識盲區實現攻擊逃逸。
不難看出,對DRS的攻擊成功經驗具有可繼承性,方法具有可復現性,攻擊效果具有可持續利用價值。 換言之,DRS架構的靜態性、確定性和相似性在非傳統安全領域表現出嚴重的基因缺陷,以致對廣義不確定擾動缺乏維持“初始
信息熵 不減”的能力,因而其抗攻擊性不具備穩定魯棒控制和品質魯棒控制的特性。
研究者發現,從信息熵角度觀察,攻防雙方實際上是圍繞防禦方初始信息熵的增減或維持展開的博弈。DRS構造的容侵屬性之所以缺乏時間穩定性是因為隨著針對性嘗試攻擊或試錯式攻擊的持續進行,構造內的初始信息熵因為沒有任何的自維持機制只能作熵減少運動,直至初始信息熵低至攻擊鏈能夠可靠地發揮期望的作用,構造的功能或防禦功效徹底喪失為止。不難推論,如果能在DRS架構中導入初始信息熵不減(或熵平衡)機制就能使之容侵屬性具有一定程度的魯棒性。例如,添加動態、隨機、多樣、重構或加密認證、入侵檢測、入侵預防等傳統防禦元素,或導入策略裁決、控制律反饋、可疊代收斂的魯棒控制機制,理論上應當能改變DRS運行環境的靜態性、確定性以及相似性在非傳統安全領域之基因缺陷。期望這種經“基因工程”再造後的控制構造和運行機制由於具有初始信息熵不減(包括熵平衡)特性,因而無論在容侵還是容錯方面都應該具有可量化設計、可驗證度量的穩定魯棒性和品質魯棒性。研究者將這種創新的控制構造命名為“動態異構冗餘架構”(Dynamic Heterogeneous Redundancy,DHR)。
DHR架構示意圖 基於DHR模型的廣義魯棒控制 1. 假設條件
在闡述基於DHR構造的廣義控制原理之前明確假設條件是必要的。①以非相似余度DRS作為基礎模型;②構造內所有軟硬
構件 都允許存在差模形態的漏洞,除反饋控制環路外,所有構件在一定條件下,都允許存在功能不相同或利用方式不同的後門或
惡意代碼 ;③入侵攻擊既包含基於構造內部漏洞的外部攻擊,也包括由內部後門等暗功能蓄意發起的內外部協同攻擊;④可重構或可配置執行體間不存在任何形式的可互動的通信鏈路和連線方式,執行體間具有物理或空間上的獨立性;⑤多模裁決器輸出狀態除非是期望狀態,否則反饋控制總是力圖通過變換當前運行環境、裁決算法或執行體實現構造或資源配置的方式使裁決結果達成期望的狀態;⑥給定攻擊條件下,只要裁決器能感知到可重構執行體的輸出矢量間存在差模表達,構造內多樣化場景的疊代過程總能將差模狀態
收斂 ;⑦反饋控制回響時間或者多樣化防禦場景疊代收斂時間遠小於攻擊持續時間。
2. 組成與功能
基於DHR模型中,輸入代理需要根據
負反饋 控制器的指令將輸入序列分發到相應的(多個)功能等價體(實踐上有時會忽略這一環節);可重構執行體集合中受到輸入
激勵 的執行體,在大機率情況下應當能夠完成模型系統設計賦予的功能/性能且可獨立產生滿足給定語義、語法甚至語用的多模輸出矢量。需要強調的是:①這裡所指的多模輸出矢量是廣義的,也就是說在輸入激勵條件下,執行體產生的任何直接或間接的回響信息或執行體內部處理過程與環境狀態的改變信息都可以用作輸出矢量;②多模裁決器根據裁決參數或算法生成的裁決策略,研判多模輸出矢量內容的合規性情況並選擇或形成輸出回響序列,一旦發現非期望裁決狀態就激活負反饋控制器;③負反饋控制器被激活後將根據控制參數(
控制律 )生成的控制算法決定是否要向輸入代理髮送替換(遷移) “差模輸出”執行體的指令,或者指示疑似問題執行體實施線上/離線清洗恢復操作,包括觸發相關的後台處理功能等,或者對異常執行體本身進行功能等價條件下基於構件的重組/
重構 /重配等多樣化操作,這一活動過程直至
輸出矢量 不合規狀態在多模裁決環節消失或此種情況發生頻度低於給定閾值時暫停。這種疊代式的動態收斂過程中也包括有意識的更換多模裁決算法,多維度的印證可能存在判決盲區的判決結果之相對正確性。因為DHR從機理上就認為即使是輸出矢量相同的多數執行體在小機率情況下也可能存在攻擊逃逸的情況,需要像問題執行體那樣被策略性的選擇下線清洗,或通過重組/重構等手段實現防禦場景的多樣化改變,以後向驗證方式甄別出攻擊逃逸狀態且能可靠解脫(否則共模逃逸將成為穩態事件),儘管在多模矢量選擇輸出方面仍然遵循當前裁決算法的認定結果。通常情況下可以認為,DHR模型的暫穩態狀態與DRS運行場景同構,並具有相同或相似的可靠性和抗攻擊性。但當多模輸出矢量不合規時,DHR模型則表現出可疊代收斂於多模裁決器期望狀態或發生頻度低於給定閾值的魯棒控制特性。換言之,不論何種原因,DHR模型一旦感知到多模輸出矢量存在差模情況,就試圖通過策略調度當前執行體集合中的元素,或對問題執行體本身作清洗恢復等改變運行環境的操作,或激活功能等價條件下的多維動態重構等機制,自動的選擇合適防禦場景以消除非期望的裁決差異。顯然,這一過程自然引入的動態性、多樣性和隨機性操作使得基於構造的運行場景具有可疊代收斂的性質。需要強調的是,DHR還可以根據內外部控制參數形成的強制性調度指令觸發負反饋環路並產生相應的調度操作,目的是擾亂或破壞攻擊者利用多模裁決“疊加態”的判識盲區(當輸出矢量完全一致或無輸出時),通過已植入的病毒木馬等實施隱匿的且可穩定維持的待機式協同逃逸。外部或內部的控制參數可能源自某一隨機函式發生器,操作控制參數也可能取自目標系統內部不確定狀態信息形成的哈希值,例如當前活躍進程數、CPU占用情況、記憶體分配情況或網路流量均值等。DHR模型不僅繼承了DRS原有的入侵容忍和錯誤容忍屬性並有效避免了後者的基因缺陷,通過導入廣義魯棒控制功能可以顯著地增強架構自身的可靠性與抗攻擊性,並使攻擊複雜度從DRS架構的“非配合條件下的靜態異構多元目標協同一致攻擊”門檻,提升到“非配合條件下的動態異構多元目標協同一致攻擊”高度,指數量級上升的協同攻擊難度會令外部攻擊者或內部滲透者很難用試錯、排除或隧道穿越等手段找到可靠的逃逸方法。特別是攻擊者視角下的測不準或不確定構造效應會迫使針對構造內生安全問題的試錯攻擊,除非能“一擊成功”,否則多模裁決環節只要感知到輸出矢量出現非期望狀態,負反饋控制機制將被激活,當前服務環境或產生差模輸出的執行體構造場景(包括暗功能交集)將被改變,t時刻獲得的場景信息或者攻擊的階段性成果,很可能在t+x時刻就不再具有可利用或可繼承的價值。換言之,DHR在禁止任何輸出矢量異常的同時通常要根據給定的策略以疊代收斂方式改變當前的運行環境,使得試錯戰術的運用既無法評估t時刻的攻擊效果也無法滿足環境不變性的前提條件。
如前所述,由於動態性和隨機性最易破壞或干擾需要多方參與且有一致性或協同性要求的攻擊行動(特別是在非配合條件下或缺乏同步機制的情況下),所以在DRS模型中引入基於
閉環 反饋魯棒控制機制,使動態性、隨機性和多樣性等基礎防禦元素的作用能夠得到充分發揮,可有效地解決其擇多判決的盲區問題,並能在應對試錯或待機協同或隧道穿越攻擊等方面得到根本性的改善,使得非特異性面防禦和特異性點防禦的融合目標實現成為可能。換句話說,DHR模型對於瓦解或擾亂“非配合條件下的動態多元目標協同一致攻擊”可以發揮“四兩撥千斤”的構造效力,並能顯著降低單一的擇多表決算法的逃逸機率,顯著增強對廣義不確定擾動的穩定魯棒性與品質魯棒性。實際上,對於攻擊者而言,若想利用DRS架構內的靜態暗功能交集實現逃逸已絕非易事,更不用說在暗功能交集不確定的DHR模型中產生多數一致且能逃逸的輸出矢量了,兩者間的攻擊難度差異是指數量級的。
3. 核心機理
DHR模型以DRS構造為基礎,並導入“測量感知、誤差識別、反饋疊代”的魯棒控制機制和基於多模策略裁決的策略調度、多維動態重構多樣化場景,能夠在模型架構一定且擾動範圍已知情況下,將模型的廣義不確定攝動(擾動)範圍疊代收斂在期望閾值之內,以便經濟的實現架構內“初始熵不減”的廣義魯棒控制目標。
多模策略裁決欲達成三個基本目的。一是測量感知輸出矢量層面表現出的廣義不確定擾動;二是通過多種裁決策略的疊代套用增強輸出矢量選擇操作的可信性,以及極端情況下決定輸出矢量的選擇策略(例如多模輸出矢量出現兩兩不一致時的情況);三是一旦發現輸出矢量不一致情況就激活負反饋控制機制。
反饋控制需具備四個基本功能。一是依據當前裁決結果和相關設定信息及歷史統計數據作後向驗證操作實現“差模執行體”的定位;二是通過執行體或防禦場景與攻擊場景快照的歷史性分析,策略性的調度合適的執行體上線或設定相應的防禦場景;三是指令下線執行體/防禦場景做統計分析、例行安檢、清洗恢復、重構重組重配、待機同步等操作;四是疊代收斂過程的記錄與分析。
疊代收斂期望實現的總目標是,使DHR模型具備 “測量感知、誤差識別、反饋疊代”等廣義魯棒控制的基本功能。分目標有三個:一是儘可能地減少模型疊代收斂回響時間,因為此參數與模型內初始熵減少或防禦能力降級或可用性降低的持續時間強相關;二是可以藉助多樣性防禦場景的疊代操作來顯著降低理想相異度(諸如DRS那樣)的工程實現要求(因為問題場景的疊代替換處理要比防禦場景間的完全異構設計容易得多);三是最大程度的增加模型內的測不準防禦迷霧,尤其是要從機制上避免出現穩定逃逸的狀態。
多維動態重構包括四個方面的基本目標。一是利用清洗恢復、卷回重啟等簡便方式就能有效瓦解基於記憶體注入、盲協同或複雜狀態轉移機制的攻擊鏈;二是藉助多核、眾核運行環境下的虛擬化技術經濟地增強執行體自身的多樣化防禦場景;三是利用高度發展的軟硬體可定義、可重構技術增強執行體層面的多樣化;四是差異化的為執行體配置傳統安全技術,可以顯著的增強執行體間的異構度且與安全技術本身的有效性與可靠性弱相關。
4. 魯棒控制與問題規避
從工程實現意義上說,DHR基於策略判決的魯棒控制機制能在給定服務功能不變的條件下,對目標執行體或構造場景實施動態替換(遷移)、清洗恢復、啟動相關後台處理機制(例如
查毒 防毒 、漏洞後門掃描修補)等策略調度或處理操作;或對疑似問題執行體進行功能等價條件下構件級或算法級的重構、重組、重建、重定義等改變;或使目標對象的多樣化、動態化和隨機化防禦場景和攻擊資源(自然也包括共生或衍生的暗功能交集) 更加難以預測與利用,最終能使多模裁決環節出現輸出矢量不合規的狀況疊代收斂於設定的閾值之內;或藉助可歸一化的魯棒控制功能抑制已知的未知安全風險乃至未知的未知安全威脅(當然也包括隨機性的差模和共模故障),使之既能管控廣義不確定擾動,又獲得了“點面結合的融合式防禦屬性”。
DHR模型的設計原則是設法“規避”基於內生安全問題的威脅而不企圖“歸零”內生安全問題本身(儘管具體套用中仍然會追求這一目標)。其初衷並非想用一個理想的防禦場景去應對任何一種或任何一次攻擊事件,只是期望能獲得“兵來將擋水來土掩”的系統效果即可,這使得在不違背哲學原理的情況下,用小尺度的多樣化資源空間就可以等效地達成工程期望條件下的“初始熵不減”之目標,這為DHR廣義魯棒控制機理的經濟性運用奠定了重要的實用化基礎。不僅如此,DHR還能夠通過疊代收斂機制改變當前服務集內暗功能交集,這意味著即使面對網路空間“有毒帶菌”的惡劣生態環境,我們仍然可以用比較輕鬆的多樣化機制來弱化DRS構造在相異性設計方面過於苛刻的工程管理要求,這對簡化實現複雜度、降低設計代價和套用門檻及產品全壽命周期使用成本、充分利用高性能但
供應鏈 可信性不能確保的
COTS 級軟硬構件等,具有十分重要的工程套用意義。
5. 疊代收斂問題
以上表述在反饋控制回響時間或者多樣化防禦場景的疊代收斂時間遠小於攻擊持續時間的假設前提下是成立的。但是,如果攻擊持續時間小於反饋控制回響時間就可能出現三種情況。一是,反饋控制所更換的防禦場景對本次、本類型攻擊是否有效無法認定,因而也無法判定當前構造環境內是否已達成初始信息熵不減的目的。二是,如果更換防禦場景的動作在下一次攻擊之前還沒有完成,此時服務環境一定處於熵減少和可用性降低狀態。三是,在攻擊持續時間內防禦場景的疊代更換操作還未達成收斂,也就是說尚未找到可有效應對此次、此類攻擊的防禦場景。情況三又可細分為,①存在可用的防禦場景,只是攻擊持續時間內未能完成期望場景的匹配;②不存在有效的防禦場景,疊代操作實際上無法達成期望的收斂效果。除了情況一外,構造環境內都處於熵減少狀態。顯然,當防禦場景資源一定情況下,儘可能的提高反饋控制和疊代收斂速度對於增強系統抗攻擊性,維持構造的“初始信息熵不減”和可用性有著十分重要的意義。
如上所述,DHR模型是一種以DRS架構為基礎、以可重構(或軟硬體可定義)執行體為特徵、以策略裁決負反饋為魯棒控制機制、以廣義動態性為運行環境變化手段,具有高可靠、高可用和高可信“三位一體”內生屬性的廣義魯棒控制架構技術。其核心思想是:依據“構造決定安全”的公知,在保證服務集功能不變條件下,導入基於多模裁決的策略調度和多維動態重構魯棒控制機制,賦予運行環境動態可重組、軟體可定義、算法可重構的功能屬性,具有攻擊者視角下的測不準效應,使目標運行場景在抑制廣義不確定擾動方面具備可疊代收斂的動態性、隨機性、多樣性。同時,嚴格隔離執行體之間的協同途徑或儘可能地消除攻擊者可資利用的同步、共享機制,最大限度地發揮基於動態異構冗餘環境、非合作模式下、多模裁決對蓄意利用內生安全問題的不確定威脅之規避作用,顯著提升軟硬體差模故障或隨機性失效的容忍度。換言之,期望通過DHR模型獲得多位一體的內生安全功能,既能有效抑制基於目標對象內生安全問題的非配合或差模攻擊擾動,又能保證即使出現協同攻擊逃逸情況仍能夠控制模型攝動範圍在給定的閾值之內;不僅能顯著地增加攻擊鏈的不確定性,還能充分增強包括高可靠、高可用、高可信一體化機制在內的廣義魯棒控制服務或套用性能;期望能顯著弱化苛刻的異構性設計要求,使得DHR模型能夠成具有廣泛套用前景的新型
使能技術 。總之,希望能以基於構造效應的內生安全機制將抗攻擊性問題轉化為非配合條件下、動態異構冗餘目標間的協同攻擊難度,最終能歸一化為可用機率表達的可靠性問題,且能用成熟的可靠性與自動控制、魯棒控制方法統一處理之。