融合式防禦

  融合式防禦(Fusion Defense,FD)是指“點”防禦功能與“面”防禦功能的一體化呈現之模式,兩者間通常不可分割且屬於目標對象本徵功能的一部分。該技術概念由我國科學家鄔江興院士歸納提出,套用於網路空間安全領域,其靈感來源於自然界生物免疫系統的防禦機理。

在自然界生物的免疫系統內,既具有不依賴抗原特徵的面防禦又擁有通過後天學習機制(產生抗體)獲得點防禦的特性。例如,脊椎生物先天性的非特異性免疫與後天的獲得性特異性免疫就是融合式防禦體制機制的典範。

基本介紹

  • 中文名:融合式防禦
  • 外文名:Fusion Defense,FD
  • 所屬學科網路空間安全
  • 靈感來源:自然界生物免疫系統防禦機理
概念,融合式防禦特徵,融合式防禦經典套用,

概念

生物學意義上的非特異性免疫,它是指脊椎動物(或人類)在漫長進化過程中獲得的一種與生俱來的遺傳特性,而由其衍生的特異性免疫則需要經歷抗原的反覆刺激過程才能獲得。自然界相關物種的非特異性免疫力對各種入侵的病原微生物能夠作出“面”防禦反應,同時在特異性免疫的激活和抗體形成過程中也起著重要作用。其特點如下:
(1) 作用範圍廣,機體對入侵抗原物質的清除沒有特異的選擇性;
(2) 反應快,抗原物質一旦接觸機體,立即遭到機體的排斥和清除;
(3) 有相對的穩定性,既不受入侵抗原物質的影響,也不因入侵抗原物質的強弱或次數而有所增減;
(4) 有遺傳性,生物體出生後即具有非特異性免疫能力,並能遺傳給後代;
(5) 脊椎動物特異性免疫建立在非特異性免疫的基礎上,因而,特異性免疫和非特異性免疫機制不能截然分開。從個體情況來看,當抗原物質入侵機體以後,首先發揮作用的是非特異性免疫,而後產生特異性免疫。
特異性免疫又稱獲得性免疫,這種免疫通常只針對確定性病原。需要經後天感染(病癒或無症狀感染)或人工預防接種(菌苗、疫苗、免疫球蛋白等),使機體獲得抵抗感染的抗體。一般要經微生物等抗原物質反覆刺激後才能形成(如免疫球蛋白、免疫淋巴細胞),形成後能對確定性抗原起到特異性反應。其特點如下:
(1) 特異性,機體的二次應答只能針對再次進入機體的抗原,而不能針對其他初次進入機體的抗原;
(2) 免疫記憶,免疫系統對初次抗原刺激的信息可留下記憶。例如,淋巴細胞一部分成為與入侵者作戰的效應細胞,另一部分分化成為記憶細胞進入靜止期,留待與再次進入機體的相同抗原相遇時產生抗體;
(3) 個體特徵,特異性免疫是在機體出生後,在非特異性免疫基礎上經抗原的反覆刺激而建立的個體保護功能,但與非特異性免疫不同,存在質和量的差別,即免疫力存在個體間的高低差別;
(4) 正反應和負反應,一般情況下,產生特異性抗體並發揮免疫功能的稱為正反應。某些情況下,對再次抗原刺激不再產生針對性抗體時,稱為負反應,又稱免疫耐受性
(5) 多種細胞參與,針對抗原刺激的應答主要是T細胞和B細胞,在完成免疫的過程中還有其他一些細胞,如巨噬細胞粒細胞等的參與。
在網路空間安全的現有手段中,尚沒有形成融合式的防禦模式。儘管技術方法五花八門,但大多屬於“亡羊補牢”式的後天免疫體制機制,即需要在獲得關於攻擊者的先驗知識或行為特徵信息的情況下,才能實施比較精準的“點”防禦。加密認證作為底線防禦措施,雖然屬於點防禦技術但也能起到面防禦的功效,前提條件是加密認證的宿主系統本身是安全可信的,但工程上很難確保這個前提總是成立的,傳統的主流做法還是用“點防禦”的“集合”去應對面防禦的挑戰。近些年興起的各種動態防禦技術是將可能被利用的攻擊資源動態化,使攻擊者很難摸清目標對象防禦場景、鎖定攻擊目標,使攻擊鏈失去穩定性。本質上雖屬於面防禦的範疇,但對利用後門/陷門的攻擊在機理上仍然無效。

融合式防禦特徵

1.  基於同一技術架構和運行機制,既能獲得不依賴攻擊者先驗知識和行為特徵信息的面防禦功能,又能達成基於威脅特徵感知的點防禦功能;
2.  兩種防禦功能不僅源於同一個技術架構,而且源於同一個內源性防禦效應,兩種功能具有不可分割性;
3.  融合式防禦屬於內生安全功能,與目標對象的本徵功能是一體化實現的;
4.  融合式防禦既可以應對不確定的人為攻擊,也可以有效抑制不確定的隨機性故障或失效。即融合防禦能為目標對象一體化的提供高可靠、高可信、高可用的功能或性能。

融合式防禦經典套用

   網路空間擬態防禦是融合式防禦的經典體現。信息系統或控制裝置可以運用動態異構冗餘構造(又稱擬態構造)和運行機制形成的內源性“防禦迷霧”,同時達成以下目標:
1.  其點面防禦功能屬於目標對象的本徵功能;
2.  擬態防禦的有效性和可靠性既不依賴關於攻擊者的先驗知識與特徵信息,也不依賴(但可融合)傳統安全技術的防禦效果;
3.  可為目標對象提供三位一體的高可靠、高可信、高可用使用功能/性能;
4.  其點面融合的防禦功能具有不可分割性;
5.  擬態防禦的安全性可量化設計、可驗證度量。

相關詞條

熱門詞條

聯絡我們