网络空间拟态防御理论及核心方法 通过国家863计划验证 将颠覆后门漏洞的攻势战略

前段时间刚看了习大大的视频 习近平:加快推进网络信息技术自主创新 朝着建设网络强国目标不懈努力 ,然后又了解到 国家网络空间安全重点专项 2017年度项目申报指南征求意见稿 ,没曾想这两天都看到成果了。

新华社上海11月13日电(黎云、杨森)经科技部授权上海市科学技术委员会组织的测试评估,由解放军信息工程大学、复旦大学、浙江大学和中国科学院信息工程研究所等科研团队联合承担的国家“863计划”重点项目研究成果“网络空间拟态防御理论及核心方法”近期通过验证,测评结果与理论预期完全吻合。这标志着我国在网络防御领域取得重大理论和方法创新,将打破网络空间“易攻难守”的战略格局,改变网络安全游戏规则。

从海洋生物“拟态” 动态异构冗余体制架构

拟态,是指一种生物模拟另一种生物或环境的现象。2008年,中国工程院院士邬江兴从条纹章鱼能模仿十几种海洋生物的形态和行为中受到启发,提出了研发拟态计算机的构想。在科技部和上海市的共同支持下,拟态计算原理样机研制成功并入选“2013年度中国十大科技进展”。在此基础上,研发团队针对网络空间不确定性威胁等重大安全问题,开展基于拟态伪装的主动防御理论研究并取得重大突破,所提出的“动态异构冗余体制架构”,能够将基于未知漏洞后门的不确定性威胁或已知的未知风险变为极小概率事件。

2016年1月起,由国内9家权威评测机构组成的联合测试验证团队,对拟态防御原理验证系统进行了为期6个月的验证测试,先后有21名院士和110余名专家参与不同阶段的测评工作。测评专家委员会发布的《拟态防御原理验证系统测评意见》认为:

拟态防御机制能够独立且有效地应对或抵御基于漏洞、后门等已知风险或不确定威胁。受测系统达到拟态防御理论预期,并使利用“有毒带菌”构件实现可管可控的信息系统成为可能,对基于“后门工程和隐匿漏洞”的“卖方市场”攻势战略具有颠覆性意义。

拟态安全防御的技术特点

总结起来,拟态安全防御大概有8大特点,

一是目标随动增加攻击难度,针对攻击链依赖传统系统架构和运行机制特有的脆弱性,组合应用多维重构技术和动态化、随机
化、多样化安全机制,扰乱或阻断攻击链,增加攻击难度,实现不依赖先验知识的主动防御。

二是容忍“带毒含菌”的构件,在所构建的动态化、非确定和非相似的“迷局”中,允许一定程度地使用“带毒含菌”的器件、部件或软硬件构件,并能够做到安全风险可控,可缓解自主产业能力不足的困境。

三是大的系统熵值,利用函数化的硬件结构和动态化的软硬件运行机制的组合应用, 再加上时间维的变量, 可以构成相当大的动态空间, 以有效降低利用漏洞和后门进行攻击的可靠性。对于预先植入或预留的木马或病毒, 也会造成相似的难度。

四是开放内核安全机制,内核的安全风险并不取决于“零缺陷”设计实现或算法保密等外在因素,只取决于系统当前的资源状态、服务质量、运行效率、异常情况、流量特征和时间基准等非封闭动态参数的随机性,这是我们达到其内核安全性的依据。

五是融合防御体系,能够放大安全防御措施效能,有机整合现有(或未来可能发展出)的安全防御手段,通过与拟态机制的
深度组合运用,构成主被动融合防御体系,倍增各种安全技术的实际效能。

六是固有的高性能计算属性,作为内核的拟态计算架构具有高效计算的固有特性,可为防御的实时性要求提供强有力的系统结构层面的支撑。

七是冗余获得的高可靠性,拟态计算架构固有的冗余性,使拟态安全防御系统具有内在的可靠性,根据安全性需求可以调整冗余度,控制系统成本,权衡可靠性指标。

八是多余度运行的新效应,基于资源冗余配置的冗余资源应用模式,能够形成共生协同、N变体、等效多变体、异构环境迁移等特殊的运行机制, 可以为“容毒”“容侵”运行和及时发现、抑制、阻断及清除木马和病毒提供创新方法空间。

更多详细介绍,请见文末的邬江兴的报告下载……

网络空间拟态防御理论与方法有利于防御未知攻击

  邬江兴介绍说,我国是遭受网络攻击最严重的国家之一。据国家互联网应急中心数据显示,仅2015年的抽样监测,我国有1978万余台主机被10.5万余个木马和僵尸网络控制端控制。由于现有的网络防御体制采用的是“后天获得性免疫”机制,先“亡了羊”,才能通过打补丁、封门堵漏来“补牢”,对于不能感知和认知的网络攻击几乎不设防,而拟态防御理论与方法能够有效应对这些问题。

  邬江兴还表示,网络空间拟态防御理论与方法是全人类的共同财富,中国科学家愿意将这一技术与世界分享,为构建网络空间命运共同体作出贡献。

原文标题“我国网络空间防御技术取得重大突破 将改变网络安全游戏规则”

点击图片下载

相关文章请参看

国家网络空间安全重点专项 2017年度项目申报指南征求意见稿

视频 习近平:加快推进网络信息技术自主创新 朝着建设网络强国目标不懈努力

发表评论