【今日热搜】拟态防御

标题下「网信高邑」可快速关注

拟态，煎炸油过滤原理

是自然界中一种生物

伪装成另一种生物，

或伪装成环境中其他物体

以获取生存优势的能力。

受生物现象启发，

2008年，中国工程院院士邬江兴

率先提出和创建了

网络空间拟态防御理论。

经过十多年研发，

已经具备了大规模产业化基础。

什么是拟态防御

网络空间拟态防御（Cyber Mimic Defense，CMD），以下简称“拟态防御”，是邬江兴院士研究团队首创的主动防御理论，可为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁，提供具有普适创新意义的防御理论和方法。拟态防御为实现网络安全再平衡战略提供了全球可以依赖的理论和技术基础，是中国的创造，也是网络世界的福音。

（《拟态防御：解决网络空间安全隐患》 来源：新华网）

基本目标与愿景

基本目标：要在后全球化时代、开源开放产业模式、“相互依存”关系常态化的生态环境中，基于“有毒带菌”不可信、不可控的软硬构件，搭建基于创新的动态异构冗余体制的信息系统，并能提供不依赖但不排斥传统防御方法的安全可信可靠的信息服务。基于创新理论和方法，首先将确定性攻击转变为效果不确定的攻击事件，其次将效果不确定性事件再转换成为概率可控的可靠性问题，试图从根本上降低不确定威胁对目前网络攻防不对称游戏规则的影响，开辟网络安全再平衡的新方法和新途径。

愿景：能够应对拟态界内未知漏洞后门等导致的未知风险或不确定威胁；拟态防御的有效性由架构内生防御机制决定而不是依赖现有的防御手段或方法；不以拟态界内软硬构件的“可信可控”为前提，适应全球化开放生态环境；能够融合现有的任何安全防护技术并可以获得超非线性的放大防御效果。期望解决基于不可信供应链构建“自主可控、安全可信”系统的“网络时代经济学”难题；最大程度降低攻击者经验的可复现性和传播价值；显著提高攻击者入侵难度和获利代价，逆转“易攻难守”格局。最终寻求“构造决定内生安全”的革命性防御能力。

拟态防御网络设备

1.拟态域名服务器

域名服务系统（DNS）是网络空间各类业务服务的“查号台”，用于实现网络域名到IP地址的翻译转换。域名服务是一种网络应用层资源的寻址服务，是其他网络应用服务的基础。攻击者可以基于域名协议及相关服务或防护系统的脆弱性，利用通信协议和软硬件的未知漏洞后门，通过篡改域名缓存数据或协议报文等技术手段实现域名劫持，冒名顶替包括政府、金融、公安、电子商务等网站在内的任何网站，实施虚假信息发布、木马病毒无感植入和机密数据窃取等恶意攻击。

拟态域名服务器以遏制域名解析服务漏洞后门的可利用性、建立内生安全防御机制、大幅提高攻击者的攻击难度和代价为出发点，变压器耦合原理可以在不改变现有域名协议和地址解析设施的基础上，通过拟态防御设备的增量部署，能够有效防御针对域名系统的域名投毒、域名劫持攻击等各种已知和未知域名攻击，能够提供安全可靠的域名解析服务。

2.拟态路由器

路由是网络信息交互的“大脑”，决定网络数据从源到目的地端到端的路径。路由器是信息高速公路的“立交桥”，依靠路由计算为网络数据选路导航，支撑网络信息交互。在整个互联网研究领域中，路由器特别是核心路由器的相关技术始终处于核心地位，其发展历程和方向是互联网发展的缩影，同时也是网络空间攻防对抗的关键点和制高点。作为一种网络专用设备，路由器一般没有防火墙、防病毒等相关安全防护手段，大多数路由器对恶意攻击基本不设防或无法设防。而且由于设计与实现环节的代码量极大，其潜在的漏洞众多。一旦攻击者控制了路由器，就可发起大规模的中间人攻击，进行敏感数据窃取或篡改。此外，通过对路由器的攻击，可实现对网络的大规模致瘫。

拟态路由器在其架构中引入多个异构冗余的路由执行体，通过对各个执行体维护的路由表项进行共识裁决，生成拟态路由器的路由表；通过对执行体的策略调度，可以实现拟态路由器对外呈现特征的不确定变化。在满足一定差异化设计的前提下，不同的执行体存在完全相同漏洞或后门的概率极低，攻击者即使控制了部分执行体，其恶意行为也很容易被拟态裁决机制所阻断，从而极大地提高路由器应对网络攻击的能力。

3.拟态web虚拟机

web是网络提供服务的主要窗口，为网络提供最为广泛的业务应用。web服务器相当于网络的“便利店”，web云服务相当于网络的“商场/超市”。web虚拟机与普通web服务器一样，为网络用户提供网上信息浏览服务。随着云计算和虚拟化技术的发展，越来越多的传统web服务器开始采用虚拟机的形式部署在云环境中，以大幅降低网站的建设和维护成本。

web虚拟机使得众多中小企业甚至个人用户也能在互联网上提供网站服务。除了要面对传统针对web服务架构的篡改网页、植入后门等瘫痪目标服务器或窃取用户敏感信息的安全威胁以外，web虚拟机还要面对由虚拟层引入的其它安全风险。盗用账号、注入、跨站、缓冲区溢出以及执行任意命令等是web服务器比较常见的安全漏洞，侧信道攻击、虚拟管理层漏洞是由虚拟环境引入的新的安全风险。

拟态web虚拟机利用云平台部署空间上的优势，构建功能等价、多样化、动态化的异构虚拟web服务器池，采用动态执行体调度、数据库指令异构化、多余度（共识）表决等技术，建立多维动态变换的运行空间，阻断攻击链，大幅增加传统web服务和虚拟环境中的漏洞及后门利用难度，在不影响web服务性能的前提下，保证服务功能的安全可信。

4.拟态云服务器

云服务器是在虚拟机的基础上进行了升级，虚拟机的弊端在于其最大配置受限于服务器本身的配置，而且如果要更改虚拟机的配置，需要关机进行操作，这对于持续性访问比较高的网站是无法接受的。云服务器是将N台服务器的资源进行整合，将N台服务器的资源整合为一个资源池，用户可以创建相比与虚拟机更大配置的资源，而且可以实时更改配置，不需要进行关机操作，即便资源池本身的容量不够，也可以直接再重新上线多台服务器，对整个资源池进行扩容。

拟态化云服务器通过构建功能等价的异构云服务器池的方法，采用动态执行体调度、多余度（共识）表决、异常发现、线上（下）清洗等技术，及时阻断基于执行体软硬件漏洞后门等的“差模”攻击，使得蓄意攻击难以奏效。

5.拟态防火墙

防火墙是设置于网络关口的传统安全设备，为网络各类业务应用提供“安检准入”服务。防火墙是一种由软件和硬件设备组合而成的、部署在内部网与外部网之间、专用网与公共网之间的网络安全系统。防火墙是网络边界的第一道防线，也是众多网络安全产品中应用最为广泛的一种。通过部署防火墙产品，可以保护内部网免受非法用户的侵入，它能允许管理员“同意”的人和数据进入你的网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。防火墙对数据流进行过滤与控制时，其自身的协议栈或者支撑系统可能存在健壮性漏洞、未知漏洞、后门等有可能被高水平黑客利用，出现“防火墙不防火”的境况。

拟态防火墙针对防火墙产品在web管理层面、数据流处理层面可能存在的漏洞后门，运用拟态防御技术，以动态异构冗余架构（DHR）为指导，对传统防火墙架构进行改造后，可以在管理、数据层面增加网络攻击者的攻击难度，有效防御“安检准入”中的内鬼侵扰，提供切实可信的准入控制保障。

探索与实践

我国自主研发的世界首套拟态域名服务器上线运行

2018年，河南省通信管理局会同解放军信息工程大学、郑州市景安网络科技股份有限公司在郑州举行全球首个成套拟态防御网络设备上线仪式。这标志着我国自主创立的拟态防御理论及其应用技术在实用化和产业化进程中迈出了里程碑式的步伐，将有效打破网络空间“易攻难守”的战略格局，改变现有的网络安全游戏规则。

我国拟态构造工业互联网成功抵御95万次攻击

2020年12月22日，首届“之江杯”工业互联网内生安全防御国际精英挑战赛在浙江杭州落下帷幕。历经54个小时的线上酣战，来自美国、德国、俄罗斯、日本、韩国和我国的40支“白帽黑客”战队，对之江实验室开发的系列化拟态构造工业互联网核心设备发起95万次高强度攻击，无一成功得手。“白帽黑客”指用黑客技术来促进网络防御技术进步的安全卫士。此次比赛中，各战队的攻击靶标是一套参照1000兆瓦超临界燃煤火力发电厂搭建的微缩装置，该装置采用基于网络空间内生安全理论的拟态防御技术，重构了关键控制系统。

《中国网络安全产业白皮书》提出提升拟态防御等安全技术水平

2022年，中国信息通信研究院发布《中国网络安全产业白皮书》，对网络安全产业发展提出了建议，包括提升零信任、可信计算、拟态防御等安全技术水平，逐步构建全方位的网络安全防护体系。

原标题：《【今日热搜】拟态防御》