本文提出了评估拟态防御产品内生安全增益的度量模型,涵盖拟态基元、系统和产品层面的评估指标,旨在量化安全防御效果,为内生安全增益评估提供参考。
目录
摘要
基于拟态防御技术的信息通信技术产品通过引入动态异构冗余,实现对未知漏洞、后门、病毒或木马等威胁的非特异性免疫。为有效评估拟态防御产品的内生安全增益,基于现有拟态防御产品的共性特点,通过研究影响拟态防御产品安全增益的关键要素和属性,提出评估拟态防御产品内生安全增益的评估指标度量模型,为拟态产品开展内生安全增益评估提供参考。
关键词: 内生安全; 拟态防御; 内生安全增益评估指标度量模型
0 引言
随着网络攻击者的攻击手段不断变化和提升,网络空间安全对人类生活与生产活动造成了严重的威胁。现行的防御体系是基于威胁特征感知的精确防御,遵循“威胁感知,认知决策,问题移除”的防御理论和技术模式,需要攻击来源、攻击特征、攻击途径、攻击行为等先验知识的支撑,在应对基于未知漏洞后门或病毒木马等未知攻击时存在防御体制和机制上的脆弱性[1]。
针对传统防御技术难以应对未知漏洞、后门、病毒或木马等威胁这一问题,邬江兴[2-3]等于2013年提出基于内生安全机制的网络空间拟态防御思想,其基本思想是建立一个由输入输出代理、异构执行体集、拟态调度器、拟态裁决器和反馈控制器等组成的动态异构冗余(Dynamic Heterogeneous Redundancy,DHR)架构。如图1所示,通过异构执行体的异构性使攻击者很难同时多点攻破,通过策略性的动态变化使得攻击者的攻击经验难以复制或继承,呈现出对目标体机构和运行环境的测不准效应,从而有效实现对未知威胁的感知和防御[4]。
图1
图1 动态异构冗余架构
为了衡量拟态防御产品的内生安全增益以及拟态结构的复杂性代价与安全防御效果的对比提升,需要对拟态防御产品进行内生安全增益评估,量化拟态防御效果,从而更为直观地评价拟态防御产品的防御能力。
1 内生安全增益评估指标度量模型
1.1 评估对象
经过多年的技术验证和演进发展,目前国内拟态防御产品体系日益完备,产品类型覆盖多维度、多领域,包括支持拟态防御功能的路由器、交换机、防火墙、Web服务器、域名服务器、云服务等系列化拟态防御产品[5]。为有效评估现有系列拟态防御产品的内生安全增益,本文研究建立了针对现有拟态防御系列产品的通用内生安全增益评估指标度量模型。
1.2 构建原则
在构建内生安全增益评估指标度量模型时,评估指标的选取和建立应遵循以下原则。
1.2.1 全面性原则
选取的评估指标应能对其进行定量处理,给出具体数值或能进行排序,这样才能实施量化评估。对于个别无法量化的指标,应能够通过主观判断进行评价。评估指标体系应能全面反映信息系统的各个方面,特别要把反映系统效能的关键性指标选准、选全,这样才能对系统有一个客观、合理、全面的评估。
最低0.47元/天 解锁文章
扫一扫
6316
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
