论文阅读——(邬江兴院士) 网络空间内生安全综述 Cyberspace Endogenous Safety and Security

Cyberspace Endogenous Safety and Security

——网络空间内生安全（邬江兴）

1 简介

• 大多数安全威胁是由外部原因（即人为攻击）和内部原因（即所谓的“内生安全问题”）相互作用造成的。文章阐述了内生安全的必然性，阐述网络空间内生安全的问题的概念和特点，指出内生安全问题本质上是矛盾的——指出解决内生安全问题必须要用系统自身的内生安全效应

2 网络空间内生安全问题

2.1 内生安全问题的定义和含义

• 当代计算技术的发展虽然使人类步入了信息时代的辉煌，但计算技术内部的安全缺陷也带来了风险和不确定的威胁。因此，内生安全问题和内生安全服务体系结构是基于任何一种固有的本质矛盾，在不同场景、不同应用对象、不同技术条件下，同一系统结构或同一算法的不同形式或表现。网络空间也不例外：任何软件/硬件配置或算法都不可避免地与副作用或除了其基本功能之外的不可见“黑暗面”相关联。一旦触发，此类副作用或“暗功能”可能会对内在功能的正确表达产生负面影响；在网络空间中，这种副作用和暗功能被称为“内生安全问题”。
• 内生安全问题的两种抽象类型
  • 狭义：指任何软件或硬件实体，除了其设计功能之外，还具有可见或不可见的副作用、漏洞或自然故障等意外功能的现象。
  • 广义：除了具有与狭义内生安全问题相同的问题外，还涉及到最终用户主观和故意不可见的设计功能，包括所有未向用户明确声明或披露的硬件和软件隐藏功能，例如故意设计的前门、后门和陷阱。

2.2 内生安全问题的特征

• 1、存在的必要性

  • 许多非主观因素引入的软硬件代码漏或进入信息系统的人为嵌入后门的出现是不可避免的，无论是从技术发展的角度还是从利益游戏的角度——从根本上很难避免。并且随着系统的复杂性增加，这些漏洞会越来越多。

• 2、突发性

  • 漏洞出现的具体时间和、目标系统和出现方式都是偶然的

• 3、 认知的时空特征

  • 基于“漏洞客观存在，但发现漏洞是时空的，漏洞需要积累到一定程度”的认知，今天认 为安全的系统，明天不一定安全；一个人认为安全的系统在另一个人眼中可能并不安全；在环境 A 中安全的系统在环境 B 中可能不安全。

• 4、威胁的不确定性

  • 一个内生的安全问题可能会导致两种类型的安全威胁。一种威胁是安全问题显着影响目标对象的内在或服务功能的可靠性、可信度和可用性。另一个威胁是问题导致有人非法获取或侵犯他人的隐私信息和数据资源。由于内生安全问题的性质，上述两类安全威胁的发生是不可预测的，因此它们是未知和不确定的威胁。

3 解决内生安全问题

3.1 一种思路

• 要摆脱“补死”的传统思维，使信息设备安全不再过分依赖软件、硬件设计、生产、运营和管理的独立性和可控程度。组件、设备、组件或单个表单，通过赋予信息系统的基本结构内生的安全功能或内生的安全保障机制，可以获得安全性和可信性。在某些条件或约束下，无论随机故障或是网络攻击发生时，有一种函数或机制可以容忍软硬件组件的内生安全问题，使内在函数兼具稳定性、鲁棒性和质量稳定性。

3.2 生物学的启示

• 我们是否可以设计一种类似于脊椎动物免疫机制的组合防御能力，以产生基于对未知攻击活动没有特定选择性清除功能的目标系统的内生安全问题，并触发点防御功能，例如及时的特定免疫机制？作者相信，这种源自目标自身构建机制的防御功能是可能的，最好将其描述为内生安全。

3.3 网络空间的内生安全保障

• 定义

  • 内生安全保障是指具有内生效应或内生安全或安保效应的结构或算法及其制度机制。即利用系统架构、算法、机制或场景等内部因素获得的安全或安保功能或属性

• 3.3.1预期的内生安全系统具有的特点

  • (1) 基于开放的组织架构，涵盖所有内生安全问题及其架构、模块和组件；
  • (2) 是一个集成和收敛的结构，可以同时提供高可靠性，高度可信、高度可用的功能；
  • (3) 能够运用多样性、随机性、动态性的防御要素；
  • (4) 具有异质性、冗余性、动态性、判断性和反馈控制，还有结构元素；
  • (5) 为了获得指数级的防御收益，能够与传统解决方案进行安全防护或其他技术的配合；
  • (6) 普遍适用。

• 3.3.2 预期的内生安全保障机制特点

  • (1) 内生安全保障机制与广义安全机制的关系不确定性干扰可分为人—机、计算机—计算机和计算机—人。
  • (2) 内生安全保障机制应能够有条件地控制或在不试图消除其影响的情况下抑制广义的不确定性。
  • (3) 内生安全保障机制的有效性不应依赖于任何关于攻击者的先验知识、额外的内置内部共生、其他安全措施或其他技术手段。
  • (4) 内生安全保障机制应该能够提供集成的、高度融合的方式为目标系统提供可靠、高度可信和高度可用的性能。
  • (5) 内生安全保障机制主导的广义安全应具有稳定性以及具有定量设计和可验证指标的高质量稳健性。
  • (6) 内生安全保障机制的有效性应该只是微弱的与操作员或维护经理的技术能力和经验相关或不相关。

• 3.3.3 预期技术特性

  • (1) 内生安全保障是目标对象内置安全功能的一部分；它有一种兼具普遍性和集中性的防御机制，类似于脊椎动物的非特异性和特异性免疫机制。内生安全和保障在结构上与目标的内在功能不可分割。
  • (2) 内生安全和安保方法不应依赖于任何先验知识或攻击者的行为特征。内生安全对由独立的攻击资源、攻击技术和攻击方式形成的差模攻击具有天然的抑制作用。换句话说，任何基于零日漏洞、后门、病毒或木马的网络攻击，对于具有内生安全特征的目标对象，原则上都是无效的。
  • (3）除了社会工程方法，唯一突破内生的安全方法防御和实现共模逃逸是通过精确、协调、具有时空一致性的攻击。首先，攻击者应该克服由于空间和时间的不一致而产生的不确定性效应。接下来，构建共模逃逸情境需要突破异构和冗余目标的迭代反馈调度机制，基于策略决策。最后，攻击者必须面临保持共模逃逸稳定性的问题。
  • (4) 内生安全功能应该能够解决传统的可靠性问题和以标准化的方式解决基于目标的网络威胁问题。
  • (5) 理论上不会发生差模逃逸，共模逃逸有极低的概率；即使后者成功，它也可能只发生一次。在内生安全环境下，攻击行为和攻击结果均不具备稳定性、鲁棒性和质量鲁棒性

4 基于DHR架构的内生安全保障机制

DHR的提出

• DRS 架构在以下方面仍然存在缺陷：非传统安全的遗传、非传统安全水平在静态、相似性和确定性； 因此，它不具备稳定和高质量鲁棒控制的特点。因此，从信息熵的角度可以发现，攻防行为可以看作是一场专注于防守方初始信息熵增减的博弈。DRS 结构的入侵耐受性缺乏时间稳定性。并且随着试错攻击的增加，没有自我维持的入侵抵抗机制。因此，在没有自持机制的情况下，初始信息熵只能引起熵减，直到初始信息熵足够低，使攻击链能够可靠地发挥预期作用，而内在的结构功能或防御作用完全丧失。不难推断，如果能在DRS架构中引入初始信息熵维护（或熵平衡）机制，就可以使架构的容错性具有一定的鲁棒性。例如，添加一些传统的防御元素（即动态性、随机性、多样性、重构、加密认证、入侵检测、 入侵防御等）或强大的控制机制（即策略裁决、反馈控制、迭代收敛等）应该能够改变 DRS 操 作环境的静态性质。这种重构具有不降低初始信息熵的特性，因此这种控制结构和运行机制的可量化设计和可验证测量在入侵容错和容错方面应该具有稳定和高质量的鲁棒性。 作者称这种创新技术为“DHR”。
• 这里是DHR架构的核心思想：基于众所周知的“建设决定安全”公理，在保证内在服务集功能的情况下，DHR结合了基于多模态决策的调度机制和多模态调度机制。多维动态重构鲁棒控制机制；赋予操作环境动态性、可重构性、软件可定义性和算法可重构功能；从攻击者的角度建立不确定性影响；并在抑制广义不确定扰动的同时，为目标操作场景增加动态性、随机性和多样性。 同时，严格控制协作方式并尽可能消除执行者之间的同步至关重要。应最大限度地利用 DHR、非合作模式和多模式决策的避免和破坏作用，以显着提高软硬件差分故障或随机故障的容忍度。换言之，期望通过 DHR 架构获得的多功能集成内生安全性不仅可以有效抑制基于对象的不协调或差模攻击扰动，即使发生协同攻击逃逸，还可以确保模型扰动范围可以控制在给定的阈值。DHR架构不仅可以显着增加攻击链的不确定性，而且还充分增强了广义鲁棒控制服务或应用程序的性能，包括高度可靠性、可用性和可信赖性的集成。预计严苛的异构设计要求将得到显着削弱，使 DHR 结构成为具有广阔应用前景的新型使能技术。

DHR构架的内生安全特性

• (1) DHR是一个完全开放的组织结构，允许软硬件 包含任何内生安全问题的组件；也就是说，它可以在任何受污染或易受攻击的情况下可靠地正常运行。
• (2) DHR是一个集成的融合结构，可以同时提供高可靠性、可用性和可信度级别。它不仅可以解决传统的功能安全问题，还可以管理非传统的安全问题。
• (3) DHR 架构可以共同采取防御元素，例如多样性、随机性和以获取内生不确定性效应并形成不可观察的防御迷雾。
• (4) DHR 架构由五个重要的支持部分组成：异构性、 冗余、动态、统治和反馈控制。它可以最大限度地发挥动态性、多样性和随机性三种防御要素的协同作用。
• (5) 与传统安全防护技术或其他技术结合时， DHR 架构可以获得指数级的防御收益。
• (6) DHR架构对所有软硬件都具有普遍的应用意义。

DHR架构在内生安全中的优势

• (1) DHR安全机制形成的不可测量的防御迷雾，正是旨在控制或抑制内生安全的广义不确定扰动问题。它可以归类为典型的人机博弈关系。如果采用人工智能和大数据技术在后台运行，防御者在人机、机机、机机博弈中可以获得更多优势。
• (2) DHR 安全机制可以有条件地控制或抑制广义不确定性 对目标物体的干扰，但不可能完全防止共模逃逸现象。
• (3) DHR 安全机制的有效性不依赖于任何先验知识或 关于其他额外的内置安全措施；但是，这些相关的技术手段可以与 DHR 结合使用，以获得指数级的安全收益。
• (4) DHR安全机制可以完整地为目标对象提供高可靠、高可用、高可信的性能；
• (5) 白盒注入测试可以验证DHR的安全效果，它兼具稳定和高质量的稳健性，具有可量化的设计和可验证的测量。
• (6) DHR 的效率与 管理员的技术能力和经验，在整个生命周期中具有实质性的成本效益优势。
• 需要特别说明的是，DHR只是一种网络空间内生安全保障机制，并没有描述所有可能的类型。

DHR架构的编码理论

• 香农第二定理（噪声信道编码定理）的目的是在无记忆信道引入随机噪声的情况下，在传输的消息中重建适当设计的冗余，然后在接收端使用该冗余重建原始消息，终于完成了消息的正常投递。
• DHR 构建的内生安全机制也可以描述为一种在具有非随机噪声的可重构存储信道上正确处理和传输信息的方式。
• 作者认为，网络攻击引起的信息处理和传输错误、可靠性错误和通信噪声错误，本质上是相似的，可以使用纠错编码思想来解决。但是，与经典香农通信模型中无记忆通道的假设不同，DHR 可以抽象为具有处理能力的可重构内存通道。与香农假设的随机噪声不同，网络攻击具有明显的非随机性，可以抽象为非随机噪声。
• 根据编码信道理论（CCT），需要开发 CCT 来定量分析 DHR 的编码结构机制在抑制 SDN（干扰噪声）方面的性能。使用适当的编码和解码步骤，使在具有内生安全属性的系统架构内，当存在随机或人为的加性干扰时，信息传输和处理的误差足够小。

编码信道第一存在定理

• 噪音随机到达。 如果编码信息传输速率R小于C，其中C是离散无记忆信道的信道容量，并且如果编码信道中的n’个无记忆元信道足够大，则可以在输入集中找到码字为 𝑀 = 2𝑛 ′𝑅 形成一个码集（码长 n′），其中 M 是异构元信道组合的总数，一定的解码规则会导致信道输出错误概率 为 Pe<ε ，其中 ε 是任意小的正数。
  　　在随机噪声和无记忆信道条件下，编码信道噪声是随机的，构建的元信道都是无记忆信道。 香农第二定理要求通道进行 n’ 次无记忆扩展。 每个扩展通道的噪声是随机的，都是无记忆通道。 因此，随机噪声无记忆信道条件下编码信道的第一存在定理和香农第二定理满足相同条件

编码信道第二存在定理

• 噪声（干扰）随机到达，离散记忆编码信道在构建DHR和反馈消除记忆后的信道容量为C，$$\forall t>0,C(t)\in [C_s,C_0]$$其中Cs为信道容量 在稳态中，C0 是初始状态下的信道容量。 如果在时间 t，编码信息传输速率 R(t) < C(t)，那么只要码长和编码元通道数 n’足够大，𝑀 = 2𝑛 ′𝑅 码字总是可以在输入集中找到，形成一个码集，ε 是一个任意的小正数。 在一定的解码规则下，信道输出错误概率可以是Pe<ε。