王楊 蔣巍 蔣海巖 劉桂香 劉歡

摘? ?要：針對(duì)金融、證券等行業(yè)對(duì)Web服務(wù)器高等級(jí)的安全需求，采用擬態(tài)防御、白名單、智能學(xué)習(xí)、可信計(jì)算等技術(shù)，構(gòu)建一整套主動(dòng)安全防御體系，有效提高Web服務(wù)器系統(tǒng)化服務(wù)器群的安全防護(hù)等級(jí)。

關(guān)鍵詞：系統(tǒng)安全;快速部署;云平臺(tái);擬態(tài)防御

中圖分類號(hào)：TP3-05? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In view of the high-level security requirements of Web servers in finance， securities and other industries， a set of active security defense system is constructed by using pseudo-defense， whitelist， intelligent learning， trusted computing and other technologies， which can effectively improve the security protection level of Web servers.

Key words： system security; rapid deployment; cloud platform; mimetic defense

1 引言

一般來說，Web服務(wù)器的功能和安全機(jī)制不能由單獨(dú)的服務(wù)器來完成，必須由系統(tǒng)化服務(wù)器和安全設(shè)備協(xié)作完成。根據(jù)木桶原理，服務(wù)器群只要有一塊安全短板就會(huì)降低整個(gè)Web系統(tǒng)的安全等級(jí)。為解決目前網(wǎng)絡(luò)空間安全缺陷存在的普遍性問題，將不可控的網(wǎng)絡(luò)空間安全威脅問題，轉(zhuǎn)化為自主可控的網(wǎng)絡(luò)空間服務(wù)魯棒性控制問題，從內(nèi)生機(jī)制或構(gòu)造層面獲得對(duì)未知缺陷的主動(dòng)免疫能力。期望能夠解決多維度的網(wǎng)絡(luò)空間安全問題，引入主動(dòng)防御技術(shù)是十分必要的。

目前，主動(dòng)防御技術(shù)主要有擬態(tài)防御技術(shù)和白名單技術(shù)，但是兩種技術(shù)的側(cè)重點(diǎn)不同，各自存在利弊。

擬態(tài)防御技術(shù)主要針對(duì)基于未知漏洞和后門攻擊，或者新型病毒木馬引發(fā)的未知安全問題。但是，對(duì)整個(gè)系統(tǒng)安全防護(hù)鏈還不完整，大型系統(tǒng)化Web服務(wù)防御能力有限，內(nèi)部攻擊安全防護(hù)能力有限，防御系統(tǒng)自身安全防護(hù)能力不足，另外擬態(tài)防御技術(shù)對(duì)設(shè)備的性能及運(yùn)行效率都有消耗，且對(duì)管理者專業(yè)技術(shù)要求高。

白名單技術(shù)主要針對(duì)可信的應(yīng)用程序、軟件硬件信息和外部通信環(huán)境，存在著可信程序的白名單機(jī)制是否足夠全面、更新速度是否足夠快、是否會(huì)形成大量誤報(bào)的問題，同時(shí)對(duì)系統(tǒng)的未知漏洞預(yù)防能力較弱。

本文將通過采用擬態(tài)防御、白名單、智能學(xué)習(xí)等技術(shù)，為系統(tǒng)化服務(wù)器群構(gòu)建一個(gè)高安全等級(jí)的Web服務(wù)器主動(dòng)防御體系。

2 Web服務(wù)器安全主動(dòng)防御

Web服務(wù)器安全主動(dòng)防御系統(tǒng)分別在六個(gè)層面進(jìn)行防護(hù)，即硬件層、操作系統(tǒng)層、虛擬化層、虛擬操作系統(tǒng)層、服務(wù)器軟件層、應(yīng)用腳本層。針對(duì)危害程度較高的未知漏洞利用擬態(tài)技術(shù)進(jìn)行主動(dòng)防御，針對(duì)可能存在的硬件破壞、內(nèi)部病毒、木馬等利用白名單技術(shù)進(jìn)行主動(dòng)防御。

2.1 總體架構(gòu)

Web服務(wù)器安全主動(dòng)防御系統(tǒng)總體架構(gòu)如圖1所示。

（1）硬件層：在基礎(chǔ)硬件層，可能出現(xiàn)的問題是外接未受權(quán)的硬件設(shè)備，造成數(shù)據(jù)信息泄露或木馬病毒的侵入;重要硬件設(shè)備故障或檢測(cè)到被入侵，可能造成系統(tǒng)運(yùn)行故障等。解決辦法：利用白名單技術(shù)啟用受權(quán)機(jī)制，防止非法硬件接入;啟用擬態(tài)技術(shù)切換硬件平臺(tái)。

（2）操作系統(tǒng)層、虛擬化層、虛擬操作系統(tǒng)層：利用多系統(tǒng)管理和虛擬化多樣性，實(shí)現(xiàn)擬態(tài)技術(shù)切換;利用系統(tǒng)白名單和進(jìn)程白名單來固化虛擬化底層平臺(tái)的安全性。

（3）服務(wù)器軟件層、應(yīng)用腳本層：利用多應(yīng)用腳本和服務(wù)軟件異構(gòu)化，實(shí)現(xiàn)擬態(tài)技術(shù)切換;利用軟件白名單、文件白名單、用戶白名單等多項(xiàng)機(jī)制實(shí)現(xiàn)系統(tǒng)安全的主動(dòng)防御。

2.2 核心技術(shù)

擬態(tài)防御技術(shù)：擬態(tài)安全Web服務(wù)器旨在現(xiàn)有Web服務(wù)器基礎(chǔ)上，構(gòu)建具有異構(gòu)性、多樣性、動(dòng)態(tài)性特征的處理架構(gòu)，在不影響Web服務(wù)器基本功能、性能、兼容性的前提下，有效應(yīng)對(duì)后門和漏洞的安全威脅。自下而上的構(gòu)成主要包括操作系統(tǒng)層、服務(wù)器軟件層和應(yīng)用軟件層。大部分漏洞存在于各種各樣的Web應(yīng)用中，然而危害程度較高的漏洞往往存在于服務(wù)器軟件層和操作系統(tǒng)層，同時(shí)由于這兩層的基礎(chǔ)地位，也時(shí)常成為新型攻擊的主要目標(biāo)。

擬態(tài)防御重點(diǎn)針對(duì)已知和未知安全漏洞，與白名單技術(shù)配合使用，會(huì)達(dá)到相當(dāng)好的防御效果。

白名單技術(shù)：如果設(shè)立了白名單，則在白名單中的用戶（或IP地址、IP包、電子郵件等）會(huì)優(yōu)先通過，不會(huì)被當(dāng)成非法文件拒收，也不會(huì)對(duì)任何一個(gè)程序運(yùn)行都要被當(dāng)成未知程序進(jìn)行安全檢查。這樣，系統(tǒng)的安全性和快捷性都有所保障。

可信計(jì)算技術(shù)：可信計(jì)算以安全芯片為核心，來測(cè)量整個(gè)平臺(tái)（包括操作系統(tǒng)、應(yīng)用程序、硬件配置等）的安全性和完整性，將整個(gè)平臺(tái)的完整性數(shù)據(jù)存儲(chǔ)在可信任平臺(tái)模塊中，從而判斷該平臺(tái)是否可信，以此保證所交互的平臺(tái)的安全性?？尚庞?jì)算技術(shù)可以對(duì)主機(jī)實(shí)施有效的安全防護(hù)，保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，從而向用戶提供一個(gè)可信的執(zhí)行環(huán)境。

2.3 核心功能聯(lián)動(dòng)

擬態(tài)防御架構(gòu)通過多樣化與隨機(jī)化方法，在時(shí)空維度上產(chǎn)生的不確定性，在時(shí)間上以動(dòng)態(tài)性呈現(xiàn)，在空間上則以異構(gòu)性呈現(xiàn)。其中，核心聯(lián)動(dòng)機(jī)制是擬態(tài)防御架構(gòu)的關(guān)鍵組成部分。

核心聯(lián)動(dòng)執(zhí)行體調(diào)度器結(jié)構(gòu)如圖2所示。動(dòng)態(tài)執(zhí)行體調(diào)度器由檢測(cè)系統(tǒng)、執(zhí)行器、分發(fā)器和跨平臺(tái)通信客戶端組成。

核心聯(lián)動(dòng)執(zhí)行體調(diào)度器設(shè)計(jì)的關(guān)鍵環(huán)節(jié)是虛擬機(jī)調(diào)度策略。虛擬機(jī)調(diào)度方法采用非相似Web虛擬機(jī)子池獨(dú)立調(diào)度，并由中心調(diào)度器通過跨平臺(tái)消息傳遞機(jī)制實(shí)現(xiàn)遠(yuǎn)程協(xié)助調(diào)度。當(dāng)收到響應(yīng)輸入，白名單模塊載決在信任庫范圍，繼續(xù)按時(shí)間緯度進(jìn)行動(dòng)態(tài)變換。當(dāng)響應(yīng)輸入不在白名單模塊載決在信任庫范圍，啟用空間緯度異構(gòu)性變換。當(dāng)白名單模塊收到信任模塊信息對(duì)相應(yīng)的白名單庫進(jìn)行修改，白名單模塊載決在信任庫范圍，繼續(xù)按時(shí)間緯度進(jìn)行動(dòng)態(tài)變換。完成非相似Web虛擬機(jī)池中虛擬機(jī)的啟動(dòng)、停止、快照恢復(fù)等調(diào)度任務(wù)，并記錄虛擬機(jī)的各個(gè)運(yùn)行狀態(tài)存儲(chǔ)到數(shù)據(jù)庫中。

核心聯(lián)動(dòng)執(zhí)行體調(diào)度器主要的功能是保證Web服務(wù)器的多樣性和周期性或以事件驅(qū)動(dòng)形式，清洗回滾可能存在漏洞的Web服務(wù)器。動(dòng)態(tài)執(zhí)行體調(diào)度器縮短了攻擊者探測(cè)某一臺(tái)Web服務(wù)器的時(shí)間，增大了探測(cè)結(jié)果的不確定性，擾亂攻擊者視線，使其無法確定攻擊對(duì)象。

3 主動(dòng)防御體系的效果

對(duì)于重要信息系統(tǒng)，基于白名單構(gòu)建主動(dòng)防御體系，對(duì)應(yīng)用進(jìn)行管控，能夠?qū)崿F(xiàn)比等級(jí)保護(hù)更高的安全要求，能夠有效防止APT攻擊。防御效果主要體現(xiàn)在幾個(gè)方面。

（1）防止應(yīng)用攻擊。四位一體的應(yīng)用白名單，保征在應(yīng)用運(yùn)行的整個(gè)過程中，不被惡意軟件、 特殊木馬等污染或被注入攻擊。

（2）防止數(shù)據(jù)泄漏。當(dāng)應(yīng)用系統(tǒng)被惡意軟件、特殊木馬侵蝕后，通過應(yīng)用管控，并以業(yè)務(wù)為中心建立保護(hù)規(guī)則，所以數(shù)據(jù)不會(huì)被泄漏到系統(tǒng)之外。

（3）防止信息系統(tǒng)崩潰。當(dāng)應(yīng)用管控及監(jiān)控到進(jìn)程、線程級(jí)時(shí)，一旦惡意軟件發(fā)作，就能被立即發(fā)現(xiàn)，保證信息系統(tǒng)不被破壞，防止信息系統(tǒng)崩潰。

（4）防止APT攻擊。在APT攻擊的初始攻陷、建立立足點(diǎn)、特權(quán)升級(jí)、橫向移動(dòng)、數(shù)據(jù)輸出的各個(gè)階段，都進(jìn)行了有針對(duì)性的防護(hù)。

4 結(jié)束語

該防御體系針對(duì)系統(tǒng)化服務(wù)器和安全設(shè)備協(xié)作設(shè)計(jì)。利用擬態(tài)防御技術(shù)結(jié)合白名單技術(shù)、智能學(xué)習(xí)技術(shù)、可信計(jì)算技術(shù)，為系統(tǒng)化服務(wù)器群構(gòu)建Web服務(wù)器主動(dòng)防御體系。系統(tǒng)設(shè)計(jì)完善了擬態(tài)防御技術(shù)內(nèi)部安全弱，無法針對(duì)內(nèi)部已經(jīng)存在的安全問題進(jìn)行防御，完善了整個(gè)安全防護(hù)鏈;通過白名單技術(shù)提高了系統(tǒng)的效率和性能;通過智能學(xué)習(xí)和可信計(jì)算簡(jiǎn)化了技術(shù)人員的工作，提高了運(yùn)行效率和安全性。

基金項(xiàng)目：

1.賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項(xiàng)目（項(xiàng)目編號(hào)：NG1120180202）;

2. 2018年省屬本科高?；究蒲袠I(yè)務(wù)費(fèi)項(xiàng)目（項(xiàng)目編號(hào)：2018-KYYWF-E008）。

參考文獻(xiàn)

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統(tǒng)漏洞量化評(píng)估方法[J].計(jì)算機(jī)科學(xué)，2012，39（07）：58-63.

[2] 余前帆.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)空間安全問題的思考[J].網(wǎng)絡(luò)空間安全，2017，8（Z1）：66-69.

[3] 蔣巍，王楊，齊景嘉，張明輝，艾何潔.針對(duì)黑客滲透思維制定Web服務(wù)器安全防護(hù)策略[J].網(wǎng)絡(luò)空間安全，2018（Z5）：45-49.

[4] 王楊，蔣巍，劉柳，孔子范.基于IPv6的行業(yè)云安全服務(wù)互助平臺(tái)[J].網(wǎng)絡(luò)空間安全，2019，10（02）：70-73.