《网络空间内生安全》读书笔记:第七章 动态异构冗余架构
第七章 动态异构冗余架构
DRS架构的静态性、确定性和相似性在非传统安全领域表现出严重的基因缺陷,一致对广义不确定扰动缺乏维持“初始信息熵不减”的能力,因而其抗攻击不具备稳定的稳定鲁棒控制和品质鲁棒控制的特性。
换言之,结构是固定的,攻击者可以可以通过不断地试错,来逐步认识、感知系统,随着对目标系统的认知程度不断提高,系统被成功攻击的概率就不断随之增加。
7.1 动态异构冗余架构概述
加入了维持信息熵不减机制之后的DRS结构,叫做“动态异构冗余(Dynamic Heterologous Redaundance structure, DHR)”架构
维持信息熵不减的机制主要包括:加入动态、随机、多样、重构等防御元素
7.1.1 DHR基本原理
假设条件:
DHR以DRS为基础
允许所有软硬构件中存在差模漏洞(反馈控制环路部件除外)
入侵攻击包括基于漏洞、后门、暗功能的攻击
可重构或可配置执行体见不存在任何形式的可交互的通信链路和连接方式
多模裁决器出现非期望状态时,反馈控制总是试图通过变换当前运行环境、裁决算法、或执行体实现构造或资源配置方式是裁决结果达成期望的状体
给定攻击条件下,只要裁决器能感知到可重构执行体的输出出现差模表达,构造内多样化场景的迭代过程总能将差模状态收敛。
反馈控制相应时间或多样化场景迭代收敛时间远小于攻击持续时间
组成与功能
输入代理:根据负反馈控制器的指令将输入序列分发到相应的功能等价体。
可重构执行体集合:应该可以大概率正确的完成对输入矢量的处理,并输出结果。
多模裁决器:根据裁决参数或算法生成的裁决策略,研判多模输出矢量的合规性情况,并选择或形成输出响应序列,一旦发现非期望裁决状态就激活负反馈控制器。
负反馈控制器:在被激活后根据控制参数生成的控制算法决定是否要想输入代理发送替换(迁移)执行体的指令,或指示有问题的执行体执行清洗恢复操作。
总结:感知到广义扰动时触发重构、清洗等操作;没有扰动时也定时触发重构与清洗。
核心机制
多模策略裁决欲达成的三个基本目的:(1)感知广义不确定扰动;(2)通过多种裁决策略的迭代应用增强输出矢量选择操作的可信性,以及在极端情况下决定出输出矢量的选择策略;(3)激活负反馈控制机制。
反馈控制需要具备的四个基本功能:(1)差模执行体定位;(2)调度合适的执行体上线或设置相应的防御场景(换言之就是改变防御场景);(3)指令下线执行体/防御场景做统计分析、例行安检、清洗恢复、重构重组重配、待机同步等惭怍;(4)迭代收敛过程的记录与分析。
鲁棒控制与问题规避
DHR的设计原则时设法“规避”基于内生安全问题的威胁而不企图“归零”内生安全问题本身。
迭代收敛问题
要在攻击成功前就完成防御场景的变换
以结构编码抗攻击
用不断变换的不同的执行体组合来降低共模逃逸发生的概率
7.1.2 DHR技术目标与典型功效
“一石四鸟”之目标
将对执行个体内生安全问题的攻击,转化为系统广义不确定扰动的概率问题
将多模执行体输出的不一致问题,转化为可屏蔽或可纠正的差模故障问题。
借助可靠的状态或记忆清洗修复机制与有效的重构手段,营造问题规避为主、归零为辅的多样化防御场景。
导入传统安全技术来增强执行体间的相异度,以便获得指数级的防御增益。
视在结构动态可变性
与相对正确公理等价但具有叠加态认证功能
执行体的输出结果同时具有正确正确与非正确两个状态。
暂稳状态与DRS同构
测不准或不确定性属性
编码信道理论与安全性度量
内生安全机理与防御融合(点面结合的防御机制,即融合式防御Fusion Defence)
问题规避与问题归零:规避问题但不归零问题
7.1.3 DHR的典型构造
典型构造及各部件的功能说明,前文已述
允许互相独立的执行体之间存在一定的同构的成分,因为引入了广义动态化机制
允许执行体“有毒带菌”
执行体可以是软硬件实体也可以是虚拟的功能提,可以时模块、部件、子系统,也可以是复杂的系统、平台甚至王源装置。
7.1.3DHR的非典型构造
非典型DHR构造模型与典型DHR构造模型最根本的差异是,任何时刻只有一个功能等价的执行体A<sub>k</sub>,该执行体不是静态配置的,而是以某种策略调度算法从异构执行体集合内动态选取,也可以根据错误检出或入侵检测部件输出状态决定是否需要清洗修复或重构重组当前执行体。
7.1.5 DHR赋能内生安全
基本方法
分析确定内生安全影响程度最高的相关控制环节
基于这些环节的本征功能性能要求寻找或发现能够管控广义不确定扰动影响的构造或算法
研究基于这些构造或算法实现相关环节本征功能与性能的体制机制
然后是安全性可量化的技术实现及白盒测试方案设计及相关安全性验证度量
7.2 DHR的攻击表面
无论是DHR的典型结构还是非典型结构,DHR架构均可以视为一种以攻击者不可预测或不能确定的方式,部署的一维或多维移动攻击表面的融合式防御系统。DHR的这种“移动攻击表面”效果,可以归纳如下:
系统在整体上呈现出不规则改变且难以预测的供给面
限制零日漏洞或未知后门等可能造成的危害。
针对给定攻击面的经典攻击表面理论并不适用于这种迭代收敛平行移动的MAS安全性分析,原以为:
经典MAS本身就打破了AS评测理论“攻击表面保持不变”的假设前提
无法保证“目标供给面对于攻击者而言总是可达”的假设前提
需要攻击者具有同时锁定多个非相似移动攻击表面的能力。
7.3 防御功能与防御效果
7.3.1 造成目标对象认知的困境
7.3.2 使暗功能交集呈现不确定性
7.3.3 造成目标对象漏洞利用难度
7.3.4 增加攻击链不确定性
7.3.5 增加多模裁决逃逸难度
7.3.6 具有独立的安全增益
与其他安全技术不冲突,可也作为其他安全技术的补充
7.3.7 漏洞价值与环境强关联
7.3.8 使多目标攻击序列创建空难
7.3.9 可度量的广义动态性
可通过人为注入“差模”或共模测试例的方法在白盒条件下度量和目标对象的安全等级。
7.3.10 弱化同源漏洞后门的影响
7.4 相关问题思考
7.4.1 以内生安全机理应对不确定威胁
7.4.2 以结构效应同时保证可靠性与可信性
7.4.3 安全可信的新方法和新途径
针对不同执行体之间功能、性能、能效方面存在的差别,DHR在构建服务集时,可以有意识的利用这些差别,从而获得非DHR结构所不具备的经济与技术上的互补性。(书中所举的例子非常好,非常有利于理解这一理论观点)
7.4.4 创造多元市场新需求
DHR结构的推广和应用,需要市场化的“同质异构”多元化供应机制和产业产业生态环境支撑,这等同于创造了供给侧新需求。
7.4.5 超级特权与超级逃逸问题
能够成功攻破所有执行体,从而形成无感共模逃逸的情况成为之超级逃逸。
超级逃逸条件困难,发生概率低。
7.5 不确定性影响因素
DHR的不确定性分为内生因素和导入因素
7.5.1 DHR内生因素
内生因素可以理解为产生不确定效应的架构因素,内生因素同时也是DHR架构可以不依赖与传统防御手段获得内生安全增益的根本原因。
7.5.2 DHR导入因素
导入因素是指分系统固有的,需要从外部添加或嵌入并能被“非配合条件下多源异构目标协同一致“架构效应非线性放大的因素。常见因素包括
在可重构执行体内导入指令、地址、数据、端口等随机化动态化多样化操作
在可重构执行软件版本上导入多样化编译机制
利用程序功能消除安全漏洞的方法:输入矫正、功能切除、功能替换
在多模裁决环节引入更加多样化的表决算法,或者在输出代理环节增加屏蔽”系统指纹“的措施
在可重构执行体中添加入侵防御、入侵检测、入侵隔离等共生机制
引入不影响裁决语义的加密算法
7.5.3 DHR组合因素
内生因素联合导入因素一起使用,效果更好
7.5.4 暴力破解的挑战
DHR架构内在的不确定性,大多不属于计算复杂度范畴的问题,暴力破解在理论上和实践上都不适用。
7.6 基于编码理论的类比分析
看不懂
7.7 DHR相关效应
7.7.1 感知不明威胁的能力
7.7.2 分布式环境效应
没看懂
7.7.3 一体化综合效应
攻击难度指数级增加
系统失效率指数级下降
实现代价与执行体数目大致呈线性关系
由于对执行安全性可靠性的要求可以适当降低,因此总体成本增加有限
具有高可信性、高可靠性、高可用性。
7.7.4 构造决定安全
7.7.5 内生的融合效应
与现有安全技术手段不冲突,可以相互融合
7.7.6 改变网络空间攻防游戏规则
可以扭转目前”易攻难守“的攻防格局。
7.7.7 创建宽松的生态环境
异构需要”同质异构“有利于构建宽松的生态环境
7.7.8 首先应用
微同步延时敏感运行环境
有延时约束切不可更正的场合
没有可归一化的输入输出界面
缺乏软硬件异构资源的环境
软件更新黑障
成本敏感领域
作为高鲁棒性软件架构的问题:DHR性能较非DHR低
裁决问题:存在太多的不确定因素导致工程实现层面裁决困难
7.8 基于DHR的内生安全机制
前面都已经讲过了,只是换个角度再讲一遍。
《网络空间内生安全》读书笔记:第七章 动态异构冗余架构相关推荐
- [云数据中心] 《云数据中心网络架构与技术》读书笔记 第七章 构建多数据中心网络(1/3)
7.1 多数据中心的业务诉求场景 7.1.1 多数据中心的业务场景分析 主流需求:虚拟化和资源池化,形成多活,可就近提供服务 1. 业务跨数据中心部署 2. 两地三中心 是指在同城双活的数据中心基础上 ...
- In-memory Computing with SAP HANA读书笔记 - 第七章:Business continuity and resiliency for SAP HANA
本文为In-memory Computing with SAP HANA on Lenovo X6 Systems第七章Business continuity and resiliency for S ...
- 《Microsoft Sql server 2008 Internal》读书笔记--第七章Special Storage(3)
<Microsoft Sql server 2008 Interna>读书笔记订阅地址: http://www.cnblogs.com/downmoon/category/230397.h ...
- Getting Started With Hazelcast 读书笔记(第七章)
第七章 部署策略 Hazelcast具有适应性,能根据不同的架构和应用进行特定的部署配置,每个应用可以根据具体情况选择最优的配置: 数据与应用紧密结合的模式(重点,of就是这种) 胖客户端模式(最好用 ...
- Android深度探索读书笔记 第七章
第七章主要介绍led驱动.1测试led驱动:测试之前需要用USB数据线连接s3c开发板,然后打开S3C开发板的电源开关,成功启动后,执行build..sh脚本文件编译和安装led驱动.2 创建led驱 ...
- Java编程思想读书笔记——第七章:复用类
第七章 复用类 使用类而不破坏现有程序代码,有两种达到这一目的的方法: 在新的类中产生现有类的对象,也就是说new一个对象,这种方法称为组合 按照现有类的类型来创建新类,不改变现有类的形式,在其基础上 ...
- [云数据中心] 《云数据中心网络架构与技术》读书笔记 第七章 构建多数据中心网络(2/3)
7.2 Multi-Site场景和设计 7.2.1 Multi-Site方案的应用场景 Multi-Site大VPC 通过一个编排起统一地对两个数据中心内部和数据中心间的网络进行编排,编排完成后将指令 ...
- DDIA读书笔记 | 第七章:事务
文章目录 前言 一.事务的相关概念 1.1 ACID含义 1.2 单对象和多对象操作 简介 1.2.1 单对象写入 1.2.2 多对象事务的需求 1.2.3 处理错误和终止 二.弱隔离级别 2.1 读 ...
- python数据分析第七章实训3_《利用python进行数据分析》读书笔记--第七章 数据规整化:清理、转换、合并、重塑(二)...
3.数据转换 介绍完数据的重排之后,下面介绍数据的过滤.清理.以及其他转换工作. 去重 #-*- encoding: utf-8 -*- importnumpy as npimportpandas a ...
最新文章
- 调用.NET XML Web Services返回数据集合一
- 纳微科技完成近亿元融资,华兴医疗产业基金独家投资
- 一个人就需要对象之js中八种创建对象方式
- 微信小程序实践_1前言
- 点击显示隐藏盒子函数
- LetCode-MSSQL查找重复的电子邮箱
- Android 上传图片实例,java上传图片接口
- 一步步编写操作系统 56 门、调用门与RPL序 1
- 全局模式下的正则表达式
- logstash filter 处理json数据按原始数据字段数据存储
- Android 数据库 在使用 update更新的时候,总是无法更新,还没有异常抛出!
- 进程优先级,进程nice值和%nice的解释
- Linux基础笔记——RAID
- TeamViewer远程连接控制软件
- [XMAN2018排位赛]通行证
- 小程序视频旋转的相关问题
- 红米NOTE5 ROOT教程
- 判断字符串数组中的数字是否对称
- AR研究2-生成自己的识别图片
- python实现windows ie代理切换