网络弹性技术研究的现状和未来

作者 | Thomas H. Llansó, Daniel A. Hedgecock, and J. Aaron Pendergrass

翻译 | 国家互联网应急中心 张冰

【译者按】网络弹性技术是改变网络空间攻防力量对比的重要战略技术。来自美国著名研究机构约翰霍普金斯大学应用物理实验室（APL）非对称作战部门的三位专家，撰文分析了网络弹性技术研究的现状与未来，现编译如下。

摘要：美国国防部历史上曾应对过多种多样的威胁挑战，包括间谍和内部威胁，以及化学、生物、放射线、核和爆炸等各种威胁。近几十年来，随着国防部越来越多地将网络组件集成到武器和支持系统中，网络攻击已经成为与这些现有挑战并存的新威胁。与此同时，传统的旨在将入侵者拒之门外的网络防御方法并非总被证明是有效的。本文探讨的网络弹性技术，是在网络即使发生了攻击事件仍能设法确保作战任务正常实施的一种能力手段。本文将介绍当今的网络空间的现状以及网络空间如此脆弱的原因，分析网络弹性技术如何与传统的网络防御技术形成互补，以有效完成更大规模的作战任务。本文最后展望了网络空间和网络弹性研究的未来趋势。

一、 概述

随着社会越来越多地依赖由计算机所支持的“网络”系统，网络弹性技术日益被认为是至关重要的手段。本文首先总结了当今网络空间系统的性质，以及其为何仍如此难以完全保护的原因。这一讨论引发了接下来对网络弹性概念的详细阐述，包括对网络弹性的工作定义、网络弹性如何与作战任务/组织层次联系的探索，以及网络弹性框架、机制和量化的研究例证。最后，本文对网络弹性研究的未来趋势进行了预测。在本文中，作者还介绍了约翰霍普金斯大学应用物理实验室（APL）正在进行的网络弹性研究工作，包括设想中的网络弹性舰船未来计划，该计划将使未来的海军作战平台，在所依赖的网络组件遭受网络攻击的情况下仍可以进行作战，并得以恢复。

二、网络空间的现状

2021年，网络空间更加无所不包，支持日益广泛的应用，例如银行、娱乐、家庭安全、投票和武器系统。当然，网络空间日益扩展也有其缺点。我们已熟识的诸如身份窃取和在线欺诈，幽灵般挥之不去；网络空间攻击同样可能针对医用输液泵、自动驾驶汽车和关键基础设施等性命攸关的装置，造成潜在的危及生命的严重后果。与此同时，在网络安全圈子内，尽管经过二十多年不懈努力，我们的共同体仍无法全面保护网络密集型系统，这几乎是不言自明的。通常可以十分确信地假设，锲而不舍的攻击者终究能渗透进其认为的高价值系统，或者已经利用嵌入供应链组件中的恶意程序进入被攻击系统内部。

为什么网络空间系统如此难以保护？简而言之是因为：确信、复杂性和互联互通。现代网络系统的可信度通常是无法验证。大部分大规模网络系统都并非依据严格的规范构建的，其往往由日益复杂的功能层组成，这些功能层包含大量来自第三方应用库和开源代码，其中很多都是不确定的。网络系统的互联互通是一个更复杂的因素，因为每增加一条直接或间接连接，都代来一个潜在的攻击向量。

数学上严格技术的使用，亦称形式化方法，对描画和验证网络功能将有所帮助，各种可信计算方法采用同样有所裨益，尽管仍存在可扩展性问题。但是，仅有确保可用的技术是不够的，人和流程问题同样至关重要。人很容易被愚弄，而业务/任务流程可能无法预知到网络支持系统失败的所有方式。在设计和集成过程中引入的漏洞仍是一个重大挑战，即使是最大的供应商和用户组织通过奖金丰厚的“漏洞”悬赏计划来帮助发现缺陷。事实上，研究表明，大多数软件漏洞仍然潜伏在大规模系统中，等待被攻击者和防御者发现。与此同时，网络安全科学基础研究的进步缓慢，这部分是由于目前研究往往聚焦于其他领域，诸如创建和遵守资源密集型合规性计划，其有效性很难确定。

综上，网络社群正加倍努力完全保护日益复杂的网络系统，攻击者相对于防御者仍保有非对称优势。即便伴随网络依赖性的不断增加，其所带来的风险日益增加，组织机构仍必须实现其业务/任务功能。事实上，对于组织利益相关者而言，最终重要的是这些功能在面临网络安全威胁时仍保持稳健——也就是说，它们应具有弹性。

三、网络弹性

对网络弹性的研究兴趣在过去10年中显著增长，但其本身并非一个新概念。不具备网络弹性机制的例子包括在医院使用的备用发电机和市政防洪使用的诸如导流渠和雨水池等工具。

网络弹性这一术语有多种定义。国家安全系统委员会制定的术语表中提供了以下具有代表性的定义：“信息系统能够：(i)在不利条件或压力下运行，即使处于降级或衰减状态，同时保持基本运行能力；(ii)在执行任务所需的时间内，恢复到有效的作战态势。”此定义关注的问题涵盖各种潜在的破坏性网络事件(ACE)，例如恶意攻击、软件错误、组件故障、操作员错误和不可抗力。当我们可以展示ACE如何影响更高层级的依赖网络的任务/业务功能时，网络弹性研究变得更加充满动力。图1对提供了对网络弹性概念的基本说明。ACE可以通过影响目标系统中提供支持的任务必备功能(MEF)的性能来影响任务。网络弹性架构可以使MEF性能上升到其所需的最小阈值以上。

图1 ACE对任务必备功能（MEF）性能的影响。颜色编码的结果说明了系统快速响应ACE的能力将如何决定任务的成败。

理解涉及一组网络支持系统的多个MEF以进行网络弹性分析，以及其性能如何整个时间线内的任务线程，是令人生畏的工作。蒙特卡罗仿真可以作为一种有用的技术来支持有关工作。

3.1 网络弹性框架

近年来，涌现出多种网络弹性框架。例如，美国国家标准与技术研究院（NIST）的网络安全框架将弹性机制分为5类：识别、保护、检测、响应和恢复。

NIST特别出版物800-160（卷2）“开发网络弹性系统：一种系统安全工程方法”，描述了一系列由风险管理策略驱动的网络弹性目标、目标和技术/机制（图2）。

图2 网络弹性架构

APL提出的弹性计划框架强调需要在系统的整个生命周期中了解和影响对手。此外，APL最近专门刊发一期关于网络弹性问题研究的专刊，其中包括有关网络弹性原则和最佳实践的文章。

3.2 网络弹性机制

除了上述组织性框架外，还有很多讨论采用特定的网络弹性机制/技术实现弹性框架弹性概念建议的文章，包括：

• 采用不同实现方式的冗余技术
• 基于硬件的证明技术
• 互联互通性的动态变化
• 多种可选的操作模式，
• 自动化操作系统重映像
• 移动目标防御（MTD）。

MTD技术可以作为未来主动弹性架构的关键组件。正如 Doug Britton 所说：“此种策略引入了一个跨多系统维度的动态、演变的攻击面……使攻击者迷糊，不知道其发现的漏洞是真是假，系统是否是一个诱饵，以及网络布局是否真实。”

通过协同获得网络弹性机制的另一个例子如图3所示。其背景是一个空间系统，包括用于航天器的遥测、跟踪和指挥(TT&C)系统程序。系统程序至关重要，因此系统设计人员安排定期检测其完整性，包括其可执行文件和数据文件(图中的A)。检测系统将完整性测量值与可信平台模块或TPM（B）提供的“合格状态”测量值进行比较。如果完整性测量值显示完整性丢失(例如，通过比较文件加密哈希计算值，发现文件发生变化)，则检测模块向空间防御控制工作站(C)发出警报。根据情况，运营商(D)可能会提高网络(E)的国防部信息作战防卫态势(INFOCON)级别，这本身可能会触发其他网络弹性机制的使用(例如，断开网络连接)。在任何情况下，TT&C文件都会从只读存储器重新加载以重新建立已知良好状态(F)。

图3 航天器的网络弹性机制

3.3 网络弹性量化

虽然技术框架和实现机制提供了广泛的弹性化选项，但量化任何特定架构的价值仍然是一个挑战。该领域的工作正在进行中，包括APL正在进行的网络弹性评估工作。

举例来说，APL采用的方法之一是随机离散事件仿真，其可计算目标系统的整体弹性指数(RI)。仿真器执行大量试验，其中仿真的ACE发生覆盖整个任务时间线。该方法将MEF性能低于设定阈值的任何试验定义为失败试验。RI被定义为成功试验次数与所进行总试验次数的比率。

四、网络弹性技术研究的未来

APL正在积极开展网络弹性机制以及整合各种机制的框架/架构的研究，其中一个例子是网络弹性舰船研究领域(图4)。网络弹性舰船研究领域借鉴零信任架构和“橙皮书”的可信计算基概念，重点探索如何：

• 提供能够在网络攻击下运行并从中恢复的计算架构；

• 可使用遭受破坏的组件，通过采用诸如：(1)同态加密，在不受信任的处理环境中执行功能，而不公开其处理的功能或数据等的技术；(2)部署一小组可信组件，任务可以依靠其执行；

• 采用带外功能监控系统，并恢复关键任务能力。

图4 网络弹性船舶架构。该研究领域侧重于研究提供计算架构的方法，这些架构可以在网络攻击中运行并从网络攻击中恢复，允许使用可能受损的组件，并包括带外功能以监控系统和恢复关键任务功能。

接下来的两年，APL将重点推进有关研究，以实现端到端的基于遭受破坏基础设施的安全计算(Secure Computation on Compromised Infrastructures, SCOCI)方法。支持网络弹性舰船架构的各方面技术目前尚不成熟，并且在很大程度上是相对独立研发的。将这些技术组合成一个端到端系统，需要面对许多系统兼容性挑战。此外，将技术应用于任务问题将需要提高技术的成熟度和抽象层级。具体研究领域旨在实现以下目标：

• 缩小理论能力与实用化的、以任务为中心的应用SCOCI原语之间的差距，例如安全功能评估（下文进一步讨论）和可验证计算。
• 研发采用并行和分布式计算的算法和协议，以在性能特征和增加对手破坏整个系统难度间提供可扩展的非对称平衡。
• 将端点处理和逻辑控制功能从专用物理系统迁移至商业化基础设施上运行的软件定义组件。
• 基于对与计算相关物理现象的带外监控，研发检测和缓解网络和网络物理攻击新方法。

为进一步描述同态加密，我们注意到数据可以三种状态存在：静态、传输中和处理中。传统的加密方法可以为静态和传输中的数据提供安全性。但是，传统加密对使用中(处理中)的数据没有多大帮助。同态加密技术可以通过加密处理中的数据，来加强传统加密方法，从而为所有三种状态的数据提供保护(图5)。

图5 支持处理中数据的同态加密

更具体而言，同态加密使安全功能评价的概念成为可能，它允许在不受信任的处理环境执行功能，但不允许这些环境了解这些功能是如何运行的。同态加密是计算密集型的，因此APL正在探索全部和部分加密的方法以及试验不同的算法。

虽然网络弹性舰船聚焦于海军作战平台，但其基本技术有望广泛应用于其他关键作战任务系统。APL其他有关网络弹性的研究包括：

• 在不依赖双向连接的具有挑战性的环境（例如存在网络攻击、拥塞）中通过互联网协议（IP）网络实现可靠的数据传输；
• 使用英特尔管理引擎的协处理器和射频（RF）特征在指令级别发现被渗透系统；
• 利用虚拟化的可编程逻辑控制器来响应并从网络攻击、错误行为和物理损坏中恢复。

五、结论

本文最后对未来25年的网络弹性研究进行了大胆推测。这当然是一项充满风险的预测努力，但越来越多的人开始注意到，美国和其他国家政府如今已将网络视为一个单独的作战领域，网络弹性研究在此背景下变得更加紧迫。

网络弹性方法未来将会变得日益复杂，这需要随着时间推移不断非线性增长的机器智能的支持。威胁建模、形式化方法和检测/响应能力等研究领域都将迎来显著的进步。量子计算和机器学习方法也将会产生巨大影响。例如，人们可以想象，机器学习能力使防御一方在足够早的阶段预测到对手将采取的行动，从而可以通过半自动或全自动化行动实现先发制人。

最终，网络系统将可能会开始拥有生物系统的特征。与蚁群系统类似，装备纳米尺度的物联网（IoT）智能代理的部队可以通过协同实现弹性目标；当然，反之亦然。仿生网络系统将可能拥有数字免疫系统，免疫“细胞”将不断巡查，并在遇到病原体时不断学习和适应。自身免疫系统疾病可能是由于免疫因子调整不当造成的。研究人员可以会为特别致命的“微生物”开发“网络疫苗”，这一想法可以追溯到今天的防病毒软件，但是将在一个更具“进化性”的环境中。

随着网络系统在与自然界相似的适者生存压力下不断演进出新的防御措施，攻击者如今享有的非对称优势可能会开始遭受侵蚀。有鉴于此，我们可能会看到人类社会的一个新专业领域出现：网络饲养员（cyber husbandry），这是一个在自动化工具辅助下、由专家干预、对更具弹性的网络有机体进行选择性培育的领域。更奇异的是，局势可能会发生反乌托邦式的转变，现在占主导地位的、具有高度智能的网络系统将采用弹性策略——就像电影《黑客帝国》中展现的那样——将与人类合体成更具有杀伤力和服从精神的个体。人们只能期盼这样的场景更久远地存在于科幻小说的世界。

关于作者：

Thomas H. Llansó，约翰霍普金斯大学应用物理实验室（APL）非对称作战部门，马里兰州，劳雷尔市。

Thomas H. Llansó 是APL的首席专业工作人员，开展网络分析相关的应用研究（例如：风险分析、弹性分析、威胁缓解措施选择）。他拥有威廉玛丽学院计算机科学学士学位、约翰霍普金斯大学计算机科学硕士学位和达科他州立大学信息系统博士学位。他在约翰霍普金斯大学惠廷工程学院任教12年，并担任了9年的学生顾问。此外，他还是夏威夷国际系统科学会议的网络安全分论坛联合主席。他的电子邮件地址是 thomas.llanso@jhuapl.edu。

Daniel A. Hedgecock，约翰霍普金斯大学应用物理实验室（APL）非对称作战部门，马里兰州，劳雷尔市。

Daniel A. Hedgecock是APL非对称作战部门的网络安全态势感知开发人员和分析师、工作组助理主管和项目经理。他拥有格罗夫城市学院的应用物理学学士学位和约翰霍普金斯大学的应用物理学硕士学位。他曾供职于APL的空中和导弹防御和网络作战任务领域，拥有广泛的领导和研究分析背景。他的电子邮件地址是daniel.hedgecock@jhuapl.edu。

J. Aaron Pendergrass，约翰霍普金斯大学应用物理实验室（APL）非对称作战部门，马里兰州，劳雷尔市。

J. Aaron Pendergrass是APL的企业系统网络研究工作组的首席科学家，和APL网络作战任务领域确保关键任务研究领域负责人，以及APL软件确保研究和应用（SARA）实验室主任。他拥有欧柏林学院计算机科学学士学位和马里兰大学帕克分校计算机科学硕士学位。他在静态源代码和二进制分析、形式验证和操作系统完整性研究等方面拥有13年的经验。他的电子邮件地址是james.pendergrass@jhuapl.edu。

本文来源：关键基础设施安全应急响应中心