三正科技：美国态势感知之CFAR

近年来，美国国防高级计划局（DARPA）启动了众多网络空间领域前沿技术研发，在网络攻击溯源、自动化脆弱性分析、安全保密、大规模网络攻击防御、威胁检测与响应、网络弹性等技术领域布局大量项目，如谈过的通过增强网络资产机动性抵御大规模网络攻击的“极端分布式拒绝服务攻击防御”（Extreme DDoS Defense，XD3），以及今天要谈到的增强网络和系统弹性的“网络容错攻击恢复”（Cyber Faulttolerant Attack Recovery，CFAR）等。 

过时软件（未被继续更新维护的软件）仍然支撑着许多重要的业务功能和政府机构。这些系统可能不再维护，从而使它们更容易受到攻击。当前，现代计算机使用多核芯片运行，即还有另一种提高安全性的方法。分配一些计算能力来监控应用程序的被攻击迹象，将使过时软件不那么容易受到攻击。在CFAR中，每个内核在多执行环境中运行同一应用程序的变体。当正在运行的变体中出现显著差异时，正常运行的内核会迅速检测并终止被利用的会话。攻击在造成伤害之前就停止了。未被利用的会话将保持活动状态，确保关键应用程序功能仍然可用，即使对于具有已知漏洞的旧应用程序也是如此。

CFAR不依赖于程序源代码。如果源不可用，McSema会将二进制文件转换为LLVM位码，然后使用该位码生成具有相同功能但二进制级表示不同的多个程序。

CFAR已经测试了适用于复杂的面向网络的服务器软件。现在，正在努力提高二进制到LLVM的编译质量并支持更大的程序。 

过去三十年来，软件和硬件的快速创新产生了计算系统，尽管安全性有所提高，但仍然极易受到攻击。虽然无纸设计可以产生基本的安全改进，并逐渐扩散到安装群中，但这一过程可能需要数年时间。

CFAR为实现在防御网络技术方面取得革命性突破的目标，将开发和扩展计算机科学和技术的几个最新发展：

*频率缩放的结束导致CPU制造商将重点转移到新功能上，尤其是多核。多核芯片现在很常见；即使是智能手机也有四核。内核的激增可能会促进硅的使用以提高安全性。

*容错体系结构并行运行多个子系统，并不断交叉检查结果，以快速检测、隔离和缓解故障，这些故障表现为子系统之间的差异。使容错系统能够并行运行易受攻击软件系统的多个变体，这为在网络攻击立足之前立即检测和拦截网络攻击提供了机会。

*将软件转换为创建二进制可执行文件的变体可能会增加对手的工作因子，因为对一个变体的攻击可能会对其他变体失败。将编译后的二进制文件提升为适合重新编译的中间表示的最新进展，可以使该方法适用于无法访问源代码的系统。

CFAR旨在使国防部能够通过对遗留计算机系统进行重新编译，使其更加安全。由此产生的系统将与原始系统完全相同，因此不会产生再培训成本，也不会改变现有操作。 

2016年5月，Galois公司获得美国国防高级研究计划局 (DARPA)网络容错攻击恢复 (CFAR)计划的1000万美元合同，以使遗留系统更加安全。该计划通过使所涉及的软件多样化来解决军事和商业代码库中的软件漏洞。

当前的软件安全方法使军事和民间组织处于不利地位，因为它们必须不断追赶攻击者。攻击者只需要找到一种方式进入，而防御者必须覆盖所有可利用的途径。不得不依赖个别软件供应商及时修补他们的软件，这让防御者一直处于劣势。在遗留环境中情况更糟，补丁可能会延迟或不可用。

DARPA的CFAR计划寻求防御性网络技术的革命性突破，以保护军事和民用环境中现有和未来的软件系统，而无需改变这些系统的操作概念。该计划基于将多样性引入软件生态系统，通过变异和不可预测性提供保护。此外，通过运行一个软件的多种不同变体，可以使用行为差异来检测攻击并从攻击中恢复。

Galois公司的团队还包括Bits、Immunant和加州大学欧文分校等，团队旨在通过开发新方法来证明现有和未来软件系统的正确性、安全性和相关属性，来支持这一目标。基于对软件多样性、多变体执行和程序验证的多年研究，Galois公司的软件系统多样性 (RADSS) 解决方案将探索基于多样性的新攻击类别防御，并解决当前面临的关键挑战阻止这些技术的广泛部署，包括：

“通过结合多重执行和软件多样性，CFAR程序从质量上改变了防御计算，”Galois公司软件安全研究负责人史蒂芬（Stephen Magill）说，“许多现代防御都是基于增加软件的不可预测性，从而降低攻击者成功的机会。将不可预测性与多重执行相结合进一步减少了这些机会，并有可能完全消除某些类型的攻击。” 

DARPA的CFAR计划的基础是将多样性引入软件生态系统，通过变异和不可预测性提供保护。此外，通过运行一个软件的多个不同变体，可以使用行为差异来检测攻击并从中恢复。

RADSS旨在自动创建此类软件变体，并证明其正确性和安全性。该项目基于多年来对软件多样性和多变体执行的研究，旨在通过解决五个关键的研究挑战来提高最先进的技术水平。这些挑战包括：

（i）在系统和多样化变体中建立信任，

（ii）防御新类型的攻击，

（iii）在发生攻击时实现平稳恢复，

（iv）将基于多样性的防御扩展到仅以二进制形式可用的程序，

（v）将多变体防御扩展到多线程和自修改（例如，即时编译）程序。

为了建立对系统的信任，RADSS试图使用最先进的等价性检查技术来证明变体在正常参数范围内运行时表现相同，并证明变体在受到攻击时表现出可检测的差异。

为了防御新的攻击类型，RADSS旨在使用细粒度控制流监控、控制流完整性和不断发展的防御技术，其被称为动态多样性。

为了在变体妥协或失败的情况下实现平稳恢复，该公司旨在利用新的封送状态方法，该方法可用于使用来自未妥协变体的信息初始化新变体。

为了将基于多样性的防御扩展到仅以二进制形式可用的程序，RADSS试图通过重建高级程序抽象和改变多样性技术来超越当前最先进的简单、非侵入性调整，以容忍此类重建工作通常产生的部分信息。

作为RADSS的一部分，该公司还在进行新的基础研究，旨在将多变体防御扩展到多线程应用程序，这些应用程序将在多个处理器上并行运行，并扩展到在运行时（至少部分）编译的程序。 

（图片来自于外媒）

（来源：综合外网及外媒等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）