由江苏省委网信办指导,南京市委网信办、紫金山实验室、中国通信学会主办的第三届网络空间内生安全发展大会暨第六届“强网”拟态防御国际精英挑战赛将于2023年12月6日至9日在南京举办!
网络空间拟态防御(Cyber Mimic Defense,CMD)是邬江兴院士研究团队首创的理论,为应对网络空间中不同领域相关应用层次上基于未知漏洞、后门、病毒或木马等未知威胁,提供具有普适创新意义的防御理论和方法。
受生物界基于拟态现象的伪装防御启迪,CMD理论在可靠性领域非相似余度架构基础上导入多维动态重构机制,造成视在功能不变条件下,目标对象内部的非相似余度构造元素始终在作数量或类型、时间或空间维度上的策略性变化或变换,用不确定防御原理来对抗网络空间的确定或不确定威胁。CMD既能为信息网络基础设施或重要信息服务系统提供不依赖于传统安全手段(如防火墙,入侵检测,杀毒软件等)的一种构造化内生安全增益或效应,也能以固有的集约化属性提供弹性的或可重建的服务能力,或融合成熟的防御技术获得超非线性的防御效果!拟态路由器在其架构中引入多个异构冗余的路由执行体,同时引入了路由裁决、输入代理、调度清洗等拟态组件,实现多个路由执行体的“并行运行、单一呈现”。通过对路由器架构的拟态化构造,在保证功能性能不变的情况下,使拟态路由器能够不依赖于攻击特征实现对路由表篡改攻击的发现和阻断,有效提升路由器安全性。拟态Web服务器针对Web服务面临的安全威胁,根据拟态防御原理,在Web服务器的硬件平台层、操作系统层、虚拟化软件层、服务器软件层以及Web应用层设计功能等价、多样化的异构冗余执行体,通过拟态表决机制,阻断攻击链,并利用负反馈调度机制对执行体进行清洗恢复,极大地增加了Web服务运行环境中漏洞及后门的利用难度,在不影响Web服务功能、性能的前提下,保证Web服务的安全可信。拟态文件存储系统面向大数据分布式存储系统所面临的威胁而设计,针对系统中需要核心防护的元数据功能和信息进行动态化、异构冗余化的保护。系统基于多样化的软硬执行环境搭建多个等价的元数据执行体,通过分发-裁决机制和动态调度策略屏蔽由漏洞和后门发起的攻击交互,配合清洗机制阻断攻击链,扰乱攻击者的探测和渗透过程。基于拟态化的元数据结构能够使分布式存储系统的核心数据和功能逻辑得到有效的安全防护,从而显著提升整个系统提供文件存储服务的安全性。拟态域名服务器以遏制域名解析服务漏洞后门的可利用性、建立内生安全防御机制、大幅提高攻击者的攻击难度和代价为出发点,可以在不改变现有域名协议和地址解析设施的基础上,通过拟态防御设备的增量部署,能够有效防御针对域名系统漏洞后门的域名投毒、域名劫持攻击等各种已知和未知攻击,能够提供安全可靠的域名解析服务。拟态云计算系统,主要面向私有云市场,提供内生安全拟态云计算系统,具有内生安全、拟态防御、去耦合、可重构、自动化、 整体性、弹性化等特点。相比无安全措施的传统云计算系统更安全可靠,相比被动防御的传统云安全系统更加稳定和高效。同时,通过对原生云计算系统的多层次深度优化,使性能更优异、使用更方便,为用户提供开放、安全的企业级云数据中心运维管理能力,轻松助力用户构建和管理安全、开放的私有云环境,灵活、快速地满足复杂多变的云业务场景和需求。拟态云计算系统基于拟态防御原理,采用“动态异构冗余架构”,分别对云平台底层硬件、操作系统、Web服务云管理组件、计算虚拟化控制组件进行异构冗余设计。每个组成服务旨在共同提供一个完整的基础设施,每个服务提供的公共应用程序编程接口来推动整个架构形成拟态化。拟态云针对云计算面临的漏洞和后门问题,在基础软硬件环境、云应用软件等层面引入多样化,弹性地构建异构冗余运行环境及内生安全云业务,进而通过拟态裁决机制快速发现可疑威胁,保证正确输出结果,并在负反馈控制机制的作用下完成可疑执行体的下线、清洗、轮换等处置操作,在不影响各类云应用功能、性能的条件下,实现在“有毒带菌”环境下提供内生安全、可靠高效的云服务能力。本次竞赛,平台选取在江苏某银行实际部署上线的柜面端信息系统——某银行业务系统作为上云应用,保障该应用的安全可靠。拟态ADAS是基于自动驾驶内生安全技术的拟态防御设备,采用动态异构冗余构造和机制,实时动态监测ADAS系统感知决策结果,并通过多维负反馈动态调度、多模裁决和反馈控制等技术,可同时应对基于未知漏洞/后门的攻击和软硬件随机性故障等安全问题。拟态T-box围绕车联网边缘场景“高可用、高可靠、高可信”的高安全等级需求,基于拟态防御理论体系,构建面向智能网联汽车网联系统的轻量级内生安全防御架构。通过采取动态异构冗余的拟态安全机制,使得拟态T-box既支持抵御已知/未知漏洞后门等安全威胁,又具备低时延、泛在接入等通用能力,保障车载网联系统的功能安全和网络安全。拟态构造5G UDM(统一数据管理功能)的目标是解决5G网络硬件平台通用化、软件平台开源化、网络功能虚拟化、基础设施云化等带来的广义功能安全问题,包括软硬件平台不可控造成的信息泄露、数据篡改等网络安全问题,以及核心网云化后造成的可靠性、稳定性等功能安全问题。基于拟态防御DHR架构,在硬件平台、操作系统和功能软件层面进行异构化,通过构建复杂多样的异构执行体,利用输出裁决、清洗、轮换等安全机制,在不影响UDM正常功能和性能的前提下,消除了针对UDM的各种漏洞和后门带来的已知和未知安全威胁,保证UDM在5G网络全球互联互通背景下稳定地给用户提供认证、鉴权、漫游和切换等服务。内生安全控制器作为网络的“大脑”负责网络的管理和控制,监听北向数据库的内容变化,将表示逻辑网络的北向数据库翻译成网元数据流表格式的南向数据库,最终实现虚拟网络相关配置的管理。通过在控制器中植入基于动态异构冗余的内生安全结构,引入对应的输入代理、采用迭代机制的策略裁决器和反馈控制调度器,对多个控制器执行体翻译后的数据流表进行可信裁决,可抵御基于未知漏洞和后门的网络攻击,确保网络“大脑”的高可信安全。内生安全控制器实现了与网元结合自上而下的全方位安全可信,从根本上满足云网融合智慧化、多元化、高鲁棒、高安全的现实需求,填补了网络控制器在内生安全能力上的空白。第六届“强网”拟态防御国际精英挑战赛,实战开放式众测,展示内生安全系列拟态防御设备高可信、高可靠、高可用三位一体的网络弹性能力,持续检验中国制造内生安全数字产品的攻防实力,不断引领设计安全、默认安全、网络弹性技术发展新潮流!
还没有评论,来说两句吧...