燕麦云5.1“拟态保险箱”:拟态安全技术全球首次商用
燕麦云   2019-12-03

“拟态网络安全存储”,是国家重点网络安全研发专项计划“网络空间拟态防御”的重要组成部分,由中国工程院院士、中国信息通信与网络交换领域著名专家邬江兴主导,由北京大学先进网络技术实验室负责研发。

前段时间,燕麦云实验室加入到 “拟态网络安全存储”技术研究与产业化中,并非常荣幸地参与了这项技术在全球范围内的首次商用——即将发布的燕麦云5.1产品中将推出具有划时代意义的“拟态保险箱”功能,打造政企数据资产安全的全球新标杆。

 

 

什么是“拟态网络”,它在守护政企“数字资产”安全方面有哪些革命性的贡献?

如今,网络数据安全问题已成为当前最大的挑战。前两年肆虐全球的Wannacry勒索病毒给所有人都敲响了警钟,但目前我们正在使用的大多数安全产品,都是治标不治本。

一个残酷的现实摆在眼前——面对未来有可能发生的各种新型网络攻击,我们却无法防御。

拟态网络,全称为“网络空间拟态防御”(Cyberspace Mimic Defense,CMD),提出这项理论的邬江兴院士认为,“无法防御新型网络攻击”根本原因有以下四个:

一、人类科技尚无法杜绝软硬件的设计缺陷和漏洞;

二、产品制造依赖经济全球化生态环境,无法杜绝后门问题;

三、现有科技尚无法彻底筛查软硬件中的后门和“暗功能”;

四、网络攻击技术门槛低,掌握基础知识及漏洞即可造成巨大伤害。
而拟态网络技术就是解决以上问题的“治本”办法。

2017年12月,邬院士及其领衔的科研团队出版了我国第一部自主、完整、可信的网络安全理论体系《网络空间拟态防御导论》,本书已经被翻译成多国语言并在全球发售。

 

 

拟态网络中“拟态”一词的灵感源于拟态章鱼。

拟态章鱼是一种海洋生物,是自然界的伪装高手。一方面,拟态章鱼拥有“隐真示假”的生理特征,可任意改变颜色和形状,可模拟多种环境和海洋生物;另一方面,依靠与生俱来的“免疫力”,拟态章鱼可以做到自动清除外来微生物和细菌的入侵,无须外力介入。

 

(图片来源于网络)

 

拟态网络技术可以为基础信息网络设施提供一种不依赖于传统安全手段(如防火墙、入侵检测、杀毒软件等)的一种内生的安全机制,从而对外来网络安全威胁形成一种近乎绝对的防御。

 

(图片来源于网络)

 

在之前的《何洋开讲》中,我给大家普及过两个概念:“被动安全”和“主动安全”。

“被动安全”是传统的信息安全手段,它的弊端在于,如果出现一种全新的计算机病毒,电脑必须感染了这种病毒、造成损失后,杀毒公司才有办法研制出相应的杀毒软件。

“主动安全”是新一代的信息安全技术,它自身的“免疫力”可以随着病毒的变化而改变,从而做到零感染。

面对一个完善的“计算机拟态免疫系统”,病毒压根就不可能感染到系统,因此也就不会后知后觉,发生等到损失造成了再去亡羊补牢的情况。拟态网络技术,就是这样一种主动安全防护机制。

2019年5月,全球首个拟态网络安全试验场正式开通,系统上线后即迎来全球29支顶级“白帽黑客”战队290余万次的攻击测试,结果无一得手,这充分证明了拟态网络技术的安全性。

 

拟态防御网络接受全球顶级
“白帽黑客”战队攻击挑战

而赋予拟态技术如此神奇能力的秘诀之一,是拟态理论中的一个核心概念——异构性。

从简单的数学原理上分析,拟态技术中的“异构性”就像是一座迷宫,这座迷宫只有一个入口,一个出口,但从入口到出口的路线却不是唯一的,“异构性”通常要求在迷宫中至少存在着3条或以上的有效路径。

也就是说,每当外部网络攻击威胁到拟态系统的时候,都会被带入一座迷宫。网络攻击通常由一连串网络请求组成,如果把网络攻击比作闯迷宫,一次网络攻击有10个网络请求,那么就相当于有10个人要闯迷宫,只有这10个人全部都从迷宫出口走出,一次网络攻击才算成功。

 

(图片来源于网络)

 

绝大部分网络威胁都是利用系统本身的漏洞进行攻击,回到我们举的例子,如果10个闯迷宫的人手里都拿着一本如何走出迷宫的攻略,拟态网络技术巧妙的地方是,就算1个人拿着攻略成功走过了迷宫,当第2个人开始进入迷宫的时候,第1个人走过的成功路径就会被封堵。

这样一来,原先的攻略和经验优势就会变得毫无用处,第2个人就必须在没有攻略的情况下,探索迷宫的其它成功路径。

因为迷宫的成功路径有很多条,而路径的开放和关闭的时间都是随机的,再加上所有这10个闯迷宫的人会走哪条路径根本就无法判断,因此,这10个人(网络攻击)成功闯过迷宫的成功率就无限接近于零,从而形成了一种近乎无懈可击的防御能力。

 

(图片来源于网络)

 

再拿Wannacry勒索病毒的例子来说,它的攻击主要是透过老旧的445端口感染电脑系统。但如果应用了拟态安全技术的话,就算是一些服务器和路由器的445端口仍然打开,攻击也无法成功。

原因也很简单,就算Wannacry的其中一个攻击请求成功通过445端口,但下一个攻击请求就会撞上445端口关闭且防火墙规则也不同的服务器或路由器。

这时候,如果Wannacry病毒的代码本身如果考虑不周的话,不但攻击不会奏效,更有可能引起病毒本身的程序崩溃。

 

(图片来源于网络)

 

拟态网络作为国家的重大科研课题项目,其本身是一个庞大的网络安全理论体系,拟态网络旗下有很多产品分支,比如拟态路由器、拟态Web服务器、拟态存储等。

此次,我们很荣幸可以参与拟态存储项目,燕麦云与北京大学先进网络技术实验室所共同组成的科学家团队,实现了全球首个拟态存储技术“拟态保险箱”的正式商用,在全新的网络安全挑战下,切实地保障政企客户的数据资产安全。

 

 

我也希望可以借由结合了拟态网络技术的燕麦云5.1产品,为“中国智造”献出自己的绵薄之力。燕麦云也立志,我们不但要继续研发和完善自主核心技术,同时也要将中国的尖端科技传播出去,并能产生市场价值,让全球政企客户都能感受到中国科技输出的影响力。