鲁棒控制与内生安全

2018-05-26 07:05邬江兴院士
网信军民融合 2018年3期
关键词:鲁棒控制拟态鲁棒性

◎邬江兴 院士

传统的安全问题是自然发生的安全问题,现在非传统安全问题是人为的,比如黑客或蓄谋已久的人所做的事情,这时候的安全问题就由Safety变成Security。对于Security怎么办呢?广义鲁棒控制是手段,获得的效果是内生安全。

广义鲁棒控制与网络安全挑战

广义不确定扰动定义如下:如果目标对象内部既存在某些传统类型的不确定扰动因素(例如可靠性问题、物理失效问题),也存在针对系统软硬件漏洞后门等“暗功能”的未知攻击扰动(人 为的),我们称之为广义不确定扰动,包括人为暗功能的扰动。

广义不确定扰动就存在广义鲁棒控制。广义鲁棒的定义如下:如果有一种广义鲁棒控制构造,即能在某些传统类型的不确定因素扰动下保持给定功能或性能在设计余度内,也能在基于系统内部漏洞后门等“暗功能”的不确定攻击作用下维持给定功能或性能。假如有这样的能力,我们就说它具有“抑制广义不确定扰动”的功能,也可以称之为“广义鲁棒控制构造”。

邬江兴院士

网络空间安全之本源问题

由于软硬件设计缺陷或脆弱性导致的安全漏洞无法彻底避免。产品提供者有意设计或产业生态环境中无意引入的具有“暗功能”性质的软硬件代码无法彻底杜绝。在可以预见的将来,尚缺乏技术和方法,无法穷尽或彻查目标系统问题代码及逻辑缺陷。网络空间也无法给出严格的操作规范以及它的行为准则,包括精准、可靠的监管手段。试图通过法律手段把这些问题解决也不太可能。

传统鲁棒控制构造由于无法实时感知“已知的未知”或“未知的未知”,这是网络安全界独有的表述,这不是一种非传统的不确定扰动影响,因而传统的鲁棒控制不具有抑制广义不确定扰动的能力。也就是说传统鲁棒控制没有办法对付广义不确定扰动,这是个世界性难题。

本属网络空间软硬件产品设计、制造和使用过程中存在的脆弱性或安全缺陷,或产业生态问题,由于无法实时管控软硬件产品内部的广义不确定性扰动,随着网络空间的急速膨胀,安全威胁就成为弥漫性问题,威胁弥漫在整个网络空间内。

这样潘多拉魔盒就这样打开了。网络空间自然产生“阿喀琉斯之踵”,现在从芯片到软件,部件到器件,到云、工业控制设备、网络路由器/交换机,这么多设备里我们会问他们可信吗?是安全的吗?具有鲁棒控制能力吗?

一个复杂系统或控制装置只要存在一个设计缺陷或混入一段恶意代码,就可能导致目标代码的遭殃。因为缺少先验知识而无法实时感知或认知基于软硬件问题代码实施的未知攻击,被迫处于“无法设防”状态。不是我们不愿意设防,是无法设防。对于攻击者来说,它具有“单向透明”的行动优势,他看得到,埋设了漏洞,并采取“里应外合、隐匿配合”的攻击方式。于是我们可以看到,软硬件安全质量问题必然会成为网络空间的“阿 喀琉斯之踵”。

邬江兴院士

现在的IT/ICT信息系统广义鲁棒控制功能状况

现有的广义鲁棒控制功能能做的事是基于威胁或扰动特征感知的鲁棒控制。鲁棒控制首先是感知,需要通过实时感知来获得关于不确定扰动的信息,比如攻击来源、攻击特征、渗透途径、攻击行为、攻击机理、目标环境等。要想实现鲁棒控制,必须解决鲁棒控制的实时性要求。由于软硬件目标对象自身既不能只是感知广义不确定扰动,又无法实时应用鲁棒控制技术抑制内部非期望的摄动,因而现有IT/ICT/ICS等信息处理或控制系统不具有广义鲁棒控制功能。

附加式防御的有效性取决于先验知识的完备性和精确感知能力,它属于亡羊补牢式的后天免疫,即使引入动态防御(美国人提出的移动目标防御)或加密认证机制。如果是基于后一个功能也就是渗透攻击的话,这两者的问题也是无能为力,对这两个问题的防范是没有用的。动态防御和加密认证,对于基于后门功能的渗透攻击也是无能为力的,因为它是内外勾结的。

附加式防御系统本身通常不具备广义鲁棒控制功能。于是出现两个问题,需要保护的对象自身没有广义鲁棒控制功能,作为它卫兵的系统也没有广义鲁棒控制功能,安全系统本身不安全。

广义鲁棒控制缺位之困局

一是无法设计出“没有漏洞后门”的软硬件。二是没有先验知识支持情况下,不知道什么是“扰动行为”,要想进行拦截和拦阻,什么是扰动行为都不知道是不行的。三是“单向透明”条件下可以从容地瞄准锁定和利用系统中的漏洞后门,动态防御能力除外。四是“里应外合”的隐匿攻击可以轻易绕过任何形式的附加防御,包括加密、密码技术的运用。因为加密算法还得放在CPU和芯片上,它里面有没有问题不知道。

缺乏广义鲁棒控制功能的软硬件产品越多,相关产业生态环境状况越恶劣,网络空间陷入恶性循环就成为不可避免的趋势。更糟糕的是,因为存在着公认的世界难题,无法实时感知,所以,全世界的软硬件产品提供商都不必担心会被追究其产品安全质量缺陷造成的责任。微软因为它的漏洞做过什么赔偿吗?进行召回吗?听过英特尔会为他的缺陷赔偿过吗?在商品世界里,产品质量的问题厂家都要负责的,可在这一点上,所有的IT厂家都可以对他的安全质量不负责任。当然,不是不愿意负责任,是因为世界性难题没有解决,所以没有办法负责任。因此,“潘多拉魔盒”无论在观念上还是事实上都是敞开的。

网络空间安全问题的核心是苍蝇总叮有缝的鸡蛋,网络空间安全问题的核心还是内因“不给力”,疏于抵抗。有没有办法解决这个问题,比如相对正确的公理和不确定扰动感知。

这都是瞎子摸象。“未知”和“不确定性”,在哲学意义上通常属于相对性范畴,原因是可感知的空间和可认知手段的局限性,当人类没有发明显微镜时我们根本不知道病毒和细菌是怎么回事,当我们没有设计太空望远镜的时候也不知道地球围着太阳转,也就是说位置和不确定性是相对的范畴。

人人都存在这样或那样的缺点,但极少出现独立完成同样任务时,多数人在同一个地点、同一时间、犯完全一样错误的情形。这是一个公理,我把它命名为“相对正确”公理。它有一个前提条件,也就是说对于个体成员而言,独立完成任务是大概率事件,完不成任务是小概率事件,不能让瞎子做他完不成的事儿。这就不存在内外勾结、协同作弊的问题,只有这种情况下相对正确公理是成立的。

基于这个公理我们有几个推论:

推论一:从成员个体行为看,虽然缺点或错误具有多样性,存在不确定性,但在独立完成同样任务a时,从群体层面观察,极少在同一时间、同一场合下犯完全一样的错误,态势情况可用概率表达,这是从不确定性到可用概率表达。它得到结果是只要任务成员间不存在共同的缺陷和“私下串联”的行为,在相对正确公理适用场景下,个体的不确定行为能在群体层面被相对正确的判定模式感知。一个不确定的东西通过相对正确的公理转换成可以相对确定的东西。

推论二:相对正确具有量子叠加态的属性。相对正确的感知结果,是相对正确,感知结果的确定性正确是大概率事件,不确定性是小概率事件,感知结果的不确定性是正确与错误同时存在,只是概率不同。

推论三:感知结果的“置信度”与下列因素强相关:独立执行任务人员的数量(冗余度),任务参与成员合题差异(异构度),任务完成指标的详尽程度(调查表或判决表等多少项,样本空间),指标项选取与圈中设置(最高分还是最低分,还是取中间值,还是要加权,这是表决策略)。

推论四:改变感知场景可转化问题的性质。我们把它从单一空间变换到多维空间,从同质化处理场景变换到功能等价的多元处理场景,从个体主观性感知到群体相对性判识,从关注局部效果到注重全局态势情况。我们把这些问题变换以后,以前的未知,以前的不确定可能都变成已知和确定,这是感知场景的转换,感知手段的转换,感知条件的转换,感知问题的性质变化了。因此,原有感知场景下无法认知的不确定扰动问题能用相对正确的等价场景转化为具有概率属性的可感知问题。

用公理等价场景感知不确定失效得到实际应用,叫非相似余度架构DRS。这个架构最后的约束条件是系统各种零部件出现物理性不确定失效是小概率事件,零部件设计缺陷导致的不确定性扰动也是小概率事件。在两个约束条件成立的情况下,构件或设计缺陷导致的不确定扰动就能够被转换为功能等价、异构冗余、相对性判决场景下系统层面可用概率表达的品质鲁棒性问题。

这种构造成熟地在B-777和F-16战机上得到了应用,在可靠性不够的情况下,用构造创新来解决问题,可以控制系统故障率分别低于10的负11次方和10的负8次方,这在当时没有任何一个飞控系统的元器件达到这个水平,但用系统构造技术达到了,也就是说用相对正确的工艺等价表达形式能把不确定和未知的东西转换成概率可控的问题。

构造决定安全,拟态构造与内生安全效应

构造决定安全,不论A1、A2或Ai中有何漏洞后门、病毒木马,也不论它们有什么样的行为特征,只要不能使输出矢量同时产生完全或多样的错误,就会被多模表决机制发现并拦截。原来这两个问题是不可能归一的,不确定失效是物理性问题,不确定威胁是人为问题。这种归一化产生内生安全机制,就是已知或未知的个性化攻击以及确定或不确定的扰动因素,都能被DRS构造感知为可靠性且具有概率可控的特性。这是让我们非常心宽的事情。

DRS传统的表决方式,内生安全机制的局限性,由于构造、构件以及机制的确定性和静态性,使之不能够应对“协同作弊”或“试错”式攻击。现在表决里辐射UI。协同作弊不行,它的内生安全机制,不具备内生稳定的鲁棒性,你搞作弊的话它不具有稳定鲁棒性。于是怎么办?我们要改造一下,所以用冗余架构。输入序列,通过异构m个执行体,它不具有稳定鲁棒性,于是把它改造一下,变成动态鲁棒冗余架构,这里增加了反馈和负反馈控制器。增加以后的效果是什么?可以在某些不确定的特定条件下具有稳定性、渐近调节和可收敛动态性保持不变的特性,也就是应对“试错/协同攻击”的稳定鲁棒功能,也就是DHR能对付协同攻击和试错攻击,机制上就不允许。DHR结构具有归一化的处理功效,无论是目标对象(软硬件)内部的随机性差模失效还是未知差模攻击,无论是基于目标对象暗功能的外部攻击还是内部渗透攻击,无论是传统的不确定扰动问题还是非传统安全的未知威胁,总之都能转换为稳定鲁棒性和品质鲁棒性问题并处理之。

拟态构造可视化表达。给定服务功能不变的情况下,目标对象运行场景处于测不准的状态,任何针对执行体个体的不确定攻击首先被拟态构造感知为群体层面的相对性事件,并且能被变换为概率可控的可靠性事件。它的内生性效应就是非配合条件下动态多元目标协同一致攻击。靠一个漏洞或一个后门,或靠几个漏洞后门去攻击指法产生一致性的结果,这种漏洞是没有用的,在机理上已经把攻击否定掉了。于是,广义鲁棒控制属性的拟态架构可以承载高可靠、高可信、高可用的三位一体服务功能,尤其是工业控制系统,因为它没办法附加太多的防火墙、入侵检测、入侵容忍这一套。所以,用拟态架构可以三位一体把这个问题解决,而不需要通过附加形式。

鲁棒控制机理

通过策略调度到拟态界,给它一个输入代理条件,各自做不一样的事,进行不同的算法,按结果表明输出,裁决状态反馈,不合适再换。这个机制,拟态场景调度原则,用适当的防御场景来应对相应的攻击威胁,在拟态环境里不是问题归零,而是用问题快速规避。兵来降挡,水来土掩,并不是万能的,只要A情况不行,B情况行的时候,B情况就能上。未知威胁在内的不确定扰动被拟态构造变换为拟态界内同时出现多数一次性错误的概率问题且具有可靠性,这是拟态构造最大的发现。

测不准效应。拟态也有这个特点,因为任何探测、试错攻击或扰动都可能导致当前服务场景改变,在机理上与测不准原理等通过密码方式暴力破解方式无异,因为这是物理问题,不是计算方法问题。拟态构造的广义鲁棒控制机制的产生,既不依赖攻击者先验知识和行为特征信息,也不依赖附加或外置防御措施有效性的拟态安全效应。它广义上是个拟态安全效应的内生效应,并不是刻意把它弄出来的。内生安全目标,可应对目标对象漏洞后门等暗功能引发的确定风险或不确定性威胁,内生安全机制的有效性,不依赖外在防御手段或任何先验性知识,不以系统软硬件安全可信为前提,适应经济全球化生态环境,既能防外部攻击也能防内部作案,安全制度以可控可管手段为基础,能自然融合附加安全防护措施,并能获得超非线性的防御效果。它的异构性可以通过附加防御措施增加它的异构性,异构体之间如果异构度无穷大的话,它的安全性也是无穷大。具有高可靠、高可信、高可用三位一体的鲁棒性服务和控制功能,与传统加密认证方法一旦破解即可崩溃问题不同,即使被成功也只是一次,极低的概率。

因此,安全的东西可以经过标定设计、可验证度量的广义鲁棒性范畴。拟态防御场景数量、防御场景之间的相异度,多模输出矢量内容丰度,裁决空间与裁决策略、拟态界设置层面、调度策略和多维重构策略、鲁棒控制算法都能调整它的概率。拟态构造的稳定鲁棒性和服务的品质鲁棒性可标定设计,能用经典可靠性验证理论和注入测试方法来验证和度量,不是让黑客测试。

迄今为止,尚没有一种信息服务装置或网络安全设备可以接受广义鲁棒性注入测试和度量(白盒测试),包括移动目标防御MTD为代表的各种动态防御或者加密认证、可信计算类的底线防御。DHR构造建立在跨领域的理论技术创新基础之上,以相对正确公理为核心,以系统工程理论为主线,以非相似余度架构与鲁棒控制理论和技术为基础,以可靠性验证理论和方法为定性、定量测试评估手段。没法定量测试拟态解决问题,可以用概率表示,拟态构造的集约化效应,主动与被动防御一体化,内生安全与可靠性一体化,服务提供与安全防护一体化,防外部与防渗透攻击一体化。

钱老先生的系统论对我有很大的影响,拟态构造内生机制形成的拟态安全效应,为自主可控、安全可信开辟出一条基于系统工程理论和方法的实现途径。

当然,因为拟态要异构,这种异构冗余带来了设计、体积、成本、功耗和复杂度的增加,需要实现技术方面的再创新,但在同等功能性能条件下拟态系统具有传统系统不可比拟的综合性价比优势。至少没有0day的问题,没有漏洞库的升级问题,没有病毒库的修改问题,也没有杀毒软件升级的问题。所以,要把握住拟态这个条件,需要依赖软硬件多样性、多元化供应链以及快速式的产业生态环境。

如何保证开放式环境下的一元度和互异性,这既是科学问题也是工程技术问题。不管怎么说,不同领域面临不同实现技术挑战,理论与实践的结合层面仍需要不断完善或再创新。

国家自然基金委创新群体项目把网络安全与防御机制的研究作为创新躯体。去年12月18日科学出版社出版了《网络空间拟态防御导论》,这本书从理论和原理论证层面颠覆了当前围绕目标对象软硬件代码缺陷的攻击原理与方法。国家重点研发计划——先进防御技术试验场,完全是拟态化的网络设备,这将彻底抵消技术先行者和市场垄断者通过隐匿漏洞、植入木马获得的单向透明战略优势。国家重点研发计划——内生安全的主动防御工控系统,重点研究如何用拟态构造技术改造和升级工控领域技术产品,解决工控系统普遍缺乏内生防御的问题,当然还有终结地下黑市攻击服务,黑客攻击等,构建工业4.0和中国制造2025时代三高三位一体内生安全的新一代工业控制系统和装备。

在网络基础领域,军事部门、运营商,控制领域、电商领域、金融领域都在试点示范,前一段时间,拟态域名服务器正式上线。拟态固网的应用前景很光明,它是构造基因,对芯片、模组、开源的软件硬件、中间平台、系统网络具有渗透性、普适性、继承性、集约化的效应,所以它具有裂变效应。于是,拟态构造理论和方法破解了目标对象软硬件“暗功能”不能管控的公认难题,使得应用广义鲁棒控制技术与方法屏蔽软硬件产品安全缺陷成为可能。

习总书记提出的一体之两翼,驱动之双轮发展战略,为军民融合发展新一代信息技术和产业,实现换道超车提供创新活力和市场驱动力。在IT/ICT/ICS/CPS等技术产业发展上,中国有望成为技术的引领者。

核心知识产权包括国内外专利,我们授权拟态技术与产业创新联盟成员单位免费使用,在授权IP基础上形成的新知识产权与授权者共享且后者只保留获利权并自愿放弃单独实施权,以确保排他性。目前已经有60多家单位签订了核心授权协议。拟态构造应用范围非常宽广,拥有足够大的技术创新空间可容纳众多市场参与者最大程度吸引国内外力量参与拟态技术的产业创新发展。

标定与检定

拟态构造通常只是增加了产品的广义鲁棒性,故而凡是涉及产品现有标准或规范,比如路由器按照工信部的标准测,测完以后再测广义鲁棒性。增量性的拟态防御功能性能的标准或规范由国家保密局审批和发布,其检测中心负责产品相关标准复合型检测认定。有了国家权威部门主导产品技术标准和检测规范,保证市场健康,通过互联网测试就是拟态,没有通过就不是的。拟态系统控制与服务是分离的,现在的互联网只是拟态后面加了一个结构,使行业技术拥有者具有应用创新的先发优势。

还要有商业杠杆。由于拟态构造产品的广义鲁棒性是可设计标定,可验证度量,属于可精算的概率范围,满足保险服务的基本要求。于是我们知道,下一步只要能给各类拟态产品的广义鲁棒性精算登记,并能通过国家保密局检测中心的检定,保险业界愿意提供相关险种服务,包括再保险服务,我们可以用保险级来撬动产业发展和推动拟态技术的应用。

在保险业的支持下,拟态产品将获得市场先发优势,并迫使非广义鲁棒控制功能产品尽快转型升级。一旦人家拿出拟态防火墙,你还是用传统防火墙,用户肯定不会用你的,因为拟态防火墙是有公司保险的,你没有保险。因此,开辟了IT/ICT/ICS技术产品和控制装置的保险业技术通道,我们以颠覆性技术撬动了保险业,以保险业助力网络安全增量市场开拓,以旺盛市场需求反哺新技术的成熟与发展。

这就是我们的产业发展路线图。我大胆预言,传统信息技术产业将发生“雪崩运动”,新一代具有内生安全属性的广义鲁棒控制软硬件产品必将在网络强国战略发展纲要的推动下快速崛起,并会导致现有市场格局“重新洗牌”。

猜你喜欢
鲁棒控制拟态鲁棒性
章鱼大师的拟态课堂
荒漠绿洲区潜在生态网络增边优化鲁棒性分析
基于确定性指标的弦支结构鲁棒性评价
针对输入时滞的桥式起重机鲁棒控制
模仿大师——拟态章鱼
关于拟声拟态词的考察
漂浮基空间机械臂T-S模糊鲁棒控制
基于高阶奇异值分解的LPV鲁棒控制器设计
基于干扰估计的高超声速飞行器鲁棒控制方法
基于非支配解集的多模式装备项目群调度鲁棒性优化