軟硬體實體的***和暗功能是不可避免地,他們如果被某種因素出發而影響實體服務功能的可信性,則稱這些***和暗功能為「內生安全」(endogenous safety and security, ess)問題。
內生安全問題具有的技術特徵:
內生安全問題可抽象為兩類:
廣義不確定擾動(general uncertain disturbance, gud):直接或間接利用基於軟硬體廣義內生安全問題引發的非期望事件,它包含自然因素和人為因素。
廣義不確定擾動可能引發兩類安全威脅:
傳統的網路安全思維模式和技術路線很少能跳出「盡力而為、問題歸零」的慣性思維,在引入安全功能的同時不可避免地引入了新的內生安全隱患。「面多了加水,水多了加麵」的遊戲總是反覆上演,始終掙脫不出邏輯悖論之魔咒。
擬態計算(mimic structure calculation, msc):在功能等價的條件下,基於主動認知的動態變結構軟硬體協同計算。
領域專用軟硬體協同計算架構(domain specific architecture,dsa) 與擬態計算(msc)的關係
擬態計算架構在能效與效能目標間具有自由轉換、聯合優化、動態管理的功能。
針對攻擊者利用目標物件環境內生安全問題實施的「裡應外合」式的蓄意行動,有意識的運用基於威脅感知的功能等價動態變構系統處理環境的非確定性,應當可以擾亂或者瓦解以內生安全問題為基礎的攻擊鏈的穩定性與有效性,創造出一內源性「測不准」效應規避內生安全問題的信性防禦體制機制。
擬態計算和內生安全的本質都是功能等價條件下的軟硬體變結構協同處理體制機制。
將內生安全機制視為基於主動認知的變構計算在應用維度上的一種變換,在理論和實踐意義上都是十分貼切的。
基於「結構決定安全」的猜想:「是否存在一種結構或演算法,能將針對目標物件內生安全問題的網路威脅,歸一化為可靠性和魯棒控制理論與方法能夠處理的確定或不確定擾動問題。」
擬態防禦系統在廣義魯棒控制方面的突出表現:
能將針對擬態括號內執行體個體未知漏洞後門的隱匿性攻擊,轉化為擬態界內攻擊效果不確定的時間。這是空間層面而言的,不是每次都能攻擊成功
能將效果不確定的的攻擊事件歸一化為具有概率屬性的廣義不確定擾動問題。這一次成功了,下一次不一定能成功,攻擊效果不確定。
基於擬態裁決的策略排程和多維度動態重構夫反饋機制產生的「測不准」防禦迷霧,可以瓦解試錯或忙盲攻擊的前提條件。(試錯或者盲攻擊需要漏洞或者後門持續存在)
借助「相對正確」公里的邏輯表達機制,可以在不依賴攻擊者先驗知識或行為特徵資訊情況下,提供高置信度的逗我識別功能。
能將非傳統安全威脅歸一化為廣義魯棒控制問題並可歸一化處理。
將基於動態異構冗餘架構測不准效應形成的「防禦迷霧」,用於化解或規避目標物件內部「已知或未知風險」或「未知的未知威脅」的原理和方法,成為網路空間擬態防禦(cyberspace mimic defense,cmd)
網際網路企業安全高階指南讀書筆記(2)
第一版讀書筆記的內容太多,方式不行,嚴重影響看書效率,第二版 重新寫。第七章網路安全 網路入侵檢測 傳統nids 出口處部署,可以在1day披露的時候做虛擬補丁用 nids可以為字眼nids爭取時間。開源snort 全流量nids idc規模決定nids架構。d還是p 對於門檻而言,發現遠低於保護。...
網際網路企業安全高階指南讀書筆記(3)
第八章 入侵感知體系 主機入侵檢測 1.開源 ossec mig 救火利器 osquery 有一定idc規模,有一定安全開發能力,對入侵檢測有基於大資料理解的公司 2.自研 架構設計 行業法規需求 基礎安全需求 企業自身的特殊安全風險需求 運維體系 網路環境適應 agent功能模組 基線安全 日誌採...
讀書筆記 《網際網路企業安全高階指南》1 5
這本書一上市就買了,但一直沒有系統的總結下其中的知識點。最近抽時間仔細讀並總結下。網際網路安全從業者最大的挑戰並非技術,而是如何建立正確的行業格局觀,並且能夠與業務團隊 安全團隊管理層 公司管理層簡歷良好的溝通機制,取得信任和支援。甲方做安全不是簡單的找漏洞修漏洞這麼簡單。趁週末有時間,以思維腦圖的...