DARPA近年網絡空間安全領域主要項目梳理
前言
2021年5月18日,《美國創新與競爭法案》(United States Innovation and Competition Act of 2021)通過,由芯片和ORAN5G緊急撥款、《無盡前沿法案》、《2021戰略競爭法案》、國土安全和政府事務委員會相關條款、《2021迎接中國挑戰法案》和其他事項六部分構成。該法案進一步強化了《無盡前沿法案》提出的在科技領域贏得與中國的競爭的目標,提出了十大科技創新領域,其中包括網絡空間安全。基于此背景,編者梳理了美國防部、DARPA、國土安全部近年網絡空間安全領域的主要項目,以此厘清美在網絡空間安全領域的研發部署重點,供參閱。
美國國防部高級研究計劃局(DARPA)的網絡安全技術研發部署特別強調創新,強調探索新技術路線,以新思路應對網絡安全的舊問題與新問題。近年DARPA網絡安全技術研發部署重點包括高效攻擊溯源等威懾類技術,脆弱性分析、高安全系統設計、安全形式化設計與驗證、基于密碼的系統保護和大規模攻擊緩解等保護類技術,新型攻擊高速準確檢測和供應鏈隱藏威脅檢測等檢測類技術以及系統彈性增強和系統快速恢復等響應類技術。具體如下:
一 DARPA網絡安全技術研發部署
DARPA網絡安全技術研發部署主要分為威懾類技術、保護類技術、檢測類技術和響應類技術[1]。
(一) 威懾(Deter)類技術研發部署
威懾類技術,通過增加攻擊者的成本、減少其收益、提升其風險和不確定性來遏止惡意網絡活動。
DARPA在威懾類技術的研發部署重點在于高效攻擊溯源技術。
DARPA在威懾類技術的研發部署:
1. 高效攻擊溯源技術
1.1 Active Social Engineering Defense (ASED)
ASED(社會工程攻擊主動防御),自動化地誘導出實施社會工程攻擊者的信息,以此識別、破壞和調查攻擊,干預用戶與攻擊者之間的通信流程,主動檢測攻擊行為,調查攻擊者并溯源。
1.2 Enhanced Attribution (EA)
EA(增強的攻擊溯源),通過大范圍協作,提供與共享與攻擊相關的多種信息,增強攻擊溯源能力。
(二) 保護(Protect)類技術研發部署
保護類技術,促進組件、系統、用戶和關鍵基礎設施能夠有效抵抗惡意網絡活動,保障保密性、完整性、可用性。
DARPA在保護類技術的研發部署重點在于脆弱性分析技術、高安全系統設計技術、安全形式化設計與驗證技術、基于密碼的系統保護技術、大規模攻擊緩解技術。
DARPA在保護類技術的研發部署:
1. 脆弱性分析技術
1.1 Automated Rapid Certification Of Software (ARCOS)
ARCOS(軟件系統安全風險自動評估),迅速地對軟件系統的安全風險進行自動化評估。
1.2 Computers and Humans Exploring Software Security (CHESS)
CHESS(人機協作的軟件系統安全漏洞高效發現與修補),發展基于計算系統與人工高效合作的,具備高度可擴展性,能夠迅速發現并且修補所有種類軟件漏洞的能力。
1.3 Space/Time Analysis for Cybersecurity (STAC)
STAC(網絡空間安全的時空分析),識別算法中資源使用行為的時空特性中的安全漏洞,尤其是算法復雜度漏洞以及邊信道漏洞。
1.4 Side Channel Attack Testbench Estimator (SCATE)
SCATE(芯片設計階段邊信道檢測),在芯片設計階段進行邊信道檢測,使得芯片能夠在設計階段即修改完善,避免邊信道攻擊出現。
2. 高安全系統設計技術
2.1 Building Resource Adaptive Software Systems (BRASS)
BRASS(自主適應底層依賴資源變動的軟件系統),對設計與實現軟件系統的方法進行基礎性創新,使其能夠在其所依賴的物理、邏輯資源變化時無感,持續正常運行。
2.2 Clean-slate design of Resilient, Adaptive, Secure Hosts (CRASH)
CRASH(彈性、自適應、安全計算系統白板設計),設計新型計算系統,使其具備針對攻擊的高度抵抗力,能夠在被攻擊后提供關鍵服務,自動從以前的攻擊中學習,從而主動防御未來的攻擊,能夠從攻擊中自動恢復。
2.3 Configuration Security (ConSec)
ConSec(配置安全),自動化地生成、部署、強制執行設備與系統的配置項,使其能夠縮減攻擊面。將所有關聯的設備與系統的配置看作一個大系統的組成部分,以此整體視角保障配置安全。
2.4 Cyber Assured Systems Engineering (CASE)
CASE(嵌入式計算系統內生安全),發展設計、分析與確證工具,允許系統工程師在嵌入式計算系統的設計階段有機融入內生安全彈性機制,在應對攻擊時具備抵抗力。
2.5 Guaranteeing AI Robustness Against Deception (GARD)
GARD(人工智能對抗性欺騙魯棒能力保障),為人工智能對抗性欺騙魯棒能力保障奠定理論基礎,基于理論指導,識別人工智能易受欺騙的原因,指導能夠適用于多種對抗樣本攻擊的防御技術研究。
2.6 Quantifying Ensemble Diversity for Robust Machine Learning (QED for RML)
QED for RML(基于集成多樣化機制的機器學習對抗性魯棒能力度量),開展理論基礎研究,對集成多樣化機制機理深入理解,對其防御能力進行度量,并指導更高效的防御技術研究。
2.7 High-Assurance Cyber Military Systems (HACSM)
HACSM(網絡空間軍事系統安全高保障),以白板設計哲學,重新設計高安全的CPS系統,基于形式化安全驗證等方法,構建軍事系統安全高保障能力。
2.8 Resilient Anonymous Communication for Everyone (RACE)
RACE(高彈性強匿名通信系統),研究強匿名通信系統構建技術,即便系統數據與通信流程被攻破,也不能破壞通信雙方匿名性。
2.9 SAFEWARE
SAFEWARE(防逆向工程分析的軟件),研究新型軟件混淆技術,使其安全好處能夠度量,基于困難數學問題給逆向分析制造障礙。
2.10 System Security Integration Through Hardwareand Firmware (SSITH)
SSITH(硬件固件集成的系統安全),建立硬件安全架構,開發相應的設計工具,使得片上系統設計人員能夠保護其硬件,使得系統免受硬件漏洞利用的攻擊。
3. 安全形式化設計與驗證技術
3.1 Safe Documents (SafeDocs)
SafeDocs(高安全語法分析器),基于形式化驗證方法,構建高安全保障的語法分析器。
4. 基于密碼的系統保護技術
4.1 Securing Information for Encrypted Verificationand Evaluation (SIEVE)
SIEVE(加密確證與評估中的信息安全保護),突破零知識證明技術擴展性瓶頸,使其能夠用于大規模、復雜事務場景。
5. 大規模攻擊緩解技術
5.1 Extreme DDoS Defense (XD3)
XD3(極端DDoS攻擊防御),開展創新研究,基于包括分散計算設施、設施特征偽裝、終端系統自適應緩解等在內的方法,增強多類型DDoS的防御能力。
5.2 Harnessing Autonomy for Countering Cyberadversary Systems (HACCS)
HACCS(大規模僵尸網絡遠程銷毀),通過向大規模僵尸網絡注入自動軟件,使其能夠自動銷毀僵尸網絡中的主機被感染的惡意軟件。
(三)檢測(Detect)類技術研發部署
檢測類技術,高效地檢測甚至預測對手決策和活動。
DARPA在檢測類技術的研發部署重點在于新型攻擊高速準確檢測技術、供應鏈隱藏威脅檢測技術。
DARPA在檢測類技術的研發部署:
1. 新型攻擊高速準確檢測技術
1.1 Cyber-Hunting at Scale(CHASE)
CHASE(大規模網絡空間攻擊快速檢測與響應),發展自動化工具,能夠檢測、刻畫新型攻擊,采集相關數據,自動構造防御機制并在環境中部署。檢測、防御、響應流程在適當的人工干預下,盡量自動化,以機器速度防御攻擊。
1.2 Rapid Attack Detection, Isolation and Characterization Systems (RADICS)
RADICS(攻擊快速檢測、隔離與特征描述系統),基于態勢感知、網絡隔離、攻擊特征迅速確認等技術,在電力基礎設施遭受攻擊后,能夠迅速恢復。
1.3 Transparent Computing (TC)
TC(透明計算),為系統組件交互過程提供可視性,能夠利用系統組件交互細節數據,輔助高隱蔽性攻擊的發現。
2. 供應鏈隱藏威脅檢測技術
2.1 Vetting Commodity IT Software and Firmware (VET)
VET(系統供應鏈中軟件與固件安全隱患發現),在供應鏈中開展系統惡意軟件與固件發現研究,快速發現隱藏的惡意功能。
2.2 Microsystems Exploration: Safeguards against Hidden Effects and Anomalous Trojans in Hardware (SHEATH)
SHEATH(硬件隱蔽木馬檢測),基于多模式感知、邊信息提取、觸發機制發現等綜合方法,開展適用于復雜電路板卡上的硬件隱蔽木馬檢測技術研究,具備實時檢測能力和低誤報率。
(四)響應(Respond)類技術研發部署
響應類技術,防御者、防護措施和基礎設施通過高效地適應破壞、抵抗惡意活動、從損害中恢復、在恢復期間維持運轉,以及調整以挫敗未來的類似活動,對惡意網絡活動做出動態反應。
DARPA在響應類技術的研發部署重點在于系統彈性技術、系統快速恢復技術。
DARPA在響應類技術的研發部署:
1. 系統彈性技術
1.1 Clean-slate design of Resilient, Adaptive, Secure Hosts (CRASH)
CRASH(彈性、自適應、安全計算系統白板設計),設計新型計算系統,使其具備針對攻擊的高度抵抗力,能夠在被攻擊后提供關鍵服務,自動從以前的攻擊中學習,從而主動防御未來的攻擊,能夠從攻擊中自動恢復。
2. 系統快速恢復技術
2.1 Cyber Fault-tolerant Attack Recovery (CFAR)
CFAR(網絡空間攻擊容忍與恢復),提供能夠直接用于當前軟硬件系統的,能夠顯著提高其彈性能力的技術。
2.2 Rapid Attack Detection, Isolation and Characterization Systems (RADICS)
RADICS(攻擊快速檢測、隔離與特征描述系統),基于態勢感知、網絡隔離、攻擊特征迅速確認等技術,在電力基礎設施遭受攻擊后,能夠迅速恢復。
二 建議加快發展安全防御機制形式化分析驗證技術
安全防御機制形式化分析驗證技術是與當前的安全防御分析驗證技術完全不同的一類技術,強調嚴密性、可證明性等。應用該技術對安全防御效能所給出的結論是能夠達到的最強結論。該技術正處于迅速發展過程中,是安全頂級會議等研究界當前關注重點,也是微軟等業界重量級企業安全部門重點發展的技術。
建議重點關注本研究第一部分中的 ARCOS、CASE、HACSM和SafeDocs等項目,盡快掌握安全防御機制形式化分析驗證技術。重點針對我們的安全防御系統中的關鍵部分,如密碼模塊、核心協議等,先期發展針對性的形式化分析驗證技術,對其安全效能進行形式化證明,保證其安全性。后期則重點發展針對更復雜系統的高效能形式化分析驗證技術,并以安全服務的形式對外提供安全分析驗證服務。
