1.4 先敵變化的動(dòng)態(tài)賦能

通過(guò)探究安全漏洞的本質(zhì)可以發(fā)現(xiàn)，在信息技術(shù)研發(fā)、應(yīng)用的整個(gè)生命周期中，漏洞廣泛存在，不可避免。首先，馮諾依曼架構(gòu)自身的缺陷以及基于TCP/IP協(xié)議棧互聯(lián)網(wǎng)體系的不安全性等問(wèn)題，導(dǎo)致了安全漏洞的不可避免性。其次，計(jì)算機(jī)軟件系統(tǒng)規(guī)模的快速增長(zhǎng)、新技術(shù)和新應(yīng)用的推陳出新以及軟件系統(tǒng)復(fù)雜度的提高，增大了漏洞產(chǎn)生的概率。最后，軟件和系統(tǒng)是由人設(shè)計(jì)和實(shí)現(xiàn)出來(lái)的，人的天生惰性和認(rèn)知局限性導(dǎo)致漏洞無(wú)法避免。

現(xiàn)有的防護(hù)手段主要是被動(dòng)防護(hù)，除了加密和認(rèn)證外，主要是基于先驗(yàn)知識(shí)，安全防護(hù)系統(tǒng)的狀態(tài)一經(jīng)固化，能力隨之固化。安全防護(hù)裝備一經(jīng)定型，能力也隨之定型。這種靜態(tài)的、封閉的、被動(dòng)的防護(hù)方式，無(wú)法應(yīng)對(duì)未知漏洞攻擊。就如前面例于中提到的：基于先驗(yàn)特征的入侵檢測(cè)系統(tǒng)無(wú)法應(yīng)對(duì)未知攻擊。基于行為的主機(jī)防護(hù)軟件可以被蓄意繞過(guò)。基于殺箱的惡意行為分析技術(shù)，依據(jù)不同的場(chǎng)景和應(yīng)用也存在多種繞過(guò)方法。

漏洞的客觀存在性以及現(xiàn)有防護(hù)的被動(dòng)性使得網(wǎng)絡(luò)攻防具有易攻難守的不對(duì)稱態(tài)勢(shì)，為扭轉(zhuǎn)這種被動(dòng)局面，需要突破傳統(tǒng)思路，發(fā)展和創(chuàng)新能夠改變“游戲規(guī)則”的技術(shù)和體系，如圖1-11所示。《孫于兵法》云：“兵者，詭道也。用兵之道，在于千變?nèi)f化，出其不意”，這種“變”的思維方式適用于戰(zhàn)場(chǎng)空間，也同樣適用于網(wǎng)絡(luò)空間。在戰(zhàn)場(chǎng)空間，通過(guò)陣法、隊(duì)形的變化，可達(dá)到出其不意的制勝效果。在網(wǎng)絡(luò)空間，也一樣可以通過(guò)軟件、網(wǎng)絡(luò)、平臺(tái)等結(jié)構(gòu)的動(dòng)態(tài)變化，達(dá)到“敵不知其所攻”的目的。

1.4.1 兵法中的因敵變化

在中國(guó)傳統(tǒng)文化中，“通達(dá)權(quán)變”被看作是最高境界，儒釋道法兵家皆然。《文于.道德》中有“圣人者應(yīng)時(shí)權(quán)變，見(jiàn)形施宜”。《莊于.大宗師》中莊于回答弟于：“了解道的人必定通達(dá)于理，通達(dá)于理的人必定明白權(quán)變，明白權(quán)變的人才不會(huì)因外物而害累自己。”孔夭于也說(shuō)過(guò)：“知窮之有命，知通之有時(shí)。”

與道儒家等相比，兵家尤為推崇“變通”這一根本思維方式。孫于在《九變篇》中就專門闡釋了帶兵打仗需機(jī)變?nèi)俚牡览怼洃?yīng)當(dāng)全面辯證地思考問(wèn)題，見(jiàn)利思害，見(jiàn)害思利，趨利避害，才能立于不敗之地。機(jī)變需動(dòng)靜結(jié)合，操縱對(duì)手，變化局勢(shì)，“屈諸侯者以害，役諸侯者以業(yè)，趨諸侯者以利。故用兵之法，無(wú)恃其不來(lái)，恃吾有以待也。無(wú)恃其不攻，恃吾有所不可攻也”，要求將帥懂得圓融變通，除了策略上的變化，還要懂的兵法中最直觀體現(xiàn)因敵變化的要算陣法。而古代陣法中最著名、最神秘的恐怕非諸葛亮的“八陣圖”莫屬。下面我們將對(duì)號(hào)稱鬼神莫測(cè)的“武侯八陣”一探究竟。

1.八陣圖的由來(lái)與特點(diǎn)

“功蓋三分國(guó)，名高八陣圖。江流石不轉(zhuǎn)，遺恨失吞吳”。凡是看過(guò)《三國(guó)演義》的，可以說(shuō)沒(méi)有人不知道蜀丞相諸葛亮的變幻莫測(cè)、威力無(wú)窮、令強(qiáng)魏聞風(fēng)喪膽的八陣圖。正是憑借八陣圖在軍事上的獨(dú)特優(yōu)勢(shì)，他才能以蜀國(guó)之薄弱力量，數(shù)次發(fā)動(dòng)伐魏戰(zhàn)爭(zhēng)，進(jìn)行恢復(fù)中原的嘗試。盡管這些戰(zhàn)爭(zhēng)井未達(dá)到預(yù)期的目的，但對(duì)鼎立中處于弱勢(shì)的蜀國(guó)而言，卻在一段時(shí)間內(nèi)發(fā)揮過(guò)以攻為守的自衛(wèi)作用。

那么，神秘莫測(cè)的八陣圖是真實(shí)存在的嗎？如果存在又到底是什么樣于的？其實(shí)陣法是古代冷兵器時(shí)代一種戰(zhàn)斗隊(duì)形的配置，是在古代戰(zhàn)爭(zhēng)短兵接戰(zhàn)的條件下，為要求戰(zhàn)場(chǎng)上統(tǒng)一指揮和協(xié)同動(dòng)作而產(chǎn)生的。中國(guó)古代很講求陣法，代有傳書(shū)。孫于有八陣，孫臏在《孫臏兵法》中也有《八陣》篇，到了東漢作戰(zhàn)訓(xùn)練中更是普遍使用八陣。而八陣圖就是諸葛亮從蜀國(guó)以步兵為主力的實(shí)際出發(fā)，在原有的古八陣基礎(chǔ)上創(chuàng)新陣法，歷時(shí)多年繪制而成。

諸葛亮八陣圖整體上屬于防御性陣型，主旨思想是動(dòng)靜結(jié)合、因敵變化、操縱對(duì)手。其主要特點(diǎn)是部署上沒(méi)有弱點(diǎn)，任何方向遭受攻擊，整體大陣不需要做出根本性的改變。一處遭到攻擊，兩翼相鄰的陣可以自動(dòng)變?yōu)閮梢恚Ｗo(hù)支援遭受攻擊之陣。

2.八陣圖的結(jié)構(gòu)與變化

要弄明白八陣圖如何變幻莫測(cè)，就必須對(duì)其組成結(jié)構(gòu)進(jìn)行基本的了解。真實(shí)的八陣圖經(jīng)文簡(jiǎn)略，語(yǔ)義模糊，但經(jīng)歷代文人學(xué)者的考證解釋，其大致的結(jié)構(gòu)與布置方法是明晰的。《朱于語(yǔ)類》卷第一百三十六朱熹有云：“如八陣之法，每軍皆有用處。天沖、地軸、龍飛、虎翼、蛇、鳥(niǎo)、風(fēng)、云之類，各為一陣。有專于戰(zhàn)斗者，有專于沖突者，又有纏繞之者，然未知如何用之”。對(duì)八陣的名號(hào)與特點(diǎn)作了簡(jiǎn)述。《握奇經(jīng)》中又有解釋：“以天地風(fēng)云四陣為正，龍虎鳥(niǎo)蛇四陣為奇，四正四奇總為八陣。”大將居陣中掌握機(jī)動(dòng)兵力（即所謂“余奇”之兵），稱為“握奇”。經(jīng)中還描述了布陣的步驟以及應(yīng)敵方法：布陣時(shí)，先由游軍于陣前兩端警戒。布陣畢，游軍撤至陣后待命。作戰(zhàn)時(shí)，四正與四奇之兵與敵交鋒，游軍從陣后出擊配合八陣作戰(zhàn)，大將居中指揮，井以“余奇”之兵策應(yīng)重要作戰(zhàn)方向。八陣示意圖如圖1-12所示。

描述更為詳細(xì)的則是明代龍正撰寫(xiě)的《八陣圖合變說(shuō)》，書(shū)中對(duì)八陣圖的結(jié)構(gòu)和變化進(jìn)行了詳細(xì)的描述，其所有變化都是基于書(shū)中定義的結(jié)構(gòu)元：天衡、地軸、風(fēng)、云、前后沖等。我們要明確其如何變化，就需要對(duì)這些結(jié)構(gòu)元有一個(gè)基本的了解。八陣圖整個(gè)大方陣共有64個(gè)小陣，大方陣之后可能還有游騎構(gòu)成的24個(gè)小陣，一共是88個(gè)小陣。如圖1-13所示，圖中每一個(gè)小圓圈代表一個(gè)小陣。

可以看到，這個(gè)結(jié)構(gòu)元圖與通用的八陣示意圖還是基本對(duì)應(yīng)的，都是64個(gè)小陣，外加24個(gè)游兵陣。有了這個(gè)圖，就可以對(duì)八陣（天覆、地載、風(fēng)揚(yáng)、云垂、龍飛、虎翼、鳥(niǎo)翔、蛇蟠）變化進(jìn)行描述。八陣的每一陣都是從總陣結(jié)構(gòu)中抽取部分變化而成，陣與陣之間是有聯(lián)系的，也可以根據(jù)形勢(shì)互相變化。本節(jié)通過(guò)直觀的圖形對(duì)八陣圖4種基本變化做簡(jiǎn)單描述。

（1）內(nèi)外之分為第一變

戰(zhàn)斗中我方處于守勢(shì)，敵軍處于攻勢(shì)時(shí)，八陣圖可變化為圓形的天覆陣以加強(qiáng)防御。如若攻守膠著，則可變化為可攻可守的地載陣以提高應(yīng)變靈活性，如圖1-14所示。

（2）左右之分為第二變

左右變化為云垂陣或風(fēng)揚(yáng)陣。云垂陣開(kāi)始時(shí)沒(méi)有固定形狀，可用以迷惑敵人，隨形勢(shì)可迅速化為鳥(niǎo)翔陣，攻守轉(zhuǎn)換，對(duì)敵人發(fā)起犀利攻擊。風(fēng)揚(yáng)陣本身陣形威嚴(yán)張揚(yáng)，卻可隨形勢(shì)迅速化為蛇蟠陣，以阻撓、纏繞敵人，如圖1-15所示。

（3）前后之分為第三變

總陣的后一半變?yōu)辇堬w陣，前一半變?yōu)榛⒁黻嚒｝堬w陣“潛則不測(cè)，動(dòng)則無(wú)窮”，可攻可守，變化萬(wàn)端。虎翼陣“伏虎將搏，盛其威力”，可在困住敵人時(shí)發(fā)動(dòng)總攻。如圖1-16所示。

（4）四隅之分為第四變

東北和西南兩隅可變陣為攻擊力極強(qiáng)的鳥(niǎo)翔陣，“一夭突擊，三軍莫當(dāng)”。西北和東南兩隅可變陣為蛇蟠陣，能屈能伸，可圍可繞。如圖1-17所示。

上述4種變化只是基礎(chǔ)性的陣形轉(zhuǎn)換，在實(shí)戰(zhàn)中，將帥還可根據(jù)形勢(shì)發(fā)展，隨時(shí)對(duì)陣形做出調(diào)整變化。

我們可以想象一下，以這樣一種結(jié)構(gòu)動(dòng)態(tài)變化的陣形對(duì)戰(zhàn)部署后一成不變的陣形，孰勝孰敗已經(jīng)是顯而易見(jiàn)了。

1.4.2 不可預(yù)測(cè)性原則

實(shí)際上《孫于兵法》中“變”的思維方式在網(wǎng)絡(luò)安全領(lǐng)域中早有應(yīng)用。在安全防護(hù)機(jī)制中引入的隨機(jī)性因素，可有效對(duì)抗諸如基于固定內(nèi)存地址的溢出攻擊、數(shù)據(jù)分組篡改偽造攻擊以及認(rèn)證繞過(guò)等攻擊方式，增大攻擊者的攻擊實(shí)施難度，顯著提高系統(tǒng)或軟件的安全性。

微軟Windows操作系統(tǒng)一直是黑客攻擊的重要目標(biāo)。多年來(lái)，微軟和黑客之間在緩沖區(qū)溢出攻擊方面的斗爭(zhēng)從來(lái)沒(méi)有停歇。微軟Windows操作系統(tǒng)用戶長(zhǎng)期受到緩沖區(qū)溢出攻擊的威脅，損失慘重，微軟也不斷地在新版本中增加新的安全機(jī)制來(lái)對(duì)抗緩沖區(qū)溢出攻擊。微軟無(wú)法保證系統(tǒng)自身或運(yùn)行在系統(tǒng)中的軟件沒(méi)有漏洞，它在采取SDL等措施減少漏洞的同時(shí)，著力采取新的做法來(lái)讓漏洞攻擊方法失效。惹不起，躲得起，微軟從Windows Vista操作系統(tǒng)開(kāi)始玩起了躲貓貓游戲，部署ASLR（Address Space Layout Randomization，地址空間布局隨機(jī)化）來(lái)增加攻擊難度。ASLR的實(shí)現(xiàn)需要程序自身和操作系統(tǒng)的雙重支持，因此，微軟從Visual Studio 2005 SP1開(kāi)始增加了ASLR開(kāi)關(guān)。ASLR讓進(jìn)程的棧基址隨機(jī)變化，從而使攻擊程序無(wú)法準(zhǔn)確預(yù)測(cè)到內(nèi)存地址，大大提高了攻擊門檻。其實(shí)，地址隨機(jī)化的思想井非微軟首創(chuàng)，在Windows Vista 之前，該技術(shù)已經(jīng)被提出井在一些開(kāi)源系統(tǒng)中實(shí)現(xiàn)，例如Free BSD、PAX等。

微軟使用的ASLR技術(shù)，在較新版本的Linux內(nèi)核中也支持。Android從4.0版本開(kāi)始支持，蘋果i OS從4.3版本開(kāi)始支持。在ASLR的控制下，程序啟動(dòng)時(shí)，其進(jìn)程的棧基址都不相同，具有一定的隨機(jī)性，對(duì)于攻擊者來(lái)說(shuō)，這就是不可預(yù)測(cè)性。

不可預(yù)測(cè)性還能有效對(duì)抗基于篡改、偽造的攻擊。假設(shè)一個(gè)辦公系統(tǒng)中，用戶上傳的附件是按照數(shù)字升序排列的，例如，id＝123，id＝124，id＝125等。

這樣的編號(hào)，使得攻擊者可以輕易遍歷系統(tǒng)中所有附件編號(hào)，包括其他用戶上傳的附件。攻擊者只要在刪除附件的請(qǐng)求中修改一個(gè)數(shù)字，就可以刪除其對(duì)應(yīng)的附件。如果攻擊者想刪除所有的附件，也只需寫(xiě)一個(gè)簡(jiǎn)單的腳本就可實(shí)現(xiàn)批量刪除。如果辦公系統(tǒng)開(kāi)發(fā)人員有安全意識(shí)，在編號(hào)時(shí)帶有一定的隨機(jī)性，使得id的值不可預(yù)測(cè)。例如，id＝094e5c24-a2d4-92adcbad0932，id＝ec13bc26-a39c- 34d457aa826e，id＝9f68801b-a3ee-68c37e27ea67，id變得完全不可預(yù)測(cè)，攻擊者無(wú)法在利用之前的方法遍歷刪除其他附件，攻擊門檻大大提高了。

不可預(yù)測(cè)性也可以用于對(duì)抗認(rèn)證繞過(guò)攻擊。認(rèn)證是一種確認(rèn)某人是否真的是某人的行為，需要核實(shí)一個(gè)人的身份。在測(cè)覽器和Web服務(wù)器之間的會(huì)話是通過(guò)Session來(lái)管理的，而且是通過(guò)會(huì)話中的信息識(shí)別用戶是否已經(jīng)通過(guò)認(rèn)證。因此，如果Session是可以預(yù)測(cè)的，一個(gè)惡意的用戶就能利用規(guī)律猜測(cè)到一個(gè)有效的Session，然后通過(guò)修改請(qǐng)求中的Session為一個(gè)預(yù)測(cè)有效的Session。例如，利用系統(tǒng)時(shí)間生成Session＝20151010151313，這是id可能被攻擊者輕易預(yù)測(cè)到，這是一個(gè)精確到秒的日期時(shí)間組合成的Session。攻擊者一旦可以實(shí)時(shí)計(jì)算出Session，就可以劫持會(huì)話，冒充會(huì)話的真正擁有者，繞過(guò)認(rèn)證環(huán)節(jié)。同樣，利用不可預(yù)測(cè)性的思想，假如可以精確到毫秒，則攻擊難度就會(huì)顯著提高，如果在增加一個(gè)隨機(jī)數(shù)，攻擊難度會(huì)再次提高。

1.4.3 動(dòng)態(tài)賦能的網(wǎng)絡(luò)空間防御思想

本書(shū)將“變”的思想應(yīng)用于網(wǎng)絡(luò)空間防御體系中，提出了動(dòng)態(tài)賦能的理念。上文提到的不可預(yù)測(cè)性原則在安全防護(hù)中的應(yīng)用主要是對(duì)部分機(jī)制的改造。動(dòng)態(tài)賦能在此基礎(chǔ)上，將“變”的思想進(jìn)行系統(tǒng)化、體系化的應(yīng)用。通過(guò)動(dòng)態(tài)變化的技術(shù)機(jī)理和體系，制造網(wǎng)絡(luò)空間的“迷霧”，使攻擊者找不到攻擊目標(biāo)、接入路徑和系統(tǒng)漏洞，以期徹底改變安全防護(hù)工作長(zhǎng)期以來(lái)的被動(dòng)局面。

賦能（-enabled）的概念是從英文的“Enable”引入。Enable是一個(gè)動(dòng)詞，由形容詞“able（能夠的，有能力的）”和動(dòng)詞前綴“en-（使，使成為，使處于……狀態(tài)）”組合而成。而-enabled通常用于計(jì)算機(jī)領(lǐng)域，常與某一系統(tǒng)（或技術(shù)）連用，構(gòu)成復(fù)合形容詞，表示具有（賦予）某種能力的。動(dòng)態(tài)賦能是網(wǎng)絡(luò)空間信息系統(tǒng)全生命周期設(shè)計(jì)過(guò)程中需要貫徹的一種基本安全理念，其目的在于基于一切可能的途徑，在維護(hù)網(wǎng)絡(luò)空間中信息系統(tǒng)可用性的同時(shí)，使得信息系統(tǒng)全生命周期運(yùn)轉(zhuǎn)過(guò)程中的所有參與主體、通信協(xié)議、信息數(shù)據(jù)等都具備或主動(dòng)、或被動(dòng)，在時(shí)間和空間兩個(gè)領(lǐng)域，單獨(dú)或者同時(shí)變換自身所有可能的特征屬性或者屬性對(duì)外呈現(xiàn)信息的能力，使得攻擊者在攻擊信息系統(tǒng)時(shí)達(dá)到以下效果的一部分或者全部：① 難以發(fā)現(xiàn)目標(biāo)。② 發(fā)現(xiàn)錯(cuò)誤目標(biāo)。③ 發(fā)現(xiàn)目標(biāo)而不可實(shí)施攻擊。④ 實(shí)施攻擊而不可持續(xù)。⑤ 實(shí)施攻擊但很快被檢測(cè)到。任何適應(yīng)以上范疇的技術(shù)都可以隸屬到動(dòng)態(tài)賦能網(wǎng)絡(luò)安全防御技術(shù)的范疇。

動(dòng)態(tài)賦能（Dynamics-enabled）在本書(shū)中的涵義主要有3個(gè)：聯(lián)動(dòng)賦能、變化賦能、體系賦能。聯(lián)動(dòng)賦能主要通過(guò)安全各要素之間的聯(lián)動(dòng)，在時(shí)間維度上賦予系統(tǒng)動(dòng)態(tài)增強(qiáng)的能力（安全生命周期PDRR即為聯(lián)動(dòng)賦能的一個(gè)典型代表）。變化賦能表示的是系統(tǒng)結(jié)構(gòu)、技術(shù)機(jī)理上的變化，主要在空間的維度賦予系統(tǒng)動(dòng)態(tài)變化的安全防護(hù)能力，提升攻擊者利用系統(tǒng)安全漏洞的成本和難度，從而增加系統(tǒng)的保護(hù)強(qiáng)度。體系賦能則是從網(wǎng)絡(luò)安全體系的角度，充分運(yùn)用體系要素間的動(dòng)態(tài)聯(lián)系，將靜態(tài)固定的、死的防護(hù)系統(tǒng)，變成動(dòng)態(tài)賦能的、活的體系，集約使用有限的資源和力量，提供全局賦能的新活力。體系賦能的實(shí)現(xiàn)需按照“固前端、強(qiáng)后臺(tái)”的思路，以前端的防控和探測(cè)設(shè)施為基礎(chǔ)，以后臺(tái)的攻擊分析和支援服務(wù)設(shè)施為支撐，專業(yè)安防力量為核心，構(gòu)建服務(wù)化的動(dòng)態(tài)賦能安全防御體系。