编者按：现在，HP实验室正在研究能够在实际威胁出现之前就能对其进行探知的技术。一支团队从生物学中得到启发，正在开发一种名为“侦测虚拟机”的技术，以便通过从潜在新威胁的身上发现的特征因素来确定威胁本身，我们的身体也利用同一机制，在感到身体不适之前就可以侦测到病毒的入侵，并调遣白细胞来包围病毒。HP云及安全实验室的项目领导人及高级研究经理Brown说，该机制有着非常大的优势。更显著的是，这意味着我们部署在基础架构中的安全机制可以是动态的。这些侦测虚拟机所处的位置可以根据威胁侦测的情况进行改变。

动态防御环

受自然所启发的全新云安全机制

        高级研究经理

        Richard Brown   

    零日攻击听起来像是科幻小说中的情节，但是HP实验室的研究者Richard Brown却表示，在现实中，这是当代企业级计算所面临的主要安全威胁。
    他解释说：“零日攻击指的是利用系统或应用中未曾被发现的漏洞进行攻击。从漏洞被发现开始直到漏洞通过升级或补丁得到修复，企业都处于危险状态。而通常漏洞在针对它的攻击发起前，已经在系统中存在很长时间了，只是未被发现。”
    现在，HP实验室正在研究能够在实际威胁出现之前就能对其进行探知的技术。HP云与安全实验室的一支团队从生物学中得到启发，正在开发一种名为“侦测虚拟机”的技术，以便通过从潜在新威胁的身上发现的特征因素来确定威胁本身，而无需等到攻击开始之后。
    我们的身体也利用同一机制，在感到身体不适之前就可以侦测到病毒的入侵，并调遣白细胞来包围病毒。这些小小的侦查兵可以嗅探到身体里可疑的活动，并且集中到可疑活动区域来确认威胁。

        
           这是一张示意图，展示了在某台被感染主机侦测到恶意软件迹象后，HP的侦测虚拟机向该主机集中的情景。

                                                       图片放大

    HP云及安全实验室的项目领导人及高级研究经理Brown说，该机制有着非常大的优势。不仅仅可以在攻击发起前就增加了识别潜在威胁的可能性，“更可以提高侦测的效率，有指向地将资源运送到威胁最大的区域。更显著的是，这意味着我们部署在基础架构中的安全机制可以是动态的。这些侦测虚拟机所处的位置可以根据威胁侦测的情况进行改变。”
    在此基础上，HP团队开发出了一个资源无规则分配的完整第二层机制，为企业级安全提供了一个更有效的全新机制，称作“动态防御”。

不断增长的威胁
    对计算机系统的恶意攻击已经与我们共存了几十年。随着世界上越来越多的人口接入到互联网，企业也正大量进入云的世界，系统的软肋及危险的可能来源也随之不断增加。
    HP网络及安全实验室主任Martin Sadler引用数据说：有人预测，在今后的五到八年内，还有将近十亿人开始使用互联网。“你知道，犯罪组织多么容易就可以劝说人们来做一些特殊的行为，他们只要能够打动这些新用户中的1%来做一些有威胁的举动，你就将面对着将近一千万新的黑客。”
    同时，主要威胁的来源已经不再是一些才华横溢的业余黑客，他们的目的通常只是为了炫耀技术和获取名誉，更大的威胁来自于高度组织化的犯罪集团。这些人有着大量的资源及耐心，为了策划一个攻击可以花上几个月甚至几年。
    Brown评论道，“这已经像企业行为了。另外，有越来越多的工具可以被攻击者所选用。你可以很容易就找到开发工具箱来写你自己的恶意软件。这些趋势造就了现在的攻击产生模式：你解决了一个威胁并且有针对性的进行加强，几乎同时你自己又创造了一个零日攻击的机会。”

生物建模的取证机
    现代数字攻击的起源同时也将自己的弱点展现给了Brown团队正在开发的创新科技。
    他们所创造的每一个单独侦测虚拟机的唯一目的，就是去侦测被用来合成一次攻击所需要的某一已知元素。
    例如，一个特定的侦测虚拟机可能只是为了在操作系统使用的内存中寻找某些特定模式，或者是确认某些特定文件是否存在，亦或监视进程。Brown说：“如果发现了类似的情况，我们可以说，有些不好的事情要发生了，然后触发一个集合反应，其他的取证机将会到来，并且探测它们所负责的特定症状。”
    大多数攻击都试图瘫痪它们所针对的操作系统的安全机制，或者将自己隐藏起来。而HP的侦测虚拟机则处于一个虚拟系统的最高管理层中，也就是说它们是无法被探测到的，处于可能受到攻击的操作系统之外。
    Brown说，人体的防御机制带来了直接的灵感。我们的免疫系统创建了许多触发机制，用来运送白细胞到目标病毒或其他攻击所处的位置。同样，未来的计算机系统或许会一次部署数千个类似的小应用，一旦某个侦测虚拟机发现了它所负责的某个东西出现了，它就会发布警报，引来其他的侦测虚拟机来确认它们各自所负责的部分，从而确认威胁。
    “这就像一副拼图，如果你在基础架构中找到了足够的证据证明构成攻击的某些组成部分已经出现在系统中，那么你就可以确认受到了攻击。”

双层动态---随机虚拟化
    探测虚拟机不仅位于它们所要保护的操作系统之外，如果发现了一些可疑情况，它们还会以随机的方式进行响应。这样攻击者就无从得知他们是否被发现了。
    然而，HP团队还加入了随机化的第二层。
    几乎所有的严重攻击行为都需要知道目标系统的内存、数据及软件结构的配置情况，以便能够利用他们所发现的漏洞来控制目标机器。
    但是动态防御系统能够随机化基础架构本身，这样做并不会影响到运行在其上的应用或服务。
    Brown解释说：“应用并不知道究竟什么在被随机化，它只是按照自己被设计的功能在运行。但是当一个攻击者进入到系统中并进行窥探的时候，他们所看到的和之前所想的完全不一样。这样他们实现计划好的攻击机制也就无法起作用了。”

更多
    动态防御一方面可以阻止攻击的发起，另一方面也可以在新攻击完全发起之前就探测到它的活动，这是传统的基于签名的安全方案所无法做到的。
    HP团队正在验证动态防御机制这一概念的可行性，并且已经创建出一些用户界面的演示版本。
    实验室主任Sadler说：“如果我们在实验室中验证了它的可行性，我们将在HP自己的网络中部署它。”
    他强调，如果缺少了来自其他HP团队的强力支持，无法获得足够能够用来侦测潜在攻击所需组件的特征样本，他们的努力无法获得成功。而且，一旦他们侦测到了一个潜在的攻击，那么还需要各方面的同事来协助终止攻击并移除来犯的恶意软件。
    Sadler说：“没有什么会是完美的，我们所不断寻求的是使较量的天平更多地向防御者这边倾斜。我们想尽可能地增加攻击的成本，同时尽可能地降低防御的成本。”
    成本是一个很关键的主题。随着计算机系统越来越复杂，对于整个系统进行永久防护的成本已经变得难以承受。
    Brown说：“比如到一天结束的时候，一个企业的云架构需要为它的客户们运行年终报表相关的应用，这时候你绝对不想把系统的资源都花在防御机制上。动态防御系统的一大优势就在于它非常轻巧，仅调用对付紧急威胁所需的资源，除非需要进行大规模的防御，它不会动用大量的系统资源。”

原文链接：http://www.hpl.hp.com/news/2012/jul-sep/dynamicdefense.html