从美军的先期研发看网络安全技术的发展
发布日期:2021-11-25
来源:信息安全与通信保密杂志社
纵观21世纪数十年,网络空间问题日益凸显,网络威胁层出不穷,网络空间已成为继陆、海、空、天外的第五主权空间,成为国家主权延伸的新疆域。美国长期以来凭借自身在信息技术领域的巨大优势,成为了当之无愧的网络强国。在美国称霸网络空间的背后,美国国防高级研究计划局(DARPA)扮演了举足轻重的角色。DARPA成立60多年来始终引领着前沿性、颠覆性创新技术的发展潮流,其技术研发一直备受关注。本文试图通过DARPA近三年的预算概况,跟踪网络安全相关项目研发动态,分析美国网络安全技术研发趋势,为我国网络安全研发提供参考。
一、预算整体概况及分析
DARPA年度“研究、开发、试验与鉴定”(RTD&E)预算申请报告,主要对下一财年经费支出情况进行系统规划,对项目的研究内容、预算金额、工作进展、重点规划等情况加以阐述。项目领域涵盖信息技术、生物技术、材料技术及航天技术等。
保持稳定的技术基础投资,是美国《国防科技战略》明确提出的要求。DARPA资金一直保持相对稳定状态,2014—2017年度经费基本维持在28—30亿美元。特朗普上台后,一改奥巴马政府军事收缩政策,连续大幅上调军费预算,国防科研经费随之同步增长。2018年,DARPA经费首次超过30亿美元,此后呈大幅上涨趋势。
(一)近三年预算概况
DARPA预算经费从2017年开始大幅上调,近三年(2019—2021财年)的预算经费已趋于稳定,基本维持在35亿美元左右(见表1)。
2019年,DARPA预算申请同比增长8.5%。该年新增项目31个,预算申请约4.78亿美元,占总预算比例约13.9%。在“电子复兴计划”的推动下,DARPA大幅提升电子领域投入,新增项目中包含11项电子领域项目,预算金额占新增项目总额的50.84%。
2020年,三个阶段的预算均有不同程度增长。该年新增项目28个,预算申请约3.52亿美元,占总预算比例约10%。新增项目中有21个项目启动经费超过1000万美元,主要分布在人工智能、生物技术及指挥控制和通信等领域。
2021年,预算申请与上一财年基本持平,项目体系安排及重点关注领域基本保持稳定。该年新增项目31个,预算申请约3.46亿美元,占总预算比例约10%,规模较上一年度略减。与上一年度类似,新增项目仍分布在人工智能、指挥控制和通信等领域,重点项目研发进度加快推进。
(二)比较分析
1、从研究阶段看,优化前沿技术体系布局
基础研究是DARPA科研创新的动力源泉,一般占总预算比例为13.6%。2021年基础研究预算占当年总预算的15%,预算增长源于新项目部署和现有项目预算增长,主要集中在人工智能、信息技术、生物技术等领域。
应用研究主要围绕未来概念构想开展技术攻关,一般占总预算比例为41%。2021年应用研究预算较2020年略有下降,占当年总预算的38.6%,预算下降源于较多应用研究项目的完成,但该阶段的网络安全、人工智能与人机共生、生物材料与设备等项目单元预算仍较多。
先期技术开发是衔接待验证的先进技术和军事应用间的重要桥梁,一般占总预算比例为42%。2021年先期技术开发预算占当年总预算的44%,预算增加源于部分现有项目预算的大幅增长,涵盖先进空天系统、太空项目和技术、混合技术等领域。
2、从项目单元看,持续拓展海陆空网领域
DARPA预算在不同研究阶段下共列14个项目单元。基础研究包括国防研究科学和基础作战医学2个项目单元;应用研究包括信息与通信技术、战术技术、电子技术、材料与生物技术、生物医学技术和生物战防御6个项目单元;先期技术开发包括网络中心战技术、先进空天系统、指挥控制和通信系统、太空项目和技术、传感器技术和先进电子技术6个项目单元。以下对近三年不同项目单元预算进行列举(见图1)。
图1 DARPA近三年项目单元预算图
从图1可以看出,近三年多数项目单元预算申请呈上涨或维持稳定状态,少数项目单元预算下降。基础研究阶段,国防研究科学项目单元预算增长较快,2021年该项目单元预算同比增长10%,而基础作战医学项目单元基本持平;应用研究阶段,2021年受“班组X”(Squad X)、“机动部队防护”(MFP)等项目结束影响,战术技术项目单元预算大幅下降,信息与通信技术项目单元出现增长,其余项目单元预算基本持平。先期技术开发阶段,2021年受国防部推进“全域作战”概念影响,网络中心战技术项目单元涨幅接近30%,先进空天系统、太空项目和技术项目预算减少。此外,DARPA机密项目分布于指挥控制和通信系统、网络中心战技术及传感器项目单元,增长幅度明显。
3、从研究项目看,网络安全领域逐渐受到重视
DARPA网络安全项目主要集中于应用研究中的“信息与通信技术”项目单元。2020年预算申请将“信息与通信技术”的子项目“信息保障和可维护性”更名为“网络安全”,2021年预算延用更名后的项目名称。
从表2看出,近三年网络安全项目数量呈上升趋势,项目预算经费整体也随之上涨。但2021年经费较上一年度同比下降,源于该年5个项目的计划完成,包括频谱协作挑战赛(SC2)、布兰代斯(Brandeis)、利用模拟域实现安全性(LADS)等。其余网络安全的多数项目已完成初期技术研究与开发,正加速推进演示验证和应用转化。项目的数量及预算增长都说明DARPA高度关注网络安全领域。
二、重点网络安全项目分析
(一)预算内重点网络安全项目
根据DARPA近三年的预算概况,结合项目经费预算额度及项目持续时间,本文梳理了部分网络安全相关重点项目。(见下表)
1、大规模网络狩猎(CHASE)
该项目将开发一种数据驱动的网络捕猎工具,通过使用计算机自动化、高级算法跟踪大量数据,发现隐藏在数据中的高级网络攻击,实现实时探测、表征和抵御网络威胁,以解决国防部网络和网络存储系统上流动数据量过大、分析能力不足的问题。
该项目启动于2018年,预计持续四年,共分为三个阶段。当前处于第一阶段,侧重于开发、演示和评估单个技术组件。DARPA与BAE系统公司签订合同,结合先进的机器学习和网络攻击模型,旨在通过自动检测并消除当前无法检测到的网络威胁。
2、快速攻击侦测,隔离和特征识别系统(RADICS)
该项目旨在开发在能源部门关键基础设施遭受网络攻击时,可使美国电网恢复正常的自动化系统,恢复电力服务。该系统能够监控异构分布式网络、检测需要快速评估的异常情况、隔离受损的系统元件、建立安全的应急通信网络、描述攻击特征以及检测传感器的干扰。
该项目启动于2016年,预计持续四年,共分为三个阶段。当前处于第三阶段,专注于具备可扩展、高效和可部署功能的工具开发。DARPA与BAE系统公司合作构建可替代性安全应急网络,BAE公司的技术可快速将企业IT和电力基础设施网络与恶意攻击渠道隔离,在可信任的组织间建立安全应急网络,从而恢复复杂电网的电力服务。
3、利用自主系统对抗网络对手(HACCS)
该项目将开发安全、可靠、自主的软件代理,测量识别被僵尸网络感染的准确性、识别停留在网络中设备类型的准确性以及潜在访问向量的稳定性,并采用压制或其他方式限制恶意软件的操作能力,尽量减少对中立系统和基础设施的不良影响。
该项目启动于2017年,预计持续四年,共分为三个阶段。当前处于第三阶段,侧重于特征化IP地址空间、制定操作准则。DARPA与Packet Forensics签订合同,将依据僵尸网络感染的网络指纹确定植入物的存在,识别网络上存在的设备数量及类型;同时,针对已知漏洞生成非破坏性利用软件,此类软件可以在每个僵尸网络上建立初始状态,而不影响合法系统功能。
4、网络保证系统工程(CASE)
该项目旨在开发一系列设计、分析和验证工具,研究网络安全技术如何以广泛、可拓展的方式进行应用,确保网络弹性在嵌入式计算系统的每个阶段都发挥关键作用。网络弹性也将成为每个防御平台的核心属性,并与其他非功能性属性结合。
该项目启动于2017年,预计持续四年,共分为三个阶段。当前处于第二阶段,侧重于技术增强和对新型工具的测试。通用电气公司技术研发部门(GE Research)研发网络安全工具Verdict,融合多种现有安全工程和网络安全指标,可对网络安全威胁进行全面评估、提出漏洞处置建议、预测未来网络攻击发生的可能性,为美国关键军事及工业系统网络提供安全防护保障。
5、增强归因(EA)
该项目旨在开发一种能够将网络攻击者的恶意行为与单个运营商关联起来,并在不损害信息来源和途径的前提下公开披露这些行为的技术。该项目侧重于研究识别恶意网络运营商、分析其软件工具和行为,并利用商业和公共数据源进行信息确认。
该项目启动于2016年,预计持续54个月,共分为三个阶段。该项目整体推进较为缓慢,当前处于第一阶段,侧重于开发网络行为、活动跟踪与总结的技术。2020年4月,DARPA授予CYNNOVATIVE公司项目合同,旨在开发基于人工智能技术的网络归因工具。
6、人机探索软件安全(CHESS)
该项目将开发以可扩展、及时和一致的方式发现和解决所有类型漏洞的能力,通过利用自动化程序分析技术和高级人机协作融合的方式,实现在某些规模下、特定时间内发现系统漏洞。该项目代表了由人机团队担任高强度网络运营的发展趋势——将人类的洞察力与机器的计算分析速度和规模相结合。
该项目启动于2018年,预计持续42个月,共分为三个阶段。当前处于第一阶段,侧重于小型软件库的开发设计。DARPA与Galois公司签订合同,开发一种使用混合人机方法检测网络安全漏洞的工具,而该漏洞是使用传统方法无法检测到的。
7、主动社会工程防御(ASED)
该项目旨在寻求对社会工程攻击(即试图操纵用户执行其希望的操作或泄露敏感信息的攻击)的自动防御。该项目试图通过建立反社会工程机器人防御社会工程攻击,这些机器人将代表用户对通信进行协调和汇集,并自动识别攻击者。
该项目启动于2017年,预计持续四年,共分为两个阶段。当前处于第一阶段,侧重于开发、演示和评估技术组件。DARPA授予汤森路透(THOMSON REUTERS)公司600万美元合同,旨在开发自动检测社会工程攻击技术。
8、配置安全(ConSec)
该项目旨在研发能够自动生成、部署和强化用于军事平台的器件和子系统的配置技术,提升商用现货(COTS)电子元器件的可信计算能力,减少网络攻击的薄弱环节。
该项目启动于2017年,预计持续42个月,共分为三个阶段。当前处于第一阶段,侧重于系统初步开发与建模。DARPA与Perspecta公司签订合同,负责“攻击面最小化”(OCCAM)系统的开发与交付,该系统将能自动生成匹配且安全的配置,同时生成可由人类识读的相关证据,以便于把整个平台升级到最新配置。
(二)2020年新开展网络安全项目
根据年度预算,DARPA一般会选择单个项目下开展专项项目研究。本文梳理了部分DARPA最新开展的网络安全项目。
1、稳健物联网中超大规模架构的加密技术(CHARIOT)
2020年8月,DARPA发布“稳健物联网中超大规模架构的加密技术”项目,旨在为物联网设备开发快速、高效、低成本、抗量子的革命性加密技术,以保护美国军方目前使用的大量物联网设备。这些设备不都具备加密安全性,其安全风险随着量子计算和5G无线网络的运用变得愈发突出。另外,由于一些物联网设备预计将使用十年以上,军方需要低功耗的加密解决方案。
2、大型旧版软件的安全性验证和性能增强(V-SPELLS)
2020年7月,DARPA发布“大型旧版软件的安全性验证和性能增强”项目,将为开发人员创建一种工具,旨在保证兼容的情况下通过更安全、性能更高的代码,逐个升级美军关键任务软件,进而将先进技术引入不能重新设计或整体替换的系统。该项目有四个技术领域:自动化、迭代交互式程序理解;组合式(特定领域语言)编程、组件规范推理;验证层扁平化和分发;演示和评估。
3、发现漏洞阻止篡改(FETT)
2020年6月,DARPA发布首个漏洞报告奖励项目——发现漏洞阻止篡改(FETT),为“通过硬件和固件进行系统安全集成”(SSITH)项目发现可能削弱其硬件防护能力的潜在漏洞或缺陷。该项目将通过众包安全公司Synack经审查的研究人员、人工智能和机器学习使能技术,以及其已建立的漏洞披露流程实施众包安全活动。
(三)特点分析
近年来,DARPA开展的网络安全项目具有如下特点:
1、主旨明确,助力网络防御能力提升
美军网络长期以来依托以“爱因斯坦计划”为代表的网络安全解决方案,通过采用动态防御、变形网络等先进防御技术装备,以达到发现僵尸网络、了解服务器的指挥控制状态、关联敌人对企业级网络探测行为、警示企业级网络面临风险等目的,提升网络空间防御安全威胁能力。如“大规模网络狩猎”(CHASE)项目旨在研发开发自动化工具,检测识别新型攻击方法,帮助安全分析人员发现隐藏在海量数据中的高级攻击。
2、应用广泛,致力保障重点领域网络安全
美国为践行“向前防御”理念,通过一系列政策文件从法律层面引导、促进网络安全政策的制定与发展,特别关注重点领域的网络安全问题,包括物联网安全、关键基础设施安全、供应链安全等。DARPA开展一系列针对重点领域的网络安全项目,如开展旨在为物联网设备开发快速、高效、低成本、抗量子的加密技术的“稳健物联网中超大规模架构的加密技术”(CHARIOT)项目;保障电力网络安全的“快速攻击侦测、隔离剂表征系统”(RADICS)项目;确保计算机硬件安全的“通过硬件和固件集成系统安全”(SSITH)项目等。
3、创新活跃,提升新兴技术对抗能力
量子信息、5G、人工智能等新兴技术不断取得突破发展,同时也带来了新的网络安全威胁。一方面网络攻击者利用新兴技术突破传统网络安防体系,另一方面新兴技术领域安全成熟度不高也带来新的安全隐患。为应对新兴技术产生的网络安全威胁,美国不断加强网络安全新兴技术的研发和创新,慑止对手利用新兴技术开展网络攻击渗透活动。
2020年,DARPA开展“开放、可编程、安全5G”(OSP-5G)项目,旨在利用可移植、开源、符合标准的5G移动网络栈,化解5G网络被用来开展网络间谍和网络战的风险。同年,DARPA启动“高噪声中等规模量子优化器件”(ONISQ)项目,拟在通用容错量子计算机取得突破之前开发出量子信息处理技术,旨在通过在解决优化挑战中超越经典系统的性能来展示量子信息处理的定量优势。
三、美国网络安全领域技术发展趋势
从DARPA近年来启动的重要网络安全项目来看,美国网络安全领域技术发展呈现以下趋势。
(一)实时响应网络威胁,提升智能自动处理能力
网络空间攻击行动以接近光速传播和实施,且能够对特定目标造成整体性影响,这种瞬间和整体攻击能力也成为网络空间行为的特质。人工智能和自动化技术的发展为美国网络空间安全带来了新的发展机遇,成为美军提升网络安全能力的倍增器。基于人工智能的安全威胁检测,可大幅缩短网络攻击检测时间,根据威胁等级、种类、行为自动制定处置方案,同时实现自主学习,不断提高防御能力。
2019年,DARPA在“人机探索网络安全”(CHESS)项目下设立“防止漏洞利用的合并分析”(MATE)项目,开发可拓展的人机混合网络漏洞评估工具,寻求创建自动化的程序分析技术,使非专家能够致力于漏洞评估工作,对特定应用程序的关键漏洞进行检测。2017年,DARPA开展“快速攻击侦测,隔离和特征识别系统”(RADICS)项目,与国土安全部、能源部、国民警卫队和电力公司开展合作,利用人工智能解决电网网络安全问题,在电网发生网络攻击时实时“黑启动”恢复。
(二)打造可信验证体系,提升身份验证授权管理能力
零信任建立了以数据为中心的安全模型,消除了受信任或不受信任的网络、设备、角色或进程的概念,转变为基于多属性的信任级别,使身份验证和授权策略在最低特权访问概念下得以实现。美国基于零信任原则开展身份与访问管理,以此降低网络匿名性,降低网络渗透和横向移动的机动能力。美国防部已将零信任实施列为最高优先事项。
DARPA开展“加密验证和评估信息安全保障”(SIEVE)项目,旨在通过研发零知识证明技术实现复杂军事应用中的加密技术,进而增强军方信息安全和可信计算能力。该项目有三个技术领域:构建零知识语句、构建零知识证明生成编译器、后量子零知识研究。
(三)高度重视归因能力,全面支撑网络空间威慑战略
美国政府高度重视网络空间威胁归因能力建设。特朗普任内首份《国家安全战略》报告中强调“投入资源以支持并提升实现网络归因的能力,确保有能力做出快速反应”。2020年3月,美国网络空间日光浴委员会提出的“分层网络威慑”战略中,实现战略的六大支柱之一便强调“提高归因溯源能力,重振网络信心”。2018年以来,美国主要政策文件纷纷强调溯源归因能力建设的重要性,成为美军实施网络威慑的重要依据。
2016年,DARPA开展“增强归因”项目,旨在开发利用商业和公共数据源进行信息确认的新方法,通过分析网络攻击行为及其使用的软件识别恶意网络运营商。随着归因技术的发展,该项目会为网络管控能力提供新功能,如为攻击者的网络行为提供标识和预警。
四、结束语
DARPA作为美国创新技术发展的引领者,其近期研究项目代表了技术发展热点,持续关注经费投入及项目布局情况可达到对技术发展动向的实时洞察,并在此基础上进一步分析其技术路线和方案,为我国发展提供参考和借鉴。
网络安全正在成为影响国民经济发展的重要因素,并且不断向民生、政治、经济、文化等各个层面渗透。我国在建设网络强国的道路上首先就是要加强网络安全,掌握关键核心技术至关重要。因此,我国一方面要合理布局新兴技术,特别关注新兴技术的交叉融合所带来的新的安全威胁和机遇,例如人工智能与网络安全的融合、物联网安全以及5G安全问题等;另一方面,学习DARPA的军民融合发展模式,在网络安全领域加强政产学研用的协调合作,打造多维生态合作,加强网络安全人才培养体系建设,推动网络安全产业高端集聚发展。
