2022年美軍網絡安全主要項目研究
責編:gltian |2023-07-28 15:47:28摘 要
2023 年 3 月,美國白宮發布新版《國家網絡安全戰略》,再次彰顯了美國將網絡空間的安全放在重要地位。選取具有“美國科技創新代表”“網絡安全風向標”之稱的美國國防部高級研究計劃局,對其 2022 財年網絡安全領域主要項目的經費投入、研制進展等情況進行梳理、分析,旨在從這一角度洞察美軍在網絡安全領域的技術部署情況和軍事能力。
內容目錄:
1 美國防部 2022 財年網絡安全項目經費投入概況
2 美國防部網絡安全主要項目最新進展
2.1 未充分探索的實用規模量子計算系統項目
2.2 量子啟發的經典計算項目
2.3 針對緊急執行引擎的加固開發工具鏈項目
2.4 有保證的神經符號學習和推理項目
2.5 可靠微補丁項目
2.6 虛擬環境中的數據保護項目
2.7 安全文檔項目
2.8 空域快速戰術執行全感知項目
3 美軍網絡安全項目特點分析
3.1 重視新興技術開發,融合新技術護航網絡安全
3.2 關注新型漏洞攻擊,升級應對處理漏洞的能力
3.3 強調數據安全保護,筑牢安全發展基石
4 結 語
2023 年 3 月,美國白宮發布新的網絡安全戰略,圍繞建立可防御、有韌性的數字生態系統目標列出 27 項舉措,并重點針對網絡空間中的角色和責任提出根本性的改變,要求大型國防供應商承擔更大的責任,重視設計安全產品,從而達到提高安全性的目的。為了再次驗證美國強調網絡空間安全發展這一戰略目標,本文選取具有“美國科技創新代表”“網絡安全風向標”之稱的美國國防部高級研究計劃局,對其 2022 財年網絡安全領域主要項目的經費投入、研制進展等情況進行梳理、分析,希望從這一角度洞察美軍在網絡安全領域的技術部署情況和軍事能力。
1?美國防部 2022 財年網絡安全項目經費投入概況
據 美 國 國 防 部 高 級 研 究 計 劃 局(Defense Advanced Research Projects Agency,DARPA)官方數據報告顯示,2022 財年 DARPA 的科研經費總體為 38.68 億美元,2023 財年申請金額約為41.2 億美元,大有逐漸增長的趨勢。DARPA 將經費的投入分為 4 個領域,包括基礎研究領域、應用研究領域、先進技術研究領域以及管理支撐性研究領域。每個領域下分為多個計劃單元,計劃單元下再分多個項目 。例如,應用研究領域下分為生物醫學技術、生物戰防御、生物與材料技術、電子技術、戰術技術以及信息與通信技術 6 個計劃單元。而網絡安全項目主要集中在信息與通信技術單元 。2022 財年,DARPA在應用研究領域的投入資金高達 15.29 億美元,約占 2022 財年科研總經費的 40%。而應用研究領域下分的 6 個計劃單元中,信息與通信技術單元的投入經費約為 4.8 億美元,約占應用研究領域投入經費的 31%,也約高于 6 個計劃單元的平均占比(17%)。具體到網絡安全項目的投入經費約為 2.52 億美元,約占信息與通信技術計劃單元投入金額的 53%。由此可見美軍對網絡安全的重視,而網絡安全項目在信息與通信技術的研究中占據了重要地位。
2?美國防部網絡安全主要項目最新進展
2022 年,DARPA 推進實施的網絡安全項目重點在創新技術、新型漏洞、數據安全、態勢感知等多個領域進行技術研發部署,DARPA2022 財年網絡安全主要項目如表 1 所示。
表 1 DARPA 2022 財年網絡安全主要項目
2.1 未充分探索的實用規模量子計算系統項目
2022 年 2 月,DARPA 官方發布了實用規模量子計算系統(Underexplored Systems for Utility Scale Quantum Computing,US2QC)項目招標書。US2QC 項目專注于為擬議的容錯量子計算機系統安全驗證和子系統設計。就現階段而言,US2QC 將進行系統設計驗證。US2QC 項目的重點是評估實用量子計算方法的可行性,而不是對現有的有噪聲的中尺度量子系統進行增量改進。因此,在 US2QC 的初始階段,投標者將提出一個設計概念來描述他們計劃中的實用規模量子計算機。這一設計理念將被用來指導更加嚴格的設計過程,一旦能夠實現這些子系統并通過測試,將表明實用規模的量子計算機概念可以按預期的設計和操作來構建。在整個過程中,實用規模的量子計算機概念設計將持續不斷改進。
該項目尚處在啟動初始階段。項目的第 0階段要求每個投標者描述一個完整的概念,包括所有組件和子系統、針對各種指標的預期性能,以及預期的技術風險和緩解策略 。這一概念并不期望能夠構建實用規模的量子計算機,而是創建一個組件和子系統研發計劃,其技術細節足以指導容錯原型的設計。
2.2 量子啟發的經典計算項目
量 子 啟 發 的 經 典 計 算(Quantum-Inspired Classical Computing,QuICC) 項 目 于 2022 年 5月開始實施執行。為解決國防部優化問題,該項目期望通過開發量子啟發(Quantum Inspiration,QI)求解器將高性能計算提高至少兩個數量級。QI 求解器是一個混合信號系統,即通過數字邏輯與模擬組件模擬動態系統的物理學。這些系統的性能預計將超過傳統計算機和量子計算機10 000 倍以上。為了解決國防部的相關問題,QuICC 項目必須解決多種技術障礙。這些障礙包括限制動態系統之間連接的模擬硬件問題,以及數字資源隨問題規模的爆炸式增長。為了克服這些挑戰,QuICC 項目通過算法和模擬硬件聯合設計以及應用規模的基準測試技術尋求創新的解決方案。研究人員將在兩個技術領域進行攻堅以實現目標。第一個領域專注于開發求解器算法,并創建一個框架來評估 QI 求解器的潛在性能。第二個領域旨在開發 QI 動態系統硬件及其性能的驗證模型。
QuICC 項目執行期于 2022 年 5 月開始,是一個為期 60 個月的三階段項目。目前該項目處于第一階段,原型開發——小規模問題(為期24 個月);第二階段,系統集成和優化——中規模問題(為期 18 個月);第三階段,應用規模的可行性論證(為期 18 個月)。
2.3 針對緊急執行引擎的加固開發工具鏈項目
2022 年 10 月,DARPA 宣布加固開發工具鏈(Hardening Development Toolchains against Emergent Execution Engines,HARDEN) 項 目 的入選團隊,入選該項目的團隊來自亞利桑那州立大學、Kudu 動力和河濱研究所等單位。該項目旨在創建遠遠優勝于打補丁的緩解方法。目前,補丁往往只能解決一個特定的漏洞,而不會破壞駐扎在設計層面的潛在漏洞執行引擎。HARDEN 項目使用正式的驗證方法和人工智能輔助程序模型、分析和開發實用工具,通過破壞攻擊者使用的健壯、可靠的攻擊模式來防止其利用緊急執行引擎。
HARDEN 項目是一個為期 48 個月的項目,分為 3 個階段:第一階段和第二階段各為 18 個月,第三階段為 12 個月。目前該項目處于開發的第一階段,2022 年,項目制定了用于在所有可用抽象層(從編譯的二進制代碼到編譯器抽象和中間表示)推理緊急行為的開發工具鏈的方法,直到最高層次的體系結構抽象。2023 財政年度計劃如下:一是為可組合的緊急行為和利用原語的可靠鏈接開發模型和緩解措施,即使安全緩解措施可以減少任何單一行為或缺陷的影響;二是探索自動技術,以識別可能導致可組合的緊急行為的實現,并建議對實現進行轉換;三是將概念和技術應用于關鍵的系統元素,如引導加載器和高可靠性集成軍事軟件系統,目的是演示在軟件開發生命周期階段減輕復雜代碼重用 / 緊急執行漏洞發現的能力 [4]。
2.4 有保證的神經符號學習和推理項目
2022 年 6 月 3 日,DARPA 宣布推出最新的人工智能項目——“有保證的神經符號學習和推理(Assured Neuro Symbolic Learning and Reasoning,ANSR)”項目,試圖以新的、混合的(神經符號)AI 算法的形式來解決諸多挑戰,該算法將符號推理與數據驅動的學習深度融合,以創建強大的有保證的安全系統。ANSR 項目的首要目標是推進混合 AI 算法并開發基于證據的技術,以支持對這些算法進行自信的保證判斷。該項目旨在通過與國防部任務相關的用例來演示和評估混合人工智能技術,其中安全保障和自主性是關鍵任務。ANSR 項目分為 3 個階段。目前該項目尚處于第一階段。第一階段將持續 18 個月,將開發高安全性技術組件,理解、識別活動和安全機動決策。ANSR 項目的第二、第三階段將各持續 15 個月。第一階段的實驗將在游戲環境中通過多個線程進行:線程 1 展示了安全可靠的機動決策,同時假設完美感知;線程 2 演示驗證活動識別和情況理解,同時展示了人工智能引導的安全操作;線程 3 演示通用作戰圖的開發、洞察力和分析,同時假設完美感知和人工智能引導的安全操作。評估將根據任務能力指標以及以最好的方法或模型為基線進行。
2.5 可靠微補丁項目
可靠微補丁(Assured Micro Patching,AMP)項目由 DARPA 于 2019 年底開始啟動。該項目嘗試開發在關鍵業務系統中快速修補舊版二進制文件,同時確保不影響系統功能。在 2022 財政年度內,AMP 項目開發了一種建模能力,以推斷編譯器優化對調用圖結構的影響,并開發概率圖匹配和推理算法,以便在目標二進制過程和最有可能的源代碼過程之間生成候選匹配;開發擴展常用二進制分析工具,以交互顯示微補丁的應用效果;使用廣泛應用的商業控制器和數據記錄器來執行挑戰事件。2023 財政年度項目計劃如下:一是演示不涉及存儲損壞的漏洞攻擊的自動修補;二是改進和優化現有的中間程序,并優化提供的修補程序在原始二進制文件中的位置;三是使用實時控制設備在網絡物理系統中執行挑戰事件。
2.6 虛擬環境中的數據保護項目
虛擬環境中的數據保護(Data Protection in Virtual Environments,DPRIVE)旨在利用全同態加密(Fully Homomorphic Encryption,FHE) 技術保護正在傳輸和存儲的數據。該項目的研發工作主要集中在以下 3 大領域:設計能夠在本地處理 1 024 位以上的 FHE 硬件加速器、優化內存管理、建立靈活的數據結構和編程模型。
目前該項目尚處于第二階段與第三階段的過渡階段,預計到 2023 年底將全部完成。項目從 2020 年 2 月啟動開始,預計持續 42 個月,共分為 3 個階段。第一、第二階段將各持續 15個月,第三階段將持續 12 個月。2022 財政年度實施情況如下:一是設計一個可以制造的加速器;二是模擬針對相關工作負載的集成加速器設計;三是通過適當的測試驗證加速器的設計。2023 財政年度項目計劃如下:一是用先進的節點互補金屬氧化物半導體(Complementary Metal Oxide Semiconductor, CMOS)制作 DPRIVE 加速器設計;二是執行和演示任務負載的全部模擬設計;三是完成完整的 DPRIVE 加速器軟件集成。
2.7 安全文檔項目
2022 年,安全文檔(SafeDocs)項目已經進入最后階段。該項目旨在開發軟件技術,以限制數據交換格式的語法復雜性,并提高在電子文檔和流數據中拒絕無效和惡意構建的數據能力,確保文檔和流數據的安全。SafeDocs 項目是美國國防高級研究計劃局于 2019 年 5 月與 Galois 公司和 Northrop Grumman 公司的技術服務部門簽訂合同開展實施的,目前該項目已進入最后階段,預計 2023 年 7 月完成。2022 財政年度實施情況如下:一是創建用于比較、解析多個不同類別規則的信息分析方法,開發用于流格式解析器的控制流圖塊合并與標記技術;二是開發機器可讀的反饋機制,以提高系統自動化程度;三是使用已開發的工具演示安全的解析器構造。2023 財政年度項目計劃如下:一是完善、改進和驗證軟件解析器原型;二是將測試語料庫擴展到代表大型企業的規模,并測試解析器的可用性、可預測性和穩定性;三是改進和強化技術以滿足過渡伙伴的要求,并與業界和其他利益攸關方協調,使簡化的安全格式標準化。
2.8 空域快速戰術執行全感知項目
2022 年 4 月,空域快速戰術執行全感知(Air Space Total Awareness for Rapid Tactical Execution,ASTARTE)項目得到進一步發展,助力“馬賽克戰”概念的實現。該項目的目標是在高度擁擠的未來戰場上實現高效的空域作戰和沖突消除,以便在陸海空組成的復雜網絡上進行無縫協調,提供火力和其他效應來壓制對手。
該項目研制共分為 3 個階段,目前尚處于第二階段。第一階段(14 個月)主要開發傳感器、算法和虛擬實驗室等相關組件;第二階段完成虛擬環境集成,預計持續 14 個月;第三階段完成實時環境集成,預計持續 18 個月。2022 財政年度實施情況如下:一是開發理解和決策算法;二是對算法和傳感器系統進行嚴格的設計評審;三是建立陸軍和空軍測試床,與遺留測試和培訓基礎設施相連接;四是將理解、決策算法和傳感器模型集成到試驗臺上,進行建設性和虛擬集成實驗,以評估技術績效;五是進行虛擬和現場實驗,評估 ASTARTE 技術在聯合現場演習中的實際使用情況。2023 財政年度項目計劃如下:一是在陸軍指揮崗位計算環境下,在軟件中實現理解和決策算法;二是將 ASTARTE 傳感器體系架構與現有的國防部傳感器系統集成;三是評估 ASTARTE 傳感器網絡在實彈演習中的性能,以驗證預測性能;四是進行額外的現場試驗,以評估 ASTARTE 技術在聯合演習中的實際使用情況。
3?美軍網絡安全項目特點分析
近年來,美軍充分借助業界技術和能力,加強網絡空間態勢感知、量子計算、人工智能與自動化等安全技術裝備的研發,提升網絡安全技術水平,維持其全球作戰能力優勢 。而2022 財年 DARPA 也將信息與通信技術單元的重點放在了網絡安全項目。從項目涉及的技術領域等情況可以看出,網絡安全項目呈現出以下特點。
3.1 重視新興技術開發,融合新技術護航網絡安全
量 子 計 算、 人 工 智 能 技 術 等 新 興 技 術 在2022 年持續取得突破進展,同時也帶來了新的網絡安全威脅。一方面網絡攻擊者善于利用新興技術突破傳統網絡安防體系;另一方面網絡防御者積極融合新興技術,加強網絡安全防線。縱觀美國國防部高級研究計劃局 2022 年重點在研項目,美國正在推進新興技術的開發,加強網絡安全新興技術的研發和創新,引入量子計算、人工智能等先進技術,加強網絡安全防線,為網絡安全技術能力提供了顛覆性支撐。集成量子計算、人工智能等新興技術成為網絡安全能力發展的主要趨勢。例如,2022 年美國防高級研究計劃局最新推出的人工智能項目——ANSR項目,試圖以新的 AI 算法的形式來解決諸多挑戰,該算法將符號推理與數據驅動的學習深度融合,以創建強大的有保證的安全系統;QuICC項目期望通過開發 QI 經典求解器將高性能計算性能提高至少兩個數量級,發揮量子信息處理的潛在優勢;還處在項目招標階段的 US2QC 項目專注于為擬議的容錯量子計算機提供安全驗證和系統確認、組件和子系統設計等,將大幅縮短基于傳統設計的實用規模的容錯量子計算機的進程。
3.2 關注新型漏洞攻擊,升級應對處理漏洞的能力
如今,軟件漏洞的披露過程充滿了挑戰。公開披露漏洞可能會引起程序開發者的注意,并促使程序開發者及時做出反應,但是也可能導致公開披露(漏洞)時會使不良行為者在應用補丁或程序修復之前利用這一漏洞。面對這一困境,美國將漏洞安全推向制高點,尚處于立法進程中的《2023 財年國防授權法案》提出,國土安全部新簽和現有政府合同,軟件供應商應保證產品中不存在已知漏洞,同時在 2022 年美國持續推進若干與漏洞挖掘、漏洞防御相關的項目,希望在應對利用漏洞發起的新型攻擊時增強其防御能力,并進一步改善其在漏洞處理上的效率、準確性和適用范圍,不給攻擊者留下可乘之機。例如,美國國防高級研究計劃局重點啟動了針對緊急執行引擎的 HARDEN 項目,該項目試圖給開發者提供一種理解新興攻擊行為的方法,從而創造機會來限制攻擊者為惡意目的重復利用某種機制來發現漏洞的能力。AMP項目創建具備靶向功能的二進制安全補丁,從而在不影響關鍵功能的情況下,快速修補舊版軟件漏洞,從而提高其處理漏洞的能力,確保系統安全可靠。
3.3 強調數據安全保護,筑牢安全發展基石
數字時代,網絡安全事件頻發,數據作為一種新型生產要素和基礎戰略資源的代表,使得數據安全逐漸成為各國保障網絡安全建設、筑牢網絡安全發展的基石。2022 年 6 月,美國眾議院和參議院發布了《美國數據隱私和保護法案》討論稿,內容涉及國會近 20 年來隱私辯論的方方面面,反映了數字時代美國數據隱私保護的價值理念。美國國防部高級研究計劃局相繼發布數據安全相關項目,利用最新技術與探索新的方法為數據安全提供安全保障。例如,DPRIVE 項目利用一種全新的基于格密碼學的FHE 技術來保護正在傳輸和存儲的數據,該技術能直接處理密文,而其復雜的數學構造連未來的量子計算機都難以破解。SafeDocs 項目尋求降低電子文檔交換復雜度的方法,研發能自動檢查和安全打開電子文檔的技術,期望能大幅提高軟件檢測和拒絕惡意輸入數據的能力,確保文檔和流數據安全。
4?結 語
2022 年,拜登政府持續將大國競爭視為主要挑戰,并且為維持和加強美國優勢所需的資源,將美國國防預算不斷推高。國防預算的增長為美國推動新興技術的研發增加持續動力,在人工智能、量子計算等領域新開展多個項目,以推動量子計算機的安全性與計算性能的大幅提高,并重點發展態勢感知與新型漏洞的處理能力,強化防御、突出攻擊,確保網絡對抗優勢。我國在規劃國防科研經費的時候,可借鑒其先進經驗,既要覆蓋全面的軍事現代化技術,又要重點支持高新難點技術,同時關注新興技術的交叉融合所帶來的新的安全威脅和機遇,如量子計算與網絡安全的融合、人工智能安全以及 5G 安全問題等。
選自《信息安全與通信保密》2023年第4期(為便于排版,已省去原文參考文獻)
來源:信息安全與通信保密雜志社