林森杰,,

(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心,鄭州 450001)

0 概述

當(dāng)前,網(wǎng)絡(luò)攻擊手段不斷更新,網(wǎng)絡(luò)攻擊發(fā)展呈現(xiàn)出自動(dòng)化、高速度、隱蔽性、跨系統(tǒng)兼容性、高進(jìn)化能力等主要趨勢。而計(jì)算機(jī)系統(tǒng)的主要安全隱患,是由于軟件設(shè)計(jì)和硬件加工不可能做到完全自主可控而產(chǎn)生的設(shè)計(jì)缺陷和未知的漏洞后門。在這樣的背景下,擬態(tài)防御技術(shù)應(yīng)運(yùn)而生[1]。擬態(tài)防御的基本思想是構(gòu)建一個(gè)動(dòng)態(tài)異構(gòu)冗余的系統(tǒng)架構(gòu),通過功能等價(jià)體的動(dòng)態(tài)切換,構(gòu)建動(dòng)態(tài)性、非確定性、異構(gòu)性、非持續(xù)性的擬態(tài)環(huán)境,達(dá)成破壞攻擊鏈的目的[2]。在擬態(tài)防御的動(dòng)態(tài)異構(gòu)冗余架構(gòu)中,動(dòng)態(tài)性是系統(tǒng)安全的保障,而異構(gòu)冗余則是動(dòng)態(tài)性的基礎(chǔ)。

在通用擬態(tài)防御架構(gòu)中,擬態(tài)調(diào)度器動(dòng)態(tài)選擇若干個(gè)功能等價(jià)的異構(gòu)冗余體執(zhí)行相應(yīng)任務(wù),并對各執(zhí)行體的輸出進(jìn)行仲裁。面向異構(gòu)冗余系統(tǒng)的仲裁策略,以多數(shù)一致性判決最有代表性。

對于各種具體的任務(wù),各冗余體的執(zhí)行周期基本不同,而仲裁器進(jìn)行仲裁的時(shí)機(jī)實(shí)際上是在所有執(zhí)行體都輸出結(jié)果之后,也就是最長的執(zhí)行周期?？梢岳斫鉃橄到y(tǒng)的效率是幾個(gè)冗余系統(tǒng)中最差的那一個(gè),加上調(diào)度機(jī)制,總體效率甚至還要更低。

本文針對擬態(tài)調(diào)度器仲裁,在多數(shù)一致性表決機(jī)制的基礎(chǔ)上,提出一種競賽式的仲裁模型,通過增加異構(gòu)冗余體執(zhí)行系統(tǒng)任務(wù),選擇領(lǐng)先的輸出結(jié)果進(jìn)行一致性表決仲裁,在不降低系統(tǒng)可靠性的前提下提高仲裁效率,進(jìn)而彌補(bǔ)擬態(tài)系統(tǒng)的性能損失。

1 擬態(tài)防御系統(tǒng)框架

網(wǎng)絡(luò)已經(jīng)成為人們不可或缺的工具,其重要性不言而喻,網(wǎng)絡(luò)空間安全的地位也愈發(fā)凸顯,而由系統(tǒng)漏洞和后門造成的網(wǎng)絡(luò)攻擊事件不斷影響人們正常的工作生活,甚至對國計(jì)民生和國家安全都產(chǎn)生了極大威脅。事實(shí)上,對于計(jì)算機(jī)系統(tǒng),任何一個(gè)國家都不可能實(shí)現(xiàn)軟件設(shè)計(jì)和硬件加工完全的自主可控,傳統(tǒng)的網(wǎng)絡(luò)防護(hù)方式不能抵御新的網(wǎng)絡(luò)威脅。雖然網(wǎng)絡(luò)防御技術(shù)不斷發(fā)展,但都是基于傳統(tǒng)的系統(tǒng)結(jié)構(gòu),沒有解決根本問題。

在這樣的背景下,文獻(xiàn)[1]提出了擬態(tài)防御的思想,通過構(gòu)建動(dòng)態(tài)異構(gòu)冗余的系統(tǒng)架構(gòu),引入基本信息的動(dòng)態(tài)性和不可預(yù)測性,以破壞攻擊鏈的形成。

1.1 動(dòng)態(tài)性的導(dǎo)入

任何攻擊都是基于一定的攻擊方案實(shí)施的,攻擊鏈中包含了攻擊對象的整體架構(gòu)、運(yùn)作機(jī)制、資源配置、網(wǎng)絡(luò)拓?fù)涞然緫B(tài)勢信息,攻擊的可靠性從某種意義上取決于這些基礎(chǔ)信息的靜態(tài)性和可預(yù)測性。防御方若能以較小的代價(jià)引入基本信息的動(dòng)態(tài)性和不可預(yù)測性,就能有效阻止攻擊鏈的形成。

移動(dòng)目標(biāo)防御(Moving Target Defense,MTD)[3]作為美國近年來提出的網(wǎng)絡(luò)空間“改變游戲規(guī)則”的革命性技術(shù)之一,它與以往的網(wǎng)絡(luò)安全技術(shù)完全不同,變被動(dòng)防御為主動(dòng)防御,其系統(tǒng)和網(wǎng)絡(luò)狀態(tài)隨著時(shí)間、空間以及物理環(huán)境等多個(gè)維度的變化而不斷改變,從而增加入侵者的入侵難度,有效限制己方漏洞暴露的概率。因此,移動(dòng)目標(biāo)防御將成為未來網(wǎng)絡(luò)安全防護(hù)技術(shù)的重點(diǎn)發(fā)展方向。構(gòu)建、評價(jià)和部署機(jī)制及策略是多樣的、不斷變化的,以此增加攻擊者的攻擊難度及代價(jià)。

MTD的基本思想是構(gòu)建動(dòng)態(tài)的系統(tǒng)屬性,從而引入隨機(jī)性、不確定性和不可預(yù)測性。MTD可以在多個(gè)層次進(jìn)行動(dòng)態(tài)變化,如圖1所示。

圖1 MTD動(dòng)態(tài)化層次

但相對地,動(dòng)態(tài)性的導(dǎo)入必然需要以提高功耗和損失效能為代價(jià),還可能影響到上層功能的靈活表達(dá)或擴(kuò)展,成為影響系統(tǒng)性能的重要因素。

1.2 異構(gòu)冗余機(jī)制

為提高系統(tǒng)可靠性,采用資源冗余的容錯(cuò)機(jī)制是設(shè)計(jì)者的首選[4-6]。例如同時(shí)在幾個(gè)相同的硬件通道上運(yùn)行一個(gè)程序,對于解決由單一通道隨機(jī)失效引起的系統(tǒng)錯(cuò)誤是十分有效的。冗余容錯(cuò)機(jī)制分為同構(gòu)冗余和異構(gòu)冗余2種,其中同構(gòu)冗余是指余度結(jié)構(gòu),即軟硬件設(shè)計(jì)、控制指令、運(yùn)行狀態(tài)都相似或相同,它對于應(yīng)對差模干擾和隨機(jī)故障十分有效。但是,對于設(shè)計(jì)缺陷引起的系統(tǒng)漏洞和后門等共性故障,同構(gòu)冗余無法進(jìn)行有效的防護(hù)。

異構(gòu)冗余[7]是基于相異性設(shè)計(jì)的容錯(cuò)機(jī)制,即由不同的工作組,在不同的開發(fā)環(huán)境下,用不同的語言研制開發(fā)幾個(gè)能獨(dú)立完成預(yù)定功能的裝置,然后綜合成一個(gè)總的容錯(cuò)系統(tǒng)。這種相異性設(shè)計(jì)能有效防止由單一系統(tǒng)設(shè)計(jì)缺陷造成的漏洞和后門引起的系統(tǒng)故障,大幅提高系統(tǒng)的可靠性。

1.3 動(dòng)態(tài)異構(gòu)冗余機(jī)制

異構(gòu)冗余機(jī)制的基本架構(gòu)仍然是靜態(tài)的,且各異構(gòu)冗余體之間并不完全獨(dú)立,其效果主要是容錯(cuò)而不是容侵。對于攻擊者而言,如果擁有相關(guān)異構(gòu)體的資料,就有可能達(dá)成成功攻擊甚至持續(xù)攻擊的效果。

DHR的核心思想是引入結(jié)構(gòu)表征的不確定性,使異構(gòu)冗余架構(gòu)的執(zhí)行體具有動(dòng)態(tài)化、隨機(jī)化的屬性,攻擊者對系統(tǒng)的攻擊無法建立在靜態(tài)的結(jié)構(gòu)特征之上,即便成功攻擊某個(gè)異構(gòu)體,也無法對系統(tǒng)的最終結(jié)果產(chǎn)生影響,且攻擊結(jié)果不可重現(xiàn),攻擊者的攻擊難度和成本大幅提高。

對動(dòng)態(tài)異構(gòu)冗余構(gòu)造,理論上要求系統(tǒng)具有視在結(jié)構(gòu)表征的動(dòng)態(tài)可變性,包括非周期地從功能等價(jià)體池中隨機(jī)抽取k個(gè)元素組成服務(wù)集,或者重構(gòu)、重組、重建異構(gòu)冗余體自身,借助虛擬化技術(shù)改變?nèi)哂囿w內(nèi)在特征或視在環(huán)境,對異構(gòu)體作預(yù)防性或修復(fù)性的清洗操作等。這些方法和措施使得攻擊者很難有效再現(xiàn)攻擊操作的成功場景,系統(tǒng)的安全具有總體性、長期性的特點(diǎn)。

通用擬態(tài)防御系統(tǒng)架構(gòu)如圖2所示,系統(tǒng)主體是擬態(tài)調(diào)度器和若干個(gè)功能等價(jià)的異構(gòu)冗余體。擬態(tài)調(diào)度器從異構(gòu)冗余池中動(dòng)態(tài)地選擇一個(gè)或幾個(gè)異構(gòu)冗余體執(zhí)行相應(yīng)任務(wù),并對各執(zhí)行體的輸出進(jìn)行判決,得到最終的結(jié)果。

圖2 通用擬態(tài)防御系統(tǒng)架構(gòu)

2 多數(shù)一致性表決策略

在擬態(tài)防御系統(tǒng)中,擬態(tài)調(diào)度器是一個(gè)關(guān)鍵結(jié)構(gòu),其主要功能之一是對各異構(gòu)冗余體的結(jié)果進(jìn)行仲裁判決。目前,對于調(diào)度器仲裁策略的選擇,還是以經(jīng)典的多數(shù)一致性表決為主。多數(shù)一致性表決對因外部攻擊和系統(tǒng)漏洞而產(chǎn)生的錯(cuò)誤輸出具有很好的容錯(cuò)效果,可提高系統(tǒng)的安全性和可靠性。

多數(shù)一致性表決算法是最有代表性的表決算法之一,其基本思想是將參加表決的多數(shù)相同的結(jié)果作為表決輸出,達(dá)到屏蔽一般錯(cuò)誤的效果。在其基礎(chǔ)上可以加以改進(jìn),例如基于自檢測[8]、歷史記錄[9]、自適應(yīng)[10]等的多數(shù)一致性表決算法。在多模冗余體仲裁策略方面,利用多數(shù)一致性表決算法,可以設(shè)計(jì)多種仲裁策略[11-12]。

多數(shù)一致性表決是一種基于多數(shù)行為準(zhǔn)則的表決策略,可靠性較高。冗余架構(gòu)至少會有2個(gè)冗余體,對于用戶來講,冗余體越多,系統(tǒng)的可靠性越高[13]。以3個(gè)冗余體的系統(tǒng)為例,分析基于多數(shù)一致性表決的仲裁策略的可靠性[14-15]。

表1是簡化模型后對三冗余體架構(gòu)下各冗余體判決結(jié)果出現(xiàn)的概率統(tǒng)計(jì)。

表1 一致性表決判決結(jié)果的概率分布

從表1可見判決出現(xiàn)錯(cuò)誤的概率為:

(1)

其中,p表示單個(gè)冗余體輸出正確結(jié)果的概率,q表示輸出錯(cuò)誤結(jié)果的概率,θ表示出現(xiàn)2個(gè)錯(cuò)誤結(jié)果相同的概率。由于異構(gòu)冗余體的結(jié)構(gòu)不同,其設(shè)計(jì)缺陷和漏洞也不完全相同,因此攻擊者同時(shí)成功攻擊2個(gè)異構(gòu)體且使它們的結(jié)果相同的概率是極小的。也就是說,調(diào)度器判決出錯(cuò)的概率極小,系統(tǒng)的安全性和可靠性較高。

多數(shù)一致性表決算法有個(gè)明顯的問題,當(dāng)各模塊不能達(dá)成一致時(shí),通常只能產(chǎn)生一個(gè)異常,不能輸出結(jié)果。對于這個(gè)問題也有許多解決的方法,比如基于自檢測的多數(shù)一致性表決算法、自適應(yīng)一致性表決算法、基于聚類的一致性表決算法等,這里不作贅述。

3 競賽式的多數(shù)一致性表決模型

3.1 基本思想

由于任務(wù)的不確定性和內(nèi)在隨機(jī)性,以及執(zhí)行體的動(dòng)態(tài)調(diào)度,各異構(gòu)冗余體對不同具體任務(wù)的執(zhí)行周期是獨(dú)立且不可預(yù)測的,擬態(tài)調(diào)度器完成仲裁操作需要在所有異構(gòu)體輸出結(jié)果之后,也就是最長的執(zhí)行周期。可以理解為系統(tǒng)的效率是幾個(gè)執(zhí)行任務(wù)的冗余系統(tǒng)中最差的那一個(gè),再加上調(diào)度機(jī)制,總體效率甚至還要更低。

本文提出的競賽式的多數(shù)一致性表決模型,基本思想是不改變仲裁余度而增加執(zhí)行余度,即增加執(zhí)行體的數(shù)量,選擇領(lǐng)先的輸出結(jié)果進(jìn)行仲裁,在不降低系統(tǒng)可靠性的前提下提高仲裁效率,進(jìn)而彌補(bǔ)擬態(tài)系統(tǒng)的性能損失。

擬態(tài)系統(tǒng)余度越高,安全性和可靠性就越高,但同時(shí)資源開銷越大。為簡化分析,本競賽仲裁模型以前3個(gè)執(zhí)行體輸出進(jìn)行一致性表決仲裁。由于每個(gè)異構(gòu)冗余體對各種任務(wù)的執(zhí)行周期不相同且相互獨(dú)立,這種取前3名的競賽模式實(shí)際上給仲裁提供了一個(gè)提高效率的空間,在不降低系統(tǒng)可靠性的前提下提高整體效率。

3.2 模型建立

本競賽式多數(shù)一致性表決模型如圖3所示,其工作流程如下:

1)外部輸入通過輸入輸出(I/O)端口發(fā)送給各異構(gòu)執(zhí)行體(N>3),同時(shí)終點(diǎn)控制模塊向三輸出終點(diǎn)模塊發(fā)送打開指令。

2)各獨(dú)立的異構(gòu)執(zhí)行體將執(zhí)行結(jié)果傳遞給三輸出終點(diǎn)模塊,三輸出終點(diǎn)模塊在得到3個(gè)輸入后就立即將結(jié)果發(fā)送給仲裁器,進(jìn)行三余度多數(shù)一致性判決。

3)仲裁器完成仲裁后將最終結(jié)果通過I/O端口返回給應(yīng)用程序。

4)終點(diǎn)控制模塊發(fā)送關(guān)閉指令關(guān)閉三輸出終點(diǎn)模塊并對其進(jìn)行清洗,等待下一個(gè)任務(wù)。

圖3 競賽式的多數(shù)一致性表決模型

由于仲裁過程相對固定,系統(tǒng)效率的提升本質(zhì)上是從執(zhí)行任務(wù)到開始仲裁之間所用時(shí)間的減少。下面對模型的效率提高效果進(jìn)行分析。

定義N個(gè)異構(gòu)執(zhí)行體執(zhí)行一個(gè)具體任務(wù)的時(shí)間為T1,T2,…,TN,擬態(tài)防御系統(tǒng)從任務(wù)輸入到開始仲裁所用的時(shí)間為系統(tǒng)總執(zhí)行時(shí)間,則原系統(tǒng)的總執(zhí)行時(shí)間:

Tb=max(T1,T2,T3)

(2)

本模型總執(zhí)行時(shí)間Tc為T1,T2,…,TN中的第3大值,即:

Tc=(T1,T2,…,TN)(3)

(3)

下面對Tb和Tc的大小進(jìn)行討論:

情況1當(dāng)T4,T5,…,TN都大于Tb,則(T1,T2,…,TN)(3)=max(T1,T2,T3),即Tc=Tb。

情況2當(dāng)T4,T5,…,TN中存在某些值小于Tb,假設(shè)Tb=T3,則T1

在各異構(gòu)執(zhí)行體相互獨(dú)立且實(shí)時(shí)任務(wù)不可預(yù)測的條件下,假設(shè)2個(gè)異構(gòu)執(zhí)行體執(zhí)行時(shí)間的大小是隨機(jī)的,而完全相同的情況忽略不計(jì),則(TxTy)=1/2,對于情況1,T4,T5,…,TN都大于Tb的概率:

P(T4,T5,…,TN>Tb)=((1/2)3)N-3

(4)

即:

P(Tc=Tb)=(1/2)3(N-3)

(5)

則:

P(Tc

(6)

可見效率持平的概率隨著執(zhí)行余度的增加呈指數(shù)型下降。表2列出了N取不同值時(shí)系統(tǒng)執(zhí)行效率提高的概率。

表2 系統(tǒng)執(zhí)行效率提高的概率與執(zhí)行余度N的關(guān)系

從表2中可以看出,在保持原三仲裁余度的情況下,只增加一個(gè)異構(gòu)執(zhí)行體,效率提高的概率已達(dá)到了0.875,增加2個(gè)以上,概率更超過0.98。從統(tǒng)計(jì)學(xué)角度分析,在系統(tǒng)連續(xù)執(zhí)行多項(xiàng)任務(wù)時(shí),基于競賽式仲裁模型的擬態(tài)系統(tǒng)在仲裁效率上比原三余度擬態(tài)系統(tǒng)能有所提高。

3.3 實(shí)驗(yàn)仿真

異構(gòu)執(zhí)行體處理一個(gè)確定的任務(wù),其運(yùn)行周期有一個(gè)理想值,但各種干擾和延遲會使運(yùn)行周期隨機(jī)變化,用隨機(jī)變量X來刻畫任務(wù)執(zhí)行周期,N個(gè)異構(gòu)執(zhí)行體對某一個(gè)任務(wù)的執(zhí)行周期為X1,X2,…,XN,由于異構(gòu)執(zhí)行體相互獨(dú)立,因此X1,X2,…,XN也相互獨(dú)立。假設(shè)這個(gè)隨機(jī)變量服從正態(tài)分布,概率密度為:

(7)

其中,μi、σi為第i個(gè)異構(gòu)執(zhí)行體執(zhí)行周期的期望和方差。由于具體的任務(wù)和執(zhí)行體系統(tǒng)未知,定義μ={μ1,μ2,…,μN(yùn)}和σ={σ1,σ2,…,σN}為2個(gè)隨機(jī)數(shù)組。

本模型是在三余度擬態(tài)系統(tǒng)架構(gòu)上增加余度,X1,X2,X3作為三余度擬態(tài)系統(tǒng)的3個(gè)異構(gòu)執(zhí)行體任務(wù)執(zhí)行周期,X4,X5,…,XN作為增加的余度執(zhí)行周期,則三余度擬態(tài)系統(tǒng)的總執(zhí)行時(shí)間為:

Xb=max(X1,X2,X3)

(8)

基于競賽模式的擬態(tài)系統(tǒng)的總執(zhí)行時(shí)間為X1,X2,…,XN中的第3小值:

Xc=X(3)

(9)

其中:

X={X1,X2,…,XN}

(10)

下面是具體實(shí)驗(yàn)仿真過程。

3.3.1 簡單假設(shè)條件下的仿真測試

取N=4,假設(shè)μ在區(qū)間(0,10)內(nèi)隨機(jī)產(chǎn)生,σ在(0,0.5)內(nèi)隨機(jī)產(chǎn)生,在Matlab中得到隨機(jī)數(shù)組μ和σ,并用normrnd函數(shù)得到一組正態(tài)隨機(jī)數(shù)X,計(jì)算得到Xb、Xc。

1)重復(fù)執(zhí)行10次,并用直方圖顯示Xb、Xc的具體情況,如圖4所示。

圖4 擬態(tài)系統(tǒng)執(zhí)行時(shí)間對比

從仿真結(jié)果可以看出,基于競賽式仲裁模型的擬態(tài)系統(tǒng)總執(zhí)行時(shí)間總是小于等于三余度擬態(tài)系統(tǒng)的總執(zhí)行時(shí)間,與前文的理論分析一致。

圖5 基于競賽式仲裁模型的擬態(tài)系統(tǒng)執(zhí)行效率提高比例

從圖5可見執(zhí)行效率的提高基本都在20%左右。下面對以上結(jié)果進(jìn)行推導(dǎo)分析:

由于各異構(gòu)執(zhí)行體的執(zhí)行時(shí)間均值μ的取值是獨(dú)立同分布的,而標(biāo)準(zhǔn)差σ相對較小,在多次實(shí)驗(yàn)中可以把執(zhí)行時(shí)間采樣值視為在區(qū)間(0,10)內(nèi)隨機(jī)產(chǎn)生,每個(gè)異構(gòu)執(zhí)行體執(zhí)行時(shí)間可視為服從均勻分布,其概率密度為:

(11)

故三余度擬態(tài)系統(tǒng)的總執(zhí)行時(shí)間Xb的分布函數(shù):

Fxb(x)=P(Xb

P(X3

(12)

而根據(jù)同分布隨機(jī)變量的順序統(tǒng)計(jì)量的相關(guān)公式[16]:

(13)

其中,fk(y)為n個(gè)獨(dú)立同分布且分布函數(shù)為F(y)的隨機(jī)變量中升序第k個(gè)的概率密度,可求基于競賽式仲裁模型的擬態(tài)系統(tǒng)的總執(zhí)行時(shí)間Xc分布的概率密度:

fXi(x)FXi(x)3-1[1-FXi(x)]4-3=

(14)

3.3.2 效率提高與執(zhí)行時(shí)間分布的關(guān)系

仍取N=4,變化σ和μ的取值范圍,計(jì)算系統(tǒng)執(zhí)行效率提高隨參數(shù)取值的變化。

1)假設(shè)σ仍在(0,0.5)內(nèi)隨機(jī)產(chǎn)生,μ在區(qū)間(0,u)內(nèi)隨機(jī)產(chǎn)生,u取1到50遞增,得到如圖6所示的結(jié)果。

圖6 執(zhí)行效率提高隨 μ取值上限的變化

可見當(dāng)μ較小時(shí),系統(tǒng)效率提升明顯超過了20%,隨著μ的取值范圍不斷增大,效率的提升又逐漸穩(wěn)定在20%左右。重復(fù)實(shí)驗(yàn)的結(jié)果也存在這種現(xiàn)象。這是由于標(biāo)準(zhǔn)差σ固定,當(dāng)均值μ較小時(shí),σ相對較大,各異構(gòu)執(zhí)行體執(zhí)行時(shí)間的差異在概率上變大,競賽模型的執(zhí)行效率提高也更加明顯。

2)假設(shè)μ在區(qū)間(0,10)內(nèi)隨機(jī)產(chǎn)生,σ在(0,q)內(nèi)隨機(jī)產(chǎn)生,q取0.2到10遞增,得到如圖7所示的結(jié)果。

圖7 執(zhí)行效率提高隨σ的變化

可見當(dāng)σ較小時(shí),系統(tǒng)執(zhí)行效率提高的百分比在預(yù)期的20%左右,隨著σ的取值范圍不斷增大,執(zhí)行效率提高的百分比也不斷增大。重復(fù)實(shí)驗(yàn)的結(jié)果也存在這種現(xiàn)象。

3)更一般地,令μ在區(qū)間(a,b)內(nèi)隨機(jī)產(chǎn)生(b>a≥0)。由2)可知系統(tǒng)效率提高的百分比隨著σ的增大而增大。取σ最小的情況,即σ=0,則計(jì)算結(jié)果是效率提高百分比的最小值。

各異構(gòu)執(zhí)行體執(zhí)行時(shí)間的概率密度:

(15)

三余度擬態(tài)系統(tǒng)的總執(zhí)行時(shí)間Xb的分布:

(16)

其期望為:

(17)

由于σ=0,即執(zhí)行時(shí)間均值在區(qū)間(a,b)內(nèi)隨機(jī)產(chǎn)生,根據(jù)順序統(tǒng)計(jì)量的相關(guān)公式計(jì)算,可得:

(18)

其期望為:

(19)

系統(tǒng)總執(zhí)行效率提高:

(20)

圖8 執(zhí)行效率提高比例隨μ取值區(qū)間(a,b)的變化

3.3.3 效率提高與系統(tǒng)余度增加個(gè)數(shù)的關(guān)系

令N在區(qū)間[4,10]內(nèi)遞增,μ在區(qū)間(0,10)內(nèi)隨機(jī)產(chǎn)生,σ在(0,0.5)內(nèi)隨機(jī)產(chǎn)生,對每一個(gè)N重復(fù)計(jì)算Xb、Xc1 000次,得到平均執(zhí)行效率提高百分比,如圖9所示。

圖9 執(zhí)行效率比例提高隨N的變化

可見系統(tǒng)執(zhí)行效率提高百分比隨著N的增大呈現(xiàn)出增長幅度緩慢減小的上升趨勢。在同等的條件下,增加余度可令系統(tǒng)的執(zhí)行效率不斷提高。

4 結(jié)束語

本文介紹了擬態(tài)防御的原理和整體框架,針對擬態(tài)調(diào)度器仲裁,在多數(shù)一致性表決的基礎(chǔ)上,建立了一種競賽式的仲裁模型。該模型通過增加執(zhí)行任務(wù)的異構(gòu)冗余體數(shù)量,選擇領(lǐng)先的輸出結(jié)果進(jìn)行仲裁,能提高擬態(tài)系統(tǒng)任務(wù)執(zhí)行的總效率。由于參加仲裁的異構(gòu)體余度并沒有減少,系統(tǒng)的安全性和可靠性不會降低,甚至在系統(tǒng)余度增多的情況下,安全性和可靠性還能有所提高。

對于擬態(tài)防御系統(tǒng)來說,自身開銷本身就很大,增加異構(gòu)冗余體對系統(tǒng)的資源開銷等負(fù)擔(dān)是顯著的,而隨著異構(gòu)體的數(shù)量增多,系統(tǒng)執(zhí)行效率的提高幅度相應(yīng)減小,故擬態(tài)系統(tǒng)的余度增加數(shù)量需要從整體性能考慮,選擇較好的折中方案,這些都是下一步工作需要研究的內(nèi)容。

[1] 鄔江興.擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J].電信科學(xué),2014,30(7):1-7.

[2] 鄔江興,張 帆,羅興國,等.擬態(tài)計(jì)算及擬態(tài)安全防御[J].中國計(jì)算機(jī)協(xié)會通訊,2015,11(1):8-14.

[3] JAJODIA S,GHOSH A K,SWARUP V,et al.Moving target defense:creating asymmetric uncertainty for cyber threats[M].Berlin,Germany:Springer,2011.

[4] 曲 翕,黃慧敏,張 寧,等.基于多冗余可重構(gòu)的上面級箭載計(jì)算機(jī)技術(shù)[J].計(jì)算機(jī)工程,2016,42(9):310-314.

[5] 陳 州,倪 明.三模冗余系統(tǒng)的可靠性與安全性分析[J].計(jì)算機(jī)工程,2012,38(14):239-241.

[6] 張本宏.控制系統(tǒng)中多模冗余與網(wǎng)絡(luò)可靠性研究[D].合肥:合肥工業(yè)大學(xué),2010.

[7] 韓 煒,楊孝宗,崔 剛.相異性容錯(cuò)設(shè)計(jì)的概念及其實(shí)現(xiàn)[J].哈爾濱工業(yè)大學(xué)學(xué)報(bào),2001,33(5):606-611.

[8] 周海濤,朱紀(jì)洪.基于自檢測的多數(shù)一致表決算法[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2005,45(4):488-491.

[9] LATIFSHABGAHI G,BASS J M,BENNETT S.History-based weighted average voter:a novel software voting algorithm for fault-tolerant computer systems[C]//Proceedings of Euromicro Workshop on Parallel & Distributed Processing.Berlin,Germany:Springer,2001:402-409.

[10] 歐陽城添,王 曦,鄭 劍.自適應(yīng)一致表決算法[J].計(jì)算機(jī)科學(xué),2011,38(7):130-133.

[11] 黨小超.基于碰撞識別的優(yōu)先級仲裁策略[J].計(jì)算機(jī)工程與應(yīng)用,2012,48(27):74-79.

[12] CHIU Jih-ching,YANG Kaiming,WONG Chen-ang.Asynchronous ring network mechanism with a fair arbitration strategy for network on chip[C]//Proceedings of Advances in Intelligent Systems and Applications.Berlin,Germany:Springer,2013:769-777.

[13] 周小超,陸 熊.非相似余度飛控計(jì)算機(jī)設(shè)計(jì)及可靠性分析[J].計(jì)算機(jī)與現(xiàn)代化,2013(5):135-137.

[14] 魏 帥,于 洪,顧澤宇,等.面向工控領(lǐng)域的擬態(tài)安全處理機(jī)架構(gòu)[J].信息安全學(xué)報(bào),2017,2(1):54-73.

[15] 楊 毅,黃 海,陳祥獻(xiàn).三取二表決模型的可靠性與安全性分析[J].計(jì)算機(jī)工程,2012,38(14):280-282.

[16] 孫榮恒.應(yīng)用數(shù)理統(tǒng)計(jì)[M].北京:科學(xué)出版社,2016.