仝青，郭云飛，霍樹民，王亞文，蔄羽佳，張凱

（1.信息工程大學(xué)信息技術(shù)研究所，河南 鄭州 450015；2.中國人民解放軍32066 部隊(duì)，云南 昆明 652200；3.中國人民解放軍31401 部隊(duì)，山東 日照 276800）

1 引言

在網(wǎng)絡(luò)空間安全中，防御者很難構(gòu)造一個絕對安全的系統(tǒng)。傳統(tǒng)的防御方法主要包括“補(bǔ)”和“防”2 種方式，即打補(bǔ)丁和入侵防御。通過打補(bǔ)丁的方式彌補(bǔ)系統(tǒng)存在的脆弱性，是從根本上防止攻擊者對漏洞的利用，然而漏洞具有隱蔽性，防御者難以發(fā)掘所有的漏洞并為之打補(bǔ)丁。入侵防御方法通過入侵檢測等方式檢測攻擊的發(fā)生并采取相應(yīng)措施阻止攻擊滲透或擴(kuò)散，但入侵檢測存在誤報(bào)和漏報(bào)的可能且難以有效檢測到未知攻擊和后門[1]。新型的主動防御技術(shù)打破了傳統(tǒng)防御技術(shù)的被動性，通過改變系統(tǒng)的構(gòu)造或運(yùn)行方式，使系統(tǒng)自身內(nèi)生一定的防御能力[2]。典型的主動防御系統(tǒng)有SCIT（self cleansing intrusion tolerance）[3]、Talent[4]、MT6D（moving target IPv6 defense）[5]、多變體[6]、擬態(tài)防御Web 服務(wù)器系統(tǒng)[7]等。上述系統(tǒng)通過動態(tài)改變系統(tǒng)對外呈現(xiàn)的特征增大攻擊者發(fā)現(xiàn)目標(biāo)、定位目標(biāo)的難度，或采用異構(gòu)化冗余執(zhí)行降低漏洞的可利用性，最終達(dá)到提高系統(tǒng)防御能力的目的。

軟硬件多樣性是主動防御采用的主要技術(shù)之一，依據(jù)實(shí)現(xiàn)的維度不同，可以分為時間多樣性和空間多樣性[8]。時間多樣性系統(tǒng)在不同的時間段對外呈現(xiàn)不同的安全屬性或攻擊面，使系統(tǒng)具有動態(tài)性?？臻g多樣性系統(tǒng)在同一時間存在冗余異構(gòu)的執(zhí)行體或執(zhí)行過程，將相同的服務(wù)請求復(fù)制分發(fā)到不同的執(zhí)行體或執(zhí)行過程，通過表決得到相對正確的服務(wù)響應(yīng)，從而避免單一執(zhí)行體或執(zhí)行過程被攻擊而導(dǎo)致服務(wù)失效。

已有研究對時間多樣性系統(tǒng)或空間多樣性系統(tǒng)分別進(jìn)行了安全性、性能等方面的優(yōu)化與權(quán)衡，然而缺少對時間、空間多樣性聯(lián)合機(jī)制的設(shè)計(jì)。另一方面，網(wǎng)絡(luò)空間中的系統(tǒng)面臨的威脅態(tài)勢時刻在變化，系統(tǒng)應(yīng)當(dāng)具備自適應(yīng)性，而已有的自適應(yīng)策略主要針對純粹的時間多樣性系統(tǒng)進(jìn)行設(shè)計(jì)。針對上述不足，本文提出一種自適應(yīng)的時空多樣性（SASTD,self-adaptive spatio-temporal diversity）聯(lián)合調(diào)度策略，通過評估系統(tǒng)面臨的威脅水平，根據(jù)時、空多樣性各自的優(yōu)勢，適應(yīng)性地改變系統(tǒng)的多樣性配置，使系統(tǒng)在威脅水平較高時，增大防御能力，而在威脅水平降低時，降低防御能力，同時提高服務(wù)質(zhì)量。本文主要貢獻(xiàn)介紹如下。

1) 聯(lián)合了時空多樣性共同指導(dǎo)調(diào)度決策。結(jié)合了2 種多樣性策略的優(yōu)勢，使系統(tǒng)在提高防御能力的同時維持了高服務(wù)質(zhì)量，控制了過多防御代價的引入。

2) 通過適時引入空間多樣性降低了自適應(yīng)策略對入侵檢測的依賴，同時使系統(tǒng)具備了一定的防御未知攻擊的能力。

2 相關(guān)研究

2.1 多樣性系統(tǒng)分類

平臺層多樣性系統(tǒng)的主要構(gòu)成包括n個執(zhí)行體和一個代理，如圖1 所示。其中代理對外提供服務(wù)訪問接口，接收用戶的輸入，按照一定的多樣性策略（具體包括分發(fā)策略和輸出策略）轉(zhuǎn)發(fā)請求和響應(yīng)。用戶請求按照分發(fā)策略發(fā)送到后端執(zhí)行體進(jìn)行處理。所有執(zhí)行體的響應(yīng)，都要經(jīng)過輸出策略處理后返回至用戶。根據(jù)多樣性不同的實(shí)現(xiàn)維度，可以形成不同的多樣性策略，大體上可分為時間多樣性和空間多樣性。

圖1 平臺層多樣性系統(tǒng)結(jié)構(gòu)

時間多樣性系統(tǒng)是指在不同的時間片段內(nèi)輪換執(zhí)行體或系統(tǒng)屬性的系統(tǒng)，該類系統(tǒng)在不同時間片段內(nèi)使用不同的執(zhí)行過程對事務(wù)進(jìn)行處理或?qū)ν獬尸F(xiàn)不同的系統(tǒng)屬性。如圖1 所示，代理服務(wù)器按照分發(fā)策略改變其連接的執(zhí)行體，使不同時間段下執(zhí)行體不同，從而增大系統(tǒng)的不確定性。典型的時間多樣性系統(tǒng)有移動目標(biāo)防御（MTD,moving target defense）系統(tǒng)。MTD 系統(tǒng)能夠動態(tài)地改變攻擊面，可以在不同的軟件棧層面上實(shí)現(xiàn)。例如，在操作系統(tǒng)層實(shí)現(xiàn)的地址空間分布隨機(jī)化（ASLR,address space layout randomization）技術(shù)[9]，通過改變程序每次運(yùn)行時的基地址，使攻擊者無法通過先前的破解來定位代碼，因?yàn)槊看纬绦蜻\(yùn)行時，加載位置都會隨機(jī)更改，從而有效抵御控制流攻擊對地址的探測；在代碼和軟件層實(shí)現(xiàn)的多版本編程，可以在編譯時通過插入空語句等方式，使代碼異構(gòu)化和多樣化；在網(wǎng)絡(luò)層，通過動態(tài)變換系統(tǒng)指紋、IP地址、端口等屬性使攻擊者難以鎖定攻擊目標(biāo)[10]；對于平臺層的MTD 系統(tǒng)，如TALENT[5]，通過輪換異構(gòu)執(zhí)行體上線服務(wù)的方式實(shí)現(xiàn)動態(tài)性。

空間多樣性系統(tǒng)是指對一個請求同時采取多個等價的執(zhí)行過程，并對不同執(zhí)行過程的執(zhí)行結(jié)果進(jìn)行表決以獲得最終輸出的系統(tǒng)。冗余的執(zhí)行過程并行存在同一時間片段內(nèi)，因而稱之為空間多樣性。如圖1 所示，空間多樣性系統(tǒng)的代理服務(wù)器按照分發(fā)策略將請求進(jìn)行復(fù)制并分發(fā)到執(zhí)行體1,2,…,n，然后收集執(zhí)行體的響應(yīng)進(jìn)行表決，將最終響應(yīng)返回給用戶。典型的入侵容忍系統(tǒng)SITAR（scalable intrusion-tolerant architecture）[11]采用多組件冗余逐層表決的方法實(shí)現(xiàn)入侵容忍。不同的空間多樣性系統(tǒng)的主要區(qū)別在于表決策略，例如拜占庭表決系統(tǒng)COCA（cornell online certification authority）[12]在各個節(jié)點(diǎn)均進(jìn)行表決；k-大數(shù)表決以k個或k個以上的一致響應(yīng)作為最終輸出；基于歷史信息的加權(quán)表決則根據(jù)歷史表決結(jié)果，對出錯較多的執(zhí)行體賦予較低的權(quán)值，文獻(xiàn)[13]對上述表決策略進(jìn)行了分析和總結(jié)。

不同的多樣性技術(shù)在防御能力、防御代價以及對系統(tǒng)的服務(wù)質(zhì)量上有不同的影響。

時間多樣性系統(tǒng)具有不確定性，攻擊者難以定位系統(tǒng)的脆弱點(diǎn)并持續(xù)實(shí)施攻擊，即使攻擊成功，也難以長期維持攻擊效果。時間多樣性將確定性攻擊轉(zhuǎn)變?yōu)楦怕市允录?，成功概率的大小受系統(tǒng)的動態(tài)頻率影響。動態(tài)頻率越高，系統(tǒng)的不確定性越強(qiáng)，攻擊成功概率越小，然而頻繁的動態(tài)變化容易導(dǎo)致系統(tǒng)服務(wù)穩(wěn)定性下降，同時增大調(diào)度開銷。

對于空間多樣性系統(tǒng)而言，攻擊者只有在成功利用冗余執(zhí)行體或執(zhí)行過程的共模漏洞時，才有可能攻擊成功，因而空間多樣性系統(tǒng)極大地提高了攻擊難度。冗余執(zhí)行體或執(zhí)行過程的異構(gòu)性越大，系統(tǒng)對外呈現(xiàn)的共模漏洞越少，攻擊難度越大，這相應(yīng)地提高了異構(gòu)性、冗余度的需求，同時對冗余執(zhí)行結(jié)果的表決增大了服務(wù)響應(yīng)時延。

2.2 多樣性系統(tǒng)調(diào)度策略

自適應(yīng)的多樣性策略具備動態(tài)性，因而相關(guān)研究中以時間多樣性策略居多。文獻(xiàn)[14]將時間多樣性系統(tǒng)的研究范圍劃分為調(diào)度什么、何時調(diào)度以及如何調(diào)度3 個方面。調(diào)度什么通常取決于系統(tǒng)的工作層面，如網(wǎng)絡(luò)層的多樣性系統(tǒng)通常動態(tài)變換IP 地址、端口號、主機(jī)名等，而平臺層通常變換不同的軟件版本、虛擬機(jī)、容器等[15]。何時調(diào)度與如何調(diào)度分別解決調(diào)度時機(jī)和調(diào)度對象的選擇問題。

自適應(yīng)的調(diào)度時機(jī)選擇策略多依賴于準(zhǔn)確的入侵檢測機(jī)制。例如，文獻(xiàn)[16]描述了一種容錯系統(tǒng)的任務(wù)調(diào)度算法，當(dāng)檢測到正在運(yùn)行的任務(wù)出錯時，及時調(diào)度異構(gòu)的其他版本上線替代。該調(diào)度算法的目標(biāo)是維持容錯能力，保證任務(wù)在規(guī)定時間內(nèi)完成。文獻(xiàn)[3]設(shè)計(jì)了自適應(yīng)的時間多樣性系統(tǒng)SCIT，該系統(tǒng)通過調(diào)度系統(tǒng)的副本上線實(shí)現(xiàn)對入侵的容忍，自適應(yīng)性主要體現(xiàn)在通過評估每個執(zhí)行體節(jié)點(diǎn)的重建時間，給出當(dāng)前系統(tǒng)中為了保證一定的恢復(fù)能力而需要維持在線的節(jié)點(diǎn)數(shù)量。SCIT 的自適應(yīng)性是面向系統(tǒng)服務(wù)可用性的，而非當(dāng)前系統(tǒng)所面臨的威脅環(huán)境。云環(huán)境中SCIT 系統(tǒng)[17]的實(shí)現(xiàn)結(jié)合了一定的云平臺異構(gòu)性，然而該研究未將異構(gòu)性進(jìn)行量化并作為調(diào)度對象選擇的依據(jù)。文獻(xiàn)[18]量化了變換代價和攻擊代價，并結(jié)合歷史變換時間間隔，采用更新獎勵理論對攻防過程進(jìn)行分析，以決策下一次變換的時機(jī)。這種自適應(yīng)策略以決策更經(jīng)濟(jì)的變換時機(jī)為目標(biāo)，調(diào)度時機(jī)的選擇同時也在一定程度上依賴于入侵檢測。文獻(xiàn)[19-20]采用博弈模型分析攻防雙方的行為和收益，并通過納什均衡或最優(yōu)化方法得出防御者需要采取變化的時機(jī)，但對入侵檢測的依賴性較強(qiáng)且多針對特定的攻擊類型，缺乏普遍適用性。

在調(diào)度對象的選擇方法上，通常同時包含了調(diào)度時機(jī)選擇策略的設(shè)計(jì)，相較于純粹的調(diào)度時機(jī)策略更全面。文獻(xiàn)[21]提出了一種以成本為主導(dǎo)的調(diào)度策略，該策略同時以時間和事件為調(diào)度時機(jī)決策因素，通過貝葉斯攻擊圖評估系統(tǒng)各狀態(tài)的安全等級，利用競爭馬爾可夫決策過程，在調(diào)度時采取未來收益最大化的操作進(jìn)行移動。該研究在調(diào)度時機(jī)上綜合了時間和事件2 種驅(qū)動因素，在調(diào)度對象選擇上以成本和防御收益為主導(dǎo)，而該策略主要應(yīng)用了時間多樣性，未結(jié)合空間多樣性以擴(kuò)展系統(tǒng)能夠達(dá)到的安全上限。文獻(xiàn)[22]提出攻擊者具有智能性，其在攻防博弈中具有自適應(yīng)的特點(diǎn)，因而防御者應(yīng)根據(jù)攻擊者行為的變化調(diào)整防御策略。該研究基于博弈論和機(jī)器學(xué)習(xí)提出了一種通過預(yù)測攻擊者行為來采取適應(yīng)性的防御措施方法，主要采取基于時間多樣性的調(diào)度，使系統(tǒng)呈現(xiàn)異構(gòu)性和不可預(yù)測性，從而中斷攻擊者的當(dāng)前攻擊行為并提高下一次攻擊發(fā)起的難度，該調(diào)度策略對入侵檢測有較強(qiáng)的依賴性，在應(yīng)對未知攻擊時可能存在漏檢。文獻(xiàn)[23]提出了網(wǎng)絡(luò)層攻擊面的自適應(yīng)轉(zhuǎn)換技術(shù)，基于對當(dāng)前網(wǎng)絡(luò)威脅的感知進(jìn)行自適應(yīng)的網(wǎng)絡(luò)跳變。其中跳變技術(shù)在視圖距離和跳變周期兩方面實(shí)現(xiàn)，在網(wǎng)絡(luò)資源、可用性、部署效率等條件約束下，通過制定跳變目標(biāo)實(shí)現(xiàn)防御收益最大化。視圖距離最大化的目的是提高跳變前后的異構(gòu)性，而跳變周期的調(diào)節(jié)改善了跳變的時效性。該研究成果主要應(yīng)用于網(wǎng)絡(luò)層，跳變的有效性對威脅感知的準(zhǔn)確性有較強(qiáng)的依賴性。另一方面，一旦攻擊成功入侵網(wǎng)絡(luò)節(jié)點(diǎn)，后續(xù)的跳變對已發(fā)生的攻擊將無法發(fā)揮防御作用。文獻(xiàn)[24-26]研究了變換?異構(gòu)、變換?冗余以及3 種技術(shù)的組合應(yīng)用，評估了不同情形下組合技術(shù)的優(yōu)劣，并將變換、異構(gòu)和冗余的組合問題歸納為一個二元線性優(yōu)化問題，給出了特定限制條件下系統(tǒng)的最優(yōu)多樣性配置。然而，該研究對異構(gòu)性的度量較模糊。另一方面，冗余的執(zhí)行體以副本形式存在，用于替換在線執(zhí)行體，而本文中空間多樣性所涉及的冗余是指并行處理相同請求的工作方式。同時，通過最優(yōu)化問題給出的策略是固定策略，未能形成自適應(yīng)性。文獻(xiàn)[27]通過多樣性實(shí)現(xiàn)了軟件體的自修復(fù)，當(dāng)系統(tǒng)檢測到攻擊時，針對被利用的漏洞采用遺傳算法產(chǎn)生多個多樣化的補(bǔ)丁作為軟件修復(fù)的候選，通過替換當(dāng)前相關(guān)組件，實(shí)現(xiàn)軟件體的動態(tài)性。然而該方法難以保證新產(chǎn)生的補(bǔ)丁不會引入新漏洞，且該研究的調(diào)度時機(jī)依賴于對攻擊類型和漏洞類型的監(jiān)測和分析。

綜上所述，已有研究成果中不乏自適應(yīng)調(diào)度策略的設(shè)計(jì)，然而主要集中于時間多樣性的調(diào)度策略設(shè)計(jì)中。高效的自適應(yīng)時間多樣性策略依賴于準(zhǔn)確的入侵檢測結(jié)果，安全防御能力受到一定的限制。時間多樣性與空間多樣性在帶來安全性增益的同時均對系統(tǒng)存在一定的副作用，可以通過聯(lián)合時空多樣性動態(tài)改變對系統(tǒng)安全性、代價和服務(wù)質(zhì)量的影響，實(shí)現(xiàn)在不同威脅環(huán)境下的優(yōu)劣互補(bǔ)。然而，尚未有研究對時空多樣性的聯(lián)合調(diào)度策略進(jìn)行設(shè)計(jì)與評估。

3 策略設(shè)計(jì)

3.1 面向攻擊階段的防御策略分析

文獻(xiàn)[28-29]將攻擊階段劃分為目標(biāo)偵查、信息獲取、漏洞挖掘、攻擊發(fā)起和攻擊持續(xù)5 個階段，可概括為前攻擊、攻陷和后攻擊3 個階段，如圖2所示。其中，目標(biāo)偵查階段，尋找和發(fā)現(xiàn)攻擊目標(biāo)，收集目標(biāo)的基本信息；信息獲取階段，攻擊者對目標(biāo)進(jìn)行進(jìn)一步的探測以確定系統(tǒng)架構(gòu)、操作系統(tǒng)類型等詳細(xì)信息；漏洞挖掘階段，攻擊者嘗試開發(fā)目標(biāo)系統(tǒng)中可利用的漏洞；攻擊發(fā)起階段，攻擊者通過發(fā)送攻擊載荷達(dá)到攻擊目的；攻擊持續(xù)階段，攻擊者在目標(biāo)系統(tǒng)上預(yù)置木馬或后門以便未來再次攻擊。

圖2 攻擊階段劃分

前攻擊階段。攻擊者通常對系統(tǒng)進(jìn)行信息偵查、漏洞挖掘以及漏洞利用嘗試，為了避免被入侵檢測系統(tǒng)察覺，上述準(zhǔn)備工作往往較隱蔽，漏洞挖掘階段有時甚至不需要與目標(biāo)系統(tǒng)交互；由于漏洞挖掘和利用具有一定的難度，前攻擊階段在整個攻擊過程中通常耗費(fèi)時間最長。系統(tǒng)在該階段未受到實(shí)質(zhì)攻擊，仍能保證正常工作，同時入侵檢測系統(tǒng)可以檢測出部分已知攻擊和異常行為。

攻陷階段。攻擊對系統(tǒng)的作用最直接，也最容易被系統(tǒng)發(fā)現(xiàn)，該階段持續(xù)時間短且破壞性強(qiáng)。攻擊者在該階段通常按照計(jì)劃的有效攻擊方案對系統(tǒng)實(shí)施最大程度的攻擊，獲取期望的攻擊效果。

后攻擊階段。攻擊者可能重復(fù)利用已知漏洞、已知攻擊或預(yù)置木馬、后門等對系統(tǒng)進(jìn)行二次破壞或入侵，以持續(xù)對系統(tǒng)進(jìn)行控制和后續(xù)破壞。

根據(jù)上述分析可以發(fā)現(xiàn)，攻擊的成功往往具有突發(fā)性，即迅速地發(fā)生并達(dá)到破壞效果[30-31]。相對于系統(tǒng)的整個運(yùn)行周期，攻陷階段所占用的時間更加短暫，因而維持高成本的安全性以應(yīng)對突發(fā)的攻擊對于系統(tǒng)而言是不可取的。自適應(yīng)的安全策略能夠根據(jù)環(huán)境威脅水平調(diào)節(jié)系統(tǒng)的安全性，在可能的攻陷階段來臨之前，提高系統(tǒng)防御能力；短時間地維持高防御能力后，可以通過降低防御能力以降低防御代價。

基于上述分析，本文提出一種自適應(yīng)的時空多樣性聯(lián)合調(diào)度策略——SASTD，該策略的設(shè)計(jì)思路是依據(jù)粗粒度的入侵檢測結(jié)果和固定調(diào)度周期動態(tài)改變時間多樣性和空間多樣性策略的配置，使其跟隨威脅水平的變化而改變，在保證系統(tǒng)安全性的前提下，盡可能維持服務(wù)質(zhì)量、降低防御代價。

SASTD 依然需要參考入侵檢測的結(jié)果評估系統(tǒng)面臨的威脅水平，但降低了對入侵檢測的準(zhǔn)確度的依賴，尤其在空間多樣性加入時，多執(zhí)行體表決時的不一致結(jié)果能夠發(fā)現(xiàn)入侵檢測難以檢測出的攻擊行為，增強(qiáng)了對未知攻擊的防御能力。SASTD不針對特定的攻擊類型，僅依據(jù)粗粒度的檢測結(jié)果對威脅環(huán)境進(jìn)行評估，當(dāng)威脅水平較高時，提高防御能力，以應(yīng)對已經(jīng)發(fā)生或即將發(fā)生的攻擊，形成對攻擊廣泛的防御能力。

SASTD 包括2 個主要過程，1) 調(diào)度對象候選序列的構(gòu)建，2) 時空多樣性自適應(yīng)轉(zhuǎn)換流程。過程1)為過程2)準(zhǔn)備所需要的執(zhí)行體（集）并對執(zhí)行體（集）按照輪換順序進(jìn)行排序，過程2)是SASTD 的主要運(yùn)行流程，根據(jù)系統(tǒng)運(yùn)行中實(shí)時威脅水平的評估，通過調(diào)度執(zhí)行體（集）、改變調(diào)度周期等操作動態(tài)地調(diào)整系統(tǒng)的多樣性配置。

3.2 調(diào)度對象候選序列的構(gòu)建

3.2.1 執(zhí)行體候選序列

基于商用組件（COTS,commercial off-the-shelf）構(gòu)建執(zhí)行體可以利用現(xiàn)有的軟硬件異構(gòu)性而避免重新設(shè)計(jì)實(shí)現(xiàn)異構(gòu)化組件，同時COTS提供了較成熟的組件，具有相對完善的功能實(shí)現(xiàn)以及較好的兼容性，便于執(zhí)行體的構(gòu)建與部署。依據(jù)具體的應(yīng)用場景，給定可以進(jìn)行異構(gòu)化的層面（屬性）以及每個層面的不同種類（屬性值）。例如對于Web 服務(wù)場景而言，可以異構(gòu)化的屬性包括操作系統(tǒng)層、服務(wù)器軟件層以及應(yīng)用代碼層等，其中操作系統(tǒng)層的屬性值又可以包括CentOS、Ubuntu 以及Windows 等，同類型操作系統(tǒng)的不同版本在本文中被作為相同的屬性值。

對于單個執(zhí)行體的輪換策略，執(zhí)行體自身安全性越高，調(diào)度前后執(zhí)行體的異構(gòu)性越大，對系統(tǒng)的整體安全性提升越有利。本文采取調(diào)度異構(gòu)性優(yōu)先、執(zhí)行體安全性其次的決定順序，安排執(zhí)行體的輪換次序，以保證在相同的執(zhí)行體集合下，實(shí)現(xiàn)較優(yōu)的調(diào)度順序。其中調(diào)度異構(gòu)性和執(zhí)行體安全性的計(jì)算采用國家漏洞信息共享平臺提供的相關(guān)漏洞信息進(jìn)行度量，通過統(tǒng)計(jì)相同漏洞數(shù)量計(jì)算2 個執(zhí)行體的調(diào)度異構(gòu)性，執(zhí)行體安全性則通過累計(jì)所包含漏洞的通用漏洞評分系統(tǒng)（CVSS,common vulnerability scoring system）分值得到。每個執(zhí)行體的候選執(zhí)行體構(gòu)成候選序列，按照先調(diào)度異構(gòu)性d最大，再執(zhí)行體安全性S最大的原則經(jīng)過兩輪排序構(gòu)成。當(dāng)調(diào)度優(yōu)先級相同時，按照相同概率隨機(jī)選擇輪換上線的執(zhí)行體。假設(shè)執(zhí)行體Ei的候選序列為E1→E2→ …→En，其中“→”表示“優(yōu)先于”，任取Ei的候選集中的執(zhí)行體E j,Ek，滿足以下條件。

1) 若dij>dik，則Ej→Ek。

2) 若d ij=dik且S j>Sk，則Ej→Ek。

3) 若d ij=dik且S j=Sk，則Ej與Ek優(yōu)先級相同。

3.2.2 執(zhí)行體集優(yōu)先序列

不同的執(zhí)行體組合可以構(gòu)成執(zhí)行體集ES。對于n個異構(gòu)執(zhí)行體，存在2n個執(zhí)行體集合。文獻(xiàn)[32]提出了一種空間多樣性系統(tǒng)的執(zhí)行體集多樣性度量方法，實(shí)驗(yàn)結(jié)果表明，執(zhí)行體集的多樣性與安全性總體上呈正相關(guān)的關(guān)系?；谠撐墨I(xiàn)中多樣性度量方法，按照多樣性的大小對所有的執(zhí)行體集合進(jìn)行排序，其中當(dāng)且僅當(dāng)執(zhí)行體集合包含至少2 個執(zhí)行體時，才參與排序。對于多樣性相同的執(zhí)行體集，按照執(zhí)行體數(shù)量由少到多排序，以H(ES)表示執(zhí)行體集ES 的多樣性。綜上所述，假設(shè)最終執(zhí)行體集優(yōu)先序列為 ES1→ ES2→ …→ ESl，其中“→”表示“優(yōu)先于”。任取執(zhí)行體集優(yōu)先序列中的執(zhí)行體集ESi,ESj，滿足以下條件。

1) |ESi|> 1。

2) 若H(ESi) >H(ESj)，則ESi→ ESj。

3) 若H(ESi)=H(ESj)且|ESi|<| ESj|，則ESi→ ESj。

3.3 SASTD 調(diào)度流程

SASTD 調(diào)度流程主要處理調(diào)度時機(jī)的選擇和調(diào)度對象的選擇問題。調(diào)度時機(jī)選擇上，為了盡可能提高防御效率，需加入一定的入侵檢測機(jī)制，當(dāng)檢測到的異常事件達(dá)到一定閾值時，認(rèn)為攻擊者即將攻陷系統(tǒng)。除此之外，系統(tǒng)保持一定的固定調(diào)度頻率，避免無法被入侵檢測發(fā)現(xiàn)的攻擊對系統(tǒng)造成持久破壞。調(diào)度對象選擇上，根據(jù)一定時間內(nèi)系統(tǒng)對威脅環(huán)境的評估，適當(dāng)?shù)靥岣甙踩曰蚪档桶踩?，以使多樣性提供的安全性與當(dāng)前系統(tǒng)的威脅水平相符合。

3.3.1 調(diào)度時機(jī)選擇

SASTD 同時具備調(diào)度周期和入侵檢測2 種調(diào)度觸發(fā)機(jī)制。當(dāng)系統(tǒng)連續(xù)運(yùn)行時間達(dá)到一個調(diào)度周期而未發(fā)生調(diào)度時，認(rèn)為該調(diào)度周期內(nèi)系統(tǒng)所受威脅水平在安全防御能力范圍之內(nèi)，可以適當(dāng)降低安全性需求，從而提高服務(wù)質(zhì)量、降低多樣性代價。當(dāng)系統(tǒng)連續(xù)運(yùn)行時間尚未達(dá)到一個調(diào)度周期卻受到威脅檢測閾值時，認(rèn)為系統(tǒng)當(dāng)前遭受的威脅水平超出了防御能力范圍，需要提高系統(tǒng)的安全性，即使伴隨著一定的服務(wù)質(zhì)量損失和多樣性代價提升。

調(diào)度周期C和威脅檢測閾值D的初始值設(shè)置為經(jīng)驗(yàn)值Cmax和D0。同時，初始值也標(biāo)志著該多樣性系統(tǒng)的安全性下限，即系統(tǒng)的最低防御能力。

確定調(diào)度周期的初始值Cmax是為了保證系統(tǒng)具備一定的恢復(fù)能力。根據(jù)經(jīng)驗(yàn)值可以判斷出系統(tǒng)平均實(shí)施一次成功攻擊所需要的時間，并據(jù)此設(shè)置Cmax。當(dāng)系統(tǒng)遭受到難以修復(fù)的攻擊或破壞時，通過一次輪換使系統(tǒng)恢復(fù)正常服務(wù)。因而Cmax的確定可根據(jù)相同類型的服務(wù)系統(tǒng)平均遭受嚴(yán)重攻擊的周期確定。另一方面，當(dāng)系統(tǒng)無法通過繼續(xù)增加空間多樣性而提升安全性時，調(diào)度周期C將逐步減小，設(shè)置C的最小值為Cmin。Cmin由系統(tǒng)服務(wù)穩(wěn)定性的下限決定，當(dāng)調(diào)度周期繼續(xù)縮短時，系統(tǒng)幾乎無法提供穩(wěn)定的服務(wù)。

3.3.2 調(diào)度對象選擇

調(diào)度對象的選擇依據(jù)觸發(fā)因素和當(dāng)前系統(tǒng)防御水平而定，主要解決的問題是如何提升安全性和降低安全性。

時間多樣性與空間多樣性在提供安全性與多樣性代價上存在不同的特點(diǎn)?？臻g多樣性系統(tǒng)在執(zhí)行體集的異構(gòu)性較高時，相比時間多樣性系統(tǒng)能夠提供更高的安全性，然而同時增加了服務(wù)響應(yīng)時延，且執(zhí)行體集的冗余度（執(zhí)行體數(shù)量）越高，響應(yīng)時延越大；除此之外，在線執(zhí)行體數(shù)量較多時，也增加了耗能。時間多樣性系統(tǒng)的輪換頻率越高，安全性越高，但同時對服務(wù)穩(wěn)定性產(chǎn)生一定的副作用；時間多樣性幾乎不影響服務(wù)響應(yīng)時延，同時在線執(zhí)行體數(shù)量少，耗能較低。因而時間多樣性有利于維持服務(wù)質(zhì)量，空間多樣性有利于維持高安全性。

在提升安全性的調(diào)度中，為了盡可能降低防御成本的增長，采取漸進(jìn)式的提升方法。圖3 為系統(tǒng)多樣性配置隨著安全性需求提升的變化順序。

圖3 系統(tǒng)多樣性配置隨著安全性需求提升的變化順序

如圖3 所示，系統(tǒng)運(yùn)行初始上線的執(zhí)行體數(shù)量設(shè)置為1，即在開始運(yùn)行時，系統(tǒng)處于安全性的最低水平，在沒有發(fā)生提高安全性的需求時，系統(tǒng)按照純粹的時間多樣性的配置策略，在單一執(zhí)行體之間進(jìn)行輪換，輪換對象的上線順序按照當(dāng)前執(zhí)行體的候選序列進(jìn)行。當(dāng)發(fā)生安全性提高的需求時，系統(tǒng)在純粹的時間多樣性的基礎(chǔ)上，疊加空間多樣性，采用冗余執(zhí)行體集代替單一執(zhí)行體，在安全性需求進(jìn)一步提高時，按照執(zhí)行體集優(yōu)先序列對執(zhí)行體集進(jìn)行輪換。若執(zhí)行體集輪換到多樣性最大化的ESl時仍然無法滿足安全性需求，則進(jìn)一步提高多樣性配置級別，縮小調(diào)度周期，隨著安全性需求的繼續(xù)提升，調(diào)度周期不斷縮小直到Cmin。當(dāng)安全性需求下降時，按照與上述過程相反的方向改變系統(tǒng)的多樣性配置。

3.3.3 SASTD 調(diào)度策略

綜合調(diào)度時機(jī)選擇和調(diào)度對象選擇策略的分析，具體調(diào)度流程如算法1 所示。

如算法1 所示，在初始化過程中，構(gòu)建每個執(zhí)行體的候選集從而構(gòu)成執(zhí)行體輪換順序圖，并建立執(zhí)行體集的優(yōu)先序列。根據(jù)經(jīng)驗(yàn)值以及系統(tǒng)實(shí)際安全防御需求設(shè)置Cmax、Cmin、D0的值，構(gòu)成系統(tǒng)的防御能力上下限。系統(tǒng)開始運(yùn)行后，SASTD 實(shí)時對系統(tǒng)的受威脅水平進(jìn)行檢測和評估，當(dāng)系統(tǒng)的檢測警告次數(shù)達(dá)到檢測閾值D0時，系統(tǒng)開始按照圖3所示的順序向提高安全性的方向轉(zhuǎn)換多樣性配置，當(dāng)安全性達(dá)到多樣性配置的最大值時，向系統(tǒng)管理員發(fā)出警告，同時系統(tǒng)保持當(dāng)前多樣性配置繼續(xù)運(yùn)行。當(dāng)系統(tǒng)連續(xù)運(yùn)行（期間未發(fā)生調(diào)度）時間達(dá)到調(diào)度周期時，說明該調(diào)度周期內(nèi)的威脅水平不高于防御能力，系統(tǒng)則按如圖3 所示向安全性降低的方向轉(zhuǎn)換多樣性配置。

在整個運(yùn)行過程中，系統(tǒng)的安全性有可能在最高點(diǎn)和最低點(diǎn)保持運(yùn)行，但中間值的維持不超過連續(xù)2 個輪換周期。這種設(shè)計(jì)的原因在于攻擊具有突發(fā)性，且一旦某一攻擊階段不成功，攻擊就無法繼續(xù)進(jìn)入下一個攻擊階段，因而可以在維持一個輪換周期后對系統(tǒng)面臨的威脅水平進(jìn)行重新評估并改變安全性需求。

fairness2=-1.28+0.37pension2+0.263medical2-0.437pension* medical2

SASTD 所能達(dá)到的防御效果如下：在前攻擊階段，以純粹的時間多樣性對單一執(zhí)行體進(jìn)行輪換，以較低的防御代價增強(qiáng)系統(tǒng)的不確定性，增大攻擊者探測和收集信息的難度；在可能的攻陷階段出現(xiàn)之前疊加空間多樣性，提高系統(tǒng)的防御能力，最大程度降低系統(tǒng)被攻陷的可能性，同時將攻擊盡可能攔截至攻陷階段之前；即使進(jìn)入后攻擊階段，系統(tǒng)通過周期性輪換能夠清除已發(fā)生的攻擊，降低系統(tǒng)的損失。

4 基于OpenStack 的SASTD 系統(tǒng)實(shí)現(xiàn)

為了對SASTD 的有效性進(jìn)行評估，本文基于OpenStack 實(shí)現(xiàn)了一種SASTD 管理系統(tǒng)。該系統(tǒng)主要依賴SASTD 策略對系統(tǒng)上所承載的應(yīng)用進(jìn)行動態(tài)管理，實(shí)現(xiàn)應(yīng)用對威脅環(huán)境的自適應(yīng)性?；贠penStack 的SASTD 系統(tǒng)結(jié)構(gòu)如圖4 所示。

圖4 基于OpenStack 的SASTD 系統(tǒng)結(jié)構(gòu)

SASTD 管理系統(tǒng)主要包括中心控制器、應(yīng)用層輸入/輸出（I/O,input/output）代理以及相關(guān)應(yīng)用的多樣化鏡像庫。

多樣化鏡像由服務(wù)提供方構(gòu)建上傳至SASTD 的鏡像庫，并向中心控制器提供所有執(zhí)行體的屬性、屬性值以及其他可能的鏡像信息，如安全等級、已知漏洞等，以便計(jì)算多樣性、執(zhí)行體安全性等。

中心控制器基于OpenStack API 調(diào)用虛擬機(jī)管理功能對OpenStack 進(jìn)行二次開發(fā)，實(shí)現(xiàn)了對服務(wù)供應(yīng)方需求、應(yīng)用層I/O 代理以及鏡像庫的管理和服務(wù)。對于服務(wù)供應(yīng)方，中心控制器接收其服務(wù)上線以及相關(guān)要求的請求，并存儲服務(wù)供應(yīng)方上傳的鏡像和服務(wù)信息，代替服務(wù)供應(yīng)方向用戶提供服務(wù)并進(jìn)行服務(wù)安全性配置的管理。對于應(yīng)用層I/O 代理，中心控制器為每個服務(wù)創(chuàng)建一個應(yīng)用層I/O 代理，并根據(jù)服務(wù)信息和安全性要求向應(yīng)用層I/O 代理下發(fā)安全性配置策略，同時監(jiān)控應(yīng)用層I/O 代理的狀態(tài)，以便及時替換失聯(lián)或崩潰的I/O 代理。中心控制器實(shí)時接收應(yīng)用層I/O 代理的反饋信息，依據(jù)存儲的服務(wù)需求信息在要求范圍按照SASTD 調(diào)度流程（如3.3 節(jié)所述）更新安全性配置，并將更新的配置策略下發(fā)；同時，通過調(diào)用OpenStack API實(shí)現(xiàn)虛擬機(jī)的創(chuàng)建、刪除等操作自動更新I/O 代理所關(guān)聯(lián)的虛擬機(jī)節(jié)點(diǎn)。

應(yīng)用層I/O 代理作為服務(wù)供應(yīng)方在SASTD 系統(tǒng)中的代理，是服務(wù)的實(shí)際提供者，并實(shí)現(xiàn)對特定應(yīng)用服務(wù)的直接管理。應(yīng)用服務(wù)啟動后，負(fù)責(zé)接收用戶的請求，按照多樣性配置決定的分發(fā)策略和輸出策略，將請求下發(fā)至各執(zhí)行體并收集響應(yīng)后經(jīng)過處理返回至用戶。除了提供相關(guān)服務(wù)以外，應(yīng)用層I/O 代理接受中心控制器的管理，并向中心控制器反饋當(dāng)前服務(wù)存在的異常情況，例如，裁決不一致次數(shù)或入侵檢測告警次數(shù)達(dá)到檢測閾值等。中心控制器依據(jù)上述反饋信息，對該服務(wù)的多樣性策略配置進(jìn)行改變，并將策略變換信息下發(fā)至應(yīng)用層I/O代理，然后應(yīng)用層I/O 代理按照新的多樣性策略繼續(xù)運(yùn)行服務(wù)。由于應(yīng)用層I/O 代理與用戶直接連接，因而需要采取必要的安全防護(hù)措施，如開啟防火墻、設(shè)置訪問控制、部署入侵檢測工具等。即使應(yīng)用層I/O 代理失效，中心控制器能夠?qū)?yīng)用層I/O代理進(jìn)行重建以恢復(fù)服務(wù)的可用性。

SASTD 系統(tǒng)的使用者包括2 類，一類為服務(wù)供應(yīng)方，另一類為每個應(yīng)用面向的用戶。SASTD 系統(tǒng)對服務(wù)供應(yīng)方提供的服務(wù)實(shí)施管理，以實(shí)現(xiàn)服務(wù)或應(yīng)用的自適應(yīng)調(diào)節(jié)，維持服務(wù)或應(yīng)用的安全性以及高可用性。該系統(tǒng)具有承載多種服務(wù)或應(yīng)用的能力，以基礎(chǔ)設(shè)施即服務(wù)（IaaS,infrastructure as a service）的云服務(wù)模式工作。特定服務(wù)面向的用戶的服務(wù)接口由相應(yīng)的應(yīng)用層I/O 代理提供，用戶訪問相應(yīng)的I/O 代理實(shí)現(xiàn)對特定應(yīng)用的訪問。

5 實(shí)驗(yàn)分析

5.1 實(shí)驗(yàn)環(huán)境

為便于攻防實(shí)驗(yàn)的實(shí)施，在SASTD 系統(tǒng)上部署包含多種不同類型漏洞的Web站點(diǎn)DVWA（damn vulnerable Web application）作為攻擊目標(biāo)。模擬服務(wù)提供者提供的多樣化的系統(tǒng)屬性，包括頁面代碼、php 相關(guān)指令集、sql 相關(guān)指令集、服務(wù)器軟件和虛擬機(jī)操作系統(tǒng)5 種，進(jìn)行了多樣化部署的屬性為sql 指令集操作系統(tǒng)和服務(wù)器軟件層。具體地，服務(wù)器軟件層的屬性值包括apache、nginx 以及IIS（Internet information service），操作系統(tǒng)層包括Windows、Ubuntu 和CentOS 等。sql 指令集的異構(gòu)化主要通過對sql 語句關(guān)鍵字隨機(jī)化實(shí)現(xiàn)[33]，實(shí)驗(yàn)中構(gòu)造了2 種不同的指令集。在給定的屬性以及屬性值范圍內(nèi)，初步篩選出合理的屬性值組合，例如{apache,CentOS,sql_v1}，構(gòu)成多個異構(gòu)的能夠獨(dú)立處理服務(wù)請求的執(zhí)行體種類。實(shí)驗(yàn)中構(gòu)造的執(zhí)行體鏡像包括4 種，具體執(zhí)行體鏡像屬性值如表1所示。

表1 執(zhí)行體鏡像屬性組成

作為對比，對純粹的時間多樣性系統(tǒng)（TDS,temporal diversity system）和空間多樣性系統(tǒng)（SDS,spatial diversity system）進(jìn)行了測試。TDS 采用與SASTD 最低安全等級相同的工作機(jī)制，即當(dāng)檢測到的警報(bào)到達(dá)閾值或到達(dá)調(diào)度周期時，按照單一執(zhí)行體輪換順序（如3.2.1 節(jié)所述）進(jìn)行輪換。文獻(xiàn)[34]也采用了類似的策略，當(dāng)檢測到攻擊或達(dá)到固定調(diào)度周期時均進(jìn)行一次虛擬機(jī)的遷移，實(shí)現(xiàn)了基于虛擬機(jī)遷移的云中移動目標(biāo)防御，但本文測試中，TDS和SASTD 還引入了調(diào)度對象選擇策略。SDS 使用了多樣性最大的執(zhí)行體集{A,B,C,D}同時處理相同輸入，并收集同一請求的各執(zhí)行體的響應(yīng)，當(dāng)且僅當(dāng)一致響應(yīng)數(shù)量超過2 個時才向用戶返回一致響應(yīng)，否則返回錯誤頁面；另外，SDS 運(yùn)行期間不輪換執(zhí)行體。根據(jù)3.2.2 節(jié)的執(zhí)行體集合優(yōu)先順序，多樣性最大的執(zhí)行體集安全性最高，選取執(zhí)行體集{A,B,C,D}與SASTD 進(jìn)行對比，能夠反映出服務(wù)質(zhì)量和代價方面SASTD 的優(yōu)勢。

5.2 安全性

對系統(tǒng)防御能力的評價上，包含了Web 掃描和攻擊重現(xiàn)2 種測試方法。其中Web 掃描過程包含了可能的漏洞的發(fā)掘，能夠反映系統(tǒng)的漏洞暴露程度，主要評價前攻擊階段中系統(tǒng)的安全性表現(xiàn)。通過攻擊再現(xiàn)率評價攻擊的可持續(xù)性，即在系統(tǒng)運(yùn)行的不同階段，攻擊能夠持續(xù)成功重現(xiàn)并對系統(tǒng)產(chǎn)生破壞的可能性。攻擊再現(xiàn)率反映出系統(tǒng)在后攻擊階段的防御能力。

5.2.1 Web 掃描

采用開源Web 掃描工具xray 分別對SASTD、TDS、SDS 以及靜態(tài)單一執(zhí)行體D 進(jìn)行掃描，掃描報(bào)告所包含的漏洞總數(shù)如表3 所示。SDS 的漏洞數(shù)量在4 種系統(tǒng)中最低，原因在于異構(gòu)性使多數(shù)與操作系統(tǒng)相關(guān)的信息無法取得一致響應(yīng)而不能輸出，而該類漏洞在其他3 種系統(tǒng)均存在一定的可利用時機(jī)。

表3 Web 掃描結(jié)果

SASTD 系統(tǒng)在Web 掃描中暴露出的漏洞少于TDS 和單一執(zhí)行體D。該結(jié)果說明SASTD 系統(tǒng)在前攻擊階段具有一定的隱匿漏洞的效果。由于掃描造成系統(tǒng)威脅水平提升，觸發(fā)了SASTD的安全性提升機(jī)制，因而SASTD 系統(tǒng)對后期掃描中的漏洞利用起到了一定的防御作用，從而減少了掃描報(bào)告中的漏洞數(shù)量，但在安全性提升之前，存在一定的漏洞利用時機(jī)，因而掃描出的漏洞數(shù)量多于SDS。

由于xray 包含的漏洞掃描類型均存在于站點(diǎn)頁面內(nèi)，而表1 中4 種執(zhí)行體鏡像的頁面代碼不存在異構(gòu)性，因而TDS 對攻擊面的轉(zhuǎn)移效果未能在表3 結(jié)果中體現(xiàn)。同時，掃描報(bào)告所包含的多數(shù)漏洞是站點(diǎn)自身的漏洞，所占比例較高，SDS 和SASTD 的漏洞隱匿作用在表1 中表現(xiàn)均不突出。

5.2.2 攻擊重現(xiàn)

掃描結(jié)果中包含的漏洞具有較多同類型漏洞，在本節(jié)測試中，采用表2 中所提供的具有不同共模率的攻擊進(jìn)行測試。由于SDS 不具備動態(tài)性，攻擊能夠以100%的可能性再現(xiàn)，因而未加入攻擊再現(xiàn)率的實(shí)驗(yàn)對比。

表2 執(zhí)行體鏡像屬性組成

對于具有不同共模率的攻擊，分別編制自動化攻擊腳本在系統(tǒng)運(yùn)行過程中周期性反復(fù)實(shí)施攻擊，設(shè)置系統(tǒng)的入侵檢測為較細(xì)粒度，即攻擊一旦發(fā)生系統(tǒng)能夠立刻發(fā)現(xiàn)，測試得到不同系統(tǒng)對每種攻擊的平均攻擊重現(xiàn)率，結(jié)果如圖5 所示。其中，攻擊頻率是指調(diào)度周期與攻擊周期的比值。

圖5 結(jié)果顯示，對于2 種系統(tǒng)而言，隨著攻擊共模率的提升，攻擊再現(xiàn)率也呈現(xiàn)升高趨勢，說明執(zhí)行體的異構(gòu)性有利于減少攻擊的再現(xiàn)率。在相同的攻擊頻率和攻擊共模率下，SASTD 攻擊重現(xiàn)率總體上低于TDS，說明SASTD 的防御能力高于TDS，能夠在后攻擊階段有效地降低系統(tǒng)被再次攻陷的可能。

圖5 不同漏洞共模率及攻擊頻率下SASTD 和TDS 的攻擊再現(xiàn)率

隨著攻擊頻率的提高，攻擊再現(xiàn)率逐漸減小，這是由于攻擊頻率較高時無效攻擊次數(shù)較多，部分情形下存在攻擊再現(xiàn)率相等的情形，如同一系統(tǒng)在相同共模率、不同攻擊頻率下，攻擊再現(xiàn)率相同，類似情形由于攻擊腳本的周期性導(dǎo)致，具有一定的偶然性，不影響上述結(jié)論的得出。

5.3 服務(wù)質(zhì)量

服務(wù)質(zhì)量的評估中，綜合表2 中所有的攻擊場景編制自動化攻擊腳本，輪流實(shí)施每個攻擊行為，以一次循環(huán)為一個攻擊周期，測試不同攻擊頻率下每種多樣性系統(tǒng)的響應(yīng)時延和錯誤率。為了保證每一個攻擊均能夠開展，僅在每個攻擊周期的最后一次攻擊才對系統(tǒng)進(jìn)行實(shí)質(zhì)的破壞，即關(guān)閉Web 服務(wù)。

錯誤率指標(biāo)既包含了由于執(zhí)行體切換引起的服務(wù)暫停，也包含了由于攻擊導(dǎo)致的服務(wù)停止。由于錯誤率對用戶體驗(yàn)影響顯著，因而列入服務(wù)質(zhì)量范圍內(nèi)討論。

如圖6 所示，SDS 相對于SASTD 和TDS，由于不具備動態(tài)性，一旦被攻擊成功，服務(wù)就在剩余測試過程中處于癱瘓狀態(tài)，因而錯誤率幾乎達(dá)到100%，響應(yīng)時延給出的是服務(wù)尚未癱瘓時的平均響應(yīng)時延，由于表決占用較多時間，因而時延遠(yuǎn)大于SASTD 和TDS。

圖6 不同攻擊頻率下SASTD、TDS 和SDS 的響應(yīng)時延和錯誤率

對于SASTD 和TDS，隨著攻擊頻率的提高，2 個系統(tǒng)的響應(yīng)時延未發(fā)生明顯變化，而錯誤率略有提升，說明攻擊頻率的提高會降低系統(tǒng)服務(wù)的穩(wěn)定性。SASTD 的響應(yīng)時延略高于TDS，而錯誤率顯著低于TDS，說明SASTD 會導(dǎo)致服務(wù)響應(yīng)時延增大，但在絕對值上，響應(yīng)時延的增大并不顯著；SASTD 相對于TDS 顯著地抑制了系統(tǒng)的錯誤率，說明SASTD 對服務(wù)質(zhì)量的維持能力優(yōu)于TDS。

5.4 代價

對代價的評估在5.3 節(jié)的實(shí)驗(yàn)中獲取相關(guān)指標(biāo)的測試結(jié)果。由于SDS 不發(fā)生調(diào)度，在線執(zhí)行體數(shù)量始終為4 個，因而未將結(jié)果顯示在測試結(jié)果中。

如圖7 所示，隨著攻擊頻率的提高，SASTD 與TDS 的調(diào)度次數(shù)均隨之增大，SASTD 的調(diào)度次數(shù)總體上低于TDS，結(jié)合安全性和服務(wù)質(zhì)量的測試結(jié)果，說明SASTD 能夠在較小的調(diào)度次數(shù)下實(shí)現(xiàn)較高的防御能力。

圖7 不同攻擊頻率下SASTD 與TDS 的調(diào)度次數(shù)和平均在線執(zhí)行體數(shù)量

系統(tǒng)平均在線執(zhí)行體數(shù)量上，SASTD 高于TDS，且平均執(zhí)行體數(shù)量隨著攻擊頻率的提升呈增大趨勢，但測試結(jié)果中平均在線執(zhí)行體數(shù)量在攻擊頻率最高時為1.4 個，相比于純粹的空間多樣性系統(tǒng)SDS（在線執(zhí)行體數(shù)量始終為4 個），在引入空間多樣性的條件下，運(yùn)行代價得到有效控制。

5.5 入侵檢測依賴性

為了驗(yàn)證SASTD對入侵檢測結(jié)果的弱依賴性，本節(jié)對SASTD 的自適應(yīng)性與入侵檢測準(zhǔn)確度的關(guān)系進(jìn)行了進(jìn)一步研究。

在攻擊頻率為100%的條件下對SASTD和TDS進(jìn)行測試，統(tǒng)計(jì)2 個系統(tǒng)在不同的入侵檢測粒度下全部攻擊的再現(xiàn)率以及未知攻擊再現(xiàn)率，結(jié)果如圖8所示。

圖8 不同入侵檢測粒度下SASTD 與TDS 的全部攻擊的再現(xiàn)率以及未知攻擊再現(xiàn)率

圖8 結(jié)果顯示，入侵檢測粒度越粗，即檢測閾值越大，系統(tǒng)對攻擊行為的發(fā)現(xiàn)越“遲鈍”，攻擊再現(xiàn)率越高。隨著入侵檢測閾值的增大，TDS 的全部攻擊再現(xiàn)率增長速率為 2.35（檢測閾值為30%～50%），且在檢測閾值為50%時達(dá)到最大值后不再變化；而SASTD 僅為0.77，且在檢測閾值為90%時攻擊再現(xiàn)率仍低于TDS，說明SASTD 對入侵檢測粒度的依賴性弱于TDS。SASTD 未知攻擊的攻擊再現(xiàn)率顯著低于TDS，且變化趨勢與SASTD全部攻擊再現(xiàn)率相似，說明在SASTD 策略下，未知攻擊也能夠得到有效的防御。

6 結(jié)束語

為了聯(lián)合時空多樣性的優(yōu)勢進(jìn)行調(diào)度策略優(yōu)化，本文提出一種自適應(yīng)的時空多樣性聯(lián)合策略?；诠舻耐话l(fā)性特點(diǎn)，設(shè)計(jì)了自適應(yīng)調(diào)度策略，使系統(tǒng)依據(jù)環(huán)境威脅水平提升或降低防御能力?；谧赃m應(yīng)調(diào)度策略實(shí)現(xiàn)了SASTD 系統(tǒng)，對安全性、服務(wù)質(zhì)量和代價進(jìn)行了測試評估。結(jié)果表明，相比純粹的時間多樣性系統(tǒng)和空間多樣性系統(tǒng)，SASTD系統(tǒng)能夠以較低的防御代價提高了系統(tǒng)防御能力，同時維持了高服務(wù)質(zhì)量。同時，SASTD 相比純粹的時間多樣性系統(tǒng)降低了對入侵檢測的依賴。

在當(dāng)前應(yīng)用環(huán)境下，軟硬件存在一定的同源性，易造成攻擊在具有相同漏洞的組件間傳播擴(kuò)散。高效地利用軟硬件多樣性以發(fā)揮最大的安全性對傳統(tǒng)防御技術(shù)有著顯著的彌補(bǔ)作用，尤其在應(yīng)對未知威脅方面。本文所提時空多樣性聯(lián)合調(diào)度算法為后續(xù)相關(guān)工作的開展提供了一定的參考。時空多樣性更智能的聯(lián)合技術(shù)[35]有可能成為下一步的研究方向。