馬海龍/MA Hailong，任權/REN Quan，伊鵬/YI Peng

（ 中國人民解放軍戰(zhàn)略支援部隊信息工程大學，中國 鄭州 450001 ）

隨著信息化和工業(yè)化的高度融合，各類信息安全事件層出不窮，網絡空間安全問題成為信息時代日益嚴峻的挑戰(zhàn)[1]。為了應對各類網絡安全事件，傳統(tǒng)的網絡防御是在系統(tǒng)上，通過防火墻、惡意檢測等附加式防御手段來提高系統(tǒng)的抗攻擊能力。盡管上述防護技術能在一定程度上減少網絡攻擊造成的危害，但逐年遞增的網絡安全事件卻表明現(xiàn)有網絡安全防御架構難以應對基于未知的漏洞后門發(fā)動的未知攻擊，總體表現(xiàn)為：工程技術手段的局限性，任何軟硬件廠家都無法確保網絡設備中不存在任何設計缺陷；在全球開放式產業(yè)鏈條件下，任何廠商都不能確保生產鏈等環(huán)節(jié)未被蓄意植入后門；開源模式已經成為技術開發(fā)的主流趨勢，現(xiàn)有的科技理論和方法尚不能徹查系統(tǒng)中的漏洞與后門；修補式的被動網絡防御策略難以應對日新月異的網絡攻擊方法[2]。

為改變網絡空間攻防不對稱性的格局，提高網絡系統(tǒng)應對攻擊的能力，網絡空間擬態(tài)防御[3]被提議作為網絡安全“改變游戲規(guī)則”的研究主題之一。擬態(tài)防御技術是通過動態(tài)異構冗余構造與擬態(tài)偽裝機制來規(guī)避網絡空間廣義不確定性擾動問題。2008年，鄔江興教授受生物界擬態(tài)現(xiàn)象啟發(fā)，提出了“結構決定效能”的擬態(tài)計算，又從“結構決定功能與安全”思路入手，將動態(tài)異構冗余架構與廣義魯棒控制機制融合，創(chuàng)立擬態(tài)防御理論體系，逐步開辟了網絡空間擬態(tài)防御（CMD）研究方向，期望通過架構設計賦予信息系統(tǒng)內生安全能力。內生安全是指借助系統(tǒng)本身的構造、機制、運行場景以及規(guī)律等內部屬性，達成的安全功能或屬性。擬態(tài)防御是基于功能等價的多個執(zhí)行單元，以提供目標環(huán)境的動態(tài)性、非確定性、異構性、非持續(xù)性為目的，動態(tài)地構建網絡、平臺、環(huán)境、軟件、數(shù)據(jù)等多樣化的擬態(tài)環(huán)境。擬態(tài)防御基于動態(tài)異構冗余架構與擬態(tài)偽裝機制實現(xiàn)了將隨機或非隨機擾動轉化為概率可控的可靠性事件。

因此，本文將對網絡空間擬態(tài)防御理論與技術發(fā)展展開研究，主要貢獻包括：（1）對網絡空間內生安全問題進行闡述，針對該問題探討了現(xiàn)有防御架構存在的問題；（2）介紹擬態(tài)防御系統(tǒng)的基本要素與關鍵技術；（3）給出了現(xiàn)有擬態(tài)防御理論的系統(tǒng)建模方法，對比分析了不同模型的適用場景；（4）對擬態(tài)防御理論方向研究進行展望。

1 問題提出與解決

1.1 內生安全問題

“矛盾存在于一切事物之中，矛盾雙方在一定條件下可以轉化”。在信息網絡空間中，如果一個軟硬件實體的暗功能和副作用能被某種因素觸發(fā)而影響到實體服務功能的可信性，這些副作用和暗功能則被稱為“內生安全”問題[3]，即系統(tǒng)內部本征功能的內在性矛盾。以典型技術為例，大數(shù)據(jù)技術能夠根據(jù)算法和數(shù)據(jù)樣本發(fā)現(xiàn)未知的規(guī)律或特征，而被人為污染的數(shù)據(jù)樣本以及惡意利用的算法缺陷同樣可使人誤解，結果的不可解釋性是其內生安全問題。區(qū)塊鏈技術采用了大于等于51%的共識機制，該機制卻不能避免市場占有率大于51%的商用級產品中的漏洞后門問題。這是區(qū)塊鏈1.0時代的內生安全問題。當前，計算技術的快速發(fā)展使人類步入了輝煌的信息時代，但計算技術本身的缺陷也使得網絡空間充滿了不確定性。因此，本文所提的內生安全問題主要是指網絡空間各類信息服務功能實體中存在的未知漏洞后門等問題。顯然，該類問題是系統(tǒng)內部本征功能所衍生出的副作用或暗功能，是伴隨本征功能產生和發(fā)展的，因此無法從根本上徹查或者消除。

1.2 解決思路

從哲學原理上說，內生安全問題不可能徹底消除，只能在時空約束前提下實現(xiàn)條件規(guī)避或危害控制。傳統(tǒng)的網絡安全思維模式和技術路線主要采取挖漏洞、打補丁、查毒殺馬或是設蜜罐、布沙箱等堆疊的附加式防護手段。該方式在引入安全功能的同時會不可避免地引入新的內生安全問題。內生安全問題源自系統(tǒng)結構本身，那么在功能等價條件下變換系統(tǒng)結構本身無疑能成為內生安全問題的解決之道。

2 擬態(tài)防御架構

動態(tài)異構冗余（DHR）架構以非相似余度架構為基礎，融合了多模表決與策略裁決、負反饋控制策略、多維動態(tài)重構機制三大核心機理，實現(xiàn)了將廣義不確定擾動管控在有效范圍之內，從而確保DHR架構相對攻擊方具有“熵不減”的廣義魯棒控制能力。

DHR架構抽象模型如圖1所示，主要包括輸入輸出代理、功能等價的可重構執(zhí)行體集、輸出裁決模塊以及負反饋控制器。輸入代理模塊負責接收負反饋控制器的指令，并將輸入請求復制、分發(fā)到多個功能等價的可重構異構體；功能等價異構執(zhí)行體集合中的可重構執(zhí)行體能獨立完成指定功能屬大概率事件；輸出裁決模塊策略選取合適算法判決輸出矢量，并將滿足要求的輸出響應轉發(fā)給輸出代理，若裁決結果不一致或未達要求則激活負反饋控制器；負反饋控制器通常會依據(jù)自身策略主動激活或受裁決結果被動激活，反饋控制器被激活后會依據(jù)控制參數(shù)和裁決參數(shù)執(zhí)行功能等價的重組/重構/重配等操作。

▲圖1 DHR架構抽象模型

3 擬態(tài)防御理論系統(tǒng)建模

擬態(tài)防御基于DHR架構與擬態(tài)偽裝機制，將攻擊造成的隨機或非隨機擾動轉化為概率可控的可靠性事件，這使得定量分析架構的抗攻擊能力成為可能。本節(jié)中，針對現(xiàn)有系統(tǒng)可用概率、攻擊成功概率等通用指標，以及擬態(tài)構造特有逃逸概率指標，我們探討擬態(tài)防御模型的抗攻擊性?？构粜允窍到y(tǒng)在受到外部攻擊出現(xiàn)不可見故障時，連續(xù)提供有效服務并在規(guī)定時間內恢復所有服務的能力。關于抗攻擊性模型的假設與定義如下：

假設1：目標系統(tǒng)是3余度DHR系統(tǒng)，執(zhí)行體中不包括入侵檢測、防火墻等特異性感知和防御手段；

假設2：通過擬態(tài)裁決機制可以發(fā)現(xiàn)輸出矢量與多數(shù)執(zhí)行體不同的情況，并能夠對其進行包括動態(tài)重構等在內的恢復操作；

假設3：對于擬態(tài)裁決機制未能發(fā)現(xiàn)的錯誤，系統(tǒng)仍然能以一定的概率進行定期或不定期恢復。

定義1：可用概率。系統(tǒng)處于正常服務狀態(tài)的概率。在3余度擬態(tài)防御系統(tǒng)中，可用概率是指系統(tǒng)全部執(zhí)行體處于漏洞休眠狀態(tài)或單個執(zhí)行體處于故障狀態(tài)的概率。

定義2：逃逸概率。攻擊方通過協(xié)同多個執(zhí)行體使輸出結果出現(xiàn)一致錯誤，從而實現(xiàn)判決逃逸。

定義3：攻擊成功概率。攻擊成功執(zhí)行的概率，如系統(tǒng)組件（或防御者）被破壞導致出錯或目標被攻擊者成功訪問的概率。

下面我們主要針對集中式與分布式裁決場景、隨機與非隨機攻擊場景對3個模型進行闡述。

3.1 基于廣義隨機Petri網的擬態(tài)構造評估模型

19世紀60年代，德國學者C. A. PETRI提出了Petri網的概念。Petri網適用于在邏輯層次上對事件離散的動態(tài)系統(tǒng)進行建模和分析。Petri網可用來描述系統(tǒng)中進程或部件的順序、并發(fā)、沖突以及同步等關系。為了準確地描述整個擬態(tài)防御系統(tǒng)的結構、不同攻擊擾動與擬態(tài)系統(tǒng)動態(tài)重構與負反饋控制防御特性，文獻[4]和[5]以3余度動態(tài)異構冗余系統(tǒng)為例，依據(jù)擬態(tài)系統(tǒng)針對不同擾動表現(xiàn)出不同的行為，建立包括24個狀態(tài)、42個變遷的廣義隨機Petri網（GSPN）模型（具體如圖2所示）。

▲圖2 擬態(tài)構造擾動異常GSPN模型

擬態(tài)構造擾動異常情況下的GSPN模型：

其中，庫所S={P1,P2,…,P24}表示系統(tǒng)中狀態(tài)元素的集合，變遷T={T1,T2,…,T42}表示系統(tǒng)中狀態(tài)遷移集合，F(xiàn)為模型中庫所與變遷之間的有向弧集合，W是弧的權重集合，各弧的權重為1，K={1,1,1,0,…,0}定義了S中各元素的容量，狀態(tài)標識M={M0,M1,…,M12}。 其 中M0={1,1,1,0,…,0}定義了模型的初始狀態(tài)，Λ ={λ1,λ2,…,λ15}定義了與時間變遷相關聯(lián)的平均實施速率集合。

設i，j表示馬爾科夫鏈中任意實存狀態(tài)，i,j∈MT，r,s表示馬爾科夫鏈中任意消失狀態(tài),r,s∈Mv。系統(tǒng)實存狀態(tài)之間的轉移概率矩陣為：

其中，fij表示實存狀態(tài)間的轉移概率，Pr{r→j}表示沿著一條全部由消失狀態(tài)構成的中間狀態(tài)的路徑，從消失狀態(tài)r轉移到實存狀態(tài)j的概率。其中，路徑可以包括任意步數(shù)。

由馬爾可夫鏈的轉移概率建立轉移速率矩陣如下：

qij為由實存狀態(tài)Mi到實存狀態(tài)Mj的轉移速率，其中i,j∈[1,l],l=MT。Q矩陣是以qij為元素的轉移速率矩陣。概率向量P(t)=(P1(t),P2(t),…,Pi(t),…,Pl(t))，其中Pi(t)為系統(tǒng)處于實存狀態(tài)Mi的瞬時概率，則有微分方程（4）成立：

通過上述方程組可求解可達標識的可用概率和逃逸概率。

文獻[4]給出了各種防御策略所對應的安全性指標，因此可針對不同安全需求采用不同策略部署與系統(tǒng)構建來實現(xiàn)。

3.2 融合鞅與GSPN的二維擬態(tài)構造評估模型

擬態(tài)防御系統(tǒng)在聯(lián)合判決和重配置過程中帶來的資源消耗將大幅增加防御成本。存在判決時延的分布式擬態(tài)系統(tǒng)亟需一種分析系統(tǒng)安全性的方法。文獻[6]在單節(jié)點攻擊層，根據(jù)博弈論思想對攻擊者和防御者的行為分別建立模型，利用廣義隨機PN描述攻防動作對系統(tǒng)的影響，進而分析系統(tǒng)的安全性。在鏈路攻擊層，使用馬爾科夫鏈來刻畫攻擊者在鏈路中的位置變化，并結合隨機過程的鞅理論，計算出攻擊難度和網絡配置間的量化關系。

假定攻擊單個節(jié)點成功的概率為μ，攻擊鏈的節(jié)點總數(shù)為Θ，節(jié)點被隨機擾動的概率為ω。假設當前時刻攻擊者停留在第k個節(jié)點，即已攻擊成功k個節(jié)點，則攻擊轉移如圖3。

▲圖3 攻擊轉移圖

定理1：構建一個隨機序列M0,M1,M2,…,Mn，其中，Mi=Xi-[(1-ω)μ-ω]*i，則Mn序列是關于X0,X1,X2,…,Xn的鞅。

為了求解攻擊Θ步到達目標節(jié)點的步數(shù)，我們引入了鞅停時定理。在隨機過程中，停時被定義為具有某種與將來無關性質的隨機時刻。鞅停時滿足：

（1）P{S＜∞}=1；

（2）E[|MS|]＜ ∞；

則有：

定理2：對于一條長度為Θ個節(jié)點的攻擊鏈，如果攻擊者攻擊單個節(jié)點成功的概率為μ，單節(jié)點處遭遇主動隨機擾動的概率為ω，那么攻擊者成功攻擊目標節(jié)點（即Θ點）需要的步數(shù)期望為：

下面我們計算到達Θ點的步數(shù)期望。根據(jù)停時定理得：

又因為E[XS]=Θ，所以等式（6）成立。

根據(jù)上文，運算得到的攻擊逃逸的穩(wěn)態(tài)概率即為下一部分馬爾科夫鏈的下行概率，攻擊成功概率即為馬爾科夫鏈的上行概率，即：μ=P(PE)，ω=λ(TE0)。

該模型給出了二維擬態(tài)構造評估模型，在實際部署過程中可以通過改善動態(tài)清洗與重構能力來增大修復速率，通過改善節(jié)點品質等因素來改變單個節(jié)點的攻擊成功概率[7-10]。

3.3 基于概率論與數(shù)理統(tǒng)計的擬態(tài)構造評估模型

針對系統(tǒng)的未知安全防范，大多數(shù)安全評估模型首先基于隨機性攻擊假設，進而基于攻擊路徑和漏洞分析方法來量化攻擊難度。盡管這類攻擊模型能有效反映攻防雙方在隨機條件下的博弈策略，但缺乏針對系統(tǒng)整體安全的有效性證明，即從理論上論證在一定的攻擊條件，存在一種防御方案可保證任意小的系統(tǒng)差錯概率。

文獻[7]給出了一種證明方法，針對非隨機擾動且執(zhí)行體有記憶情況，DHR架構引入了反饋函數(shù)f(t)，在部署差模異構執(zhí)行體（即在共模同構率ω可忽略）后，擬態(tài)構造執(zhí)行體出錯概率：

我們設DHR構造信道在t時刻的輸入請求為x(t)，x(t)∈Xn，x(t)=(x1(t),x2(t),…,xn(t))， 輸 出 響 應 為y(x(t))∈Yn，y(x(t))=(y1(x1(t)),y2(x2(t)),…,yn(xn(t)))。從編碼空間Xn中隨機選取M=2nR(t)個編碼序列作為請求發(fā)送，設X中所有元素以獨立、等概率形式出現(xiàn)，那么就可以滿足隨機編碼條件。給定與時刻t對應的輸出響應y(x(t))，若存在唯一的k∈[1,2nR(t)]，則有：

y(x(t))判決為xk(t)，即F(y(x(t)))=xk(t)。其中，TXY(n,ε)表示輸入輸出序列對(x(t),y(x(t)))是聯(lián)合ε典型序列。

若發(fā)送請求為xm(t)，響應序列為y(xm(t))，則判決出錯概率為：

我們設發(fā)送端的第一個請求消息為x1(t)，令事件：

于是，判決出錯可分為兩種情況：

（2）編碼序列xk(t),k≠1與響應序列y(x1(t))構成聯(lián)合ε典型序列，令事件為Ek(t)。

于是則有攻擊成功概率：

第1部分攻擊成功概率：

第2部分攻擊成功概率：

那么：

即攻擊成功概率Pe(t)為任意小。

該模型給出了內生安全構造具有任意小安全需求的存在性證明。在實際部署過程中，我們可通過編碼與冗余度設計、執(zhí)行體擾動消除以及反饋控制構造等來盡可能地接近該模型求解結果。

3.4 評估指標分析

表1比較了上述3個模型的優(yōu)缺點。當前，擬態(tài)防御理論模型主要針對集中式與分布式裁決、擾動隨機與非隨機場景進行量化評估。GSPN模型在面向集中判決場景時能通過多個量化指標可以有效評估系統(tǒng)的抗攻擊能力。然而，在面向分布式場景時，該模型需要進一步完善。文獻[7]所提的模型則是通過優(yōu)化資源與構造來仿真系統(tǒng)攻擊可用性，該方法同樣在一定余度與隨機性攻擊擾動條件下進行的。針對分布式裁決系統(tǒng)，文獻[8]建立了融合鞅與GSPN的系統(tǒng)安全評估方法，該方法對裁決延時判決問題進行了進一步研究。針對基于擬態(tài)防御的云科學計算流，文獻[9]提出了一種攻擊評估模型。上述的可用性與攻擊成功概率指標模型相關研究存在兩方面不足：一方面，GSPN模型在執(zhí)行體數(shù)量增多時會出現(xiàn)指數(shù)爆炸問題；另一方面，上述模型均是在攻擊隨機到達的情況下分析的系統(tǒng)安全性。在逃逸概率指標方面，文獻[4]在GSPN模型的基礎上提出用大系統(tǒng)拆分成小系統(tǒng)的方案來解決狀態(tài)爆炸問題，從而實現(xiàn)逃逸概率的一般性求解。針對攻擊非隨機到達展開建模，文獻[10]量化分析了擬態(tài)構造將非隨機攻擊轉化為隨機可靠性事件，從而借助概率論與數(shù)理統(tǒng)計方法對余度足夠大的情況進行探討，實現(xiàn)了對擬態(tài)構造安全的有效性論證。該論證過程主要以攻擊成功概率指標進行推理，簡化了攻防細節(jié)。由于文獻[4]和[10]對攻擊擾動與防御動作特性進行了整合與抽象，簡化了量化指標。

▼表1 現(xiàn)有擬態(tài)防御理論量化評估模型的優(yōu)缺點

因此，上述模型均能有效量化評估系統(tǒng)抗攻擊能力，所提數(shù)學模型在解決各自場景問題時均表現(xiàn)出一定的優(yōu)越性。同時，現(xiàn)有的模型在應對不同擬態(tài)場景時仍有待進一步優(yōu)化，如GSPN模型在面臨大余度分布式網絡場景[11]時如何量化分析，針對不同場景的非隨機攻擊評估量化指標如何選取等。此外，現(xiàn)有模型在針對異構性[12]量化評估方面仍存在不足，有待進一步研究。因此，后續(xù)擬態(tài)防御理論的發(fā)展將會進一步面向系統(tǒng)異構性與共模擾動的量化、面向系統(tǒng)裁決與異構歸一化的量化、面向負反饋控制的動態(tài)重構與清洗策略制定等方面，從而有效解決擬態(tài)防御理論與實際部署結合存在的難題[12]。

4 結束語

作為未知漏洞后門等不確定性威脅的解決方案，網絡空間擬態(tài)防御得到廣泛應用。文章中，我們研究了網絡空間擬態(tài)防御理論模型，闡述了網絡空間內生安全以及現(xiàn)有防御架構所存在的問題，并指出了擬態(tài)防御系統(tǒng)的基本要素與關鍵技術。同時，我們對3種典型的建模方法進行了比較分析。隨著擬態(tài)防御技術與各類技術的融合，擬態(tài)防御理論存在的挑戰(zhàn)也逐步彰顯，如擬態(tài)防御理論在攻防對抗定性分析方面有待完善；在網絡通信理論方面如何研究基于概率論與數(shù)理統(tǒng)計的擬態(tài)構造安全可控性；對擬態(tài)構造的防御極限進行量化評估；如何研究擬態(tài)構造執(zhí)行體的信息并行處理方式，構造高容量的執(zhí)行體，減少裁決時延，實現(xiàn)高效的處理能力等。在網絡計算理論方面，如何研究網絡信息處理過程中存儲、計算與控制單元存在的內生安全問題，并從整體上量化分析網絡計算的安全可控性。因此，擬態(tài)防御的發(fā)展仍需大力推進理論與技術創(chuàng)新。