馬海龍，王亮,2，胡濤，江逸茗，曲彥澤

（1. 信息工程大學(xué)信息技術(shù)研究所，河南 鄭州 450003；2. 66135部隊(duì)，北京 100043）

0 引言

隨著網(wǎng)絡(luò)由單點(diǎn)通信快速駛向萬(wàn)物互聯(lián)，各類網(wǎng)絡(luò)軟硬件因迭代、開(kāi)放及成本等因素，體系結(jié)構(gòu)趨于固化、功能邏輯趨于相似、系統(tǒng)配置趨于簡(jiǎn)易，在提高性能、降低開(kāi)銷的同時(shí)，使網(wǎng)絡(luò)攻擊表面相對(duì)確定，從根源上導(dǎo)致其對(duì)軟件漏洞、硬件后門(mén)、服務(wù)拒絕、信息篡改等網(wǎng)絡(luò)威脅缺乏內(nèi)生安全能力，如圖1所示。為形式化地認(rèn)知這些泛在化網(wǎng)絡(luò)威脅，可將其劃分為已知威脅和未知威脅，前者尚可用風(fēng)險(xiǎn)概率描述、以先驗(yàn)知識(shí)支撐的針對(duì)性技術(shù)防范；而后者既不能用概率直接刻畫(huà)又缺乏相關(guān)先驗(yàn)知識(shí)和防御靶標(biāo)，造成網(wǎng)絡(luò)空間攻防長(zhǎng)期處于不均衡態(tài)勢(shì)。

圖1 網(wǎng)絡(luò)威脅泛在化成因 Figure 1 Causes of the ubiquity of cyber threats

“擬態(tài)”本身為仿生概念，基于共識(shí)機(jī)制下的廣義魯棒控制構(gòu)造，以擬態(tài)偽裝為本質(zhì)，以DHR機(jī)制為核心，旨在以具備視在不確定性的系統(tǒng)結(jié)構(gòu)，應(yīng)對(duì)廣義不確定性的網(wǎng)絡(luò)威脅。理論推導(dǎo)及系統(tǒng)測(cè)試[1]證明，攻擊者難以在擬態(tài)系統(tǒng)中實(shí)現(xiàn)可靠、持續(xù)的協(xié)同逃逸。自其被提出8年來(lái)，網(wǎng)絡(luò)空間擬態(tài)防御（CMD，cyberspace mimic defense）已在理論、技術(shù)、產(chǎn)品等層面取得許多進(jìn)展，在與其他信息技術(shù)融合共生中產(chǎn)生較多結(jié)合點(diǎn)，正在向“擬態(tài)+”生態(tài)快速迭代、持續(xù)拓展新型應(yīng)用場(chǎng)景，同時(shí)，其發(fā)展面臨一些內(nèi)在瓶頸及現(xiàn)實(shí)挑戰(zhàn)。

為更好綜述網(wǎng)絡(luò)空間擬態(tài)防御發(fā)展及未來(lái)全景，本文試從縱向、橫向、當(dāng)前、發(fā)展及未來(lái)5個(gè)視角開(kāi)展研究，分別介紹了其發(fā)展歷程、與其他主動(dòng)防御技術(shù)的異同、現(xiàn)有擬態(tài)平臺(tái)實(shí)現(xiàn)、AICDS共生生態(tài)、新型應(yīng)用場(chǎng)景與未來(lái)挑戰(zhàn)。本文貢獻(xiàn)主要體現(xiàn)在3個(gè)方面：一是基于提出的CMD三定理更為直觀地闡述了擬態(tài)原理，通過(guò)對(duì)比辨析CMD與其他主動(dòng)防御技術(shù)凸顯了CMD本質(zhì)；二是綜述了現(xiàn)有擬態(tài)平臺(tái)的實(shí)現(xiàn)要素、性能表現(xiàn)、體系結(jié)構(gòu)、異構(gòu)策略、調(diào)度策略、表決策略等共性技術(shù)，首次將其系統(tǒng)架構(gòu)分為C式、D式兩類，將其異構(gòu)實(shí)現(xiàn)模式分為單源封閉異構(gòu)實(shí)現(xiàn)、單源開(kāi)放異構(gòu)實(shí)現(xiàn)、多源封閉異構(gòu)實(shí)現(xiàn)和多源開(kāi)放異構(gòu)實(shí)現(xiàn)4類；三是展望了“擬態(tài)+”AICDS未來(lái)圖景，指出了擬態(tài)與AI、IoT、SDN等新型技術(shù)的技術(shù)結(jié)合點(diǎn)。

1 縱向觀：CMD發(fā)展歷程

1.1 概念提出

沙箱、蜜罐、防火墻等第1代安全技術(shù)和入侵檢測(cè)等第2代安全技術(shù)，其本質(zhì)是安全與功能松耦合的外殼式被動(dòng)防御[1]，信息海量、異構(gòu)、高維、動(dòng)態(tài)的大數(shù)據(jù)時(shí)代[2]，面臨高計(jì)算復(fù)雜度挑戰(zhàn)、大規(guī)模存儲(chǔ)量瓶頸和威脅泛在不確定性難題；靠封“門(mén)”、堵“漏”、殺“毒”、滅“馬”，難以閉合安全鏈，使網(wǎng)絡(luò)獲取“后天免疫”；若強(qiáng)行推行復(fù)雜且無(wú)部署激勵(lì)的安全套件，又將因有損網(wǎng)絡(luò)性能而難以推廣。為實(shí)現(xiàn)網(wǎng)絡(luò)安全、功能深耦合，業(yè)界提出CMD等第3代內(nèi)生式主動(dòng)防御技術(shù)[3]，可用較低部署開(kāi)銷使網(wǎng)絡(luò)獲取“先天免疫”。CMD概念源于自然界中條紋章魚(yú)、竹節(jié)蟲(chóng)等生物模仿其他生物特征而受益的擬態(tài)現(xiàn)象[4]，這些生物可在不改變其內(nèi)在本質(zhì)的前提下，改變自身行為、形態(tài)等表征特征，通過(guò)提升威脅來(lái)源對(duì)自身的認(rèn)知難度來(lái)化解威脅；CMD技術(shù)機(jī)理與此類似，可視作旨在提供內(nèi)生安全增益的主動(dòng)防御，即在不改變網(wǎng)絡(luò)功能本質(zhì)的前提下，動(dòng)態(tài)改變其攻擊表面[5]。

1.2 形成發(fā)展

CMD發(fā)展可分為理論和實(shí)踐兩條主線，前者衍生出調(diào)度重構(gòu)、同質(zhì)異構(gòu)、多模裁決等擬態(tài)策略算法，可領(lǐng)先牽引指導(dǎo)實(shí)踐路線的設(shè)計(jì)方向；后者孵化為擬態(tài)路由器、擬態(tài)服務(wù)器、擬態(tài)防火墻等擬態(tài)技術(shù)產(chǎn)品，可持續(xù)驗(yàn)證支撐理論路線的迭代創(chuàng)新。

1.2.1 擬態(tài)理論

擬態(tài)理論主要有調(diào)度重構(gòu)、同質(zhì)異構(gòu)、多模裁決3個(gè)方面。

一是擬態(tài)同質(zhì)異構(gòu)實(shí)現(xiàn)，根據(jù)應(yīng)用對(duì)象功能，其可分為存儲(chǔ)系統(tǒng)異構(gòu)、交換系統(tǒng)異構(gòu)、服務(wù)系統(tǒng)異構(gòu)、安全系統(tǒng)異構(gòu)4類，如圖2所示。其中，存儲(chǔ)系統(tǒng)異構(gòu)方面，如文獻(xiàn)[6]針對(duì)分布式存儲(chǔ)系統(tǒng)數(shù)據(jù)塊校驗(yàn)機(jī)制單一、功能脆弱等安全隱患，提出了動(dòng)態(tài)高效的擬態(tài)存儲(chǔ)校驗(yàn)?zāi)Ｐ停鐖D2(a)所示，即在分塊寫(xiě)入數(shù)據(jù)時(shí)，對(duì)原先固定的塊校驗(yàn)邏輯進(jìn)行動(dòng)態(tài)變換，將請(qǐng)求分發(fā)至多個(gè)校驗(yàn)執(zhí)行體進(jìn)行校驗(yàn)，并將動(dòng)態(tài)校驗(yàn)結(jié)果附加至數(shù)據(jù)塊，使多個(gè)校驗(yàn)執(zhí)行算法可在時(shí)域上并行隨機(jī)執(zhí)行，防止基于固有數(shù)據(jù)存儲(chǔ)邏輯的暴力破解攻擊。交換系統(tǒng)異構(gòu)方面，如宋克等[7]設(shè)計(jì)實(shí)現(xiàn)了擬態(tài)交換機(jī)原型樣機(jī)，通過(guò)選用不同CPU、操作系統(tǒng)，以及對(duì)協(xié)議棧進(jìn)行多樣化編譯引入異構(gòu)，如圖2(b)所示。服務(wù)系統(tǒng)異構(gòu)方面，如仝青等[8]提出在文件存儲(chǔ)、SQL腳本、服務(wù)器軟件、虛擬機(jī)操作系統(tǒng)和物理機(jī)操作系統(tǒng)進(jìn)行全軟件棧異構(gòu)化處理，以構(gòu)建異構(gòu)服務(wù)器執(zhí)行體池，如圖2(c)所示，此時(shí)執(zhí)行體異構(gòu)性通過(guò)兩種方式獲得，一種是通過(guò)引入COTS級(jí)異構(gòu)軟件直接獲得，另一種是對(duì)于SQL查詢語(yǔ)句、文件（包括文件目錄）等不具備多樣性的數(shù)據(jù)，采用關(guān)鍵字標(biāo)簽化、文件標(biāo)簽化、目錄隨機(jī)化等異構(gòu)方法人為產(chǎn)生，可在一定限度上避免同源軟件漏洞。安全系統(tǒng)異構(gòu)方面，如擬態(tài)蜜罐基于KVM產(chǎn)生上層應(yīng)用相同而底層基礎(chǔ)架構(gòu)不同的異構(gòu)虛擬蜜罐，如圖2(d)[9]所示，對(duì)外統(tǒng)一的Web應(yīng)用為CMS系統(tǒng)（Catfish v4.8.54版本，運(yùn)行庫(kù)PHP v5.4.16），在操作系統(tǒng)（Windows Server 2012 x64、CentOS 7.8.2003 x64、Ubuntu20.04 x64）、Web中間件（IIS v8.0、Apache v2.4.6和Nginx v1.19.1）兩個(gè)層面實(shí)現(xiàn)異構(gòu)。

圖2 4類擬態(tài)同質(zhì)異構(gòu)模型 Figure 2 Four kinds of mimicry homophily isomerism models

二是擬態(tài)多執(zhí)行體調(diào)度。文獻(xiàn)[10]系統(tǒng)分析了現(xiàn)有擬態(tài)調(diào)度算法采用的調(diào)度對(duì)象、數(shù)量和時(shí)機(jī)3個(gè)要素，其中，調(diào)度對(duì)象方面，將調(diào)度對(duì)象選取算法分為軟件異構(gòu)度度量[11-15]、異構(gòu)體組件度量[11,16-22]和軟件相似度度量[23-25]3類；調(diào)度數(shù)量方面，選取基于反饋的動(dòng)態(tài)感知調(diào)度、基于效用的動(dòng)態(tài)彈性調(diào)度、基于判決反饋調(diào)度3類調(diào)度算法進(jìn)行對(duì)比分析；調(diào)度時(shí)機(jī)方面，選取最優(yōu)調(diào)度時(shí)間算法[26]、基于滑動(dòng)窗口模型[27]兩類調(diào)度算法進(jìn)行對(duì)比分析，基于動(dòng)態(tài)性、可信任度（用平均失效率衡量）、異構(gòu)度、系統(tǒng)開(kāi)銷和服務(wù)質(zhì)量5個(gè)指標(biāo)，將各類多執(zhí)行體調(diào)度算法綜合對(duì)比，結(jié)果如表1所示[10]。

表1 擬態(tài)多執(zhí)行體調(diào)度算法綜合對(duì)比Table 1 Comprehensive comparison of mimicry multi-executor scheduling algorithms

三是擬態(tài)多模表決裁決，傳統(tǒng)上可基于大數(shù)表決等傳統(tǒng)裁決算法，相關(guān)改良表決算法主要可分為基于信任度表決、基于定時(shí)表決、基于博弈策略表決3類。

1) 基于信任度表決所使用的信任度，可進(jìn)一步分為基于歷史表現(xiàn)的經(jīng)驗(yàn)可信度、基于操作員傾向的權(quán)值可信度，如擬態(tài)處理機(jī)[28]提出的經(jīng)驗(yàn)可信度基于處理機(jī)表現(xiàn)確定，隨每次輸出與整體表決輸出一致結(jié)果而遞增，反之則遞減；而權(quán)值可信度由操作員在對(duì)多執(zhí)行體初始配置時(shí)按缺省值預(yù)設(shè)，隨每次處理機(jī)清洗減半；再如擬態(tài)交換機(jī)[7]所采用自清洗大數(shù)表決算法（TAMA，trustiness based auto-cleanout majority algorithm），由基于信任度的大數(shù)裁決策略和定時(shí)策略兩部分組成，其中，基于信任度的大數(shù)裁決子算法，實(shí)質(zhì)也采用經(jīng)驗(yàn)可信度，即將輸出一致的執(zhí)行體劃入同一組Gk，按式(1)分別計(jì)算集合Gk的置信度Wk。

其中，ωi為執(zhí)行體i的信任權(quán)值，初值為0。選擇Wk最大的集合Gp作為裁決輸出，此時(shí)執(zhí)行體i的輸出與裁決輸出的差異率若為S，則其信任權(quán)值ωi按式(2)更新。

其中，β為大于0的權(quán)值系數(shù)。同時(shí)，隨機(jī)選擇信任權(quán)值超過(guò)閾值K的執(zhí)行體下線清洗。

2) 基于定時(shí)策略表決[7]主要用于抵御共模協(xié)同攻擊，該算法基于時(shí)間因子，每隔時(shí)間間隔T根據(jù)信任權(quán)值選擇執(zhí)行體下線清洗（清洗后信任權(quán)值歸零），按式(3)計(jì)算執(zhí)行體i選取概率P。

3)基于博弈策略表決，主要引入先驗(yàn)知識(shí)強(qiáng)化表決，如文獻(xiàn)[29]運(yùn)用了惡意控制器所占比例、系統(tǒng)誤差等先驗(yàn)知識(shí)，采用字段分解的思想對(duì)擬態(tài)網(wǎng)絡(luò)操作系統(tǒng)多控制器執(zhí)行體輸出進(jìn)行細(xì)粒度對(duì)比表決，即按式(4)計(jì)算最優(yōu)表決輸出。

其中，參數(shù)α為假設(shè)攻擊者對(duì)所有控制器成功攻擊、使其變?yōu)閻阂饪刂破鞯母怕?；fi為正確表決輸出f的第i個(gè)字段，hi為該字段的位數(shù)，fi,j為該字段的第j位；為控制器k輸出報(bào)文中字段i的第j位，為控制器k實(shí)際向判決器報(bào)告的輸出報(bào)文；

1.2.2 擬態(tài)實(shí)踐

經(jīng)各類仿真測(cè)試及實(shí)際網(wǎng)絡(luò)部署試用驗(yàn)證，擬態(tài)技術(shù)產(chǎn)品可提供高可靠、高可用、高可信信息服務(wù)，如目前首次線上體系化部署擬態(tài)產(chǎn)品體系的景安網(wǎng)絡(luò)，其主要運(yùn)用的擬態(tài)產(chǎn)品有5類。一是擬態(tài)路由器，即引入多模異構(gòu)冗余路由執(zhí)行體，通過(guò)對(duì)各執(zhí)行體維護(hù)的路由表項(xiàng)進(jìn)行共識(shí)裁決生成路由表，通過(guò)對(duì)執(zhí)行體的策略調(diào)度，實(shí)現(xiàn)擬態(tài)路由器表征的不確定變化。在差異化設(shè)計(jì)的前提下，多模異構(gòu)路由執(zhí)行體存在共模缺陷的概率極低，可通過(guò)裁決機(jī)制有效阻斷對(duì)部分執(zhí)行體的攻擊致癱后果。二是擬態(tài)DNS服務(wù)器?？稍诓惶蕴延杏蛎麉f(xié)議和地址解析設(shè)施的前提下，通過(guò)增量部署擬態(tài)防御設(shè)備組件，有效遏制基于DNS服務(wù)后門(mén)漏洞的域名投毒、域名劫持等已知和未知攻擊方法，大幅提高攻擊者攻擊代價(jià)。三是擬態(tài)Web虛擬機(jī)。Web虛擬機(jī)可通過(guò)在云環(huán)境中部署虛擬機(jī)提供低成本解決方案，除面臨賬號(hào)盜用、跨站腳本、緩沖區(qū)溢出等傳統(tǒng)Web威脅外，還面臨引入虛擬層導(dǎo)致的側(cè)信道攻擊、虛擬層漏洞等新型威脅，引入擬態(tài)技術(shù)可利用云平臺(tái)構(gòu)建功能等價(jià)、動(dòng)態(tài)多樣的異構(gòu)虛擬Web執(zhí)行體池，通過(guò)采用動(dòng)態(tài)調(diào)度、數(shù)據(jù)庫(kù)指令異構(gòu)化、多余度共識(shí)表決等技術(shù)，建立多維動(dòng)態(tài)變換的運(yùn)行空間以阻斷攻擊鏈。四是擬態(tài)云服務(wù)器，通過(guò)構(gòu)建功能等價(jià)的異構(gòu)云服務(wù)器池，采用動(dòng)態(tài)執(zhí)行體調(diào)度、多余度共識(shí)表決、異常發(fā)現(xiàn)、線下清洗等技術(shù)，及時(shí)阻斷基于執(zhí)行體軟硬件漏洞后門(mén)等的差模攻擊。五是擬態(tài)防火墻，針對(duì)傳統(tǒng)防火墻在Web管理和數(shù)據(jù)流處理層面可能存在的漏洞后門(mén)，通過(guò)對(duì)其架構(gòu)進(jìn)行擬態(tài)化構(gòu)造，在管理、數(shù)據(jù)層面增加攻擊者攻擊難度，有效防御“安檢準(zhǔn)入”中的內(nèi)鬼侵?jǐn)_，提供切實(shí)可信的準(zhǔn)入控制保障。

2 橫向觀：CMD與其他主動(dòng)防御技術(shù)對(duì)比

主動(dòng)防御技術(shù)目前尚未形成公認(rèn)概念，基于文獻(xiàn)[1,3,30]，本文認(rèn)為其是指不依賴漏洞后門(mén)發(fā)現(xiàn)和攻擊特征分析等攻擊先驗(yàn)知識(shí)，利用動(dòng)態(tài)、異構(gòu)、冗余、重構(gòu)等內(nèi)生安全機(jī)制，對(duì)攻擊“主動(dòng)感知、事前防御”的安全技術(shù)。在主動(dòng)防御技術(shù)對(duì)比方面，文獻(xiàn)[31]僅將CMD與移動(dòng)目標(biāo)防御、可信計(jì)算進(jìn)行了比較，但缺乏與其他主動(dòng)防御技術(shù)的對(duì)比分析。本節(jié)首先介紹CMD，而后將其與其他主動(dòng)防御技術(shù)進(jìn)行對(duì)比辨析。

2.1 網(wǎng)絡(luò)空間擬態(tài)防御 2.1.1 核心架構(gòu)

如圖3所示，CMD核心架構(gòu)為DHR架構(gòu)[1]，可記為六元組 Ω= {Cn,Em,Kt,I,V,S}，其中：

圖3 DHR架構(gòu) Figure 3 DHR architecture

I，即輸入代理，負(fù)責(zé)將輸入分發(fā)給Kt；

V，即表決輸出器，負(fù)責(zé)對(duì)Kt的輸出矢量表決并輸出，屏蔽攻擊致錯(cuò)后果，并向調(diào)度器S反饋；

S，即調(diào)度器，負(fù)責(zé)按調(diào)度策略執(zhí)行調(diào)度，識(shí)別錯(cuò)誤執(zhí)行體，從Em中隨機(jī)選擇Ej進(jìn)入Kt作修復(fù)替換；或使用Cn內(nèi)構(gòu)件重構(gòu)Ej；或通過(guò)虛擬化改變Ej的組成配置、運(yùn)行環(huán)境；或基于時(shí)間、策略等，選擇Em及Kt中異構(gòu)執(zhí)行體下線清洗。

DHR架構(gòu)可用IPO（input-process-output）模型概述為I?Kt/S/Em/Cn?V。其中，Kt為功能模塊，Em、Cn為資源模塊，S為控制模塊，I、V為輸入/輸出模塊，模塊間邏輯獨(dú)立、功能聯(lián)動(dòng)，具體來(lái)看，由I接收輸入并將其復(fù)制分發(fā)至Kt中的冗余執(zhí)行體Kl執(zhí)行處理，得到的輸出矢量由V表決并輸出，得到的輸出唯一且相對(duì)正確；由S控制Cn中的構(gòu)件動(dòng)態(tài)重構(gòu)Em中的執(zhí)行體，根據(jù)運(yùn)行信息選取Em中的執(zhí)行體進(jìn)入Kt，并對(duì)下線執(zhí)行體進(jìn)行清洗恢復(fù)、重構(gòu)重組等?？梢?jiàn)，CMD通過(guò)引入擬態(tài)裁決、策略調(diào)度、多維重構(gòu)、反饋控制、去協(xié)同化等內(nèi)生安全機(jī)制，使目標(biāo)系統(tǒng)具備面向不確定性威脅的廣義魯棒控制能力，實(shí)現(xiàn)主動(dòng)防御。

2.1.2 CMD三定理

本小節(jié)著眼擬態(tài)防御效能、擬態(tài)風(fēng)險(xiǎn)可控性及擬態(tài)安全增益因子3個(gè)方面，提出CMD三定理，并將其作為論證CMD內(nèi)生安全效應(yīng)原理的支撐。

CMD三定理間的關(guān)系為：CMD第一定理從增益角度，正面表現(xiàn)擬態(tài)防御安全效能可通過(guò)控制指標(biāo)而提升，進(jìn)而證明其確實(shí)存在安全效能；CMD第二定理從風(fēng)險(xiǎn)角度，反面表現(xiàn)擬態(tài)風(fēng)險(xiǎn)可控；CMD第三定理作為前兩項(xiàng)定理的補(bǔ)充，提供設(shè)計(jì)實(shí)現(xiàn)擬態(tài)架構(gòu)時(shí)提升其安全增益的途徑。

在提出CMD第一、第二定理前，給出定義1～定義3作概念基礎(chǔ)。

定義1攻擊逃逸

將擬態(tài)系統(tǒng)s在某次廣義不確定性攻擊下Kt的輸出矢量記為O={OC1,OC2,… ,OCt}，若表決輸出錯(cuò)誤結(jié)果，則認(rèn)為攻擊產(chǎn)生逃逸，其必要條件有5個(gè)（無(wú)須同時(shí)成立）：

1) 攻擊者掌握服務(wù)集Kt共模缺陷；

2) 輸入代理I、表決輸出器V被攻陷；

3) 系統(tǒng)產(chǎn)生通信誤碼、組件故障等隨機(jī)錯(cuò)誤；

4) 擬態(tài)系統(tǒng)執(zhí)行環(huán)境具備側(cè)信道攻擊條件；

5) 攻擊未導(dǎo)致服務(wù)集Kt輸出矢量不一致。 同時(shí)，不將在擬態(tài)界外通過(guò)社會(huì)工程學(xué)等手段成功實(shí)施的攻擊視為攻擊逃逸。

定義2擬態(tài)效能與擬態(tài)風(fēng)險(xiǎn)

若對(duì)擬態(tài)系統(tǒng)s同條件攻擊x次（x≥1 00），y次未逃逸，則有式(5)。

其中，記Pe為擬態(tài)防御效能，簡(jiǎn)稱擬態(tài)效能。若同條件攻擊不足100次，視Pe為擬態(tài)效能的近似指標(biāo)。另有式(6)。

記概率Prisk為系統(tǒng)在該條件下的攻擊逃逸率，簡(jiǎn)稱擬態(tài)風(fēng)險(xiǎn)?？梢?jiàn)，CMD將難以量化的不確定性威脅映射為概率。

定義3擬態(tài)熵和擬態(tài)變換增益

若某系統(tǒng)性能指標(biāo)（如吞吐量、響應(yīng)時(shí)間）的歸一化參數(shù)為Vi，則有式(7)。

其中，記ENi為該性能的性能熵[32]，以反映其性能。若Vb變 為Va，則有式(8)。

記 ΔE N為該系統(tǒng)性能的變換增益。

特別地，若系統(tǒng)服務(wù)集異構(gòu)度的歸一化參數(shù)為Vh，則有式(9)。

為反映擬態(tài)熵與異構(gòu)度的正相關(guān)性，修正式(9)，結(jié)果如式(10)。

其中，記ENh為系統(tǒng)的擬態(tài)熵，用于描述其服務(wù)集異構(gòu)程度。若經(jīng)某次調(diào)度Vh變?yōu)閂h′，則有式(11)。

其中，記ΔE Nh為系統(tǒng)的擬態(tài)變換增益，用于反映系統(tǒng)經(jīng)調(diào)度獲取的異構(gòu)度增益。

基于定義1～定義3，提出CMD第一、第二定理。

CMD第一定理擬態(tài)防御效能與服務(wù)集異構(gòu)度非線性正相關(guān)。

證明考慮DHR架構(gòu)A，參考文獻(xiàn)[19]提出的異構(gòu)度量化方法，若服務(wù)集的構(gòu)件集類數(shù)為M，服務(wù)集的構(gòu)件集所含構(gòu)件類數(shù)為S，構(gòu)件池Cn中構(gòu)件Cni、Cnj的比例分別為pni、pnj，其特有漏洞及共有漏洞的數(shù)量依次為vni、vnj和vnij，則服務(wù)集異構(gòu)度HA可由其復(fù)雜度COk和差異度FDQn決定，如式(12)所示。

其中，COn通過(guò)香農(nóng)多樣性指數(shù)衡量，由S與pni決定；FDQn通過(guò)二次熵衡量，由S、pni、pnj、vni、vnj與vnij決定。當(dāng)服務(wù)集中執(zhí)行體的任意兩個(gè)構(gòu)件相異時(shí)，HA取最大值，如式(13)所示。

基于此，本文對(duì)HA進(jìn)行min-max歸一化[33]，此時(shí)擬態(tài)熵計(jì)算結(jié)果如式(14)所示。

考慮服務(wù)集共模缺陷逃逸（擬態(tài)逃逸必要條件1），忽略偶然因素2)、3)、4)、5)，此時(shí)服務(wù)集存在共模缺陷的概率Pcm與FDQn、HA、ENh均負(fù)相關(guān)，即基于構(gòu)件共有漏洞定義的服務(wù)集差異度越大，服務(wù)集異構(gòu)度和擬態(tài)熵越大，共模缺陷存在概率越小。另由擬態(tài)風(fēng)險(xiǎn)Prisk定義可知有式(15)成立。

故Prisk與HA負(fù)相關(guān)，又因式(6)，故Pe與HA正相關(guān)。且由HA與FDQn正相關(guān)而非正比，為非線性正相關(guān)關(guān)系，而Pcm與FDQn線性負(fù)相關(guān)，與Pe線性負(fù)相關(guān)，故Pe與FDQn線性正相關(guān)，因此Pe與HA非線性正相關(guān)。

證畢。

CMD第二定理擬態(tài)風(fēng)險(xiǎn)Prisk可控。

證明設(shè)置擬態(tài)風(fēng)險(xiǎn)Prisk安全閾值，由式(15)得，擬態(tài)風(fēng)險(xiǎn)可控實(shí)質(zhì)是保證共模缺陷存在概率Pcm可控，且Pcm與FDQn線性負(fù)相關(guān)，即僅需控制FDQn，而FDQn由S、pni、pnj、vni、vnj與vnij決定，與構(gòu)件Cni、Cnj直接相關(guān)，又因構(gòu)件Cni、Cnj可根據(jù)調(diào)度算法按閾值要求動(dòng)態(tài)選擇，以調(diào)整服務(wù)集差異度FDQn，可控制Pcm低于閾值。

證畢。

在提出CMD第三定理前，提出定義4作為概念基礎(chǔ)。

定義4擬態(tài)表面

根據(jù)I/O自動(dòng)機(jī)模型，給定環(huán)境E下的擬態(tài)系統(tǒng)s，記三元組{BE,PE,DE}為該系統(tǒng)s的攻擊表面[34]，簡(jiǎn)稱擬態(tài)表面ASs，即攻擊者通過(guò)E對(duì)s攻擊可觸的系統(tǒng)資源集，如式(16)所示。

其中，BE為s中I、V的接口集（如字符串輸入接口）；PE為s中I、V的通道集（如socket），BE中的某接口BiE需通過(guò)PE中的某通道PiE連接；DE為s中Kt的非可信數(shù)據(jù)項(xiàng)集（如共享文件）。

基于定義4，提出CMD第三定理。

CMD第三定理擬態(tài)安全增益完全來(lái)自其動(dòng)態(tài)、異構(gòu)、冗余特性，且與傳統(tǒng)防御手段安全增益相獨(dú)立。

證明首先，CMD不依賴先驗(yàn)知識(shí)和檢測(cè)機(jī)、知識(shí)庫(kù)等外掛防護(hù)組件，故與傳統(tǒng)防御手段弱關(guān)聯(lián)，未使用MTD等其他主動(dòng)防御機(jī)制；其次，CMD允許使用不可信構(gòu)件，因此其安全增益僅來(lái)自于架構(gòu)本身，而架構(gòu)引入的各類機(jī)制可規(guī)約為動(dòng)態(tài)、異構(gòu)、冗余3個(gè)特性，使組成擬態(tài)表面ASs的BE、PE、DE動(dòng)態(tài)變換，進(jìn)而使攻擊鏈不可達(dá)；最后，CMD可與蜜罐、防火墻等傳統(tǒng)手段融合運(yùn)用，實(shí)現(xiàn)擬態(tài)蜜罐[9]、擬態(tài)防火墻[35]等產(chǎn)品，其安全增益相對(duì)獨(dú)立。

證畢。

基于CMD三定理闡述擬態(tài)原理：首先，基于CMD第一定理，由于擬態(tài)防御效能與服務(wù)集異構(gòu)度正相關(guān)，而擬態(tài)DHR架構(gòu)相比其他傳統(tǒng)網(wǎng)絡(luò)架構(gòu)有顯著的異構(gòu)度增益，故具備擬態(tài)防御效能；其次，基于CMD第一、第二定理，攻擊者連續(xù)攻擊擬態(tài)系統(tǒng)時(shí)，基于掃描結(jié)果、已知漏洞等先驗(yàn)知識(shí)試錯(cuò)，其實(shí)質(zhì)是通過(guò)動(dòng)態(tài)變換使系統(tǒng)擬態(tài)熵進(jìn)入熵減過(guò)程，而擬態(tài)調(diào)度通過(guò)動(dòng)態(tài)提升擬態(tài)熵，抵消攻擊者的試錯(cuò)效應(yīng)，使攻擊效應(yīng)累積從連續(xù)過(guò)程轉(zhuǎn)為獨(dú)立過(guò)程，因此擬態(tài)風(fēng)險(xiǎn)動(dòng)態(tài)平衡，未能超越閾值；再次，基于CMD第二定理，多模共識(shí)有小概率出現(xiàn)共模缺陷致錯(cuò)，但可通過(guò)多維動(dòng)態(tài)迭代處理與裁決，控制擬態(tài)風(fēng)險(xiǎn)低于閾值；最后，基于CMD第三定理，證明擬態(tài)提供的安全增益與傳統(tǒng)防御手段相對(duì)獨(dú)立，并可通過(guò)強(qiáng)化其動(dòng)態(tài)、異構(gòu)、冗余特性提高安全增益。

2.1.3 CMD安全增益

基于CMD第三定理，從3個(gè)層面分析架構(gòu)安全增益。一是異構(gòu)性。由于架構(gòu)安全增益可由Pe直觀反映，又由式(6)、式(9)、式(13)、式(14)可知，Pe與服務(wù)集HA正相關(guān)，理想情況下，在各異構(gòu)執(zhí)行體攻擊面兩兩正交時(shí)實(shí)現(xiàn)絕對(duì)異構(gòu)，可最大化安全增益。異構(gòu)度量化方法，主要有漏洞量化、功能量化、熵量化和“復(fù)雜度?差異度”二維量化4類。漏洞量化，如文獻(xiàn)[36]通過(guò)CNVD（China national vulnerability database）查詢執(zhí)行體共同漏洞數(shù)量以量化其異構(gòu)度，但忽略了執(zhí)行體對(duì)未知威脅的反映差異度[37]。功能量化，如文獻(xiàn)[38]利用功能等指標(biāo)綜合考量軟、硬件異構(gòu)度，但僅考量了控制器是否控制同一主機(jī)及類別是否一致，評(píng)估粒度較粗；熵量化，如文獻(xiàn)[39]利用信息熵[40]衡量服務(wù)集異構(gòu)度，提出信息熵H與余度t正相關(guān)，且t一定時(shí)各類執(zhí)行體出現(xiàn)概率相同時(shí)H最大，但未考慮異構(gòu)執(zhí)行體共模缺陷；“復(fù)雜度?差異度”二維量化，即同時(shí)考慮執(zhí)行體復(fù)雜度和差異度，反映異構(gòu)度差異較客觀，本文論證CMD第一定理時(shí)即參照該方法。二是動(dòng)態(tài)性?？蔀楫悩?gòu)性提供時(shí)間維度增益，通過(guò)改變服務(wù)集異構(gòu)度HA而間接提供安全增益。為簡(jiǎn)化執(zhí)行體異構(gòu)實(shí)現(xiàn)、擴(kuò)充構(gòu)件池Cn，可對(duì)執(zhí)行體進(jìn)行重構(gòu)、重定義、虛擬化等廣義動(dòng)態(tài)變換，降低非絕對(duì)異構(gòu)執(zhí)行體間的顯、隱性關(guān)聯(lián)，在控制擬態(tài)部署成本的基礎(chǔ)上提供增量安全增益。三是冗余性?？蔀楫悩?gòu)性提供空間維度增益，通過(guò)改變服務(wù)集異構(gòu)度HA而間接提供安全增益。文獻(xiàn)[28]提出冗余度與表決正確率非線性相關(guān)，且余度增長(zhǎng)導(dǎo)致成本提升、難以表決；特別地，文獻(xiàn)[8,41]研究表明3模余度[26]性能?開(kāi)銷比最優(yōu)。

2.1.4 CMD開(kāi)銷分析

由CMD架構(gòu)機(jī)理知，開(kāi)銷 PayCMD可分為異構(gòu)部件、策略調(diào)度、多模裁決、反饋控制、清洗恢復(fù)和狀態(tài)同步6部分。其中，異構(gòu)部件開(kāi)銷與余度t正相關(guān)；策略調(diào)度和反饋控制開(kāi)銷與調(diào)度策略（SS，scheduling strategy）算法性能相關(guān)；多模裁決開(kāi)銷與表決策略（VS，voting strategy）、表決輸出器性能和異構(gòu)執(zhí)行體最長(zhǎng)響應(yīng)時(shí)延Delaymax相關(guān)；清洗恢復(fù)開(kāi)銷在網(wǎng)絡(luò)效能未飽和時(shí)不直接遲滯網(wǎng)絡(luò)性能；狀態(tài)同步開(kāi)銷與t、系統(tǒng)架構(gòu)（SA，system architecture）相關(guān)。由2.1.3節(jié)知，余度通常取3，與 Delaymax同由異構(gòu)策略（HS，heterogeneous strategy）決定，表決輸出器性能由硬件決定，因此， PayCMD的決定因素可規(guī)約為四元組{SA, HS, SS, VS}，如式(17)所示。

與其他防御技術(shù)開(kāi)銷對(duì)比，CMD一是將攻擊表面從系統(tǒng)整體縮減為“擬態(tài)括號(hào)”內(nèi)的部分組件，降低了對(duì)全體部件的更新升級(jí)頻次、實(shí)時(shí)防護(hù)要求；二是對(duì)短板組件弱敏感，可利用COTS級(jí)構(gòu)件、開(kāi)源產(chǎn)品等非可信源構(gòu)件組成可信系統(tǒng)，降低系統(tǒng)固有安全開(kāi)銷；三是可替代防火墻、入侵檢測(cè)或其他專用安全部件，節(jié)省了相關(guān)部署運(yùn)維開(kāi)銷。

2.2 入侵容忍

1985年提出“入侵容忍”概念，旨在通過(guò)構(gòu)建多樣化冗余、N-模表決、系統(tǒng)重構(gòu)、秘密共享及拜占庭一致性協(xié)商等機(jī)制為系統(tǒng)賦予容侵能力[42]，使其在被入侵條件下確保安全、持續(xù)服務(wù)。入侵容忍典型系統(tǒng)架構(gòu)分為3類，一是基于入侵檢測(cè)的容忍觸發(fā)架構(gòu)，如SITAR（scalable intrusion-tolerant architecture for distributed services）[43]，用于保護(hù)商用服務(wù)器安全，但其容忍機(jī)制依賴于入侵檢測(cè)；二是算法驅(qū)動(dòng)架構(gòu)，如MAFTIA（malicious and accidental fault tolerance for internet applications）[44]，通過(guò)層次化架構(gòu)保護(hù)應(yīng)用，但被保護(hù)應(yīng)用需基于項(xiàng)目中間件給定的程序接口和協(xié)議平臺(tái)開(kāi)發(fā)；三是周期性恢復(fù)架構(gòu)，如SCIT（self-cleaning intrusion tolerance）[45]，通過(guò)輪換在線服務(wù)器和清洗離線服務(wù)器實(shí)現(xiàn)容侵，無(wú)須更改現(xiàn)有操作系統(tǒng)及應(yīng)用軟件。入侵容忍技術(shù)存在機(jī)制復(fù)雜度大、多樣化執(zhí)行體成本過(guò)高和支撐技術(shù)體系未成熟等缺陷，其原理與CMD強(qiáng)相關(guān)，均采用異構(gòu)冗余、多模表決、系統(tǒng)重構(gòu)等機(jī)制，給攻擊者制造了非協(xié)同條件下的異構(gòu)多目標(biāo)動(dòng)態(tài)協(xié)同攻擊困境；但入侵容忍強(qiáng)調(diào)容忍，僅滿足于屏蔽錯(cuò)誤，而CMD除此之外還識(shí)別、定位、清除錯(cuò)誤，并自動(dòng)恢復(fù)，防御更為主動(dòng)。

2.3 移動(dòng)目標(biāo)防御

移動(dòng)目標(biāo)防御（MTD，moving target defense）源自加密或擾碼思想[46]，通過(guò)動(dòng)態(tài)調(diào)度、系統(tǒng)自清洗、動(dòng)態(tài)域名、源代碼多樣化、實(shí)時(shí)編譯、多核處理等[47]技術(shù)機(jī)制，為系統(tǒng)賦予多樣性、動(dòng)態(tài)性和隨機(jī)性，以持續(xù)移動(dòng)攻擊面、阻斷攻擊鏈。其中，多樣性可分為自然多樣性、偽多樣性和人工多樣性[48]，動(dòng)態(tài)性為其核心特性，可在網(wǎng)絡(luò)層、平臺(tái)層、運(yùn)行環(huán)境層、軟件層[49]和數(shù)據(jù)層[50]等實(shí)現(xiàn)；隨機(jī)性，可通過(guò)地址空間隨機(jī)化（ASR，address space randomization）[51]、指令集隨機(jī)化（ISR，instruction-set randomization）[52]和內(nèi)核數(shù)據(jù)隨機(jī)化等實(shí)現(xiàn)。MTD典型實(shí)現(xiàn)包括MUTE（mutable network）[53]和MAS（moving attack surface）系統(tǒng)[54]等。CMD與MTD的區(qū)別在于：為阻斷攻擊鏈，MTD將攻擊表面移動(dòng)，而CMD將攻擊表面不規(guī)則變換，可視作MTD的拓展，一方面引入負(fù)反饋控制，可基于防御糾錯(cuò)；另一方面引入非協(xié)同條件，削弱了執(zhí)行體間資源共享，使攻擊成功條件由可基于隨機(jī)試錯(cuò)提高至需基于共模缺陷，提升了攻擊難度。

2.4 零信任架構(gòu)

零信任架構(gòu)（ZTA，zero trust architecture）于2010年提出[55]，強(qiáng)調(diào)取消基于網(wǎng)絡(luò)邊界的傳統(tǒng)安全模型（如防火墻、NAT、VPN）對(duì)網(wǎng)絡(luò)內(nèi)部組件授予的默認(rèn)信任，以身份取代傳統(tǒng)網(wǎng)絡(luò)邊界，其核心機(jī)制為強(qiáng)認(rèn)證和最小特權(quán)授權(quán)，實(shí)行“將用戶與設(shè)備綁定為網(wǎng)絡(luò)代理，基于網(wǎng)絡(luò)代理授予信任評(píng)分，根據(jù)信任評(píng)分認(rèn)證并授權(quán)”的安全策略[56]。ZTA使用非可信組件構(gòu)建可信網(wǎng)絡(luò)的思想與CMD相通，二者區(qū)別在于實(shí)現(xiàn)方法，前者基于信任傳遞建立信任關(guān)系，后者基于多模裁決屏蔽攻擊錯(cuò)誤，但ZTA建立信任鏈時(shí)確立的信任根與加密認(rèn)證方法均難以確保絕對(duì)可信；CMD對(duì)非可信構(gòu)件的準(zhǔn)入門(mén)檻比ZTA低，更易部署推廣。

2.5 可信計(jì)算

可信計(jì)算（TC，trusted computing）由美國(guó)國(guó)防部于1985年首次提出，其本質(zhì)是使用基于硬件安全模塊的可信計(jì)算平臺(tái)，通過(guò)信任度量建立以信任根為錨、以信任關(guān)系為鏈的信任鏈[57]。隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)推動(dòng)網(wǎng)絡(luò)快速轉(zhuǎn)型，TC相關(guān)技術(shù)標(biāo)準(zhǔn)尚需完善。和ZTA相似，TC與CMD均使用非可信組件構(gòu)建可信網(wǎng)絡(luò)，區(qū)別一是在于安全原理，前者基于計(jì)算復(fù)雜度，后者基于多模動(dòng)態(tài)異構(gòu)；二是在于安全根基，前者以認(rèn)為“絕對(duì)安全”實(shí)則無(wú)法保證“絕對(duì)安全”的TPM或TCM（trusted cryptography module）為可信根，而后者基于普適的“相對(duì)正確”公理；三是在于安全等級(jí)，TC信任度量定級(jí)標(biāo)準(zhǔn)和測(cè)評(píng)技術(shù)還需健全，可信性有待提高，擬態(tài)防御可通過(guò)提升服務(wù)集異構(gòu)度動(dòng)態(tài)提高系統(tǒng)安全等級(jí)。

2.6 計(jì)算機(jī)免疫學(xué)

計(jì)算機(jī)免疫學(xué)即為計(jì)算機(jī)引入生物免疫功能，用于識(shí)別、隔離或處理網(wǎng)絡(luò)威脅，具體是將待優(yōu)化問(wèn)題對(duì)應(yīng)生物學(xué)中的抗原，將優(yōu)化問(wèn)題的可行解對(duì)應(yīng)生物學(xué)中的抗體B細(xì)胞等，運(yùn)用抗體對(duì)抗抗原的生物原理處理網(wǎng)絡(luò)威脅[58]，相關(guān)模型有網(wǎng)絡(luò)病毒免疫模型[59]、Multi-Agent免疫模型[60]、免疫神經(jīng)網(wǎng)絡(luò)模型[61]等。計(jì)算機(jī)免疫學(xué)與CMD均為仿生概念，區(qū)別在于前者激勵(lì)計(jì)算機(jī)產(chǎn)生“代碼抗體”主動(dòng)優(yōu)化求解問(wèn)題，需面向多場(chǎng)景拓展適用性；后者因擬態(tài)偽裝機(jī)制給攻擊者造成認(rèn)知困境，更易在計(jì)算設(shè)備、交換設(shè)備、操作系統(tǒng)等各層面推廣。

2.7 綜合對(duì)比

根據(jù)對(duì)主動(dòng)防御技術(shù)概念的分析，設(shè)置攻擊先驗(yàn)知識(shí)無(wú)關(guān)性、組件動(dòng)態(tài)水平、風(fēng)險(xiǎn)感知能力、威脅預(yù)規(guī)避能力4個(gè)評(píng)估指標(biāo)，按取值1～5進(jìn)行粗粒度計(jì)分（分值大小僅反映相對(duì)水平，不反映指標(biāo)絕對(duì)值），對(duì)當(dāng)前主要主動(dòng)防御技術(shù)進(jìn)行對(duì)比，如表2所示，可見(jiàn)CMD較均衡地提高了4項(xiàng)主動(dòng)防御特性，其他主動(dòng)防御技術(shù)雖具備較強(qiáng)威脅規(guī)避能力，但在其他指標(biāo)方面還有一定不足。

表2 主要主動(dòng)防御技術(shù)對(duì)比Table 2 Comparison of major active defense technologies

3 當(dāng)前觀：現(xiàn)有擬態(tài)平臺(tái)實(shí)現(xiàn)共性技術(shù)

基于COTS級(jí)產(chǎn)品、自有平臺(tái)和開(kāi)源平臺(tái)，已形成含10余類不同功能平臺(tái)的擬態(tài)平臺(tái)族，經(jīng)仿真推理和實(shí)體網(wǎng)絡(luò)驗(yàn)證均能提升系統(tǒng)內(nèi)生安全效應(yīng)，根據(jù)擬態(tài)架構(gòu)安全增益分析及式(17)，應(yīng)著重關(guān)注其關(guān)鍵的四元組{SA, HS, SS, VS}共性技術(shù)，表3為主要擬態(tài)平臺(tái)共性技術(shù)實(shí)現(xiàn)，在基于CVE（common vulnerabilities and exposures）等現(xiàn)有缺陷或構(gòu)造漏洞的攻擊向量下的性能表現(xiàn)如表4所示。

表3 主要擬態(tài)平臺(tái)共性技術(shù)實(shí)現(xiàn)Table 3 Realization of generic technology of main mimicry platform

表4 主要擬態(tài)平臺(tái)性能表現(xiàn)Table 4 Performance of major mimicry platforms

3.1 系統(tǒng)架構(gòu)

擬態(tài)平臺(tái)系統(tǒng)架構(gòu)，大多未顛覆原有架構(gòu)，通過(guò)對(duì)原架構(gòu)核心部位增量設(shè)置擬態(tài)括號(hào)實(shí)現(xiàn)異構(gòu)改造，按輸入輸出交互方式，可分為集中式架構(gòu)（centralized architecture，簡(jiǎn)稱C式架構(gòu)）和分布式架構(gòu)（distributed architecture，簡(jiǎn)稱D式架構(gòu)）。

3.1.1 集中式架構(gòu)

C式架構(gòu)，以類C/S架構(gòu)的“請(qǐng)求?應(yīng)答”工作模式提供集中式擬態(tài)服務(wù)，分為組件式和分層式兩類子架構(gòu)。組件式子架構(gòu)，如擬態(tài)Web服務(wù)器[19]、擬態(tài)DNS服務(wù)器[62]，由調(diào)度器、異構(gòu)服務(wù)器池及請(qǐng)求分發(fā)均衡模塊等其他組件組成；分層式子架構(gòu)，如擬態(tài)云數(shù)據(jù)中心[63]和擬態(tài)云服務(wù)架構(gòu)[64]，前者由基礎(chǔ)設(shè)施層、異構(gòu)網(wǎng)絡(luò)交換層、擬態(tài)化括號(hào)層、擬態(tài)云管理器/擬態(tài)化SaaS（software-as-a-service）應(yīng)用層和運(yùn)維管理層構(gòu)成，后者通過(guò)在原系統(tǒng)服務(wù)層構(gòu)造MSP（mimic service package）提供節(jié)點(diǎn)式擬態(tài)云服務(wù)。如圖4所示，C式架構(gòu)中，作為客戶端的實(shí)體與作為服務(wù)端的元功能體交互時(shí)，信息流單線輸出、鏈?zhǔn)教幚?，元功能體在接收實(shí)體服務(wù)請(qǐng)求后，分發(fā)輸入、多模執(zhí)行、輸出裁決及調(diào)度反饋等擬態(tài)服務(wù)均在元功能體進(jìn)行，同信息鏈信息I/O位于架構(gòu)同側(cè)，在每級(jí)I/O界面實(shí)現(xiàn)歸一化，通過(guò)在I/O界面直接引入擬態(tài)輸入/輸出模塊實(shí)現(xiàn)擬態(tài)構(gòu)造。

圖4 C式架構(gòu)及其信息流 Figure 4 Type C architecture and its information flow

3.1.2 分布式架構(gòu)

D式架構(gòu)，采用類P2P架構(gòu)的對(duì)等模式提供分布式擬態(tài)服務(wù)，分為組件式和分層式兩類子架構(gòu)。組件式子架構(gòu)，如擬態(tài)工控處理機(jī)[28]、擬態(tài)交換機(jī)[7]，由異構(gòu)執(zhí)行體池、調(diào)度器、電路組件構(gòu)成；分層式子架構(gòu)，如擬態(tài)路由器[65]，由應(yīng)用層、控制層和設(shè)備層組成。如圖5所示，D式架構(gòu)中，實(shí)體間彼此可兩兩交互，信息流多級(jí)多鏈并行，系統(tǒng)接收輸入信息I后僅觸發(fā)系統(tǒng)內(nèi)部的輸出信息Ointernal，外部界面的輸入I與輸出信息O間邏輯無(wú)關(guān)，即同信息鏈信息I/O位于架構(gòu)異側(cè)，為便于裁決，內(nèi)部輸出矢量需歸一化，通過(guò)直接在I/Ointernal界面引入擬態(tài)輸入/輸出模塊實(shí)現(xiàn)擬態(tài)構(gòu)造。

圖5 D式架構(gòu)及其信息流 Figure 5 Type D architecture and its information flow

3.1.3 小結(jié)

擬態(tài)平臺(tái)系統(tǒng)架構(gòu)，在信息流程上，符合I{P}O閉環(huán)控制模型，除輸入輸出通道外，擬態(tài)括號(hào)內(nèi)部件與外界不互通；在子架構(gòu)選用上，當(dāng)前實(shí)現(xiàn)的組件式子架構(gòu)多由調(diào)度器兼負(fù)調(diào)度和表決功能，對(duì)調(diào)度、表決功能一體化設(shè)計(jì)要求高，而分層式子架構(gòu)以擬態(tài)化控制層為核心，實(shí)現(xiàn)較為完備?？梢?jiàn)，對(duì)現(xiàn)有平臺(tái)進(jìn)行擬態(tài)化改造時(shí)，應(yīng)著眼其服務(wù)模式選取確定異構(gòu)服務(wù)集和多模裁決點(diǎn)，而后區(qū)分C式或D式架構(gòu)展開(kāi)改造。

3.2 異構(gòu)策略

擬態(tài)平臺(tái)異構(gòu)策略，既可在基礎(chǔ)設(shè)施、操作系統(tǒng)、文件系統(tǒng)、應(yīng)用軟件等層面實(shí)現(xiàn)全棧物理異構(gòu)，還可通過(guò)虛擬化等策略增強(qiáng)虛擬異構(gòu)度，應(yīng)重點(diǎn)關(guān)注其實(shí)現(xiàn)模式、實(shí)現(xiàn)層次、構(gòu)件選用和部件同步4個(gè)層面。

3.2.1 異構(gòu)實(shí)現(xiàn)模式

根據(jù)平臺(tái)廠商來(lái)源和擬態(tài)化改造時(shí)平臺(tái)源碼是否可控兩項(xiàng)條件，可將擬態(tài)平臺(tái)異構(gòu)實(shí)現(xiàn)模式分為4類，如圖6所示。一是單源封閉異構(gòu)實(shí)現(xiàn)，即對(duì)于由單一廠商生產(chǎn)的非開(kāi)源平臺(tái)，通過(guò)直接采用該廠商的多型產(chǎn)品作為服務(wù)集并在I/O接口增加分發(fā)、裁決及調(diào)度等機(jī)制以進(jìn)行擬態(tài)化改造[63]。二是單源開(kāi)放異構(gòu)實(shí)現(xiàn)，即在開(kāi)源COTS級(jí)產(chǎn)品的核心部位，通過(guò)多樣化編譯產(chǎn)品源碼等方式設(shè)置擬態(tài)界。三是多源封閉異構(gòu)實(shí)現(xiàn)，即直接引入多廠商生產(chǎn)的非開(kāi)源COTS級(jí)產(chǎn)品作為服務(wù)集，并在I/O接口設(shè)置擬態(tài)輸入和裁決部件以構(gòu)建擬態(tài)化子系統(tǒng)。四是多源開(kāi)放異構(gòu)實(shí)現(xiàn)，即對(duì)具備動(dòng)態(tài)、異構(gòu)、冗余特性的開(kāi)源系統(tǒng)，因應(yīng)用與平臺(tái)松耦合且具備異構(gòu)基礎(chǔ)，通過(guò)直接引入擬態(tài)機(jī)制和組合多源應(yīng)用實(shí)現(xiàn)異構(gòu)。如擬態(tài)路由器架構(gòu)[65]通過(guò)基于OpenFlow協(xié)議的接口改造，控制未開(kāi)源的思科、Juniper、中興、邁普、烽火路由器，即多源封閉異構(gòu)實(shí)現(xiàn)；通過(guò)開(kāi)源軟件Routeflow[58]直接遷移控制開(kāi)源的Quagga、XORP等路由器，即多源開(kāi)放異構(gòu)實(shí)現(xiàn)。值得注意的是，這4類擬態(tài)異構(gòu)實(shí)現(xiàn)模式均面向基于COTS級(jí)硬件和開(kāi)源產(chǎn)品、需經(jīng)擬態(tài)化改造才能生成內(nèi)生安全能力的擬態(tài)基線1.0產(chǎn)品，而面向基于DHR構(gòu)造、具備原生內(nèi)生安全能力的擬態(tài)基線2.0產(chǎn)品，這些異構(gòu)實(shí)現(xiàn)模式已不再需要。

圖6 擬態(tài)異構(gòu)實(shí)現(xiàn)模式 Figure 6 Mimicry heterogeneous implementation mode

3.2.2 異構(gòu)實(shí)現(xiàn)方法

異構(gòu)實(shí)現(xiàn)方法可分為編碼異構(gòu)、軟件異構(gòu)、硬件異構(gòu)、軟硬件協(xié)同異構(gòu)和混合異構(gòu)等，與異構(gòu)實(shí)現(xiàn)模式并非一一對(duì)應(yīng)，可結(jié)合實(shí)際情況靈活組合，如多源開(kāi)放異構(gòu)實(shí)現(xiàn)模式既可僅實(shí)現(xiàn)軟件異構(gòu)，也可實(shí)現(xiàn)軟硬件協(xié)同異構(gòu)。

一是編碼異構(gòu)。即采用不同數(shù)據(jù)編碼實(shí)現(xiàn)異構(gòu)，如擬態(tài)存儲(chǔ)器將文件拆分為塊，隨機(jī)選擇多種糾刪碼編碼，實(shí)現(xiàn)存儲(chǔ)編碼異構(gòu)[6]。

二是軟件異構(gòu)和硬件異構(gòu)。軟件異構(gòu)方面，實(shí)現(xiàn)手段上，可通過(guò)反向棧、ISR、堆布局隨機(jī)化、?；冯S機(jī)化、棧保護(hù)、系統(tǒng)調(diào)用號(hào)隨機(jī)化、庫(kù)函數(shù)名隨機(jī)化等[66]手段實(shí)現(xiàn)；實(shí)現(xiàn)環(huán)節(jié)上，可在開(kāi)發(fā)、編譯、鏈接、安裝、加載等環(huán)節(jié)[67]實(shí)現(xiàn)。如擬態(tài)蜜罐[9]在Web中間件、操作系統(tǒng)兩個(gè)軟件層設(shè)置異構(gòu)；擬態(tài)Web威脅感知模型[68]利用腳本擬態(tài)變換技術(shù)實(shí)現(xiàn)應(yīng)用腳本異構(gòu)；M-DNS[62]采用不同DNS軟件實(shí)現(xiàn)DNS服務(wù)器異構(gòu)；擬態(tài)處理機(jī)采用不同操作系統(tǒng)實(shí)現(xiàn)處理機(jī)異構(gòu)。針對(duì)擬態(tài)Web服務(wù)器的異構(gòu)實(shí)現(xiàn)，文獻(xiàn)[19]將其設(shè)計(jì)實(shí)現(xiàn)為基于應(yīng)用軟件、服務(wù)器軟件、數(shù)據(jù)庫(kù)、文件系統(tǒng)和操作系統(tǒng)的5層異構(gòu)，但未進(jìn)行軟件同源性分析[69]；而文獻(xiàn)[8]將其設(shè)計(jì)實(shí)現(xiàn)為基于文件系統(tǒng)、服務(wù)器軟件、虛擬機(jī)操作系統(tǒng)的3層異構(gòu)?？梢?jiàn)，大多數(shù)異構(gòu)平臺(tái)通過(guò)選用成型異構(gòu)軟件或變換腳本，在開(kāi)發(fā)而非編譯、鏈接、安裝、加載等階段實(shí)現(xiàn)軟件異構(gòu)，操作可行性強(qiáng)，異構(gòu)成本較低。硬件異構(gòu)方面，由于異構(gòu)硬件接口不一，需額外引入對(duì)應(yīng)控制軟件，因此單純硬件異構(gòu)難以實(shí)現(xiàn)，目前尚未出現(xiàn)實(shí)例。

三是軟硬件協(xié)同異構(gòu)。如擬態(tài)交換機(jī)[7]采用異構(gòu){CPU+OS}硬件模組，并通過(guò)多樣化編譯生成異構(gòu)協(xié)議棧和管理軟件族；擬態(tài)路由器[65]采取多種軟、硬件控制模式實(shí)現(xiàn)7模異構(gòu)路由器；擬態(tài)防火墻[35]針對(duì)業(yè)務(wù)處理邏輯等層面進(jìn)行擬態(tài)化改造，實(shí)現(xiàn){硬件平臺(tái)+操作系統(tǒng)+安全引擎}3層軟硬件異構(gòu)；擬態(tài)計(jì)算服務(wù)器[68]按需求混合配置CPU+GPU、CPU+FPGA、HRCA（hybrid reconfigurable computational array）、RIC（reconfigurable interconnection）等通用、專用、柔性計(jì)算部件，在指令級(jí)、部件級(jí)、系統(tǒng)級(jí)實(shí)現(xiàn)軟硬件變結(jié)構(gòu)計(jì)算。因此，擬態(tài)平臺(tái)可通過(guò)在數(shù)據(jù)接口等部位設(shè)置擬態(tài)括號(hào)，組合運(yùn)用開(kāi)源產(chǎn)品、自有產(chǎn)品和COTS級(jí)產(chǎn)品，實(shí)現(xiàn)軟、硬件協(xié)同異構(gòu)。

四是混合異構(gòu)。即采用異構(gòu)網(wǎng)絡(luò)部件、異構(gòu)網(wǎng)絡(luò)交換等，實(shí)現(xiàn)多維混合異構(gòu)，如擬態(tài)云數(shù)據(jù)中心[63]除部署擬態(tài)部件外，還引入擬態(tài)存儲(chǔ)、擬態(tài)云管、異構(gòu)網(wǎng)絡(luò)交換等異構(gòu)策略。

3.2.3 異構(gòu)構(gòu)件選用

現(xiàn)有擬態(tài)平臺(tái)異構(gòu)構(gòu)件測(cè)試集如表5所示。

表5 現(xiàn)有擬態(tài)平臺(tái)異構(gòu)構(gòu)件測(cè)試集Table 5 Heterogeneous component test set of existing mimicry platforms

3.2.4 異構(gòu)同步模式

為提升擬態(tài)架構(gòu)系統(tǒng)整體效能，應(yīng)在狀態(tài)保存、表項(xiàng)下發(fā)、故障恢復(fù)等時(shí)機(jī)，在隔離前提下同步異構(gòu)執(zhí)行體。同步模式主要有3種：一是直聯(lián)模式，即異構(gòu)執(zhí)行體通過(guò)接口直接通信，如擬態(tài)計(jì)算服務(wù)器[68]為實(shí)現(xiàn)高帶寬數(shù)據(jù)通信，部件間采用FPGA全互聯(lián)；二是插件模式，即異構(gòu)執(zhí)行體通過(guò)調(diào)度器或其他擬態(tài)插件間接通信，如擬態(tài)處理機(jī)[28]通過(guò)調(diào)度器管理用戶請(qǐng)求、響應(yīng)仲裁和執(zhí)行體故障隔離、清洗復(fù)位；擬態(tài)路由器[70]設(shè)置感知決策單元，通過(guò)收集狀態(tài)信息主動(dòng)調(diào)整運(yùn)行參數(shù)；三是消息隊(duì)列模式，如MNOS[29]采用ZeroMQ消息隊(duì)列完成異構(gòu)執(zhí)行體間通信，擬態(tài)防火墻[35]采用基于TIPC（transparent interprocess communication）集群協(xié)議的分布式消息傳輸。其中，直聯(lián)模式效率最高，但可能面臨協(xié)同攻擊；擬態(tài)插件模式較安全，但造成一定效能損失；消息隊(duì)列模式性能介于二者之間。同步粒度方面，已有擬態(tài)平臺(tái)未予以明確，其他多變體架構(gòu)使用的同步粒度按遞減排序，有BUDDY[71]的應(yīng)用級(jí)監(jiān)控，ShadowExe[62]的函數(shù)級(jí)監(jiān)控，Detile[72]的代碼級(jí)監(jiān)控，VARAN[63]、DCL[64]的系統(tǒng)調(diào)用級(jí)監(jiān)控及指令級(jí)監(jiān)控等[61]。

3.2.5 小結(jié)

為提升系統(tǒng)變換安全增益，應(yīng)側(cè)重選用多源開(kāi)放異構(gòu)實(shí)現(xiàn)模式和混合異構(gòu)實(shí)現(xiàn)方法，同時(shí)，為防范基于冗余體間互聯(lián)端口鏈路、共享處理空間等通道或同步機(jī)制的多模協(xié)同攻擊，應(yīng)側(cè)重選擇插件模式或消息隊(duì)列模式實(shí)現(xiàn)異構(gòu)執(zhí)行體同步。

3.3 調(diào)度策略

調(diào)度策略，可細(xì)分為下線、上線兩項(xiàng)子策略。前者即調(diào)度選取特定舊執(zhí)行體離開(kāi)服務(wù)集的子策略，后者指調(diào)度選擇適當(dāng)新執(zhí)行體進(jìn)入服務(wù)集的子策略。

3.3.1 下線子策略

下線子策略主要有下線操作時(shí)機(jī)、下線清洗方法兩個(gè)方面。

一是下線操作時(shí)機(jī)，可分為定時(shí)下線、裁決下線、人工下線、策略下線等。其中，定時(shí)下線，即定時(shí)選取執(zhí)行體下線清洗，以防協(xié)同滲透、共模缺陷攻擊；裁決下線，即每次裁決后令信任權(quán)值最低的執(zhí)行體下線清洗；人工下線，即由操作員主觀決策選擇執(zhí)行體下線；策略下線，即基于時(shí)間片、隨機(jī)余度、異常告警監(jiān)控等策略選擇執(zhí)行體下線。如擬態(tài)交換機(jī)采取定時(shí)下線、裁決下線相結(jié)合的下線策略[7]，擬態(tài)路由器基于執(zhí)行體可信度和性能權(quán)重指標(biāo)選擇執(zhí)行體進(jìn)行下線，擬態(tài)云服務(wù)架構(gòu)實(shí)行裁決下線、人工下線和策略下線相結(jié)合的下線策略[64]。

二是下線清洗方法，可采用初始化、清零、重啟等簡(jiǎn)易數(shù)據(jù)復(fù)位方式，但無(wú)法清除對(duì)系統(tǒng)底層軟硬件的攻擊后果，因此在重置數(shù)據(jù)后應(yīng)對(duì)執(zhí)行體構(gòu)件進(jìn)行一定重構(gòu)，或棄置后換用新執(zhí)行體，如擬態(tài)蜜罐[9]采用基于狀態(tài)回滾和輪換的調(diào)度策略；擬態(tài)云數(shù)據(jù)中心實(shí)行基于業(yè)務(wù)遷移和數(shù)據(jù)同步的清洗策略[63]，在發(fā)現(xiàn)執(zhí)行體異常后將其數(shù)據(jù)遷移至其他云執(zhí)行體。

3.3.2 上線子策略

上線子策略可基于執(zhí)行體可信度、負(fù)載量等指標(biāo)，如M-DNS實(shí)行基于執(zhí)行體可信度、負(fù)載量的選調(diào)策略[62]，即隨機(jī)選擇可信度、負(fù)載量滿足選取系數(shù)閾值要求的執(zhí)行體進(jìn)入服務(wù)集；MNOS使用基于異構(gòu)度增益的調(diào)度策略[29]，使調(diào)度產(chǎn)生的軟、硬件異構(gòu)度增益和最大化。

3.3.3 小結(jié)

調(diào)度策略實(shí)質(zhì)是對(duì)可信度、負(fù)載、性能、用戶傾向等主、客觀指標(biāo)的平衡，以實(shí)現(xiàn)服務(wù)集攻擊表面的動(dòng)態(tài)變換，如何對(duì)其量化評(píng)估還需測(cè)試驗(yàn)證。值得注意的是，在選擇異常降級(jí)清洗后的舊執(zhí)行體重新進(jìn)入服務(wù)集時(shí)，由于攻擊者已打通對(duì)其攻擊鏈，若將其直接加入工作隊(duì)列后短時(shí)間內(nèi)仍易被攻陷，因此考慮實(shí)施梯度回歸。如擬態(tài)處理機(jī)實(shí)行基于狀態(tài)保存的兩步清洗降級(jí)調(diào)度策略，將服務(wù)集狀態(tài)分為7級(jí)，對(duì)其逐級(jí)進(jìn)行清洗、上線[28]。

3.4 表決策略

表決策略應(yīng)重點(diǎn)關(guān)注表決算法、表決層次和表決時(shí)延控制等因素。

3.4.1 表決算法

表決算法，可選用大數(shù)表決[73]、一致表決[74]、n中取2表決[75]、隨機(jī)表決、輪詢表決、擇多表決[76]等傳統(tǒng)算法，及自檢測(cè)多數(shù)一致表決算法[77]、自適應(yīng)一致表決算法[78-79]等改良算法，其中擇多表決的可信度最高，雖無(wú)法保證絕對(duì)正確，但根據(jù)CMD第二定理知，擇多錯(cuò)誤概率隨余度增加而非線性減小，風(fēng)險(xiǎn)可控，主要有3類。

一是靜態(tài)算法，即表決策略確定后不再變動(dòng)，如M-DNS[62]指定采用大數(shù)表決算法。

二是動(dòng)態(tài)算法，即可靈活確定表決策略，如擬態(tài)路由器[65]依據(jù)安全等級(jí)，可指定擇多判決、權(quán)重判決、隨機(jī)判決等算法。

三是復(fù)合算法，即復(fù)合運(yùn)用多種表決策略，如擬態(tài)蜜罐[9]基于行為記錄、告警數(shù)據(jù)對(duì)比進(jìn)行表決；擬態(tài)防火墻[35]采用分層次、分階段表決；為應(yīng)對(duì)時(shí)間協(xié)同、共模缺陷攻擊，擬態(tài)交換機(jī)在大數(shù)表決中增加信任評(píng)估和定時(shí)擾動(dòng)，實(shí)施基于信任權(quán)值的自清洗大數(shù)表決，即在表決時(shí)優(yōu)先采用高信任權(quán)值執(zhí)行體的輸出，且信任權(quán)值隨執(zhí)行體表決輸出差異度等歷史表現(xiàn)動(dòng)態(tài)更新；擬態(tài)處理機(jī)[28]引入基于處理機(jī)歷史表現(xiàn)的經(jīng)驗(yàn)可信度和基于系統(tǒng)安全員主觀傾向的權(quán)值可信度，實(shí)行基于可信度的比較擇多算法，并提供了可選的基于抽樣擇多的復(fù)合單選判決算法；MNOS[29]考慮到每次大數(shù)表決相互獨(dú)立的缺陷，利用惡意控制器所占比例、系統(tǒng)誤差等先驗(yàn)知識(shí)實(shí)現(xiàn)基于博弈策略的表決算法，提升了表決準(zhǔn)確性，但提高了計(jì)算量和時(shí)延。

3.4.2 表決層次

應(yīng)根據(jù)表決場(chǎng)景選取表決層次。由于異構(gòu)執(zhí)行體輸出格式、信息內(nèi)字段設(shè)置等不同，若在語(yǔ)義層表決，粒度難以掌握，需輔以智能語(yǔ)義分析算法，誤報(bào)率較低，漏報(bào)率較高，適用于模糊表決；而數(shù)據(jù)層表決更為精確，漏報(bào)率降低，但誤報(bào)率較高，適用于精確表決。如Web服務(wù)器實(shí)現(xiàn)兩個(gè)表決器[8]，即用于多模裁決的前端表決器和用于過(guò)濾非法SQL語(yǔ)句的后端表決器，前者在語(yǔ)義層表決，以屏蔽異構(gòu)服務(wù)器響應(yīng)的細(xì)節(jié)差異；后者在數(shù)據(jù)層表決，以屏蔽異構(gòu)機(jī)制導(dǎo)致的SQL語(yǔ)句差異。

3.4.3 表決時(shí)延控制

擬態(tài)平臺(tái)的時(shí)延開(kāi)銷主要來(lái)自表決[8]，為降低表決時(shí)延，提高表決準(zhǔn)確率，應(yīng)對(duì)服務(wù)集輸出矢量進(jìn)行標(biāo)準(zhǔn)化、歸一化。例如，文獻(xiàn)[8]提出擬態(tài)Web服務(wù)器可通過(guò)模塊硬件固化、非關(guān)鍵功能解耦，形成專用組件以降低開(kāi)銷。

3.4.4 小結(jié)

為提高擬態(tài)平臺(tái)表決性能，應(yīng)結(jié)合具體場(chǎng)景選用表決層次，著重采取動(dòng)態(tài)表決策略，并對(duì)執(zhí)行體輸出矢量進(jìn)行歸一化。

4 發(fā)展觀：“擬態(tài)+”AICDS共生生態(tài)

隨著擬態(tài)技術(shù)與AI、IoT（internet of things）、Cloud、Data和SDN等新型技術(shù)深度融合，將逐漸形成“擬態(tài)+”AICDS共生生態(tài)，但目前存在較多技術(shù)瓶頸、盲區(qū)。

4.1 擬態(tài)+AI

CNN[80]、RNN[81]、GNN[82]、GRU[83]等神經(jīng)網(wǎng)絡(luò)算法驅(qū)動(dòng)的人工智能技術(shù)，可用于優(yōu)化擬態(tài)多模裁決、態(tài)勢(shì)感知、數(shù)據(jù)計(jì)算等性能，例如，技術(shù)結(jié)合點(diǎn)可通過(guò)流量分類檢測(cè)異常的深度學(xué)習(xí)用于增強(qiáng)多模裁決準(zhǔn)確率；可自主推測(cè)調(diào)度方案的強(qiáng)化學(xué)習(xí)用于優(yōu)化調(diào)度策略。相關(guān)研究方面，英特爾于2017年開(kāi)發(fā)了首款支持自監(jiān)督學(xué)習(xí)和強(qiáng)化學(xué)習(xí)的神經(jīng)擬態(tài)芯片Loihi[84]，并于2020年提出“神經(jīng)擬態(tài)計(jì)算”架構(gòu)[85]，通過(guò)EMIB[86]、Foveros[87]等技術(shù)封裝多模異架構(gòu)芯片，提高了對(duì)多源非結(jié)構(gòu)化數(shù)據(jù)的識(shí)別準(zhǔn)確率和能效比；文獻(xiàn)[88]針對(duì)現(xiàn)有擬態(tài)裁決機(jī)制無(wú)法有效歸納分析擬態(tài)架構(gòu)安全態(tài)勢(shì)的不足，提出基于裁決差異性判別的Web威脅態(tài)勢(shì)分析算法，將網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)融入擬態(tài)架構(gòu)，通過(guò)LSTM網(wǎng)絡(luò)挖掘、分類、融合多層次擬態(tài)裁決告警日志特征，并根據(jù)分類結(jié)果實(shí)現(xiàn)威脅可視化展示，基于真實(shí)互聯(lián)網(wǎng)環(huán)境的實(shí)驗(yàn)證明該方法可有效獲取CMD架構(gòu)安全態(tài)勢(shì)?？傮w來(lái)看，目前擬態(tài)技術(shù)與各類神經(jīng)網(wǎng)絡(luò)結(jié)合運(yùn)用的算法架構(gòu)較少，在智能裁決、智能調(diào)度等方面有較大研究?jī)r(jià)值。

4.2 擬態(tài)+IoT

物聯(lián)網(wǎng)[89]中連接泛在、數(shù)據(jù)聚合、平臺(tái)各異、設(shè)備復(fù)雜，可靠性存在較大隱患[90]，而擬態(tài)DHR架構(gòu)可為其提供可靠性保證，技術(shù)結(jié)合點(diǎn)如智能網(wǎng)聯(lián)汽車擬態(tài)化控制/通信系統(tǒng)，或?qū)Χ嘣磦鞲衅鲾?shù)據(jù)應(yīng)用擬態(tài)化分析引擎。相關(guān)實(shí)例如第4屆“強(qiáng)網(wǎng)”擬態(tài)防御國(guó)際精英挑戰(zhàn)賽展示的具有內(nèi)生安全屬性的擬態(tài)高級(jí)智能駕駛輔助系統(tǒng)（ADAS），在高強(qiáng)度網(wǎng)絡(luò)攻擊中展現(xiàn)了相對(duì)傳統(tǒng)商用產(chǎn)品的安全優(yōu)勢(shì)；再如車聯(lián)網(wǎng)擬態(tài)防御系統(tǒng)[91]通過(guò)采集、分析威脅數(shù)據(jù)建立擬態(tài)化分析引擎，可通過(guò)動(dòng)態(tài)重構(gòu)組合車載端與車載服務(wù)器端安全規(guī)則，產(chǎn)生內(nèi)生安全效應(yīng)。

4.3 擬態(tài)+Cloud

如上文所述，擬態(tài)架構(gòu)可用于保護(hù)云平臺(tái)[63,68]，技術(shù)結(jié)合點(diǎn)主要是構(gòu)建基于多模執(zhí)行體的擬態(tài)云平臺(tái)；此外，學(xué)術(shù)界對(duì)“擬態(tài)+云”的裁決策略、反饋控制、行為預(yù)測(cè)等展開(kāi)了相關(guān)研究。裁決策略方面，如文獻(xiàn)[92]針對(duì)擬態(tài)云服務(wù)系統(tǒng)各異構(gòu)執(zhí)行體輸出矢量因不一致而難以裁決的問(wèn)題，提出了基于模板對(duì)比和置信度修正的異構(gòu)執(zhí)行體輸出一致性裁決方法；再如文獻(xiàn)[21]提出了基于相似性指標(biāo)對(duì)服務(wù)集進(jìn)行優(yōu)先級(jí)預(yù)排序，并結(jié)合時(shí)間片策略進(jìn)行調(diào)度的PSPT算法，平衡了系統(tǒng)動(dòng)態(tài)性與異構(gòu)性。反饋控制方面，如文獻(xiàn)[93]通過(guò)對(duì)虛擬機(jī)進(jìn)行擬態(tài)封裝，基于異構(gòu)虛擬機(jī)的異構(gòu)度實(shí)現(xiàn)云執(zhí)行環(huán)境的動(dòng)態(tài)輪換反饋控制。行為預(yù)測(cè)方面，如文獻(xiàn)[94]組合運(yùn)用擅長(zhǎng)處理線性關(guān)系的ARIMA[95]模型與擅長(zhǎng)處理非線性關(guān)系的RBF[96]模型，優(yōu)化了擬態(tài)調(diào)度組件對(duì)云應(yīng)用行為的離線預(yù)測(cè)性能。

4.4 擬態(tài)+Data

Hbase[97]、ES、RabbitMQ、Celery[98]等大數(shù)據(jù)系統(tǒng)以CPU等通用處理器為核心，結(jié)構(gòu)單一、能效比低，學(xué)術(shù)研究主要集中于通過(guò)混合異構(gòu)平臺(tái)提高加速比和能效比，無(wú)法保證計(jì)算任務(wù)與體系結(jié)構(gòu)相匹配，要求計(jì)算架構(gòu)和處理機(jī)制范式同步向多?；?dòng)態(tài)化革新，這正是大數(shù)據(jù)與擬態(tài)防御的技術(shù)結(jié)合點(diǎn)，如基于擬態(tài)計(jì)算的大數(shù)據(jù)處理方法[99]。此外，2018年，復(fù)旦大學(xué)與多家企業(yè)提出共同推進(jìn)通用擬態(tài)大數(shù)據(jù)平臺(tái)發(fā)展，為擬態(tài)計(jì)算在大數(shù)據(jù)分析處理和數(shù)據(jù)挖掘領(lǐng)域應(yīng)用提供技術(shù)路徑。在擬態(tài)大數(shù)據(jù)平臺(tái)具體實(shí)現(xiàn)上，文獻(xiàn)[100]設(shè)計(jì)提出了高效能擬態(tài)大數(shù)據(jù)平臺(tái)，通過(guò)構(gòu)造體系結(jié)構(gòu)匹配矩陣將計(jì)算子任務(wù)動(dòng)態(tài)分配至CPU、GPU、FPGA等組合處理部件，實(shí)驗(yàn)表明，相較純CPU架構(gòu)，CPU+FPGA擬態(tài)架構(gòu)可深度融合異構(gòu)計(jì)算部件，能效比更高，還可靈活拓展；文獻(xiàn)[101]提出基于擬態(tài)計(jì)算的大數(shù)據(jù)精準(zhǔn)服務(wù)架構(gòu)，主要分為數(shù)據(jù)源、數(shù)據(jù)導(dǎo)入、數(shù)據(jù)存儲(chǔ)、擬態(tài)計(jì)算、精準(zhǔn)數(shù)據(jù)分析、數(shù)據(jù)精準(zhǔn)推薦技術(shù)等部分，使軟硬件深度耦合；文獻(xiàn)[102]提出綜合運(yùn)用多種擬態(tài)系統(tǒng)，構(gòu)建包括數(shù)據(jù)源、擬態(tài)設(shè)備、擬態(tài)計(jì)算及數(shù)據(jù)應(yīng)用服務(wù)等組件的擬態(tài)大數(shù)據(jù)應(yīng)用平臺(tái)。總體來(lái)看，“擬態(tài)+大數(shù)據(jù)”應(yīng)用模式在異構(gòu)部件編配、計(jì)算子任務(wù)切分等方面的研究還需深化。

4.5 擬態(tài)+SDN

一方面，SDN有助于擬態(tài)異構(gòu)通過(guò)NFV[103]實(shí)現(xiàn)、支撐擬態(tài)功能模塊化、增量式部署，還可增強(qiáng)擬態(tài)架構(gòu)與業(yè)務(wù)功能耦合度，實(shí)現(xiàn)“功能即安全”；另一方面，SDN服務(wù)部署面臨服務(wù)鏈被篡改、截取、重放等威脅，對(duì)其控制層進(jìn)行擬態(tài)化改造，可為其賦予內(nèi)生安全效應(yīng)，二者的技術(shù)結(jié)合點(diǎn)包括擬態(tài)控制器、SDN流的多模裁決等。如文獻(xiàn)[17,104]提出擬態(tài)SDN服務(wù)部署架構(gòu)，由應(yīng)用層/用戶業(yè)務(wù)需求、控制層和網(wǎng)絡(luò)層組成，對(duì)SDN控制層進(jìn)行擬態(tài)改造；文獻(xiàn)[105]針對(duì)SDN主控制器單點(diǎn)故障和異構(gòu)控制器表項(xiàng)對(duì)比問(wèn)題，提出擬態(tài)SDN控制層安全機(jī)制，引入多模異構(gòu)控制器實(shí)現(xiàn)多樣化民主監(jiān)督，并提出基于轉(zhuǎn)發(fā)語(yǔ)義的異構(gòu)控制器流表項(xiàng)對(duì)比算法。面向“擬態(tài)+SDN”實(shí)現(xiàn)面臨的各類問(wèn)題，文獻(xiàn)[106]聚焦現(xiàn)有基于SDN的MNOS流表不一致、調(diào)度算法泛用性差、缺少安全性能評(píng)估3項(xiàng)缺陷，分別提出了基于流表可信度和自清洗機(jī)制的流一致裁決方法，基于攻擊信息的動(dòng)態(tài)負(fù)反饋調(diào)度方法，以及基于攻防收益函數(shù)博弈的擬態(tài)控制平面安全性能評(píng)估方法；文獻(xiàn)[107]針對(duì)異構(gòu)控制器流規(guī)則一致性判別難題，提出基于流表規(guī)則管道圖和邊緣端口流矩陣對(duì)比的控制層裁決策略。

5 未來(lái)觀：“擬態(tài)+”未來(lái)新型應(yīng)用場(chǎng)景及挑戰(zhàn)

在擬態(tài)化浪潮帶動(dòng)下，“擬態(tài)+”將激發(fā)更多應(yīng)用可能，也將面臨更多挑戰(zhàn)。

5.1 新型應(yīng)用場(chǎng)景

擬態(tài)基線2.0技術(shù)研發(fā)及其與5G、6G、邊緣計(jì)算、云服務(wù)、區(qū)塊鏈等新興技術(shù)深度融合，將產(chǎn)生更多新型擬態(tài)應(yīng)用場(chǎng)景。一是擬態(tài)基線2.0產(chǎn)品生態(tài)，通過(guò)對(duì)軟硬構(gòu)件、信息系統(tǒng)、控制裝置等通用對(duì)象，全面采用內(nèi)生安全原生設(shè)計(jì)規(guī)范和晶圓級(jí)微封裝工藝，實(shí)現(xiàn)多領(lǐng)域、微粒度、全維度多模異構(gòu)，使內(nèi)生安全成為新一代信息系統(tǒng)的基本功能，其重點(diǎn)包括擬態(tài)基線2.0擬態(tài)效能測(cè)試技術(shù)、原生內(nèi)生安全開(kāi)發(fā)工具鏈與開(kāi)發(fā)環(huán)境、擬態(tài)構(gòu)造測(cè)評(píng)標(biāo)準(zhǔn)等。二是“擬態(tài)+5G/6G”。隨著5G通信應(yīng)用部署和6G通信研究推進(jìn)，擬態(tài)技術(shù)在大規(guī)?；ヂ?lián)網(wǎng)絡(luò)的機(jī)制同步和推廣部署條件趨于成熟，便于其提供分布式廣域移動(dòng)安全服務(wù)，更好支撐高速異構(gòu)網(wǎng)絡(luò)跨域發(fā)展。同時(shí)，除網(wǎng)絡(luò)交換、處理設(shè)備外，擬態(tài)技術(shù)還將走向手機(jī)、平板等移動(dòng)端平臺(tái)，用于解決5G/6G通信網(wǎng)面臨的云、移動(dòng)邊緣計(jì)算[108]和垂直業(yè)務(wù)中的安全挑戰(zhàn)。三是“擬態(tài)+邊緣計(jì)算”。邊緣計(jì)算因其網(wǎng)絡(luò)復(fù)雜、設(shè)備分散、規(guī)模龐大，面臨身份認(rèn)證、訪問(wèn)控制、密鑰管理等威脅[109]，擬態(tài)技術(shù)可為其提供跨設(shè)備、鏈路、網(wǎng)絡(luò)層，覆蓋分發(fā)、計(jì)算、存儲(chǔ)業(yè)務(wù)流程的安全屏障，如擬態(tài)分布式多接入邊緣計(jì)算架構(gòu)[110]將數(shù)據(jù)分割轉(zhuǎn)發(fā)至多個(gè)邊緣節(jié)點(diǎn)處理，并基于校驗(yàn)分析實(shí)現(xiàn)了CMD機(jī)制。四是“擬態(tài)+云”。云計(jì)算、云服務(wù)等“云化”服務(wù)模式中，集中管理資源和信息跨域傳輸客觀導(dǎo)致攻擊目標(biāo)相對(duì)集中、普遍暴露，通過(guò)為云配備擬態(tài)調(diào)度管理組件，可支撐多個(gè)云應(yīng)用與擬態(tài)服務(wù)組件集群的融合協(xié)同[94]，形成基于內(nèi)生安全的“擬態(tài)云”服務(wù)模式，為“新基建+新安全”提供機(jī)遇；還可支撐云端一體協(xié)同防御，拓寬網(wǎng)絡(luò)防御縱深。五是“擬態(tài)+區(qū)塊鏈”。區(qū)塊鏈雖具備去中心、去信任、不易篡改、防偽造、可溯源等特性，但在高價(jià)值數(shù)據(jù)存儲(chǔ)流通中面臨私鑰丟失、合約代碼漏洞[111]、自私挖礦[112]等安全威脅，擬態(tài)架構(gòu)同樣可為其提供保護(hù)。例如，擬態(tài)區(qū)塊鏈[113]借鑒DHR架構(gòu)和密碼抽簽思想，提出了動(dòng)態(tài)異構(gòu)共識(shí)機(jī)制和動(dòng)態(tài)異構(gòu)冗余簽名算法，測(cè)試表明該算法效率受限于SM2算法和共識(shí)算法。

5.2 未來(lái)挑戰(zhàn)

CMD雖具備顛覆性內(nèi)生安全效應(yīng)，但事實(shí)上其安全性能還有待提高，部署成本有待降低，其“擬態(tài)+”發(fā)展主要面臨以下4類挑戰(zhàn)。

（1）非協(xié)同多模決策下存在攻擊逃逸空間

一是擬態(tài)DHR架構(gòu)可選的異構(gòu)構(gòu)件集相對(duì)確定，即架構(gòu)最大變換空間有限，擁有足夠攻擊資源的攻擊者可實(shí)現(xiàn)基于多模決策架構(gòu)的攻擊逃逸；二是基于DHR架構(gòu)的各類擬態(tài)系統(tǒng)安全邏輯相同、機(jī)制相似，APT攻擊者可長(zhǎng)期監(jiān)控其變換規(guī)律，掌握其內(nèi)部執(zhí)行體的變換空間、輪換規(guī)律，伺機(jī)突破，若單純靠增加余度強(qiáng)化防御，將損失較多網(wǎng)絡(luò)性能；三是DHR防御范圍僅限于擬態(tài)括號(hào)，通過(guò)側(cè)信道攻擊等方式實(shí)施跨物理域協(xié)同攻擊，或不造成多模輸出相異的竊密攻擊，都可繞過(guò)擬態(tài)架構(gòu)；四是擬態(tài)化部署可能引入新系統(tǒng)子層，擴(kuò)大攻擊表面，提升原架構(gòu)防御協(xié)同復(fù)雜度。

（2）異構(gòu)度增益與執(zhí)行體同步互相掣肘

一方面，為提升系統(tǒng)變換安全增益，防范基于冗余體間端口鏈路、共享空間等通道或同步機(jī)制的多模協(xié)同攻擊，要求執(zhí)行體、構(gòu)件盡量實(shí)現(xiàn)高度異構(gòu)，如MNOS等擬態(tài)架構(gòu)基于異構(gòu)度增益調(diào)度需盡量提升執(zhí)行體異構(gòu)度；另一方面，同步異構(gòu)執(zhí)行體工作狀態(tài)及輸入輸出矢量時(shí)，雖可選用較為安全的插件模式或消息隊(duì)列模式，卻因執(zhí)行體高度異構(gòu)增大了部署難度和同步時(shí)延，異構(gòu)度增益與開(kāi)銷間掣肘制約了網(wǎng)絡(luò)性能提升，又缺少成熟的量化驗(yàn)證和度量機(jī)制，難以取得可信平衡條件。

（3）安全與功能難以平衡

一是異構(gòu)設(shè)計(jì)及部署難度較大。擬態(tài)架構(gòu)引入各類安全部件，必然帶來(lái)一定軟硬件開(kāi)銷及執(zhí)行體異構(gòu)設(shè)計(jì)部署難度。如擬態(tài)原理要求功能等價(jià)執(zhí)行體間絕對(duì)異構(gòu)，即空間隔離、邏輯獨(dú)立、交集最小，難以設(shè)計(jì)實(shí)現(xiàn)，若直接使用COTS級(jí)異構(gòu)執(zhí)行體，不僅無(wú)法滿足異構(gòu)度要求，還帶來(lái)一定公開(kāi)漏洞風(fēng)險(xiǎn)，因此通常對(duì)其虛擬化改造后投入應(yīng)用，以擴(kuò)充異構(gòu)執(zhí)行體選擇范圍，將硬件成本縮減為軟件成本，但這種改造短期內(nèi)難以規(guī)?；瘜?shí)現(xiàn)、形成完整產(chǎn)業(yè)生態(tài)鏈。二是調(diào)度及表決策略漸趨復(fù)雜。為增強(qiáng)調(diào)度及表決策略可信性，研究者提出多種需軟硬件支撐的多樣化動(dòng)態(tài)化指標(biāo)和復(fù)雜算法，其開(kāi)銷及部署難度與其對(duì)網(wǎng)絡(luò)發(fā)展的支撐度、規(guī)?；渴鸬募?lì)度密切相關(guān)。

（4）現(xiàn)有內(nèi)生安全組件擬態(tài)熵有限

各類擬態(tài)架構(gòu)平臺(tái)使用的異構(gòu)執(zhí)行體，多選自代碼不可控、不可信的COTS級(jí)組件和開(kāi)源平臺(tái)，難以實(shí)現(xiàn)全軟件棧、底層硬件細(xì)粒度異構(gòu)，調(diào)度變換產(chǎn)生的擬態(tài)熵空間有限，亟須開(kāi)發(fā)按多源開(kāi)放異構(gòu)實(shí)現(xiàn)模式設(shè)計(jì)、具備原生內(nèi)生安全屬性的新型內(nèi)生安全軟硬件。

6 結(jié)束語(yǔ)

CMD發(fā)展至今，已由單純的“擬態(tài)猜想”發(fā)展為繁復(fù)的“擬態(tài)+生態(tài)”，本文從縱向、橫向、當(dāng)前、發(fā)展和未來(lái)5個(gè)角度，綜述其發(fā)展歷程、原理本質(zhì)、平臺(tái)實(shí)現(xiàn)、技術(shù)增長(zhǎng)點(diǎn)、未來(lái)挑戰(zhàn)及應(yīng)用場(chǎng)景，具體來(lái)說(shuō)，推導(dǎo)闡述了基于CMD三定理的擬態(tài)原理，基于十余類現(xiàn)有擬態(tài)平臺(tái)，分析了其系統(tǒng)架構(gòu)模式、異構(gòu)策略、調(diào)度策略和表決策略，結(jié)合AI、IoT、云、大數(shù)據(jù)、SDN等新興技術(shù)，提出了“擬態(tài)+”AICDS共生生態(tài)，展望了擬態(tài)發(fā)展面臨的4大挑戰(zhàn)和4類新型應(yīng)用場(chǎng)景?？梢?jiàn)，擬態(tài)技術(shù)雖已發(fā)展進(jìn)入“擬態(tài)+生態(tài)”，但面臨多重挑戰(zhàn)，與各類技術(shù)結(jié)合的諸多研究點(diǎn)有待突破。