陳玉枚，扈紅超，王亞文

（戰(zhàn)略支援部隊(duì)信息工程大學(xué) 信息技術(shù)研究所，鄭州 450001）

0 引言

隨著軟件和應(yīng)用程序的廣泛應(yīng)用以及網(wǎng)絡(luò)中服務(wù)數(shù)量的幾何級增長，漏洞攻擊和動態(tài)防御呈攻防博弈之勢［1］。多變體系統(tǒng)是防止零日漏洞攻擊的有效解決方案，該系統(tǒng)由多個具有相同功能邏輯的軟件執(zhí)行體構(gòu)成，這些執(zhí)行體同時(shí)或輪流執(zhí)行相同任務(wù)，以實(shí)現(xiàn)容錯和偽裝。典型的多變體系統(tǒng)有多變體執(zhí)行環(huán)境（Multi-Variant Execution Environment，MVEE）［2-3］、N 變體系統(tǒng)［4-5］、拜占庭容錯系統(tǒng)［6-7］、基于擬態(tài)防御的多變體系統(tǒng)［8-11］和基于移動目標(biāo)防御（Moving Target Defense，MTD）［12］的多變體系統(tǒng)。

實(shí)現(xiàn)同種功能的服務(wù)類別下存有大量不同服務(wù)質(zhì)量（Quality of Service，QoS）的服務(wù)，QoS 評估是服務(wù)計(jì)算領(lǐng)域重要的研究問題之一。QoS 被描述為每個服務(wù)對應(yīng)的向量，通過計(jì)算這些向量的距離、相似度或加權(quán)計(jì)算服務(wù)屬性值可得到QoS值［13-14］。多變體系統(tǒng)的一些性能指標(biāo)造成了一定的負(fù)面影響［15-16］。多樣性指標(biāo)對安全防御能力有一定程度的增益，這些因素可以被視為多變體機(jī)制對于QoS 的影響。對多變體系統(tǒng)的QoS 進(jìn)行量化研究充滿挑戰(zhàn)性。

多變體系統(tǒng)將多個功能等價(jià)的服務(wù)冗余執(zhí)行，可以借鑒現(xiàn)有的基于QoS 的Web 服務(wù)組合（Web Service Composition，WSC）技術(shù)［17-18］的量化思路。該技術(shù)通過組合順序以創(chuàng)建出功能更加強(qiáng)大、質(zhì)量更高的服務(wù)提供給用戶［19-20］，比如服務(wù)組合算法有窮舉算法［21］、貪婪算法［22］、遺傳算法［23-24］、粒子群優(yōu)化算法［25］、蟻群優(yōu)化算法［26］和融合算法［27-28］等。這些算法的核心是基于QoS 屬性的Web 服務(wù)量化，雖然難以直接將這些算法和它們的量化評估方法直接應(yīng)用于執(zhí)行體數(shù)量有限的多變體系統(tǒng)，但可以借鑒這些算法中對QoS 的量化方法。

在多變體系統(tǒng)QoS 的度量評估中，評估方法和指標(biāo)的設(shè)計(jì)主要用于驗(yàn)證多變體機(jī)制帶來的性能損耗以及多樣性與安全性帶來的QoS 增益。文獻(xiàn)［15-16］中研究了擬態(tài)構(gòu)造的多變體Web 服務(wù)器的性能損耗，但沒有提出評價(jià)QoS 的方法。文獻(xiàn)［29］中提出了一種擬態(tài)構(gòu)造Web 服務(wù)器QoS 的量化評估方法，為擬態(tài)QoS 評估做出了開創(chuàng)性貢獻(xiàn)。該方法可以有效地量化異構(gòu)、冗余、分發(fā)和表決機(jī)制對Web 服務(wù)器QoS 造成的影響和損耗，但是沒有考慮執(zhí)行體的動態(tài)調(diào)度、多樣性與安全性等因素對系統(tǒng)QoS 的影響；同時(shí)它使用等屬性權(quán)重進(jìn)行衡量，無法突顯出各QoS 屬性的重要程度。當(dāng)前研究對 QoS 各維屬性賦權(quán)過程多使用專家系統(tǒng)或直接用戶指定［30］，這些方法存在主觀性過強(qiáng)的問題，同時(shí)無法發(fā)現(xiàn)在實(shí)際中對服務(wù)整體表現(xiàn)有重大影響的QoS 屬性維度。

因此，本文針對多變體系統(tǒng)較少涉及QoS 的量化評估問題，提出一種多變體系統(tǒng)QoS 及損耗評估方法。首先針對多變體系統(tǒng)進(jìn)行形式化建模，將該系統(tǒng)定義為各功能模塊的服務(wù)組合；然后，基于加權(quán)計(jì)算QoS 屬性的方法計(jì)算多變體系統(tǒng)的QoS 值，并基于客觀賦權(quán)法中的熵權(quán)法確定QoS 多維屬性的權(quán)值；最后通過均方根誤差（Root Mean Square Error，RMSE）和損失函數(shù)評估多變體系統(tǒng)中各功能模塊比如執(zhí)行體集、分發(fā)裁決以及切換操作帶來的QoS 損耗。本文構(gòu)建了一些典型的多變體系統(tǒng)測試實(shí)例，設(shè)計(jì)并選取了影響多變體系統(tǒng)性能和安全性的QoS 屬性，量化評估了系統(tǒng)的QoS 屬性權(quán)重、QoS 值、QoS 差異損耗。評估結(jié)果表明多變體機(jī)制存在一定的QoS 損耗，但它的安全屬性帶來了一定程度的QoS 增益。最后，本文對于如何構(gòu)造高QoS 以及低QoS 損耗的多變體系統(tǒng)提供了一些參考。

1 多變體系統(tǒng)

多變體系統(tǒng)采用多樣化、動態(tài)冗余等技術(shù)實(shí)現(xiàn)入侵預(yù)防、檢測容忍以及防御。該系統(tǒng)使用不同的軟硬件來執(zhí)行相同的功能，通過輸入分發(fā)、響應(yīng)裁決提供一致性和透明性，并采用策略調(diào)度機(jī)制動態(tài)改變系統(tǒng)攻擊面，多變體系統(tǒng)的典型構(gòu)造如圖1 所示。

圖1 多變體系統(tǒng)典型構(gòu)造Fig.1 Typical structure of multi-variant system

這些軟硬件差異即多樣化技術(shù)將減少多個組件中存在共同漏洞的可能性，攻擊者很難同時(shí)利用具有不同漏洞的組件，從而保證了系統(tǒng)安全?？梢詫⒍鄻踊夹g(shù)分為5 個不同的領(lǐng)域［31-32］：1）動態(tài)數(shù)據(jù)［33］，主要涉及數(shù)據(jù)表示或格式的改變；2）動態(tài)軟件［34］，包括改變應(yīng)用程序代碼；3）動態(tài)環(huán)境［35］，改變執(zhí)行環(huán)境；4）動態(tài)平臺［36］，修改平臺屬性；5）動態(tài)網(wǎng)絡(luò)［37］，改變網(wǎng)絡(luò)配置和屬性。針對處理器、操作系統(tǒng)、虛擬化平臺容器等應(yīng)用開發(fā)平臺環(huán)境，可以構(gòu)建功能等價(jià)但實(shí)現(xiàn)邏輯不同的執(zhí)行體，以增加攻擊者成本或攻擊難度。此外，在保證健壯性服務(wù)的同時(shí)，依靠動態(tài)改變平臺屬性（網(wǎng)絡(luò)空間硬件或軟件屬性）即動態(tài)切換執(zhí)行體以降低系統(tǒng)風(fēng)險(xiǎn)、預(yù)防攻擊。這在多變體系統(tǒng)中有大量應(yīng)用，如擬態(tài)防御中的動態(tài)異構(gòu)冗余（Dynamic Heterogeneous Redundancy，DHR）架構(gòu)［38］、拜占庭系統(tǒng)中的重新配置協(xié)議［39］、MVEE 中的檢查點(diǎn)/恢復(fù)機(jī)制［40］等?？傊鄻踊夹g(shù)和動態(tài)冗余方法在很大程度上為多變體系統(tǒng)提供了防御已知和未知威脅的潛力。

本文采用形式化語言定義多變體系統(tǒng)。

定義1執(zhí)行體。多變體系統(tǒng)中提供服務(wù)的實(shí)體稱為執(zhí)行體，記為Ei(1 ≤i≤n)，其中n為執(zhí)行體的個數(shù)。若執(zhí)行體完全相同，則Ei=Ek(1 ≤i≤k≤n)；若執(zhí)行體間存在異構(gòu)性，則Ei≠Ek(1 ≤i＜k≤n)。執(zhí)行體在不同層次上由一系列能夠?qū)崿F(xiàn)冗余、異構(gòu)和功能等效的屬性組成。

定義2執(zhí)行體屬性矩陣。執(zhí)行體與它的屬性構(gòu)成一個執(zhí)行體屬性矩陣，記為E，又稱為執(zhí)行體集：

E中存在n≥2 個冗余異構(gòu)的執(zhí)行體，每個執(zhí)行體由m≥1 類屬性組成。即每列Ei=[c1n，c2n，…，cmn]T(1 ≤i≤n)代表一個執(zhí)行體，每行Cj(1 ≤j≤m)代表組成執(zhí)行體集的某類功能相同但實(shí)現(xiàn)邏輯不同的屬性。

定義3多變體系統(tǒng)組件向量。多變體系統(tǒng)在結(jié)構(gòu)層次上由一系列功能模塊組成，記為：

S=(M1，M2，…，Mx，…，Mt)；1 ≤x≤t

記t為組成多變體系統(tǒng)功能組件Mx的個數(shù)。對于多變體系統(tǒng)結(jié)構(gòu)，可使用一些有代表性的功能模塊形成組件向量。例如，多變體系統(tǒng)主要由輸入代理/策略分發(fā)模塊、輸出代理/策略裁決模塊、執(zhí)行體集以及動態(tài)切換模塊組成。

2 QoS評估模型

本章針對多變體系統(tǒng)進(jìn)行QoS 評估模型建模，包括系統(tǒng)QoS 評估方法、QoS 屬性權(quán)重計(jì)算方式，以及多執(zhí)行體、分發(fā)裁決切換等模塊引發(fā)的QoS 損耗評估。該評估模型給出了完整的QoS 評價(jià)方案，能夠就如何構(gòu)建高QoS 的多變體系統(tǒng)提供一些指導(dǎo)意見。

2.1 評估模型

相較于單一軟件系統(tǒng)，多變體系統(tǒng)存在多執(zhí)行體并行運(yùn)行、消息請求分發(fā)、輸出響應(yīng)裁決以及執(zhí)行體動態(tài)調(diào)度等機(jī)制。對多變體系統(tǒng)進(jìn)行QoS 評估將考慮這些機(jī)制帶來的影響（損耗或增益）。本節(jié)給出關(guān)于QoS 屬性相關(guān)的一些定義，然后針對多變體系統(tǒng)進(jìn)行QoS 評估建模并給出評估流程。

定義4QoS 屬性向量。QoS 屬性向量是能夠量化一個組件服務(wù)質(zhì)量的屬性集合，記為：

其中：pxj是Mx的一個QoS 屬性，如響應(yīng)時(shí)間、吞吐量；m為它的QoS 屬性數(shù)量，表示多變體系統(tǒng)提供服務(wù)時(shí)，與它行為相關(guān)的質(zhì)量屬性集合。反映了QoS 的特點(diǎn)，即QoS 由一些非功能屬性組成。QoS 的評價(jià)指標(biāo)包括服務(wù)執(zhí)行價(jià)格、響應(yīng)時(shí)間、可用性、可靠性、信譽(yù)度等。

QoS 指標(biāo)可按照趨優(yōu)方向分為成本型和效益型，成本型包括服務(wù)價(jià)格、響應(yīng)時(shí)間等，為負(fù)向?qū)傩?，?shù)值越小則服務(wù)質(zhì)量越好；效益型包括可靠性、可用性、信譽(yù)度等，為正向?qū)傩?，?shù)值越大則服務(wù)質(zhì)量越好。

因此，在測量出某服務(wù)第j項(xiàng)的QoS 屬性測量值pxj后，要對QoS 屬性進(jìn)行歸一化處理如式（1）、（2）所示，進(jìn)而得到能夠統(tǒng)一量化的無量綱的QoS 屬性值。服務(wù)QoS 數(shù)據(jù)無量綱化指將各維QoS 屬性去掉量綱，通過數(shù)值計(jì)算消除量綱和數(shù)量級對服務(wù)QoS 的影響，將所有的屬性轉(zhuǎn)化為評價(jià)屬性。效益型的極大型正向?qū)傩允褂檬剑?）進(jìn)行無量綱化，成本型的極小型負(fù)向?qū)傩允褂檬剑?）進(jìn)行無量綱化。

定義5執(zhí)行體QoS 屬性矩陣。QoS 屬性矩陣為同一功能類別的n個服務(wù)、m個屬性評價(jià)指標(biāo)所對應(yīng)的QoS 屬性向量矩陣：

其中：qEi j(1 ≤j≤m，1 ≤i≤n)表示第j個屬性評價(jià)指標(biāo)、n個同功能服務(wù)中第i個實(shí)例所對應(yīng)的QoS；Ei特指執(zhí)行體，它是t組件之一。

定義6執(zhí)行體集QoS 屬性值。執(zhí)行體集ME的第j種QoS 屬性值定義為

同種功能的服務(wù)的QoS 屬性值的大小并不取決于這些服務(wù)的該種QoS 屬性的最大值，而取決于最小值。因此，使用定義6 計(jì)算某種服務(wù)的第j種QoS 屬性值，其中n為相同功能的服務(wù)的數(shù)量。對于執(zhí)行體集ME而言，它測量的是每個執(zhí)行體的QoS 屬性向量。

定義7QoS 屬性權(quán)重矩陣。QoS的m維質(zhì)量屬性向量所對應(yīng)的權(quán)重是一組離散隨機(jī)變量，設(shè)為矩陣QW：

其中：w(q)=[w1，w2，…，wm]為矩陣q對應(yīng)的權(quán)重向量；0 ≤為相應(yīng)QoS 屬性的權(quán)值，表示該QoS 屬性的重要程度。QoS 屬性值以及對應(yīng)權(quán)重的乘積表示為該屬性的QoS，各屬性QoS 的和表示該功能模塊的QoS。

為了評估多變體系統(tǒng)的QoS 和各功能模塊的QoS 損耗，首先，對系統(tǒng)QoS 評估進(jìn)行建模。根據(jù)多變體系統(tǒng)典型構(gòu)造以及定義3 得知，多變體系統(tǒng)由多個功能模塊組成。對組織架構(gòu)進(jìn)行拆分和組合，將多變體系統(tǒng)劃分為3 個主要功能組件：執(zhí)行體集（ME）、分發(fā)裁決組件（MB）以及動態(tài)調(diào)度模塊（MD）。這些功能組件對系統(tǒng)性能和安全有一定的影響，從而影響系統(tǒng)QoS?？梢詼y出多變體系統(tǒng)3 個主要功能組件的QoS，分別記為，根據(jù)木桶原理［29］以及定義6 的擴(kuò)展得知，多變體系統(tǒng)的QoS 取決于它們的最小值，即QS=。將多變體系統(tǒng)根據(jù)動態(tài)調(diào)度的特性分為2 種狀態(tài)：系統(tǒng)執(zhí)行體集的初始狀態(tài)即系統(tǒng)無切換狀態(tài)（MS'）；系統(tǒng)執(zhí)行體集經(jīng)動態(tài)調(diào)度后的末狀態(tài)即系統(tǒng)有切換狀態(tài)（MS）。

其次，針對系統(tǒng)功能組件的QoS 損耗評估進(jìn)行建模。多變體系統(tǒng)的QoS 損耗來源主要有：1）n個冗余執(zhí)行體同步運(yùn)行相較于單一執(zhí)行體帶來的并行開銷；2）分發(fā)裁決操作分發(fā)請求、統(tǒng)一響應(yīng)結(jié)果的等待開銷；3）動態(tài)調(diào)度執(zhí)行體存在狀態(tài)的恢復(fù)和同步開銷。異構(gòu)冗余執(zhí)行體和動態(tài)調(diào)度實(shí)現(xiàn)了安全增益，對多變體系統(tǒng)QoS 也存在相應(yīng)的增益。

本文主要使用差值法計(jì)算這些功能組件的QoS 損耗。因此，在執(zhí)行體集QoS 損耗方面，通過單個執(zhí)行體QEi與執(zhí)行體集QE進(jìn)行評估，即；在分發(fā)裁決損耗方面，在沒有動態(tài)切換操作前提下，即系統(tǒng)QoS為QS'=時(shí)，和QE進(jìn)行評估，即LossB=QS-QS'；對于動態(tài)調(diào)度損耗方面，損耗為LossD=QE-QS-LossB，此時(shí)QS考慮分發(fā)裁決模塊和動態(tài)調(diào)度模塊即且以調(diào)度后最終執(zhí)行體集為測量基準(zhǔn)。本文在2.4 節(jié)詳細(xì)介紹QoS 差異和損耗的評估方法。

最后，圖2 顯示了總體評估流程。1）對多變體系統(tǒng)進(jìn)行功能組件拆分，并選取QoS 屬性指標(biāo)；2）測量各QoS 屬性值包括執(zhí)行體Ei，帶功能組件E和MB的系統(tǒng)S'以及帶E、MB和MD的系統(tǒng)S；3）根據(jù)QoS 屬性值數(shù)據(jù)計(jì)算各屬性的權(quán)重；4）計(jì)算QoS 并評估多變體系統(tǒng)各功能組件帶來的QoS 差異和損耗；5）針對多變體機(jī)制是否造成QoS 瓶頸做出結(jié)論。

圖2 多變體系統(tǒng)QoS評估流程Fig.2 QoS evaluation flow of multi-variant system

2.2 屬性權(quán)重

同功能屬性的服務(wù)間進(jìn)行質(zhì)量評價(jià)排序需要對服務(wù)QoS 各維屬性進(jìn)行綜合考量，在此過程中如何確定各維屬性的權(quán)值成為一個重要的問題。若屬性更能凸顯出不同服務(wù)上的質(zhì)量差別，就賦予更高的權(quán)重。比如n個相同服務(wù)的服務(wù)質(zhì)量間具有更大的差異性，則賦予該維度屬性更高的權(quán)重。本文使用熵權(quán)法為具有較大區(qū)別度的QoS 屬性賦予較高的權(quán)重，正是這些差異性大的服務(wù)更能突出不同服務(wù)之間的質(zhì)量差別。

信息熵用于衡量隨機(jī)系統(tǒng)的無序程度，熵值大小與事件發(fā)生的概率有關(guān)。多變體系統(tǒng)中每個功能組件的QoS 屬性發(fā)生的概率如式（3）所示，信息熵如式（4）所示：

其中：k=ln-1t，是的最大值。通過k值進(jìn)行歸一化，使ej的范圍為［0，1］。數(shù)據(jù)差異越大，信息熵越小，即數(shù)據(jù)差異與信息熵成反比。

在服務(wù)質(zhì)量綜合決策過程中，某維屬性指標(biāo)的差異程度越大，代表它對于服務(wù)整體性能的影響也就越多，在綜合決策中所起的作用就越大，因而該指標(biāo)的權(quán)重也應(yīng)相應(yīng)增大。在某維度屬性上的值與該維度上的最優(yōu)值間的差異越小，越接近最優(yōu)值。

在計(jì)算權(quán)重時(shí)，衡量指標(biāo)數(shù)據(jù)離散程度的統(tǒng)計(jì)量應(yīng)為極大型指標(biāo)，即統(tǒng)計(jì)量越大，數(shù)據(jù)離散度越高。根據(jù)分析，該熵值為極小型指標(biāo)，因此，本文將熵值進(jìn)行極大化處理，引入信息熵冗余度如式（5）所示：

將信息熵冗余度歸一化后，即可得到指標(biāo)權(quán)重：

2.3 QoS評估

2.1 節(jié)介紹了多變體系統(tǒng)QoS 屬性的定義以及QoS 評估和損耗評估模型。本節(jié)根據(jù)該模型可以得到各功能模塊的QoS。執(zhí)行體同功能服務(wù)中第i個實(shí)例的QoS 如式（7）所示，組件Mx的QoS 如式（8）所示，系統(tǒng)S的服務(wù)質(zhì)量如式（9）所示：

2.4 QoS差異和損耗評估

在一定程度上，多變體系統(tǒng)由于本身的架構(gòu)設(shè)計(jì)將引發(fā)性能和服務(wù)質(zhì)量的損耗，如：多執(zhí)行體并行運(yùn)行將消耗系統(tǒng)資源和處理性能，分發(fā)裁決機(jī)制對數(shù)據(jù)進(jìn)行冗余加工處理，動態(tài)切換模塊存在狀態(tài)復(fù)制與恢復(fù)開銷等。本節(jié)提出多變體系統(tǒng)相較于非冗余系統(tǒng)的QoS 差異評估方法。

本文使用RMSE 對QoS 差異進(jìn)行評估。對分布p（x）和q（x）差值的平方求和后平均再開方，如式（10）所示：

在本文中由于數(shù)據(jù)歸一化，該公式的范圍是[0，1]，IRMSE越小表示P（x）和Q（x）的分布越接近；當(dāng)P（x）和Q（x）完全相同時(shí)，IRMSE=0。

執(zhí)行體集E相較于單個執(zhí)行體Ei的QoS 差異函數(shù)如式（11）所示，執(zhí)行體集的QoS 平均差異如式（12）所示：

執(zhí)行體集E相較于單個執(zhí)行體Εi的QoS 損失函數(shù)如式（13）所示，執(zhí)行體集的QoS 平均損失如式（14）所示：

其中：qEi j表示執(zhí)行體Ei的第j個QoS 屬性；QEj=，或者通過執(zhí)行體集特性計(jì)算，它表示執(zhí)行體集E組件的第j個QoS 屬性；wj表示執(zhí)行體集E組件的第j個QoS 屬性的QoS 權(quán)重。

同理，n個冗余系統(tǒng)S相較于執(zhí)行體集E的QoS 差異函數(shù)如式（15）所示，冗余系統(tǒng)S相較于E的QoS 損失函數(shù)如式（16）所示。同時(shí)它們分別表示多變體系統(tǒng)S由于分發(fā)裁決以及動態(tài)切換等功能引起的QoS 差異和損耗。

其中：S表示執(zhí)行體集為E組成的冗余系統(tǒng)；QSj分別表示n個冗余系統(tǒng)的第j種QoS 屬性值，且可以通過定義5 和定義6實(shí)測得到。最后，通過控制切換操作模塊可以分別得到由分發(fā)裁決和切換引起的QoS 差異和損耗。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 測試系統(tǒng)QoS屬性向量

3.1.1 測試系統(tǒng)構(gòu)建

本文構(gòu)建了一個典型的多變體系統(tǒng)，包括執(zhí)行體集、屬性池、請求分發(fā)、響應(yīng)裁決以及動態(tài)控制模塊，如圖3 所示。

圖3 多變體系統(tǒng)測試架構(gòu)Fig.3 Multi-variant system test structure

該系統(tǒng)基于主機(jī)的層次化結(jié)構(gòu)，在硬件層、系統(tǒng)層、虛擬化層等層次上實(shí)現(xiàn)了多變體架構(gòu)。硬件處理器為上層軟件提供運(yùn)算和控制核心；服務(wù)器操作系統(tǒng)是軟件的一部分，為容器提供完整的操作系統(tǒng)內(nèi)核；容器是一種輕量級操作系統(tǒng)層面的虛擬機(jī)，它為應(yīng)用軟件及其依賴組件提供了一個資源獨(dú)立的沙盒運(yùn)行環(huán)境。這些平臺屬性共同構(gòu)建成為一個執(zhí)行體，多個執(zhí)行體將構(gòu)成執(zhí)行體集。在系統(tǒng)接收用戶信息和返回信息給客戶端處，設(shè)置了請求分發(fā)和響應(yīng)裁決模塊，在擬態(tài)防御中該部分統(tǒng)稱為括號［41］。通過給各執(zhí)行體分發(fā)用戶請求實(shí)現(xiàn)相同功能同步執(zhí)行，通過表決算法如大數(shù)裁決、先到先裁決等返回唯一的響應(yīng)輸出。屬性池是執(zhí)行體屬性的冗余備選池，用來替換下線的屬性類型，通常具有較低的風(fēng)險(xiǎn)分?jǐn)?shù)。動態(tài)控制模塊接收并處理括號反饋的同步執(zhí)行體相關(guān)信息，如對響應(yīng)不一致的執(zhí)行體執(zhí)行修復(fù)或替換操作。

該系統(tǒng)中執(zhí)行體由處理器、操作系統(tǒng)、容器等屬性構(gòu)建，利用自然多樣性和可控多樣性作為異構(gòu)的基礎(chǔ)。理想情況下，每個執(zhí)行體應(yīng)該在相互隔離的環(huán)境中，以便實(shí)現(xiàn)以下幾點(diǎn)：1）故障隔離，如果一個執(zhí)行體的某個屬性存在故障，所造成的影響應(yīng)該僅發(fā)生在該執(zhí)行體內(nèi)部；2）性能隔離，連續(xù)的硬件活動不會干擾到執(zhí)行體的性能；3）軟件隔離，每個執(zhí)行體都運(yùn)行在自己的軟件環(huán)境中；4）切換隔離，執(zhí)行體進(jìn)行切換操作時(shí)，保存和恢復(fù)上下文不影響整體系統(tǒng)運(yùn)行。不同執(zhí)行體的同種屬性可由多樣化的屬性類型組成，這些屬性類型提供一致的邏輯功能，如執(zhí)行體的處理器可分別由Inter、AMD、ARM 構(gòu)成。同時(shí)假設(shè)執(zhí)行體的不同屬性不會互相影響，容器OS 與服務(wù)器OS 雖然使用相同的組件，但由于其邏輯功能不同，使得不同屬性間相互獨(dú)立。

根據(jù)多變體系統(tǒng)的架構(gòu)，隨機(jī)選取執(zhí)行體實(shí)例進(jìn)行QoS數(shù)據(jù)測試的實(shí)驗(yàn)。本文選取的3 種Web 服務(wù)器、6 種操作系統(tǒng)、4 種處理器分別為：IIS（S）、Nginx（N）、Apache（A）；Win 03（W03）、Win 08（W08）、Win 12（W12）、Ubuntu（U）、Debian（D）、RedHat（RH）；Intel（I）、ARM（R）、AMD（M）、LoongSon（LS），括號內(nèi)為簡體。

3.1.2 QoS屬性向量

多變體機(jī)制在一定程度上影響QoS，這是由于冗余異構(gòu)特性、分發(fā)裁決操作和動態(tài)調(diào)度引發(fā)了性能損耗，但同時(shí)也由于多樣性和動態(tài)混淆實(shí)現(xiàn)了安全增益，所以本文主要考慮性能和安全性相關(guān)的QoS 屬性指標(biāo)。表1 給出了常見信息系統(tǒng)的QoS 評估方法以及相應(yīng)的QoS 屬性指標(biāo)，不同的信息系統(tǒng)或評估方法所對應(yīng)的QoS 屬性指標(biāo)具有相似性但不完全一致。本文根據(jù)多變體測試系統(tǒng)架構(gòu)特性以及QoS 評估模型，結(jié)合Web 服務(wù)器、防火墻等網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和處理器等軟硬件性能測試，選取了能夠體現(xiàn)其服務(wù)性能和安全的QoS 屬性。

本文從表1 中選取了能夠體現(xiàn)服務(wù)性能的客觀QoS 屬性來構(gòu)成它的QoS 屬性集，包括每秒事務(wù)處理次數(shù)、最大TCP并發(fā)連接數(shù)、吞吐量和響應(yīng)時(shí)間。這些指標(biāo)都可以通過本文定義實(shí)測而得來。此外，執(zhí)行體集具有多樣性和冗余性，本文利用通用漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）［7］衡量，它是一個成本型的QoS 屬性，通過漏洞風(fēng)險(xiǎn)可以反映執(zhí)行體的安全性和多樣性。對于不同的多變體系統(tǒng)可以選取不同的QoS 屬性向量。這些屬性向量具體的定義如下。

表1 信息系統(tǒng)QoS評估方法以及QoS屬性指標(biāo)Tab.1 QoS evaluation methods and QoS attribute indicators of information system

1）每秒事務(wù)處理次數(shù)：每秒鐘系統(tǒng)能夠處理事務(wù)的數(shù)量。它是衡量系統(tǒng)處理能力的重要指標(biāo)［42］，單位為transactions/s。2）最大TCP 并發(fā)連接數(shù)：穿過網(wǎng)關(guān)的主機(jī)之間或主機(jī)與網(wǎng)關(guān)之間能同時(shí)建立的最大TCP 連接數(shù)［43］，單位為connections。3）吞吐量：網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)能力，即單位時(shí)間內(nèi)成功轉(zhuǎn)發(fā)數(shù)據(jù)的數(shù)量［44］，單位為kb/s。4）響應(yīng)時(shí)間：客戶端發(fā)出請求到得到響應(yīng)的整個過程的時(shí)間［45］，單位為ms。5）多樣性和安全漏洞風(fēng)險(xiǎn)屬性［7］：本文根據(jù)執(zhí)行體全部漏洞的CVSS 來計(jì)算單個執(zhí)行體的CVSS 屬性，如式（17）所示；根據(jù)共同漏洞的得分來計(jì)算執(zhí)行體集的綜合CVSS 屬性，如式（18）所示。式（17）表示執(zhí)行體Ei的所有漏洞CVSS分?jǐn)?shù)之和，式（18）匯總了任意一對執(zhí)行體屬性即cji，cjk∈Cj的共同漏洞的分?jǐn)?shù)。利用CVE（Common Vulnerabilities and Exposures）和CNVD（China National Vulnerability Database）網(wǎng)站提供的數(shù)據(jù)，可以統(tǒng)計(jì)執(zhí)行體漏洞數(shù)及各屬性類型間的共同漏洞數(shù)。除此之外，為簡化統(tǒng)計(jì)與計(jì)算，根據(jù)漏洞分?jǐn)?shù)的中位數(shù)（取值為5）進(jìn)行計(jì)算。

其中：V(cji，cjk)為執(zhí)行體某類屬性Cj的cji和cjk的共同漏洞。

3.2 QoS評估結(jié)果

執(zhí)行體集作為多變體系統(tǒng)的服務(wù)實(shí)體，n個異構(gòu)冗余的執(zhí)行體作為一個整體向外提供服務(wù)。針對客戶端發(fā)出的請求，代理將請求復(fù)制分發(fā)給n個異構(gòu)冗余的執(zhí)行體去相互獨(dú)立地做出響應(yīng)，并根據(jù)響應(yīng)進(jìn)行裁決輸出給客戶端。同時(shí)，為了進(jìn)一步保證多變體系統(tǒng)的安全性，將定期切換執(zhí)行體從而改變攻擊面干擾攻擊行為。執(zhí)行體集由于并行運(yùn)行以及多樣性和冗余度將會帶來一定程度的QoS 損耗，分發(fā)和裁決以及切換行為將會影響服務(wù)響應(yīng)的速度，所以根據(jù)多變體系統(tǒng)中執(zhí)行體集的配置，計(jì)算執(zhí)行體集、分發(fā)裁決以及切換操作的QoS 差異和損耗，能夠反映出異構(gòu)冗余機(jī)制對服務(wù)質(zhì)量的影響以及分發(fā)裁決和切換對系統(tǒng)服務(wù)質(zhì)量的影響。首先根據(jù)構(gòu)建的多變體系統(tǒng)，選擇了如下的同構(gòu)和異構(gòu)5 組實(shí)例進(jìn)行測試：

其中：箭頭前后表示初始執(zhí)行體集和最終執(zhí)行體集。執(zhí)行體虛擬機(jī)各版本如下：Inter CPU x5650、ARMv7、AMD、IIS 6.0、Nginx1.7.4、Apache 2.3.9、Ubuntu 16.04。分配核心線程和內(nèi)存單位均為1。各主機(jī)型號，操作系統(tǒng)版本，服務(wù)器軟件版本等配置對應(yīng)相同。本文用了5 種QoS 屬性對多變體系統(tǒng)的服務(wù)質(zhì)量進(jìn)行量化評估，多樣性屬性平衡了多變體系統(tǒng)性能和安全性的評估。分別測量了執(zhí)行體、執(zhí)行體集（ME）、系統(tǒng)無切換狀態(tài)（MS'）以及系統(tǒng)有切換狀態(tài)時(shí)（MS）的各QoS 屬性值，并量化了各組件的QoS 以及差異損耗。

3.2.1 多變體QoS 與屬性權(quán)重

圖4 顯示了根據(jù)式（8）得到的5 個測試系統(tǒng)QoS 值以及文獻(xiàn)［29］的QoS 值。由圖4 可知，對于執(zhí)行體集而言，測試系統(tǒng)S1具有同構(gòu)冗余的執(zhí)行體，它的執(zhí)行體集的QoS 達(dá)到0.786 3，而其他異構(gòu)冗余執(zhí)行體構(gòu)成的測試系統(tǒng)的服務(wù)質(zhì)量相對較低。這是因?yàn)橥瑯?gòu)執(zhí)行體具有相近的QoS 屬性值，而異構(gòu)的執(zhí)行體QoS 屬性值相差較大。定義6 說明執(zhí)行體的各項(xiàng)QoS 屬性值越相近，執(zhí)行體集的QoS 值越大。對于無切換狀態(tài)的系統(tǒng)而言，各測試系統(tǒng)的QoS 有明顯的下降。此時(shí)，在保持原執(zhí)行體集未改變多樣性和安全性的條件下，在一定程度上降低了系統(tǒng)的性能，這是由于多變體系統(tǒng)的輸入分發(fā)和裁決響應(yīng)操作引起的。對于有切換狀態(tài)的系統(tǒng)而言，S3和S5的QoS 有輕微降低，其余系統(tǒng)的QoS 有一定程度的增加。切換操作引起了執(zhí)行體的動態(tài)變換，增加了響應(yīng)時(shí)延以及并發(fā)數(shù)等性能QoS 屬性的降低，但更換為更異構(gòu)的執(zhí)行體提高了多樣性和安全性QoS 屬性值，它抵消了切換操作引起的性能損耗并從整體上提高了QoS。

圖4 多變體系統(tǒng)QoS值Fig.4 QoS values of multi-variant systems

同構(gòu)的執(zhí)行體的相同QoS 屬性的測量值可能存在差異，因此，同構(gòu)的執(zhí)行體的服務(wù)質(zhì)量也可能存在差異；異構(gòu)執(zhí)行體的QoS 屬性性能明顯不同，且異構(gòu)執(zhí)行體組成的多變體系統(tǒng)服務(wù)質(zhì)量存在顯著差異。文獻(xiàn)［29］的QoS 測試值與本文趨勢一致，但它使用等概率的屬性權(quán)值進(jìn)行衡量，在QoS 值評估層面比本文測試值偏高。此外，它僅考慮了影響QoS 的一些性能因素，沒有考慮系統(tǒng)的多樣性和安全性QoS 屬性，所以在冗余執(zhí)行體集基礎(chǔ)上引入的其他功能都會顯著降低系統(tǒng)QoS 值。而本文引入了多樣性和安全性QoS 屬性，QoS甚至?xí)哂谒膱?zhí)行體的服務(wù)質(zhì)量，如S1、S2和S4。由QoS平均值可以看出，多樣性和安全性屬性對于整體的QoS 值有一定程度的提高。

圖5 根據(jù)2.2 節(jié)計(jì)算了各QoS 屬性值的權(quán)值，權(quán)值較高的代表QoS 屬性值變化區(qū)間更大，其重要程度也就越大。其中，并發(fā)數(shù)和響應(yīng)時(shí)間兩個QoS 屬性的權(quán)值在5 組測試實(shí)例中幾乎處于峰值狀態(tài)，說明并發(fā)數(shù)和響應(yīng)時(shí)間是影響多變體系統(tǒng)性能的重要因素，分發(fā)裁決以及切換機(jī)制的使用有一定的性能代價(jià)。事務(wù)處理速率和CVSS 屬性的權(quán)值也較高，事務(wù)處理速率體現(xiàn)在本身系統(tǒng)的性能以及切換操作帶來的負(fù)面影響，CVSS 值體現(xiàn)了系統(tǒng)的多樣性和安全性，隨著使用的冗余執(zhí)行體變化而變化。文獻(xiàn)［29］中使用了前4 個QoS 屬性等額的權(quán)值表現(xiàn)方式，無法表現(xiàn)出各QoS 屬性對于系統(tǒng)QoS 的重要程度。

圖5 多變體系統(tǒng)各QoS屬性權(quán)值Fig.5 Weights of QoS attributes in multi-variant systems

3.2.2 QoS差異和損耗

對執(zhí)行體集而言，理想狀態(tài)下，當(dāng)所有執(zhí)行體的各項(xiàng)QoS 屬性值相同時(shí)，執(zhí)行體集服務(wù)質(zhì)量最大，損耗為0。然而實(shí)際應(yīng)用中不存在理想狀態(tài)，即使相同的處理器、虛擬或物理主機(jī)、相同的服務(wù)應(yīng)用，各項(xiàng)QoS 屬性的測量值也不會相同，因此各項(xiàng)QoS 屬性值也不會相同，選擇同構(gòu)的執(zhí)行體組成的執(zhí)行體集，QoS 也存在損耗。執(zhí)行體集的平均差異和損耗評估如圖6 所示，平均差異和損耗趨勢一致，說明執(zhí)行體集與單個執(zhí)行體間QoS 數(shù)據(jù)差異越大，執(zhí)行體集的QoS 損耗越大。同構(gòu)情況下，如S1測試實(shí)例，執(zhí)行體集與各執(zhí)行體的QoS 屬性值平均差異為0.040 3，平均損耗為0.122 8；而異構(gòu)情況下S2平均差異0.143 3，平均損耗為0.312 2。其他異構(gòu)測試集的損耗和差異也相應(yīng)比同構(gòu)的更大，異構(gòu)冗余機(jī)制會對多變體系統(tǒng)的服務(wù)質(zhì)量造成損耗：執(zhí)行體集的平均損耗為26.63 個百分點(diǎn)，性能屬性平均損耗6.66 個百分點(diǎn)。文獻(xiàn)［29］中的執(zhí)行體集平均損耗由最低0.030 7 增加到最高0.249 8。由此可知，異構(gòu)冗余的執(zhí)行體將會帶來一定的QoS損失。若選取各項(xiàng)QoS 屬性值相近的異構(gòu)冗余執(zhí)行體，且執(zhí)行體的各項(xiàng)QoS 屬性值越相近，執(zhí)行體集服務(wù)的質(zhì)量就越高，損耗就越低。

圖6 執(zhí)行體集的QoS平均差異和損耗Fig.6 Average QoS difference and loss in executor set

根據(jù)式（5），如果分發(fā)裁決和切換操作的QoS 值小于執(zhí)行體集的QoS，即則系統(tǒng)的QoS為；若文獻(xiàn)［29］通過該理論判定這些功能模塊是否對系統(tǒng)造成了QoS 瓶頸。通常情況下，分發(fā)裁決和切換操作都會有一定程度的性能損耗，即在不考慮多樣性安全性等非性能QoS 屬性時(shí)，通常都滿足本文通過它們的損耗值來判定它們是否對系統(tǒng)QoS 造成了瓶頸：若QoS 損耗值不小于執(zhí)行體集的QoS 損耗，即，分發(fā)表決和切換模塊成為了多變體系統(tǒng)服務(wù)質(zhì)量的瓶頸；反之，分發(fā)表決和切換模塊沒有成為多變體系統(tǒng)服務(wù)質(zhì)量的瓶頸。

圖7 顯示了分發(fā)裁決引起的QoS 差異和損耗。由于系統(tǒng)引入了請求分發(fā)、裁決響應(yīng)，QoS 損耗更加明顯。分發(fā)裁決模塊的并發(fā)數(shù)和響應(yīng)時(shí)間屬性降低趨勢明顯，根據(jù)式（5）定義，系統(tǒng)S1的QoS 受相關(guān)模塊的影響較大。系統(tǒng)S與執(zhí)行體集E的差異至少達(dá)到0.189 0，損耗至少達(dá)到0.559 3，平均損耗為36.79 個百分點(diǎn)，性能屬性平均損耗9.20 個百分點(diǎn)。這是因?yàn)樵撏瑯?gòu)的執(zhí)行體的QoS 屬性值遠(yuǎn)優(yōu)于分發(fā)裁決的屬性值。其他異構(gòu)情況下，分發(fā)裁決的損耗相對較小，分發(fā)和表決模塊沒有成為多變體系統(tǒng)服務(wù)質(zhì)量的瓶頸。

圖7 分發(fā)裁決的QoS差異和損耗Fig.7 QoS difference and loss of distribution and decision module

圖8 顯示了切換操作引起的QoS 差異和損耗，圖9 顯示了多變體系統(tǒng)各模塊QoS 損耗對比。由圖8 可知，切換操作雖然引起了執(zhí)行體的切換操作，并沒有引入額外的QoS 損耗，因?yàn)橐氘悩?gòu)的執(zhí)行體提高了多樣性和安全性，在安全層面，它抵消了切換操作引起的其他損耗，并從整體上提高了QoS。文獻(xiàn)［29］中未量化CVSS，切換操作在性能QoS 屬性層面有一定損耗，這與本文表現(xiàn)的結(jié)果一致。另一方面，在異構(gòu)情況下，由于異構(gòu)執(zhí)行體的QoS 屬性相差較大，切換操作引起的最大差異為0.076，最大損耗為0.006 4。最大差異對應(yīng)的損耗值-0.230 4 代表切換操作沒有引起整體的QoS損耗，反而帶來了QoS 的增益，由圖9 可得，性能屬性平均損耗15.86 個百分點(diǎn)，安全屬性增益4.98 個百分點(diǎn)。由此可知，多變體系統(tǒng)中若，由分發(fā)裁決和切換操作引起的QoS 損耗具有放大效果，即一點(diǎn)微小的性能差異都會對系統(tǒng)產(chǎn)生影響，從圖9 來看，僅有S1的分發(fā)裁決操作造成了系統(tǒng)QoS 瓶頸，這是因?yàn)榉职l(fā)裁決模塊的QoS 屬性值遠(yuǎn)低于執(zhí)行體集；而時(shí)，冗余的執(zhí)行體本身對系統(tǒng)QoS 影響相較于其他因素較大，從而說明多樣化是影響QoS的主要原因，此時(shí)分發(fā)和表決以及切換模塊沒有成為多變體系統(tǒng)服務(wù)質(zhì)量的瓶頸。分發(fā)、表決和切換機(jī)制會影響多變體系統(tǒng)的服務(wù)質(zhì)量，在設(shè)計(jì)分發(fā)、表決和切換模塊時(shí)，應(yīng)提升這些模塊的性能，盡量使之不成為多變體系統(tǒng)服務(wù)質(zhì)量的瓶頸。它們性能越高，則系統(tǒng)服務(wù)質(zhì)量的損耗值越低。

圖8 切換操作的QoS差異和損耗Fig.8 QoS difference and loss of switching operation

圖9 多變體系統(tǒng)各功能模塊的QoS損耗Fig.9 QoS loss of functional modules in multi-variant system

4 局限性與未來工作

本文著重研究多變體系統(tǒng)的QoS 評估，以及異構(gòu)、冗余、分發(fā)裁決以及切換操作等機(jī)制帶來的QoS 差異和損耗。此外，通過性能和安全相關(guān)的QoS 屬性分析，以及QoS 屬性重要程度評估，對于如何構(gòu)造多變體系統(tǒng)以達(dá)到最低QoS 損耗，本文給出了建設(shè)性的意見。在實(shí)際應(yīng)用中，這部分工作當(dāng)然取決于特定的方案和測量目標(biāo)。例如，多變體系統(tǒng)各功能模塊組成方案，以及其他常見的QoS 測量屬性（可用性、可靠性、可維護(hù)性、成本、用戶體驗(yàn)、信譽(yù)度等）。除此之外，本文使用特定的實(shí)例進(jìn)行實(shí)驗(yàn)驗(yàn)證，具有實(shí)際操作性但是數(shù)據(jù)量不具有代表性尤其是動態(tài)調(diào)度層面（切換次數(shù)較少）。在接下來的工作中，本文將對應(yīng)用多樣性的系統(tǒng)進(jìn)行更詳細(xì)的研究。例如，改進(jìn)和完善動態(tài)調(diào)度策略，使用大量的測試實(shí)例來分析討論多變體機(jī)制對其服務(wù)質(zhì)量的影響。

本文提出的多變體系統(tǒng)服務(wù)質(zhì)量及損耗評估方法可以有效地對比執(zhí)行體集、分發(fā)裁決以及動態(tài)調(diào)度帶來的QoS 差異和損耗，并對系統(tǒng)性能和安全的平衡部署給出參考。但是目前不涉及多變體系統(tǒng)異構(gòu)執(zhí)行體QoS 的排序匹配問題，比如在最優(yōu)解集中選擇一組綜合服務(wù)質(zhì)量最高的異構(gòu)執(zhí)行體來提供服務(wù)［48］。除此之外，在QoS 屬性權(quán)重方面，熵權(quán)法客觀性強(qiáng)、易于理解，但它沒有考慮用戶的主觀需求，確定的權(quán)重可能會缺少個性化［30］。在接下來的研究中，將綜合考慮上述局限性，改進(jìn)度量方法以應(yīng)用于實(shí)際工程并在實(shí)際應(yīng)用中驗(yàn)證該方法。

除了局限性外，還有一些結(jié)論可供實(shí)際部署多變體系統(tǒng)時(shí)參考。首先，多變體機(jī)制在增加安全性的同時(shí)，一定程度上會造成性能的損耗，尤其是異構(gòu)冗余執(zhí)行體的并行運(yùn)行；其次，在滿足安全性的同時(shí)，選取QoS 屬性值相近的執(zhí)行體，將有助于減少多變體系統(tǒng)的QoS 損耗；最后，盡量提高分發(fā)裁決以及切換調(diào)度相關(guān)模塊的性能，使其損耗低于執(zhí)行體集的損耗，而切換操作有可能增加安全增益，能進(jìn)一步減少Q(mào)oS 損耗。

5 結(jié)語

針對難以量化多變體機(jī)制造成的服務(wù)質(zhì)量影響問題，本文提出了多變體系統(tǒng)服務(wù)質(zhì)量及QoS 損耗評估方法?；诙嘧凅w系統(tǒng)功能模塊組合技術(shù)，將執(zhí)行體集、分發(fā)裁決機(jī)制以及動態(tài)切換策略納入評估范圍，量化了這些模塊造成的QoS 損耗；除此之外，使用熵權(quán)法確定了影響系統(tǒng)性能和安全性的QoS 屬性權(quán)重，權(quán)重越大表示它影響系統(tǒng)QoS 的程度越高。通過對系統(tǒng)定量分析可以得出結(jié)論，該方法可以有效地量化異構(gòu)、冗余、分發(fā)表決機(jī)制和動態(tài)策略對多變體系統(tǒng)服務(wù)質(zhì)量造成的影響和損耗；同時(shí)表明多變體機(jī)制存在服務(wù)質(zhì)量損耗，但其安全屬性帶來了一定程度的服務(wù)質(zhì)量增益，所以，在產(chǎn)生安全增益方面如何利用多樣性技術(shù)和動態(tài)調(diào)度策略非常重要。最后，根據(jù)結(jié)論和分析，給出了構(gòu)建高服務(wù)質(zhì)量以及低QoS 損耗的多變體系統(tǒng)的建議，并討論了所提度量方法和仿真實(shí)驗(yàn)的局限性。