0 概述

通过分析近几年发生的网络安全事件可以发现，攻击者利用软件系统存在的漏洞或后门进行网络攻击是常见的攻击方式，而传统防御机制注重系统边界防御^[1-2]。攻击者一旦通过边界防御，则被系统认为是内部用户，认定其不会对系统造成威胁。可见，传统防御机制过于信任内部用户、事和物，忽略了系统内部安全性，从而加大内部被攻击和注入的概率^[3-4]。为应对传统防御机制中的安全缺陷，邬江兴^[5]提出网络空间拟态防御，结合动态异构冗余架构^[6]、调度策略^[7-9]和裁决策略^[10-11]，通过动态调整内部环境，达到主动防御外部攻击并发现内部威胁的目标^[12-13]。在面对内部攻击/注入时，裁决策略判断执行体是否可信，若不可信则通过负反馈机制下线异常执行体进行清洗恢复。裁决策略作为复制控制方法及屏蔽故障的复本技术，在系统容忍入侵时发挥关键作用^[14-16]。

现有的裁决策略主要有自适应的一致性表决算法^[17]、自检测多数一致表决算法^[18]、基于执行体异构度的一致表决拟态裁决优化方法等^[19]，系统运行时间为异构冗余执行体中最长，且仲裁效率也较低。竞赛式多数一致表决模型^[20]对领先的输出结果执行仲裁，通过增加执行体数量提高仲裁效率，但仲裁结果的正确性无法保证，仲裁可能会出现差模逃逸现象。数据库日志记录了数据库内部执行的所有操作信息。数据库管理人员可以通过日志对数据库进行安全审计和异常检测，并从大量日志文件中分析并挖掘出所需信息^[21-23]。本文结合数据库日志挖掘和模式匹配算法^[24-25]，提出一种基于数据库二进制日志的竞赛式仲裁优化方案。当竞赛式仲裁模型输出结果不一致时，通过对异构数据库执行体二进制日志文件中的操作记录进行查找匹配，将日志匹配结果与仲裁结果进行校验，判断仲裁结果的正确性。

1 表决模型 1.1 基本原理

本文提出的竞赛式仲裁优化方案将数据库二进制日志未受到篡改作为可信根，研究仲裁结果的正确率。当异构数据库执行体输出结果不一致时，根据不同的输出结果出现频次对异构数据库执行体进行分类，从与仲裁结果一致且输出结果频次最高的分类中任取一个异构数据库执行体，从与仲裁结果不一致且输出结果频次最低的分类中任取一个异构数据库执行体，分别对这两个异构数据库执行体的二进制日志文件进行查找匹配，以匹配频次少的二进制日志文件作为匹配结果，将匹配结果与仲裁结果进行校验，依据校验结果判断仲裁结果是否正确。与竞赛式仲裁方案相比，本文方案提高了仲裁结果的正确率，能有效避免针对SQL注入攻击的差模逃逸现象。

1.2 竞赛式多数一致表决模型

竞赛式多数一致表决模型对输出速率最快的前$ m $个异构执行体输出结果进行表决，当$ m $-1个异构执行体处于同一失效空间时，竞赛式多数一致表决模型会将错误仲裁结果认为是正确结果输出。该仲裁方式难以应对差模逃逸，会增加错误结果仲裁通过概率，降低仲裁正确率。竞赛式多数一致表决模型如图 1所示。

1.3 模型优化

基于数据库二进制日志的竞赛式仲裁优化模型如图 2所示，其主要构成如下：

1）调度器。在初始状态下，调度器将输入信息转发给所有异构数据库执行体。根据收到的异常反馈信息对异常的在线执行体进行调度及下线清洗。

2）结果栈。在初始状态下，开辟一个大小为$ m(m\in [3, n\left]\mathrm{ }\right) $的栈空间，按照异构数据库执行体结果输出的先后次序，依次将输出结果保存在栈中。

3）多模裁决表决器。多模裁决表决器对保存在结果栈中的输出结果集采用多数一致表决算法进行仲裁。

4）二进制日志校验。从选取的异构数据库执行体中查找二进制日志文件进行字符串匹配，统计匹配次数，判定匹配次数少的执行体输出结果为匹配结果，将其与仲裁结果进行比较，校验仲裁结果的正确性。

1.4 表决流程

基于数据库二进制日志的竞赛式仲裁优化方案的表决流程如图 3所示，具体流程如下：

1）采用多数一致性表决算法对结果栈中保存的$ m $个异构执行体输出结果进行仲裁，若仲裁失败则输出异常，若仲裁成功则执行步骤2。

2）比较$ m $个输出结果，若输出结果相同的最大频次为$ \left[\left\lceil {\frac{m+1}{2}, m} \right\rceil \right) $，则执行步骤4，否则执行步骤3。

3）若输出结果相同的最大频次为$ \frac{m}{2} $，则执行步骤4，否则执行步骤7。

4）将输出结果相同且最大频次为$ \left[\left\lceil {\frac{m+1}{2}, m} \right\rceil \right) $的异构执行体保存在集合$ {P}_{j} $中，其余输出结果对应的异构执行体保存在集合$ {P}_{l} $中，或者从输出结果相同且最大频次为$ \frac{m}{2} $的异构执行体中选择一组异构执行体保存在$ {P}_{j} $中，其余输出结果相同的异构执行体保存在$ {P}_{l} $中。从$ {P}_{j} $和$ {P}_{l} $中任取一个执行体分别记为执行体$ A $和执行体$ B $，执行步骤5。

5）查找匹配相同时间段内（上一次日志更新时间到本次输出执行体结果的时间）$ A $和$ B $的二进制日志中增删改操作记录，统计匹配次数，判定匹配次数少的执行体输出结果为匹配结果，执行步骤6。

6）校验匹配结果与仲裁结果是否一致：若结果一致，则执行步骤7；若结果不一致，则仲裁失败，存在差模逃逸，输出匹配结果，同时输出异常警告。

7）输出仲裁结果。

2 竞赛式仲裁优化方案实现 2.1 相关定义

$ X $：$ n $个异构数据库执行体集。

$ Y：n $个异构数据库执行体输出结果集。

$ R $：输出结果最快的前$ m $个异构数据库执行体集，$ R=\{{r}_{1}, {r}_{2}, \cdots , {r}_{k}\} $。

$ F $：$ R $对应的二进制日志集，$ F=\{{f}_{1}, {f}_{2}, \cdots , {f}_{k}\} $，$ 1\le k\le m $。

$ S $：结果栈中的输出结果集，$ S=\{{s}_{1}, {s}_{2}, \cdots , {s}_{k}\} $。

$ {s}_{j} $：异构数据库执行体的输出结果，$ {s}_{j}\in S\subseteq Y $。

$ {H}_{j} $：输出结果相同的执行体集，$ {H}_{j}=\{{r}_{1}, {r}_{2}, \cdots , {r}_{j}\} $。

$ {r}_{j} $：异构数据库执行体，$ {r}_{j}\in R\subseteq X $，$ 1\le j\le k $。

$ H $：按照输出结果的不同对$ R $进行分类，$ H=\{{H}_{1}, {H}_{2}, \cdots , {H}_{k}\} $，$ {H}_{1}\bigcup {H}_{2}\bigcup \cdots \bigcup {H}_{k}=R $，$ {H}_{i}\bigcap {H}_{j}=\mathrm{\varnothing } $，$ i\ne j $，$ 1<i\le k $。

$ P $：每种分类中的执行体个数，$ P=\left\{{P}_{1}, {P}_{2}, \cdots , {P}_{k}\right\} $，$ {P}_{j}=\left|{H}_{j}\right| $，$ \sum\limits_{j=1}^{k}{P}_{j}=m $。

差模逃逸：在$ N $个异构执行体中，若$ N-1 $个执行体处于同一个失效空间，则可能出现$ N-1 $个执行体输出结果相同且都不正确的情况，此时仲裁机制会将不正确的结果认为是正确的输出，该现象在拟态防御中被称为$ N-1 $模逃逸现象或者差模逃逸现象。

2.2 多数一致表决算法及其存在的问题

多数一致表决算法的具体步骤如下：

1）对比$ S $中的$ {s}_{j} $，将输出相同$ {s}_{j} $的$ {r}_{j} $放入同一个集合$ {H}_{j} $中，此时$ {H}_{j} $中有$ {P}_{j} $个元素。

2）当$ {P}_{j}=\mathrm{m}\mathrm{a}\mathrm{x}\mathrm{ }({P}_{1}, {P}_{2}, \cdots , {P}_{k}) $时：

（1）如果$ {P}_{j}\ge \frac{m+1}{2} $，则选取满足$ \left|{H}_{j}\right|={P}_{j} $、$ {r}_{j}\in $ $ {H}_{j}\subseteq H $、$ \forall {r}_{j}\in {H}_{j} $的$ {s}_{j} $作为仲裁结果$ T $。

（2）如果$ {P}_{j}<\frac{m+1}{2} $，则选取满足$ {r}_{j}\in H $、$ \forall {r}_{j}\in H $的$ {s}_{j} $作为仲裁结果$ T $，同时输出异常警告。

在情况1中可能出现差模逃逸，造成错误结果仲裁通过概率增加。在情况2中可能会在仲裁结果为正确结果时，输出异常警告，降低了输出结果正确且裁决通过的概率。例如，当$ {P}_{j}=\frac{m}{2} $时，若$ \frac{m}{2} $个执行体输出结果相同且不正确，另外$ \frac{m}{2} $个执行体输出结果相同且正确，则仲裁结果有50%的概率为正确结果。

2.3 基于数据库二进制日志的竞赛式仲裁校验算法

基于数据库二进制日志的竞赛式仲裁校验算法的具体步骤如下：

1）多数一致表决算法对$ S $仲裁，结果记为$ T $。

2）当存在$ {P}_{j} $和$ {P}_{l} $且$ {P}_{j}=\mathrm{m}\mathrm{a}\mathrm{x}\left({P}_{1}, {P}_{2}, \cdots , {P}_{k}\right) $、$ {P}_{l}=\mathrm{m}\mathrm{i}\mathrm{n}\left({P}_{1}, {P}_{2}, \cdots , {P}_{k}\right) $时，可分为以下情况：

（1）若$ {P}_{j}\in \left[⌈\frac{m+1}{2}⌉, m\right) $，且$ {P}_{l}=\mathrm{m}\mathrm{i}\mathrm{n}(P-P\bigcap {P}_{j}) $，则从$ {H}_{j} $和$ {H}_{l} $中任取一个异构数据库执行体，分别记为$ {r}_{A} $和$ {r}_{B} $，$ ⌈\frac{m+1}{2}⌉=\left\{y\in {N}^{\mathrm{*}}\left|y\ge \frac{m+1}{2}\right.\&\&y<\frac{m+1}{2}+1\right\} $，$ 1\le l\le k-1 $，$ {r}_{A}\mathrm{、}{r}_{B}\in R $。

（2）若${P}_{j}=\frac{m}{2}$，则从$ {H}_{j} $和$ {H}_{l} $中各任取一个异构数据库执行体，分别记为$ {r}_{A} $和$ {r}_{B} $。

（3）若$ {P}_{j}\notin \left[⌈\frac{m+1}{2}⌉, m\right) $，且$ {P}_{j}\ne \frac{m}{2} $，则输出$ T $。

3）分别从$ {r}_{A} $和$ {r}_{B} $中查找二进制日志文件$ {f}_{A}\mathrm{、}{f}_{B}\in F $，在$ {f}_{A} $和$ {f}_{B} $中依据特征关键字对增删改操作日志进行匹配，匹配频次分别记为$ {q}_{A} $和$ {q}_{B} $，将$ q $对应的执行体输出结果记为匹配结果$ Q $，$ q=\mathrm{m}\mathrm{i}\mathrm{n}({q}_{A}, {q}_{B}) $。

4）对$ Q\mathrm{和}T $进行校验：若$ Q=T $，则仲裁成功，输出$ T $；若$ Q\ne T $，则仲裁失败，存在差模逃逸，输出$ Q $。

3 实验结果与分析 3.1 实验环境

假定各异构执行体之间相互独立且互不干扰，在输出结果已保存在结果栈的前提下，将CAA（输出结果正确且裁决通过）、CAF（输出结果正确但裁决未通过）、IAA（输出结果错误但裁决通过）、IAF（输出结果错误且裁决未通过）作为衡量本文方案安全性的主要指标。为简化实验模型，在实验1和实验3中取$ m $=3，以MariaDB、MySQL和Oracle作为3个异构数据库执行体。实验1和实验3中3个异构数据库信息如表 1所示。

3.2 安全性分析

本文根据$ S $的不同进行分类$ H=\{{H}_{1}, {H}_{2}, \cdots , $ $ {H}_{m}\} $，假定输出结果正确的空间为$ {H}_{1} $，结果栈中模拟产生的结果多数落在空间$ {H}_{1} $中。采用竞赛式多数一致表决方案和本文方案进行1万次仲裁，每次实验时注入一些异常数据，用来调整输出结果正确和输出结果不正确之间的比例，在注入异常时确保出现差模逃逸。实验中执行体输出正确结果的概率为84.418 8%，输出错误结果的概率为15.581 2%，即$ {H}_{1} $=84.418 8%。

实验1  采用竞赛式多数一致表决方案和本文方案分别对S进行仲裁。通过CAA、CAF、IAA和IAF这4项安全指标可以发现，相比竞赛式多数一致表决方案，本文方案的CAA和IAF的仲裁结果正确率分别提高了3.085 9和7.716 6个百分点，CAF和IAA的仲裁结果正确率分别降低了3.085 9和7.716 6个百分点，由此可见本文方案可以有效降低CAF、IAA中差模逃逸的概率，实验结果如图 4所示。

实验2  在保证每个异构执行体输出结果正确率相同的情况下，通过调整$ m $值比较CAA和IAA的仲裁结果正确率变化情况。如图 5、图 6所示，随着$ m $值的增加，竞赛式多数一致表决方案和本文方案的CAA和IAA仲裁结果正确率整体呈现上升趋势。在仲裁执行体数目一致的情况下，本文方案相比竞赛式多数一致表决方案仲裁结果正确率更高，并且安全性和可靠性更好。

3.3 效率分析

将本文方案和KMP算法^[26]查找匹配二进制日志文件$ {f}_{A}\mathrm{和}{f}_{B} $的拟态系统记为方案1，系统总执行时间记为$ {G}_{\mathrm{T}1} $；将本文方案和Sunday算法^[25]查找匹配$ {f}_{A}\mathrm{和}{f}_{B} $的拟态系统记为方案2，系统总执行时间记为$ {G}_{\mathrm{T}2} $；将竞赛式多数一致表决方案的拟态系统记为方案3，系统总执行时间记为$ {G}_{\mathrm{T}3} $。在相同条件下$ ，$方案1相比方案3降低的执行效率记为KMP-E，方案2相比方案3降低的执行效率记为Sunday-E。

实验3  在3种方案中注入异常使得执行体异常个数为0、1、2和3，且每种情况重复执行1 000次。如表 2所示，“—”表示在执行体异常个数为0和3时上述3种方案均不涉及日志文件，因此G_T1、G_T2和G_T3均与f_A和f_B大小无关。在执行体皆正常和皆异常的情况下，3种方案耗时相同。在执行体出现异常的情况下，方案1和方案2随$ {f}_{A}\mathrm{和}{f}_{B} $呈线性增加，$ {G}_{\mathrm{T}1}\mathrm{和}{G}_{\mathrm{T}2} $也呈现线性增加。

在执行体出现异常时，KMP-E和Sunday-E随二进制日志文件$ {f}_{A}\mathrm{和}{f}_{B} $呈线性增加（y_KMP=0.219 7x-0.078 7和y_Sunday=0.124 9x+0.017 1），采用Sunday算法的方案2执行效率优于采用KMP算法的方案1，因此本文方案的执行效率高低取决于选用模式匹配算法的执行效率，若模式匹配算法查找匹配$ {f}_{A}\mathrm{和}{f}_{B} $耗时越短，则本文方案耗时越短。执行效率KMP-E和Sunday-E随$ {f}_{A}\mathrm{和}{f}_{B} $的变化情况如图 7所示。

由实验结果可知，本文方案和竞赛式多数一致表决方案的仲裁结果正确率和执行效率在正常情况下均相同，而在异常情况下本文方案的仲裁结果正确率更高，通过选用更高效的模式匹配算法，减少系统总体执行时间，在保证提高系统安全性的同时使耗时在可承受范围内。

4 结束语

本文建立一种基于数据库二进制日志的竞赛式仲裁优化方案，通过将执行体的二进制日志匹配结果与多数一致表决的仲裁结果进行对比，校验仲裁结果的正确性。实验结果表明，优化方案可提高仲裁结果正确率，减少差模逃逸概率，适用于含有数据库异构执行体或者数据库异构部件的动态冗余架构，也可作为一种容错设计方案应用于冗余容错架构中，加强拟态系统安全性和可靠性。但由于优化方案无法处理$ N $个异构执行体处于同一失效空间的情况，因此下一步将对仲裁结果中出现的共同失效问题展开深入研究。