0 概述

2010年“震网”病毒的攻击对伊朗核电站造成重大破坏，导致放射性物质泄漏，严重威胁了社会公共安全。这一事件标志着网络攻击对象已从传统的计算机网络拓展到工业控制系统。2013年斯诺登披露的“棱镜门”等项目，也证实了利用信息系统的漏洞后门能够进行相应的窃听和监控，触动国家安全和个人隐私的红线。

针对网络空间安全易守难攻的局面，有学者提出移动目标防御^[1]的方法，其采用主机突变^[2]、有效地址突变^[3]、IP地址随机化^[4]、端口随机化^[5]和加密随机化^[6]等技术，并且成功应用于软件定义网络^[7-9]中。借鉴移动目标防御思路，邬江兴等人进一步提出了拟态防御的思想^[10-12]，并将其应用于网络操作系统^[13]、路由器^[14]和工业控制设备^[15]等。攻击者利用漏洞通常依赖相似、确定和静态的执行环境，而拟态技术采用动态异构冗余的思路打破系统的相似性、确定性和静态性，使得后门和漏洞难以被利用^[16]。拟态技术通过异构冗余执行体执行相同任务，并对执行结果进行比较，以此来确保结果的正确性，其依据的原理就是异构执行体不会或者较少产生共模错误。事实上，随着开源和敏捷开发等技术的发展，不同的异构执行体难免存在相似性。以应用软件为例，开源社区如github上有许多优质的软件，经过许多用户的实用和测试，代码比较稳定可靠。为节省时间和降低成本，越来越多的开发者倾向于采用开源代码进行系统开发，这就造成了不同系统应用之间存在相似性。硬件也是如此，如在设计CPU的过程中也采用了大量的公用IP，使得不同的硬件之间可能存在相似性。

现有对异构性和拟态调度之间关系的研究，基本都是采用二阶相似性进行评估。文献[17]采用二阶相似度累加即$ \sum\limits_{i}\sum\limits_{j}\mathrm{d}\mathrm{i}{\mathrm{f}}_{ij} $（i、j为异构冗余系统中的执行体且i≠j，$ \mathrm{d}\mathrm{i}{\mathrm{f}}_{ij} $代表执行体i和j之间的异构度）的方法评判系统的异构性。文献[18]提出了2种相异性组件选择算法，分别是最长相异性（Maximum Dissimilarity，MD）距离算法和最佳平均相异性（Optimal Mean Dissimilarity，OMD）距离算法。文献[19]提出了基于随机种子的调度方法，利用木桶原理确保被调度执行体的异构度不超过某一个值。文献[20]参考多样性指标，结合物种之间的差异二次熵给出一种新的异构性评价标准，并得出异构性不随执行体数目增加而减小的结论。

现有拟态防御系统的判决策略大多只引入异构性指标并以此建立调度模型^[21]，在调度策略中仅能保证执行体的异构性而缺乏对异构性和安全性之间的量化分析，并且没有考虑高阶共生漏洞给安全性带来的影响。本文分析影响系统异构性的关键因素，定义高阶异构度的概念，指出高阶异构性在多执行体中起到重要作用，并通过对攻击模型的分析，依据容斥原理给出系统失效率计算方法，从而实现对拟态系统防御能力的准确分析。

1 拟态防御系统执行体的高阶相似性

典型的拟态防御架构如图 1所示，其中，外界输入通过输入代理分发给异构执行体，异构执行体执行相同的任务并将结果发送给调度器，调度器采用大数判决策略对执行结果进行判决，最终产生一个认为是正确的输出结果，调度器可以根据各执行体的表现进行相应的反馈控制，如某个执行体产生错误则对其进行清洗，待清洗完成后再将其加入工作队列。在此过程中，判决相关参数和系统运行状态信息可通过反馈控制器进行控制和查看。

虽然构建拟态系统的最佳方法是采用完全异构的异构执行体，但是随着开源技术的发展，越来越多的软硬件采用敏捷开发技术进行系统集成，通过复用成熟的构件，可以有效地降低开发成本，提升系统的可靠性。然而，代码复用技术的发展也对异构执行体的选择造成了困扰。对拟态防御系统而言，不同的执行体使用同样的构件，有可能带来同源漏洞。通过源码分析、溯源（即软件基因解析）等技术可以分析不同执行体组件之间的相关性，并以此预估相同漏洞出现的概率。一般而言，复用的共同代码越多，相似性越大，出现的共同漏洞就越多。

假定执行体由一系列组件构成，如CPU、操作系统、中间件、应用程序等，每个组件又由若干个构件组成，如应用程序可分为多个模块，构件是执行体组成的最小单元，具有原子性（不可分割性），并且实现方式各不相同。而在实现过程中，不可避免地会出现不同执行体中的组件采用相同构件的情况，这种情况下执行体之间就存在相似性。由于现实情况中各个组件之间需要整合，因此在执行体组成时需要考虑组件的成熟度、整体运行效率等因素。此外，组件之间的组合是受限的，如某种应用程序只适配特定类型的中间件，此时执行体的组合受限，难免存在相似性。文献[17-19]以矩阵来表示构件之间的相似性。在高阶相似度中采用矩阵进行存储虽然容易查找，但存储密度太小，如有N个构件的系统，其N阶相似性指标只有1个，但是按照矩阵方式存储，则其矩阵大小为N×N。本文以向量的方式进行相似性表示，n阶相似向量$ {\boldsymbol{\rho }}^{n} $={$ {\rho }_{1}^{n} $，$ {\rho }_{2}^{n} $，…，$ {\rho }_{{C}_{N}^{n}}^{n} $}所对应的组合为：

$C= \left(\begin{array}{cccc}{Z}_{1}& {Z}_{2}& \cdots & {Z}_{n-1}\\ {Z}_{1}& {Z}_{2}& \cdots & {Z}_{n-1}\\ ⋮& ⋮& & ⋮\\ {Z}_{N-n+1}& {Z}_{N-n+2}& \cdots & {Z}_{N-1}\end{array}\mathrm{ }\mathrm{ }\mathrm{ }\begin{array}{c}{Z}_{n}\\ {Z}_{n+1}\\ ⋮\\ {Z}_{N}\end{array}\right) $

其中，$ {\rho }_{1}^{n} $代表C中第1行组合的相似性，如$ {\rho }_{1}^{2} $代表执行体Z₁和执行体Z₂的相似性，$ {\rho }_{1}^{3} $表示执行体Z₁、执行体Z₂和执行体Z₃的共有相似性，$ {\rho }_{i}^{n} $代表C中第i行组合的相似性。

不同阶的相似性不存在必然的联系，可以根据基因分析和代码统计等技术进行代码复用率估计，进而计算相似性，但其中存在着严格的不等式关系，即高阶相似性小于其低阶子集的相似性，如组件集合{A，B，C}的三阶相似性必然小于{A，B}、{A，C}或者{B，C}的相似性，因此，可以得到高阶相似性的以下性质及推论：

性质1  高阶相似性小于其低阶子集的相似性，如$ {\rho }_{1}^{3} $ < $ {\rho }_{1}^{2} $。

推论1  如果高阶相似性不为0，则低阶相似性必不为0；如果低阶相似性为0，则高阶相似性必为0。

2 基于高阶异构度的大数判决算法

本文提出基于高阶异构度的大数判决算法（MVAHH），其判决策略如下：

1）将输出结果一致的执行体划分为一个组G_k，所有的k组成集合K。

2）如果存在G_i，对于所有$ j\in K, j\ne i $，都有|G_i| > |G_j|，则选择G_i的结果作为最终结果。

3）选取集合中元素数目最多的集合组$ {G}_{{m}_{p}} $，评估|$ {G}_{{m}_{p}} $|相似性，选取集合组中相似性最低的作为最终输出结果。

4）对产生错误的执行体进行清洗恢复。

如果采用大数判决，使得系统中大多数执行体相似性为0，没有共同漏洞/后门，则系统被攻破的概率为0。假定采用大数判决的拟态系统中有N个执行体，其$ ⌊\frac{N+1}{2}⌋ $阶相似性均为0，则系统安全性为1。如三模冗余系统二阶相似性为0，如果五模冗余系统三阶相似性为0，则系统安全性为1。

据统计，平均1 000行~1 500行代码程序员就会留下一个漏洞，可见信息系统有巨大的安全隐患。假设网络攻击针对不同漏洞/后门的攻击会产生不同的输出表现，只有针对高阶漏洞/后门的攻击才会产生共用的输出表现，则当N模执行体$ ⌊\frac{N+1}{2}⌋ $阶相似性为0时，就不会有$ ⌊\frac{N+1}{2}⌋ $个以上执行体产生同样的错误结果，根据大数判决策略，一定会判决出正确的结果，所以，系统的安全性为1。

在选取执行体数目时，N通常取单数，如果N为偶数，则其要求和（N-1）模执行体相同，但是多了一个执行体。假如拟态系统中存在4个冗余执行体，不存在三阶相似性，但存在二阶相似性，当发生针对二阶漏洞的攻击时，如针对执行体1和执行体2的共同漏洞，执行体1和执行体2的输出结果一致，执行体3和执行体4的输出结果一致，投票比例2∶2，则无法通过大数判决判断出哪个才是可信结果。

本文以5个执行体的拟态架构为例，采用上文提出的MVAHH算法。输入代理将输入分为5份发给5个执行体，5个执行体同时进行数据处理，并将处理结果输出到仲裁器进行结果表决，当系统中所有执行体结果均不相同时，按照平均1 000行~1 500行代码程序员就会留下一个漏洞的规律，优先信任代码量较小的执行体，系统整体执行流程如下所示：

以S1~S4表示五执行体拟态系统分别在5个、4个、3个、2个执行体有效情况下的仲裁算法，以及根据仲裁结果的跳转情况。

1）初始时默认3个执行体工作，N=5，清洗集合C为空。若存在5个执行体输出结果一致，跳转至S1；若存在4个执行体输出结果一致，将1个结果不同的执行体加入到清洗集合C，跳转至S2；若存在3个执行体输出结果一致，将2个结果不同的执行体加入到清洗集合C，跳转至S3；若存在2个执行体输出结果一致，且存在2个以上的二元素集合G_i、G_j比较，则选取异构度小的作为最终结果进行输出，将3个结果不同的执行体K加入到清洗集合C，跳转至S2；若所有执行体输出结果一致，选取代码量较小的执行体作为最终结果进行输出，将4个结果不同的执行体K加入到清洗集合C，跳转至S5。

2）配置执行体集合C中的执行体进行清洗，若某个执行体清洗完成，跳转至S1；若存在4个执行体输出结果一致，跳转至S2；若存在3个执行体输出结果一致，将1个结果不同的执行体加入到清洗集合C，跳转至S3；若存在2个执行体输出结果一致，且存在2个以上的二元素集合G_i、G_j比较，则选取异构度小的作为最终结果进行输出，将2个结果不同的执行体加入到清洗集合C，跳转至S4；若所有执行体输出结果一致，选取代码量较小的执行体作为最终结果进行输出，将3个结果不同的执行体加入到清洗集合C，跳转至S5。

3）配置执行体集合C中的执行体进行清洗，若某个执行体清洗完成，跳转至S2；若存在3个执行体输出结果一致，跳转至S3；若存在2个执行体输出结果一致，将1个结果不同的执行体加入到清洗集合C，跳转至S4；若所有执行体输出结果一致，选取代码量较小的执行体作为最终结果进行输出，将2个结果不同的执行体加入到清洗集合C，跳转至S5。

4）配置执行体集合C中的执行体进行清洗，若某个执行体清洗完成，跳转至S3；若存在2个执行体输出结果一致，跳转至S4；若所有执行体输出结果一致，选取代码量较小的执行体作为最终结果进行输出，将1个结果不同的执行体加入到清洗集合C，跳转至S5。

5）配置执行体M进行清洗，若某个执行体清洗完成，则跳转至S4。输出执行体输出结果。

3 系统失效率计算

采用大数判决算法的拟态系统被攻破的概率等于虽然产生错误但是未被判决出来的错误概率之和，也等于高阶相似构件所产生的概率之和。为简要说明问题而不失一般性，假定所有执行体实现的代码量和产生漏洞的概率基本相同，均为1。根据执行体的n阶相似性，结合容斥原理公式，可以计算得到采用大数判决策略时拟态系统被攻破的概率。

一般情况下的容斥原理公式如下所示：

$ \begin{array}{l}\left|\underset{i=1}{\overset{n}{\cup }}{A}_{i}\right|\mathrm{ }=\sum\limits_{i=1}^{n}\left|{A}_{i}\right|\mathrm{ }-\sum\limits_{i, j:1\le i<j\le n}\left|{A}_{i}\bigcap {A}_{j}\right|\mathrm{ }+\\ \sum\limits_{i, j, k:1\le i<j<k\le n}\left|{A}_{i}\bigcap {A}_{j}\bigcap {A}_{k}\right|\mathrm{ }-\cdots +\mathrm{ }{(-1)}^{n-1}\left|{A}_{1}\bigcap {A}_{2}\bigcap \cdots \bigcap {A}_{k}\right|\end{array} $

(1)

以五模执行体为例，根据高阶相似性矩阵推出系统失效概率。其中，一阶以上错误概率可以参照式（1）求出，二阶漏洞后门可以根据递归原理看作$ {\mathrm{C}}_{5}^{2} $个元素$ {A}_{1}\bigcap {A}_{2} $、$ {A}_{1}\bigcap {A}_{3} $、$ {A}_{1}\bigcap {A}_{4} $、$ {A}_{1}\bigcap {A}_{5} $、$ {A}_{2}\bigcap {A}_{3} $、$ {A}_{2}\bigcap {A}_{4} $、$ {A}_{2}\bigcap {A}_{5} $、$ {A}_{3}\bigcap {A}_{4} $、$ {A}_{3}\bigcap {A}_{5} $、$ {A}_{4}\bigcap {A}_{5} $，并利用式（1）求解，得到漏洞后门数$ \sum\limits_{i}{\rho }_{i}^{3}-3\sum\limits_{i}{\rho }_{i}^{4}+6{\rho }_{1}^{5} $。同理可以得到五模执行体各阶漏洞数和判决结果，如表 1所示。其中，3个以上结果错误会导致系统产生错误结果，按照大数判决算法，会对系统整体产生影响，则判决出现错误的总概率为：

$P=\frac{\sum\limits_{i} \rho_{i}^{3}-3 \sum\limits_{i} \rho_{i}^{4}+6 \rho_{1}^{5}}{5-\sum\limits_{j} \rho_{j}^{2}+\sum\limits_{k} \rho_{k}^{3}-\sum\limits_{l} \rho_{l}^{4}+\rho_{1}^{5}} $

4 实验验证

实验对MVAHH判决算法和基于二阶异构度的最大异构度算法进行比较，实验程序通过MATLAB编写，执行体之间的相似度随机生成。利用蒙特卡洛方法进行模拟测试，观察拟态系统的失效概率。为简化结果并不失一般性，本文采用相对错误率来衡量系统的失效概率，即系统多阶漏洞占执行体内总漏洞的比重，这个比重可能偏高，因为通常发现漏洞都较为困难，真实的攻击成功概率需要再乘以一定的系数（漏洞发现率），但不影响分析高阶漏洞在整体系统中的作用。

假定执行体数目为3，二阶相似度为50%、25%、10%、5%情况下的系统失效率如图 2~图 5所示（彩色效果见《计算机工程》官网HTML版），其中，MVAHH判决算法结果用蓝色表示，基于二阶异构性的最大异构度算法用红色表示。可以看出，随着相似性的增大，最大差异度算法和本文算法的差距逐渐增大，这是因为当相似性较大时，更容易出现三阶相似性不为0的情况，此时采用基于二阶异构度的最大异构度算法，就会造成三阶异构度的重复计算，造成结果产生较大的失真。由此可知，当相似性增加时，需要更多地考虑高阶相似性，否则会造成较大失真。

假定执行体数目为5，二阶相似度为50%、25%、10%、5%情况下的系统失效率如图 6~图 9所示（彩色效果见《计算机工程》官网HTML版），其中，MVAHH判决算法结果用蓝色表示，基于二阶异构性的最大异构度算法用红色表示。可以看出，与三阶情况类似，随着相似性的增大，最大差异度算法和本文算法的差距逐渐增大，这是因为当相似性较大时，更容易出现三阶以上相似性不为0的情况，此时采用基于2阶异构度的最大异构度算法会造成结果产生较大的失真。比起相同相似性的三执行体系统，可以看出其系统被攻破的概率明显减小，当二阶相似度为5%时，有多种选择可以使系统被攻破概率为0。

5 结束语

本文基于拟态防御架构，结合执行体的异构特点分析拟态防御系统中裁决器的判决算法，总结现有基于二阶异构度的调度算法存在的不足，提出一种基于高阶异构度的大数判决算法用于评估拟态系统性能。实验结果表明，该算法能够准确分析系统的安全性和可靠性。本文对于攻击模型的分析和假设还不够完善，后续将进一步分析网络攻击模型及其对判决结果的影响，提出更具通用性的判决调度算法。