面向擬態防御系統的競賽式仲裁模型

林森杰,,

(國家數字交換系統工程技術研究中心,鄭州 450001)

0 概述

當前,網絡攻擊手段不斷更新,網絡攻擊發展呈現出自動化、高速度、隱蔽性、跨系統兼容性、高進化能力等主要趨勢。而計算機系統的主要安全隱患,是由于軟件設計和硬件加工不可能做到完全自主可控而產生的設計缺陷和未知的漏洞后門。在這樣的背景下,擬態防御技術應運而生[1]。擬態防御的基本思想是構建一個動態異構冗余的系統架構,通過功能等價體的動態切換,構建動態性、非確定性、異構性、非持續性的擬態環境,達成破壞攻擊鏈的目的[2]。在擬態防御的動態異構冗余架構中,動態性是系統安全的保障,而異構冗余則是動態性的基礎。

在通用擬態防御架構中,擬態調度器動態選擇若干個功能等價的異構冗余體執行相應任務,并對各執行體的輸出進行仲裁。面向異構冗余系統的仲裁策略,以多數一致性判決最有代表性。

對于各種具體的任務,各冗余體的執行周期基本不同,而仲裁器進行仲裁的時機實際上是在所有執行體都輸出結果之后,也就是最長的執行周期?？梢岳斫鉃橄到y的效率是幾個冗余系統中最差的那一個,加上調度機制,總體效率甚至還要更低。

本文針對擬態調度器仲裁,在多數一致性表決機制的基礎上,提出一種競賽式的仲裁模型,通過增加異構冗余體執行系統任務,選擇領先的輸出結果進行一致性表決仲裁,在不降低系統可靠性的前提下提高仲裁效率,進而彌補擬態系統的性能損失。

1 擬態防御系統框架

網絡已經成為人們不可或缺的工具,其重要性不言而喻,網絡空間安全的地位也愈發凸顯,而由系統漏洞和后門造成的網絡攻擊事件不斷影響人們正常的工作生活,甚至對國計民生和國家安全都產生了極大威脅。事實上,對于計算機系統,任何一個國家都不可能實現軟件設計和硬件加工完全的自主可控,傳統的網絡防護方式不能抵御新的網絡威脅。雖然網絡防御技術不斷發展,但都是基于傳統的系統結構,沒有解決根本問題。

在這樣的背景下,文獻[1]提出了擬態防御的思想,通過構建動態異構冗余的系統架構,引入基本信息的動態性和不可預測性,以破壞攻擊鏈的形成。

1.1 動態性的導入

任何攻擊都是基于一定的攻擊方案實施的,攻擊鏈中包含了攻擊對象的整體架構、運作機制、資源配置、網絡拓撲等基本態勢信息,攻擊的可靠性從某種意義上取決于這些基礎信息的靜態性和可預測性。防御方若能以較小的代價引入基本信息的動態性和不可預測性,就能有效阻止攻擊鏈的形成。

移動目標防御(Moving Target Defense,MTD)[3]作為美國近年來提出的網絡空間“改變游戲規則”的革命性技術之一,它與以往的網絡安全技術完全不同,變被動防御為主動防御,其系統和網絡狀態隨著時間、空間以及物理環境等多個維度的變化而不斷改變,從而增加入侵者的入侵難度,有效限制己方漏洞暴露的概率。因此,移動目標防御將成為未來網絡安全防護技術的重點發展方向。構建、評價和部署機制及策略是多樣的、不斷變化的,以此增加攻擊者的攻擊難度及代價。

MTD的基本思想是構建動態的系統屬性,從而引入隨機性、不確定性和不可預測性。MTD可以在多個層次進行動態變化,如圖1所示。

圖1 MTD動態化層次

但相對地,動態性的導入必然需要以提高功耗和損失效能為代價,還可能影響到上層功能的靈活表達或擴展,成為影響系統性能的重要因素。

1.2 異構冗余機制

為提高系統可靠性,采用資源冗余的容錯機制是設計者的首選[4-6]。例如同時在幾個相同的硬件通道上運行一個程序,對于解決由單一通道隨機失效引起的系統錯誤是十分有效的。冗余容錯機制分為同構冗余和異構冗余2種,其中同構冗余是指余度結構,即軟硬件設計、控制指令、運行狀態都相似或相同,它對于應對差模干擾和隨機故障十分有效。但是,對于設計缺陷引起的系統漏洞和后門等共性故障,同構冗余無法進行有效的防護。

異構冗余[7]是基于相異性設計的容錯機制,即由不同的工作組,在不同的開發環境下,用不同的語言研制開發幾個能獨立完成預定功能的裝置,然后綜合成一個總的容錯系統。這種相異性設計能有效防止由單一系統設計缺陷造成的漏洞和后門引起的系統故障,大幅提高系統的可靠性。

1.3 動態異構冗余機制

異構冗余機制的基本架構仍然是靜態的,且各異構冗余體之間并不完全獨立,其效果主要是容錯而不是容侵。對于攻擊者而言,如果擁有相關異構體的資料,就有可能達成成功攻擊甚至持續攻擊的效果。

DHR的核心思想是引入結構表征的不確定性,使異構冗余架構的執行體具有動態化、隨機化的屬性,攻擊者對系統的攻擊無法建立在靜態的結構特征之上,即便成功攻擊某個異構體,也無法對系統的最終結果產生影響,且攻擊結果不可重現,攻擊者的攻擊難度和成本大幅提高。

對動態異構冗余構造,理論上要求系統具有視在結構表征的動態可變性,包括非周期地從功能等價體池中隨機抽取k個元素組成服務集,或者重構、重組、重建異構冗余體自身,借助虛擬化技術改變冗余體內在特征或視在環境,對異構體作預防性或修復性的清洗操作等。這些方法和措施使得攻擊者很難有效再現攻擊操作的成功場景,系統的安全具有總體性、長期性的特點。

通用擬態防御系統架構如圖2所示,系統主體是擬態調度器和若干個功能等價的異構冗余體。擬態調度器從異構冗余池中動態地選擇一個或幾個異構冗余體執行相應任務,并對各執行體的輸出進行判決,得到最終的結果。

圖2 通用擬態防御系統架構

2 多數一致性表決策略

在擬態防御系統中,擬態調度器是一個關鍵結構,其主要功能之一是對各異構冗余體的結果進行仲裁判決。目前,對于調度器仲裁策略的選擇,還是以經典的多數一致性表決為主。多數一致性表決對因外部攻擊和系統漏洞而產生的錯誤輸出具有很好的容錯效果,可提高系統的安全性和可靠性。

多數一致性表決算法是最有代表性的表決算法之一,其基本思想是將參加表決的多數相同的結果作為表決輸出,達到屏蔽一般錯誤的效果。在其基礎上可以加以改進,例如基于自檢測[8]、歷史記錄[9]、自適應[10]等的多數一致性表決算法。在多模冗余體仲裁策略方面,利用多數一致性表決算法,可以設計多種仲裁策略[11-12]。

多數一致性表決是一種基于多數行為準則的表決策略,可靠性較高。冗余架構至少會有2個冗余體,對于用戶來講,冗余體越多,系統的可靠性越高[13]。以3個冗余體的系統為例,分析基于多數一致性表決的仲裁策略的可靠性[14-15]。

表1是簡化模型后對三冗余體架構下各冗余體判決結果出現的概率統計。

表1 一致性表決判決結果的概率分布

從表1可見判決出現錯誤的概率為:

(1)

其中,p表示單個冗余體輸出正確結果的概率,q表示輸出錯誤結果的概率,θ表示出現2個錯誤結果相同的概率。由于異構冗余體的結構不同,其設計缺陷和漏洞也不完全相同,因此攻擊者同時成功攻擊2個異構體且使它們的結果相同的概率是極小的。也就是說,調度器判決出錯的概率極小,系統的安全性和可靠性較高。

多數一致性表決算法有個明顯的問題,當各模塊不能達成一致時,通常只能產生一個異常,不能輸出結果。對于這個問題也有許多解決的方法,比如基于自檢測的多數一致性表決算法、自適應一致性表決算法、基于聚類的一致性表決算法等,這里不作贅述。

3 競賽式的多數一致性表決模型

3.1 基本思想

由于任務的不確定性和內在隨機性,以及執行體的動態調度,各異構冗余體對不同具體任務的執行周期是獨立且不可預測的,擬態調度器完成仲裁操作需要在所有異構體輸出結果之后,也就是最長的執行周期?？梢岳斫鉃橄到y的效率是幾個執行任務的冗余系統中最差的那一個,再加上調度機制,總體效率甚至還要更低。

本文提出的競賽式的多數一致性表決模型,基本思想是不改變仲裁余度而增加執行余度,即增加執行體的數量,選擇領先的輸出結果進行仲裁,在不降低系統可靠性的前提下提高仲裁效率,進而彌補擬態系統的性能損失。

擬態系統余度越高,安全性和可靠性就越高,但同時資源開銷越大。為簡化分析,本競賽仲裁模型以前3個執行體輸出進行一致性表決仲裁。由于每個異構冗余體對各種任務的執行周期不相同且相互獨立,這種取前3名的競賽模式實際上給仲裁提供了一個提高效率的空間,在不降低系統可靠性的前提下提高整體效率。

3.2 模型建立

本競賽式多數一致性表決模型如圖3所示,其工作流程如下:

1)外部輸入通過輸入輸出(I/O)端口發送給各異構執行體(N>3),同時終點控制模塊向三輸出終點模塊發送打開指令。

2)各獨立的異構執行體將執行結果傳遞給三輸出終點模塊,三輸出終點模塊在得到3個輸入后就立即將結果發送給仲裁器,進行三余度多數一致性判決。

3)仲裁器完成仲裁后將最終結果通過I/O端口返回給應用程序。

4)終點控制模塊發送關閉指令關閉三輸出終點模塊并對其進行清洗,等待下一個任務。

圖3 競賽式的多數一致性表決模型

由于仲裁過程相對固定,系統效率的提升本質上是從執行任務到開始仲裁之間所用時間的減少。下面對模型的效率提高效果進行分析。

定義N個異構執行體執行一個具體任務的時間為T1,T2,…,TN,擬態防御系統從任務輸入到開始仲裁所用的時間為系統總執行時間,則原系統的總執行時間:

Tb=max(T1,T2,T3)

(2)

本模型總執行時間Tc為T1,T2,…,TN中的第3大值,即:

Tc=(T1,T2,…,TN)(3)

(3)

下面對Tb和Tc的大小進行討論:

情況1當T4,T5,…,TN都大于Tb,則(T1,T2,…,TN)(3)=max(T1,T2,T3),即Tc=Tb。

情況2當T4,T5,…,TN中存在某些值小于Tb,假設Tb=T3,則T1

在各異構執行體相互獨立且實時任務不可預測的條件下,假設2個異構執行體執行時間的大小是隨機的,而完全相同的情況忽略不計,則(TxTy)=1/2,對于情況1,T4,T5,…,TN都大于Tb的概率:

P(T4,T5,…,TN>Tb)=((1/2)3)N-3

(4)

即:

P(Tc=Tb)=(1/2)3(N-3)

(5)

則:

P(Tc

(6)

可見效率持平的概率隨著執行余度的增加呈指數型下降。表2列出了N取不同值時系統執行效率提高的概率。

表2 系統執行效率提高的概率與執行余度N的關系

從表2中可以看出,在保持原三仲裁余度的情況下,只增加一個異構執行體,效率提高的概率已達到了0.875,增加2個以上,概率更超過0.98。從統計學角度分析,在系統連續執行多項任務時,基于競賽式仲裁模型的擬態系統在仲裁效率上比原三余度擬態系統能有所提高。

3.3 實驗仿真

異構執行體處理一個確定的任務,其運行周期有一個理想值,但各種干擾和延遲會使運行周期隨機變化,用隨機變量X來刻畫任務執行周期,N個異構執行體對某一個任務的執行周期為X1,X2,…,XN,由于異構執行體相互獨立,因此X1,X2,…,XN也相互獨立。假設這個隨機變量服從正態分布,概率密度為:

(7)

其中,μi、σi為第i個異構執行體執行周期的期望和方差。由于具體的任務和執行體系統未知,定義μ={μ1,μ2,…,μN}和σ={σ1,σ2,…,σN}為2個隨機數組。

本模型是在三余度擬態系統架構上增加余度,X1,X2,X3作為三余度擬態系統的3個異構執行體任務執行周期,X4,X5,…,XN作為增加的余度執行周期,則三余度擬態系統的總執行時間為:

Xb=max(X1,X2,X3)

(8)

基于競賽模式的擬態系統的總執行時間為X1,X2,…,XN中的第3小值:

Xc=X(3)

(9)

其中:

X={X1,X2,…,XN}

(10)

下面是具體實驗仿真過程。

3.3.1 簡單假設條件下的仿真測試

取N=4,假設μ在區間(0,10)內隨機產生,σ在(0,0.5)內隨機產生,在Matlab中得到隨機數組μ和σ,并用normrnd函數得到一組正態隨機數X,計算得到Xb、Xc。

1)重復執行10次,并用直方圖顯示Xb、Xc的具體情況,如圖4所示。

圖4 擬態系統執行時間對比

從仿真結果可以看出,基于競賽式仲裁模型的擬態系統總執行時間總是小于等于三余度擬態系統的總執行時間,與前文的理論分析一致。

圖5 基于競賽式仲裁模型的擬態系統執行效率提高比例

從圖5可見執行效率的提高基本都在20%左右。下面對以上結果進行推導分析:

由于各異構執行體的執行時間均值μ的取值是獨立同分布的,而標準差σ相對較小,在多次實驗中可以把執行時間采樣值視為在區間(0,10)內隨機產生,每個異構執行體執行時間可視為服從均勻分布,其概率密度為:

(11)

故三余度擬態系統的總執行時間Xb的分布函數:

Fxb(x)=P(Xb

P(X3

(12)

而根據同分布隨機變量的順序統計量的相關公式[16]:

(13)

其中,fk(y)為n個獨立同分布且分布函數為F(y)的隨機變量中升序第k個的概率密度,可求基于競賽式仲裁模型的擬態系統的總執行時間Xc分布的概率密度:

fXi(x)FXi(x)3-1[1-FXi(x)]4-3=

(14)

3.3.2 效率提高與執行時間分布的關系

仍取N=4,變化σ和μ的取值范圍,計算系統執行效率提高隨參數取值的變化。

1)假設σ仍在(0,0.5)內隨機產生,μ在區間(0,u)內隨機產生,u取1到50遞增,得到如圖6所示的結果。

圖6 執行效率提高隨 μ取值上限的變化

可見當μ較小時,系統效率提升明顯超過了20%,隨著μ的取值范圍不斷增大,效率的提升又逐漸穩定在20%左右。重復實驗的結果也存在這種現象。這是由于標準差σ固定,當均值μ較小時,σ相對較大,各異構執行體執行時間的差異在概率上變大,競賽模型的執行效率提高也更加明顯。

2)假設μ在區間(0,10)內隨機產生,σ在(0,q)內隨機產生,q取0.2到10遞增,得到如圖7所示的結果。

圖7 執行效率提高隨σ的變化

可見當σ較小時,系統執行效率提高的百分比在預期的20%左右,隨著σ的取值范圍不斷增大,執行效率提高的百分比也不斷增大。重復實驗的結果也存在這種現象。

3)更一般地,令μ在區間(a,b)內隨機產生(b>a≥0)。由2)可知系統效率提高的百分比隨著σ的增大而增大。取σ最小的情況,即σ=0,則計算結果是效率提高百分比的最小值。

各異構執行體執行時間的概率密度:

(15)

三余度擬態系統的總執行時間Xb的分布:

(16)

其期望為:

(17)

由于σ=0,即執行時間均值在區間(a,b)內隨機產生,根據順序統計量的相關公式計算,可得:

(18)

其期望為:

(19)

系統總執行效率提高:

(20)

圖8 執行效率提高比例隨μ取值區間(a,b)的變化

3.3.3 效率提高與系統余度增加個數的關系

令N在區間[4,10]內遞增,μ在區間(0,10)內隨機產生,σ在(0,0.5)內隨機產生,對每一個N重復計算Xb、Xc1 000次,得到平均執行效率提高百分比,如圖9所示。

圖9 執行效率比例提高隨N的變化

可見系統執行效率提高百分比隨著N的增大呈現出增長幅度緩慢減小的上升趨勢。在同等的條件下,增加余度可令系統的執行效率不斷提高。

4 結束語

本文介紹了擬態防御的原理和整體框架,針對擬態調度器仲裁,在多數一致性表決的基礎上,建立了一種競賽式的仲裁模型。該模型通過增加執行任務的異構冗余體數量,選擇領先的輸出結果進行仲裁,能提高擬態系統任務執行的總效率。由于參加仲裁的異構體余度并沒有減少,系統的安全性和可靠性不會降低,甚至在系統余度增多的情況下,安全性和可靠性還能有所提高。

對于擬態防御系統來說,自身開銷本身就很大,增加異構冗余體對系統的資源開銷等負擔是顯著的,而隨著異構體的數量增多,系統執行效率的提高幅度相應減小,故擬態系統的余度增加數量需要從整體性能考慮,選擇較好的折中方案,這些都是下一步工作需要研究的內容。

[1] 鄔江興.擬態計算與擬態安全防御的原意和愿景[J].電信科學,2014,30(7):1-7.

[2] 鄔江興,張 帆,羅興國,等.擬態計算及擬態安全防御[J].中國計算機協會通訊,2015,11(1):8-14.

[3] JAJODIA S,GHOSH A K,SWARUP V,et al.Moving target defense:creating asymmetric uncertainty for cyber threats[M].Berlin,Germany:Springer,2011.

[4] 曲 翕,黃慧敏,張 寧,等.基于多冗余可重構的上面級箭載計算機技術[J].計算機工程,2016,42(9):310-314.

[5] 陳 州,倪 明.三模冗余系統的可靠性與安全性分析[J].計算機工程,2012,38(14):239-241.

[6] 張本宏.控制系統中多模冗余與網絡可靠性研究[D].合肥:合肥工業大學,2010.

[7] 韓 煒,楊孝宗,崔 剛.相異性容錯設計的概念及其實現[J].哈爾濱工業大學學報,2001,33(5):606-611.

[8] 周海濤,朱紀洪.基于自檢測的多數一致表決算法[J].清華大學學報(自然科學版),2005,45(4):488-491.

[9] LATIFSHABGAHI G,BASS J M,BENNETT S.History-based weighted average voter:a novel software voting algorithm for fault-tolerant computer systems[C]//Proceedings of Euromicro Workshop on Parallel & Distributed Processing.Berlin,Germany:Springer,2001:402-409.

[10] 歐陽城添,王 曦,鄭 劍.自適應一致表決算法[J].計算機科學,2011,38(7):130-133.

[11] 黨小超.基于碰撞識別的優先級仲裁策略[J].計算機工程與應用,2012,48(27):74-79.

[12] CHIU Jih-ching,YANG Kaiming,WONG Chen-ang.Asynchronous ring network mechanism with a fair arbitration strategy for network on chip[C]//Proceedings of Advances in Intelligent Systems and Applications.Berlin,Germany:Springer,2013:769-777.

[13] 周小超,陸 熊.非相似余度飛控計算機設計及可靠性分析[J].計算機與現代化,2013(5):135-137.

[14] 魏 帥,于 洪,顧澤宇,等.面向工控領域的擬態安全處理機架構[J].信息安全學報,2017,2(1):54-73.

[15] 楊 毅,黃 海,陳祥獻.三取二表決模型的可靠性與安全性分析[J].計算機工程,2012,38(14):280-282.

[16] 孫榮恒.應用數理統計[M].北京:科學出版社,2016.