魯棒控制與內生安全

◎鄔江興 院士

傳統的安全問題是自然發生的安全問題，現在非傳統安全問題是人為的，比如黑客或蓄謀已久的人所做的事情，這時候的安全問題就由Safety變成Security。對于Security怎么辦呢？廣義魯棒控制是手段，獲得的效果是內生安全。

廣義魯棒控制與網絡安全挑戰

廣義不確定擾動定義如下：如果目標對象內部既存在某些傳統類型的不確定擾動因素（例如可靠性問題、物理失效問題），也存在針對系統軟硬件漏洞后門等“暗功能”的未知攻擊擾動（人 為的），我們稱之為廣義不確定擾動，包括人為暗功能的擾動。

廣義不確定擾動就存在廣義魯棒控制。廣義魯棒的定義如下：如果有一種廣義魯棒控制構造，即能在某些傳統類型的不確定因素擾動下保持給定功能或性能在設計余度內，也能在基于系統內部漏洞后門等“暗功能”的不確定攻擊作用下維持給定功能或性能。假如有這樣的能力，我們就說它具有“抑制廣義不確定擾動”的功能，也可以稱之為“廣義魯棒控制構造”。

鄔江興院士

網絡空間安全之本源問題

由于軟硬件設計缺陷或脆弱性導致的安全漏洞無法徹底避免。產品提供者有意設計或產業生態環境中無意引入的具有“暗功能”性質的軟硬件代碼無法徹底杜絕。在可以預見的將來，尚缺乏技術和方法，無法窮盡或徹查目標系統問題代碼及邏輯缺陷。網絡空間也無法給出嚴格的操作規范以及它的行為準則，包括精準、可靠的監管手段。試圖通過法律手段把這些問題解決也不太可能。

傳統魯棒控制構造由于無法實時感知“已知的未知”或“未知的未知”，這是網絡安全界獨有的表述，這不是一種非傳統的不確定擾動影響，因而傳統的魯棒控制不具有抑制廣義不確定擾動的能力。也就是說傳統魯棒控制沒有辦法對付廣義不確定擾動，這是個世界性難題。

本屬網絡空間軟硬件產品設計、制造和使用過程中存在的脆弱性或安全缺陷，或產業生態問題，由于無法實時管控軟硬件產品內部的廣義不確定性擾動，隨著網絡空間的急速膨脹，安全威脅就成為彌漫性問題，威脅彌漫在整個網絡空間內。

這樣潘多拉魔盒就這樣打開了。網絡空間自然產生“阿喀琉斯之踵”，現在從芯片到軟件，部件到器件，到云、工業控制設備、網絡路由器/交換機，這么多設備里我們會問他們可信嗎？是安全的嗎？具有魯棒控制能力嗎？

一個復雜系統或控制裝置只要存在一個設計缺陷或混入一段惡意代碼，就可能導致目標代碼的遭殃。因為缺少先驗知識而無法實時感知或認知基于軟硬件問題代碼實施的未知攻擊，被迫處于“無法設防”狀態。不是我們不愿意設防，是無法設防。對于攻擊者來說，它具有“單向透明”的行動優勢，他看得到，埋設了漏洞，并采取“里應外合、隱匿配合”的攻擊方式。于是我們可以看到，軟硬件安全質量問題必然會成為網絡空間的“阿 喀琉斯之踵”。

鄔江興院士

現在的IT/ICT信息系統廣義魯棒控制功能狀況

現有的廣義魯棒控制功能能做的事是基于威脅或擾動特征感知的魯棒控制。魯棒控制首先是感知，需要通過實時感知來獲得關于不確定擾動的信息，比如攻擊來源、攻擊特征、滲透途徑、攻擊行為、攻擊機理、目標環境等。要想實現魯棒控制，必須解決魯棒控制的實時性要求。由于軟硬件目標對象自身既不能只是感知廣義不確定擾動，又無法實時應用魯棒控制技術抑制內部非期望的攝動，因而現有IT/ICT/ICS等信息處理或控制系統不具有廣義魯棒控制功能。

附加式防御的有效性取決于先驗知識的完備性和精確感知能力，它屬于亡羊補牢式的后天免疫，即使引入動態防御（美國人提出的移動目標防御）或加密認證機制。如果是基于后一個功能也就是滲透攻擊的話，這兩者的問題也是無能為力，對這兩個問題的防范是沒有用的。動態防御和加密認證，對于基于后門功能的滲透攻擊也是無能為力的，因為它是內外勾結的。

附加式防御系統本身通常不具備廣義魯棒控制功能。于是出現兩個問題，需要保護的對象自身沒有廣義魯棒控制功能，作為它衛兵的系統也沒有廣義魯棒控制功能，安全系統本身不安全。

廣義魯棒控制缺位之困局

一是無法設計出“沒有漏洞后門”的軟硬件。二是沒有先驗知識支持情況下，不知道什么是“擾動行為”，要想進行攔截和攔阻，什么是擾動行為都不知道是不行的。三是“單向透明”條件下可以從容地瞄準鎖定和利用系統中的漏洞后門，動態防御能力除外。四是“里應外合”的隱匿攻擊可以輕易繞過任何形式的附加防御，包括加密、密碼技術的運用。因為加密算法還得放在CPU和芯片上，它里面有沒有問題不知道。

缺乏廣義魯棒控制功能的軟硬件產品越多，相關產業生態環境狀況越惡劣，網絡空間陷入惡性循環就成為不可避免的趨勢。更糟糕的是，因為存在著公認的世界難題，無法實時感知，所以，全世界的軟硬件產品提供商都不必擔心會被追究其產品安全質量缺陷造成的責任。微軟因為它的漏洞做過什么賠償嗎？進行召回嗎？聽過英特爾會為他的缺陷賠償過嗎？在商品世界里，產品質量的問題廠家都要負責的，可在這一點上，所有的IT廠家都可以對他的安全質量不負責任。當然，不是不愿意負責任，是因為世界性難題沒有解決，所以沒有辦法負責任。因此，“潘多拉魔盒”無論在觀念上還是事實上都是敞開的。

網絡空間安全問題的核心是蒼蠅總叮有縫的雞蛋，網絡空間安全問題的核心還是內因“不給力”，疏于抵抗。有沒有辦法解決這個問題，比如相對正確的公理和不確定擾動感知。

這都是瞎子摸象。“未知”和“不確定性”，在哲學意義上通常屬于相對性范疇，原因是可感知的空間和可認知手段的局限性，當人類沒有發明顯微鏡時我們根本不知道病毒和細菌是怎么回事，當我們沒有設計太空望遠鏡的時候也不知道地球圍著太陽轉，也就是說位置和不確定性是相對的范疇。

人人都存在這樣或那樣的缺點，但極少出現獨立完成同樣任務時，多數人在同一個地點、同一時間、犯完全一樣錯誤的情形。這是一個公理，我把它命名為“相對正確”公理。它有一個前提條件，也就是說對于個體成員而言，獨立完成任務是大概率事件，完不成任務是小概率事件，不能讓瞎子做他完不成的事兒。這就不存在內外勾結、協同作弊的問題，只有這種情況下相對正確公理是成立的。

基于這個公理我們有幾個推論：

推論一：從成員個體行為看，雖然缺點或錯誤具有多樣性，存在不確定性，但在獨立完成同樣任務a時，從群體層面觀察，極少在同一時間、同一場合下犯完全一樣的錯誤，態勢情況可用概率表達，這是從不確定性到可用概率表達。它得到結果是只要任務成員間不存在共同的缺陷和“私下串聯”的行為，在相對正確公理適用場景下，個體的不確定行為能在群體層面被相對正確的判定模式感知。一個不確定的東西通過相對正確的公理轉換成可以相對確定的東西。

推論二：相對正確具有量子疊加態的屬性。相對正確的感知結果，是相對正確，感知結果的確定性正確是大概率事件，不確定性是小概率事件，感知結果的不確定性是正確與錯誤同時存在，只是概率不同。

推論三：感知結果的“置信度”與下列因素強相關：獨立執行任務人員的數量（冗余度），任務參與成員合題差異（異構度），任務完成指標的詳盡程度（調查表或判決表等多少項，樣本空間），指標項選取與圈中設置（最高分還是最低分，還是取中間值，還是要加權，這是表決策略）。

推論四：改變感知場景可轉化問題的性質。我們把它從單一空間變換到多維空間，從同質化處理場景變換到功能等價的多元處理場景，從個體主觀性感知到群體相對性判識，從關注局部效果到注重全局態勢情況。我們把這些問題變換以后，以前的未知，以前的不確定可能都變成已知和確定，這是感知場景的轉換，感知手段的轉換，感知條件的轉換，感知問題的性質變化了。因此，原有感知場景下無法認知的不確定擾動問題能用相對正確的等價場景轉化為具有概率屬性的可感知問題。

用公理等價場景感知不確定失效得到實際應用，叫非相似余度架構DRS。這個架構最后的約束條件是系統各種零部件出現物理性不確定失效是小概率事件，零部件設計缺陷導致的不確定性擾動也是小概率事件。在兩個約束條件成立的情況下，構件或設計缺陷導致的不確定擾動就能夠被轉換為功能等價、異構冗余、相對性判決場景下系統層面可用概率表達的品質魯棒性問題。

這種構造成熟地在B-777和F-16戰機上得到了應用，在可靠性不夠的情況下，用構造創新來解決問題，可以控制系統故障率分別低于10的負11次方和10的負8次方，這在當時沒有任何一個飛控系統的元器件達到這個水平，但用系統構造技術達到了，也就是說用相對正確的工藝等價表達形式能把不確定和未知的東西轉換成概率可控的問題。

構造決定安全，擬態構造與內生安全效應

構造決定安全，不論A1、A2或Ai中有何漏洞后門、病毒木馬，也不論它們有什么樣的行為特征，只要不能使輸出矢量同時產生完全或多樣的錯誤，就會被多模表決機制發現并攔截。原來這兩個問題是不可能歸一的，不確定失效是物理性問題，不確定威脅是人為問題。這種歸一化產生內生安全機制，就是已知或未知的個性化攻擊以及確定或不確定的擾動因素，都能被DRS構造感知為可靠性且具有概率可控的特性。這是讓我們非常心寬的事情。

DRS傳統的表決方式，內生安全機制的局限性，由于構造、構件以及機制的確定性和靜態性，使之不能夠應對“協同作弊”或“試錯”式攻擊。現在表決里輻射UI。協同作弊不行，它的內生安全機制，不具備內生穩定的魯棒性，你搞作弊的話它不具有穩定魯棒性。于是怎么辦？我們要改造一下，所以用冗余架構。輸入序列，通過異構m個執行體，它不具有穩定魯棒性，于是把它改造一下，變成動態魯棒冗余架構，這里增加了反饋和負反饋控制器。增加以后的效果是什么？可以在某些不確定的特定條件下具有穩定性、漸近調節和可收斂動態性保持不變的特性，也就是應對“試錯/協同攻擊”的穩定魯棒功能，也就是DHR能對付協同攻擊和試錯攻擊，機制上就不允許。DHR結構具有歸一化的處理功效，無論是目標對象（軟硬件）內部的隨機性差模失效還是未知差模攻擊，無論是基于目標對象暗功能的外部攻擊還是內部滲透攻擊，無論是傳統的不確定擾動問題還是非傳統安全的未知威脅，總之都能轉換為穩定魯棒性和品質魯棒性問題并處理之。

擬態構造可視化表達。給定服務功能不變的情況下，目標對象運行場景處于測不準的狀態，任何針對執行體個體的不確定攻擊首先被擬態構造感知為群體層面的相對性事件，并且能被變換為概率可控的可靠性事件。它的內生性效應就是非配合條件下動態多元目標協同一致攻擊。靠一個漏洞或一個后門，或靠幾個漏洞后門去攻擊指法產生一致性的結果，這種漏洞是沒有用的，在機理上已經把攻擊否定掉了。于是，廣義魯棒控制屬性的擬態架構可以承載高可靠、高可信、高可用的三位一體服務功能，尤其是工業控制系統，因為它沒辦法附加太多的防火墻、入侵檢測、入侵容忍這一套。所以，用擬態架構可以三位一體把這個問題解決，而不需要通過附加形式。

魯棒控制機理

通過策略調度到擬態界，給它一個輸入代理條件，各自做不一樣的事，進行不同的算法，按結果表明輸出，裁決狀態反饋，不合適再換。這個機制，擬態場景調度原則，用適當的防御場景來應對相應的攻擊威脅，在擬態環境里不是問題歸零，而是用問題快速規避。兵來降擋，水來土掩，并不是萬能的，只要A情況不行，B情況行的時候，B情況就能上。未知威脅在內的不確定擾動被擬態構造變換為擬態界內同時出現多數一次性錯誤的概率問題且具有可靠性，這是擬態構造最大的發現。

測不準效應。擬態也有這個特點，因為任何探測、試錯攻擊或擾動都可能導致當前服務場景改變，在機理上與測不準原理等通過密碼方式暴力破解方式無異，因為這是物理問題，不是計算方法問題。擬態構造的廣義魯棒控制機制的產生，既不依賴攻擊者先驗知識和行為特征信息，也不依賴附加或外置防御措施有效性的擬態安全效應。它廣義上是個擬態安全效應的內生效應，并不是刻意把它弄出來的。內生安全目標，可應對目標對象漏洞后門等暗功能引發的確定風險或不確定性威脅，內生安全機制的有效性，不依賴外在防御手段或任何先驗性知識，不以系統軟硬件安全可信為前提，適應經濟全球化生態環境，既能防外部攻擊也能防內部作案，安全制度以可控可管手段為基礎，能自然融合附加安全防護措施，并能獲得超非線性的防御效果。它的異構性可以通過附加防御措施增加它的異構性，異構體之間如果異構度無窮大的話，它的安全性也是無窮大。具有高可靠、高可信、高可用三位一體的魯棒性服務和控制功能，與傳統加密認證方法一旦破解即可崩潰問題不同，即使被成功也只是一次，極低的概率。

因此，安全的東西可以經過標定設計、可驗證度量的廣義魯棒性范疇。擬態防御場景數量、防御場景之間的相異度，多模輸出矢量內容豐度，裁決空間與裁決策略、擬態界設置層面、調度策略和多維重構策略、魯棒控制算法都能調整它的概率。擬態構造的穩定魯棒性和服務的品質魯棒性可標定設計，能用經典可靠性驗證理論和注入測試方法來驗證和度量，不是讓黑客測試。

迄今為止，尚沒有一種信息服務裝置或網絡安全設備可以接受廣義魯棒性注入測試和度量（白盒測試），包括移動目標防御MTD為代表的各種動態防御或者加密認證、可信計算類的底線防御。DHR構造建立在跨領域的理論技術創新基礎之上，以相對正確公理為核心，以系統工程理論為主線，以非相似余度架構與魯棒控制理論和技術為基礎，以可靠性驗證理論和方法為定性、定量測試評估手段。沒法定量測試擬態解決問題，可以用概率表示，擬態構造的集約化效應，主動與被動防御一體化，內生安全與可靠性一體化，服務提供與安全防護一體化，防外部與防滲透攻擊一體化。

錢老先生的系統論對我有很大的影響，擬態構造內生機制形成的擬態安全效應，為自主可控、安全可信開辟出一條基于系統工程理論和方法的實現途徑。

當然，因為擬態要異構，這種異構冗余帶來了設計、體積、成本、功耗和復雜度的增加，需要實現技術方面的再創新，但在同等功能性能條件下擬態系統具有傳統系統不可比擬的綜合性價比優勢。至少沒有0day的問題，沒有漏洞庫的升級問題，沒有病毒庫的修改問題，也沒有殺毒軟件升級的問題。所以，要把握住擬態這個條件，需要依賴軟硬件多樣性、多元化供應鏈以及快速式的產業生態環境。

如何保證開放式環境下的一元度和互異性，這既是科學問題也是工程技術問題。不管怎么說，不同領域面臨不同實現技術挑戰，理論與實踐的結合層面仍需要不斷完善或再創新。

國家自然基金委創新群體項目把網絡安全與防御機制的研究作為創新軀體。去年12月18日科學出版社出版了《網絡空間擬態防御導論》，這本書從理論和原理論證層面顛覆了當前圍繞目標對象軟硬件代碼缺陷的攻擊原理與方法。國家重點研發計劃——先進防御技術試驗場，完全是擬態化的網絡設備，這將徹底抵消技術先行者和市場壟斷者通過隱匿漏洞、植入木馬獲得的單向透明戰略優勢。國家重點研發計劃——內生安全的主動防御工控系統，重點研究如何用擬態構造技術改造和升級工控領域技術產品，解決工控系統普遍缺乏內生防御的問題，當然還有終結地下黑市攻擊服務，黑客攻擊等，構建工業4.0和中國制造2025時代三高三位一體內生安全的新一代工業控制系統和裝備。

在網絡基礎領域，軍事部門、運營商，控制領域、電商領域、金融領域都在試點示范，前一段時間，擬態域名服務器正式上線。擬態固網的應用前景很光明，它是構造基因，對芯片、模組、開源的軟件硬件、中間平臺、系統網絡具有滲透性、普適性、繼承性、集約化的效應，所以它具有裂變效應。于是，擬態構造理論和方法破解了目標對象軟硬件“暗功能”不能管控的公認難題，使得應用廣義魯棒控制技術與方法屏蔽軟硬件產品安全缺陷成為可能。

習總書記提出的一體之兩翼，驅動之雙輪發展戰略，為軍民融合發展新一代信息技術和產業，實現換道超車提供創新活力和市場驅動力。在IT/ICT/ICS/CPS等技術產業發展上，中國有望成為技術的引領者。

核心知識產權包括國內外專利，我們授權擬態技術與產業創新聯盟成員單位免費使用，在授權IP基礎上形成的新知識產權與授權者共享且后者只保留獲利權并自愿放棄單獨實施權，以確保排他性。目前已經有60多家單位簽訂了核心授權協議。擬態構造應用范圍非常寬廣，擁有足夠大的技術創新空間可容納眾多市場參與者最大程度吸引國內外力量參與擬態技術的產業創新發展。

標定與檢定

擬態構造通常只是增加了產品的廣義魯棒性，故而凡是涉及產品現有標準或規范，比如路由器按照工信部的標準測，測完以后再測廣義魯棒性。增量性的擬態防御功能性能的標準或規范由國家保密局審批和發布，其檢測中心負責產品相關標準復合型檢測認定。有了國家權威部門主導產品技術標準和檢測規范，保證市場健康，通過互聯網測試就是擬態，沒有通過就不是的。擬態系統控制與服務是分離的，現在的互聯網只是擬態后面加了一個結構，使行業技術擁有者具有應用創新的先發優勢。

還要有商業杠桿。由于擬態構造產品的廣義魯棒性是可設計標定，可驗證度量，屬于可精算的概率范圍，滿足保險服務的基本要求。于是我們知道，下一步只要能給各類擬態產品的廣義魯棒性精算登記，并能通過國家保密局檢測中心的檢定，保險業界愿意提供相關險種服務，包括再保險服務，我們可以用保險級來撬動產業發展和推動擬態技術的應用。

在保險業的支持下，擬態產品將獲得市場先發優勢，并迫使非廣義魯棒控制功能產品盡快轉型升級。一旦人家拿出擬態防火墻，你還是用傳統防火墻，用戶肯定不會用你的，因為擬態防火墻是有公司保險的，你沒有保險。因此，開辟了IT/ICT/ICS技術產品和控制裝置的保險業技術通道，我們以顛覆性技術撬動了保險業，以保險業助力網絡安全增量市場開拓，以旺盛市場需求反哺新技術的成熟與發展。

這就是我們的產業發展路線圖。我大膽預言，傳統信息技術產業將發生“雪崩運動”，新一代具有內生安全屬性的廣義魯棒控制軟硬件產品必將在網絡強國戰略發展綱要的推動下快速崛起，并會導致現有市場格局“重新洗牌”。