一種基于執行體異構度的擬態裁決優化方法

武兆琪,張 帆,郭 威,衛 今,謝光偉

(1.國家數字交換系統工程技術研究中心,鄭州 450001;2.復旦大學 a.計算機科學技術學院; b.大數據試驗場研究院,上海 200433)

0 概述

信息技術的飛速發展使人類邁入萬物互聯時代,由此帶來數字經濟的便利性,但同時也使網絡空間安全問題成為信息時代嚴峻的挑戰[1]。造成網絡安全問題的重要原因在于,信息技術的全球化趨勢使得創新鏈、生產鏈、供應鏈等環境中隱匿后門更加容易,并且由于技術的缺陷導致漏洞廣泛存在[2]。因此,少數人或團體利用少量的資源便可以侵犯個人乃至公共的隱私權,造成當前網絡空間“易守難攻”的態勢。在此背景下,擬態防御技術應運而生。擬態防御以其動態性、異構性和冗余性可阻斷目前攻擊技術所依賴的攻擊鏈完整性,利用該技術能夠從根本上擺脫目前網絡空間“易守難攻”的困局[3]。

在通用的擬態架構中,對異構冗余執行體的輸出進行裁決可為動態異構冗余(Dynamical Heterogeneous Redundant,DHR)架構帶來對廣義不確定擾動的感知功能。在標準化或可歸一化的擬態界面中對給定語義和語法的多模輸出矢量進行一致性判決,可以準確反映擬態界面上的非協同攻擊或隨機失效情況,并且裁決器可以將相關狀態信息發送給擬態系統中的調度器模塊。后者是DHR架構中的重要一環,其根據裁決器信息進行執行體的調度,對于擬態防御系統的安全性和效率有著直接的影響。因此,裁決器的表決策略便顯得至關重要。

現有擬態系統中使用的裁決算法主要為多數一致表決算法,這對于異構性較好的執行體集尤為適用。但在現實應用中,執行體并不能完全實現異構,簡單地進行多數一致表決會造成共模逃逸現象。為此,本文根據擬態架構的特點,借鑒冗余容錯技術中基于歷史記錄的表決算法,提出一種基于執行體歷史置信度和異構度的雙因素表決算法。通過量化執行體的歷史置信度和執行體間的異構度,同時利用動態化加權分配,選擇最優的輸出結果集合作為表決器的最終輸出結果。

1 相關工作

目前冗余容錯技術在數字電子系統和軟件系統中得到了廣泛的應用,主要包括N模冗余和N版本編程2種手段[4]。冗余技術大幅提高了系統的容錯能力,增強了系統的可靠性。進一步地,冗余容錯技術可以分為同構冗余和異構冗余2種方式。

同構冗余是指余度結構在軟硬件設計、指令系統等部分中十分近似或者完全相同,這種容錯技術應對差模干擾或者隨機擾動較有效,但是高度相近的結構導致其有近乎相同的系統漏洞和后門等共性故障,因此無法對共模攻擊產生有效防護。

異構冗余是基于相異性設計的容錯機制,其選擇由不同設計組在不同環境下設計的構成原理不同但功能近似或完全相同的軟硬件產品,然后構成一個總的容錯系統。這種相異性設計的設計理念不同,因此,理論上這些異構體的共生漏洞與相同后門微乎其微,進而能有效地防護由于單一系統設計缺陷造成的漏洞或后門引起的系統故障,可以有效地抵御攻擊者發起的共模攻擊。

DHR架構的核心設計思想是引入結構表征的不確定性,使傳統異構冗余架構的執行體具有動態化和隨機化的屬性。通用的擬態防御系統架構如圖1所示。

圖1 擬態防御架構通用模型

在上述模型中,表決器通常有多個冗余輸入,其從收到的多個冗余輸入中根據設定的表決算法產生一個結果作為表決輸出,對此研究者已經提出了多種表決算法,例如全體一致表決算法[5]、多數表決算法[6]、復數表決算法、中值表決算法、n取2表決算法[7]、一致性表決算法等[8],其中多數表決及其改進版本,例如基于自檢測[9]、歷史紀錄[10]、自適應等的多數一致表決算法在系統中得到了廣泛的應用。多數表決器有n個輸入,如果有超過一半的輸出結果一致,則這個多數結果便會被裁決器作為正確結果進行輸出。

一致表決算法[8]是多數表決算法的推廣,當輸出結果為多數贊同,則該算法與多數表決算法一致。當輸出結果有唯一最大贊同數,并且贊同數少于輸出結果集的一半,仍然選擇唯一最大贊同數進行輸出,當有相同的最大贊同數時,便隨機地從中選擇一個結果進行輸出,其他結果表決失效。但由于這種算法對有相同贊同數輸出結果進行選擇時的隨機性,因此可能把錯誤的結果當成正確結果進行輸出。

文獻[11]在一致表決算法的基礎上引入了構建版本歷史記錄信息的方法,當出現相同贊同數時,選擇歷史置信度較高的一組進行輸出,進而提高輸出結果的可靠度。但這種算法忽略了異構度較低的執行體給出一致輸出的概率普遍較大的情況,如果在裁決中重復考慮容易出現共模異常輸出。在這種情況下,發生共模逃逸的概率就會增大。

文獻[12]在多數一致表決算法的基礎上,提出一種競賽式的仲裁模型,在不改變仲裁余度的前提下增加執行余度,這種方式可以提高仲裁的效率,但對仲裁結果的正確性沒有提高作用。

在擬態防御系統裁決器的表決策略選取方面,目前研究主要是以多數一致性表決算法為主[13-15],輔以全體一致表決算法和基于歷史置信度的表決算法。然而這些算法都只是借用經典的表決算法,并沒有完全結合擬態防御的思想,忽略了執行體異構度對于裁決結果的影響,因此,表決的結果可能會存在共模漏洞,并且在有不同輸出結果數量相同的情況下表決效率低下。

2 基于歷史置信度與執行體異構度的表決算法

2.1 設計思想

由于現在擬態防御架構在如Web[16-17]、DNS[18]、路由器[14]等領域使用的調度算法基本都是隨機調度算法,因此上線執行體的異構度并不能保證足夠大進而避免可能發生的共模攻擊。因此,假如攻擊者此時發起共模攻擊,而上線執行體的相似度過大,就很有可能發生共模逃逸問題,因為對于同一種攻擊,相似執行體很可能產生同樣的輸出,所以僅根據多數一致表決或加入歷史置信度的表決算法很可能導致相似執行體持續產生近似的輸出,進而影響調度器的調度,增大共模逃逸的風險。

擬態架構的特點是動態異構冗余,因此,組成其執行體的重要要求便是“異構”。異構的執行體可以有效地防止攻擊者利用整個系統的漏洞和后門。本文在現有基于歷史信息的裁決算法基礎上,提出基于歷史置信度和執行體異構度的表決算法。在考慮歷史置信度的基礎上,進一步考慮執行體集之間異構度對表決結果的影響,通過賦予執行體輸出結果在數量、歷史置信度和異構度上不同的權重,充分考慮不同因素對表決結果的影響,進而提升表決結果的可信度,增強系統的安全性。

2.2 模型構建

本文在多數一致表決算法和基于歷史置信度的自適應一致表決算法基礎上進行改進,主要考慮執行體間的異構性對裁決結果的影響。本文算法模型通過構建執行體的歷史記錄信息和量化執行體間的異構性來實現,具體方法如下:

1)構建執行體的歷史記錄信息。

(1)構建一個n余度的異構執行體集合{e1,e2,…,en},其對應的某一次歷史置信度集合為{h1,h2,…,hn},如果在表決中某個執行體輸出結果通過了多數表決,則將該執行體ei對應的歷史置信度設置為hi=1,否則該次結果設置為hi=0。

將歷史記錄作為表決的考慮因素之一,可以有效地記錄執行體各個階段的表現,通過歷史表現可以更好地判斷具有高魯棒性的執行體,同時避免只利用數目表決較大的隨機性。充分利用各階段的歷史信息以及攻擊日志,可便于分析執行體應對不同攻擊的表現,進而有利于系統做出更準確的表決和調度。

2)量化執行體間的異構性。

每個執行體可以按固定的標準分為不同的組件,每個組件又可以分為不同的類目,可以根據不同類目的具體實現對執行體的異構度進行量化。例如,對于一個擬態存儲系統,可以將冗余體按具體功能劃分為處理器、操作系統、應用軟件等不同組件,而操作系統則有Windows、Ubuntu、CentOS、MacOS等類目,若某執行體類目為Ubuntu,則其特征向量便為[0 1 0 … 0],但同一組件各類目并不是完全獨立的,功能的等價性必然會導致各類目之間存在一定程度的相似性,進而導致存在相似甚至相同的漏洞。對執行體之間的異構度可以采用異構性矩陣度量,如下所示:

通過統計各個異構執行體之間的異構性差異易知,H為對稱矩陣,其中hi,j(0

2.3 算法描述

假設在線執行體的數目為n,基于歷史置信度與執行體異構度的表決算法描述如下:

6)其他情況,表決失效,重新進行輸入表決。

將異構度作為擬態表決算法的表決因素是必要的。動態異構冗余作為擬態架構的特性,執行體的異構性是系統安全的基礎,而且異構性越大的執行體集執行體之間的共模漏洞會越少,攻擊者可以利用的系統共同缺陷也就越少,進而系統也就更安全。因此,引入異構性作為表決的依據可以更好地發揮擬態架構的優勢,同時避免因為歷史置信度造成某個執行體長期在線上而被攻擊者利用的局面。引入異構性作為表決的依據可使表決算法更充分全面,使系統時刻處于高安全的狀態。

由“相對正確”公理[1]的描述可知,極少出現多數執行體在同一個地點、同一時間犯完全一樣錯誤的情形。該公理的邏輯表達如圖2所示,具有如下特點:功能等價,A1,A2,…，Ai都有獨立完成任務的能力;異構冗余,A1,A2,…，Ai都有一些缺點或錯誤;判決空間,同一時間、同一地點都有同樣內容;相對性多模大數表決。

圖2 “相對正確”公理的邏輯表達

筆者認為r1相較r2和r3更為重要。這3個參數可以根據TOPSIS算法[19]來進行計算取得最優值。TOPSIS法是一種理想目標相似性的順序選優技術,在多目標決策分析中是非常有效的方法,其通過歸一化后的數據規范化矩陣找出多個目標中最優目標和最劣目標,分別計算各評價目標與理想解和反理想解的距離,獲得各目標與理想解的貼近度,按理想解貼近度的大小排序,以此作為評價目標優劣的依據。TOPSIS算法是根據有限個評價對象與理想化目標的接近程度進行排序的方法,其在現有的對象中進行相對優劣的評價。輸入3個參數的重要程度對比表,通過TOPSIS算法計算即可得到3個參數的最優取值。本文取r1=0.405 5,r2=0.306 9,r3=0.287 6。

根據上文分析易知,異構度對于表決結果的影響并不會隨著時間的改變而發生任何變化。但歷史置信度具有與時間和表決次數相關聯的特性,由于隨機因素的影響,在初始時刻,歷史置信度僅是根據少量的表決決定的,因此此時的權重應從0開始隨著時間的推移而逐漸增大。同理,對于表決結果集合中的個數,由“相對正確”公理可知,初始時刻足以對多數的表決結果表示信任。由上文可知,異構度越小的執行體越容易對同樣的攻擊產生相同的輸出,因此,數量表征特性的權重應該隨著時間的推移而適度減小。最終3個參數r1、r2和r3穩定為由TOPSIS算法計算出的3個值。

本文選取調整參數r1和r2為:

因此,最終的輸出值為:

對于T的選取,筆者根據系統的實際特性認為可以選擇系統的調度周期。調整參數是由Sigmoid函數轉變而來,其函數特性是在固定的區間段之間單調遞增輸出,并且越接近于區間上下極限時變化越平緩,越遠離區間極限時變化越顯著,如圖3所示。

圖3 Sigmoid函數曲線

本文選取的調整參數隨時間的變化曲線如圖4所示。可以看出,初始時刻r1、r2的值變化緩慢,符合上文的分析,因為初始時刻隨機性的影響過大,所以應使歷史置信度的權重緩慢增大,而使結果集數量的權重緩慢下降。當系統運行一段時間后,隨機性的影響逐漸變小,因此,可以使歷史置信度的權重迅速增大而使結果集數量的權重迅速下降,當兩者即將到達穩定值時使權重變化的速率相應減緩,以保證調節的穩定性。

圖4 調整參數隨時間的變化曲線

3 實驗評估

本文實驗主要通過以下6個指標對算法進行評價:正確結果被裁決器表決通過的概率(CAA),正確結果未被裁決器表決通過的概率(CAF),錯誤結果被裁決器通過表決的概率(IAA),錯誤結果未被裁決器表決通過的概率(IAF),輸出結果被裁決器表決通過(RAA),輸出的結果未被裁決器表決通過(RAF)。評價過程如圖5所示。

圖5 裁決器表決結果評價示意圖

Fig.5 Schematic diagram of the arbiter voting results evaluation

3.1 仿真建立

本文實現了多數表決算法和基于歷史置信度和執行體異構度的表決算法,采用Python和Matlab進行仿真。利用β分布[20]生成執行體之間的相似度矩陣。本文實驗選取T值為40。采用蒙特卡洛法進行105次模擬實驗,比較算法的相關評判指標。

3.2 仿真結果分析

3.2.1 默認條件下的仿真測試

本節首先默認選取5個執行體作為表決進行輸出,輸出結果的結果空間為(C1,C2,…,C5),其中,C1默認為正確結果,程序模擬的執行體大部分輸出都落在C1空間中,并且每次實驗時都隨機注入一些異常數據,用來調節正確輸出結果和不正確輸出結果的比例,本次實驗正確結果占87.730 6%,不正確結果占12.269 4%,即每個執行體都有87.730 6%的概率輸出為C1,12.269 4%的概率輸出為其他。落入其他各個結果空間的概率與執行體的相似度相關。執行體之間的相似性用參數為(5,16)的β分布基于Matlab的betarnd()函數隨機生成,其概率密度曲線如圖6所示。

執行體輸出的錯誤結果隨機選取,而不同執行體輸出同一錯誤結果的概率與異構度的大小為負相關。參數達到穩定狀態后2種算法的評價指標數據如表1所示。通過比較可以發現,雖然本文算法相較一致表決算法的CAA下降了0.986 8%,但其IAA下降了65.500 1%,RAA提高了1.715 5%。

圖6 參數為(5,15)β分布的概率密度函數曲線

Fig.6 Probability density function curve of β distribution with parameter (5,15)

表1 一致表決算法和本文算法的評價指標數據

Table 1 Evaluation index data of consistent voting algorithm and the algorithm proposed in this paper %

評價指標一致表決算法本文算法CAA93.072192.1536CAF6.92737.8464IAA25.98628.9652IAF74.013890.3480RAA92.565994.1539RAF7.43415.8461

3.2.2 冗余度影響的仿真測試

本節通過控制變量法,在保證輸出結果有相同正確率的情況下,改變上線的執行體的數量,即改變需要表決的執行體的數目。正確結果被裁決器表決通過的概率和不被裁決器表決通過的概率和為1;不正確結果被裁決器表決通過的概率和不被裁決器表決通過的概率和為1;輸出結果表決通過的概率和表決沒有通過的概率和為1。因此,本節僅討論正確結果被裁決器表決通過的概率、不正確結果被裁決器表決通過的概率以及輸出結果表決通過的概率。實驗結果如圖7～圖9所示。可以看出,當執行體數量為3時,一致表決算法的CAA高于本文算法,但其IAA比本文算法要高21.19%,通過率兩者基本一致。但隨著執行體數量的增多,一致表決算法的CAA會相應減小,而IAA會相應增大。這是因為如果執行體數量增多就會大概率出現相同頻次的結果,進而誤判的可能性就會增大。而本文算法的CAA會隨著執行體數量的增大而增大,這是因為本文算法充分考慮了執行體的歷史信息和執行體之間的異構度對執行結果的影響。雖然出現相同頻次的可能性也會增大,但不同結果的歷史置信度和異構度只有很小的概率相同,因此,本文算法的CAA相較一致表決算法有一定的提升。同時由圖9可知,2種算法的表決通過率會隨著執行體數量的增大而出現相應下降,但本文算法明顯比一致性算法下降得更為緩慢,這是因為本文算法充分考慮了不同因素對于表決結果的影響,所以使表決通過的概率大幅提高。

圖7 CAA隨執行體數量的變化情況

圖8 IAA隨執行體數量的變化情況

圖9 RAA隨執行體數量的變化情況

4 結束語

本文介紹擬態防御系統的原理和架構,針對其中的裁決器環節,總結現有各類表決算法的優缺點。在此基礎上,結合擬態防御架構特性,提出一種結合執行體歷史置信度和執行體之間異構度的表決算法。實驗結果表明,與一致表決算法相比,該算法可有效提高表決器輸出結果的正確率和算法執行效率,提升系統的安全性和可靠性,并且可避免共模逃逸現象。下一步將通過考慮執行體個數對調整參數的影響,改善算法在執行體個數較小情況下的表決性能。