面向云應用的擬態云服務架構

普黎明，衛紅權，李星，江逸茗

面向云應用的擬態云服務架構

普黎明，衛紅權，李星，江逸茗

（信息工程大學，河南 鄭州 450001）

針對單執行體的云應用服務缺乏異構性和動態性，難以應對未知漏洞和后門的安全威脅問題，提出一種擬態云服務架構，把云平臺向用戶提供的應用服務節點構造成基于擬態防御技術的服務包，使應用服務具有擬態構造帶來的內生安全特性和魯棒性，同時討論了策略調度和裁決機制等兩項關鍵的擬態云服務運行機制。經實驗分析表明，擬態云服務具有較好的安全性，可以通過減小執行體的性能差異降低其響應時延。

擬態云服務；響應時延；動態；異構

1 引言

隨著云服務技術優勢的體現，越來越多的用戶選擇將其業務上云，基于云的應用服務得到快速發展。在云服務提供商向用戶提供多元化、多層次不同服務的同時，云服務面臨的安全問題也日益增多，包括傳統網絡安全威脅和云服務場景帶來的新挑戰[1-2]。例如，傳統的DDoS[3]、入侵[4]、病毒[5]、注入[6]等安全問題和針對云架構的虛擬機逃逸[7-8]、資源濫用[9]、側信道攻擊[10-12]等。據國家互聯網應急中心（CNCERT，National Internet Emergency Center）2019年上半年的統計數據顯示，各類型網絡安全事件中，云服務被植入后門鏈接數量占境內全部被植入后門鏈接數量的63.1%、被篡改網頁數量占境內被篡改網頁數量的62.5%，云服務已成為網絡攻擊的“重災區”，其安全問題已經成為阻礙用戶將應用遷移至云服務的重要因素之一。

云服務系統通過集成現有技術的軟硬件基礎設施進行構建，各部件已有的漏洞和后門加劇向云服務平臺聚集，其每個層面和部件出現的漏洞和后門都將直接影響整個系統的正常安全運作，據CNCERT統計數據顯示，自2014年以來，國家信息安全漏洞共享平臺（CNVD，China National Vulnerability Database）收錄安全漏洞數量年平均增長率為15.0%，其中2019年上半年“零日”漏洞（指CNVD收錄該漏洞時還未公布補丁）收錄數量同比增長34.0%。因此，漏洞和后門已成為云服務安全的重要威脅。例如，有名的“毒液（VENOM）”漏洞（編號CVE-2015-3456）[13]可允許攻擊者從受感染虛擬機中擺脫訪客身份限制獲取主機的代碼執行權限，進而控制宿主機系統實現虛擬機逃逸，此漏洞可能危害數據中心網絡中的任何一臺機器，數以百萬計的虛擬機很容易受到利用此漏洞的攻擊。

然而，現行的云服務安全防護技術大多基于威脅特征和攻擊行為感知等先驗知識的被動式防御，如病毒防護技術需要預先知道病毒特征碼建立病毒庫[5]，入侵檢測技術也需要知道威脅特征[4,14]，這類技術需要不停地找漏洞并給系統打補丁，難以有效抵御基于軟硬件未知漏洞或后門等的不確定威脅。近幾年出現的移動目標防御（MTD，moving target defense）技術通過使IP地址、服務端口、后端數據源或者路由等動態變化給系統帶來不確定性，從而增加攻擊者入侵難度[15-18]，但其面對未知后門問題依然難以解決。

網絡空間擬態防御（CMD，cyber mimic defense）技術克服了傳統安全方法的諸多問題，面對未知漏洞后門、病毒木馬等不確定威脅時具有顯著效果，該技術以動態異構冗余（DHR，dynamical heterogeneous and redundant）為核心架構，其能夠大幅提升攻擊難度，增強信息系統的安全性，同時具備發現未知攻擊的能力[19]。目前，在網絡空間各層面已有一些CMD技術的研究成果，如硬件層有擬態安全處理器[20]，網絡層有擬態路由器、擬態SDN控制器[21-23]、擬態域名服務器[24]等，數據層有擬態存儲系統[25]等，應用層有擬態Web服務器[26]等。

然而，針對云服務安全防護，還沒有相應的擬態防御技術研究。本文以云平臺應用服務節點的安全防護為切入點，提出面向應用的擬態云服務（MCS，mimic cloud service），對云服務節點構造基于CMD技術的擬態云服務包（MSP，mimic service package），并以服務包的形式提供該節點的業務服務。同時，云平臺天然具有的異構冗余特性以及資源池化和虛擬化帶來的動態性為構建MSP提供了切實可行的基礎支撐條件。另外，已有的研究大多從可靠性和抗攻擊能力等方面對CMD系統進行測試分析，而對用戶比較關心的響應時延問題少有探討，本文對擬態云服務的響應時延進行了實驗分析。

2 相關概念和定義

本節先簡要介紹DHR架構，然后對相關概念進行定義。

2.1 DHR架構

DHR架構是CMD的核心架構，該架構由輸入代理、執行體池（EP，executor pool）、表決器、策略調度器、異構資源池等組成。策略調度器控制各部件協同工作；輸入代理接收用戶請求并向執行體池進行分發；執行體池進行請求處理并將結果送給表決器；表決器收齊各執行體的處理結果后進行一致性擇多判決，最終產生唯一輸出并由輸出代理回送給用戶[19,27]。其架構如圖1所示。

動態、異構和冗余是DHR架構的主要特性，動態性對外呈現出不確定性，使攻擊者難以形成有效的探測和攻擊鏈[15-16]；異構性減少了執行體共有漏洞和后門等威脅，降低了協同攻擊的可能性[28]；冗余性增加了系統的容錯能力，提高了系統的可靠性[29-30]。策略調度使系統持續保持以上特性平衡穩定[31-32]，表決器通過裁決策略和信息反饋使系統能夠發現異常，并進行自我修正和恢復，進而有效抑制擬態逃逸風險[19,33]。DHR 架構具有高容錯能力，能獨立提供確定或不確定威脅的防御能力，可以解決可靠和可信服務環境的魯棒性、柔韌性和安全性問題[19]。

圖1 DHR架構

Figure 1 DHR architecture

2.2 相關概念定義

定義1 云平臺

云服務的基礎設施與管理平臺，也是云服務（含擬態云服務）的提供方，一般由云服務提供商建設。

定義2 管理者

云平臺的用戶，應用服務的開發及管理方，其使用云平臺提供的擬態云服務，也可被稱作應用管理者。

定義3 用戶

云應用服務的最終用戶，即云應用的消費者。

定義4 余度

執行體池中執行體的數量稱作執行體冗余度，簡稱余度。

3 擬態云服務架構

云服務系統通常由物理資源、虛擬資源池、云管理平臺、云服務平臺、應用系統組成，其架構如圖2所示。

圖2中物理資源和虛擬資源池構成云服務基礎設施層，在云管理平臺的調度控制下支撐云服務平臺向管理者的應用系統提供服務，云安全管理組件提供從底層到應用層的安全管控。云服務安全通常需要提供商和管理者共同負責，提供商主要對云服務基礎設施及相關資源的安全負責，通常能夠提供足夠措施保障云平臺本身的安全；管理者對數據和應用安全負責，其通常采用病毒木馬防護、補丁修復、入侵檢測等基于已知漏洞和后門等先驗知識的防護系統進行安全保障，難以應對未知安全威脅，如“零日”漏洞和后門等。

圖2 云服務架構

Figure 2 Cloud service architecture

本文提出在云服務平臺，面向應用服務節點構造基于DHR架構的MSP，使云平臺可以向用戶提供基于CMD技術的云服務節點，不但能夠解決未知安全威脅問題，同時提高服務的魯棒性。MSP作為整體單元提供標準的應用服務，符合請求?響應模型的應用系統都可使用。根據文獻[26,30]的研究表明，余度為3的執行體池較為實用，能夠獲得最佳性價比，本文主要針對3余度的情況進行相關討論。

擬態云服務架構如圖3所示，擬態云服務不改變原平臺的系統結構，只在云平臺的服務層構造滿足DHR架構的MSP向應用管理者提供擬態化的云服務。云服務平臺管理平面以插件的形式擴展對擬態云服務的功能支持，應用管理者在申請云服務資源時可根據需要選擇擬態云服務，即選擇以MSP的形式提供的云服務，以獲得安全性和魯棒性。

圖3中應用系統由應用管理者開發部署，應用的后端服務由圖中“服務”虛線框表示，其服務實體是擬態云服務包MSP，一個服務由一個MSP來提供，服務可有多個API接口；一個應用可以有多個MSP，也可以只用一個MSP。MSP由擬態服務控制器（MSC，mimic service controller）、服務代理（MSA，mimic service agent）、執行體池、虛擬節點（VN，virtual node）及相關資源和策略組成，構建擬態云服務的關鍵就是構造MSP。

圖3 擬態云服務架構示意

Figure 3 Mimic cloud service architecture

3.1 擬態服務控制器

擬態服務控制器是MSP的控制與調度單元，其主要功能如下。

（1）策略管理

負責執行體調度策略，輸出裁決、時間片、清洗等策略的管理與調用；策略可由云平臺系統預定義，也可由應用管理者自定義或者進行參數調整；策略是保證MSP正常運行的基礎，每個MSP都有一份策略配置表記錄該MSP可以使用的所有策略，由MSC維護。MSP啟動時、管理者下指令或者策略觸發時，MSC會把最新的策略配置表推送給MSA。

（2）服務代理管理

MSC通過向MSA推送策略、執行體池信息等消息控制其運行，并監測MSA運行狀態，發現MSA異常時啟動恢復程序保障其持續服務。

（3）執行體池管理

根據調度、時間片等策略以及MSA的反饋信息，MSC動態調整執行體池，并通知云平臺清洗或重新配置下線的執行體，以使異常的執行體恢復初始健康狀態。

（4）運行監控

MSC對MSP的各組件以及云平臺提供的相關資源（包括計算、網絡和存儲資源）進行監測，發現異常時向管理者和云平臺報送異常消息。

MSC由云平臺提供實現，其不參與服務業務（請求與響應）過程和數據的處理，除MSA可以向其反饋裁決信息外，不接收任何連接請求。控制信息由MSC主動推送給MSA，執行體的下線與清洗等需要云平臺執行的操作均由MSC主動向其推送控制消息。通過盡可能減少MSC的攻擊面，提高MSC的安全性，進而保障MSP的安全。在此，本文假定云服務提供者已經采取足夠的措施保障云基礎設施的安全，即假定云基礎設施是可信系統。

3.2 擬態服務代理

擬態服務代理是請求輸入和響應輸出的控制單元，其主要功能如下。

（1）接收和分發請求

負責接收來自用戶的業務請求，并根據MSC提供的策略向執行體池的所有執行體分發，此處的執行體池也是由MSC提供的。

（2）裁決和輸出

負責接收執行體返回的業務處理結果，當收齊所有執行體的結果時，根據MSC提供的策略進行一致性大數裁決，當有少數不一致的結果時，把該結果對應的執行體信息反饋給MSC，并把一致結果輸出給用戶。

MSA由云平臺提供實現，其不參與服務業務的處理過程，只把用戶請求向執行體池中的執行體進行分發，并對執行體返回的結果進行一致性大數裁決，最后向用戶返回唯一結果。

3.3 執行體池

執行體池是用戶請求的業務處理單元，其按照管理者的冗余度要求處理MSA分發的業務請求。EP中的多個執行體同時處理業務請求，并分別返回結果給MSA。

EP由MSC根據調度策略從異構資源池中動態生成，其在MSP中體現為配置表，該配置表描述了EP和異構資源池的映射關系。換句話說，EP是一個邏輯單元，其實際執行體節點由配置表映射到異構資源池。

圖4是3余度條件下一個執行池的映射關系示意，圖中執行體池映射表中的節點2、3、5實際是異構資源池中的節點2、3、5，MSC根據策略調整執行體池后，映射表中的節點將換成另外的組合，執行體池實際上就是一張邏輯配置表。

圖4 執行體池映射關系

Figure 4 Executor pool mapping

3.4 虛擬節點

虛擬節點是擬態云服務的執行體，負責對用戶業務請求進行處理并返回結果。云平臺根據管理者的申請提供足夠的異構VN資源給MSP作為異構資源池，MSC根據調度策略動態生成執行體池供MSA使用。

當虛擬節點異常（包括裁決為少數節點、宕機等）時，MSC根據策略調整執行體池并下線該節點，而后根據策略通知云平臺對該節點進行清洗（如系統還原、刪除換新等）、重配置等操作，也可通知管理者進行人工干預和異常分析，解除相關問題隱患后重新上線進入資源池備用。

虛擬節點的實例可以是虛擬機或者容器，要求各節點的實例分布在不同的物理主機。另外，根據管理者需要，節點實例也可以是物理機。

虛擬節點可在多個層面提供異構性支持，如宿主機、虛擬軟件、操作系統、應用軟件等層面。

4 運行機制

本節分別介紹擬態云服務配置與工作流程、執行體調度機制和輸出裁決機制。

4.1 擬態云服務配置

MSP從配置生成到提供服務要經過3個階段，分別如下。

1) 配置階段：云平臺根據管理者需求生成MSP，其表現為一組配置信息，如表1所示。

表1 MSP主要配置信息

2) 啟動階段：管理者啟動MSP，云平臺根據配置信息生成MSP實例，MSC、MSA及所有VN資源啟動運行，隨后MSC根據調度策略生成執行體池并連同相關策略下發給MSA，MSA打開服務接口等待用戶請求。

3) 服務階段：MSP收到用戶業務請求，MSA向執行體池分發請求，執行體池各執行體處理用戶請求并分別向MSA返回處理結果，MSA根據裁決策略進行輸出裁決，裁決的一致結果向用戶輸出。當裁決有不一致的情況時，將占少數的結果對應的執行體節點信息反饋給MSC，由MSC根據策略進行相關操作，若有必要則進行執行體池動態調度，更換執行體池并把新的執行體池下發給MSA，并通知云平臺把有異常的執行體下線進行清洗和恢復。圖5給出了一次請求處理過程的時序圖。

由圖5可知，在3余度條件下（其他余度情況相同），用戶的請求將由MSA分發給3個執行體VN進行處理，而執行體處理該請求的耗時是不一樣的，向MSA響應的時延就會有不一致，MSA必須等到時延最長的響應到達后才能進行裁決操作，這在一定限度上造成擬態云服務的響應時延比非擬態云服務大，再加上一致性裁決需要消耗處理時間，時延會進一步加大，因此需要考慮減小響應時延的問題。

4.2 執行體調度機制

執行體調度是MSP保持其執行體池動態性、異構性、冗余性的關鍵機制，有以下3種情況觸發調度。

圖5 請求處理過程時序圖

Figure 5 Request processing sequence

（1）裁決觸發

MSA執行輸出裁決后，若發現有少數不一致的輸出，則把對應執行體信息反饋給MSC，MSC根據相關策略觸發調度，把該執行體換出當前執行體池，并按策略調入另一個執行體組成新的執行體池，對于MSP來說，就是換了一張當前執行體池配置表。MSC還會通知云平臺把換出的執行體進行清洗或者刪除重建，該執行體恢復后將重新上線進入異構資源池待用。

（2）人工觸發

管理者根據實際情況調整執行體池的余度參數時，MSC需要根據新的余度參數生成新的執行體池列表，并啟動調度過程更換當前正在使用的執行體池。更換的一種方式是可根據實際情況選擇立即更換異構性最好的執行體池以獲得較好的安全性，然而這種方式可能會因換出的執行體數量較多而產生服務抖動或中斷；另一種方式是更換執行體變化最少的執行體池以保障服務的平穩，但可能會造成異構性較差。此外，管理者也可以直接啟動調度來更換當前執行體池，可以人為指定新的執行體池，也可由MSC按策略選擇。

（3）策略觸發

MSC按照相關策略觸發執行體的調度，生成新的執行體池并下發給MSA。例如，時間片策略的時間分片結束時啟動調度過程，隨機余度策略隨機更換執行體池余度時啟動調度過程，監控策略發現執行體異常或無響應啟動調度過程。

MSP通過上述調度機制可以獲得如下收益。

（1）增加攻擊難度

調度機制使MSP具有動態變換的特性，增加了MSP的不確定性，執行體的漏洞和后門難以利用，使同種攻擊連續成功的概率大幅降低，難以形成完整而持續的攻擊鏈[26,34]。

（2）降低擬態逃逸概率

調度機制使MSP的執行體池具有較好的異構性和冗余度，增加了MSP的魯棒性，減小了執行體池中各執行體存在共同漏洞和后門的概率，有效降低了擬態逃逸的可能性。

（3）平衡安全與成本

調度機制使MSP的動態和異構特性實現平衡互補[31]，當動態性弱時增加異構性，當異構性差時增加動態性彌補，保障了MSP的安全性。執行體池的冗余度較小時，系統開銷及資源占用成本較低，可通過動態性和異構性來保障MSP的安全；冗余度較大時，系統開銷和資源占用較高，在給定異構資源池的條件下，反而損失動態性和異構性。

4.3 輸出裁決機制

輸出裁決是MSP進行擬態防御的關鍵環節，其能夠發現執行體的異常或異樣表現，進而通過裁決反饋和調度機制阻止可能的攻擊行為。輸出裁決的工程實現有較高復雜度，對于同一個應用請求，異構執行體的輸出呈現大多是不同的，如呈現格式、可選信息、字段命名等，不能通過簡單的字符串比較來判決輸出內容是否一致，有時需要采用語義分析[35]或者抽樣比對[36]等方式進行判決，通常需要針對不同的應用采取不同的判決方法。另外，相比單執行體的直接輸出，裁決機制會增加MSP的響應時延。

對于面向應用的云服務，包括Web服務和微服務等，通常采用RESTful[37]架構風格的API接口，其接口的字段定義比較明確。MSP針對這種類型的應用服務引入響應接口模型，該模型有兩個要素（數據格式和數據字段），其中，數據格式通常是JSON、XML或者自定義。模型要求執行體向MSA返回數據時必須滿足這兩個要素，即要求加入MSP的執行體按照規定的格式和字段向MSA返回數據。接口模型的配置如表2所示。

表2 接口模型配置

管理者開發應用服務的多個執行體時，按照接口模型的配置要求向MSP提供對應的配置表，告知MSA執行體返回的數據格式和字段列表，MSA將其記錄為一個配置表。通過使用接口模型，可以大幅簡化裁決機制的實現，提高裁決效率和準確性。

裁決機制如下：MSP首先利用配置表指明的數據格式和數據字段對各執行體的處理結果進行一致性比對，比對過程要求格式和字段都一致；通過結果比對將各執行體按輸出內容進行分組，然后對各分組進行大數裁決選出占多數的分組作為唯一輸出。

在實際應用中若出現不能選出唯一多數分組的情況，則稱大數裁決失效。此時，可依據各執行體在以往多次裁決過程中的勝出次數，直接選擇勝出次數最多的執行體作為唯一輸出。

5 實驗分析

本節采用仿真的方法對MSP響應時延和安全性進行測試分析。設備配置為：Intel Core i7 1.80 GHz CPU和16 GB RAM，軟件系統采用Ubuntu Linux版本18.04LTS和JDK 12.0.1，工具為Java、Python、CloudSim。實驗采用3余度執行體池開展。

5.1 響應時延測試

本文將只有一個執行體進行業務處理的系統稱為單執行體系統，在實驗中也稱作非擬態系統，MSP系統稱為擬態系統。通常情況下，擬態系統響應時延相對非擬態系統有所增加，下面對這一情況進行深入分析。

（1）時延模型定義

為便于分析，給出能從基本面上反映時延關系的相關模型。其中，單個執行體的響應時延為

其中，表示執行體需要處理的任務量，表示執行體的處理性能，為響應時延，任務量越大時延越大，性能越好時延越小。其中，影響執行體處理性能的因素很多，包括CPU處理性能、操作系統性能和應用程序設計優劣等方面。式(1)中，忽略了網絡時延等其他因素。

MSP的響應時延表示為

其中1，2，3表示單個執行體時延，t表示裁決時延，MSP的響應時延是3個執行體時延的最大值加上裁決時延。

定義5 時延離散度

執行體的性能差異使其響應時延有長有短，單個執行體的性能波動也會使每次請求的響應時延不同，執行體響應時延的差異程度被稱為時延離散度，記為。時延離散度采用標準差進行計算，如式(3)所示。

（2）時延數據采集與分析

進一步分析時延離散度前，在兩個不同的虛擬機中分別仿真相同的業務處理內容，但業務處理內容雖然一樣，處理方法卻不相同，通過這種設置來代表兩個異構執行體。然后使用蒙特卡洛法[38]分別進行10 000次仿真業務，并采集這兩個異構執行體業務處理的時延數據，接著利用科學計算工具SciPy[39]對采集到的時延數據進行概率密度曲線擬合。時延數據概率密度擬合曲線如圖6所示。

圖6 時延數據概率密度擬合曲線

Figure 6 Probability density fitting curve of time delay data

如圖6所示，對基于不同虛擬機及不同處理方法的兩個執行體進行時延數據擬合，分別得到均值0.8、標準差為0.08的正態分布擬合曲線和均值0.5、標準差為0.03的正態分布擬合曲線，相關取值進行了近似處理。由圖6可知，不同的異構執行體的響應時延數據分布和正態分布擬合，且不同異構執行體的時延分布有明顯的區別。因此，為了能夠分析更多異構執行體的時延情況并簡化實驗條件聚焦問題分析，本文通過構造不同的正態分布數據來仿真MSP執行體的時延。

（3）時延離散度分析

通過改變正態分布的參數，構造不同離散度的時延數據。同時，為聚焦研究執行體時延問題，假設裁決時延為0。

實驗1 離散度固定，即固定正態分布的參數為（0.5, 0.03），重復進行500次實驗，每次實驗增加10個請求，分別測量MSP和非擬態系統每次實驗的請求響應時延平均值。結果如圖7所示。

圖7 響應時延測試

Figure 7 Response delay tests

如圖7所示，擬態系統的響應時延整體大于非擬態系統。當請求數增大時，時延平均值趨于穩定。分析可知，在同樣的離散度條件下，針對每次請求，MSP的3個執行體都要進行1次處理，MSA必須等齊3個執行體的處理結果并經過裁決才能向最終用戶響應，而非擬態系統由單個執行體返回響應。由于執行體的響應時延總是波動的，且MSP取執行體時延的最大值，該值大于非擬態系統的時延值的概率較大。排除執行體的設計缺陷等異常問題，執行體在正常情況下的性能是相對穩定的，波動幅度不會太大，處理的請求達到一定數量后，其響應時延均值必然會趨于穩定，這符合大數定律。

實驗2 請求次數固定為10 000次，調整正態分布的參數使時延離散度逐漸增大，對于每個時延離散度分別測量MSP和非擬態系統的平均響應時延，結果如圖8所示。

在圖8(a)所示的時延離散度情況下，擬態MSP的平均時延總是大于非擬態的平均時延，時延離散度越大，兩者的平均時延差越大，而圖8(b)則更清晰地呈現了這一趨勢，即隨著時延離散度的增加，MSP的平均時延比非擬態系統越來越大。分析可知，當時延離散度較大時，MSP的3個執行體的最大時延取一個較大的值的概率較大，使多次請求的平均值偏大；反之，時延離散度越小，MSP的響應時延越接近非擬態系統的單個執行體時延。

由式(1)可知，在任務量不變的情況下，時延由執行體的性能決定。實際應用擬態MSP時，為減小響應時延，可以有如下優化步驟。

1) 要求執行體池中的執行體不但功能等價，而且性能接近，以減小時延離散度。

2) 要求單個執行體的性能盡可能穩定，不產生大幅波動。

3) 提高裁決的處理性能，以減小裁決時延。

4) 對實時性要求較高的應用，可要求異構執行體性能相等，并可采用延后裁決的策略[40]，以此獲得和非擬態系統接近甚至相同的響應時延。

圖8 平均時延隨離散度變化情況

Figure 8 The mean time delay varies with the dispersion

可以采用業界標準化的測試工具對備選執行體的性能、時延等指標進行測試分析，計算其性能或者時延離散度，從而選取合適的執行體。

此外，結合實驗1可知，在給定離散度時，MSP和非擬態系統的平均時延差是穩定的，由此可知，通過減小時延離散度獲得的系統時延優化是穩定的。具體應用中，還需考慮執行體因異常導致的超長時延問題，可考慮設置時延閾值[41]，由MSP提供相應超時處理機制。

5.2 安全性測試與分析

實驗使用云仿真工具CloudSim[42]構造MSP模擬3余度的情況進行，對比測試擬態MSP和非擬態單執行體的安全性。

實驗設置3個異構執行體，其編號為1、2、3，按照共同漏洞指標的異構性要求[31]在1上預置漏洞，2上預置漏洞，3上預置漏洞，各執行體沒有共同漏洞。先將這3個執行體作為非擬態單執行體運行測試，然后把它們組合成MSP的執行體池進行測試。

實驗設置3個攻擊者，編號為1、2、3，攻擊者按序號分別發現執行體的漏洞，如1發現了1的漏洞。實驗中，觀察擬態MSP和非擬態單執行體的防護情況。實驗假設只要攻擊者發現執行體的漏洞，則對該執行體的攻擊必然成功。結果如表3所示。

表3 安全性測試結果

注：“P”表示攻擊成功，“O”表示攻擊失敗。

由表3的實驗結果可知，在非擬態情況下，1對1發起的攻擊獲得成功，對其他沒有發現漏洞的執行體攻擊失敗；攻擊者2和3也獲得同樣的效果。把3個執行體加入MSP構造擬態防御后，雖然原來的漏洞還存在，攻擊者也獲知了對應的漏洞，但對MSP的攻擊還是失敗了。下面以1為主分析實驗結果，其他攻擊者的情況相同。

裁決機制不但在MSP的輸出環節終止了1攻擊鏈的建立，同時發現了1的異常情況，其輸出了和其他執行體不一致的異樣數據。這時，將觸發MSP的調度機制，1將被調出執行體池，換入另一個執行體，同時MSC會通知云平臺把1進行清洗或者刪除重建，待1恢復后重新上線進入異構資源池待用。因此，通過裁決機制和調度機制的協同聯動，1將很難連續重現對1的攻擊，1將發現MSP不可測、不確定，進而使MSP獲得安全性。

然而，若1同時獲知了1和2的漏洞信息，或者1和2存在共同漏洞，則1將同時從1和2獲得期望的輸出結果，它們的輸出成為多數方，被裁決機制作為最終輸出。此時，MSP出現擬態逃逸，1攻擊成功。

下面進一步分析擬態逃逸率和余度設置相關情況。

假設執行體池中有（3≤≤21）個執行體，為了簡化仿真測試，設各執行體被攻擊成功的概率相同，概率為，且=0.5；然后采用文獻[26]的擬態逃逸概率計算方法，即擬態逃逸概率P=1×2×…×P，其中1到P分別表示第1號執行體到第號執行體被攻擊成功的概率，且它們都等于，表示執行體池的余度。仿真結果如圖9所示。

圖9 余度、成本及擬態逃逸概率關系

Figure 9 The relationship between redundancy, cost and mimic escape probability

由圖9可知，擬態逃逸率隨著余度增加而減小，并且從3余度到7余度的減小幅度最顯著，之后的減小幅度不太明顯；其次，隨著余度增加，MSP的執行體成本呈線性快速增長。分析可知，增加執行體池余度可以減小MSP發生擬態逃逸的概率，進而增加系統的安全性；但余度增加超過一定數量時，給MSP帶來的安全增益將快速減弱，反而會大幅增加系統成本，增加系統時延、系統復雜度等。因此，結合文獻[26,30]的研究，MSP通常采用余度為3的執行體池，3余度能獲得最佳性價比，在需要保持足夠的動態性和可靠性時可通過調度機制適當增加冗余度。

綜上所述，MSP通過調度機制和裁決機制使系統保持動態異構冗余特性，并對攻擊者呈現不可測和不確定性，使攻擊者難以維持有效攻擊鏈，進而獲得安全性，其防御機理如圖10所示。

圖10 攻擊鏈及MSP防御機理

Figure 10 Attack chain and MSP defense mechanism

如圖10中藍色箭頭所示，攻擊者對系統進行攻擊通常會經過探測、發現、植入、維持等過程[26,34]，通過這一過程形成一個完整的攻擊鏈，且攻擊鏈中每個步驟的操作都依賴上一步的成功實現。然而，如紅色箭頭所示，MSP通過動態調度可能會在其中的某個步驟中斷攻擊鏈，使攻擊失敗。這時，攻擊者需要重新建立攻擊鏈，而MSP的動態異構冗余特性增加了攻擊者重新建鏈的周期和難度，輸出裁決機制使攻擊者難以探測和發現期望的目標。對于離散的擬態逃逸事件，MSP通過調度機制不斷變換執行體池，使同一問題的擬態逃逸無法連續發生，攻擊者因此無法維持攻擊鏈，進而獲得攻擊阻斷，實現MSP的安全防護。

6 結束語

面對未知漏洞和后門帶來的安全威脅，研究人員從基礎硬件層、網絡服務層、數據存儲層、虛擬化層等多個切面[43]取得擬態化研究進展。本文面向應用服務層提出構建云服務節點的擬態化架構，使云服務具備內生安全性和魯棒性，可作為云平臺整體擬態化解決方案的補充。

當然，擬態云服務架構的諸多方面還需要完善，下一步主要從MSP多形態部署、混合部署、跨云部署著手，進而研究跨云部署帶來的網絡時延與執行體調度問題。

[1]GIRMA A, GARUBA M, LI J. Analysis of security vulnerabilities of cloud computing environment service models and its main characteristics[C]//2015 12th International Conference on Information Technology-New Generations. 2015: 206-211.

[2]CHOU T S. Security threats on cloud computing vulnerabilities[J]. International Journal of Computer Science and Information Technology, 2013, 5: 79-88.

[3]DARWISH M, OUDA A, CAPRETZ L F. Cloud-based DDoS attacks and defenses[C]//International Conference on Information Society (i-Society 2013). 2013: 67-71.

[4]BARAKA H B, TIANFIELD H. Intrusion detection system for cloud environment[C]//Proceedings of the 7th International Conference on Security of Information and Networks. 2014: 399-404.

[5]AL-SALEH M I, HAMDAN H M. On studying the antivirus behavior on kernel activities[C]//Proceedings of the 2018 International Conference on Internet and E-Business. 2018: 158-161.

[6]MAVROMOUSTAKOS S, PATEL A, CHAUDHARY K, et al. Causes and prevention of SQL injection attacks in web applications[C]//Proceedings of the 4th International Conference on Information and Network Security. 2016: 55-59.

[7]OUSMANE S B, MBACKE B C S, IBRAHIMA N. A game theoretic approach for virtual machine allocation security in cloud computing[C]//Proceedings of the 2nd International Conference on Networking, Information Systems & Security. 2019:1-6.

[8]ALNAIM A, ALWAKEEL A, FERNANDEZ E B. A misuse pattern for compromising VMs via virtual machine escape in NFV[C]// Proceedings of the 14th International Conference on Availability, Reliability and Security. 2019: 1-6.

[9]LINDEMANN J. Towards abuse detection and prevention in IaaS cloud computing[C]//2015 10th International Conference on Availability, Reliability and Security. 2015: 211-217.

[10]YANG C, GUO Y F, HU H C, et al. An effective and scalable VM migration strategy to mitigate cross-VM side-channel attacks in cloud[J]. China Communications, 2019, 16(4): 151-171.

[11]ZHANG Y, JUELS A, REITER M K, et al. Cross-tenant side-channel attacks in PaaS clouds[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. 2014: 990-1003.

[12]YOUNIS Y A, KIFAYAT K, HUSSAIN A. Preventing and detecting cache side-channel attacks in cloud computing[C]//Proceedings of the Second International Conference on Internet of Things, Data and Cloud Computing. 2017: 1-8.

[13]Common vulnerabilities and exposures[EB]. 2015.

[14]ANAND V. Intrusion detection: tools, techniques and strategies[C]// Proceedings of the 42nd Annual ACM SIGUCCS Conference on User Services. 2014: 69-73.

[15]PENG W, LI F, HUANG C T, et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]//2014 IEEE International Conference on Communications. 2014.

[16]ZHOU X, LU Y, WANG Y, et al. Overview on moving target network defense[C]//2018 IEEE 3rd International Conference on Image, Vision and Computing (ICIVC). 2018: 821-827.

[17]WANG S, ZHANG L, TANG C. A new dynamic address solution for moving target defense[C]//2016 IEEE Information Technology, Networking, Electronic and Automation Control Conference. 2016: 1149-1152.

[18]ZHANG J Z, F. FENG X W, WANG D X, et al. Web service applying moving target defense[C]//2018 IEEE Third International Conference on Data Science in Cyberspace (DSC). 2018: 640-645.

[19]鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報, 2016, 1(4) : 1-10．

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10

[20]張錚, 劉浩, 譚力波, 等. 工控擬態安全處理器驗證系統測試及安全分析[J]. 通信學報, 2018, 39(S2): 131-137.

ZHANG Z, LIU H, TAN L B, et al. Industrial control mimic security processor verification system test and security analysis[J]. Journal on Communications, 2018, 39(S2):131-137.

[21]ZHENG J, WU G, WEN B, et al. Research on SDN-based mimic server defense technology[C]//Proceedings of the 2019 International Conference on Artificial Intelligence and Computer Science. 2019: 163-169.

[22]李傳煌, 任云方, 湯中運, 等. SDN中服務部署的擬態防御方法[J]. 通信學報, 2018, 39(S2): 121-130.

LI C H, REN Y F, TANG Z Y, et al. Mimic defense method for service deployment in SDN[J]. Journal on Communications, 2018, 39(S2): 121-130.

[23]顧澤宇, 張興明, 林森杰. 基于擬態防御理論的SDN控制層安全機制研究[J]. 計算機應用研究, 2018, 35 (7): 2148-2152.

GU Z Y, ZAHNG X M, LIN S J. Research on security mechanism for SDN control layer based on mimic defense theory[J]. Application Research of Computers, 2018, 35(7): 2148-2152.

[24]王禛鵬, 扈紅超, 程國振. 一種基于擬態安全防御的 DNS框架設計[J]. 電子學報, 2017, 45(11): 139-148.

WANG Z P, HU H C, CHENG G Z. A DNS architecture based on mimic security defense[J]. Acta Electronica Sinica, 2017, 45(11): 139-148.

[25]陳越, 王龍江, 嚴新成, 等. 基于再生碼的擬態數據存儲方案[J]. 通信學報, 2018, 39(4): 21-34.

CHEN Y, WANG L J,YAN X C, et al.Mimic storage scheme based on regenerated code[J]. Journal on Communications, 2018, 39(4): 21-34.

[26]仝青, 張錚, 張為華, 等. 擬態防御Web服務器設計與實現[J]. 軟件學報, 2017, 28(4): 883-897.

TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017, 28(4): 883-897.

[27]HU H C, WU J X, WANG Z P, et al. Mimic defense: a designed-in cybersecurity defense framework[J]. IET Information Security, 2018, 12(3): 226-237.

[28]GARCIA M, BESSANI A, GASHI I, et al. Analysis of operating system diversity for intrusion tolerance[J]. Software-practice & Experience, 2014, 44(6): 735-770

[29]JOHNSTON W. Increasing system reliability-a survey of redundant control methods[C]//Fourth Annual Canadian Conference Proceedings., Programmable Control and Automation Technology Conference and Exhibition. 1988.

[30]潘計輝, 張盛兵, 張小林, 等. 三余度機載計算機設計與實現[J]. 西北工業大學學報, 2013, 31(5):798-802.

PANG J H, ZHANG S B, ZHANG X L, et al. Design and realization of treble-redundancy management method of flight control system[J]. Journal of Northwestern Polytechnical University, 2013, 31(5): 798-802.

[31]普黎明, 劉樹新, 丁瑞浩, 等. 面向擬態云服務的異構執行體調度算法[J]. 通信學報, 2020, 41(3):17-24.

PU L M, LIU S X, DING R H, et al. Heterogeneous executor scheduling algorithm for mimic cloud service[J]. Journal on Communications, 2020, 41(3): 17-24.

[32]張杰鑫, 龐建民, 張錚, 等. 面向擬態構造Web服務器的執行體調度算法[J]. 計算機工程, 2019, 45(8): 14-21.

ZHANG J X, PANG J M, ZHANG Z, et al. The executors scheduling algorithm for the Web server with mimic construction[J]. Computer Engineering, 2019, 45(8): 14-21.

[33]武兆琪, 張帆, 郭威, 等. 一種基于執行體異構度的擬態裁決優化方法[J]. 計算機工程, 2019, 10: 1-8.

WU Z Q, ZHANG F, GUO W, et al. A mimic ruling optimization method based on executive heterogeneity[J]. Computer Engineering, 2019, 10: 1-8.

[34]劉文彥, 霍樹民, 陳揚, 等. 網絡攻擊鏈模型分析及研究[J]. 通信學報, 2018, 39(S2): 88-94.

LIU W Y, HUO S M, CHEN Y, et al. Analysis and study of cyber attack chain model[J]. Journal on Communications, 2018, 39(S2): 88-94.

[35]QI Q, WU J X, HU H C, et al. An intensive security architecture with multi-controller for SDN[C]//2016 IEEE Conference on Computer Communications Workshops (INFOCOM WKSHPS). 2016: 401-402.

[36]李文彬, 劉璇, 張建暢, 等. 基于隨機抽樣一致性的誤匹配剔除方法研究[J]. 計算機仿真, 2019, 36(10): 233-237.

LI W B, LIU X, ZHANG J C, et al. Mismatching culling algorithm based on minimum distance and RANSAC fusion[J]. Computer Simulation, 2019, 36(10): 233-237.

[37]CHRISTENSEN J H. Using RESTful Web-services and cloud computing to create next generation mobile applications[C]// Proceedings of the 24th ACM SIGPLAN Conference Companion on Object Oriented Programming Systems Languages and Applications. 2009: 627-634.

[38]巴斌, 鄭娜娥, 朱世磊, 等. 利用蒙特卡洛的最大似然時延估計算法[J]. 西安交通大學學報, 2015, 49(8): 24-30.

BA B, ZHENG N E, ZHU S L, et al. A maximum likelihood time delay estimation algorithm using monte carlo method[J]. Journal of Xi'an JiaoTong University, 2015, 49(8): 24-30.

[39]VIRTANEN P, GOMMERS R, OLIPHANT T E, et al. SciPy 1.0: fundamental algorithms for scientific computing in Python[J]. Nature Methods, 2020, 17(3): 261-272.

[40]WANG Y W, WU J X, GUO Y F, et al. Scientific workflow execution system based on mimic defense in the cloud environment[J]. Frontiers of Information Technology & Electronic Engineering, 2018, 19(12): 1522-1537.

[41]聶德雷, 趙博, 王崇, 等. 擬態多執行體架構下的超時閾值計算方法[J]. 網絡與信息安全學報, 2018, 4(10): 68-76.

NIE D L, ZHAO B, WANG C, et al. Timeout threshold estimation algorithm in mimic multiple executors architecture[J]. Chinese Journal of Network and Information Security, 2018, 4(10): 68-76.

[42]CALHEIROS RN, RANJAN R, BELOGLAZOV A, et al. CloudSim: a toolkit for modeling and simulation of cloud computing environments and evaluation of resource provisioning algorithms[J]. Software: Practice and Experience, 2011, 41(1): 23-50.

[43]周清雷, 馮峰, 朱維軍. 基于功能切片的擬態防御體系結構及安全等級評估方法[J]. 通信學報, 2018, 39(S2): 95-105.

ZHOU Q L, FENG F, ZHU W J. Mimic defense organization structure based on functional slice and method of evaluating security level[J]. Journal on Communications, 2018, 39(S2): 95-105.

Mimic cloud service architecture for cloud applications

PU Liming, WEI Hongquan, LI Xing, JIANG Yiming

Information Engineering University, Zhengzhou 450001, China

In order to solve the problem of the lack of heterogeneity and dynamics of cloud application services with a single executor, and the difficulty of dealing with the security threats of unknown vulnerabilities and backdoors, a mimic cloud service architecture was proposed. In this architecture, the application services provided by the cloud platform were constructed into a service package based on mimic defense technology, so that the application services had the endogenous security features and robustness brought by mimic structure. At the same time, two key mimic cloud services operating mechanism，policy scheduling and adjudication mechanism were discussed. The experimental results and analysis show that the mimic cloud service obtains better security and its response time delay can be reduced by reducing the performance difference of the executor.

mimic cloud service, response delay, dynamic, heterogeneous

TP309

A

10.11959/j.issn.2096?109x.2021011

2020?04?08；

2020?07?05

普黎明，plm@ndsc.com.cn

國家科技重大專項基金（2018ZX03002002）；國家自然科學基金（61521003）

The National Science and Technology Major Project of China (2018ZX03002002), The National Natural Science Foundation of China (61521003)

普黎明, 衛紅權, 李星, 等. 面向云應用的擬態云服務架構[J]. 網絡與信息安全學報, 2021, 7(1): 101-112.

PU L M, WEI H Q, LI X, et al. Mimic cloud service architecture for cloud applications[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 101-112.

普黎明（1976?），男，云南嵩明人，信息工程大學副研究員，主要研究方向為網絡安全、網絡體系結構。

衛紅權（1971?），男，河南唐河人，博士，信息工程大學研究員，主要研究方向為融合網絡安全、可重構網絡理論與技術。

李星（1987?），男，河南新鄉人，博士，信息工程大學助理研究員，主要研究方向為鏈路預測、社團挖掘。

江逸茗（1984?），男，江蘇南通人，博士，信息工程大學講師，主要研究方向為網絡虛擬化、網絡架構。