基于魯棒控制的網絡空間反監控系統設計

◆汪小毛

（安徽理工大學 安徽 246000）

1 引言

目前網絡空間中不斷出現新型先進的網絡攻擊，新型的網絡武器也被不斷的開發創新，這導致思維方式和技術方向成為網絡空間安全領域集中研究的兩個主要方向。區別于傳統的馮·諾依曼思維方式，本文設計的反監控系統由“結構服務于應用”轉變為“結構決定功能，結構決定性能，結構決定效能”的多維環境動態重構思想。技術方向與大多數靜態、確定、相似的處理環境不同的是，該系統采用面向多領域軟硬件協同的擬態計算架構，它具有主動認知多樣性、動態性以及隨機性特點，對于網絡空間存在的元功能問題以及難以突破的“敵我識別”機制難題，其可借助網絡攻防技術獲取主動控制權，靈活應用擬態偽裝以及負反饋機制更好地實現網絡安全的管理。

2 擬態計算架構設計

2.1 結構設計

反監控系統利用兩檔變焦掃描紅外光學攝像頭，擴大了光電設備的掃描范圍，且凝視狀態與周掃狀態均可對十字靶標清晰成像。

從信息熵的角度出發，攻防雙方實際上是對系統控制中心展開持續的博弈，這就會增大整體結構的不穩定、不確定以及冗余性。采用DHR（Dynamic Heterogeneous Redundancy）可以較好地平衡內生安全問題，同時在控制構造和運行機制方面具有良好的熵平衡特性，以及在穩定性、可延展性、健壯性等方面又有可量化設計、可驗證度量的穩定魯棒性和品質魯棒性。系統結構設計圖如圖1所示。

圖1 系統結構設計圖

其中，Aj(j=1,2,…,k)表示異構執行體元素，Ei(i=1,2,…,m)表示與異構體功能等價的可重構場景。

2.2 性能設計

性能主要從多樣性、隨機性和動態性三個方面進行分析設計。多樣性機制是保證網絡空間服務功能以及終端攻防的重要突破口，它的核心設計在于在不增加成本且不影響執行體空間關系和功能等價關系的前提下，采用不同的方式將同一個目標實體以多種變體的形式表達出來，從而增加攻擊復雜度；隨機性將網絡漏洞后門等危險和可利用難度以概率的形式測試出來，從而顯著提高系統安全性以及攻擊的成功率動態性設計體現在利用系統冗余組件以及可重構、可重組、虛擬化的配置環境增大部署的不確定性，進而為實現博弈雙方的“敵我角色”轉換提供可能性。

2.3 效能設計

DHR 是在非相似余度架構基礎上增添了提高不確定性的動態、隨機、多樣和自適應反饋等一系列控制機制。因此，可靠性極限和非相似余度的一致性錯誤可以作為檢測評估效能的兩個設計指標。

2.3.1 網絡空間擬態攻擊技術

實施網絡攻擊往往需要經過以下幾個步驟：系統掃描探測、特征識別、映射關聯、協調控制、漏洞挖掘、攻擊、攻擊效果評估、信息獲取和傳播等。進行攻擊等行為往往易被偵察到，所以攻擊者需在保證當前網絡服務功能和性能前提下，導入擬態偽裝或隱形欺騙功能，混淆系統感知與檢測效果。

2.3.2 擬態攻擊系統故障GSPN 模型

基于GSPN 模型與馬達可夫鏈同構，本系統采用同構法對系統進行攻擊從而獲取攻擊效果并對其評估。GSPN 模型的可達集有隱狀態MV和顯狀態MT兩類，其中隱狀態可以瞬態變遷，而顯狀態變遷不能。假設執行體攻擊成功的時間滿足指數分布，則系統轉移概率矩陣可以表示為：

其中，U 是轉移速率矩陣，qij即為轉移速率，Q矩陣是以qij為元素的矩陣，λ1（h）表示執行體攻擊導致故障的平均時間。

基于GSPN 模型實施規則和瞬息變態不存在時延得出狀態可達集，對每個變遷過程相關參數予以狀態標識的穩態概率，得出穩態可用概率AP=0，穩態逃逸概率EP=0.5，穩態非特異性感知概率NSAP=0，穩態降級概率FP=0.5。

系統狀態概率與系數λ1（h）的關系反應出非冗余系統在被攻擊時只存在降級和逃逸兩種狀態，且穩態降級概率以及穩態逃逸概率與單個執行體故障的平均時間λ1（h）無關。因此非冗余系統不具備持續攻擊能力也不具有魯棒性。

3 基于編碼理論的信息傳輸模型

信道編碼的問題可轉換成概率問題，從而實現了不確定性噪聲信道的可靠信息傳輸。DHR 可抑制物理因素引發的攝動，也可以增強有關不確定擾動的攻擊。模型將傳輸信號分為3 路，分別為原始信號、分量碼編碼信號以及兩者結合的編碼信號。分別將傳輸信號進行迭代計算，輸出的迭代結果作為軟判決，最終再進行硬判決得出信息序列Ck每一比特的最佳估計值序列L（u）。根據譯碼算法，輸出內容包含系統位信息的判決值及可信度檢測，分別表示為L（Uk）和Le（Uk）。

經過多次迭代，分別得出攻擊的可靠性和一致性概率。通過編碼信道理論實現了非隨機擾動和有記憶信道環境信息的正確處理和傳輸，一體化解決了系統可靠性問題。

4 測試評估

擬態攻擊系統故障GSPN 模型經過建立和量化計算分析后，說明該系統在可靠性方面具有良好的穩定性，且穩定可用的概率接近1，首次故障時間要遠遠高于其他兩個系統，本文采用構造路由環境測試其平均吞吐率和平均時延，系統測試評估結果如表1所示。

表1 系統測試評估表

引入擬態攻擊機制仍然可以保證路由器基本功能和性能無明顯下降，再對增強的攻擊性和節點破壞程度進行仿真，系統攻擊動態圖如圖2所示，節點攻擊動態圖如圖3所示。

圖2 系統攻擊動態圖

圖3 節點攻擊動態圖

擬態攻擊反監控系統從隱匿時間、攻擊效果以及整體系統影響程度等方面分析，隨著隱匿時間越長，系統攻擊強度越大，導致系統整體受破壞程度越大，進而可得該系統具備良好的偽裝機制和內部滲透融合功能，可以一體化提高可靠性、可用性及可信度。系統所使用的方法及采用的機制與控制設備具備較強的兼容性和普適性。

5 結論

由于擬態攻擊反監控系統是基于可靠性架構下的可信安全機制，本文通過嚴謹的注入測試，得到可靠性和可用性的流量攻擊強度比以及反映內部受影響程度的指標變化λ1（h）從起始3s 到1.5s 且并沒引發觸發器報警證明了本文設計的DHR 可以保證系統穩定性、可靠性，且融合的擬態偽裝機制可以增大攻擊強度，進而在博弈中占據優勢地位。