信息通信網絡中擬態防御機理與關鍵技術分析

楊哲　陳云柯　夏立強

摘要：科學技術的發展，使信息通信網絡的發展規模越來越大，在信息通信網絡中有諸多復雜因素，尤其是信息技術在全球范圍內大面積應用，為信息通信網絡帶來更多的“毒化污染”，促使各個網絡節點或者鏈路出現諸多漏洞，影響信息通信網絡的安全性。本文針對信息通信網絡中擬態防御機理進行分析，繼而討論擬態防御技術在信息通信網絡中的應用策略以及未來展望，以供參考。

關鍵詞：信息通信網絡；擬態防御；網絡安全

一、引言

現階段，信息通信網絡已經從傳統的消費系統轉變為促進社會發展的重大基礎設施，信息通信網絡對人們的生產和生活方面帶來便利的同時，也為人們帶來一定風險，對各個國家的經濟、政治以及軍事方面具有深刻影響，由此可見，信息通信網絡的安全對社會諸多領域發展具有重要作用。

二、信息通信網絡中擬態防御機理分析

（一）擬態防御原理

擬態防御創造靈感主要源于自然界，按照自然的機理作為擬態偽裝，其保持本質功能不變的情況下，將不確定的紋理、色彩以及形狀變化為捕獵者造成錯覺。在信息通信網絡中，也是同樣的道理，在不影響信息通信網絡的服務功能情況下，以及保證信息通信網絡正常運行的條件下，將系統架構以及運行機制或者尚未明確的弱點，按照擬態偽裝的方式進行隱藏，繼而實現干擾或者阻隔網絡攻擊的目的。在這種信息通信網絡空間中，就會被稱為擬態防御，擬態防御技術將網絡空間中未知的病毒或者漏洞以及木馬等病毒全部隔絕在外。

擬態防御技術利用動態異構防御思想進行信息通信網絡防護，所謂異構冗余就是將信息通信網絡中的眾多元素，實現成一個等價功能機制，不管是單獨使用的元素，還是組合使用的元素，都可以組成一個等價功能機制，其目的就是改善冗余元素中的缺陷或者故障，擬態防御等價功能機制中的冗余結構，詳細如圖1所示。

在信息通信網絡中，要想避免遭受攻擊，就要利用異構、冗余架構以及動態作為安全防御結構，促使擬態防御技術能夠將潛在的威脅控制，促使信息通信網絡具備安全性與穩定性。

DHR（冗余架構）的作用就是保證異構冗余的前提下，增加動態性或非動態性因素，使得信息通信網絡具備不確定性，繼而干擾攻擊者的信息，為網絡攻擊增加一定難度，最大限度地降低攻擊發生的概率。

（二）預防數據攻擊的擬態防御架構

擬態防御在信息通信網絡應用過程中，可以對不同程度數據攻擊進行防御，并且在數據攻擊擬態防御架構中，也可以進行防御，在本文中擬態防御架構，主要是利用DHR構建擬態防御機制，促使擬態防御形成一個獨特的架構，預防數據攻擊的擬態防御機制。

本段主要以ACL為背景，下面詳細來講MDADA（防數據攻擊的擬態防御架構）工作機制：

1.功能組件

在異構冗余執行過程中，需要對異構冗余的執行區域進行明確，因為異構冗余執行需要對各項業務數據增加加密功能，這樣可以提升異構冗余執行的有效性。另外，在分發器過程中，由于分發器共分為兩種，一種是分發器，另一種是加密分發器，因此，需要進行詳細識別。同時，裁決器方面，在進行裁決之前，需要確定裁決結果的重點輸出或輸入。

2.組件式過程

組件式過程包括多個環節，下面詳細來講組件式過程：

第一，加密式過程中，需要根據ACL的相關規定對分發器進行復雜配置，以保證復制的數據和異構執行的數據保持一致性。在ACL和上線執行過程中，需要和異構的執行體之間產生差距，進行詳細標記，并進行配對。第二，解密過程中，主要是利用ACL分發器，將編輯后的執行體與異構執行體完成配對。第三，裁決過程中，應該基于數據中的指紋進行反復對比，確定指紋比對正確后，在封裝中進行裁決。另外，解密完成后，需要利用Hash算法，計算出冗余后指紋的矢量，如果冗余指紋的矢量和原本的矢量差距較大，就說明ACL出現問題，應該及時進行處理，避免決策器出現問題。

3.運行激勵

針對運行激勵，在初始化運行激勵過程中，應該保證MDADA系統能夠在初始化完成后再進行下一步操作，其主要激勵流程為d→a。另外，針對擬態防御的控制層激勵，應該對所有的訪問進行嚴格攔截。和ACL進行比較，這個激勵流程主要為b→c→ACL。針對控制修改激勵，應該保證ACL合法的情況下進行適當的修改，在這個環節中，MDADA的激勵流程為b→c→ACL。針對動態調度過程中，應該在保證異構冗余執行體中進行調整，這個構成的激勵流程為b→（c，d）→a以及c 和 d 同時進行。詳細工作原理如圖2所示。圖2為MDADA工作邏輯原理。

三、信息通信網絡中擬態防御關鍵技術應用策略

（一）擬態防御目標分析技術

在信息通信網絡中，網絡在某個時間遭遇攻擊或者沖突時，如果攻擊者以及防御者所具備的網絡技術水平沒有較大差距，那么，攻擊者和防御者雙方的網絡技術水平直接決定后續產生的后果，這也和信息通信網絡的安全發展有直接關系。那么，如果攻擊者和防御者雙方的網絡技術水平存在較大差距，這二者之間就會選擇決策的方式，制定科學合理的策略，促使二者之間都能夠享受到最大的經濟利益。基于此，在信息通信網絡遭受到沖突或者攻擊時，應該根據自身網絡技術水平，明確與對方的網絡技術差距，再詳細分析擬態防御目標分析技術，繼而針對擬態防御目標針對性提升信息通信網絡的擬態防御方法。同時，信息通信網絡在選擇擬態防御目標技術時，應該秉持著最優性原則，并且在擬態防御目標技術選擇過程中，應該對各個攻擊類型進行綜合判斷，促使防御者能夠享受到最大的經濟效益。另外，在選擇擬態防御目標分析技術時，需要保證選擇過程具備清晰性，為后續的擬態防御目標分析技術實施奠定基礎，擬態防御的對象主要是通過選擇后，在服務現實生活中通信網絡場景，因此，在開展防御攻擊時，應該對相關攻擊數據進行詳細研究與分析，繼而選擇高效的擬態防御技術策略[1]。

（二）感知網絡攻防技術

在信息通信網絡中，如果遭遇到網絡攻擊，應該熟練掌控感知網絡攻防技術方法，因為網絡攻防感知，主要是通過信息通信網絡擬態防御為基礎進行構建的，在網絡攻防感知技術中，主要負責收集相關攻擊類型與擬態防御行為的相關數據，促使防御者能夠在短時間明確網絡攻擊中的具體行為，以及接下來應該如何應對，防御者便可以擬定最優的信息通信網絡擬態防御，這也是收集攻擊類型和攻擊行為數據的主要原因。另外，防御者通過攻擊行為數據，就可以對信息通信網絡中產生的漏洞進行詳細分析，繼而明確攻擊行為和信息通信網絡系統之間的關系。現階段，信息通信網絡中，由于掃描的工具各不相同，要想更好開展相關數據收集工作，就要將信息通信網絡中產生掃描漏洞分為兩種方式，一種是通過網絡漏洞掃描方式，一種是通過主機漏洞的掃描方式。這兩種掃描方式具體的流程有以下幾點：第一，在對信息通信網絡進行檢查過程中，防御者需要對網絡中的攻擊行為數據包搭建模型，模擬攻擊行為發生時，信息通信網絡會產生怎樣的反應，獲得相關的數據，防御者便可以對本次攻擊行為在信息通信網絡中產生的漏洞進行檢查與修復。第二，通過主機漏洞的掃描方式，防御者對主機中的漏洞進行全面檢查，并根據本地信息通信網絡的不同場景進行檢查，主要包括系統掃描、本文文件以及其他涉及的安全配置，這能夠更好應用感知網絡攻擊技術。

（三）信息通信網絡安全風險綜合研判技術

如果要想更好運用信息通信網絡安全風險綜合預判技術，就要掌握正確的方法，并且將信息綜合判斷作為信息通信網絡安全風險綜合研判的重點。另外，由于信息通信網絡中的眾多數據，都是通過鏈路在整個通信網絡中高效傳輸，因此，在開展總體決策過程中，應該將網絡安全風險排除在外，因為網絡安全風險，會直接影響最終的總體決策結構。基于此，在進行信息通信網絡安全風險研判技術時，應該全面掌握信息通信網絡運行的詳細情況，繼而針對性選擇安全風險研判技術方法。正常情況下，網絡安全風險研判技術主要有以下幾個類型包括定性判斷技術類型、定量判斷技術類型以及定量和定性判斷相結合的技術類型。需要注意的是，在選擇定量和定性判斷技術相結合時，應該盡快找到一個判斷節點，再對信息通信網絡中安全風險各個節點進行判斷。

另外，在檢查風險節點過程中，如果周圍的節點和相鄰的節點之間存在平衡環，就要避開這個節點，前往下一個區域檢查，如果沒有平衡環，就要停下來，在判斷的節點之間增加平衡環，判斷兩個節點之間是否存在風險。同時，在通信網絡中的各個判斷節點中，應該對每個相近的節點找到相應的備份，繼而保證在前往下一個節點，能夠通過備份節點跳轉到下一個，這樣一來，在節點跳轉過程中，就可以針對風險判斷的結果傳輸數據，不僅可以節省網絡風險研判的時間，還會避免全部堵塞在同一個節點中，避免發生節點不可以進行數據傳輸的情況。如果當信息通信網絡中的節點發生堵塞，出現閾值的情況，就要在信息通信往來中找到可以數據傳輸的節點，促使這個節點暫停發送數據，再促使周圍的節點和相鄰的節點執行刪除或者卸載的命令，有助于保證數據的安全。如果流量的閾值達到頂峰，就要判斷信息通信網絡中的節點是否可以對本地文件進行搜索，通過搜索后，可以將堵塞的節點進行轉發。因此，通過信息通信網絡安全風險研判技術，能夠最大限度保證信息通信網絡的安全性[2]。

（四）構建信息通信網絡虛擬防御技術

構建信息通信網絡虛擬防御技術過程中，應該利用信息通信網絡中的公共網絡，因為公共網絡主要是利用虛擬網絡訪問服務和路由器的，或者移動通信設備，這些都可以在公共網絡中建立專門的網絡。另外，數據傳輸具有單向的特點，簡單來講，數據傳輸就是只可以被動接受，不可以主動獲取，基于此，在構建信息通信網絡虛擬防御技術過程中，應該利用網絡虛擬隧道，促使虛擬隧道在網絡中高效傳輸，并且還可以保證虛擬網絡數據傳輸的隱秘性與安全性。與此同時，在數據傳輸中，需要將傳輸的數據進行分組，并且在傳輸中需要構建公共網絡空間，在構建過程中，可以對各個風險信息有效攔截，將不法分子的數據進行攔截，提升信息通信網絡中的安全性。基于此，利用網絡虛擬防御技術，在公共網絡中進行數據傳輸時，能夠有效避免兩臺計算機發生數據泄露與丟失的風險，最大限度降低數據傳輸的費用成本，全面提升信息通信網絡的安全性與穩定性[3]。

四、基于擬態防御的控制層安全機制

擬態防御架構作為一種技術，應該在擬態防御技術中增加SDN，促使擬態防御技術功能增加，并且通過控制器的形式開展信息通信網絡風險防御工作。多個控制器可以匯總網絡中的數據并與傳輸的數據進行詳細對比。與此同時，通過控制器能夠對信息通信網絡中的多個板塊進行處理。

在擬態防御的控制層增加控制器代理，就可以有效將控制層和數據層之間的消息進行傳輸與交互，控制層中主要是由多個異構等價控制器組成。在設置相應的傳輸異流表后，可以將主控制器的流表進行轉換，使主控制器的流表轉變為交換機。從而攔截其他控制器中的流表，并將各個控制器中的流表進行詳細對比。

擬態防御控制層為了保證監督的有效性，應通過主控制器對不同流量表進行傳輸。例如，基于POX和ODL算法，對擬態防御控制層的路由功能進行計算，再利用Python和Java實現，從而提升擬態防御控制層的安全性。此外，控制器代理主要包括以下幾個方面：第一，消息分發，主要是在代理控制器接收到數據信息后，利用復制或轉發，將代理主控制器進行控制，以確保他們能夠接收到清晰的網絡視圖。第二，響應匯集，主要負責代理控制器的配置消息，如Switch configuration等，這些數據消息主要由擬態防御控制層進行轉發與控制，并需要重點監控，以避免出現安全風險。第三，流表裁決，主要是通過語義之間相對對比，再由控制器來嚴格控制流表，以避免控制器的流表之間產生問題，從而提升信息通信網絡的安全性[4]。

針對性能方面，在擬態防御控制層安全機制中，不需要改變原本的SDN網絡結構以及其他協議，并且無需對原本的信息通信網絡控制器進行處理，繼而提升信息通信網絡中的安全性。另外，在代理主控制器的網絡視圖方面，需要增加相應的通信延遲裝置，代理主控制器中的周圍，要想保證性能不受影響，就要在網絡主控制器中擴大資源開銷，有助于提升安全性能。因為代理主控制類似于網橋，該區域一般情況下，不會產生故障或者出現網絡攻擊行為，代理控制器還可以充當監督功能，一旦出現異常，也不會對信息通信網絡造成安全威脅。在代理主控制中，無需使用大量的接口，就可以防止攻擊行為的發生，繼而保證信息通信網絡的安全[5]。

五、結束語

總的來講，社會在不斷發展，人們的生產和生活方式已經發生了變化，信息通信網絡的規模越來越大，并且在社會經濟中占據重要地位。特別是隨著新興網絡技術的不斷增加，信息通信網絡面臨著一定的風險，因此，加強擬態防御技術以增強信息通信網絡安全性至關重要。擬態防御技術能夠避免信息通信網絡遭遇攻擊，并提升信息通信網絡的安全性。

參? 考? 文? 獻

[1]杭杰，吳月梅，胡心盈. 網絡安全新平衡-擬態防御原理綜述[J]. 工業信息安全，2022，（05）：25-34.

[2]倪曉波，劉進芬. 擬態防御技術在無人機飛控領域的應用與分析[J]. 網絡安全技術與應用，2022，（02）：128-129.

[3]郁晨. 結合擬態防御的可信車聯網直接匿名認證技術研究[D].東南大學，2021.

[4]羊子煜. 面向擬態防御的可信安全認證技術研究[D].東南大學，2021.

[5]趙海寧. 擬態防御系統中的同態技術應用研究[D].東南大學，2021.

楊哲（1987.08-），男 ，回族，天津，本科，工程師，研究方向：數據通信、網絡關鍵技術研究；

陳云柯（1994.06-）， 男，漢族，北京，本科，工程師，研究方向：數據通信、SRv6創新技術

夏立強（1988.06-），男，漢族，天津，本科，助理工程師，研究方向：數據通信、網絡安全