馬海龍/MA Hailong，任權(quán)/REN Quan，伊鵬/YI Peng

（ 中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué)，中國(guó) 鄭州 450001 ）

隨著信息化和工業(yè)化的高度融合，各類信息安全事件層出不窮，網(wǎng)絡(luò)空間安全問(wèn)題成為信息時(shí)代日益嚴(yán)峻的挑戰(zhàn)[1]。為了應(yīng)對(duì)各類網(wǎng)絡(luò)安全事件，傳統(tǒng)的網(wǎng)絡(luò)防御是在系統(tǒng)上，通過(guò)防火墻、惡意檢測(cè)等附加式防御手段來(lái)提高系統(tǒng)的抗攻擊能力。盡管上述防護(hù)技術(shù)能在一定程度上減少網(wǎng)絡(luò)攻擊造成的危害，但逐年遞增的網(wǎng)絡(luò)安全事件卻表明現(xiàn)有網(wǎng)絡(luò)安全防御架構(gòu)難以應(yīng)對(duì)基于未知的漏洞后門(mén)發(fā)動(dòng)的未知攻擊，總體表現(xiàn)為：工程技術(shù)手段的局限性，任何軟硬件廠家都無(wú)法確保網(wǎng)絡(luò)設(shè)備中不存在任何設(shè)計(jì)缺陷；在全球開(kāi)放式產(chǎn)業(yè)鏈條件下，任何廠商都不能確保生產(chǎn)鏈等環(huán)節(jié)未被蓄意植入后門(mén)；開(kāi)源模式已經(jīng)成為技術(shù)開(kāi)發(fā)的主流趨勢(shì)，現(xiàn)有的科技理論和方法尚不能徹查系統(tǒng)中的漏洞與后門(mén)；修補(bǔ)式的被動(dòng)網(wǎng)絡(luò)防御策略難以應(yīng)對(duì)日新月異的網(wǎng)絡(luò)攻擊方法[2]。

為改變網(wǎng)絡(luò)空間攻防不對(duì)稱性的格局，提高網(wǎng)絡(luò)系統(tǒng)應(yīng)對(duì)攻擊的能力，網(wǎng)絡(luò)空間擬態(tài)防御[3]被提議作為網(wǎng)絡(luò)安全“改變游戲規(guī)則”的研究主題之一。擬態(tài)防御技術(shù)是通過(guò)動(dòng)態(tài)異構(gòu)冗余構(gòu)造與擬態(tài)偽裝機(jī)制來(lái)規(guī)避網(wǎng)絡(luò)空間廣義不確定性擾動(dòng)問(wèn)題。2008年，鄔江興教授受生物界擬態(tài)現(xiàn)象啟發(fā)，提出了“結(jié)構(gòu)決定效能”的擬態(tài)計(jì)算，又從“結(jié)構(gòu)決定功能與安全”思路入手，將動(dòng)態(tài)異構(gòu)冗余架構(gòu)與廣義魯棒控制機(jī)制融合，創(chuàng)立擬態(tài)防御理論體系，逐步開(kāi)辟了網(wǎng)絡(luò)空間擬態(tài)防御（CMD）研究方向，期望通過(guò)架構(gòu)設(shè)計(jì)賦予信息系統(tǒng)內(nèi)生安全能力。內(nèi)生安全是指借助系統(tǒng)本身的構(gòu)造、機(jī)制、運(yùn)行場(chǎng)景以及規(guī)律等內(nèi)部屬性，達(dá)成的安全功能或?qū)傩?。擬態(tài)防御是基于功能等價(jià)的多個(gè)執(zhí)行單元，以提供目標(biāo)環(huán)境的動(dòng)態(tài)性、非確定性、異構(gòu)性、非持續(xù)性為目的，動(dòng)態(tài)地構(gòu)建網(wǎng)絡(luò)、平臺(tái)、環(huán)境、軟件、數(shù)據(jù)等多樣化的擬態(tài)環(huán)境。擬態(tài)防御基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)與擬態(tài)偽裝機(jī)制實(shí)現(xiàn)了將隨機(jī)或非隨機(jī)擾動(dòng)轉(zhuǎn)化為概率可控的可靠性事件。

因此，本文將對(duì)網(wǎng)絡(luò)空間擬態(tài)防御理論與技術(shù)發(fā)展展開(kāi)研究，主要貢獻(xiàn)包括：（1）對(duì)網(wǎng)絡(luò)空間內(nèi)生安全問(wèn)題進(jìn)行闡述，針對(duì)該問(wèn)題探討了現(xiàn)有防御架構(gòu)存在的問(wèn)題；（2）介紹擬態(tài)防御系統(tǒng)的基本要素與關(guān)鍵技術(shù)；（3）給出了現(xiàn)有擬態(tài)防御理論的系統(tǒng)建模方法，對(duì)比分析了不同模型的適用場(chǎng)景；（4）對(duì)擬態(tài)防御理論方向研究進(jìn)行展望。

1 問(wèn)題提出與解決

1.1 內(nèi)生安全問(wèn)題

“矛盾存在于一切事物之中，矛盾雙方在一定條件下可以轉(zhuǎn)化”。在信息網(wǎng)絡(luò)空間中，如果一個(gè)軟硬件實(shí)體的暗功能和副作用能被某種因素觸發(fā)而影響到實(shí)體服務(wù)功能的可信性，這些副作用和暗功能則被稱為“內(nèi)生安全”問(wèn)題[3]，即系統(tǒng)內(nèi)部本征功能的內(nèi)在性矛盾。以典型技術(shù)為例，大數(shù)據(jù)技術(shù)能夠根據(jù)算法和數(shù)據(jù)樣本發(fā)現(xiàn)未知的規(guī)律或特征，而被人為污染的數(shù)據(jù)樣本以及惡意利用的算法缺陷同樣可使人誤解，結(jié)果的不可解釋性是其內(nèi)生安全問(wèn)題。區(qū)塊鏈技術(shù)采用了大于等于51%的共識(shí)機(jī)制，該機(jī)制卻不能避免市場(chǎng)占有率大于51%的商用級(jí)產(chǎn)品中的漏洞后門(mén)問(wèn)題。這是區(qū)塊鏈1.0時(shí)代的內(nèi)生安全問(wèn)題。當(dāng)前，計(jì)算技術(shù)的快速發(fā)展使人類步入了輝煌的信息時(shí)代，但計(jì)算技術(shù)本身的缺陷也使得網(wǎng)絡(luò)空間充滿了不確定性。因此，本文所提的內(nèi)生安全問(wèn)題主要是指網(wǎng)絡(luò)空間各類信息服務(wù)功能實(shí)體中存在的未知漏洞后門(mén)等問(wèn)題。顯然，該類問(wèn)題是系統(tǒng)內(nèi)部本征功能所衍生出的副作用或暗功能，是伴隨本征功能產(chǎn)生和發(fā)展的，因此無(wú)法從根本上徹查或者消除。

1.2 解決思路

從哲學(xué)原理上說(shuō)，內(nèi)生安全問(wèn)題不可能徹底消除，只能在時(shí)空約束前提下實(shí)現(xiàn)條件規(guī)避或危害控制。傳統(tǒng)的網(wǎng)絡(luò)安全思維模式和技術(shù)路線主要采取挖漏洞、打補(bǔ)丁、查毒殺馬或是設(shè)蜜罐、布沙箱等堆疊的附加式防護(hù)手段。該方式在引入安全功能的同時(shí)會(huì)不可避免地引入新的內(nèi)生安全問(wèn)題。內(nèi)生安全問(wèn)題源自系統(tǒng)結(jié)構(gòu)本身，那么在功能等價(jià)條件下變換系統(tǒng)結(jié)構(gòu)本身無(wú)疑能成為內(nèi)生安全問(wèn)題的解決之道。

2 擬態(tài)防御架構(gòu)

動(dòng)態(tài)異構(gòu)冗余（DHR）架構(gòu)以非相似余度架構(gòu)為基礎(chǔ)，融合了多模表決與策略裁決、負(fù)反饋控制策略、多維動(dòng)態(tài)重構(gòu)機(jī)制三大核心機(jī)理，實(shí)現(xiàn)了將廣義不確定擾動(dòng)管控在有效范圍之內(nèi)，從而確保DHR架構(gòu)相對(duì)攻擊方具有“熵不減”的廣義魯棒控制能力。

DHR架構(gòu)抽象模型如圖1所示，主要包括輸入輸出代理、功能等價(jià)的可重構(gòu)執(zhí)行體集、輸出裁決模塊以及負(fù)反饋控制器。輸入代理模塊負(fù)責(zé)接收負(fù)反饋控制器的指令，并將輸入請(qǐng)求復(fù)制、分發(fā)到多個(gè)功能等價(jià)的可重構(gòu)異構(gòu)體；功能等價(jià)異構(gòu)執(zhí)行體集合中的可重構(gòu)執(zhí)行體能獨(dú)立完成指定功能屬大概率事件；輸出裁決模塊策略選取合適算法判決輸出矢量，并將滿足要求的輸出響應(yīng)轉(zhuǎn)發(fā)給輸出代理，若裁決結(jié)果不一致或未達(dá)要求則激活負(fù)反饋控制器；負(fù)反饋控制器通常會(huì)依據(jù)自身策略主動(dòng)激活或受裁決結(jié)果被動(dòng)激活，反饋控制器被激活后會(huì)依據(jù)控制參數(shù)和裁決參數(shù)執(zhí)行功能等價(jià)的重組/重構(gòu)/重配等操作。

▲圖1 DHR架構(gòu)抽象模型

3 擬態(tài)防御理論系統(tǒng)建模

擬態(tài)防御基于DHR架構(gòu)與擬態(tài)偽裝機(jī)制，將攻擊造成的隨機(jī)或非隨機(jī)擾動(dòng)轉(zhuǎn)化為概率可控的可靠性事件，這使得定量分析架構(gòu)的抗攻擊能力成為可能。本節(jié)中，針對(duì)現(xiàn)有系統(tǒng)可用概率、攻擊成功概率等通用指標(biāo)，以及擬態(tài)構(gòu)造特有逃逸概率指標(biāo)，我們探討擬態(tài)防御模型的抗攻擊性?？构粜允窍到y(tǒng)在受到外部攻擊出現(xiàn)不可見(jiàn)故障時(shí)，連續(xù)提供有效服務(wù)并在規(guī)定時(shí)間內(nèi)恢復(fù)所有服務(wù)的能力。關(guān)于抗攻擊性模型的假設(shè)與定義如下：

假設(shè)1：目標(biāo)系統(tǒng)是3余度DHR系統(tǒng)，執(zhí)行體中不包括入侵檢測(cè)、防火墻等特異性感知和防御手段；

假設(shè)2：通過(guò)擬態(tài)裁決機(jī)制可以發(fā)現(xiàn)輸出矢量與多數(shù)執(zhí)行體不同的情況，并能夠?qū)ζ溥M(jìn)行包括動(dòng)態(tài)重構(gòu)等在內(nèi)的恢復(fù)操作；

假設(shè)3：對(duì)于擬態(tài)裁決機(jī)制未能發(fā)現(xiàn)的錯(cuò)誤，系統(tǒng)仍然能以一定的概率進(jìn)行定期或不定期恢復(fù)。

定義1：可用概率。系統(tǒng)處于正常服務(wù)狀態(tài)的概率。在3余度擬態(tài)防御系統(tǒng)中，可用概率是指系統(tǒng)全部執(zhí)行體處于漏洞休眠狀態(tài)或單個(gè)執(zhí)行體處于故障狀態(tài)的概率。

定義2：逃逸概率。攻擊方通過(guò)協(xié)同多個(gè)執(zhí)行體使輸出結(jié)果出現(xiàn)一致錯(cuò)誤，從而實(shí)現(xiàn)判決逃逸。

定義3：攻擊成功概率。攻擊成功執(zhí)行的概率，如系統(tǒng)組件（或防御者）被破壞導(dǎo)致出錯(cuò)或目標(biāo)被攻擊者成功訪問(wèn)的概率。

下面我們主要針對(duì)集中式與分布式裁決場(chǎng)景、隨機(jī)與非隨機(jī)攻擊場(chǎng)景對(duì)3個(gè)模型進(jìn)行闡述。

3.1 基于廣義隨機(jī)Petri網(wǎng)的擬態(tài)構(gòu)造評(píng)估模型

19世紀(jì)60年代，德國(guó)學(xué)者C. A. PETRI提出了Petri網(wǎng)的概念。Petri網(wǎng)適用于在邏輯層次上對(duì)事件離散的動(dòng)態(tài)系統(tǒng)進(jìn)行建模和分析。Petri網(wǎng)可用來(lái)描述系統(tǒng)中進(jìn)程或部件的順序、并發(fā)、沖突以及同步等關(guān)系。為了準(zhǔn)確地描述整個(gè)擬態(tài)防御系統(tǒng)的結(jié)構(gòu)、不同攻擊擾動(dòng)與擬態(tài)系統(tǒng)動(dòng)態(tài)重構(gòu)與負(fù)反饋控制防御特性，文獻(xiàn)[4]和[5]以3余度動(dòng)態(tài)異構(gòu)冗余系統(tǒng)為例，依據(jù)擬態(tài)系統(tǒng)針對(duì)不同擾動(dòng)表現(xiàn)出不同的行為，建立包括24個(gè)狀態(tài)、42個(gè)變遷的廣義隨機(jī)Petri網(wǎng)（GSPN）模型（具體如圖2所示）。

▲圖2 擬態(tài)構(gòu)造擾動(dòng)異常GSPN模型

擬態(tài)構(gòu)造擾動(dòng)異常情況下的GSPN模型：

其中，庫(kù)所S={P1,P2,…,P24}表示系統(tǒng)中狀態(tài)元素的集合，變遷T={T1,T2,…,T42}表示系統(tǒng)中狀態(tài)遷移集合，F(xiàn)為模型中庫(kù)所與變遷之間的有向弧集合，W是弧的權(quán)重集合，各弧的權(quán)重為1，K={1,1,1,0,…,0}定義了S中各元素的容量，狀態(tài)標(biāo)識(shí)M={M0,M1,…,M12}。 其 中M0={1,1,1,0,…,0}定義了模型的初始狀態(tài)，Λ ={λ1,λ2,…,λ15}定義了與時(shí)間變遷相關(guān)聯(lián)的平均實(shí)施速率集合。

設(shè)i，j表示馬爾科夫鏈中任意實(shí)存狀態(tài)，i,j∈MT，r,s表示馬爾科夫鏈中任意消失狀態(tài),r,s∈Mv。系統(tǒng)實(shí)存狀態(tài)之間的轉(zhuǎn)移概率矩陣為：

其中，fij表示實(shí)存狀態(tài)間的轉(zhuǎn)移概率，Pr{r→j}表示沿著一條全部由消失狀態(tài)構(gòu)成的中間狀態(tài)的路徑，從消失狀態(tài)r轉(zhuǎn)移到實(shí)存狀態(tài)j的概率。其中，路徑可以包括任意步數(shù)。

由馬爾可夫鏈的轉(zhuǎn)移概率建立轉(zhuǎn)移速率矩陣如下：

qij為由實(shí)存狀態(tài)Mi到實(shí)存狀態(tài)Mj的轉(zhuǎn)移速率，其中i,j∈[1,l],l=MT。Q矩陣是以qij為元素的轉(zhuǎn)移速率矩陣。概率向量P(t)=(P1(t),P2(t),…,Pi(t),…,Pl(t))，其中Pi(t)為系統(tǒng)處于實(shí)存狀態(tài)Mi的瞬時(shí)概率，則有微分方程（4）成立：

通過(guò)上述方程組可求解可達(dá)標(biāo)識(shí)的可用概率和逃逸概率。

文獻(xiàn)[4]給出了各種防御策略所對(duì)應(yīng)的安全性指標(biāo)，因此可針對(duì)不同安全需求采用不同策略部署與系統(tǒng)構(gòu)建來(lái)實(shí)現(xiàn)。

3.2 融合鞅與GSPN的二維擬態(tài)構(gòu)造評(píng)估模型

擬態(tài)防御系統(tǒng)在聯(lián)合判決和重配置過(guò)程中帶來(lái)的資源消耗將大幅增加防御成本。存在判決時(shí)延的分布式擬態(tài)系統(tǒng)亟需一種分析系統(tǒng)安全性的方法。文獻(xiàn)[6]在單節(jié)點(diǎn)攻擊層，根據(jù)博弈論思想對(duì)攻擊者和防御者的行為分別建立模型，利用廣義隨機(jī)PN描述攻防動(dòng)作對(duì)系統(tǒng)的影響，進(jìn)而分析系統(tǒng)的安全性。在鏈路攻擊層，使用馬爾科夫鏈來(lái)刻畫(huà)攻擊者在鏈路中的位置變化，并結(jié)合隨機(jī)過(guò)程的鞅理論，計(jì)算出攻擊難度和網(wǎng)絡(luò)配置間的量化關(guān)系。

假定攻擊單個(gè)節(jié)點(diǎn)成功的概率為μ，攻擊鏈的節(jié)點(diǎn)總數(shù)為Θ，節(jié)點(diǎn)被隨機(jī)擾動(dòng)的概率為ω。假設(shè)當(dāng)前時(shí)刻攻擊者停留在第k個(gè)節(jié)點(diǎn)，即已攻擊成功k個(gè)節(jié)點(diǎn)，則攻擊轉(zhuǎn)移如圖3。

▲圖3 攻擊轉(zhuǎn)移圖

定理1：構(gòu)建一個(gè)隨機(jī)序列M0,M1,M2,…,Mn，其中，Mi=Xi-[(1-ω)μ-ω]*i，則Mn序列是關(guān)于X0,X1,X2,…,Xn的鞅。

為了求解攻擊Θ步到達(dá)目標(biāo)節(jié)點(diǎn)的步數(shù)，我們引入了鞅停時(shí)定理。在隨機(jī)過(guò)程中，停時(shí)被定義為具有某種與將來(lái)無(wú)關(guān)性質(zhì)的隨機(jī)時(shí)刻。鞅停時(shí)滿足：

（1）P{S＜∞}=1；

（2）E[|MS|]＜ ∞；

則有：

定理2：對(duì)于一條長(zhǎng)度為Θ個(gè)節(jié)點(diǎn)的攻擊鏈，如果攻擊者攻擊單個(gè)節(jié)點(diǎn)成功的概率為μ，單節(jié)點(diǎn)處遭遇主動(dòng)隨機(jī)擾動(dòng)的概率為ω，那么攻擊者成功攻擊目標(biāo)節(jié)點(diǎn)（即Θ點(diǎn)）需要的步數(shù)期望為：

下面我們計(jì)算到達(dá)Θ點(diǎn)的步數(shù)期望。根據(jù)停時(shí)定理得：

又因?yàn)镋[XS]=Θ，所以等式（6）成立。

根據(jù)上文，運(yùn)算得到的攻擊逃逸的穩(wěn)態(tài)概率即為下一部分馬爾科夫鏈的下行概率，攻擊成功概率即為馬爾科夫鏈的上行概率，即：μ=P(PE)，ω=λ(TE0)。

該模型給出了二維擬態(tài)構(gòu)造評(píng)估模型，在實(shí)際部署過(guò)程中可以通過(guò)改善動(dòng)態(tài)清洗與重構(gòu)能力來(lái)增大修復(fù)速率，通過(guò)改善節(jié)點(diǎn)品質(zhì)等因素來(lái)改變單個(gè)節(jié)點(diǎn)的攻擊成功概率[7-10]。

3.3 基于概率論與數(shù)理統(tǒng)計(jì)的擬態(tài)構(gòu)造評(píng)估模型

針對(duì)系統(tǒng)的未知安全防范，大多數(shù)安全評(píng)估模型首先基于隨機(jī)性攻擊假設(shè)，進(jìn)而基于攻擊路徑和漏洞分析方法來(lái)量化攻擊難度。盡管這類攻擊模型能有效反映攻防雙方在隨機(jī)條件下的博弈策略，但缺乏針對(duì)系統(tǒng)整體安全的有效性證明，即從理論上論證在一定的攻擊條件，存在一種防御方案可保證任意小的系統(tǒng)差錯(cuò)概率。

文獻(xiàn)[7]給出了一種證明方法，針對(duì)非隨機(jī)擾動(dòng)且執(zhí)行體有記憶情況，DHR架構(gòu)引入了反饋函數(shù)f(t)，在部署差模異構(gòu)執(zhí)行體（即在共模同構(gòu)率ω可忽略）后，擬態(tài)構(gòu)造執(zhí)行體出錯(cuò)概率：

我們?cè)O(shè)DHR構(gòu)造信道在t時(shí)刻的輸入請(qǐng)求為x(t)，x(t)∈Xn，x(t)=(x1(t),x2(t),…,xn(t))， 輸 出 響 應(yīng) 為y(x(t))∈Yn，y(x(t))=(y1(x1(t)),y2(x2(t)),…,yn(xn(t)))。從編碼空間Xn中隨機(jī)選取M=2nR(t)個(gè)編碼序列作為請(qǐng)求發(fā)送，設(shè)X中所有元素以獨(dú)立、等概率形式出現(xiàn)，那么就可以滿足隨機(jī)編碼條件。給定與時(shí)刻t對(duì)應(yīng)的輸出響應(yīng)y(x(t))，若存在唯一的k∈[1,2nR(t)]，則有：

y(x(t))判決為xk(t)，即F(y(x(t)))=xk(t)。其中，TXY(n,ε)表示輸入輸出序列對(duì)(x(t),y(x(t)))是聯(lián)合ε典型序列。

若發(fā)送請(qǐng)求為xm(t)，響應(yīng)序列為y(xm(t))，則判決出錯(cuò)概率為：

我們?cè)O(shè)發(fā)送端的第一個(gè)請(qǐng)求消息為x1(t)，令事件：

于是，判決出錯(cuò)可分為兩種情況：

（2）編碼序列xk(t),k≠1與響應(yīng)序列y(x1(t))構(gòu)成聯(lián)合ε典型序列，令事件為Ek(t)。

于是則有攻擊成功概率：

第1部分攻擊成功概率：

第2部分攻擊成功概率：

那么：

即攻擊成功概率Pe(t)為任意小。

該模型給出了內(nèi)生安全構(gòu)造具有任意小安全需求的存在性證明。在實(shí)際部署過(guò)程中，我們可通過(guò)編碼與冗余度設(shè)計(jì)、執(zhí)行體擾動(dòng)消除以及反饋控制構(gòu)造等來(lái)盡可能地接近該模型求解結(jié)果。

3.4 評(píng)估指標(biāo)分析

表1比較了上述3個(gè)模型的優(yōu)缺點(diǎn)。當(dāng)前，擬態(tài)防御理論模型主要針對(duì)集中式與分布式裁決、擾動(dòng)隨機(jī)與非隨機(jī)場(chǎng)景進(jìn)行量化評(píng)估。GSPN模型在面向集中判決場(chǎng)景時(shí)能通過(guò)多個(gè)量化指標(biāo)可以有效評(píng)估系統(tǒng)的抗攻擊能力。然而，在面向分布式場(chǎng)景時(shí)，該模型需要進(jìn)一步完善。文獻(xiàn)[7]所提的模型則是通過(guò)優(yōu)化資源與構(gòu)造來(lái)仿真系統(tǒng)攻擊可用性，該方法同樣在一定余度與隨機(jī)性攻擊擾動(dòng)條件下進(jìn)行的。針對(duì)分布式裁決系統(tǒng)，文獻(xiàn)[8]建立了融合鞅與GSPN的系統(tǒng)安全評(píng)估方法，該方法對(duì)裁決延時(shí)判決問(wèn)題進(jìn)行了進(jìn)一步研究。針對(duì)基于擬態(tài)防御的云科學(xué)計(jì)算流，文獻(xiàn)[9]提出了一種攻擊評(píng)估模型。上述的可用性與攻擊成功概率指標(biāo)模型相關(guān)研究存在兩方面不足：一方面，GSPN模型在執(zhí)行體數(shù)量增多時(shí)會(huì)出現(xiàn)指數(shù)爆炸問(wèn)題；另一方面，上述模型均是在攻擊隨機(jī)到達(dá)的情況下分析的系統(tǒng)安全性。在逃逸概率指標(biāo)方面，文獻(xiàn)[4]在GSPN模型的基礎(chǔ)上提出用大系統(tǒng)拆分成小系統(tǒng)的方案來(lái)解決狀態(tài)爆炸問(wèn)題，從而實(shí)現(xiàn)逃逸概率的一般性求解。針對(duì)攻擊非隨機(jī)到達(dá)展開(kāi)建模，文獻(xiàn)[10]量化分析了擬態(tài)構(gòu)造將非隨機(jī)攻擊轉(zhuǎn)化為隨機(jī)可靠性事件，從而借助概率論與數(shù)理統(tǒng)計(jì)方法對(duì)余度足夠大的情況進(jìn)行探討，實(shí)現(xiàn)了對(duì)擬態(tài)構(gòu)造安全的有效性論證。該論證過(guò)程主要以攻擊成功概率指標(biāo)進(jìn)行推理，簡(jiǎn)化了攻防細(xì)節(jié)。由于文獻(xiàn)[4]和[10]對(duì)攻擊擾動(dòng)與防御動(dòng)作特性進(jìn)行了整合與抽象，簡(jiǎn)化了量化指標(biāo)。

▼表1 現(xiàn)有擬態(tài)防御理論量化評(píng)估模型的優(yōu)缺點(diǎn)

因此，上述模型均能有效量化評(píng)估系統(tǒng)抗攻擊能力，所提數(shù)學(xué)模型在解決各自場(chǎng)景問(wèn)題時(shí)均表現(xiàn)出一定的優(yōu)越性。同時(shí)，現(xiàn)有的模型在應(yīng)對(duì)不同擬態(tài)場(chǎng)景時(shí)仍有待進(jìn)一步優(yōu)化，如GSPN模型在面臨大余度分布式網(wǎng)絡(luò)場(chǎng)景[11]時(shí)如何量化分析，針對(duì)不同場(chǎng)景的非隨機(jī)攻擊評(píng)估量化指標(biāo)如何選取等。此外，現(xiàn)有模型在針對(duì)異構(gòu)性[12]量化評(píng)估方面仍存在不足，有待進(jìn)一步研究。因此，后續(xù)擬態(tài)防御理論的發(fā)展將會(huì)進(jìn)一步面向系統(tǒng)異構(gòu)性與共模擾動(dòng)的量化、面向系統(tǒng)裁決與異構(gòu)歸一化的量化、面向負(fù)反饋控制的動(dòng)態(tài)重構(gòu)與清洗策略制定等方面，從而有效解決擬態(tài)防御理論與實(shí)際部署結(jié)合存在的難題[12]。

4 結(jié)束語(yǔ)

作為未知漏洞后門(mén)等不確定性威脅的解決方案，網(wǎng)絡(luò)空間擬態(tài)防御得到廣泛應(yīng)用。文章中，我們研究了網(wǎng)絡(luò)空間擬態(tài)防御理論模型，闡述了網(wǎng)絡(luò)空間內(nèi)生安全以及現(xiàn)有防御架構(gòu)所存在的問(wèn)題，并指出了擬態(tài)防御系統(tǒng)的基本要素與關(guān)鍵技術(shù)。同時(shí)，我們對(duì)3種典型的建模方法進(jìn)行了比較分析。隨著擬態(tài)防御技術(shù)與各類技術(shù)的融合，擬態(tài)防御理論存在的挑戰(zhàn)也逐步彰顯，如擬態(tài)防御理論在攻防對(duì)抗定性分析方面有待完善；在網(wǎng)絡(luò)通信理論方面如何研究基于概率論與數(shù)理統(tǒng)計(jì)的擬態(tài)構(gòu)造安全可控性；對(duì)擬態(tài)構(gòu)造的防御極限進(jìn)行量化評(píng)估；如何研究擬態(tài)構(gòu)造執(zhí)行體的信息并行處理方式，構(gòu)造高容量的執(zhí)行體，減少裁決時(shí)延，實(shí)現(xiàn)高效的處理能力等。在網(wǎng)絡(luò)計(jì)算理論方面，如何研究網(wǎng)絡(luò)信息處理過(guò)程中存儲(chǔ)、計(jì)算與控制單元存在的內(nèi)生安全問(wèn)題，并從整體上量化分析網(wǎng)絡(luò)計(jì)算的安全可控性。因此，擬態(tài)防御的發(fā)展仍需大力推進(jìn)理論與技術(shù)創(chuàng)新。