馬海龍，王亮,2，胡濤，江逸茗，曲彥澤

（1. 信息工程大學(xué)信息技術(shù)研究所，河南 鄭州 450003；2. 66135部隊，北京 100043）

0 引言

隨著網(wǎng)絡(luò)由單點通信快速駛向萬物互聯(lián)，各類網(wǎng)絡(luò)軟硬件因迭代、開放及成本等因素，體系結(jié)構(gòu)趨于固化、功能邏輯趨于相似、系統(tǒng)配置趨于簡易，在提高性能、降低開銷的同時，使網(wǎng)絡(luò)攻擊表面相對確定，從根源上導(dǎo)致其對軟件漏洞、硬件后門、服務(wù)拒絕、信息篡改等網(wǎng)絡(luò)威脅缺乏內(nèi)生安全能力，如圖1所示。為形式化地認(rèn)知這些泛在化網(wǎng)絡(luò)威脅，可將其劃分為已知威脅和未知威脅，前者尚可用風(fēng)險概率描述、以先驗知識支撐的針對性技術(shù)防范；而后者既不能用概率直接刻畫又缺乏相關(guān)先驗知識和防御靶標(biāo)，造成網(wǎng)絡(luò)空間攻防長期處于不均衡態(tài)勢。

圖1 網(wǎng)絡(luò)威脅泛在化成因 Figure 1 Causes of the ubiquity of cyber threats

“擬態(tài)”本身為仿生概念，基于共識機制下的廣義魯棒控制構(gòu)造，以擬態(tài)偽裝為本質(zhì)，以DHR機制為核心，旨在以具備視在不確定性的系統(tǒng)結(jié)構(gòu)，應(yīng)對廣義不確定性的網(wǎng)絡(luò)威脅。理論推導(dǎo)及系統(tǒng)測試[1]證明，攻擊者難以在擬態(tài)系統(tǒng)中實現(xiàn)可靠、持續(xù)的協(xié)同逃逸。自其被提出8年來，網(wǎng)絡(luò)空間擬態(tài)防御（CMD，cyberspace mimic defense）已在理論、技術(shù)、產(chǎn)品等層面取得許多進展，在與其他信息技術(shù)融合共生中產(chǎn)生較多結(jié)合點，正在向“擬態(tài)+”生態(tài)快速迭代、持續(xù)拓展新型應(yīng)用場景，同時，其發(fā)展面臨一些內(nèi)在瓶頸及現(xiàn)實挑戰(zhàn)。

為更好綜述網(wǎng)絡(luò)空間擬態(tài)防御發(fā)展及未來全景，本文試從縱向、橫向、當(dāng)前、發(fā)展及未來5個視角開展研究，分別介紹了其發(fā)展歷程、與其他主動防御技術(shù)的異同、現(xiàn)有擬態(tài)平臺實現(xiàn)、AICDS共生生態(tài)、新型應(yīng)用場景與未來挑戰(zhàn)。本文貢獻主要體現(xiàn)在3個方面：一是基于提出的CMD三定理更為直觀地闡述了擬態(tài)原理，通過對比辨析CMD與其他主動防御技術(shù)凸顯了CMD本質(zhì)；二是綜述了現(xiàn)有擬態(tài)平臺的實現(xiàn)要素、性能表現(xiàn)、體系結(jié)構(gòu)、異構(gòu)策略、調(diào)度策略、表決策略等共性技術(shù)，首次將其系統(tǒng)架構(gòu)分為C式、D式兩類，將其異構(gòu)實現(xiàn)模式分為單源封閉異構(gòu)實現(xiàn)、單源開放異構(gòu)實現(xiàn)、多源封閉異構(gòu)實現(xiàn)和多源開放異構(gòu)實現(xiàn)4類；三是展望了“擬態(tài)+”AICDS未來圖景，指出了擬態(tài)與AI、IoT、SDN等新型技術(shù)的技術(shù)結(jié)合點。

1 縱向觀：CMD發(fā)展歷程

1.1 概念提出

沙箱、蜜罐、防火墻等第1代安全技術(shù)和入侵檢測等第2代安全技術(shù)，其本質(zhì)是安全與功能松耦合的外殼式被動防御[1]，信息海量、異構(gòu)、高維、動態(tài)的大數(shù)據(jù)時代[2]，面臨高計算復(fù)雜度挑戰(zhàn)、大規(guī)模存儲量瓶頸和威脅泛在不確定性難題；靠封“門”、堵“漏”、殺“毒”、滅“馬”，難以閉合安全鏈，使網(wǎng)絡(luò)獲取“后天免疫”；若強行推行復(fù)雜且無部署激勵的安全套件，又將因有損網(wǎng)絡(luò)性能而難以推廣。為實現(xiàn)網(wǎng)絡(luò)安全、功能深耦合，業(yè)界提出CMD等第3代內(nèi)生式主動防御技術(shù)[3]，可用較低部署開銷使網(wǎng)絡(luò)獲取“先天免疫”。CMD概念源于自然界中條紋章魚、竹節(jié)蟲等生物模仿其他生物特征而受益的擬態(tài)現(xiàn)象[4]，這些生物可在不改變其內(nèi)在本質(zhì)的前提下，改變自身行為、形態(tài)等表征特征，通過提升威脅來源對自身的認(rèn)知難度來化解威脅；CMD技術(shù)機理與此類似，可視作旨在提供內(nèi)生安全增益的主動防御，即在不改變網(wǎng)絡(luò)功能本質(zhì)的前提下，動態(tài)改變其攻擊表面[5]。

1.2 形成發(fā)展

CMD發(fā)展可分為理論和實踐兩條主線，前者衍生出調(diào)度重構(gòu)、同質(zhì)異構(gòu)、多模裁決等擬態(tài)策略算法，可領(lǐng)先牽引指導(dǎo)實踐路線的設(shè)計方向；后者孵化為擬態(tài)路由器、擬態(tài)服務(wù)器、擬態(tài)防火墻等擬態(tài)技術(shù)產(chǎn)品，可持續(xù)驗證支撐理論路線的迭代創(chuàng)新。

1.2.1 擬態(tài)理論

擬態(tài)理論主要有調(diào)度重構(gòu)、同質(zhì)異構(gòu)、多模裁決3個方面。

一是擬態(tài)同質(zhì)異構(gòu)實現(xiàn)，根據(jù)應(yīng)用對象功能，其可分為存儲系統(tǒng)異構(gòu)、交換系統(tǒng)異構(gòu)、服務(wù)系統(tǒng)異構(gòu)、安全系統(tǒng)異構(gòu)4類，如圖2所示。其中，存儲系統(tǒng)異構(gòu)方面，如文獻[6]針對分布式存儲系統(tǒng)數(shù)據(jù)塊校驗機制單一、功能脆弱等安全隱患，提出了動態(tài)高效的擬態(tài)存儲校驗?zāi)Ｐ?，如圖2(a)所示，即在分塊寫入數(shù)據(jù)時，對原先固定的塊校驗邏輯進行動態(tài)變換，將請求分發(fā)至多個校驗執(zhí)行體進行校驗，并將動態(tài)校驗結(jié)果附加至數(shù)據(jù)塊，使多個校驗執(zhí)行算法可在時域上并行隨機執(zhí)行，防止基于固有數(shù)據(jù)存儲邏輯的暴力破解攻擊。交換系統(tǒng)異構(gòu)方面，如宋克等[7]設(shè)計實現(xiàn)了擬態(tài)交換機原型樣機，通過選用不同CPU、操作系統(tǒng)，以及對協(xié)議棧進行多樣化編譯引入異構(gòu)，如圖2(b)所示。服務(wù)系統(tǒng)異構(gòu)方面，如仝青等[8]提出在文件存儲、SQL腳本、服務(wù)器軟件、虛擬機操作系統(tǒng)和物理機操作系統(tǒng)進行全軟件棧異構(gòu)化處理，以構(gòu)建異構(gòu)服務(wù)器執(zhí)行體池，如圖2(c)所示，此時執(zhí)行體異構(gòu)性通過兩種方式獲得，一種是通過引入COTS級異構(gòu)軟件直接獲得，另一種是對于SQL查詢語句、文件（包括文件目錄）等不具備多樣性的數(shù)據(jù)，采用關(guān)鍵字標(biāo)簽化、文件標(biāo)簽化、目錄隨機化等異構(gòu)方法人為產(chǎn)生，可在一定限度上避免同源軟件漏洞。安全系統(tǒng)異構(gòu)方面，如擬態(tài)蜜罐基于KVM產(chǎn)生上層應(yīng)用相同而底層基礎(chǔ)架構(gòu)不同的異構(gòu)虛擬蜜罐，如圖2(d)[9]所示，對外統(tǒng)一的Web應(yīng)用為CMS系統(tǒng)（Catfish v4.8.54版本，運行庫PHP v5.4.16），在操作系統(tǒng)（Windows Server 2012 x64、CentOS 7.8.2003 x64、Ubuntu20.04 x64）、Web中間件（IIS v8.0、Apache v2.4.6和Nginx v1.19.1）兩個層面實現(xiàn)異構(gòu)。

圖2 4類擬態(tài)同質(zhì)異構(gòu)模型 Figure 2 Four kinds of mimicry homophily isomerism models

二是擬態(tài)多執(zhí)行體調(diào)度。文獻[10]系統(tǒng)分析了現(xiàn)有擬態(tài)調(diào)度算法采用的調(diào)度對象、數(shù)量和時機3個要素，其中，調(diào)度對象方面，將調(diào)度對象選取算法分為軟件異構(gòu)度度量[11-15]、異構(gòu)體組件度量[11,16-22]和軟件相似度度量[23-25]3類；調(diào)度數(shù)量方面，選取基于反饋的動態(tài)感知調(diào)度、基于效用的動態(tài)彈性調(diào)度、基于判決反饋調(diào)度3類調(diào)度算法進行對比分析；調(diào)度時機方面，選取最優(yōu)調(diào)度時間算法[26]、基于滑動窗口模型[27]兩類調(diào)度算法進行對比分析，基于動態(tài)性、可信任度（用平均失效率衡量）、異構(gòu)度、系統(tǒng)開銷和服務(wù)質(zhì)量5個指標(biāo)，將各類多執(zhí)行體調(diào)度算法綜合對比，結(jié)果如表1所示[10]。

表1 擬態(tài)多執(zhí)行體調(diào)度算法綜合對比Table 1 Comprehensive comparison of mimicry multi-executor scheduling algorithms

三是擬態(tài)多模表決裁決，傳統(tǒng)上可基于大數(shù)表決等傳統(tǒng)裁決算法，相關(guān)改良表決算法主要可分為基于信任度表決、基于定時表決、基于博弈策略表決3類。

1) 基于信任度表決所使用的信任度，可進一步分為基于歷史表現(xiàn)的經(jīng)驗可信度、基于操作員傾向的權(quán)值可信度，如擬態(tài)處理機[28]提出的經(jīng)驗可信度基于處理機表現(xiàn)確定，隨每次輸出與整體表決輸出一致結(jié)果而遞增，反之則遞減；而權(quán)值可信度由操作員在對多執(zhí)行體初始配置時按缺省值預(yù)設(shè)，隨每次處理機清洗減半；再如擬態(tài)交換機[7]所采用自清洗大數(shù)表決算法（TAMA，trustiness based auto-cleanout majority algorithm），由基于信任度的大數(shù)裁決策略和定時策略兩部分組成，其中，基于信任度的大數(shù)裁決子算法，實質(zhì)也采用經(jīng)驗可信度，即將輸出一致的執(zhí)行體劃入同一組Gk，按式(1)分別計算集合Gk的置信度Wk。

其中，ωi為執(zhí)行體i的信任權(quán)值，初值為0。選擇Wk最大的集合Gp作為裁決輸出，此時執(zhí)行體i的輸出與裁決輸出的差異率若為S，則其信任權(quán)值ωi按式(2)更新。

其中，β為大于0的權(quán)值系數(shù)。同時，隨機選擇信任權(quán)值超過閾值K的執(zhí)行體下線清洗。

2) 基于定時策略表決[7]主要用于抵御共模協(xié)同攻擊，該算法基于時間因子，每隔時間間隔T根據(jù)信任權(quán)值選擇執(zhí)行體下線清洗（清洗后信任權(quán)值歸零），按式(3)計算執(zhí)行體i選取概率P。

3)基于博弈策略表決，主要引入先驗知識強化表決，如文獻[29]運用了惡意控制器所占比例、系統(tǒng)誤差等先驗知識，采用字段分解的思想對擬態(tài)網(wǎng)絡(luò)操作系統(tǒng)多控制器執(zhí)行體輸出進行細(xì)粒度對比表決，即按式(4)計算最優(yōu)表決輸出。

其中，參數(shù)α為假設(shè)攻擊者對所有控制器成功攻擊、使其變?yōu)閻阂饪刂破鞯母怕?；fi為正確表決輸出f的第i個字段，hi為該字段的位數(shù)，fi,j為該字段的第j位；為控制器k輸出報文中字段i的第j位，為控制器k實際向判決器報告的輸出報文；

1.2.2 擬態(tài)實踐

經(jīng)各類仿真測試及實際網(wǎng)絡(luò)部署試用驗證，擬態(tài)技術(shù)產(chǎn)品可提供高可靠、高可用、高可信信息服務(wù)，如目前首次線上體系化部署擬態(tài)產(chǎn)品體系的景安網(wǎng)絡(luò)，其主要運用的擬態(tài)產(chǎn)品有5類。一是擬態(tài)路由器，即引入多模異構(gòu)冗余路由執(zhí)行體，通過對各執(zhí)行體維護的路由表項進行共識裁決生成路由表，通過對執(zhí)行體的策略調(diào)度，實現(xiàn)擬態(tài)路由器表征的不確定變化。在差異化設(shè)計的前提下，多模異構(gòu)路由執(zhí)行體存在共模缺陷的概率極低，可通過裁決機制有效阻斷對部分執(zhí)行體的攻擊致癱后果。二是擬態(tài)DNS服務(wù)器?？稍诓惶蕴延杏蛎麉f(xié)議和地址解析設(shè)施的前提下，通過增量部署擬態(tài)防御設(shè)備組件，有效遏制基于DNS服務(wù)后門漏洞的域名投毒、域名劫持等已知和未知攻擊方法，大幅提高攻擊者攻擊代價。三是擬態(tài)Web虛擬機。Web虛擬機可通過在云環(huán)境中部署虛擬機提供低成本解決方案，除面臨賬號盜用、跨站腳本、緩沖區(qū)溢出等傳統(tǒng)Web威脅外，還面臨引入虛擬層導(dǎo)致的側(cè)信道攻擊、虛擬層漏洞等新型威脅，引入擬態(tài)技術(shù)可利用云平臺構(gòu)建功能等價、動態(tài)多樣的異構(gòu)虛擬Web執(zhí)行體池，通過采用動態(tài)調(diào)度、數(shù)據(jù)庫指令異構(gòu)化、多余度共識表決等技術(shù)，建立多維動態(tài)變換的運行空間以阻斷攻擊鏈。四是擬態(tài)云服務(wù)器，通過構(gòu)建功能等價的異構(gòu)云服務(wù)器池，采用動態(tài)執(zhí)行體調(diào)度、多余度共識表決、異常發(fā)現(xiàn)、線下清洗等技術(shù)，及時阻斷基于執(zhí)行體軟硬件漏洞后門等的差模攻擊。五是擬態(tài)防火墻，針對傳統(tǒng)防火墻在Web管理和數(shù)據(jù)流處理層面可能存在的漏洞后門，通過對其架構(gòu)進行擬態(tài)化構(gòu)造，在管理、數(shù)據(jù)層面增加攻擊者攻擊難度，有效防御“安檢準(zhǔn)入”中的內(nèi)鬼侵?jǐn)_，提供切實可信的準(zhǔn)入控制保障。

2 橫向觀：CMD與其他主動防御技術(shù)對比

主動防御技術(shù)目前尚未形成公認(rèn)概念，基于文獻[1,3,30]，本文認(rèn)為其是指不依賴漏洞后門發(fā)現(xiàn)和攻擊特征分析等攻擊先驗知識，利用動態(tài)、異構(gòu)、冗余、重構(gòu)等內(nèi)生安全機制，對攻擊“主動感知、事前防御”的安全技術(shù)。在主動防御技術(shù)對比方面，文獻[31]僅將CMD與移動目標(biāo)防御、可信計算進行了比較，但缺乏與其他主動防御技術(shù)的對比分析。本節(jié)首先介紹CMD，而后將其與其他主動防御技術(shù)進行對比辨析。

2.1 網(wǎng)絡(luò)空間擬態(tài)防御 2.1.1 核心架構(gòu)

如圖3所示，CMD核心架構(gòu)為DHR架構(gòu)[1]，可記為六元組 Ω= {Cn,Em,Kt,I,V,S}，其中：

圖3 DHR架構(gòu) Figure 3 DHR architecture

I，即輸入代理，負(fù)責(zé)將輸入分發(fā)給Kt；

V，即表決輸出器，負(fù)責(zé)對Kt的輸出矢量表決并輸出，屏蔽攻擊致錯后果，并向調(diào)度器S反饋；

S，即調(diào)度器，負(fù)責(zé)按調(diào)度策略執(zhí)行調(diào)度，識別錯誤執(zhí)行體，從Em中隨機選擇Ej進入Kt作修復(fù)替換；或使用Cn內(nèi)構(gòu)件重構(gòu)Ej；或通過虛擬化改變Ej的組成配置、運行環(huán)境；或基于時間、策略等，選擇Em及Kt中異構(gòu)執(zhí)行體下線清洗。

DHR架構(gòu)可用IPO（input-process-output）模型概述為I?Kt/S/Em/Cn?V。其中，Kt為功能模塊，Em、Cn為資源模塊，S為控制模塊，I、V為輸入/輸出模塊，模塊間邏輯獨立、功能聯(lián)動，具體來看，由I接收輸入并將其復(fù)制分發(fā)至Kt中的冗余執(zhí)行體Kl執(zhí)行處理，得到的輸出矢量由V表決并輸出，得到的輸出唯一且相對正確；由S控制Cn中的構(gòu)件動態(tài)重構(gòu)Em中的執(zhí)行體，根據(jù)運行信息選取Em中的執(zhí)行體進入Kt，并對下線執(zhí)行體進行清洗恢復(fù)、重構(gòu)重組等?？梢?，CMD通過引入擬態(tài)裁決、策略調(diào)度、多維重構(gòu)、反饋控制、去協(xié)同化等內(nèi)生安全機制，使目標(biāo)系統(tǒng)具備面向不確定性威脅的廣義魯棒控制能力，實現(xiàn)主動防御。

2.1.2 CMD三定理

本小節(jié)著眼擬態(tài)防御效能、擬態(tài)風(fēng)險可控性及擬態(tài)安全增益因子3個方面，提出CMD三定理，并將其作為論證CMD內(nèi)生安全效應(yīng)原理的支撐。

CMD三定理間的關(guān)系為：CMD第一定理從增益角度，正面表現(xiàn)擬態(tài)防御安全效能可通過控制指標(biāo)而提升，進而證明其確實存在安全效能；CMD第二定理從風(fēng)險角度，反面表現(xiàn)擬態(tài)風(fēng)險可控；CMD第三定理作為前兩項定理的補充，提供設(shè)計實現(xiàn)擬態(tài)架構(gòu)時提升其安全增益的途徑。

在提出CMD第一、第二定理前，給出定義1～定義3作概念基礎(chǔ)。

定義1攻擊逃逸

將擬態(tài)系統(tǒng)s在某次廣義不確定性攻擊下Kt的輸出矢量記為O={OC1,OC2,… ,OCt}，若表決輸出錯誤結(jié)果，則認(rèn)為攻擊產(chǎn)生逃逸，其必要條件有5個（無須同時成立）：

1) 攻擊者掌握服務(wù)集Kt共模缺陷；

2) 輸入代理I、表決輸出器V被攻陷；

3) 系統(tǒng)產(chǎn)生通信誤碼、組件故障等隨機錯誤；

4) 擬態(tài)系統(tǒng)執(zhí)行環(huán)境具備側(cè)信道攻擊條件；

5) 攻擊未導(dǎo)致服務(wù)集Kt輸出矢量不一致。 同時，不將在擬態(tài)界外通過社會工程學(xué)等手段成功實施的攻擊視為攻擊逃逸。

定義2擬態(tài)效能與擬態(tài)風(fēng)險

若對擬態(tài)系統(tǒng)s同條件攻擊x次（x≥1 00），y次未逃逸，則有式(5)。

其中，記Pe為擬態(tài)防御效能，簡稱擬態(tài)效能。若同條件攻擊不足100次，視Pe為擬態(tài)效能的近似指標(biāo)。另有式(6)。

記概率Prisk為系統(tǒng)在該條件下的攻擊逃逸率，簡稱擬態(tài)風(fēng)險。可見，CMD將難以量化的不確定性威脅映射為概率。

定義3擬態(tài)熵和擬態(tài)變換增益

若某系統(tǒng)性能指標(biāo)（如吞吐量、響應(yīng)時間）的歸一化參數(shù)為Vi，則有式(7)。

其中，記ENi為該性能的性能熵[32]，以反映其性能。若Vb變 為Va，則有式(8)。

記 ΔE N為該系統(tǒng)性能的變換增益。

特別地，若系統(tǒng)服務(wù)集異構(gòu)度的歸一化參數(shù)為Vh，則有式(9)。

為反映擬態(tài)熵與異構(gòu)度的正相關(guān)性，修正式(9)，結(jié)果如式(10)。

其中，記ENh為系統(tǒng)的擬態(tài)熵，用于描述其服務(wù)集異構(gòu)程度。若經(jīng)某次調(diào)度Vh變?yōu)閂h′，則有式(11)。

其中，記ΔE Nh為系統(tǒng)的擬態(tài)變換增益，用于反映系統(tǒng)經(jīng)調(diào)度獲取的異構(gòu)度增益。

基于定義1～定義3，提出CMD第一、第二定理。

CMD第一定理擬態(tài)防御效能與服務(wù)集異構(gòu)度非線性正相關(guān)。

證明考慮DHR架構(gòu)A，參考文獻[19]提出的異構(gòu)度量化方法，若服務(wù)集的構(gòu)件集類數(shù)為M，服務(wù)集的構(gòu)件集所含構(gòu)件類數(shù)為S，構(gòu)件池Cn中構(gòu)件Cni、Cnj的比例分別為pni、pnj，其特有漏洞及共有漏洞的數(shù)量依次為vni、vnj和vnij，則服務(wù)集異構(gòu)度HA可由其復(fù)雜度COk和差異度FDQn決定，如式(12)所示。

其中，COn通過香農(nóng)多樣性指數(shù)衡量，由S與pni決定；FDQn通過二次熵衡量，由S、pni、pnj、vni、vnj與vnij決定。當(dāng)服務(wù)集中執(zhí)行體的任意兩個構(gòu)件相異時，HA取最大值，如式(13)所示。

基于此，本文對HA進行min-max歸一化[33]，此時擬態(tài)熵計算結(jié)果如式(14)所示。

考慮服務(wù)集共模缺陷逃逸（擬態(tài)逃逸必要條件1），忽略偶然因素2)、3)、4)、5)，此時服務(wù)集存在共模缺陷的概率Pcm與FDQn、HA、ENh均負(fù)相關(guān)，即基于構(gòu)件共有漏洞定義的服務(wù)集差異度越大，服務(wù)集異構(gòu)度和擬態(tài)熵越大，共模缺陷存在概率越小。另由擬態(tài)風(fēng)險Prisk定義可知有式(15)成立。

故Prisk與HA負(fù)相關(guān)，又因式(6)，故Pe與HA正相關(guān)。且由HA與FDQn正相關(guān)而非正比，為非線性正相關(guān)關(guān)系，而Pcm與FDQn線性負(fù)相關(guān)，與Pe線性負(fù)相關(guān)，故Pe與FDQn線性正相關(guān)，因此Pe與HA非線性正相關(guān)。

證畢。

CMD第二定理擬態(tài)風(fēng)險Prisk可控。

證明設(shè)置擬態(tài)風(fēng)險Prisk安全閾值，由式(15)得，擬態(tài)風(fēng)險可控實質(zhì)是保證共模缺陷存在概率Pcm可控，且Pcm與FDQn線性負(fù)相關(guān)，即僅需控制FDQn，而FDQn由S、pni、pnj、vni、vnj與vnij決定，與構(gòu)件Cni、Cnj直接相關(guān)，又因構(gòu)件Cni、Cnj可根據(jù)調(diào)度算法按閾值要求動態(tài)選擇，以調(diào)整服務(wù)集差異度FDQn，可控制Pcm低于閾值。

證畢。

在提出CMD第三定理前，提出定義4作為概念基礎(chǔ)。

定義4擬態(tài)表面

根據(jù)I/O自動機模型，給定環(huán)境E下的擬態(tài)系統(tǒng)s，記三元組{BE,PE,DE}為該系統(tǒng)s的攻擊表面[34]，簡稱擬態(tài)表面ASs，即攻擊者通過E對s攻擊可觸的系統(tǒng)資源集，如式(16)所示。

其中，BE為s中I、V的接口集（如字符串輸入接口）；PE為s中I、V的通道集（如socket），BE中的某接口BiE需通過PE中的某通道PiE連接；DE為s中Kt的非可信數(shù)據(jù)項集（如共享文件）。

基于定義4，提出CMD第三定理。

CMD第三定理擬態(tài)安全增益完全來自其動態(tài)、異構(gòu)、冗余特性，且與傳統(tǒng)防御手段安全增益相獨立。

證明首先，CMD不依賴先驗知識和檢測機、知識庫等外掛防護組件，故與傳統(tǒng)防御手段弱關(guān)聯(lián)，未使用MTD等其他主動防御機制；其次，CMD允許使用不可信構(gòu)件，因此其安全增益僅來自于架構(gòu)本身，而架構(gòu)引入的各類機制可規(guī)約為動態(tài)、異構(gòu)、冗余3個特性，使組成擬態(tài)表面ASs的BE、PE、DE動態(tài)變換，進而使攻擊鏈不可達；最后，CMD可與蜜罐、防火墻等傳統(tǒng)手段融合運用，實現(xiàn)擬態(tài)蜜罐[9]、擬態(tài)防火墻[35]等產(chǎn)品，其安全增益相對獨立。

證畢。

基于CMD三定理闡述擬態(tài)原理：首先，基于CMD第一定理，由于擬態(tài)防御效能與服務(wù)集異構(gòu)度正相關(guān)，而擬態(tài)DHR架構(gòu)相比其他傳統(tǒng)網(wǎng)絡(luò)架構(gòu)有顯著的異構(gòu)度增益，故具備擬態(tài)防御效能；其次，基于CMD第一、第二定理，攻擊者連續(xù)攻擊擬態(tài)系統(tǒng)時，基于掃描結(jié)果、已知漏洞等先驗知識試錯，其實質(zhì)是通過動態(tài)變換使系統(tǒng)擬態(tài)熵進入熵減過程，而擬態(tài)調(diào)度通過動態(tài)提升擬態(tài)熵，抵消攻擊者的試錯效應(yīng)，使攻擊效應(yīng)累積從連續(xù)過程轉(zhuǎn)為獨立過程，因此擬態(tài)風(fēng)險動態(tài)平衡，未能超越閾值；再次，基于CMD第二定理，多模共識有小概率出現(xiàn)共模缺陷致錯，但可通過多維動態(tài)迭代處理與裁決，控制擬態(tài)風(fēng)險低于閾值；最后，基于CMD第三定理，證明擬態(tài)提供的安全增益與傳統(tǒng)防御手段相對獨立，并可通過強化其動態(tài)、異構(gòu)、冗余特性提高安全增益。

2.1.3 CMD安全增益

基于CMD第三定理，從3個層面分析架構(gòu)安全增益。一是異構(gòu)性。由于架構(gòu)安全增益可由Pe直觀反映，又由式(6)、式(9)、式(13)、式(14)可知，Pe與服務(wù)集HA正相關(guān)，理想情況下，在各異構(gòu)執(zhí)行體攻擊面兩兩正交時實現(xiàn)絕對異構(gòu)，可最大化安全增益。異構(gòu)度量化方法，主要有漏洞量化、功能量化、熵量化和“復(fù)雜度?差異度”二維量化4類。漏洞量化，如文獻[36]通過CNVD（China national vulnerability database）查詢執(zhí)行體共同漏洞數(shù)量以量化其異構(gòu)度，但忽略了執(zhí)行體對未知威脅的反映差異度[37]。功能量化，如文獻[38]利用功能等指標(biāo)綜合考量軟、硬件異構(gòu)度，但僅考量了控制器是否控制同一主機及類別是否一致，評估粒度較粗；熵量化，如文獻[39]利用信息熵[40]衡量服務(wù)集異構(gòu)度，提出信息熵H與余度t正相關(guān)，且t一定時各類執(zhí)行體出現(xiàn)概率相同時H最大，但未考慮異構(gòu)執(zhí)行體共模缺陷；“復(fù)雜度?差異度”二維量化，即同時考慮執(zhí)行體復(fù)雜度和差異度，反映異構(gòu)度差異較客觀，本文論證CMD第一定理時即參照該方法。二是動態(tài)性?？蔀楫悩?gòu)性提供時間維度增益，通過改變服務(wù)集異構(gòu)度HA而間接提供安全增益。為簡化執(zhí)行體異構(gòu)實現(xiàn)、擴充構(gòu)件池Cn，可對執(zhí)行體進行重構(gòu)、重定義、虛擬化等廣義動態(tài)變換，降低非絕對異構(gòu)執(zhí)行體間的顯、隱性關(guān)聯(lián)，在控制擬態(tài)部署成本的基礎(chǔ)上提供增量安全增益。三是冗余性?？蔀楫悩?gòu)性提供空間維度增益，通過改變服務(wù)集異構(gòu)度HA而間接提供安全增益。文獻[28]提出冗余度與表決正確率非線性相關(guān)，且余度增長導(dǎo)致成本提升、難以表決；特別地，文獻[8,41]研究表明3模余度[26]性能?開銷比最優(yōu)。

2.1.4 CMD開銷分析

由CMD架構(gòu)機理知，開銷 PayCMD可分為異構(gòu)部件、策略調(diào)度、多模裁決、反饋控制、清洗恢復(fù)和狀態(tài)同步6部分。其中，異構(gòu)部件開銷與余度t正相關(guān)；策略調(diào)度和反饋控制開銷與調(diào)度策略（SS，scheduling strategy）算法性能相關(guān)；多模裁決開銷與表決策略（VS，voting strategy）、表決輸出器性能和異構(gòu)執(zhí)行體最長響應(yīng)時延Delaymax相關(guān)；清洗恢復(fù)開銷在網(wǎng)絡(luò)效能未飽和時不直接遲滯網(wǎng)絡(luò)性能；狀態(tài)同步開銷與t、系統(tǒng)架構(gòu)（SA，system architecture）相關(guān)。由2.1.3節(jié)知，余度通常取3，與 Delaymax同由異構(gòu)策略（HS，heterogeneous strategy）決定，表決輸出器性能由硬件決定，因此， PayCMD的決定因素可規(guī)約為四元組{SA, HS, SS, VS}，如式(17)所示。

與其他防御技術(shù)開銷對比，CMD一是將攻擊表面從系統(tǒng)整體縮減為“擬態(tài)括號”內(nèi)的部分組件，降低了對全體部件的更新升級頻次、實時防護要求；二是對短板組件弱敏感，可利用COTS級構(gòu)件、開源產(chǎn)品等非可信源構(gòu)件組成可信系統(tǒng)，降低系統(tǒng)固有安全開銷；三是可替代防火墻、入侵檢測或其他專用安全部件，節(jié)省了相關(guān)部署運維開銷。

2.2 入侵容忍

1985年提出“入侵容忍”概念，旨在通過構(gòu)建多樣化冗余、N-模表決、系統(tǒng)重構(gòu)、秘密共享及拜占庭一致性協(xié)商等機制為系統(tǒng)賦予容侵能力[42]，使其在被入侵條件下確保安全、持續(xù)服務(wù)。入侵容忍典型系統(tǒng)架構(gòu)分為3類，一是基于入侵檢測的容忍觸發(fā)架構(gòu)，如SITAR（scalable intrusion-tolerant architecture for distributed services）[43]，用于保護商用服務(wù)器安全，但其容忍機制依賴于入侵檢測；二是算法驅(qū)動架構(gòu)，如MAFTIA（malicious and accidental fault tolerance for internet applications）[44]，通過層次化架構(gòu)保護應(yīng)用，但被保護應(yīng)用需基于項目中間件給定的程序接口和協(xié)議平臺開發(fā)；三是周期性恢復(fù)架構(gòu)，如SCIT（self-cleaning intrusion tolerance）[45]，通過輪換在線服務(wù)器和清洗離線服務(wù)器實現(xiàn)容侵，無須更改現(xiàn)有操作系統(tǒng)及應(yīng)用軟件。入侵容忍技術(shù)存在機制復(fù)雜度大、多樣化執(zhí)行體成本過高和支撐技術(shù)體系未成熟等缺陷，其原理與CMD強相關(guān)，均采用異構(gòu)冗余、多模表決、系統(tǒng)重構(gòu)等機制，給攻擊者制造了非協(xié)同條件下的異構(gòu)多目標(biāo)動態(tài)協(xié)同攻擊困境；但入侵容忍強調(diào)容忍，僅滿足于屏蔽錯誤，而CMD除此之外還識別、定位、清除錯誤，并自動恢復(fù)，防御更為主動。

2.3 移動目標(biāo)防御

移動目標(biāo)防御（MTD，moving target defense）源自加密或擾碼思想[46]，通過動態(tài)調(diào)度、系統(tǒng)自清洗、動態(tài)域名、源代碼多樣化、實時編譯、多核處理等[47]技術(shù)機制，為系統(tǒng)賦予多樣性、動態(tài)性和隨機性，以持續(xù)移動攻擊面、阻斷攻擊鏈。其中，多樣性可分為自然多樣性、偽多樣性和人工多樣性[48]，動態(tài)性為其核心特性，可在網(wǎng)絡(luò)層、平臺層、運行環(huán)境層、軟件層[49]和數(shù)據(jù)層[50]等實現(xiàn)；隨機性，可通過地址空間隨機化（ASR，address space randomization）[51]、指令集隨機化（ISR，instruction-set randomization）[52]和內(nèi)核數(shù)據(jù)隨機化等實現(xiàn)。MTD典型實現(xiàn)包括MUTE（mutable network）[53]和MAS（moving attack surface）系統(tǒng)[54]等。CMD與MTD的區(qū)別在于：為阻斷攻擊鏈，MTD將攻擊表面移動，而CMD將攻擊表面不規(guī)則變換，可視作MTD的拓展，一方面引入負(fù)反饋控制，可基于防御糾錯；另一方面引入非協(xié)同條件，削弱了執(zhí)行體間資源共享，使攻擊成功條件由可基于隨機試錯提高至需基于共模缺陷，提升了攻擊難度。

2.4 零信任架構(gòu)

零信任架構(gòu)（ZTA，zero trust architecture）于2010年提出[55]，強調(diào)取消基于網(wǎng)絡(luò)邊界的傳統(tǒng)安全模型（如防火墻、NAT、VPN）對網(wǎng)絡(luò)內(nèi)部組件授予的默認(rèn)信任，以身份取代傳統(tǒng)網(wǎng)絡(luò)邊界，其核心機制為強認(rèn)證和最小特權(quán)授權(quán)，實行“將用戶與設(shè)備綁定為網(wǎng)絡(luò)代理，基于網(wǎng)絡(luò)代理授予信任評分，根據(jù)信任評分認(rèn)證并授權(quán)”的安全策略[56]。ZTA使用非可信組件構(gòu)建可信網(wǎng)絡(luò)的思想與CMD相通，二者區(qū)別在于實現(xiàn)方法，前者基于信任傳遞建立信任關(guān)系，后者基于多模裁決屏蔽攻擊錯誤，但ZTA建立信任鏈時確立的信任根與加密認(rèn)證方法均難以確保絕對可信；CMD對非可信構(gòu)件的準(zhǔn)入門檻比ZTA低，更易部署推廣。

2.5 可信計算

可信計算（TC，trusted computing）由美國國防部于1985年首次提出，其本質(zhì)是使用基于硬件安全模塊的可信計算平臺，通過信任度量建立以信任根為錨、以信任關(guān)系為鏈的信任鏈[57]。隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)推動網(wǎng)絡(luò)快速轉(zhuǎn)型，TC相關(guān)技術(shù)標(biāo)準(zhǔn)尚需完善。和ZTA相似，TC與CMD均使用非可信組件構(gòu)建可信網(wǎng)絡(luò)，區(qū)別一是在于安全原理，前者基于計算復(fù)雜度，后者基于多模動態(tài)異構(gòu)；二是在于安全根基，前者以認(rèn)為“絕對安全”實則無法保證“絕對安全”的TPM或TCM（trusted cryptography module）為可信根，而后者基于普適的“相對正確”公理；三是在于安全等級，TC信任度量定級標(biāo)準(zhǔn)和測評技術(shù)還需健全，可信性有待提高，擬態(tài)防御可通過提升服務(wù)集異構(gòu)度動態(tài)提高系統(tǒng)安全等級。

2.6 計算機免疫學(xué)

計算機免疫學(xué)即為計算機引入生物免疫功能，用于識別、隔離或處理網(wǎng)絡(luò)威脅，具體是將待優(yōu)化問題對應(yīng)生物學(xué)中的抗原，將優(yōu)化問題的可行解對應(yīng)生物學(xué)中的抗體B細(xì)胞等，運用抗體對抗抗原的生物原理處理網(wǎng)絡(luò)威脅[58]，相關(guān)模型有網(wǎng)絡(luò)病毒免疫模型[59]、Multi-Agent免疫模型[60]、免疫神經(jīng)網(wǎng)絡(luò)模型[61]等。計算機免疫學(xué)與CMD均為仿生概念，區(qū)別在于前者激勵計算機產(chǎn)生“代碼抗體”主動優(yōu)化求解問題，需面向多場景拓展適用性；后者因擬態(tài)偽裝機制給攻擊者造成認(rèn)知困境，更易在計算設(shè)備、交換設(shè)備、操作系統(tǒng)等各層面推廣。

2.7 綜合對比

根據(jù)對主動防御技術(shù)概念的分析，設(shè)置攻擊先驗知識無關(guān)性、組件動態(tài)水平、風(fēng)險感知能力、威脅預(yù)規(guī)避能力4個評估指標(biāo)，按取值1～5進行粗粒度計分（分值大小僅反映相對水平，不反映指標(biāo)絕對值），對當(dāng)前主要主動防御技術(shù)進行對比，如表2所示，可見CMD較均衡地提高了4項主動防御特性，其他主動防御技術(shù)雖具備較強威脅規(guī)避能力，但在其他指標(biāo)方面還有一定不足。

表2 主要主動防御技術(shù)對比Table 2 Comparison of major active defense technologies

3 當(dāng)前觀：現(xiàn)有擬態(tài)平臺實現(xiàn)共性技術(shù)

基于COTS級產(chǎn)品、自有平臺和開源平臺，已形成含10余類不同功能平臺的擬態(tài)平臺族，經(jīng)仿真推理和實體網(wǎng)絡(luò)驗證均能提升系統(tǒng)內(nèi)生安全效應(yīng)，根據(jù)擬態(tài)架構(gòu)安全增益分析及式(17)，應(yīng)著重關(guān)注其關(guān)鍵的四元組{SA, HS, SS, VS}共性技術(shù)，表3為主要擬態(tài)平臺共性技術(shù)實現(xiàn)，在基于CVE（common vulnerabilities and exposures）等現(xiàn)有缺陷或構(gòu)造漏洞的攻擊向量下的性能表現(xiàn)如表4所示。

表3 主要擬態(tài)平臺共性技術(shù)實現(xiàn)Table 3 Realization of generic technology of main mimicry platform

表4 主要擬態(tài)平臺性能表現(xiàn)Table 4 Performance of major mimicry platforms

3.1 系統(tǒng)架構(gòu)

擬態(tài)平臺系統(tǒng)架構(gòu)，大多未顛覆原有架構(gòu)，通過對原架構(gòu)核心部位增量設(shè)置擬態(tài)括號實現(xiàn)異構(gòu)改造，按輸入輸出交互方式，可分為集中式架構(gòu)（centralized architecture，簡稱C式架構(gòu)）和分布式架構(gòu)（distributed architecture，簡稱D式架構(gòu)）。

3.1.1 集中式架構(gòu)

C式架構(gòu)，以類C/S架構(gòu)的“請求?應(yīng)答”工作模式提供集中式擬態(tài)服務(wù)，分為組件式和分層式兩類子架構(gòu)。組件式子架構(gòu)，如擬態(tài)Web服務(wù)器[19]、擬態(tài)DNS服務(wù)器[62]，由調(diào)度器、異構(gòu)服務(wù)器池及請求分發(fā)均衡模塊等其他組件組成；分層式子架構(gòu)，如擬態(tài)云數(shù)據(jù)中心[63]和擬態(tài)云服務(wù)架構(gòu)[64]，前者由基礎(chǔ)設(shè)施層、異構(gòu)網(wǎng)絡(luò)交換層、擬態(tài)化括號層、擬態(tài)云管理器/擬態(tài)化SaaS（software-as-a-service）應(yīng)用層和運維管理層構(gòu)成，后者通過在原系統(tǒng)服務(wù)層構(gòu)造MSP（mimic service package）提供節(jié)點式擬態(tài)云服務(wù)。如圖4所示，C式架構(gòu)中，作為客戶端的實體與作為服務(wù)端的元功能體交互時，信息流單線輸出、鏈?zhǔn)教幚?，元功能體在接收實體服務(wù)請求后，分發(fā)輸入、多模執(zhí)行、輸出裁決及調(diào)度反饋等擬態(tài)服務(wù)均在元功能體進行，同信息鏈信息I/O位于架構(gòu)同側(cè)，在每級I/O界面實現(xiàn)歸一化，通過在I/O界面直接引入擬態(tài)輸入/輸出模塊實現(xiàn)擬態(tài)構(gòu)造。

圖4 C式架構(gòu)及其信息流 Figure 4 Type C architecture and its information flow

3.1.2 分布式架構(gòu)

D式架構(gòu)，采用類P2P架構(gòu)的對等模式提供分布式擬態(tài)服務(wù)，分為組件式和分層式兩類子架構(gòu)。組件式子架構(gòu)，如擬態(tài)工控處理機[28]、擬態(tài)交換機[7]，由異構(gòu)執(zhí)行體池、調(diào)度器、電路組件構(gòu)成；分層式子架構(gòu)，如擬態(tài)路由器[65]，由應(yīng)用層、控制層和設(shè)備層組成。如圖5所示，D式架構(gòu)中，實體間彼此可兩兩交互，信息流多級多鏈并行，系統(tǒng)接收輸入信息I后僅觸發(fā)系統(tǒng)內(nèi)部的輸出信息Ointernal，外部界面的輸入I與輸出信息O間邏輯無關(guān)，即同信息鏈信息I/O位于架構(gòu)異側(cè)，為便于裁決，內(nèi)部輸出矢量需歸一化，通過直接在I/Ointernal界面引入擬態(tài)輸入/輸出模塊實現(xiàn)擬態(tài)構(gòu)造。

圖5 D式架構(gòu)及其信息流 Figure 5 Type D architecture and its information flow

3.1.3 小結(jié)

擬態(tài)平臺系統(tǒng)架構(gòu)，在信息流程上，符合I{P}O閉環(huán)控制模型，除輸入輸出通道外，擬態(tài)括號內(nèi)部件與外界不互通；在子架構(gòu)選用上，當(dāng)前實現(xiàn)的組件式子架構(gòu)多由調(diào)度器兼負(fù)調(diào)度和表決功能，對調(diào)度、表決功能一體化設(shè)計要求高，而分層式子架構(gòu)以擬態(tài)化控制層為核心，實現(xiàn)較為完備?？梢?，對現(xiàn)有平臺進行擬態(tài)化改造時，應(yīng)著眼其服務(wù)模式選取確定異構(gòu)服務(wù)集和多模裁決點，而后區(qū)分C式或D式架構(gòu)展開改造。

3.2 異構(gòu)策略

擬態(tài)平臺異構(gòu)策略，既可在基礎(chǔ)設(shè)施、操作系統(tǒng)、文件系統(tǒng)、應(yīng)用軟件等層面實現(xiàn)全棧物理異構(gòu)，還可通過虛擬化等策略增強虛擬異構(gòu)度，應(yīng)重點關(guān)注其實現(xiàn)模式、實現(xiàn)層次、構(gòu)件選用和部件同步4個層面。

3.2.1 異構(gòu)實現(xiàn)模式

根據(jù)平臺廠商來源和擬態(tài)化改造時平臺源碼是否可控兩項條件，可將擬態(tài)平臺異構(gòu)實現(xiàn)模式分為4類，如圖6所示。一是單源封閉異構(gòu)實現(xiàn)，即對于由單一廠商生產(chǎn)的非開源平臺，通過直接采用該廠商的多型產(chǎn)品作為服務(wù)集并在I/O接口增加分發(fā)、裁決及調(diào)度等機制以進行擬態(tài)化改造[63]。二是單源開放異構(gòu)實現(xiàn)，即在開源COTS級產(chǎn)品的核心部位，通過多樣化編譯產(chǎn)品源碼等方式設(shè)置擬態(tài)界。三是多源封閉異構(gòu)實現(xiàn)，即直接引入多廠商生產(chǎn)的非開源COTS級產(chǎn)品作為服務(wù)集，并在I/O接口設(shè)置擬態(tài)輸入和裁決部件以構(gòu)建擬態(tài)化子系統(tǒng)。四是多源開放異構(gòu)實現(xiàn)，即對具備動態(tài)、異構(gòu)、冗余特性的開源系統(tǒng)，因應(yīng)用與平臺松耦合且具備異構(gòu)基礎(chǔ)，通過直接引入擬態(tài)機制和組合多源應(yīng)用實現(xiàn)異構(gòu)。如擬態(tài)路由器架構(gòu)[65]通過基于OpenFlow協(xié)議的接口改造，控制未開源的思科、Juniper、中興、邁普、烽火路由器，即多源封閉異構(gòu)實現(xiàn)；通過開源軟件Routeflow[58]直接遷移控制開源的Quagga、XORP等路由器，即多源開放異構(gòu)實現(xiàn)。值得注意的是，這4類擬態(tài)異構(gòu)實現(xiàn)模式均面向基于COTS級硬件和開源產(chǎn)品、需經(jīng)擬態(tài)化改造才能生成內(nèi)生安全能力的擬態(tài)基線1.0產(chǎn)品，而面向基于DHR構(gòu)造、具備原生內(nèi)生安全能力的擬態(tài)基線2.0產(chǎn)品，這些異構(gòu)實現(xiàn)模式已不再需要。

圖6 擬態(tài)異構(gòu)實現(xiàn)模式 Figure 6 Mimicry heterogeneous implementation mode

3.2.2 異構(gòu)實現(xiàn)方法

異構(gòu)實現(xiàn)方法可分為編碼異構(gòu)、軟件異構(gòu)、硬件異構(gòu)、軟硬件協(xié)同異構(gòu)和混合異構(gòu)等，與異構(gòu)實現(xiàn)模式并非一一對應(yīng)，可結(jié)合實際情況靈活組合，如多源開放異構(gòu)實現(xiàn)模式既可僅實現(xiàn)軟件異構(gòu)，也可實現(xiàn)軟硬件協(xié)同異構(gòu)。

一是編碼異構(gòu)。即采用不同數(shù)據(jù)編碼實現(xiàn)異構(gòu)，如擬態(tài)存儲器將文件拆分為塊，隨機選擇多種糾刪碼編碼，實現(xiàn)存儲編碼異構(gòu)[6]。

二是軟件異構(gòu)和硬件異構(gòu)。軟件異構(gòu)方面，實現(xiàn)手段上，可通過反向棧、ISR、堆布局隨機化、?；冯S機化、棧保護、系統(tǒng)調(diào)用號隨機化、庫函數(shù)名隨機化等[66]手段實現(xiàn)；實現(xiàn)環(huán)節(jié)上，可在開發(fā)、編譯、鏈接、安裝、加載等環(huán)節(jié)[67]實現(xiàn)。如擬態(tài)蜜罐[9]在Web中間件、操作系統(tǒng)兩個軟件層設(shè)置異構(gòu)；擬態(tài)Web威脅感知模型[68]利用腳本擬態(tài)變換技術(shù)實現(xiàn)應(yīng)用腳本異構(gòu)；M-DNS[62]采用不同DNS軟件實現(xiàn)DNS服務(wù)器異構(gòu)；擬態(tài)處理機采用不同操作系統(tǒng)實現(xiàn)處理機異構(gòu)。針對擬態(tài)Web服務(wù)器的異構(gòu)實現(xiàn)，文獻[19]將其設(shè)計實現(xiàn)為基于應(yīng)用軟件、服務(wù)器軟件、數(shù)據(jù)庫、文件系統(tǒng)和操作系統(tǒng)的5層異構(gòu)，但未進行軟件同源性分析[69]；而文獻[8]將其設(shè)計實現(xiàn)為基于文件系統(tǒng)、服務(wù)器軟件、虛擬機操作系統(tǒng)的3層異構(gòu)?？梢?，大多數(shù)異構(gòu)平臺通過選用成型異構(gòu)軟件或變換腳本，在開發(fā)而非編譯、鏈接、安裝、加載等階段實現(xiàn)軟件異構(gòu)，操作可行性強，異構(gòu)成本較低。硬件異構(gòu)方面，由于異構(gòu)硬件接口不一，需額外引入對應(yīng)控制軟件，因此單純硬件異構(gòu)難以實現(xiàn)，目前尚未出現(xiàn)實例。

三是軟硬件協(xié)同異構(gòu)。如擬態(tài)交換機[7]采用異構(gòu){CPU+OS}硬件模組，并通過多樣化編譯生成異構(gòu)協(xié)議棧和管理軟件族；擬態(tài)路由器[65]采取多種軟、硬件控制模式實現(xiàn)7模異構(gòu)路由器；擬態(tài)防火墻[35]針對業(yè)務(wù)處理邏輯等層面進行擬態(tài)化改造，實現(xiàn){硬件平臺+操作系統(tǒng)+安全引擎}3層軟硬件異構(gòu)；擬態(tài)計算服務(wù)器[68]按需求混合配置CPU+GPU、CPU+FPGA、HRCA（hybrid reconfigurable computational array）、RIC（reconfigurable interconnection）等通用、專用、柔性計算部件，在指令級、部件級、系統(tǒng)級實現(xiàn)軟硬件變結(jié)構(gòu)計算。因此，擬態(tài)平臺可通過在數(shù)據(jù)接口等部位設(shè)置擬態(tài)括號，組合運用開源產(chǎn)品、自有產(chǎn)品和COTS級產(chǎn)品，實現(xiàn)軟、硬件協(xié)同異構(gòu)。

四是混合異構(gòu)。即采用異構(gòu)網(wǎng)絡(luò)部件、異構(gòu)網(wǎng)絡(luò)交換等，實現(xiàn)多維混合異構(gòu)，如擬態(tài)云數(shù)據(jù)中心[63]除部署擬態(tài)部件外，還引入擬態(tài)存儲、擬態(tài)云管、異構(gòu)網(wǎng)絡(luò)交換等異構(gòu)策略。

3.2.3 異構(gòu)構(gòu)件選用

現(xiàn)有擬態(tài)平臺異構(gòu)構(gòu)件測試集如表5所示。

表5 現(xiàn)有擬態(tài)平臺異構(gòu)構(gòu)件測試集Table 5 Heterogeneous component test set of existing mimicry platforms

3.2.4 異構(gòu)同步模式

為提升擬態(tài)架構(gòu)系統(tǒng)整體效能，應(yīng)在狀態(tài)保存、表項下發(fā)、故障恢復(fù)等時機，在隔離前提下同步異構(gòu)執(zhí)行體。同步模式主要有3種：一是直聯(lián)模式，即異構(gòu)執(zhí)行體通過接口直接通信，如擬態(tài)計算服務(wù)器[68]為實現(xiàn)高帶寬數(shù)據(jù)通信，部件間采用FPGA全互聯(lián)；二是插件模式，即異構(gòu)執(zhí)行體通過調(diào)度器或其他擬態(tài)插件間接通信，如擬態(tài)處理機[28]通過調(diào)度器管理用戶請求、響應(yīng)仲裁和執(zhí)行體故障隔離、清洗復(fù)位；擬態(tài)路由器[70]設(shè)置感知決策單元，通過收集狀態(tài)信息主動調(diào)整運行參數(shù)；三是消息隊列模式，如MNOS[29]采用ZeroMQ消息隊列完成異構(gòu)執(zhí)行體間通信，擬態(tài)防火墻[35]采用基于TIPC（transparent interprocess communication）集群協(xié)議的分布式消息傳輸。其中，直聯(lián)模式效率最高，但可能面臨協(xié)同攻擊；擬態(tài)插件模式較安全，但造成一定效能損失；消息隊列模式性能介于二者之間。同步粒度方面，已有擬態(tài)平臺未予以明確，其他多變體架構(gòu)使用的同步粒度按遞減排序，有BUDDY[71]的應(yīng)用級監(jiān)控，ShadowExe[62]的函數(shù)級監(jiān)控，Detile[72]的代碼級監(jiān)控，VARAN[63]、DCL[64]的系統(tǒng)調(diào)用級監(jiān)控及指令級監(jiān)控等[61]。

3.2.5 小結(jié)

為提升系統(tǒng)變換安全增益，應(yīng)側(cè)重選用多源開放異構(gòu)實現(xiàn)模式和混合異構(gòu)實現(xiàn)方法，同時，為防范基于冗余體間互聯(lián)端口鏈路、共享處理空間等通道或同步機制的多模協(xié)同攻擊，應(yīng)側(cè)重選擇插件模式或消息隊列模式實現(xiàn)異構(gòu)執(zhí)行體同步。

3.3 調(diào)度策略

調(diào)度策略，可細(xì)分為下線、上線兩項子策略。前者即調(diào)度選取特定舊執(zhí)行體離開服務(wù)集的子策略，后者指調(diào)度選擇適當(dāng)新執(zhí)行體進入服務(wù)集的子策略。

3.3.1 下線子策略

下線子策略主要有下線操作時機、下線清洗方法兩個方面。

一是下線操作時機，可分為定時下線、裁決下線、人工下線、策略下線等。其中，定時下線，即定時選取執(zhí)行體下線清洗，以防協(xié)同滲透、共模缺陷攻擊；裁決下線，即每次裁決后令信任權(quán)值最低的執(zhí)行體下線清洗；人工下線，即由操作員主觀決策選擇執(zhí)行體下線；策略下線，即基于時間片、隨機余度、異常告警監(jiān)控等策略選擇執(zhí)行體下線。如擬態(tài)交換機采取定時下線、裁決下線相結(jié)合的下線策略[7]，擬態(tài)路由器基于執(zhí)行體可信度和性能權(quán)重指標(biāo)選擇執(zhí)行體進行下線，擬態(tài)云服務(wù)架構(gòu)實行裁決下線、人工下線和策略下線相結(jié)合的下線策略[64]。

二是下線清洗方法，可采用初始化、清零、重啟等簡易數(shù)據(jù)復(fù)位方式，但無法清除對系統(tǒng)底層軟硬件的攻擊后果，因此在重置數(shù)據(jù)后應(yīng)對執(zhí)行體構(gòu)件進行一定重構(gòu)，或棄置后換用新執(zhí)行體，如擬態(tài)蜜罐[9]采用基于狀態(tài)回滾和輪換的調(diào)度策略；擬態(tài)云數(shù)據(jù)中心實行基于業(yè)務(wù)遷移和數(shù)據(jù)同步的清洗策略[63]，在發(fā)現(xiàn)執(zhí)行體異常后將其數(shù)據(jù)遷移至其他云執(zhí)行體。

3.3.2 上線子策略

上線子策略可基于執(zhí)行體可信度、負(fù)載量等指標(biāo)，如M-DNS實行基于執(zhí)行體可信度、負(fù)載量的選調(diào)策略[62]，即隨機選擇可信度、負(fù)載量滿足選取系數(shù)閾值要求的執(zhí)行體進入服務(wù)集；MNOS使用基于異構(gòu)度增益的調(diào)度策略[29]，使調(diào)度產(chǎn)生的軟、硬件異構(gòu)度增益和最大化。

3.3.3 小結(jié)

調(diào)度策略實質(zhì)是對可信度、負(fù)載、性能、用戶傾向等主、客觀指標(biāo)的平衡，以實現(xiàn)服務(wù)集攻擊表面的動態(tài)變換，如何對其量化評估還需測試驗證。值得注意的是，在選擇異常降級清洗后的舊執(zhí)行體重新進入服務(wù)集時，由于攻擊者已打通對其攻擊鏈，若將其直接加入工作隊列后短時間內(nèi)仍易被攻陷，因此考慮實施梯度回歸。如擬態(tài)處理機實行基于狀態(tài)保存的兩步清洗降級調(diào)度策略，將服務(wù)集狀態(tài)分為7級，對其逐級進行清洗、上線[28]。

3.4 表決策略

表決策略應(yīng)重點關(guān)注表決算法、表決層次和表決時延控制等因素。

3.4.1 表決算法

表決算法，可選用大數(shù)表決[73]、一致表決[74]、n中取2表決[75]、隨機表決、輪詢表決、擇多表決[76]等傳統(tǒng)算法，及自檢測多數(shù)一致表決算法[77]、自適應(yīng)一致表決算法[78-79]等改良算法，其中擇多表決的可信度最高，雖無法保證絕對正確，但根據(jù)CMD第二定理知，擇多錯誤概率隨余度增加而非線性減小，風(fēng)險可控，主要有3類。

一是靜態(tài)算法，即表決策略確定后不再變動，如M-DNS[62]指定采用大數(shù)表決算法。

二是動態(tài)算法，即可靈活確定表決策略，如擬態(tài)路由器[65]依據(jù)安全等級，可指定擇多判決、權(quán)重判決、隨機判決等算法。

三是復(fù)合算法，即復(fù)合運用多種表決策略，如擬態(tài)蜜罐[9]基于行為記錄、告警數(shù)據(jù)對比進行表決；擬態(tài)防火墻[35]采用分層次、分階段表決；為應(yīng)對時間協(xié)同、共模缺陷攻擊，擬態(tài)交換機在大數(shù)表決中增加信任評估和定時擾動，實施基于信任權(quán)值的自清洗大數(shù)表決，即在表決時優(yōu)先采用高信任權(quán)值執(zhí)行體的輸出，且信任權(quán)值隨執(zhí)行體表決輸出差異度等歷史表現(xiàn)動態(tài)更新；擬態(tài)處理機[28]引入基于處理機歷史表現(xiàn)的經(jīng)驗可信度和基于系統(tǒng)安全員主觀傾向的權(quán)值可信度，實行基于可信度的比較擇多算法，并提供了可選的基于抽樣擇多的復(fù)合單選判決算法；MNOS[29]考慮到每次大數(shù)表決相互獨立的缺陷，利用惡意控制器所占比例、系統(tǒng)誤差等先驗知識實現(xiàn)基于博弈策略的表決算法，提升了表決準(zhǔn)確性，但提高了計算量和時延。

3.4.2 表決層次

應(yīng)根據(jù)表決場景選取表決層次。由于異構(gòu)執(zhí)行體輸出格式、信息內(nèi)字段設(shè)置等不同，若在語義層表決，粒度難以掌握，需輔以智能語義分析算法，誤報率較低，漏報率較高，適用于模糊表決；而數(shù)據(jù)層表決更為精確，漏報率降低，但誤報率較高，適用于精確表決。如Web服務(wù)器實現(xiàn)兩個表決器[8]，即用于多模裁決的前端表決器和用于過濾非法SQL語句的后端表決器，前者在語義層表決，以屏蔽異構(gòu)服務(wù)器響應(yīng)的細(xì)節(jié)差異；后者在數(shù)據(jù)層表決，以屏蔽異構(gòu)機制導(dǎo)致的SQL語句差異。

3.4.3 表決時延控制

擬態(tài)平臺的時延開銷主要來自表決[8]，為降低表決時延，提高表決準(zhǔn)確率，應(yīng)對服務(wù)集輸出矢量進行標(biāo)準(zhǔn)化、歸一化。例如，文獻[8]提出擬態(tài)Web服務(wù)器可通過模塊硬件固化、非關(guān)鍵功能解耦，形成專用組件以降低開銷。

3.4.4 小結(jié)

為提高擬態(tài)平臺表決性能，應(yīng)結(jié)合具體場景選用表決層次，著重采取動態(tài)表決策略，并對執(zhí)行體輸出矢量進行歸一化。

4 發(fā)展觀：“擬態(tài)+”AICDS共生生態(tài)

隨著擬態(tài)技術(shù)與AI、IoT（internet of things）、Cloud、Data和SDN等新型技術(shù)深度融合，將逐漸形成“擬態(tài)+”AICDS共生生態(tài)，但目前存在較多技術(shù)瓶頸、盲區(qū)。

4.1 擬態(tài)+AI

CNN[80]、RNN[81]、GNN[82]、GRU[83]等神經(jīng)網(wǎng)絡(luò)算法驅(qū)動的人工智能技術(shù)，可用于優(yōu)化擬態(tài)多模裁決、態(tài)勢感知、數(shù)據(jù)計算等性能，例如，技術(shù)結(jié)合點可通過流量分類檢測異常的深度學(xué)習(xí)用于增強多模裁決準(zhǔn)確率；可自主推測調(diào)度方案的強化學(xué)習(xí)用于優(yōu)化調(diào)度策略。相關(guān)研究方面，英特爾于2017年開發(fā)了首款支持自監(jiān)督學(xué)習(xí)和強化學(xué)習(xí)的神經(jīng)擬態(tài)芯片Loihi[84]，并于2020年提出“神經(jīng)擬態(tài)計算”架構(gòu)[85]，通過EMIB[86]、Foveros[87]等技術(shù)封裝多模異架構(gòu)芯片，提高了對多源非結(jié)構(gòu)化數(shù)據(jù)的識別準(zhǔn)確率和能效比；文獻[88]針對現(xiàn)有擬態(tài)裁決機制無法有效歸納分析擬態(tài)架構(gòu)安全態(tài)勢的不足，提出基于裁決差異性判別的Web威脅態(tài)勢分析算法，將網(wǎng)絡(luò)態(tài)勢感知技術(shù)融入擬態(tài)架構(gòu)，通過LSTM網(wǎng)絡(luò)挖掘、分類、融合多層次擬態(tài)裁決告警日志特征，并根據(jù)分類結(jié)果實現(xiàn)威脅可視化展示，基于真實互聯(lián)網(wǎng)環(huán)境的實驗證明該方法可有效獲取CMD架構(gòu)安全態(tài)勢?？傮w來看，目前擬態(tài)技術(shù)與各類神經(jīng)網(wǎng)絡(luò)結(jié)合運用的算法架構(gòu)較少，在智能裁決、智能調(diào)度等方面有較大研究價值。

4.2 擬態(tài)+IoT

物聯(lián)網(wǎng)[89]中連接泛在、數(shù)據(jù)聚合、平臺各異、設(shè)備復(fù)雜，可靠性存在較大隱患[90]，而擬態(tài)DHR架構(gòu)可為其提供可靠性保證，技術(shù)結(jié)合點如智能網(wǎng)聯(lián)汽車擬態(tài)化控制/通信系統(tǒng)，或?qū)Χ嘣磦鞲衅鲾?shù)據(jù)應(yīng)用擬態(tài)化分析引擎。相關(guān)實例如第4屆“強網(wǎng)”擬態(tài)防御國際精英挑戰(zhàn)賽展示的具有內(nèi)生安全屬性的擬態(tài)高級智能駕駛輔助系統(tǒng)（ADAS），在高強度網(wǎng)絡(luò)攻擊中展現(xiàn)了相對傳統(tǒng)商用產(chǎn)品的安全優(yōu)勢；再如車聯(lián)網(wǎng)擬態(tài)防御系統(tǒng)[91]通過采集、分析威脅數(shù)據(jù)建立擬態(tài)化分析引擎，可通過動態(tài)重構(gòu)組合車載端與車載服務(wù)器端安全規(guī)則，產(chǎn)生內(nèi)生安全效應(yīng)。

4.3 擬態(tài)+Cloud

如上文所述，擬態(tài)架構(gòu)可用于保護云平臺[63,68]，技術(shù)結(jié)合點主要是構(gòu)建基于多模執(zhí)行體的擬態(tài)云平臺；此外，學(xué)術(shù)界對“擬態(tài)+云”的裁決策略、反饋控制、行為預(yù)測等展開了相關(guān)研究。裁決策略方面，如文獻[92]針對擬態(tài)云服務(wù)系統(tǒng)各異構(gòu)執(zhí)行體輸出矢量因不一致而難以裁決的問題，提出了基于模板對比和置信度修正的異構(gòu)執(zhí)行體輸出一致性裁決方法；再如文獻[21]提出了基于相似性指標(biāo)對服務(wù)集進行優(yōu)先級預(yù)排序，并結(jié)合時間片策略進行調(diào)度的PSPT算法，平衡了系統(tǒng)動態(tài)性與異構(gòu)性。反饋控制方面，如文獻[93]通過對虛擬機進行擬態(tài)封裝，基于異構(gòu)虛擬機的異構(gòu)度實現(xiàn)云執(zhí)行環(huán)境的動態(tài)輪換反饋控制。行為預(yù)測方面，如文獻[94]組合運用擅長處理線性關(guān)系的ARIMA[95]模型與擅長處理非線性關(guān)系的RBF[96]模型，優(yōu)化了擬態(tài)調(diào)度組件對云應(yīng)用行為的離線預(yù)測性能。

4.4 擬態(tài)+Data

Hbase[97]、ES、RabbitMQ、Celery[98]等大數(shù)據(jù)系統(tǒng)以CPU等通用處理器為核心，結(jié)構(gòu)單一、能效比低，學(xué)術(shù)研究主要集中于通過混合異構(gòu)平臺提高加速比和能效比，無法保證計算任務(wù)與體系結(jié)構(gòu)相匹配，要求計算架構(gòu)和處理機制范式同步向多模化、動態(tài)化革新，這正是大數(shù)據(jù)與擬態(tài)防御的技術(shù)結(jié)合點，如基于擬態(tài)計算的大數(shù)據(jù)處理方法[99]。此外，2018年，復(fù)旦大學(xué)與多家企業(yè)提出共同推進通用擬態(tài)大數(shù)據(jù)平臺發(fā)展，為擬態(tài)計算在大數(shù)據(jù)分析處理和數(shù)據(jù)挖掘領(lǐng)域應(yīng)用提供技術(shù)路徑。在擬態(tài)大數(shù)據(jù)平臺具體實現(xiàn)上，文獻[100]設(shè)計提出了高效能擬態(tài)大數(shù)據(jù)平臺，通過構(gòu)造體系結(jié)構(gòu)匹配矩陣將計算子任務(wù)動態(tài)分配至CPU、GPU、FPGA等組合處理部件，實驗表明，相較純CPU架構(gòu)，CPU+FPGA擬態(tài)架構(gòu)可深度融合異構(gòu)計算部件，能效比更高，還可靈活拓展；文獻[101]提出基于擬態(tài)計算的大數(shù)據(jù)精準(zhǔn)服務(wù)架構(gòu)，主要分為數(shù)據(jù)源、數(shù)據(jù)導(dǎo)入、數(shù)據(jù)存儲、擬態(tài)計算、精準(zhǔn)數(shù)據(jù)分析、數(shù)據(jù)精準(zhǔn)推薦技術(shù)等部分，使軟硬件深度耦合；文獻[102]提出綜合運用多種擬態(tài)系統(tǒng)，構(gòu)建包括數(shù)據(jù)源、擬態(tài)設(shè)備、擬態(tài)計算及數(shù)據(jù)應(yīng)用服務(wù)等組件的擬態(tài)大數(shù)據(jù)應(yīng)用平臺?？傮w來看，“擬態(tài)+大數(shù)據(jù)”應(yīng)用模式在異構(gòu)部件編配、計算子任務(wù)切分等方面的研究還需深化。

4.5 擬態(tài)+SDN

一方面，SDN有助于擬態(tài)異構(gòu)通過NFV[103]實現(xiàn)、支撐擬態(tài)功能模塊化、增量式部署，還可增強擬態(tài)架構(gòu)與業(yè)務(wù)功能耦合度，實現(xiàn)“功能即安全”；另一方面，SDN服務(wù)部署面臨服務(wù)鏈被篡改、截取、重放等威脅，對其控制層進行擬態(tài)化改造，可為其賦予內(nèi)生安全效應(yīng)，二者的技術(shù)結(jié)合點包括擬態(tài)控制器、SDN流的多模裁決等。如文獻[17,104]提出擬態(tài)SDN服務(wù)部署架構(gòu)，由應(yīng)用層/用戶業(yè)務(wù)需求、控制層和網(wǎng)絡(luò)層組成，對SDN控制層進行擬態(tài)改造；文獻[105]針對SDN主控制器單點故障和異構(gòu)控制器表項對比問題，提出擬態(tài)SDN控制層安全機制，引入多模異構(gòu)控制器實現(xiàn)多樣化民主監(jiān)督，并提出基于轉(zhuǎn)發(fā)語義的異構(gòu)控制器流表項對比算法。面向“擬態(tài)+SDN”實現(xiàn)面臨的各類問題，文獻[106]聚焦現(xiàn)有基于SDN的MNOS流表不一致、調(diào)度算法泛用性差、缺少安全性能評估3項缺陷，分別提出了基于流表可信度和自清洗機制的流一致裁決方法，基于攻擊信息的動態(tài)負(fù)反饋調(diào)度方法，以及基于攻防收益函數(shù)博弈的擬態(tài)控制平面安全性能評估方法；文獻[107]針對異構(gòu)控制器流規(guī)則一致性判別難題，提出基于流表規(guī)則管道圖和邊緣端口流矩陣對比的控制層裁決策略。

5 未來觀：“擬態(tài)+”未來新型應(yīng)用場景及挑戰(zhàn)

在擬態(tài)化浪潮帶動下，“擬態(tài)+”將激發(fā)更多應(yīng)用可能，也將面臨更多挑戰(zhàn)。

5.1 新型應(yīng)用場景

擬態(tài)基線2.0技術(shù)研發(fā)及其與5G、6G、邊緣計算、云服務(wù)、區(qū)塊鏈等新興技術(shù)深度融合，將產(chǎn)生更多新型擬態(tài)應(yīng)用場景。一是擬態(tài)基線2.0產(chǎn)品生態(tài)，通過對軟硬構(gòu)件、信息系統(tǒng)、控制裝置等通用對象，全面采用內(nèi)生安全原生設(shè)計規(guī)范和晶圓級微封裝工藝，實現(xiàn)多領(lǐng)域、微粒度、全維度多模異構(gòu)，使內(nèi)生安全成為新一代信息系統(tǒng)的基本功能，其重點包括擬態(tài)基線2.0擬態(tài)效能測試技術(shù)、原生內(nèi)生安全開發(fā)工具鏈與開發(fā)環(huán)境、擬態(tài)構(gòu)造測評標(biāo)準(zhǔn)等。二是“擬態(tài)+5G/6G”。隨著5G通信應(yīng)用部署和6G通信研究推進，擬態(tài)技術(shù)在大規(guī)?；ヂ?lián)網(wǎng)絡(luò)的機制同步和推廣部署條件趨于成熟，便于其提供分布式廣域移動安全服務(wù)，更好支撐高速異構(gòu)網(wǎng)絡(luò)跨域發(fā)展。同時，除網(wǎng)絡(luò)交換、處理設(shè)備外，擬態(tài)技術(shù)還將走向手機、平板等移動端平臺，用于解決5G/6G通信網(wǎng)面臨的云、移動邊緣計算[108]和垂直業(yè)務(wù)中的安全挑戰(zhàn)。三是“擬態(tài)+邊緣計算”。邊緣計算因其網(wǎng)絡(luò)復(fù)雜、設(shè)備分散、規(guī)模龐大，面臨身份認(rèn)證、訪問控制、密鑰管理等威脅[109]，擬態(tài)技術(shù)可為其提供跨設(shè)備、鏈路、網(wǎng)絡(luò)層，覆蓋分發(fā)、計算、存儲業(yè)務(wù)流程的安全屏障，如擬態(tài)分布式多接入邊緣計算架構(gòu)[110]將數(shù)據(jù)分割轉(zhuǎn)發(fā)至多個邊緣節(jié)點處理，并基于校驗分析實現(xiàn)了CMD機制。四是“擬態(tài)+云”。云計算、云服務(wù)等“云化”服務(wù)模式中，集中管理資源和信息跨域傳輸客觀導(dǎo)致攻擊目標(biāo)相對集中、普遍暴露，通過為云配備擬態(tài)調(diào)度管理組件，可支撐多個云應(yīng)用與擬態(tài)服務(wù)組件集群的融合協(xié)同[94]，形成基于內(nèi)生安全的“擬態(tài)云”服務(wù)模式，為“新基建+新安全”提供機遇；還可支撐云端一體協(xié)同防御，拓寬網(wǎng)絡(luò)防御縱深。五是“擬態(tài)+區(qū)塊鏈”。區(qū)塊鏈雖具備去中心、去信任、不易篡改、防偽造、可溯源等特性，但在高價值數(shù)據(jù)存儲流通中面臨私鑰丟失、合約代碼漏洞[111]、自私挖礦[112]等安全威脅，擬態(tài)架構(gòu)同樣可為其提供保護。例如，擬態(tài)區(qū)塊鏈[113]借鑒DHR架構(gòu)和密碼抽簽思想，提出了動態(tài)異構(gòu)共識機制和動態(tài)異構(gòu)冗余簽名算法，測試表明該算法效率受限于SM2算法和共識算法。

5.2 未來挑戰(zhàn)

CMD雖具備顛覆性內(nèi)生安全效應(yīng)，但事實上其安全性能還有待提高，部署成本有待降低，其“擬態(tài)+”發(fā)展主要面臨以下4類挑戰(zhàn)。

（1）非協(xié)同多模決策下存在攻擊逃逸空間

一是擬態(tài)DHR架構(gòu)可選的異構(gòu)構(gòu)件集相對確定，即架構(gòu)最大變換空間有限，擁有足夠攻擊資源的攻擊者可實現(xiàn)基于多模決策架構(gòu)的攻擊逃逸；二是基于DHR架構(gòu)的各類擬態(tài)系統(tǒng)安全邏輯相同、機制相似，APT攻擊者可長期監(jiān)控其變換規(guī)律，掌握其內(nèi)部執(zhí)行體的變換空間、輪換規(guī)律，伺機突破，若單純靠增加余度強化防御，將損失較多網(wǎng)絡(luò)性能；三是DHR防御范圍僅限于擬態(tài)括號，通過側(cè)信道攻擊等方式實施跨物理域協(xié)同攻擊，或不造成多模輸出相異的竊密攻擊，都可繞過擬態(tài)架構(gòu)；四是擬態(tài)化部署可能引入新系統(tǒng)子層，擴大攻擊表面，提升原架構(gòu)防御協(xié)同復(fù)雜度。

（2）異構(gòu)度增益與執(zhí)行體同步互相掣肘

一方面，為提升系統(tǒng)變換安全增益，防范基于冗余體間端口鏈路、共享空間等通道或同步機制的多模協(xié)同攻擊，要求執(zhí)行體、構(gòu)件盡量實現(xiàn)高度異構(gòu)，如MNOS等擬態(tài)架構(gòu)基于異構(gòu)度增益調(diào)度需盡量提升執(zhí)行體異構(gòu)度；另一方面，同步異構(gòu)執(zhí)行體工作狀態(tài)及輸入輸出矢量時，雖可選用較為安全的插件模式或消息隊列模式，卻因執(zhí)行體高度異構(gòu)增大了部署難度和同步時延，異構(gòu)度增益與開銷間掣肘制約了網(wǎng)絡(luò)性能提升，又缺少成熟的量化驗證和度量機制，難以取得可信平衡條件。

（3）安全與功能難以平衡

一是異構(gòu)設(shè)計及部署難度較大。擬態(tài)架構(gòu)引入各類安全部件，必然帶來一定軟硬件開銷及執(zhí)行體異構(gòu)設(shè)計部署難度。如擬態(tài)原理要求功能等價執(zhí)行體間絕對異構(gòu)，即空間隔離、邏輯獨立、交集最小，難以設(shè)計實現(xiàn)，若直接使用COTS級異構(gòu)執(zhí)行體，不僅無法滿足異構(gòu)度要求，還帶來一定公開漏洞風(fēng)險，因此通常對其虛擬化改造后投入應(yīng)用，以擴充異構(gòu)執(zhí)行體選擇范圍，將硬件成本縮減為軟件成本，但這種改造短期內(nèi)難以規(guī)?；瘜崿F(xiàn)、形成完整產(chǎn)業(yè)生態(tài)鏈。二是調(diào)度及表決策略漸趨復(fù)雜。為增強調(diào)度及表決策略可信性，研究者提出多種需軟硬件支撐的多樣化動態(tài)化指標(biāo)和復(fù)雜算法，其開銷及部署難度與其對網(wǎng)絡(luò)發(fā)展的支撐度、規(guī)?；渴鸬募疃让芮邢嚓P(guān)。

（4）現(xiàn)有內(nèi)生安全組件擬態(tài)熵有限

各類擬態(tài)架構(gòu)平臺使用的異構(gòu)執(zhí)行體，多選自代碼不可控、不可信的COTS級組件和開源平臺，難以實現(xiàn)全軟件棧、底層硬件細(xì)粒度異構(gòu)，調(diào)度變換產(chǎn)生的擬態(tài)熵空間有限，亟須開發(fā)按多源開放異構(gòu)實現(xiàn)模式設(shè)計、具備原生內(nèi)生安全屬性的新型內(nèi)生安全軟硬件。

6 結(jié)束語

CMD發(fā)展至今，已由單純的“擬態(tài)猜想”發(fā)展為繁復(fù)的“擬態(tài)+生態(tài)”，本文從縱向、橫向、當(dāng)前、發(fā)展和未來5個角度，綜述其發(fā)展歷程、原理本質(zhì)、平臺實現(xiàn)、技術(shù)增長點、未來挑戰(zhàn)及應(yīng)用場景，具體來說，推導(dǎo)闡述了基于CMD三定理的擬態(tài)原理，基于十余類現(xiàn)有擬態(tài)平臺，分析了其系統(tǒng)架構(gòu)模式、異構(gòu)策略、調(diào)度策略和表決策略，結(jié)合AI、IoT、云、大數(shù)據(jù)、SDN等新興技術(shù)，提出了“擬態(tài)+”AICDS共生生態(tài)，展望了擬態(tài)發(fā)展面臨的4大挑戰(zhàn)和4類新型應(yīng)用場景。可見，擬態(tài)技術(shù)雖已發(fā)展進入“擬態(tài)+生態(tài)”，但面臨多重挑戰(zhàn)，與各類技術(shù)結(jié)合的諸多研究點有待突破。