楊哲　陳云柯　夏立強

摘要：科學技術的發(fā)展，使信息通信網(wǎng)絡的發(fā)展規(guī)模越來越大，在信息通信網(wǎng)絡中有諸多復雜因素，尤其是信息技術在全球范圍內大面積應用，為信息通信網(wǎng)絡帶來更多的“毒化污染”，促使各個網(wǎng)絡節(jié)點或者鏈路出現(xiàn)諸多漏洞，影響信息通信網(wǎng)絡的安全性。本文針對信息通信網(wǎng)絡中擬態(tài)防御機理進行分析，繼而討論擬態(tài)防御技術在信息通信網(wǎng)絡中的應用策略以及未來展望，以供參考。

關鍵詞：信息通信網(wǎng)絡；擬態(tài)防御；網(wǎng)絡安全

一、引言

現(xiàn)階段，信息通信網(wǎng)絡已經從傳統(tǒng)的消費系統(tǒng)轉變?yōu)榇龠M社會發(fā)展的重大基礎設施，信息通信網(wǎng)絡對人們的生產和生活方面帶來便利的同時，也為人們帶來一定風險，對各個國家的經濟、政治以及軍事方面具有深刻影響，由此可見，信息通信網(wǎng)絡的安全對社會諸多領域發(fā)展具有重要作用。

二、信息通信網(wǎng)絡中擬態(tài)防御機理分析

（一）擬態(tài)防御原理

擬態(tài)防御創(chuàng)造靈感主要源于自然界，按照自然的機理作為擬態(tài)偽裝，其保持本質功能不變的情況下，將不確定的紋理、色彩以及形狀變化為捕獵者造成錯覺。在信息通信網(wǎng)絡中，也是同樣的道理，在不影響信息通信網(wǎng)絡的服務功能情況下，以及保證信息通信網(wǎng)絡正常運行的條件下，將系統(tǒng)架構以及運行機制或者尚未明確的弱點，按照擬態(tài)偽裝的方式進行隱藏，繼而實現(xiàn)干擾或者阻隔網(wǎng)絡攻擊的目的。在這種信息通信網(wǎng)絡空間中，就會被稱為擬態(tài)防御，擬態(tài)防御技術將網(wǎng)絡空間中未知的病毒或者漏洞以及木馬等病毒全部隔絕在外。

擬態(tài)防御技術利用動態(tài)異構防御思想進行信息通信網(wǎng)絡防護，所謂異構冗余就是將信息通信網(wǎng)絡中的眾多元素，實現(xiàn)成一個等價功能機制，不管是單獨使用的元素，還是組合使用的元素，都可以組成一個等價功能機制，其目的就是改善冗余元素中的缺陷或者故障，擬態(tài)防御等價功能機制中的冗余結構，詳細如圖1所示。

在信息通信網(wǎng)絡中，要想避免遭受攻擊，就要利用異構、冗余架構以及動態(tài)作為安全防御結構，促使擬態(tài)防御技術能夠將潛在的威脅控制，促使信息通信網(wǎng)絡具備安全性與穩(wěn)定性。

DHR（冗余架構）的作用就是保證異構冗余的前提下，增加動態(tài)性或非動態(tài)性因素，使得信息通信網(wǎng)絡具備不確定性，繼而干擾攻擊者的信息，為網(wǎng)絡攻擊增加一定難度，最大限度地降低攻擊發(fā)生的概率。

（二）預防數(shù)據(jù)攻擊的擬態(tài)防御架構

擬態(tài)防御在信息通信網(wǎng)絡應用過程中，可以對不同程度數(shù)據(jù)攻擊進行防御，并且在數(shù)據(jù)攻擊擬態(tài)防御架構中，也可以進行防御，在本文中擬態(tài)防御架構，主要是利用DHR構建擬態(tài)防御機制，促使擬態(tài)防御形成一個獨特的架構，預防數(shù)據(jù)攻擊的擬態(tài)防御機制。

本段主要以ACL為背景，下面詳細來講MDADA（防數(shù)據(jù)攻擊的擬態(tài)防御架構）工作機制：

1.功能組件

在異構冗余執(zhí)行過程中，需要對異構冗余的執(zhí)行區(qū)域進行明確，因為異構冗余執(zhí)行需要對各項業(yè)務數(shù)據(jù)增加加密功能，這樣可以提升異構冗余執(zhí)行的有效性。另外，在分發(fā)器過程中，由于分發(fā)器共分為兩種，一種是分發(fā)器，另一種是加密分發(fā)器，因此，需要進行詳細識別。同時，裁決器方面，在進行裁決之前，需要確定裁決結果的重點輸出或輸入。

2.組件式過程

組件式過程包括多個環(huán)節(jié)，下面詳細來講組件式過程：

第一，加密式過程中，需要根據(jù)ACL的相關規(guī)定對分發(fā)器進行復雜配置，以保證復制的數(shù)據(jù)和異構執(zhí)行的數(shù)據(jù)保持一致性。在ACL和上線執(zhí)行過程中，需要和異構的執(zhí)行體之間產生差距，進行詳細標記，并進行配對。第二，解密過程中，主要是利用ACL分發(fā)器，將編輯后的執(zhí)行體與異構執(zhí)行體完成配對。第三，裁決過程中，應該基于數(shù)據(jù)中的指紋進行反復對比，確定指紋比對正確后，在封裝中進行裁決。另外，解密完成后，需要利用Hash算法，計算出冗余后指紋的矢量，如果冗余指紋的矢量和原本的矢量差距較大，就說明ACL出現(xiàn)問題，應該及時進行處理，避免決策器出現(xiàn)問題。

3.運行激勵

針對運行激勵，在初始化運行激勵過程中，應該保證MDADA系統(tǒng)能夠在初始化完成后再進行下一步操作，其主要激勵流程為d→a。另外，針對擬態(tài)防御的控制層激勵，應該對所有的訪問進行嚴格攔截。和ACL進行比較，這個激勵流程主要為b→c→ACL。針對控制修改激勵，應該保證ACL合法的情況下進行適當?shù)男薷?，在這個環(huán)節(jié)中，MDADA的激勵流程為b→c→ACL。針對動態(tài)調度過程中，應該在保證異構冗余執(zhí)行體中進行調整，這個構成的激勵流程為b→（c，d）→a以及c 和 d 同時進行。詳細工作原理如圖2所示。圖2為MDADA工作邏輯原理。

三、信息通信網(wǎng)絡中擬態(tài)防御關鍵技術應用策略

（一）擬態(tài)防御目標分析技術

在信息通信網(wǎng)絡中，網(wǎng)絡在某個時間遭遇攻擊或者沖突時，如果攻擊者以及防御者所具備的網(wǎng)絡技術水平沒有較大差距，那么，攻擊者和防御者雙方的網(wǎng)絡技術水平直接決定后續(xù)產生的后果，這也和信息通信網(wǎng)絡的安全發(fā)展有直接關系。那么，如果攻擊者和防御者雙方的網(wǎng)絡技術水平存在較大差距，這二者之間就會選擇決策的方式，制定科學合理的策略，促使二者之間都能夠享受到最大的經濟利益?；诖耍谛畔⑼ㄐ啪W(wǎng)絡遭受到沖突或者攻擊時，應該根據(jù)自身網(wǎng)絡技術水平，明確與對方的網(wǎng)絡技術差距，再詳細分析擬態(tài)防御目標分析技術，繼而針對擬態(tài)防御目標針對性提升信息通信網(wǎng)絡的擬態(tài)防御方法。同時，信息通信網(wǎng)絡在選擇擬態(tài)防御目標技術時，應該秉持著最優(yōu)性原則，并且在擬態(tài)防御目標技術選擇過程中，應該對各個攻擊類型進行綜合判斷，促使防御者能夠享受到最大的經濟效益。另外，在選擇擬態(tài)防御目標分析技術時，需要保證選擇過程具備清晰性，為后續(xù)的擬態(tài)防御目標分析技術實施奠定基礎，擬態(tài)防御的對象主要是通過選擇后，在服務現(xiàn)實生活中通信網(wǎng)絡場景，因此，在開展防御攻擊時，應該對相關攻擊數(shù)據(jù)進行詳細研究與分析，繼而選擇高效的擬態(tài)防御技術策略[1]。

（二）感知網(wǎng)絡攻防技術

在信息通信網(wǎng)絡中，如果遭遇到網(wǎng)絡攻擊，應該熟練掌控感知網(wǎng)絡攻防技術方法，因為網(wǎng)絡攻防感知，主要是通過信息通信網(wǎng)絡擬態(tài)防御為基礎進行構建的，在網(wǎng)絡攻防感知技術中，主要負責收集相關攻擊類型與擬態(tài)防御行為的相關數(shù)據(jù)，促使防御者能夠在短時間明確網(wǎng)絡攻擊中的具體行為，以及接下來應該如何應對，防御者便可以擬定最優(yōu)的信息通信網(wǎng)絡擬態(tài)防御，這也是收集攻擊類型和攻擊行為數(shù)據(jù)的主要原因。另外，防御者通過攻擊行為數(shù)據(jù)，就可以對信息通信網(wǎng)絡中產生的漏洞進行詳細分析，繼而明確攻擊行為和信息通信網(wǎng)絡系統(tǒng)之間的關系?，F(xiàn)階段，信息通信網(wǎng)絡中，由于掃描的工具各不相同，要想更好開展相關數(shù)據(jù)收集工作，就要將信息通信網(wǎng)絡中產生掃描漏洞分為兩種方式，一種是通過網(wǎng)絡漏洞掃描方式，一種是通過主機漏洞的掃描方式。這兩種掃描方式具體的流程有以下幾點：第一，在對信息通信網(wǎng)絡進行檢查過程中，防御者需要對網(wǎng)絡中的攻擊行為數(shù)據(jù)包搭建模型，模擬攻擊行為發(fā)生時，信息通信網(wǎng)絡會產生怎樣的反應，獲得相關的數(shù)據(jù)，防御者便可以對本次攻擊行為在信息通信網(wǎng)絡中產生的漏洞進行檢查與修復。第二，通過主機漏洞的掃描方式，防御者對主機中的漏洞進行全面檢查，并根據(jù)本地信息通信網(wǎng)絡的不同場景進行檢查，主要包括系統(tǒng)掃描、本文文件以及其他涉及的安全配置，這能夠更好應用感知網(wǎng)絡攻擊技術。

（三）信息通信網(wǎng)絡安全風險綜合研判技術

如果要想更好運用信息通信網(wǎng)絡安全風險綜合預判技術，就要掌握正確的方法，并且將信息綜合判斷作為信息通信網(wǎng)絡安全風險綜合研判的重點。另外，由于信息通信網(wǎng)絡中的眾多數(shù)據(jù)，都是通過鏈路在整個通信網(wǎng)絡中高效傳輸，因此，在開展總體決策過程中，應該將網(wǎng)絡安全風險排除在外，因為網(wǎng)絡安全風險，會直接影響最終的總體決策結構?；诖?，在進行信息通信網(wǎng)絡安全風險研判技術時，應該全面掌握信息通信網(wǎng)絡運行的詳細情況，繼而針對性選擇安全風險研判技術方法。正常情況下，網(wǎng)絡安全風險研判技術主要有以下幾個類型包括定性判斷技術類型、定量判斷技術類型以及定量和定性判斷相結合的技術類型。需要注意的是，在選擇定量和定性判斷技術相結合時，應該盡快找到一個判斷節(jié)點，再對信息通信網(wǎng)絡中安全風險各個節(jié)點進行判斷。

另外，在檢查風險節(jié)點過程中，如果周圍的節(jié)點和相鄰的節(jié)點之間存在平衡環(huán)，就要避開這個節(jié)點，前往下一個區(qū)域檢查，如果沒有平衡環(huán)，就要停下來，在判斷的節(jié)點之間增加平衡環(huán)，判斷兩個節(jié)點之間是否存在風險。同時，在通信網(wǎng)絡中的各個判斷節(jié)點中，應該對每個相近的節(jié)點找到相應的備份，繼而保證在前往下一個節(jié)點，能夠通過備份節(jié)點跳轉到下一個，這樣一來，在節(jié)點跳轉過程中，就可以針對風險判斷的結果傳輸數(shù)據(jù)，不僅可以節(jié)省網(wǎng)絡風險研判的時間，還會避免全部堵塞在同一個節(jié)點中，避免發(fā)生節(jié)點不可以進行數(shù)據(jù)傳輸?shù)那闆r。如果當信息通信網(wǎng)絡中的節(jié)點發(fā)生堵塞，出現(xiàn)閾值的情況，就要在信息通信往來中找到可以數(shù)據(jù)傳輸?shù)墓?jié)點，促使這個節(jié)點暫停發(fā)送數(shù)據(jù)，再促使周圍的節(jié)點和相鄰的節(jié)點執(zhí)行刪除或者卸載的命令，有助于保證數(shù)據(jù)的安全。如果流量的閾值達到頂峰，就要判斷信息通信網(wǎng)絡中的節(jié)點是否可以對本地文件進行搜索，通過搜索后，可以將堵塞的節(jié)點進行轉發(fā)。因此，通過信息通信網(wǎng)絡安全風險研判技術，能夠最大限度保證信息通信網(wǎng)絡的安全性[2]。

（四）構建信息通信網(wǎng)絡虛擬防御技術

構建信息通信網(wǎng)絡虛擬防御技術過程中，應該利用信息通信網(wǎng)絡中的公共網(wǎng)絡，因為公共網(wǎng)絡主要是利用虛擬網(wǎng)絡訪問服務和路由器的，或者移動通信設備，這些都可以在公共網(wǎng)絡中建立專門的網(wǎng)絡。另外，數(shù)據(jù)傳輸具有單向的特點，簡單來講，數(shù)據(jù)傳輸就是只可以被動接受，不可以主動獲取，基于此，在構建信息通信網(wǎng)絡虛擬防御技術過程中，應該利用網(wǎng)絡虛擬隧道，促使虛擬隧道在網(wǎng)絡中高效傳輸，并且還可以保證虛擬網(wǎng)絡數(shù)據(jù)傳輸?shù)碾[秘性與安全性。與此同時，在數(shù)據(jù)傳輸中，需要將傳輸?shù)臄?shù)據(jù)進行分組，并且在傳輸中需要構建公共網(wǎng)絡空間，在構建過程中，可以對各個風險信息有效攔截，將不法分子的數(shù)據(jù)進行攔截，提升信息通信網(wǎng)絡中的安全性。基于此，利用網(wǎng)絡虛擬防御技術，在公共網(wǎng)絡中進行數(shù)據(jù)傳輸時，能夠有效避免兩臺計算機發(fā)生數(shù)據(jù)泄露與丟失的風險，最大限度降低數(shù)據(jù)傳輸?shù)馁M用成本，全面提升信息通信網(wǎng)絡的安全性與穩(wěn)定性[3]。

四、基于擬態(tài)防御的控制層安全機制

擬態(tài)防御架構作為一種技術，應該在擬態(tài)防御技術中增加SDN，促使擬態(tài)防御技術功能增加，并且通過控制器的形式開展信息通信網(wǎng)絡風險防御工作。多個控制器可以匯總網(wǎng)絡中的數(shù)據(jù)并與傳輸?shù)臄?shù)據(jù)進行詳細對比。與此同時，通過控制器能夠對信息通信網(wǎng)絡中的多個板塊進行處理。

在擬態(tài)防御的控制層增加控制器代理，就可以有效將控制層和數(shù)據(jù)層之間的消息進行傳輸與交互，控制層中主要是由多個異構等價控制器組成。在設置相應的傳輸異流表后，可以將主控制器的流表進行轉換，使主控制器的流表轉變?yōu)榻粨Q機。從而攔截其他控制器中的流表，并將各個控制器中的流表進行詳細對比。

擬態(tài)防御控制層為了保證監(jiān)督的有效性，應通過主控制器對不同流量表進行傳輸。例如，基于POX和ODL算法，對擬態(tài)防御控制層的路由功能進行計算，再利用Python和Java實現(xiàn)，從而提升擬態(tài)防御控制層的安全性。此外，控制器代理主要包括以下幾個方面：第一，消息分發(fā)，主要是在代理控制器接收到數(shù)據(jù)信息后，利用復制或轉發(fā)，將代理主控制器進行控制，以確保他們能夠接收到清晰的網(wǎng)絡視圖。第二，響應匯集，主要負責代理控制器的配置消息，如Switch configuration等，這些數(shù)據(jù)消息主要由擬態(tài)防御控制層進行轉發(fā)與控制，并需要重點監(jiān)控，以避免出現(xiàn)安全風險。第三，流表裁決，主要是通過語義之間相對對比，再由控制器來嚴格控制流表，以避免控制器的流表之間產生問題，從而提升信息通信網(wǎng)絡的安全性[4]。

針對性能方面，在擬態(tài)防御控制層安全機制中，不需要改變原本的SDN網(wǎng)絡結構以及其他協(xié)議，并且無需對原本的信息通信網(wǎng)絡控制器進行處理，繼而提升信息通信網(wǎng)絡中的安全性。另外，在代理主控制器的網(wǎng)絡視圖方面，需要增加相應的通信延遲裝置，代理主控制器中的周圍，要想保證性能不受影響，就要在網(wǎng)絡主控制器中擴大資源開銷，有助于提升安全性能。因為代理主控制類似于網(wǎng)橋，該區(qū)域一般情況下，不會產生故障或者出現(xiàn)網(wǎng)絡攻擊行為，代理控制器還可以充當監(jiān)督功能，一旦出現(xiàn)異常，也不會對信息通信網(wǎng)絡造成安全威脅。在代理主控制中，無需使用大量的接口，就可以防止攻擊行為的發(fā)生，繼而保證信息通信網(wǎng)絡的安全[5]。

五、結束語

總的來講，社會在不斷發(fā)展，人們的生產和生活方式已經發(fā)生了變化，信息通信網(wǎng)絡的規(guī)模越來越大，并且在社會經濟中占據(jù)重要地位。特別是隨著新興網(wǎng)絡技術的不斷增加，信息通信網(wǎng)絡面臨著一定的風險，因此，加強擬態(tài)防御技術以增強信息通信網(wǎng)絡安全性至關重要。擬態(tài)防御技術能夠避免信息通信網(wǎng)絡遭遇攻擊，并提升信息通信網(wǎng)絡的安全性。

參? 考? 文? 獻

[1]杭杰，吳月梅，胡心盈. 網(wǎng)絡安全新平衡-擬態(tài)防御原理綜述[J]. 工業(yè)信息安全，2022，（05）：25-34.

[2]倪曉波，劉進芬. 擬態(tài)防御技術在無人機飛控領域的應用與分析[J]. 網(wǎng)絡安全技術與應用，2022，（02）：128-129.

[3]郁晨. 結合擬態(tài)防御的可信車聯(lián)網(wǎng)直接匿名認證技術研究[D].東南大學，2021.

[4]羊子煜. 面向擬態(tài)防御的可信安全認證技術研究[D].東南大學，2021.

[5]趙海寧. 擬態(tài)防御系統(tǒng)中的同態(tài)技術應用研究[D].東南大學，2021.

楊哲（1987.08-），男 ，回族，天津，本科，工程師，研究方向：數(shù)據(jù)通信、網(wǎng)絡關鍵技術研究；

陳云柯（1994.06-）， 男，漢族，北京，本科，工程師，研究方向：數(shù)據(jù)通信、SRv6創(chuàng)新技術

夏立強（1988.06-），男，漢族，天津，本科，助理工程師，研究方向：數(shù)據(jù)通信、網(wǎng)絡安全