有限異構(gòu)資源條件下的工業(yè)控制擬態(tài)調(diào)度算法

張汝云，李合元，李順斌

（之江實(shí)驗(yàn)室，浙江 杭州 311121）

1 引言

當(dāng)前網(wǎng)絡(luò)空間安全存在4個(gè)本源性問(wèn)題：一是受軟/硬件構(gòu)件設(shè)計(jì)水平的局限，信息系統(tǒng)設(shè)計(jì)缺陷的漏洞難以避免；二是在“你中有我，我中有你”的開(kāi)放生態(tài)環(huán)境中，信息系統(tǒng)軟硬件后門(mén)的可能性長(zhǎng)期存在；三是依托現(xiàn)階段的科學(xué)技術(shù)尚無(wú)法徹查所有漏洞后門(mén)；四是產(chǎn)品和系統(tǒng)的信息安全質(zhì)量難以得到有效控制。

為了能在“有毒帶菌”的環(huán)境下構(gòu)筑網(wǎng)絡(luò)安全，鄔江興院士基于共識(shí)機(jī)制提出了擬態(tài)防御理論[1]，通過(guò)在“動(dòng)態(tài)－異構(gòu)－冗余”的DHR（dynamic heterogeneous redundancy）架構(gòu)上引入多模裁決機(jī)制，對(duì)攻擊者形成測(cè)不準(zhǔn)防御迷霧，有效地將網(wǎng)絡(luò)空間的不確定威脅問(wèn)題歸一化為利用魯棒控制理論能解決的工程技術(shù)問(wèn)題。Ma等[2]基于馬爾可夫模型建立了可描述分析DHR架構(gòu)核心特征的模型，通過(guò)蒙特卡羅仿真驗(yàn)證了冗余度、可用異構(gòu)資源與擬態(tài)防御系統(tǒng)安全防御能力之間的關(guān)系。在系統(tǒng)冗余度越高、執(zhí)行體異構(gòu)度越大，系統(tǒng)防御性能則越強(qiáng)的普遍共識(shí)下，針對(duì)擬態(tài)防御理論的多模裁決機(jī)制和擬態(tài)調(diào)度策略研究，則是進(jìn)一步增強(qiáng)系統(tǒng)防御效果，提升最大化資源利用效率的關(guān)鍵。為此，學(xué)術(shù)界展開(kāi)了大量的研究。

馬海龍等[3]在基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的路由器擬態(tài)防御體系結(jié)構(gòu)中提出了基于執(zhí)行體可信度的隨機(jī)調(diào)度策略和基于執(zhí)行體性能權(quán)重的隨機(jī)調(diào)度策略，該策略將可信度、性能權(quán)重應(yīng)用于執(zhí)行體上線(xiàn)階段，以達(dá)到可信度高、性能好的執(zhí)行體優(yōu)先上線(xiàn)的效果；吳春明等[4]也提出了基于信譽(yù)度與相異度相結(jié)合的自適應(yīng)擬態(tài)控制器，利用相異度指標(biāo)衡量各執(zhí)行體之間的差異，從而得到異構(gòu)程度最高的執(zhí)行體；利用信譽(yù)度指標(biāo)衡量執(zhí)行體的脆弱程度，從而決定執(zhí)行體在多模裁決中的作用程度；然而，上述算法的決定執(zhí)行體上線(xiàn)的參考因素相對(duì)固定且缺少對(duì)運(yùn)行環(huán)境的自適應(yīng)迭代更新機(jī)制，策略可能存在選出的執(zhí)行體缺乏隨機(jī)性的缺陷。陳利躍等[5]提出了基于K-means 聚類(lèi)算法的執(zhí)行體調(diào)度策略，一定程度平衡了執(zhí)行體上線(xiàn)的針對(duì)性與隨機(jī)性問(wèn)題，但其算法需要用到特征分解等復(fù)雜操作，在工業(yè)控制場(chǎng)景的嵌入式設(shè)備中較難推廣。

伴隨理論研究的不斷深入，擬態(tài)防御技術(shù)已經(jīng)廣泛用于路由器、防火墻、數(shù)據(jù)中心、域名服務(wù)器等關(guān)鍵網(wǎng)元設(shè)備，賦予設(shè)備內(nèi)生安全的功能。安全設(shè)計(jì)者的目光焦點(diǎn)從理論研究逐步轉(zhuǎn)移到實(shí)際場(chǎng)景中的設(shè)備擬態(tài)化改造上，更加關(guān)注工程可實(shí)現(xiàn)性、投入費(fèi)效比的衡量上。魏帥等[6]認(rèn)為，在單處理機(jī)故障率小于1%的情況下，四余度擬態(tài)處理機(jī)與三余度擬態(tài)處理機(jī)相比整體的錯(cuò)誤故障率降低幅度并不明顯，三余度擬態(tài)處理機(jī)明顯具有更高的費(fèi)效比。

此外，在工業(yè)控制領(lǐng)域，工業(yè)應(yīng)用的生態(tài)資源相對(duì)封閉，許多應(yīng)用場(chǎng)景可能無(wú)法在較低的成本、較短的時(shí)間內(nèi)生成多個(gè)異構(gòu)化程度較大的執(zhí)行體集合。在許多場(chǎng)合，可用的異構(gòu)資源數(shù)量可能只有6個(gè)，遠(yuǎn)小于參考文獻(xiàn)[2]中假定的最小可用異構(gòu)資源數(shù)量20。在異構(gòu)執(zhí)行體資源受限的條件下，如何設(shè)計(jì)適用于工業(yè)控制系統(tǒng)的擬態(tài)裁決算法并進(jìn)行可量化安全性評(píng)估，是值得研究的一個(gè)問(wèn)題。

本文針對(duì)當(dāng)前應(yīng)用最為廣泛的三余度的DHR架構(gòu)，提出了一種基于置信度和勝任系數(shù)的工業(yè)控制系統(tǒng)擬態(tài)調(diào)度方法，將執(zhí)行體的當(dāng)前狀態(tài)與歷史表現(xiàn)狀態(tài)轉(zhuǎn)化為可量化的指標(biāo)來(lái)實(shí)施擬態(tài)調(diào)度。本文的主要貢獻(xiàn)有以下3點(diǎn)。

（1）本文所提出的擬態(tài)調(diào)度策略，能夠根據(jù)運(yùn)行環(huán)境自適應(yīng)選擇合適的執(zhí)行體上線(xiàn)。在低強(qiáng)度攻擊時(shí)，每個(gè)執(zhí)行體上線(xiàn)的概率趨于平均，保持了隨機(jī)性；在高強(qiáng)度攻擊時(shí)，優(yōu)先選中可靠性更強(qiáng)（漏洞分布更少）的執(zhí)行體上線(xiàn)，以提升系統(tǒng)可用概率。

（2）本文所提出的擬態(tài)調(diào)度策略，對(duì)三余度擬態(tài)系統(tǒng)可能存在的所有異常狀態(tài)做了針對(duì)性分類(lèi)，引入了執(zhí)行體上線(xiàn)保護(hù)寄存器、周期清洗定時(shí)器等專(zhuān)用結(jié)構(gòu)分別應(yīng)對(duì)N-1模與N模攻擊。實(shí)驗(yàn)結(jié)果表明，系統(tǒng)只需要執(zhí)行2次清洗操作即可杜絕N-1模攻擊逃逸行為，只需要執(zhí)行3次清洗即可杜絕N模攻擊逃逸行為。

（3）針對(duì)應(yīng)用生態(tài)受限的客觀條件，本文建立基于攻擊強(qiáng)度的仿真模型，驗(yàn)證了在異構(gòu)執(zhí)行體數(shù)量只有6個(gè)的極端約束條件下，擬態(tài)防御系統(tǒng)在對(duì)抗高強(qiáng)度攻擊時(shí)仍能保持99.24%的高可用概率。給擬態(tài)系統(tǒng)設(shè)計(jì)的成本規(guī)劃提供了新思路。

2 資源受限條件下的安全調(diào)度模型

2.1 擬態(tài)防御理論

根據(jù)擬態(tài)防御理論：擬態(tài)防御系統(tǒng)包含由多個(gè)獨(dú)立的異構(gòu)執(zhí)行體；執(zhí)行體根據(jù)時(shí)間（或環(huán)境）動(dòng)態(tài)切換成上線(xiàn)或清洗備用狀態(tài)；系統(tǒng)的輸入通過(guò)輸入代理模塊分發(fā)至在運(yùn)行的多個(gè)執(zhí)行體中并獲得多個(gè)輸出結(jié)果；多模裁決模塊通過(guò)對(duì)比執(zhí)行體的輸出結(jié)果，判定各執(zhí)行體的安全狀態(tài)，動(dòng)態(tài)調(diào)控執(zhí)行體的狀態(tài)。由于系統(tǒng)架構(gòu)采用嚴(yán)格的單向聯(lián)系機(jī)制，攻擊者無(wú)法直接觸碰到由輸入代理與輸出裁決模塊組成的擬態(tài)括號(hào)。實(shí)現(xiàn)攻擊逃逸的唯一方式，即對(duì)擬態(tài)括號(hào)內(nèi)由多個(gè)異構(gòu)執(zhí)行體實(shí)現(xiàn)非配合下的盲協(xié)同攻擊?？梢?jiàn)，基于擬態(tài)防御系統(tǒng)的安全性很大程度上依賴(lài)于執(zhí)行體相互間的異構(gòu)化程度。倘若執(zhí)行體完全異構(gòu)，則采用簡(jiǎn)單的擇多判決即可保證系統(tǒng)安全可信。

然而受當(dāng)前應(yīng)用生態(tài)發(fā)展現(xiàn)狀的約束，異構(gòu)執(zhí)行體之間存在共模漏洞是不可避免的事實(shí)。因此，擬態(tài)防御理論并不強(qiáng)調(diào)絕對(duì)的靜態(tài)安全，而是通過(guò)引入多模裁決策略對(duì)受到攻擊的執(zhí)行體進(jìn)行動(dòng)態(tài)清洗切換。即使攻擊者耗費(fèi)巨大精力在非配合條件下成功構(gòu)造出盲協(xié)同攻擊，也會(huì)被系統(tǒng)識(shí)別并清洗。指數(shù)量級(jí)地提升攻擊難度并且使得攻擊效果不可持續(xù)，是擬態(tài)防御的兩大顯著效果。

2.2 安全調(diào)度控制模型與假設(shè)

區(qū)別于擬態(tài)防御理論中的一般化描述，本文對(duì)工業(yè)控制系統(tǒng)的安全調(diào)度模型做出如下理論假設(shè)。

（1）假設(shè)擬態(tài)工業(yè)控制系統(tǒng)采用費(fèi)效比最高的三余度DHR架構(gòu)。因?yàn)橥瑫r(shí)在線(xiàn)運(yùn)行的執(zhí)行體數(shù)量必須大于或等于3個(gè)，才能對(duì)輸出結(jié)果的進(jìn)行裁決。

（2）擬態(tài)工業(yè)控制系統(tǒng)的可用異構(gòu)執(zhí)行體的數(shù)量最小值設(shè)置為6。6個(gè)執(zhí)行體是三余度DHR架構(gòu)系統(tǒng)在遭受N模攻擊后通過(guò)裁決清洗操作可恢復(fù)到正常狀態(tài)并實(shí)現(xiàn)攻擊面轉(zhuǎn)移的最低條件[1]。

（3）每個(gè)執(zhí)行體均存在漏洞，且漏洞分為兩大類(lèi)。第一類(lèi)漏洞后門(mén)依賴(lài)于該執(zhí)行體所獨(dú)有運(yùn)行環(huán)境，稱(chēng)之為“差模漏洞”，觸發(fā)該漏洞僅會(huì)造成差模攻擊效果，觸發(fā)概率值用Pdiff表示；第二類(lèi)漏洞后門(mén)與執(zhí)行體所獨(dú)有運(yùn)行環(huán)境無(wú)關(guān)，稱(chēng)之為“共模漏洞”，多執(zhí)行體同時(shí)觸發(fā)該漏洞將造成N-1模或N模攻擊效果，執(zhí)行體單體觸發(fā)概率值用Pcomm表示。

（4）在系統(tǒng)執(zhí)行體啟動(dòng)前為每個(gè)執(zhí)行體分配一個(gè)勝任系數(shù)值Tc，Tc∈ (0,1)。該執(zhí)行體勝任系數(shù)，由用戶(hù)結(jié)合執(zhí)行體應(yīng)用生態(tài)情況以及執(zhí)行體相互間異構(gòu)化程度綜合評(píng)定。

· 執(zhí)行體應(yīng)用生態(tài)越好，對(duì)安全防護(hù)考慮越多，漏洞越少，則勝任系數(shù)值越高。

· 執(zhí)行體與其他異構(gòu)執(zhí)行體的差異度越大，則勝任系數(shù)值越高；執(zhí)行體的差異度可借助相似性度量工具評(píng)估[7]；擬態(tài)調(diào)度算法偏向于選擇異構(gòu)化程度大的執(zhí)行體上線(xiàn)，以達(dá)到提升抗盲協(xié)同攻擊難度的效果。

· 執(zhí)行體勝任系數(shù)Tc是一個(gè)時(shí)變參數(shù)，根據(jù)執(zhí)行體在實(shí)際工作環(huán)境中的表現(xiàn)自適應(yīng)動(dòng)態(tài)更新。

（5）假設(shè)系統(tǒng)內(nèi)所有執(zhí)行體均能通過(guò)下線(xiàn)清洗的方法消除漏洞或使漏洞不再處于被激活狀態(tài)。所有漏洞后門(mén)都需要經(jīng)過(guò)觸發(fā)加載惡意指令才能生效。執(zhí)行體下線(xiàn)后，其存儲(chǔ)數(shù)據(jù)被重置，因而該假設(shè)充分且合理。

（6）由于不同執(zhí)行體輸出結(jié)果不同步的超時(shí)問(wèn)題已經(jīng)被參考文獻(xiàn)[8]提出的基于回歸樣條的自適應(yīng)超時(shí)機(jī)制解決，故本文僅就執(zhí)行體輸出結(jié)果的異同展開(kāi)討論，假定異構(gòu)執(zhí)行體對(duì)相同輸入會(huì)在給定時(shí)間段內(nèi)“同時(shí)”輸出各自的結(jié)果。

3 基于置信度與勝任系數(shù)的擬態(tài)調(diào)度器

由于系統(tǒng)構(gòu)造復(fù)雜、執(zhí)行體不完全異構(gòu)、攻擊行為不可預(yù)測(cè)，有限資源條件下的擬態(tài)工業(yè)控制系統(tǒng)遭受N-1模以及N模攻擊時(shí)必然存在一定的逃逸概率，可能需要多次清洗才能徹底消除攻擊帶來(lái)的影響。因此如何在有限異構(gòu)資源約束條件下，有效地降低異構(gòu)冗余構(gòu)造的逃逸概率和逃逸時(shí)間是本文的主要目標(biāo)。

本節(jié)提出一種基于置信度與勝任系數(shù)的擬態(tài)調(diào)度算法，其中置信度V是執(zhí)行體在運(yùn)行環(huán)境中的綜合表現(xiàn)評(píng)價(jià)（包括歷史表現(xiàn)行為與當(dāng)前風(fēng)險(xiǎn)抵御能力），用于判別該執(zhí)行體是否需要進(jìn)行清洗；勝任系數(shù)Tc是執(zhí)行體原始屬性（包括執(zhí)行體應(yīng)用生態(tài)、清洗成本、執(zhí)行體間異構(gòu)化程度等）與歷史表現(xiàn)行為的綜合評(píng)價(jià)，用作表征該執(zhí)行體上線(xiàn)運(yùn)行的勝任能力。有限異構(gòu)資源約束條件下的擬態(tài)調(diào)度器如圖1所示，包含采集器、比較器、裁決器、清洗器（含周期清洗定時(shí)器C）等。

基于置信度和勝任系數(shù)的工業(yè)控制系統(tǒng)擬態(tài)調(diào)度算法如圖2所示，具體工作流程描述如下。

圖1 有限異構(gòu)資源約束條件下的工業(yè)控制系統(tǒng)擬態(tài)調(diào)度器

（1）系統(tǒng)啟動(dòng)復(fù)位。從執(zhí)行體倉(cāng)庫(kù)中選擇3個(gè)勝任系數(shù)最高的執(zhí)行體上線(xiàn)，并將所有剛上線(xiàn)執(zhí)行體的初始置信度均為最大值Vmax。周期清洗定時(shí)器C復(fù)位為零。

（2）執(zhí)行體輸出結(jié)果采集。執(zhí)行體采集器采集3個(gè)在線(xiàn)執(zhí)行體的輸出結(jié)果分別為R1、R2、R3。

（3）執(zhí)行體裁決。3個(gè)執(zhí)行體輸出結(jié)果兩兩比較（共3次）：

· 當(dāng)執(zhí)行體輸出結(jié)果一致時(shí)，兩個(gè)執(zhí)行體的置信度都增加D。

· 當(dāng)輸出結(jié)果不一致時(shí)，兩個(gè)執(zhí)行體的置信度都減少D。

· 比較結(jié)束后，若單個(gè)執(zhí)行的置信度大于Vmax，則令其等于Vmax。

（4）執(zhí)行體清洗。選擇判斷需要下線(xiàn)的執(zhí)行體并選擇置信度最高的執(zhí)行體作為系統(tǒng)的輸出。

· 遍歷所有在線(xiàn)執(zhí)行體當(dāng)前的置信度V，選擇置信度小于或等于0的執(zhí)行體作為備選清洗對(duì)象。

· 如果有多個(gè)執(zhí)行體置信度≤0，選擇則置信度最小的執(zhí)行體作為清洗對(duì)象。

· 如果有多個(gè)執(zhí)行體置信度相等且≤0，選擇勝任系數(shù)較小的作為清洗對(duì)象。

· 如果有多個(gè)執(zhí)行體置信度相等且≤0，勝任系數(shù)亦相同，隨機(jī)選擇其一作為清洗對(duì)象。

圖2 基于置信度和勝任系數(shù)的工業(yè)控制系統(tǒng)擬態(tài)調(diào)度算法

· 檢查執(zhí)行體上線(xiàn)保護(hù)寄存器Creg（保護(hù)剛上線(xiàn)執(zhí)行體，對(duì)抗N-1模攻擊）。清洗對(duì)象與上線(xiàn)保護(hù)寄存器Creg記錄一致，隨機(jī)清洗選擇另外兩個(gè)執(zhí)行體中的一個(gè)；清洗對(duì)象與上線(xiàn)保護(hù)寄存器Creg記錄不一致，更新執(zhí)行體上線(xiàn)保護(hù)寄存器的值；若執(zhí)行體上線(xiàn)保護(hù)寄存器經(jīng)過(guò)3次裁決周期未發(fā)生變化，清空該寄存器的值。

（5）定時(shí)器更新（引入擾動(dòng)，對(duì)抗基于0-day漏洞的共模攻擊）。

· 如果所有執(zhí)行體的置信度均為Vmax，周期清洗定時(shí)器加1。

· 如果執(zhí)行體發(fā)生過(guò)清洗行為，周期清洗定時(shí)器C復(fù)位為零。

· 當(dāng)周期清洗定時(shí)器C的值大于指定閾值，隨機(jī)選擇其中一個(gè)執(zhí)行體進(jìn)行清洗。

（6）執(zhí)行體上線(xiàn)。選擇倉(cāng)庫(kù)內(nèi)勝任系數(shù)最高的執(zhí)行體上線(xiàn)運(yùn)行，同時(shí)將下線(xiàn)清洗的執(zhí)行體勝任系數(shù)乘以系數(shù)P(0

4 安全性仿真評(píng)估與分析

4.1 隨機(jī)性故障模型表征

要對(duì)擬態(tài)防御系統(tǒng)的安全性進(jìn)行有效評(píng)估，必須準(zhǔn)確刻畫(huà)系統(tǒng)裁決切換的流程。其中，異構(gòu)執(zhí)行體的隨機(jī)性故障模型表征是核心。在缺乏攻擊者先驗(yàn)信息的前提條件下（這也是擬態(tài)防御理論所直面的問(wèn)題），擬態(tài)防御系統(tǒng)中執(zhí)行體發(fā)生故障的時(shí)間點(diǎn)呈現(xiàn)隨機(jī)性，執(zhí)行體兩兩之間發(fā)生故障的表現(xiàn)形式的差異也呈現(xiàn)隨機(jī)性。本文首先需要為執(zhí)行體建立隨機(jī)性故障模型，然后采用數(shù)值仿真的方法，對(duì)所提出的基于置信度與勝任系數(shù)的擬態(tài)調(diào)度算法安全性能進(jìn)行分析。隨機(jī)性故障模型建立如下。

（1）模型采用Pdiff表征執(zhí)行體運(yùn)行過(guò)程中差模漏洞的觸發(fā)概率。

（2）模型采用Pcomm表征執(zhí)行體運(yùn)行過(guò)程中共模漏洞的觸發(fā)概率。

（3）模型采用“0/1/2”3個(gè)值，分別表征單個(gè)執(zhí)行體處于正常/差模漏洞生效/共模漏洞生效3種狀態(tài)。仿真過(guò)程中的每次迭代，若執(zhí)行體狀態(tài)值為“0”，則概率進(jìn)入狀態(tài)“1”或者“2”；若執(zhí)行體狀態(tài)值已經(jīng)為“1”或者“2”，則保持原值，直至被清洗。

擬態(tài)工業(yè)控制系統(tǒng)的安全狀態(tài)與編碼見(jiàn)表1。

4.2 實(shí)驗(yàn)設(shè)置

本文的實(shí)驗(yàn)仿真平臺(tái)為MATLAB 2017b。根據(jù)參考文獻(xiàn)[9]基于美國(guó)國(guó)家脆弱性數(shù)據(jù)庫(kù)（national vulnerability database, NVD）對(duì)11種操作系統(tǒng)的漏洞分析，來(lái)自于相同家族操作系統(tǒng)（如Windows 2003與Windows 2008）之間的共模漏洞數(shù)量會(huì)比較多，而來(lái)自于不同家族操作系統(tǒng)（如BSD-Windows）之間的共模漏洞數(shù)量很少，對(duì)于一般攻擊而言，其異常輸出矢量一致的比例可以設(shè)置為一個(gè)合理的較小值10-4，在具體產(chǎn)品開(kāi)發(fā)時(shí)，采用與開(kāi)發(fā)飛行控制系統(tǒng)類(lèi)似的工程管理方法，能夠保證該參數(shù)的實(shí)際取值遠(yuǎn)遠(yuǎn)小于10-4[10]。根據(jù)第2節(jié)所述的有限異構(gòu)資源條件，為6個(gè)執(zhí)行體的脆弱性仿真模型賦予高/中/低3檔的仿真參數(shù)，見(jiàn)表2。

表1 擬態(tài)工業(yè)控制系統(tǒng)的安全狀態(tài)與編碼

表2 執(zhí)行體脆弱性仿真模型（高/中/低強(qiáng)度攻擊）

在不同的攻擊強(qiáng)度下，設(shè)置初始置信度4，檢測(cè)到異常時(shí)置信度扣分差值D設(shè)置為1。隨機(jī)模擬仿真1 000次，每次模擬仿真包含100 000次迭代。統(tǒng)計(jì)不同仿真參數(shù)條件下，擬態(tài)調(diào)度器干預(yù)下的運(yùn)行結(jié)果。

4.3 實(shí)驗(yàn)結(jié)果分析

（1）最多只需要3次清洗，即可將系統(tǒng)恢復(fù)到正常狀態(tài)

高強(qiáng)度攻擊下的系統(tǒng)安全狀態(tài)轉(zhuǎn)移如圖3所示。在第5到第6個(gè)時(shí)鐘周期間，執(zhí)行體2被觸發(fā)了1次漏洞。系統(tǒng)經(jīng)過(guò)積分累計(jì)在2個(gè)時(shí)鐘周期內(nèi)將其置信度降低到0并清洗，系統(tǒng)輸出正常，攻擊無(wú)感移除；在第56個(gè)時(shí)鐘周期，執(zhí)行體2與執(zhí)行體3同時(shí)被觸發(fā)了共模漏洞，系統(tǒng)進(jìn)入N-1模攻擊狀態(tài)。系統(tǒng)首先判定執(zhí)行體1出現(xiàn)問(wèn)題，經(jīng)56、57兩個(gè)時(shí)鐘周期進(jìn)行積分累計(jì)將執(zhí)行體1清洗下線(xiàn)并更換另一個(gè)執(zhí)行體；58、59兩個(gè)時(shí)鐘周期積分累計(jì)發(fā)現(xiàn)清洗后狀態(tài)仍未恢復(fù)，做出執(zhí)行體3下線(xiàn)的決策，使得系統(tǒng)在第60個(gè)時(shí)鐘周期退化到差模攻擊狀態(tài)。在時(shí)鐘周期80～110則呈現(xiàn)了受定時(shí)機(jī)制保護(hù)下的N模攻擊恢復(fù)狀態(tài)轉(zhuǎn)移。由于引入了執(zhí)行體上線(xiàn)保護(hù)寄存器Creg，即使遭受N模攻擊，系統(tǒng)僅需要3次清洗操作即可恢復(fù)正常。

圖3 高強(qiáng)度攻擊下的系統(tǒng)安全狀態(tài)轉(zhuǎn)移

（2）具備環(huán)境自適應(yīng)特性的執(zhí)行體上線(xiàn)替換機(jī)制

不同攻擊強(qiáng)度下執(zhí)行體上線(xiàn)概率情況見(jiàn)表3。本文假設(shè)可用的執(zhí)行體只有6個(gè)，且不同執(zhí)行體在抗攻擊性能上具有差異。在高攻擊強(qiáng)度下，系統(tǒng)更傾向于根據(jù)執(zhí)行體的實(shí)際表現(xiàn)情況選擇對(duì)系統(tǒng)環(huán)境適應(yīng)性更強(qiáng)（表現(xiàn)為漏洞分布更少、更難被觸發(fā)）的執(zhí)行體上線(xiàn)。如表3所示，在高強(qiáng)度攻擊模型下，執(zhí)行體1上線(xiàn)的概率要比執(zhí)行體6高69.71%。在低強(qiáng)度攻擊仿真條件下，由于各執(zhí)行體表現(xiàn)差異不大，所以上線(xiàn)概率呈現(xiàn)平均分布的現(xiàn)象。值得注意的是，執(zhí)行體的初始勝任系數(shù)憑人工經(jīng)驗(yàn)設(shè)置，可以讓執(zhí)行體在系統(tǒng)的初始階段獲得更高的上線(xiàn)優(yōu)先級(jí)，但該值會(huì)在系統(tǒng)調(diào)度的迭代過(guò)程中不斷更新。盡管在實(shí)驗(yàn)參數(shù)中將執(zhí)行體6的初始勝任系數(shù)設(shè)置為0.95，但在高強(qiáng)度攻擊模型下，該執(zhí)行體的上線(xiàn)概率依然與執(zhí)行體實(shí)際漏洞后門(mén)的分布情況緊密相關(guān)。綜上分析表明，所提出的基于置信度與勝任系數(shù)的擬態(tài)調(diào)度方法，其執(zhí)行體上線(xiàn)替換機(jī)制具備環(huán)境的自適應(yīng)特性。

表3 不同部攻擊強(qiáng)度下執(zhí)行體上線(xiàn)概率

（3）在高強(qiáng)度攻擊下，系統(tǒng)仍可保持99.24%的高可用概率

不同攻擊強(qiáng)度下系統(tǒng)的平均清洗概率與平均可用概率見(jiàn)表4。其中，平均清洗概率由執(zhí)行體清洗下線(xiàn)次數(shù)除以總迭代次數(shù)得出；平均可用概率為系統(tǒng)處于正常狀態(tài)（case1）與可定位故障執(zhí)行體的差模攻擊狀態(tài)（case2），兩種狀態(tài)在系統(tǒng)運(yùn)行過(guò)程中所有狀態(tài)的比重?？梢?jiàn)在高強(qiáng)度攻擊下，盡管系統(tǒng)只有有限的6個(gè)可用執(zhí)行體，系統(tǒng)平均可用概率依然可以達(dá)到99.24%；而在低強(qiáng)度攻擊下，系統(tǒng)可用概率高達(dá)99.87%。實(shí)驗(yàn)數(shù)據(jù)表明，所提出的基于置信度與勝任系數(shù)的擬態(tài)調(diào)度方法，能為有限異構(gòu)資源條件下的擬態(tài)系統(tǒng)構(gòu)造提供高效的解決方案。

表4 不同攻擊強(qiáng)度下系統(tǒng)的平均清洗概率與平均可用概率

5 結(jié)束語(yǔ)

針對(duì)當(dāng)前工業(yè)控制應(yīng)用生態(tài)局限性的約束條件，本文提出了有限異構(gòu)資源條件下的擬態(tài)調(diào)度算法，并且基于數(shù)值仿真的方案建立了安全評(píng)估仿真模型。實(shí)驗(yàn)結(jié)果表明，所提出的工業(yè)控制系統(tǒng)擬態(tài)調(diào)度算法，最多只需要3次清洗，即可將擬態(tài)系統(tǒng)從N-1模攻擊狀態(tài)、N模攻擊狀態(tài)恢復(fù)到正常狀態(tài)；執(zhí)行體上線(xiàn)替換機(jī)制具備環(huán)境的自適應(yīng)特性；即使在高強(qiáng)度攻擊下，系統(tǒng)仍可保持99.24%的高可用概率。

擬態(tài)防御是基于內(nèi)生性安全機(jī)制的一種創(chuàng)新網(wǎng)絡(luò)防御，其安全效果可量化設(shè)計(jì)，可驗(yàn)證度量。本文從適應(yīng)應(yīng)用、節(jié)約成本、簡(jiǎn)化擬態(tài)調(diào)度策略的角度出發(fā)，評(píng)估了當(dāng)前應(yīng)用最廣泛的三余度DHR架構(gòu)在有限異構(gòu)資源條件下系統(tǒng)可用概率，給擬態(tài)系統(tǒng)設(shè)計(jì)的成本規(guī)劃提供了新思路。