一種基于執(zhí)行體安全性的智能仲裁算法*

李 俊，王志浩，陳迎春

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041;2.電子科技大學(xué)，四川 成都 611731）

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為人類生產(chǎn)生活中的“第五空間”。隨之而來的就是網(wǎng)絡(luò)空間的安全問題，“沒有絕對(duì)安全的系統(tǒng)”，無論是硬件還是軟件都不可避免地由于設(shè)計(jì)或者邏輯缺陷導(dǎo)致漏洞、后門等問題。然而，這些漏洞等安全問題無法從根本上杜絕，并且現(xiàn)有的安全防御方法大多是基于對(duì)威脅的感知、對(duì)漏洞的修補(bǔ)、對(duì)軟硬件的更新和防火墻加固等安全保護(hù)措施，這就導(dǎo)致了網(wǎng)絡(luò)空間防御相對(duì)于攻擊者的被動(dòng)地位。針對(duì)攻防博弈不對(duì)稱，易攻難守的態(tài)勢，一些學(xué)者提出了主動(dòng)防御的理念，與傳統(tǒng)的被動(dòng)防御相對(duì)，主動(dòng)防御能夠在攻擊或者入侵行為發(fā)生之前，對(duì)其采取防御措施，提升系統(tǒng)的安全性。主動(dòng)防御技術(shù)的代表之一是移動(dòng)目標(biāo)防御（Moving Target Defense，MTD）技術(shù)[1]，通過增加系統(tǒng)的動(dòng)態(tài)性、隨機(jī)性和多樣性來構(gòu)建一種不確定的網(wǎng)絡(luò)目標(biāo)環(huán)境，從而增加攻擊者的攻擊難度。但是，移動(dòng)目標(biāo)防御的局限性在于無法處理來自系統(tǒng)自身的安全威脅，只能通過系統(tǒng)攻擊面的多樣性和隨機(jī)變化來對(duì)抗網(wǎng)絡(luò)攻擊。為了進(jìn)一步提升系統(tǒng)對(duì)網(wǎng)絡(luò)空間中未知的漏洞、后門甚至系統(tǒng)內(nèi)部的缺陷的抵御能力，受到生物擬態(tài)偽裝現(xiàn)象的啟發(fā)，基于動(dòng)態(tài)冗余構(gòu)造（Dynamic Heterogeneous Redundant，DHR），以鄔江興院士[2]為代表的國內(nèi)研究團(tuán)隊(duì)提出了擬態(tài)防御的思想，在DHR架構(gòu)的機(jī)制中引入了動(dòng)態(tài)性和隨機(jī)性，以及能夠顯著提高系統(tǒng)容侵容錯(cuò)能力的多模裁決機(jī)制。擬態(tài)防御系統(tǒng)能夠使系統(tǒng)對(duì)攻擊者呈現(xiàn)一種顯著的不確定性表征，同時(shí)提升了系統(tǒng)對(duì)非協(xié)同式攻擊的防御能力。擬態(tài)防御系統(tǒng)已經(jīng)被應(yīng)用在包括邊緣計(jì)算系統(tǒng)[3]、工業(yè)制造系統(tǒng)[4]等多種領(lǐng)域中，由于其內(nèi)生安全的機(jī)理特性，能夠使系統(tǒng)應(yīng)用開放的、通用的并且有毒帶菌的開源軟硬件和中間件構(gòu)建安全可靠的系統(tǒng)。

擬態(tài)防御通過將針對(duì)個(gè)體的單點(diǎn)攻擊轉(zhuǎn)換為針對(duì)系統(tǒng)層面的配合協(xié)同攻擊，十分重要的機(jī)制之一是系統(tǒng)中的多模裁決機(jī)制。針對(duì)擬態(tài)防御系統(tǒng)中的執(zhí)行體多模裁決或智能仲裁算法，常見的方法是采用多數(shù)執(zhí)行體大數(shù)判決的方式進(jìn)行裁決，即多數(shù)一致性裁決。對(duì)執(zhí)行體的輸出矢量進(jìn)行一致性判決，并采取表決機(jī)制，能夠有效地降低少量執(zhí)行體故障導(dǎo)致系統(tǒng)輸出錯(cuò)誤的概率[5-8]。然而，由于大數(shù)判決機(jī)制較為簡單，很多情況下，無法處理實(shí)際系統(tǒng)中復(fù)雜的判決問題。例如，當(dāng)系統(tǒng)中多數(shù)一致的條件無法滿足或者在強(qiáng)攻擊的條件下，系統(tǒng)中多數(shù)執(zhí)行體都產(chǎn)生了錯(cuò)誤輸出時(shí)，大數(shù)判決機(jī)制無法給出正確結(jié)果或判決機(jī)制失效。為改進(jìn)簡單的大數(shù)判決算法，可以通過引入策略參數(shù)的方法。魏帥等[9]提出了一種基于高階異構(gòu)度的大數(shù)判決算法，通過定義執(zhí)行體高階異構(gòu)度的概念，并對(duì)系統(tǒng)的安全性進(jìn)行了量化分析。為克服大數(shù)判決原理的簡單性，一些算法中考慮了執(zhí)行體的異構(gòu)度、安全性和歷史表現(xiàn)情況[10-13]；沈叢麟等[14]提出了一種基于信譽(yù)度和相異度的裁決算法，分別考慮了執(zhí)行體的脆弱程度和異構(gòu)程度，改進(jìn)了系統(tǒng)的調(diào)度算法和裁決機(jī)制；郭威[15]基于歷史置信度的裁決機(jī)制，提出了一種基于Logistic函數(shù)的置信度修正算法及裁決算法；武兆琪等[16]考慮了執(zhí)行體的異構(gòu)度、執(zhí)行體數(shù)目和歷史表現(xiàn)，提出了一種擬態(tài)裁決優(yōu)化方法；扈紅超等[17]提出了一種基于執(zhí)行體可信度的判決策略，根據(jù)歷史經(jīng)驗(yàn)和執(zhí)行體狀態(tài)選擇正確的執(zhí)行體集合。大數(shù)判決和考慮策略參數(shù)的判決方法必須滿足系統(tǒng)中所有執(zhí)行體都有輸出之后再進(jìn)行判決和計(jì)算，然而，不同的執(zhí)行體有不同的構(gòu)件，導(dǎo)致執(zhí)行體間任務(wù)執(zhí)行的效率不同，降低系統(tǒng)整體的效率。針對(duì)裁決機(jī)制的效率問題，吳正江等[18]提出了一種競賽式的仲裁優(yōu)化方案；王禛鵬[19]基于博弈論設(shè)計(jì)了一種預(yù)判決機(jī)制。博弈論能夠?qū)⒉脹Q建模為攻擊和防御的博弈問題，能夠優(yōu)化裁決的正確性和效率[20]。

基于以上研究，本文提出了一種綜合考慮執(zhí)行體安全性和輸出結(jié)果的智能仲裁算法。通過分層級(jí)的漏洞分析方法得到每個(gè)執(zhí)行體的安全性，定義了執(zhí)行體的安全評(píng)估系數(shù)對(duì)安全性進(jìn)行量化?；趫?zhí)行體集的輸出空間，根據(jù)每個(gè)輸出對(duì)應(yīng)的執(zhí)行體的安全評(píng)估系數(shù)，選擇安全性最強(qiáng)的子集作為裁決結(jié)果。仿真結(jié)果表明，相對(duì)于大數(shù)判決算法和基于最優(yōu)安全度的判決算法，本文提出的智能仲裁算法在判決準(zhǔn)確率上有較大的提升。

1 模型介紹

1.1 擬態(tài)防御基本模型

擬態(tài)防御架構(gòu)的基本模型如圖1所示。擬態(tài)防御系統(tǒng)中的主要模塊包括：輸入代理模塊、異構(gòu)構(gòu)件集合、執(zhí)行體集合、執(zhí)行體調(diào)度模塊、多模裁決模塊、負(fù)反饋控制模塊?；贒HR架構(gòu)，擬態(tài)防御系統(tǒng)引入了結(jié)構(gòu)表征的不確定性，將動(dòng)態(tài)化和隨機(jī)化的特性引入冗余異構(gòu)架構(gòu)中。擬態(tài)系統(tǒng)對(duì)外呈現(xiàn)的狀態(tài)與單一架構(gòu)的系統(tǒng)是相同的，所以為用戶提供的使用接口是相同的。因此，基本模型中的輸入代理模塊將用戶的請(qǐng)求即系統(tǒng)的輸入激勵(lì)進(jìn)行適當(dāng)?shù)仡A(yù)處理后分發(fā)到執(zhí)行體集的每一個(gè)執(zhí)行體中。執(zhí)行體集是由調(diào)度算法從異構(gòu)構(gòu)件池中通過動(dòng)態(tài)選擇算法調(diào)度構(gòu)建出來的。執(zhí)行體集中的異構(gòu)冗余執(zhí)行體同時(shí)都是功能等價(jià)的，即在不出現(xiàn)故障和攻擊的情況下，所有執(zhí)行體的輸出矢量是一致的。然而，在實(shí)際應(yīng)用中，無法保證系統(tǒng)的各個(gè)構(gòu)件及整個(gè)網(wǎng)絡(luò)空間環(huán)境的“無毒無菌”，所以執(zhí)行體單點(diǎn)故障和受攻擊的可能性是存在的。因此，需要通過多模裁決機(jī)制進(jìn)行執(zhí)行體的錯(cuò)誤感知，通過多數(shù)一致性判決等算法判斷當(dāng)前輸出矢量中包含錯(cuò)誤的執(zhí)行體。

圖1 擬態(tài)防御基本模型

1.2 相關(guān)定義

功能等價(jià)異構(gòu)冗余執(zhí)行體集E：假設(shè)系統(tǒng)中有n個(gè)功能等價(jià)的異構(gòu)執(zhí)行體e1,e2,…,en，則E=[e1,e2,…,en]，且|E|=n。

執(zhí)行體安全評(píng)估系數(shù)s：針對(duì)每一個(gè)執(zhí)行體，定義一個(gè)安全評(píng)估系數(shù)s，可以通過執(zhí)行體漏洞掃描、歷史表現(xiàn)統(tǒng)計(jì)等方法進(jìn)行度量，用于評(píng)估執(zhí)行體的安全性，作為調(diào)度和裁決的依據(jù)。

執(zhí)行體集的輸出空間O：假設(shè)正確輸出的執(zhí)行體的輸出矢量為o0，最初是由人為判定標(biāo)注輸出矢量的正確性和可信性。執(zhí)行體由于單點(diǎn)故障、受攻擊后被惡意改變輸出等原因，產(chǎn)生了相異于o0的q種輸出結(jié)果o1,o2,…,oq，則執(zhí)行體集的輸出空間為O=[o0,o1,…,oq]。除o0外，執(zhí)行體輸出其余所有結(jié)果都判定為出錯(cuò)。

1.3 問題描述

擬態(tài)防御系統(tǒng)中最核心的機(jī)制之一是多模裁決機(jī)制，通過動(dòng)態(tài)異構(gòu)冗余架構(gòu)的機(jī)制，每個(gè)執(zhí)行體都能得到相應(yīng)的輸出矢量，多模裁決機(jī)制便是通過相應(yīng)的裁決機(jī)制和算法以及給定的語義語法對(duì)得到的執(zhí)行體輸出矢量進(jìn)行一致性判決，從而得到系統(tǒng)最終的輸出。同時(shí)，多模裁決機(jī)制能夠感知到執(zhí)行體中產(chǎn)生隨機(jī)故障或收到非協(xié)同攻擊的狀態(tài)，通過將執(zhí)行體的狀態(tài)信息發(fā)送到系統(tǒng)中的負(fù)反饋機(jī)制中，能夠優(yōu)化執(zhí)行體的調(diào)度方案，進(jìn)一步提升系統(tǒng)的安全性和運(yùn)行效率。然而，傳統(tǒng)擬態(tài)防御系統(tǒng)中最常采用的大數(shù)判決算法即多數(shù)一致性表決算法，由于其簡單的表決投票機(jī)制，導(dǎo)致其在應(yīng)對(duì)比較復(fù)雜的場景或執(zhí)行體安全性不均衡的情況，易導(dǎo)致判決結(jié)果出錯(cuò)。例如，針對(duì)5余度的擬態(tài)防御系統(tǒng)，如果執(zhí)行體集中有部分執(zhí)行體的安全性較低，表現(xiàn)在較低的安全評(píng)估系數(shù)，導(dǎo)致其受攻擊的可能性較大，輸出矢量遭到惡意篡改的概率較大。假設(shè)5個(gè)執(zhí)行體的輸出結(jié)果如表1所示，由于執(zhí)行體e2、e3、e4安全性較低，導(dǎo)致其輸出被篡改；安全性較高的執(zhí)行體e1保持正確輸出。如果采取大數(shù)判決算法，則輸出的判決結(jié)果為錯(cuò)誤的o1。因此，在這種情況下，大數(shù)判決方法失效，需要設(shè)計(jì)一種能夠綜合考慮執(zhí)行體安全性和輸出結(jié)果的智能仲裁算法。

表1 5個(gè)執(zhí)行體輸出情況

2 基于執(zhí)行體安全性的智能仲裁算法

2.1 異構(gòu)冗余執(zhí)行體漏洞分析

擬態(tài)防御旨在通過不完美的構(gòu)件組成更加安全的系統(tǒng)，系統(tǒng)中的軟硬件可以采用開放、通用的軟硬件設(shè)備。這些構(gòu)件中一定會(huì)存在漏洞、后門等容易被利用的缺陷，于是會(huì)導(dǎo)致每個(gè)執(zhí)行體中都包含不同的漏洞。因此，在系統(tǒng)運(yùn)行過程中，每個(gè)執(zhí)行體發(fā)生故障或者抵抗攻擊的程度和能力是不同的。因此，需要對(duì)執(zhí)行體集中的情況進(jìn)行安全性的量化分析。

通用漏洞評(píng)分系統(tǒng)（Common Vulnerability Scoring System，CVSS）是用于評(píng)估漏洞的嚴(yán)重程度的公開標(biāo)準(zhǔn)，廣泛應(yīng)用在安全評(píng)估領(lǐng)域中[21]。本文中采用執(zhí)行體各個(gè)層級(jí)的漏洞評(píng)分對(duì)執(zhí)行體整體的安全性進(jìn)行量化。異構(gòu)冗余執(zhí)行體的異構(gòu)層級(jí)包括異構(gòu)CPU芯片、異構(gòu)操作系統(tǒng)、異構(gòu)服務(wù)器軟件、異構(gòu)數(shù)據(jù)庫、異構(gòu)編程語言等。調(diào)度模塊部署發(fā)布得到執(zhí)行體后，通過漏洞掃描器對(duì)執(zhí)行體中的漏洞進(jìn)行掃描，查詢美國國家漏洞數(shù)據(jù)庫（National Vulnerability Database，NVD）得到相應(yīng)漏洞的CVSS評(píng)分，用于對(duì)漏洞安全性的量化分析。掃描得到的部分漏洞示例如表2所示。

表2 執(zhí)行體部分漏洞情況

2.2 安全評(píng)估系數(shù)度量方法

基于執(zhí)行體的漏洞掃描結(jié)果和CVSS評(píng)分，本文對(duì)異構(gòu)冗余執(zhí)行體的安全性進(jìn)行了量化分析，即執(zhí)行體的安全評(píng)估系數(shù)，計(jì)算方法如下：

式中，l代表執(zhí)行體的異構(gòu)層級(jí)數(shù)量；n為執(zhí)行體集的大小，即執(zhí)行體的數(shù)目；lsj表示第j層中執(zhí)行體漏洞的綜合評(píng)分，定義為：

式中，v代表每一個(gè)異構(gòu)層級(jí)中漏洞的數(shù)量，cvssk表示第k個(gè)漏洞的CVSS漏洞評(píng)分，由NVD數(shù)據(jù)庫查詢得到。通過漏洞評(píng)分計(jì)算層級(jí)漏洞綜合評(píng)分，歸一化后得到表2中的執(zhí)行體配置。只考慮表中存在的漏洞，則各異構(gòu)層級(jí)的漏洞綜合評(píng)分為：ls1=4.7，ls2=5.0，ls3=6.8，ls4=10.0，ls5=10.0。

則該執(zhí)行體安全評(píng)估系數(shù)為：

安全評(píng)估系數(shù)越高，代表執(zhí)行體中漏洞綜合評(píng)分的水平就越低，表示執(zhí)行體的安全性越高。根據(jù)執(zhí)行體安全評(píng)估系數(shù)以及輸出空間的定義，可以進(jìn)一步根據(jù)執(zhí)行體的輸出結(jié)果及其安全性設(shè)計(jì)仲裁和調(diào)度算法?；诖耍疚奶岢隽嘶趫?zhí)行體安全性的智能仲裁算法。

2.3 算法步驟

假設(shè)系統(tǒng)中執(zhí)行體個(gè)數(shù)為n；輸出矢量空間的大小為q+1，即一種正確，q種錯(cuò)誤；并且每個(gè)執(zhí)行體都有輸出，不存在因故障導(dǎo)致無輸出的特殊情況。

步驟1：記錄n個(gè)執(zhí)行體的輸出矢量，表示為oe1,oe2,…,oen。將相同的值劃分到同一個(gè)子集中，得到輸出矢量的空間O=[o1,o2,…,oq]。

步驟2：根據(jù)執(zhí)行體輸出矢量的空間，將輸出相同的執(zhí)行體劃分到一個(gè)執(zhí)行體子集，得到q+1個(gè)執(zhí)行體子集，表示為E0,E1,…,Eq。

步驟3：根據(jù)執(zhí)行體子集中的不同執(zhí)行體，計(jì)算每個(gè)執(zhí)行體的安全評(píng)估系數(shù)，表示為s1,s2,…,sn。

步驟4：統(tǒng)計(jì)每個(gè)輸出相同的子集中執(zhí)行體的安全評(píng)估系數(shù)的平均值：

得到每個(gè)輸出相同執(zhí)行體子集的安全評(píng)估系數(shù)均值集合SA={sa0,sa1,…,saq}。統(tǒng)計(jì)集合SA中的最大值對(duì)應(yīng)的下標(biāo)m即max(SA)=sam。

步驟5：將輸出空間的om判定為正確輸出，其余O′=[o0,o1,…,oq]-[om]判定為出錯(cuò)或故障。建立一個(gè)標(biāo)識(shí)矩陣F=[0,1,…,0]，其中：

步驟6：將標(biāo)識(shí)矩陣F發(fā)送到負(fù)反饋模塊，用于優(yōu)化執(zhí)行體的調(diào)度與部署流程。將om發(fā)送到輸出代理，響應(yīng)輸入的用戶請(qǐng)求。

3 仿真分析

前文中實(shí)現(xiàn)了基于漏洞分析的執(zhí)行體安全性度量，并根據(jù)安全性度量提出了一種基于執(zhí)行體安全性的智能仲裁算法。本節(jié)采用Python 3.7和Matlab 2019b進(jìn)行了算法的仿真分析和有效性驗(yàn)證，并且對(duì)比了所提算法與擬態(tài)防御系統(tǒng)中常用的大數(shù)判決與基于最高安全度判決的仲裁算法的表現(xiàn)。采用β分布生成執(zhí)行體的安全度數(shù)據(jù)，對(duì)比了不同仿真次數(shù)、不同執(zhí)行體個(gè)數(shù)下3種方法的仲裁結(jié)果，對(duì)比結(jié)果表明，相對(duì)于大數(shù)判決、基于最優(yōu)安全度的判決方法，本文提出的基于執(zhí)行體安全性的智能仲裁算法有更高的判決準(zhǔn)確率。

3.1 仿真環(huán)境

基于擬態(tài)防御的基本原理，本文利用Python中多進(jìn)程的機(jī)制，實(shí)現(xiàn)了擬態(tài)防御的基本仿真平臺(tái)，平臺(tái)基本架構(gòu)如圖2所示。平臺(tái)將功能等價(jià)異構(gòu)執(zhí)行體實(shí)現(xiàn)為不同的進(jìn)程，進(jìn)程配置參數(shù)作為執(zhí)行體不同層級(jí)的配置信息，子進(jìn)程與主進(jìn)程通過消息隊(duì)列進(jìn)行消息傳播，作為請(qǐng)求分發(fā)和結(jié)果輸出。調(diào)度模塊沖異構(gòu)執(zhí)行體池中隨機(jī)調(diào)度異構(gòu)執(zhí)行體，作為在線執(zhí)行體的配置，將輸入代理接收的請(qǐng)求分發(fā)給所有在線執(zhí)行體。異構(gòu)執(zhí)行體進(jìn)行并行的任務(wù)處理之后，得到的結(jié)果通過消息隊(duì)列發(fā)送到智能仲裁模塊。智能仲裁模塊中實(shí)現(xiàn)了大數(shù)判決、最優(yōu)安全度判決和本文提出的基于執(zhí)行體安全性的智能裁決算法。經(jīng)過智能仲裁模塊的判斷，能夠得出本次調(diào)度中輸出錯(cuò)誤的執(zhí)行體，將該執(zhí)行體配置發(fā)送到負(fù)反饋模塊中，進(jìn)而調(diào)整執(zhí)行體的調(diào)度算法。同時(shí)，仲裁結(jié)果將傳遞到輸出代理，完成輸入請(qǐng)求的響應(yīng)。

圖2 仿真平臺(tái)架構(gòu)

在上述的仿真環(huán)境中，設(shè)計(jì)了100條不同的執(zhí)行體配置信息，通過調(diào)度模塊隨機(jī)選取不同的配置信息，部署發(fā)布執(zhí)行體，同時(shí)，基于β分布生成執(zhí)行體的安全評(píng)估系數(shù)，不同參數(shù)的β分布的概率密度曲線如圖3所示。本文選取了參數(shù)為（0.5，0.5）的β分布，使用Python中numpy庫的相應(yīng)函數(shù)生成，用于模擬執(zhí)行體的安全評(píng)估系數(shù)。

圖3 β分布概率密度曲線

3.2 評(píng)估指標(biāo)選取

為了評(píng)估3種方法在不同情況下的仲裁表現(xiàn)與性能，本文采取機(jī)器學(xué)習(xí)中二值分類結(jié)果評(píng)估的相關(guān)評(píng)價(jià)標(biāo)準(zhǔn)，將輸出仲裁正確率轉(zhuǎn)換為等價(jià)的二分類問題的正確率進(jìn)行對(duì)比。采用的指標(biāo)包括：正例被正確劃分的個(gè)數(shù)（True Positive，TP），正例被錯(cuò)誤劃分的個(gè)數(shù)（False Positive，F(xiàn)P），負(fù)例被錯(cuò)誤劃分的個(gè)數(shù)（False negative，F(xiàn)N），負(fù)例被正確劃分的個(gè)數(shù)（True Negative，TN），以及正確率（Accuracy）。其中，正例代表正確的執(zhí)行體的輸出結(jié)果，負(fù)例代表錯(cuò)誤的執(zhí)行體的輸出結(jié)果；假設(shè)m個(gè)執(zhí)行體的冗余架構(gòu)進(jìn)行了n輪仿真，得到的樣本數(shù)則為n×m。被正確劃分代表正確結(jié)果通過仲裁，錯(cuò)誤結(jié)果未通過仲裁。4個(gè)指標(biāo)的混淆矩陣如表3所示。

表3 判決指標(biāo)混淆矩陣

其中，正確率Accuracy定義為：

3.3 仿真結(jié)果分析

3.3.1 安全評(píng)估系數(shù)均勻分布

首先，本文仿真分析了在無冗余度的擬態(tài)防御架構(gòu)，所有執(zhí)行體配置的安全評(píng)估系數(shù)均勻分布的情況下，3種仲裁算法的判決能力，通過前文定義的5個(gè)指標(biāo)進(jìn)行對(duì)比分析，結(jié)果如表4所示。通過對(duì)比可以發(fā)現(xiàn)，在給定條件下，大數(shù)判決的判決性能最差，其次為最優(yōu)安全度判決，本文提出的基于執(zhí)行體安全性的智能仲裁算法表現(xiàn)最好。大數(shù)判決算法在負(fù)例判決時(shí)的效果比較差，判決錯(cuò)誤的概率達(dá)到了46.363%，與隨機(jī)猜測的50%準(zhǔn)確率很接近，這也導(dǎo)致整體的準(zhǔn)確率低至62%。相比之下，考慮了執(zhí)行體安全性的最優(yōu)安全度判決算法準(zhǔn)確率提升很高，但是由于只采用單個(gè)執(zhí)行體的輸出作為最終結(jié)果，該算法下的擬態(tài)防御架構(gòu)的容侵和容錯(cuò)能力都比較弱，且很容易受到限制。本文提出的基于執(zhí)行體安全性的智能仲裁算法既考慮了執(zhí)行體的表決過程，也將執(zhí)行體本身的抗入侵能力進(jìn)行了量化，相較于大數(shù)判決算法，判決準(zhǔn)確率提升了154%，相較于最優(yōu)安全度判決算法提升了103%。

表4 3種算法判決結(jié)果

3.3.2 安全評(píng)估系數(shù)符合β分布

為了驗(yàn)證不同判決算法在各種場景下的性能及表現(xiàn)情況，本節(jié)通過產(chǎn)生安全評(píng)估系數(shù)符合參數(shù)為（0.5，0.5）的β分布的執(zhí)行體，使系統(tǒng)中包含大量的安全系數(shù)低的執(zhí)行體。模擬系統(tǒng)在執(zhí)行體高度不可靠的情況下，即非常容易遭受攻擊或者攻擊強(qiáng)度很大的情況下能否保障正常運(yùn)行。為了保證結(jié)果的正確性和穩(wěn)定性，記錄了仿真次數(shù)從10到1 000的不同仿真次數(shù)下的平均正確率，結(jié)果如圖4所示。通過對(duì)比可以看出，在執(zhí)行體高度不可靠的情況下，大數(shù)判決的表現(xiàn)最差，甚至在仿真100次準(zhǔn)確率低于50%，即性能表現(xiàn)弱于隨機(jī)猜測的情況?；谧顑?yōu)安全度的判決和本文提出的基于執(zhí)行體安全性的智能仲裁算法，除在10次仿真時(shí)結(jié)果不確定較大，準(zhǔn)確性較低外，隨著仿真次數(shù)的上升，準(zhǔn)確性逐漸穩(wěn)定。通過對(duì)比，基于最優(yōu)安全度的判決算法的判決準(zhǔn)確率穩(wěn)定在90%左右，而本文算法在執(zhí)行體高度不可靠的情況下，仍然能夠達(dá)到93%左右的判決準(zhǔn)確度，且不會(huì)隨著系統(tǒng)運(yùn)行時(shí)間的變化而改變。因此，在給定安全評(píng)估系數(shù)符合參數(shù)為（0.5，0.5）的β分布的條件下，本文提出的基于執(zhí)行體安全性的智能仲裁算法，能夠很好地應(yīng)對(duì)因執(zhí)行體漏洞多、安全評(píng)估系數(shù)低導(dǎo)致的執(zhí)行體高度不可靠的情況，在這種情況下，仍然能夠保持比較準(zhǔn)確的多模裁決結(jié)果。

3.3.3 執(zhí)行體數(shù)量影響仿真分析

擬態(tài)防御系統(tǒng)最重要的特性之一就是異構(gòu)冗余特性，即性能等價(jià)的異構(gòu)執(zhí)行體同時(shí)執(zhí)行任務(wù)，最終經(jīng)過多模裁決機(jī)制，防止由于單個(gè)執(zhí)行體出現(xiàn)錯(cuò)誤導(dǎo)致的系統(tǒng)錯(cuò)誤。因此，異構(gòu)執(zhí)行體的數(shù)量是影響擬態(tài)防御系統(tǒng)的關(guān)鍵指標(biāo)之一。不同的裁決算法在不同的執(zhí)行體數(shù)量下的仲裁準(zhǔn)確率都不同?；诖?，本節(jié)中仿真分析了不同執(zhí)行體數(shù)量下的擬態(tài)防御系統(tǒng)中3種判決算法的表現(xiàn)和性能，借助前文定義的5個(gè)評(píng)估指標(biāo)進(jìn)行對(duì)比分析。

100次仿真實(shí)驗(yàn)中，不同仲裁算法將正例劃分正確的數(shù)量TP如圖5所示。通過對(duì)比可以看出，大數(shù)判決算法的表現(xiàn)最差，并且在偶數(shù)執(zhí)行體個(gè)數(shù)下分類正確的概率進(jìn)一步降低。在針對(duì)正例的判決結(jié)果中，基于最優(yōu)安全度的判決結(jié)果與本文提出的算法表現(xiàn)相近，在奇數(shù)冗余度的情況下更為接近。但是，本文提出的算法始終優(yōu)于基于最優(yōu)安全度的判決方法。相對(duì)于其他兩種算法，本文提出的算法在正例正確分類的平均數(shù)量上分別提升了87%和1%。

圖5 不同執(zhí)行體個(gè)數(shù)下的TP值

類似的，本文對(duì)比了三種算法在100次仿真下的將正例錯(cuò)誤分類的情況，即執(zhí)行體的輸出正常，但是仲裁算法卻將其歸類為異常輸出的概況的數(shù)量，在不同的執(zhí)行體個(gè)數(shù)下的結(jié)果如圖6所示。與TP類似，在偶數(shù)冗余度的時(shí)候大數(shù)判決出錯(cuò)的概率顯著提高。但其余兩種算法的表現(xiàn)受執(zhí)行體個(gè)數(shù)的奇偶性的影響不大，隨著執(zhí)行體個(gè)數(shù)的增加，裁決表現(xiàn)也逐漸改善，且趨于穩(wěn)定。整體來講，與基于最優(yōu)安全度的判決算法相比基于最優(yōu)安全度的判決算法，降低了對(duì)于輸出正確的執(zhí)行體判決錯(cuò)誤的概率。相對(duì)于其他兩種算法，本文提出的算法在正例錯(cuò)誤分類的平均數(shù)量上分別降低了96%和56.8%。

圖6 不同執(zhí)行體個(gè)數(shù)下的FP

在針對(duì)負(fù)例的判決方面，本文算法要顯著優(yōu)于其余兩種算法。由圖7可以看出，除在5冗余執(zhí)行體的情況下本文算法和基于最優(yōu)安全度的算法表現(xiàn)相近外。整體來講，相對(duì)于其他兩種算法，本文提出的算法表現(xiàn)都有較大提升，在負(fù)例正確分類的平均數(shù)量的分別提升了393%和6%。

圖7 不同執(zhí)行體個(gè)數(shù)下的FN數(shù)量

由正例裁決和負(fù)例裁決的結(jié)果可以看出，本文算法在處理負(fù)例的樣本方面有較大的提升，具體表現(xiàn)在負(fù)例正確分類的數(shù)量顯著增加，與之相對(duì)的錯(cuò)誤分類的數(shù)量顯著減少，如圖8所示。負(fù)例即表示系統(tǒng)中受到攻擊或出現(xiàn)故障導(dǎo)致執(zhí)行體輸出錯(cuò)誤的執(zhí)行體，處理執(zhí)行體出錯(cuò)是多模裁決算法需要達(dá)到的非常關(guān)鍵的目標(biāo)之一。相對(duì)于其他兩種算法，本文提出的算法在負(fù)例錯(cuò)誤分類的平均數(shù)量的分別降低了88%和37.2%。因此，在感知執(zhí)行體錯(cuò)誤的能力方面，加載了本算法的擬態(tài)防御系統(tǒng)的防御能力強(qiáng)于傳統(tǒng)的大數(shù)判決系統(tǒng)。

圖8 不同執(zhí)行體個(gè)數(shù)下的TN數(shù)量

最后，本文對(duì)比了3種算法在不同執(zhí)行體數(shù)量下的仲裁準(zhǔn)確性，結(jié)果如圖9所示?？梢钥闯?，本文提出的基于執(zhí)行體安全性的智能判決算法隨著執(zhí)行體數(shù)量的變化，準(zhǔn)確性平緩增長，并且逐漸收斂到1。大數(shù)判決算法的表現(xiàn)最差，并且在偶數(shù)執(zhí)行體情況下準(zhǔn)確性會(huì)進(jìn)一步降低?；谧顑?yōu)安全度的算法在執(zhí)行體數(shù)量較少的情況下，變化波動(dòng)幅度較大，執(zhí)行體個(gè)數(shù)大于6之后，變化趨勢逐漸平穩(wěn)。但是整體準(zhǔn)確性水平仍然低于本文算法。相對(duì)于其他兩種算法，本文提出的算法在整體判決的準(zhǔn)確率上分別提升了163%和3.8%。

圖9 不同執(zhí)行體個(gè)數(shù)下的正確率

4 結(jié)語

本文研究了擬態(tài)防御系統(tǒng)中的多模裁決機(jī)制，基于擬態(tài)防御系統(tǒng)的特性，綜合考慮了執(zhí)行體的安全性和輸出結(jié)果空間，運(yùn)用漏洞分析的方法，提出了一種基于執(zhí)行體安全性的智能仲裁算法。為了驗(yàn)證算法的有效性，設(shè)計(jì)了仿真對(duì)比試驗(yàn)，仿真結(jié)果表明，相對(duì)于最常采用的大數(shù)判決算法及基于最優(yōu)安全度的判決算法，本文提出的算法提升了多模裁決的準(zhǔn)確性，進(jìn)而改善了擬態(tài)防御系統(tǒng)整體的安全性，增強(qiáng)了系統(tǒng)在面對(duì)高強(qiáng)度攻擊時(shí)的防御能力。