1.   引言

网络应用领域包涵政治、商业、工业、农业、军事等方面，已经成为经济社会发展不可或缺的因素。网络空间安全事件层出不穷，造成的损失十分巨大，其根本原因在于网络空间中不可避免地存在漏洞和后门^[1,2]。攻击者只需要找出一个漏洞或者后门，就可以对系统进行攻击，而防御者难以做到面面俱到，因此，在网络空间攻防博弈中，防御者处于弱势地位。为避免设计缺陷导致的共态或共模故障，在异构冗余的架构上发展出了一种称之为非相似余度架构(Dissimilar Redundancy Structure, DRS)的技术，其广泛应用于航空、航天等领域。在网络空间，DRS也应用于入侵检测^[3]、入侵容忍^[4]、移动目标防御^[5]、拟态防御^[6]等技术中，对扭转防御者处于网络攻防中的不利态势起到了积极作用。虽然，基于DRS的安全系统不断被提出，但是，缺少有效的安全性量化评估方法成为其无法被广泛应用的原因之一。

很多学者对DRS的应用和有效性问题进行了研究。文献[3]提出基于三冗余架构的Web服务器入侵检测系统，同时指出表决过程中存在的假阳性误判的问题。文献[4]提出采用基于异构冗余架构的高可靠容错数据库，指出冗余度大于2时系统的故障检测率为100%，但是该系统不能防御SQL注入攻击。文献[7]采用马尔可夫模型对非相似三余度飞控计算机可靠性进行了分析。文献[8]基于随机Petri网对DRS进行建模与可靠性分析。文献[9]基于DRS变形结构DHR(Dynamic Heterogeneous Redundancy)的拟态防御技术设计了拟态构造Web服务器，理论分析和大量测试表明拟态防御技术能够有效降低攻击成功的概率。文献[10]研究了冗余分配问题，指出冗余对可靠性的积极作用，并对可靠性的优化问题进行了分析。文献[11]将冗余分配问题扩展到具有可修复组件的系统中，并对系统可用性和系统总成本提出了优化算法。以上研究内容并没有对DRS的内生安全机制进行系统研究，尤其缺少对其安全性的量化评估方法。

本文第2节研究DRS的内生安全机理，指出异构性是其重要的安全机制，研究异构性是如何提升基于DRS的网络空间安全系统(以下简称DRS系统)的可靠性与安全性；第3节结合DRS特点，提出了DRS系统异构性的量化评估方法；第4节通过实验对比验证了本文提出的量化评估方法的有效性。

2.   DRS安全性分析

定义 1　执行体：DRS系统提供真实服务的实体，记为${A_i}$。

定义 2　执行体集：DRS系统内同一时刻上线工作，且一起参与表决的执行体组成的集合，记为A={${A_i}$|${A_i}$是一个执行体, 且$i=1, 2, ·\!·\!·, n$}。

定义 3　漏洞集：软件、硬件或者执行体${A_i}$的漏洞的集合，记为V={${V_{ij}}$|${V_{ij}}$是软件、硬件或者执行体${A_i}$的一个漏洞，且$j=1, 2, ·\!·\!·, m$}。

若漏洞集${V_i}$与漏洞集${V_q}$相同，记为${V_i} = {V_q}$；若漏洞集${V_i}$与漏洞集${V_q}$完全不同，记为${V_i} \ne {V_q}$；若漏洞集${V_i}$与漏洞集${V_q}$存在部分相同漏洞，也存在部分不同漏洞，即${V_i} \cap {V_q} \ne \varnothing$，记为${V_i} \approx {V_q}$。

非相似余度架构的抽象模型如图1所示，对每个输入，各执行体冗余执行的结果经过多模表决后输出。DRS的容错特性不仅可以保证系统功能的健壮性，而且使系统具有一定程度的容侵能力。这种容错、容侵能力是“内生”的，是由DRS架构效应所决定的，并且不依赖于任何关于攻击的先验知识。其容错、容侵功能的理论基础是“独立开发的系统发生共性设计缺陷导致共模故障情况的概率很低”的公知。因此，非相似余度的容错、容侵能力的本质是将单一空间共享资源机制下的静态目标攻击难度，通过DRS构造的多模输出矢量表决机制转变为非配合条件下对静态多元执行体协同一致的攻击难度。

图 1  非相似余度架构

下载: 全尺寸图片 幻灯片

DRS系统的实现基础是网络空间软硬件多样性，软硬件多样性使得软硬件之间存在着不同。事实证明，如果两个软件越不相同则存在共生漏洞的概率就越低^[12]，本文将非相似性称之为异构性。

(1)假设一个同构冗余的网络空间安全系统(以下简称同构冗余系统)，其执行体集A中执行体的漏洞集满足${V_1} = {V_2}= ·\!·\!· ={V_n}$，针对任意漏洞${V_{ij}}$进行攻击，则攻击对任意执行体${A_i}$有效，且所有输出一致，表决器失效。因此，同构冗余系统无法防御对任意漏洞的攻击。

(2)假设一个理想的DRS系统，其执行体集A中所有执行体的漏洞集满足${V_1} \ne {V_2} \ne ·\!·\!· \ne {V_n}$，针对任意漏洞${V_{ij}}$进行攻击，则攻击只对执行体${A_i}$有效，而对其余执行体无效，且表决器能够检测并阻断不一致输出。因此，理论上，只要确保异构冗余执行体间不存在任何相同的漏洞，那么就不会利用相同或不相同的攻击手段同时作用于所有的执行体，并产生完全一致的异常输出。

(3)假设一个真实的DRS系统，其执行体集A中所有执行体的漏洞集满足${V_1} \approx {V_2} \approx ·\!·\!· \approx {V_n}$，针对漏洞${V_{ij}}$进行攻击，若${V_{ij}}$是非共生漏洞，则攻击对执行体${A_i}$和含有该漏洞的执行体有效，而对其余执行体无效，且表决器能够检测并阻断不一致输出；若${V_{ij}}$是共生漏洞，则导致攻击对任意执行体${A_i}$有效，由于漏洞的触发机制或攻击效果通常会随宿主或环境因素的不同而有所差异，输出未必一致，表决器能够检测并阻断部分共生漏洞被攻击所导致的不一致输出。因此，DRS系统可以有效防御针对非共生漏洞的攻击，也可防御部分针对共生漏洞的攻击。

综上可知，与同构冗余系统相比，虽然，DRS系统的异构冗余的架构和表决机制也无法彻底避免异构冗余的执行体出现一致错误的逃逸可能，但可以降低出现一致错误的可能。

异构的执行体所组成的执行体集提供了真实的DRS系统服务，是用户、攻击者所直接面对的服务实体，其承受了大量的服务请求和攻击行为。执行体集的异构性，降低了存在共生漏洞的概率，进而降低了一致性攻击效果出现的概率。因此，量化DRS系统的异构性成为评估其安全性至关重要指标之一。执行体集的自身异构性显著提高了DRS系统的安全性，因此本文将对DRS系统的执行体集的异构性进行量化评估。

3.   DRS系统异构性量化

3.1   异构性定义

异构性保证了针对某一漏洞的攻击难以在DRS系统的所有执行体都成功，增加了攻击难度，也就增加了安全性，然而对异构性却没有统一的定义。首先，DRS系统内执行体集内执行体种类不唯一，如同一个生态系统中物种的种类不唯一，因此在定义异构性时要体现出执行体集中执行体的复杂程度。其次，DRS系统的内生安全机制消除了部分执行体的漏洞威胁，而执行体种类的复杂程度并不能体现出执行体间漏洞的威胁消除程度，因此在定义异构性时更需要体现出执行体间的漏洞威胁消除程度。由于难以挖掘出所有执行体中已知和未知漏洞，因此本文将执行体间的漏洞威胁消除程度定义为执行体间的差异程度。

本文采用文献[13]对异构性的定义，将复杂性与差异性作为异构性的两个特征。如图2所示，在a, b, c, d 4个种群中，种群a没有复杂性和差异性；种群b具有复杂性，但是差异性很小；种群c具有较低的复杂性和较高的差异性；种群d具有较高的复杂性和差异性。DRS系统的异构性记为H，DRS系统的复杂性记为C，DRS系统的差异性记为FD，其异构性与复杂性、差异性有式(1)关系

图 2  异构性描述图

下载: 全尺寸图片 幻灯片

3.2   DRS系统的执行体集形式化描述

定义 4　执行体集的构件集：执行体集A的第k类功能等价的软件或者硬件的所组成的集合，记为${{\rm EC}_k}$={${{\rm EC}_{kj}}$|${{\rm EC}_{kj}}$是执行体集A的一种软件或者硬件，且满足任意${{\rm EC}_{kp}}$与${{\rm EC}_{kq}}$的功能等价，其中$p\ne q, j=1, 2, ·\!·\!·, m$}。

定义 5　执行体的特征向量：DRS系统的执行体的特征向量为${\text{P}} = {({c_{1j}}, {c_{2j}}, ·\!·\!· , {c_{mj}})^{\rm{T}}}$，其中，${c_{ij}}$为执行体${A_j}$的第i个特征值，m为执行体的特征数量。

以采用DRS的Web服务系统为例，在描述执行体时可以采用各个层次的软硬件作为其特征。因此，可以将一个Web执行体的特征向量简单地描述为不同构件集的构件的属性值，如(ARM 7, CentOS 7, ${{\rm{nginx 1}}{\rm{.12}}{\rm{.1, Oracle 11g)}}^{\rm{T}}}$。为了便于描述，将构件进行编号，每一种构件对应唯一编号，因此上面的特征向量可以简化为${(2, 4, 2, 3)^{\rm{T}}}$，向量中不同位置的特征值代表了不同构件集中构件的编号，而不同执行体的特征向量的相同位置的特征值属于同一构件集。

定义 6　执行体集的特征矩阵：DRS系统的执行体集A的特征矩阵记为${\text{C}} \!=\!\! \left(\!\!\!\! {\begin{array}{*{20}{c}} {{c_{11}}}&{{c_{12}}}& ·\!·\!· &{{c_{1n}}} \\ {{c_{21}}}&{{c_{22}}}& ·\!·\!· &{{c_{2n}}} \\ \vdots & \vdots & \ddots & \vdots \\ {{c_{m1}}}&{{c_{m2}}}& ·\!·\!·&{{c_{mn}}} \end{array}}\! \!\!\!\right)$，其中，矩阵的每一列代表了一个执行体，每一行代表了一类功能等价的构件，其中n为执行体集内执行体的数量。

特征矩阵的每个特征值表示一种构件的编号，因此，特征矩阵的特征值不可进行数学运算，如加、减、乘、除等；特征矩阵也不可以进行矩阵运算，如矩阵加、矩阵减、矩阵乘、矩阵除等；特征矩阵列互换前后的特征矩阵表示相同的执行体集，特征矩阵行互换前后的特征矩阵表示不同的执行体集。

定义 7　相对丰度特征向量：执行体集A的构件集$E{C_k}$的每一种构件在该类全部构件总数的丰富度所组成的向量，记为${{\text{p}}_k} = {({p_{k1}}, {p_{k2}}, ·\!·\!· , {p_{ks}})^{\rm{T}}}$，${p_{ki}}$为${c_{ki}}$及与其相同的构件的丰富度，且

例如执行体集A的特征矩阵${\text{C}} = \left( {\begin{array}{*{20}{c}} 1&2&3 \\ 1&2&2 \\ 1&1&3 \end{array}} \right)$，则3个构件集的相对丰度特征向量分别为${{\text{p}}_{\rm{1}}} =$${\left( {\begin{array}{*{20}{c}} {\displaystyle\frac{1}{3}}&{\displaystyle\frac{1}{3}}&{\displaystyle\frac{1}{3}} \end{array}}\!\! \right)^{\rm{T}}}$, ${{\text{p}}_{\rm{2}}} \!=\! {\left( {\begin{array}{*{20}{c}} {\displaystyle\frac{2}{3}}&{\displaystyle\frac{1}{3}} \end{array}} \right)^{\rm{T}}}$, ${{\text{p}}_{\rm{3}}} \!=\! {\left( {\begin{array}{*{20}{c}} {\displaystyle\frac{2}{3}}&{\displaystyle\frac{1}{3}} \end{array}}\!\! \right)^{\rm{T}}}$。

3.3   DRS系统的执行体集的异构性量化

执行体集的复杂性可以采用量化生物多样性的方法进行量化，本文采用辛普森多样性指数(Simpson index)量化执行体集复杂性。执行体集的构件集$E{C_k}$的复杂性的计算公式为

其中，S表示执行体集的构件集${{\rm EC}_k}$所含的构件种类数，构件i在构件集${{\rm EC}_k}$中所占的比例记为${p_{ ki}}$。当执行体集的构件集${{\rm EC}_k}$中只有一种构件存在时，${C_k}$达最小值0；当执行体集的构件集$E{C_k}$中有两种以上构件存在，且每种构件分属不同构件集时，${C_k}$达到最大值(1–1/S)。

Rao^[14]提出一种融合物种之间的差异2次熵的方法作为衡量生物多样性的手段。很多基于Rao的2次熵的研究方法被提出，验证了该方法量化物种的相对丰度和物种间相对差异度的有效性^[15,16]。本文基于Rao的2次熵的方法对执行体集的差异性进行量化。执行体集的构件集${{\rm EC}_k}$的差异性的计算公式为

其中，${d_{kij}}$是执行体集差异性量化的关键参数，代表了构件集${{\rm EC}_k}$中i, j 两种构件之间的差异(${d_{kij}}={d_{kji}}$, ${d_{kii}}= 0$)。${d_{kij}}$可以任意定义，只要满足${d_{kij}}={d_{kji}}$且${d_{kii}}= 0$的限制即可。如果对于所有${d_{kij}}=1$, i≠j，且满足执行体集的构件集${{\rm EC}_k}$中有两种以上构件存在，每种构件分属不同构件集时，则2次熵变为辛普森指数，${{\rm FD}_{Qk}}$达到最大值(1–1/S)^[17]。若执行体集的构件集${{\rm EC}_k}$中只有一种构件存在时，则对于所有${d_{kij}}= 0$, i≠j，且${{\rm FD}_{Qk}}$有最小值0。当${c_{ki}}$和${c_{kj}}$两种构件所占比例固定时，${d_{kij}}$越大则执行体集的差异性越大，${d_{kij}}$的取值如式(5)所示

其中，${t_{ki}}$和${t_{kj}}$分别表示构件${c_{ki}}$和${c_{kj}}$所含漏洞的威胁程度，${t_{kij}}$表示构件${c_{ki}}$和${c_{kj}}$所含相同漏洞的威胁程度，且${t_{kij}} \le {t_{ki}}$, ${t_{kij}} \le {t_{kj}}$, ${\rm{0}} \le {d_{kij}} \le {\rm{1}}$。威胁程度${t_{ki}}$和${t_{kij}}$计算方法为

其中，${n_i}$表示构件${c_{ki}}$所含漏洞的数量，${n_{ij}}$表示构件${c_{ki}}$与构件${c_{kj}}$所含相同漏洞的数量，该信息可以通过CVE(Common Vulnerabilities & Exposures)得到；${s_p}$和${s_q}$表示漏洞的评分，该信息可以通过漏洞通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)得到。CVSS由国际信息安全领域专家制定，将漏洞量化为0～10之间的具体分值，分数越高漏洞威胁级别越高^[18]。

由式(1)，式(3)，式(4)可知，DRS系统的执行体集的异构性可以通过计算M类构件集的异构性来计算，公式为

其中，DRS系统的执行体集的异构性的最小值为0，最大值为$M{(1-{1}/{S})^2}$，执行体集的异构性变化情况如图3所示。

图 3  异构性变化图

下载: 全尺寸图片 幻灯片

4.   仿真与实验

由上一节可知异构性最大值与执行体集的构件集的数量M和构件集中构件种类数量S正相关。但是，实际应用中DRS系统的构件集中构件种类S可能会少于执行体集的冗余度N。假设一个DRS系统的执行体集的构件集为${{\rm EC}_1} = \{ 1, 2, 3\}$, ${{\rm EC}_2} = \{ 1, 2, 3, 4\}$, ${{\rm EC}_3} = \{ 1, 2, 3, 4\}$, ${{\rm EC}_4} = \{ 1, 2, 3\}$, ${{\rm EC}_5} = \{ 1, 2, 3\}$, ${{\rm EC}_6} = \{ 1, 2, 3\}$ , ${{\rm EC}_7} = \{ 1, 2, 3, 4\}$，且任意构件集${{\rm EC}_k}$的任意两种构件的差异性参数${d_{kij}}=1$。图4中${H_{\max}}$展示了DRS系统在不同冗余度下执行体集的最大异构性变化情况，$\Delta {H_{\max}}$展示了DRS系统在不同冗余度下执行体集的最大异构性增益变化情况。由图可知，当构件集中所含构件种类大于等于冗余度时，即S$\ge$N，最大异构性增幅明显；当构件集中所含构件种类小于冗余度时，即S<N，最大异构性变化不大；当DRS系统冗余度N=3时，执行体集的异构性增益达到最大值。因此在工程实践上，一般选取3作为执行体集的冗余度能够得到很好的异构性增益和安全增益。研究证明，DRS系统中含有3个完全异构的执行体就能够实现入侵检测^[19]。

图 4  最大异构性与执行体数量关系图

下载: 全尺寸图片 幻灯片

本文选取了一些不同种类的软件组成了10种基于DRS的Web服务系统，其中操作系统、Web应用软件、数据库采用不同的软件，如表1所示。表2是按照3.3节方法，通过对表1中构件的漏洞进行统计分析，得出的构件间的差异性参数，未在表中的构件间差异性参数均为1。由图5可知，本文方法可以将10个执行体集分为9类，而香浓-维纳指数、辛普森指数和Pielou指数只能将10个执行体集分为4类。传统的生物多样性量化方法，如香浓-维纳指数、辛普森指数和Pielou指数对复杂度量化效果相同，且不能有效地量化执行体集的差异性，而本文方法有效地解决了这一问题。

表 1  执行体集表

编号	软件栈	编号	软件栈
1	Ubuntu 12.04+Apache 2.4.0+Mysql 5.7.18	6	Ubuntu 12.04+Apache 2.4.0+Mysql 5.7.18
	Windows Server 2003+IIS 6.0+SQL Server 2012 SP2		Windows Server 2008+Apache 2.4.0+Oracle 11.2.0.3
	RedHat 7+Nginx 1.12.0+Oracle 11.2.0.3		RedHat 7+Nginx 1.12.0+Mysql 5.7.18
2	Ubuntu 12.04+Apache 2.4.0+Oracle 11.2.0.3	7	Ubuntu 12.04+Apache 2.4.0+Mysql 5.7.18
	Windows Server 2012+IIS 7.0+SQL Server 2012 SP2		Debian 7.0+Apache 2.4.0+Mysql 5.7.18
	RedHat 7+Nginx 1.12.0+Mysql 5.7.18		RedHat 7+Nginx 1.12.0+Oracle 11.2.0.3
3	Debian 7.0+Nginx 1.12.0+Mysql 5.7.18	8	Ubuntu 12.04+Nginx 1.12.0+Mysql 5.7.18
	Windows Server 2016+Lighttpd 1.4.48+SQL Server 2016		Windows Server 2016+Lighttpd 1.4.48+SQL Server 2016
	Windows 7+Apache 2.4.0+SQL Server 2014 SP2		Windows 7+Nginx 1.12.0+Mysql 5.7.18
4	Ubuntu 12.04+Nginx 1.12.0+Mysql 5.7.18	9	Ubuntu 12.04+Apache 2.4.0+Oracle 11.2.0.3
	Windows Server 2003+IIS 6.0+SQL Server 2016		Windows Server 2008+Apache 2.4.0+SQL Server 2012 SP2
	Windows 7+Apache 2.4.0+SQL Server 2014 SP2		RedHat 7+Apache 2.4.0+Oracle 11.2.0.3
5	Windows Server 2003+IIS 6.0+SQL Server 2012 SP2	10	Ubuntu 12.04+Apache 2.4.0+Mysql 5.7.18
	Windows Server 2012+IIS 7.0+SQL Server 2016		Windows Server 2008+Apache 2.4.0+Mysql 5.7.18
	Windows 7+Nginx 1.12.0+SQL Server 2014 SP2		Windows 7+Apache 2.4.0+Mysql 5.7.18

下载: 导出CSV 

| 显示表格

表 2  差异性参数表

构件1	构件2	d	构件1	构件2	d
Ubuntu 12.04	RedHat 7	0.9868	Windows Server 2012	Windows 7	0.5391
Windows Server 2003	Windows 7	0.7842	Windows Server 2008	Windows 7	0.2246
Windows Server 2016	Windows 7	0.8782	IIS 6.0	IIS 7.0	0.7686
Ubuntu 12.04	Debian 7.0	0.9341	SQL Server 2012 SP2	SQL Server 2014 SP2	0.9331
RedHat 7	Debian 7.0	0.9930	SQL Server 2014 SP2	SQL Server 2016	0.7206
Windows Server 2003	Windows Server 2012	0.9707

下载: 导出CSV 

| 显示表格

图 5  执行体集的异构性量化结果对比

下载: 全尺寸图片 幻灯片

(1)执行体集1与2相比，执行体集1和2的操作系统层、Web应用软件层和数据库层的异构性相同，因此，执行体集1和2的异构性相同。

(2)执行体集2与3相比，执行体集3在操作系统层使用了两种Windows操作系统，且数据库层使用了两种SQL Server的不同版本，因此，执行体集2的异构性高于3。

(3)执行体集3与4相比，执行体集4在操作系统层使用了两种差异性参数较低的Windows操作系统，因此，执行体集3的异构性高于4。

(4)执行体集4与5相比，执行体集5在操作系统层使用了3种Windows操作系统，Web应用软件层使用了两种IIS软件的不同版本，数据库层使用了3种SQL Server的不同版本，因此，执行体集4的异构性高于5。

(5)执行体集5与6相比，执行体集6在操作系统层的异构性高于5，但是，其两个执行体在Web应用软件层和数据库层使用了相同的构件，因此，执行体集5的异构性高于6。

(6)执行体集6与7相比，执行体集7在操作系统层使用了3种Linux操作系统，因此，执行体集6的异构性高于7。

(7)执行体集7与8相比，执行体集8操作系统层使用了两种差异性参数较低的Windows操作系统，因此，执行体集7的异构性高于8。

(8)执行体集8与9相比，虽然，执行体集9操作系统层异构性高于8，但是，在Web应用软件层其异构为0，因此，执行体集8的异构性高于9。

(9)执行体集9与10相比，执行体集9操作系统层使用了两种差异性参数较低的Windows操作系统，且数据库层其异构性为0，因此，执行体集9的异构性高于10。

5.   结束语

与防火墙、杀毒软件等传统安全技术不同，基于DRS的网络空间安全技术是一种主动防御技术^[20]。DRS降低了共生漏洞的威胁，提高了系统的可靠性与安全性。本文针对DRS系统异构性难以量化的难题，将DRS系统的异构性归约为由异构执行体组成的执行体集的异构性，引入辛普森指数量化构件的复杂性，通过分析执行体共生漏洞的威胁程度来量化构件的差异性。与其他多样性指数相比，本文方法对DRS系统的异构性量化结果更好，更能反映实际情况。

本文所提方法只适合于使用COTS(Components-Off-The-Shelf)的DRS系统，而不适用于对同一源代码采用编译技术而生成的不同变体。因此，下一步将研究编译技术对防御漏洞和后门积极作用，并研究由基于编译技术产生的构件组成的DRS系统的异构性量化评估方法。