常 箫，张保稳,2，张 莹

（1.上海交通大学 电子信息与电气工程学院，上海 200240；2.上海市信息安全综合管理技术研究重点实验室 上海 200240）

0 引 言

随着互联网的飞速发展，一方面诸如软件自定义网SDN﹑物联网等新型网络系统不断应运而生，另一方面社交工程﹑APT等新的网络安全攻击方式也正在成为网络攻防关注的焦点。传统的网络系统多数使用静态构架，无法有效抵御攻击者的持续探测与攻击，导致网络态势呈现易攻难守的局面。针对当前攻击成本和防御成本的严重不对称现状，国内外研究人员开始着力探索移动目标防御等新的安全防御机制。其中，国内邬江兴院士面对这种“易攻难守”的网络现状，提出了“改变游戏规则”这一防御理念，用“拟态防御系统”来防御“未知的漏洞”[1]。

拟态防御是一种新的防御手段，是模仿生物界中的“拟态现象”，通过外在的多样性或多变性来表达隐匿自己，从而达到防御的效果。拟态防御是一种主动防御，与传统的静态防御方法有着极大的不同。它具有动态性﹑异构性﹑多样性等特性，通过阻挠攻击者获取信息和破坏攻击者攻击路径，有效起到防御作用。由于引入了上述特性，拟态防御系统的安全性问题无法完全套用常规信息系统的既有研究方法。

本文介绍拟态防御的机理和体系架构，接下来归纳和总结现有拟态防御系统的安全问题研究进展，提出了一种基于本体的拟态防御系统安全建模方法，并通过测试用例说明了该模型用于防御系统安全检查的流程，同时验证了其有效性。

1 拟态防御系统机理简介

1.1 拟态防御机理

拟态安全防御技术是针对网络空间攻击成本和防御成本的严重不对称性提出的一种安全策略。通过异构性﹑多样性改变系统的相似性﹑单一性，利用动态性﹑随机性改变系统的静态性﹑确定性，利用非相似余度空间阻断或扰乱网络攻击，以达成系统安全风险可控的要求。

具体而言，拟态防护以异构的相同相似执行体构成核心功能，以动态冗余构架实现动态性和随机性，使内部执行体处于不断变化的状态中，大幅强了功能表征的不确定性，使攻击者的探测感知或预测防御行为与特征的难度呈非线性增加，使得系统的复杂性前所未有，从而使攻击者利用系统漏洞极端困难[1]。

拟态防御包含复合调度与择多裁决﹑随机化/动态化﹑迭代与叠加﹑相异性设计与动态异构冗余构造等机制，而这些机制又共同构成拟态防御系统整体的防御功能。

1.2 动态异构冗余机制

动态异构冗余（Dynamic Heterogeneous Redundancy，简称DHR系统）是拟态防御系统的核心机制。如图1所示，DHR系统一般由输入代理﹑异构元素池﹑异构构件集﹑动态选择算法﹑动态选择算法﹑执行体集和表决器组成[2-4]。

图1 DHR系统结构

输入代理：输入代理进行输入处理，保证把每个输入分别发送给不同的执行体，以避免出现协同。

异构元素池：所有用于组成系统构件的异构元素集，它们之间遵循着异构原则，尽可能使元功能正交，从而由它们组成系统功能的异构构件。

异构构件集：用异构元素池中的元素组成异构同功能系统构件，用于被选择作为执行体的储备池。

动态选择算法：通过动态选择算法随机独立选择异构构件集中的构件组成执行体，进行功能实现。

执行体集：由动态选择算法选择异构构件的集合，每一个执行体都独立接收输入代理的输入进行处理，并把输出发送给表决器。

表决器：采取多模裁决方式，把从执行体收集到的所有结果整合进行多模判决，把相同结果最多的结果作为系统的结果进行输出。

拟态防御系统通过动态选择算法选出若干异构构件组成执行体集，通过输入代理把输入分别输入每个执行体，再通过多模裁决进行判断系统的输出。该构架的优点在于，每个实现功能的执行体都是随机选择的，每个执行体都由异构元素池随机组合，这将使系统处于不断变化中，对外呈现极大的不确定性，且构架本身可以迭代与叠加，极大地提高了攻击者攻击的复杂度，有效破坏了攻击者的持续探测行为。

2 拟态防御安全问题相关研究

目前，国内外拟态防御安全问题相关研究尚处于起步阶段。张铮等[5]构建了基于拟态防御原理的web服务器，通过把web服务器软件分配到非相似虚拟机池中构建资源池实现拟态化，并对拟态web服务器进行了性能测试﹑DIL模块化性能测试﹑系统整体性能测试﹑HTTP通信协议一致性测试﹑拟态防御原理功能测试﹑兼容性测试﹑渗透测试﹑扫描检测﹑SQL注入攻击测试﹑服务器软件漏洞测试﹑命令注入测试，最终证明了拟态方法的合理有效性。

3 基于本体的拟态安全防护模型

3.1 本体的概念与相关知识

本体是研究世界上各种实体及其相互关联关系建模的科学[7]。本体通过形式化的统一术语与术语之间的关系，使原本孤立的术语相互联系，完整地描述术语构成的领域的概念。同时，构成的本体可在这种概念之内进行逻辑推理和查询[8-9]。

本体一般基于类及其类间关系来描述实体进行建模。本文使用protégé和OWL语言类构筑模型，如图2所示[10]。在OWL语言中，主要包括Classes（类）﹑Individuals（实例）﹑Properties（关系），其中Properties又包括Object Properties（类之间的关系）和Datatype Properties（类与数据之间的关系）。

图2 拟态防御本体模型

3.2 拟态本体类及其语义

结合拟态防御原理，本文构建的主要拟态本体类及其语义具体如下。

信息系统组件ISComponents：信息系统组件包括信息系统机器构成的各层次组件。这些信息系统组件包括（但不限于）各类信息系统﹑服务器﹑网络﹑硬件﹑软件﹑协议等，拟态机理可以用于各个层次的信息系统组件的实现。

拟态防御体MDB：拟态防御体是一个信息系统组件，内含多个动态异构冗余执行体，通过动态异构冗余机制和多模裁决机制实现其核心功能。拟态防御体的动态异构冗余执行体自身也可以通过拟态机制实现，即拟态防御体允许通过彼此叠加﹑自身嵌套等机制构成新的拟态体。

动态异构冗余执行体DHRE：一组具有等价功能输出的异构的信息系统组件，彼此功能冗余，通过多模裁决模块对外提供功能服务。根据定义2可知，DHRE本身可能是一个拟态防御体，具备嵌套机制，如果DHRE内部不再含有DHRE，则称DHRE为拟态基元组件，简称AHRE。

安全弱点Security Vulnerabilities：存在于信息组件上的安全缺陷﹑漏洞或后门。攻击者可能利用安全弱点发动攻击，损害信息组件的安全属性甚至获取其控制权。

可利用的安全弱点ESV：拟态防御系统存在一条或多条发起于攻击面的攻击路径，位于攻击路径上的安全弱点成为可利用安全弱点。

可持续利用指数(ESI)为农业生态系统净能值产出率NEYR与环境负载率ELR之比，用来说明生态经济系统的可持续性，一般该指标数值处于1～10之间，数值过大说明对资源的利用不够，过小又预示着系统因环境负载率较高而处于耗竭状态。2001-2010年河南省农业生产可持续利用指数处于3.15～5.99之间，说明其农业生态经济系统具有较强的可持续发展能力。从时间变化趋势上看，近年来河南省可持续利用指数数值呈现显著下降趋势，说明其农业发展的可持续性有所降低，农业生产存在一定只用不养的掠夺式经营成分。

3.3 拟态本体及其类间关系建模

在具体进行拟态本体模型构建时，如图2所示，本文把拟态模型分为了四大本体类，并定义了它们之间的关系。

Vulnerability本体类代表安全漏洞。ESV是Vulnerability的子类，存放着所有位于攻击面上的漏洞。Vulnerability和Attack Surface是onAttackSurface的关系。

ISComponents本体类代表信息系统组件。Application﹑Network﹑Host﹑MDB均是它的子类，MDB是IS Components上应用的拟态防御构件，MDB拥有DHREpool和DHRE两个子类，DHREpool是MDB中异构构件集的类，DHRE是MDB中异构执行体的类，MDB和DHRE之间具有contains关系。同理，AHREpool和AHRE与DHRE的关系类似。

PropertiesOfMDB本体类代表MDB的属性。Output﹑AttackSurface﹑RS是PropertiesOfMDB的子类。Output是MDB所有输出的类。本文中输出只有true和false两种输出，即当系统被攻破时输出为false。AttackSurface是MDB上某时段暴露出的攻击面的类。RS是MDB所用的选择算法的类。

Attacker代表攻击者本体类。CompromisedIS本体类代表被攻破的系统组件，是异构执行体超过半数被攻破的MDB的集合。它既是MDB的子类也是ISComponents的子类。

对于拟态防御的建模，如 图3所示。由RS算法从DHREpool中选出至少3个DHRE组成MDB，数据输入MDB，由MDB输入到每个DHRE。每个DHRE产生各自的输出，通过多模裁决（即选取最多相同者）决定最终MDB的输出。

图3 MDB模型概念图

对攻击者的建模，如图4所示。

图4 安全攻击建模

每个DHRE上都可能存在漏洞，其中漏洞的等级也不尽相同。攻击者对每个DHRE进行攻击时，当且仅当这个DHRE的漏洞危险等级是high的时候，视为攻击者可以攻破该DHRE，使DHRE的输出由true转为false，而这个DHRE视为CompromisedDHRE。对MDB而言，如果CompromisedDHRE超过组成MDB的DHRE多模裁决下限，则MDB的输出由true转为false，这个MDB视为CompromisedMDB。

4 测试用例

为了说明本文安全模型的应用方法，本文选取了主机层面的拟态架构来进行拟态系统testMDB的安全校验。其中，拟态系统的DHRE池由不同类型的操作系统组成。具体而言，testMDB的DHRE池子包含Unix平台的unixDHRE﹑Windows平台的windowsDHRE和Linux平台的linuxDHRE。其中，linuxDHRE平台上存在有Bufferoverflow高危漏洞。在unixDHRE有一个FTP拟态对象，其DHRE池子里的FTP执行体分别为Tnftp﹑Vsftpd﹑Wuftpd。其中，在Tnftp和Vsftpd上存在Bufferoverflow高危漏洞。该测试用例本体关系见图5，其具体配置如表1所示。

图5 测试案例实例关系

表1 测试案例安全配置

为了模拟攻击场景，本模型使用SWRL设计了对应的安全攻防规则。

攻击者能力规则：

attacker(?x)^attackers(?x,?z)^DHRE(?y)^DHRE(?z)^contains(?y,?z)->attacks(?x,?y)attacker(?x)^attackers(?x,?z)^MDB(?y)^DHRE(?z)^contains(?y,?z)->attacks(?x,?y)

语义：如果攻击者攻击MDB上的DHRE，则攻击者攻击此MDB。

判断这个漏洞是否是一个ESV：

Vnlnerability(?x)^AttackSurface(?y)^onAttackSurfac e(?x,?y)->ESV(?x)

语义：如果这个漏洞位于DHRE的攻击面上，则这个漏洞是这个DHRE的ESV。

攻击者攻破执行体﹑改变状态和输出：

Attacker(?x)^attackers(?x,?y)^DHRE(?y)^MDB(?a)^Contains(?a,?y)^hasVulnerability(?y,?z)^ESV(?z)^Vulner abilityLevel(?z,“high”)→HasCompromisedDHRE(?a,?y)^DHREoutput(?y,false)

语义：如果攻击者攻击MDB上的DHRE，且此DHRE拥有ESV，那么这个DHRE视为被攻破的DHRE，DHRE的输出为false。

多模裁决机制：

MDB(?x)^HalfNumbersOfDHRE(?x,?y)^NumbersO fCompromisedDHRE(?x,?z)^Swrlb∶greaterThan(?z,?y)->MDBoutput(?x,false)

语义：如果被攻破的DHRE多于MDB的DHRE的半数，则MDB的输出为false，视为MDB被攻破。

在上述安全配置和规则下，启用protégé推理机进行推理，发现其推理过程具体如下：

①攻击者攻击unixDHRE上的tnftp﹑vsftpd﹑wuftpd和linuxDHRE；

②由于tnftp和vftpd包含缓冲区溢出高危漏洞并暴露在攻击面上，则tnftp和vsftpd的输出由true转变为false，tnftp和vsftpd视为CompromisedDHRE；

③由于linuxDHRE上也有高危漏洞并暴露在攻击面上，linuxDHRE的输出也由true转变为false，linuxDHRE视为CompromisedDHRE；

④由于tnftp和vsftpd是unixDHRE的DHRE，且超过了总执行体的半数，所以unixDHRE被攻破，UnixDHRE的输出由true转为false，unixDHRE视为CompromisedDHRE；

⑤由于unixDHRE和LinuxDHRE被攻破，则testMDB也被攻破；

⑥CompromisedIS下出现被攻破的testMDB和unixDHRE。

具体推理结果截图如图6所示。

图6 测试用例推理结果

如图6所示，CompromisedIS下出现了testMDB和unixDHRE两个实例，均为推理过程生成。说明在多模裁决机制下，当攻击者攻克异构执行的数目不少于多模裁决的下限阈值时，拟态防御系统会被攻破，与测试用例的安全配置情况相符。

5 结 语

作为一种新型安全防御机制，网络拟态防御的安全建模和评估问题研究尚处于起步阶段。本文提出了一种使用本体对拟态防御系统CMD进行建模的方法，不仅可以清晰刻画CMD和DHRE的内部组件关系，而且在该模型中纳入了安全漏洞和攻击面等本体安全类。测试用例表明，利用该模型，辅以通过SWRL编写的对应安全攻防规则，可以通过本体以逻辑推理的形式，有效完成CMD系统的安全性判断。

[1] 邬江兴.网络空间拟态防御研究[J].信息安全学报,2016,1(04):1-10.

WU Jiang-xing.Study on Network Space Mimicry Defense[J].Journal of Information Security,2016,1(04):1-10.

[2] 扈红超,陈福才,王禛鹏.拟态防御DHR模型若干问题探讨和性能评估[J].信息安全学报,2016,1(04):40-51.

HU Hong-chao,CHEN Fu-cai,WANG Zhen-peng.Performance Evaluations on DHR for Cyberspace Mimic Defense[J].Journal o f Information,2016,1(04):40-51.

[3] 马海龙,伊鹏,江逸茗等.基于动态异构冗余机制的路由器拟态防御体系结构[J].信息安全学报,2017,2(01):29-42.

MA Hai-long,YI Peng,JIANG Yi-ming,et al.Dynamic Heterogeneous Redundancy based Router Architecture with Mimic Defenses[J].Journal of Information,2017,2(01):29-42.

[4] 邬江兴.拟态计算与拟态安全防御原理的原意和愿景[J].电信科学,2014(07):2-7.

WU Jiang-xing.Meaning and Vision of Mimic Computing and Mimic Security Defense[J].Telecommunications Science,2014(07):2-7.

[5] 张铮,马博林,邬江兴.web服务器拟态防御原理验证系统测试与分析[J].信息安全学报,2017,2(01):13-28.

ZHANG Zheng,MA Bo-lin,WU Jiang-xing.The Test and Analysis of Prototype of Mimic Defense in Web Servers[J].Journal of Information,2017,2(01):13-28.

[6] 马海龙,江逸茗,白冰等.路由器拟态防御能力测试与分析[J].信息安全学报,2017,2(01):43-53.

MA Hai-long,JIANG Yi-ming,BAI Bing,et al.Tests and Analyses for Mimic Defense Ability of Routers[J].Journal of Information,2017,2(01):43-53.

[7] 张宇一,张保稳.基于本体的RBAC建模及其应用研究[J].通信技术,2017,50(01):102-108.

ZHANG Yu-yi,ZHANG Bao-wen.Ontology-based RBAC Model and Its Application[J].Journal of Informati on,2017,50(01):102-108.

[8] 高建波,张保稳,陈晓桦.安全本体研究进展[J].计算机科学,2012,39(08):14-41.

GAO Jian-bo,ZHANG Bao-wen,CHEN Xiao-hua.Research Progress in Security Ontology[J].Computer Science,2012,39(08):14-41.

[9] Donner.Toward A Security Ontology[J].IEEE Security &Privacy,2003,1(03):6-7.

[10] Bechhofer S.OWL:Web Ontology Language[J].Springer US,2009,63(45):990-996.