專題導讀：擬態計算與擬態安全防御的原意和愿景

鄔江興

（信息工程大學 鄭州450002）

1 引言

隨著計算機技術的發展，原有的體系結構遇到了“功耗墻”、“存儲墻”等一系列的瓶頸問題，追求高效能計算已經成為技術進步的關鍵問題之一。

以國家科學技術部“十二五”國家高技術研究發展計劃（“863”計劃）“部市合作”重點項目“新概念高效能計算機體系結構研究和原理樣機研制”為依托，目前的國內研究以高效能計算為目標，從體系結構創新入手，對高性能計算在多個典型領域的應用、結構和效能關系進行了深入分析，揭示出“剛性不變的體系結構支持差異巨大的應用是使計算效能低下的根本原因”，引入了“應用決定結構，結構決定效能”的理念，提出了基于多維重構函數化結構與動態多變體運行機制的擬態計算體系——擬態計算（mimic computing，MC）。

擬態計算固有的隨機性、動態性和不確定性，自然阻斷了目前攻擊技術所依賴的攻擊鏈完整性。因此，基于擬態計算的信息系統具備內在的主動防御能力，稱為擬態安全防御（mimic security defense,MSD）。相關分析和初步試驗表明，MSD有希望成為改變網絡空間游戲規則的變革性技術，有可能從根本上擺脫目前網絡空間“易攻難守”的戰略困局。

2 MC的原意與愿景

2.1 MC的原意

圖靈—哥德爾—邱奇的可計算性理論[1]和馮·諾依曼體系結構[2,3]組成了當今計算機科學與工程的基礎。可計算性理論只解決了可計算問題，并未考慮到計算效率問題；馮·諾依曼結構只解決了可計算理論的工程化和實用化問題，也未關心計算速度和效率問題。

自20世紀40年代第一臺電子數字計算機問世以來，計算系統的速度得到了突飛猛進的發展，這一方面得益于器件技術的進步，另一方面則歸結于體系結構技術的進步。隨著流水線[4,5]、并行技術[6]等非馮結構的引入，尤其是大規模分布式并行計算及異構眾核[7,8]的發展，使得結構對計算速度的提升有了前所未有的成效。

然而，隨著高性能計算機（high performance computer，HPC）的速度向著E級甚至Z級目標邁進，功耗問題正成為最大的攔路虎之一[9]。盡管采用了多層次全方位的降功耗工藝和技術，目前P級HPC的運行功耗仍高達10～20 MW。據預測，若沒有更有效的低功耗和降功耗技術，未來E級HPC功耗有可能突破百兆瓦。在功耗成為工程實現難題的同時，應用的經濟性問題也隨之被提出，高效能計算已成為高性能計算機發展的新出路或新方向。

計算機應用實踐表明，在硬件系統不變的情況下，通過軟件算法的改進可獲得運算速度和計算效能的等效提高，即一個問題往往存在多個不同的解決或實現方案；每個方案的不同階段、不同時段存在多種可供選擇的實現算法；每個方案的特點和屬性不同，對計算環境和計算代價的要求也不同；每個方案的計算性能和運行效能也大不相同。若能在恰當的場合、恰當的時機、動態地選擇恰當的實現方案（或稱程序變體），就可能在限制條件下逼近計算效能的最優值。

硬件系統也可以設計成多種功能等價、效能不同的執行變體或計算環境方案，系統運行時硬件系統也能根據應用需求，在恰當的場合、恰當的時機，選擇（或生成）恰當的方案。

這種包含了軟件和硬件變體的多維重構函數化體系結構就是擬態架構（mimic structure），它能根據動態參數選擇生成多種功能等價的可計算實體，實現擬態變換。對于一個確定的可計算問題，在擬態架構中可以由多種功能等價、計算效能不同的硬件變體和軟件變體來實現，動態地選擇與使用這些變體，計算效能可以達到最優化，這就是擬態計算。實現了擬態計算的系統，運行效能無疑將會得到更為顯著的提升。

2.2 MC的愿景

MC并不企圖獨立地構建高效能的計算系統，也不排除器件工藝進步和變頻或資源管理等引入的降耗增益，更不拒絕優化軟件算法提高計算效能的好處；而是借助“應用決定結構、結構決定效能”的思想，通過適時動態重構相應的系統運算結構或執行環境，達成提高運行效能的目的。

通過基于多維重構的函數化體系結構的呈現，應用問題可實時選擇或定制相對理想的計算環境，包括計算和控制部件、存儲部件、互連部件、輸入輸出部件等；任務或作業也可以根據不同資源情況、不同服務質量要求、不同處理負荷、不同時段的運行效能等因素，在多種功能等價、效能不同的硬件執行變體（或環境）以及相關的多樣化程序變體間做出調度，并能實現任務或作業的跨環境動態遷移。

傳統計算系統的處理結構在總體上是確定的，且沒有多少可變因素。所有應用必須基于這樣一個剛性計算環境進行編程設計，這就是所謂的“應用適應結構”的可計算性取向，導致體系結構嚴重束縛運行效能的改善。

然而，硬件系統的結構變換也要受到器件技術、實現復雜性、結構變換開銷和價格因素的限制，不可能做到任意變化。借用生物學的擬態概念來表征有限程度、有限規模的結構動態變化是合適的：一方面“結構適應應用”要求系統具有“形狀”相似的能力，另一方面“結構動態變化”要求系統具有“行為”相同的能力。因此，擬態的相似性、相同性和有限性，正好刻畫出擬態計算旨在通過基于多維重構的函數化（也可稱為“擬態變換”）體系架構獲得高效能計算的本質。此外，功能等價的多變體執行環境具有天然的冗余屬性和內在的高可靠性、高安全性優勢。

3 MSD的原意與愿景

3.1 MSD的原意

擬態安全防御是指在主動和被動觸發條件下動態地、偽隨機地選擇執行各種硬件變體以及相應的軟件變體，使得內外部攻擊者觀察到的硬件執行環境和軟件工作狀況非常不確定，無法或很難構建起基于漏洞（bug）或后門的攻擊鏈，以達成降低系統安全風險的目的。

擬態安全防御的機理可以借用生物學擬態概念的四性——有限性、相似性、相同性和透明性來表征。在生物學上，這四性主要表現在變化的有限性（有限場景、有限跨度、有限逼真度）、變化場景的相似性（“外觀”相似）、變化形態的相同性（“行為”相同）以及由本體功能和性能的不變所體現出的透明性。在計算機的擬態體系結構中，這四性也有相應的體現。比如說，FPGA的可重構規模和粒度體現了有限性；所有通用機、專用機都可以等效為圖靈機，有各種功能相似的操作系統，這些都是相似性的體現；同一源程序在不同運算平臺應產生相同的執行結果體現了相同性；運算器、流水線和總線結構對源程序的透明則體現了透明性。

當前信息系統中，由數百萬行代碼組成的龐大軟件僅僅需要一個漏洞或后門，就可能被數十行左右的腳本代碼所完全“擁有”。同理，由數十億晶體管組成的復雜片上系統（system on chip，SoC），僅僅因為一個設計漏洞或總量上可忽略不計的晶體管資源構成的后門，就可能被攻擊者注入少量代碼所完全“掌控”。所以，從防御者的角度來說，這些構成軟件的數百萬行代碼和構成硬件芯片的數十億只晶體管，必須得到完備的設計和整個安全鏈上諸環節、全要素的保護，才能防止一個漏洞或后門被利用；從攻擊角度來說，只需要找到或留有一個漏洞或后門，就能破壞或掌控整個系統。攻擊技術的發展使防御“疲于奔命”，從軟件階段拓展到硬件階段，從數據層擴展到物理層，進而發展到更高級的軟硬件協同持續（動態）攻擊階段。在未知漏洞或后門的利用和防護方面攻防雙方成本空間的不對稱性日益增加。

特別是近些年來，隨著攻擊技術從軟件階段拓展到硬件階段，進而發展到更高級的軟硬件協同持續攻擊階段。全球網絡空間發生的眾多標志性的信息安全事件都充分闡明，攻擊者和防御者在成本空間的嚴重不均衡地位。

要從源頭上解決信息系統的安全問題，必須實現“核心自主、逐步替代”的戰略，但從現狀來看，對設計和生產各個環節的完全自主依然任重道遠，短期內很難解決整個安全鏈無后門、無漏洞的問題。從當前的主流防御技術來看，基于先驗知識（特征或指紋）的被動防護，不能適時避免或緩解利用未知漏洞和后門的攻擊問題。擬態安全防御就是要在這種被動的局面下實現主動的防御。

相比于傳統信息系統的靜態性、相似性和確定性，擬態計算系統具有視在的非持續性、非相似性和非確定性的基本屬性，這與網絡攻擊所依賴的靜態性、相似性和確定性正好相左。在動態持續攻擊常態化背景下，在漏洞和后門以及可能駐留的病毒和木馬信息缺位的情況下，防御方通過動態化和隨機化的內核結構與主動變化的安全機制，大幅度地增加未知漏洞和后門的利用難度，擾亂或破壞未知病毒和木馬依賴的攻擊鏈。與目前主流的基于加密認證和基于先驗知識的病毒查殺等安全措施相比，擬態安全可以弱化利用未知漏洞、后門或病毒、木馬的攻擊威脅，可以弱化基于特征嗅探和狀態轉移的內外部攻擊。所以，防御方基于擬態計算架構，并引入其他的動態化和隨機化措施，不難構建起非對稱的MSD系統，以應對網絡空間的現實威脅，達到系統安全風險可控的目的。

MSD主要針對網絡空間攻擊成本和防御成本的嚴重不對稱性，以及我國信息領域核心技術與產業基礎嚴重滯后國家安全需求的嚴峻性而提出，它是一種改變游戲規則的變革性技術，力圖扭轉目前網絡空間“易攻難守”的戰略格局。

3.2 MSD的愿景

一般說來，基于漏洞的攻擊和防御有如下特點。

（1）漏洞層面

漏洞是軟硬件設計導致的錯誤，可以被攻擊者利用。理論上，就一個給定的檢驗規范，可以用形式化的正確性證明技術，找出并消除軟硬件中所有的錯誤或漏洞。事實上，以現在的科學和工程技術水平，構建任何一個復雜的大型信息系統，既不能保證任何物理實現或邏輯實現無缺陷，也不能保證任何物理層或邏輯層的設計與工程化無漏洞。

（2）攻擊層面

攻擊者必須了解特定系統中的漏洞和基本的執行環境，才能利用這個漏洞，采取特定的攻擊手段，或者使用確定的后門。其高度依賴傳統目標系統的靜態性、確定性和相似性，目標系統所暴露的時間越長，可供攻擊者研究其運行規律、發現其弱點、創建和驗證有效攻擊方法的時間窗口就越大。

（3）防御層面

當前目標系統消除漏洞的方法主要有移除漏洞、打補丁和精確識別與阻斷攻擊3類。然而，這3類防御手段不是有完備性缺陷，就是阻止不了“零日漏洞攻擊”抑或無法擺脫被動防御的困境。

作為攻防雙方間的博弈，惡意軟件開發者為了防止攻擊被防御方從容地檢測到，研發了具備動態變化攻擊軟件行為特征和手法的平臺環境。所以，傳統的基于某個物理（如CPU）或邏輯（如操作系統）實體安全可控性而建立的查毒、殺毒、堵漏和局部動態化、隨機化的安全防御體系，都難以擺脫“漏洞攻擊”和被動防御的困擾。為扭轉這種不對稱優勢，防御方也必須構建一個能夠動態改變其視在特性和代碼的系統，使攻擊方同樣沒有足夠的時間來從容發現和利用目標系統的漏洞。

盡管任何一種確定的結構或機制都很難證明或實現無漏洞或無缺陷存在，但是實時重構的體制和動態多樣化機制的組合（乘法）運用，并不是試圖完全消除缺陷或漏洞，而是通過大幅度增加漏洞的利用難度來降低攻擊的實時性和有效性。同理，對于預先植入或預留的木馬或后門的利用也會造成類似的難度和效果。

MSD針對攻擊鏈嚴重依賴靜態系統架構和相關運行機制所特有的脆弱性，用多維重構技術和動態化隨機化運行機制，試圖聯合其他各種安全防護技術，搭建起一個對構件級可控性不敏感的主動防御體系。這個體系的安全可控內核是由一個多維重構的執行環境和一個基于認知的動態化、隨機化的運行機制構成的。在所創建的動態化、非確定和非相似的“迷局”中，允許使用“帶毒含菌”的器件、部件或軟硬件構件，并能將系統安全風險控制在防御方可接受的范圍內。

MSD并不試圖一勞永逸地解決網絡空間所有的安全問題，也不企圖獨立地構建完美的防御系統來阻止各種攻擊，更不拒絕通過器件、組件、部件、軟件和硬件等構件層面的自主可控途徑獲得的安全增益。而是試圖在可接受的成本和復雜性代價條件下，為信息系統現有或將來可能發展出的安全技術，找到可以在不同層次、不同場景下均能持續獲得高安全性的基礎架構與安全機制。這樣的基礎架構和安全機制應能主動、動態且隨機地改變防御方的視在特性和代碼。相對于基于先驗知識的被動防御聚焦于精確清除已知病毒和木馬的方法，擬態安全致力于擾亂或阻斷未知漏洞或后門利用的攻擊鏈，極大地縮短外部攻擊者和內網滲透者嗅探系統特征及規律的時間窗口，作為倍增器放大傳統安全措施的效能。

值得注意的是，MSD體系內核的安全性并不完全依賴自主可控、“零缺陷”設計與實現和非公開保密手段等因素，而主要通過基于認知的動態化、隨機化的多維重組結構本身來得到保護。運行中，結構函數的自變量取自當前系統負載情況、資源狀況、服務質量、能效水平、安全狀況和時間等動態參數，結構函數算法的公開并不會影響系統的安全可控性。即MSD的可信根不是任何物理或邏輯實體，而是動態化、隨機化運行機制和多維重組結構本身。

MSD系統的高安全風險可控性，不僅源自內核的函數結構與動態化、隨機化運行機制的組合運用，而且源自從內核直至應用層采用的已有（或未來可能發展出的）安全措施的深度組合（連乘）運用。換言之，MSD能夠自然地接納各種安全防御技術，并可倍增甚至指數化增加攻擊方的難度。

MSD基于擬態計算理論，以提供運行環境的動態性、非確定性、異構性、非持續性為目的，通過網絡、平臺、環境、軟件、數據等結構的主動跳變或遷移實現擬態環境，以防御者可控的方式進行動態變化，對攻擊者則表現為難以觀察和預測的目標變化，從而大幅度地增加攻擊難度和成本，大幅度地降低系統安全風險。總之，一個具備MSD屬性的系統能夠在功能等價的條件下主動、隨機地改變自身架構及執行環境，利用軟硬件多樣化、協同化、動態化地執行變體的偽隨機性，在表象上給對手造成系統“攻擊表面”不可預測的迷局。

3.3 擬態安全防御的特點和問題

從擬態安全防御的技術基礎、基本原理和實現來看，它具有以下特點。

·針對攻擊鏈依賴傳統系統架構和運行機制的特有的脆弱性，組合應用多維重構技術和動態化、多樣化、隨機化的安全機制，擾亂或阻斷攻擊鏈，增加攻擊難度，實現不依賴先驗知識的主動防御。

·在所創建的動態化、非確定和非相似的“迷局”中，允許部分使用“帶毒含菌”的器件、部件或軟硬件構件，并能做到安全風險可控，可緩解自主產業能力不足的困境。

·通過函數結構和動態機制的組合（乘法準則）應用，大幅度地降低漏洞或后門利用的可靠性。對于預先植入或預留的木馬或病毒的利用，也會造成相似的難度。

·內核的安全風險并不取決于“零缺陷”設計與實現或算法保密等外在因素，只取決于系統當前的資源狀態、服務質量、運行效率、異常情況、流量特征和時間基準等非封閉動態參數的隨機性。

·能有機整合現有（或未來可能發展出）的安全防御手段，通過與擬態機制的深度組合（連乘）運用，構成主被動融合式防御體系，能夠倍增甚至指數化地增加內外部攻擊的難度。

·擬態計算架構作為擬態安全防御的內核，具有高效計算的固有屬性，可為防御的實時性需求提供強有力的系統結構層面的支撐。

·擬態計算架構固有的冗余性，使擬態安全防御系統具有內在的可靠性。根據安全性需求，調整冗余度，可控制系統成本，權衡可靠性。

·基于資源冗余配置的冗余資源應用模式，能夠形成共生協同、N變體、等效多變體、異構環境遷移等特殊運行機制，為及時發現、抑制、阻斷和清除病毒或木馬提供了新空間、新視野。

擬態安全的主要問題有以下3個方面。

·復雜性高：冗余資源和擬態能力的管理問題，軟硬件多變體與作業、任務、進程異構環境遷移，環境快速清洗等都是工程技術上復雜性極高的問題。

·功耗增加：軟硬件多變體同時或同步運行時，功耗會顯著增加等。

·驗證難：隨機系統測試驗證困難等。

4 MC與MSD的實現基礎及后續研究問題

4.1 MC和MSD的實現基礎

MC是MSD的基礎，擬態變換是兩者共同的技術要點，但應用目的有所不同，前者是通過擬態變換追求高效能的計算，而后者則是通過擬態變換追求系統的低安全風險。因此，二者所依賴的技術基礎有很多相同之處。主要用到的基礎技術有仿生學技術、認知技術、可重構技術、信息安全技術、擬態計算技術、通信干擾技術等。

近年來相關理論和技術的進步，給MC和MSD技術的發展帶來了可行性，主要包括：

·集成電路工藝的不斷進步；

·多維可重構理論和技術的進步；

·可編程器件技術的進步及應用領域的拓展；·異構多核及眾核隨機化技術；

·虛擬化和異構環境負載遷移技術的發展；

·以可重構智能互連為中心的系統架構技術；

·二進制代碼翻譯技術；

·基于C語言的FPGA高級編程工具；

·動態多樣化隨機化技術；

·基于即時編譯器的多變體技術等。

4.2 MC和MSD的后續研究問題

MC和MSD的研究要重點關注以下3個領域。

（1）同步管理能力與實時性要求

有效管理各種“擬態安全”的能力，包括監測、建模、分析和理解系統本身以及網絡空間與其交互的其他系統，還有應對威脅環境的能力。防御對實時性要求很高，緊迫時限內要完成復雜分析須極大地提升分析速度，縮小反饋環路響應時間并盡可能消除人為因素的影響，如確實需引入人的因素，就必須提供一套信息表達、引導、分析導航方面的創新方法。

（2）重視自然靈感的解決方案

自然界有很多的生物系統遠比人類的網空系統復雜，卻極其穩健、靈活和高效。在抵御細菌和病毒入侵時啟動的免疫系統能夠很好地發揮作用，如分布式處理、病原體識別、多層保護、分散控制、多樣性和信號表征等，都展示出大量具有啟發性的機制，可用于形成解決網絡空間安全問題的創意。

（3）持續關注理論、方法和工具研究

當在系統的不同層面、不同時機、不同階段引入多樣化、動態化、隨機化因素后，傳統的軟硬件設計理論和支撐技術已不適應，需要發展新的理論體系及創新方法與開發新的工具技術。

需要重點開展的研究內容主要有：有關機制及有效性的科學論證與概念抽象；漏洞成因和利用機制的形式化描述方法，論證系統隨機動態變化對攻擊利用這些漏洞能力的影響；單個組件隨機動態化對復雜系統性能的影響，尤其是系統彈性和規避威脅能力的影響；開發一種能夠體現系統復雜性并實現系統有效性與彈性管理的控制機制；隨著對系統行為理解的不斷深化以及所面臨威脅的不斷演變，使“擬態安全”機制可持續發展。

作為新興的技術方向，MC和MSD仍有許多工程化甚至應用基礎問題待解決，例如：

·函數化結構系統的運行支撐技術和生態環境的構建；

·軟件兼容性問題；

·實時可編程技術；

·可重構高階運算棧技術；

·MC/MSD的一般性模型和評估評價方法；

·基于動態化多樣化基礎架構的高級編譯工具和系統開發工具；

·跨平臺即時編譯工具；

·自動多樣化變體生成和編譯技術；

·異構環境進程或作業遷移技術；

·動態改變管理系統和網絡配置的自動化方法；

·效能/安全性評估模型和定量分析；

·相關量化評價方法與測試技術等。

5 應用前景展望

擬態安全產品技術可以按照先簡后難、先高端后低端、先專用后通用的方式逐步完善，3年內有望推出階段性的商品化產品，5年內有望形成規模化市場，10年內有可能成為主流市場。

從核心方面，打造自主可控的國家信息通信核心網絡，將擬態安全應用于核心路由器、邊界路由器、匯聚路由器等；在企事業單位，將擬態安全應用于接入路由器、交換機、網關和防火墻等；在終端打造各種基于擬態安全的應用平臺；在基礎軟件、支撐軟件、工具軟件等軟件方面，全面引入擬態安全機制，以此全方位形成網絡空間安全的新格局。這對于改變或緩解我國目前甚至今后相當長時期內，在自主可控領域面臨的嚴峻形勢具有重要的戰略意義。

1 Turing A M.On computable numbers,with an application to the entscheidungs problem.Journal of Math,1936,58(12):345～363

2 Krishnaprasad S.Extending von neumann uniprocessor architecture to exploit result sharing.Proceedings of the IEEE Southeastcon,Charlotte,1993

3 Bokor J,Nadai L,Rudas I J.Controllability of quantum bits from the von neumann architecture to quantum computing.Proceedings of the IEEE International Symposium on Computational Intelligence and Intelligent Informatics,Agadir,2007:9～12

4 Geiger G,Hazel T,Vogt D.Integrated SCADA-based approach for pipeline security and operation.Proceedings of Record of Petroleum and Chemical Industry Conference(PCIC),Record of Industry Applications Society,the 57th Annual Conference,San Antonio,2010:1～8

5 Kock A A A,Etman L F P,Rooda J E.Effective process times for multi-server flowlines with finite buffers.IEEE Transactions,2008,40(3):177～186

6 Kumm E T,Lea R M.Parallel computing efficiency:climbing the learning curve.Proceedings of IEEE Region 10's Ninth Annual International Conference,Singapore,1994:728～732

7 Sandrieser M,Benkner S,Pllana S.Explicit platform descriptions for heterogeneous many-core architectures.Proceedings of IEEE International Symposium on Parallel and Distributed Processing Workshops and Phd Forum(IPDPSW),Shanghai,China，2011:1292～1299

8 Kramer D,Karl W.Realizing a proactive,self-optimizing system behavior within adaptive,heterogeneous many-core architectures.Proceedings of IEEE Sixth International Conference on Self-Adaptive and Self-Organizing Systems(SASO),Lyon,2012:39～48

9 Phan D H,Suzuki J,Carroll R,et al.Evolutionary multiobjective optimization for green clouds.Proceedings of the Fourteenth International Conference on Genetic and Evolutionary Computation Conference Companion,New York,USA,2012:19～26