動態異構冗余的Web威脅感知技術研究

李衛超　馮俊龍

摘 要：威脅感知技術作為保障系統穩定運行的重要組成部分，在Web服務系統中得到了廣泛的應用。針對動態異構冗余的Web服務環境，利用多余度裁決的方法感知威脅，使得系統具備良好的阻斷攻擊過程、感知漏洞威脅的能力。本文首先介紹了動態異構冗余架構及其Web威脅感知系統的設計方法。然后通過比較不同威脅感知系統在不同架構下的應用效果，闡述動態異構冗余的Web威脅感知系統的設計特點與難點。最后總結并展望動態異構冗余的Web威脅感知技術面臨的挑戰和發展前景。

關鍵詞：動態異構冗余架構； 威脅感知； 異構Web容器； Web服務軟件棧

Abstract： Threat awareness technology， as an important part of ensuring the stable operation of the system， has been widely applied in the Web service system. According to the dynamic heterogeneous redundant （DHR） Web service environment， the system has a good ability to block the attack process and perceive the threat of vulnerability by using the method of redundancy adjudication to perceive the threat. First， the paper introduces the DHR structure and design method of the Web threat awareness system. Second， the paper explains the security design features and difficulties of the DHR Web threat awareness system by comparing the application effect of different DHR structure. Finally， the summarization and the development of the DHR Web threat awareness system are discussed.

Key words： dynamic heterogeneity redundant structure； threat awareness； heterogeneity Web container； Web service software stack

引言

隨著互聯網技術的迅速發展，網絡已經成為人們生活中不可替代一部分。與此同時，快速、大規模的軟件開發模式，導致網絡應用環境極易出現漏洞威脅。而且，自動化攻擊工具的出現，大大降低了攻擊者的攻擊成本，給網絡空間安全帶來了極大的挑戰[1]。為了應對網絡空間中潛在的安全威脅問題，一種可行的方法是通過利用多樣化和隨機化的方法，在網絡空間基礎設施中構建動態異構冗余（Dynamic Heterogeneity Redundant， DHR）模型，改變了原有系統的單一確定易受攻擊的狀態，從而達到擾亂攻擊流程，阻斷攻擊威脅的目的[2-3]。

Web服務作為關鍵的網絡空間基礎設施服務之一，首當其沖面臨攻擊威脅。因此，一種基于DHR架構的Web服務系統就此產生[4]。近年來，DHR Web服務系統的發展十分迅速，在異構性構造、多余度裁決和動態調度等技術方面進展突出。文獻[5]中，闡述了DHR Web服務器的基本構造方法及性能指標。文獻[6]中，提出了利用軟、硬件的多樣性來構造系統異構性的方法；文獻[7]中，提出了一種軟件多樣化編譯的方法來抵御攻擊威脅；文獻[8]中，提出了一種防御SQL注入攻擊的異構標簽化方法。文獻[9]中，提出了一種相似度求解方法，增強了DHR架構系統的判別和決策能力；文獻[10]中，提出了一種動態調度的模型和方法來抵御持續性威脅。

1 DHR架構技術

DHR架構是DHR Web 威脅感知系統的環境基礎。通過利用DHR架構技術將動態性、異構性和冗余性等基本的內生安全屬性導入網絡空間的基礎設施服務中，構建內生安全的網絡架構模型，從而達到阻斷攻擊鏈、感知漏洞威脅的效果。

1.1 DHR特性

DHR架構具有內生安全的特點。因此，對于內生安全特性有著深刻的理解才能更好地理解DHR架構技術的內生安全機制。DHR特性包括：異構性、冗余性、多樣性、動態性、隨機性等。基于此，可做研究解析分述如下。

（1）異構性。是指具有相同功能作用的構件，在結構構造、處理過程和實現方法存在的差異性。文獻[6]中，全面分析了多種軟件漏洞，并測試了相異性對安全性的提升是有效的。文獻[11]中，指出單一軟件帶來的安全風險并討論了引入軟件相異性來提高系統安全性的方法。對于2個不同的處理構件，相互之間必然會存在一定的差異性。理論上來說，如果2個構件之間的差異性足夠大，則可以保證任意一種獨立的攻擊方法對于不同的2個構件是不可能同時生效的。

（2）冗余性。是指在系統中存在功能等價的構件同時工作。早在1834年，Lardner就已經提出“通過多臺相同的計算機處理同一運算，來檢測運算結果的正確性，如果采用不同的運算方法進行計算，那么結果則更加可靠”的論題[12]。冗余性可以分為同構冗余和異構冗余。系統的冗余程度與系統的抗攻擊能力沒有直接的關聯，對于同構冗余能夠做到屏蔽構件自身執行產生的故障性錯誤，在系統容錯方面起著重要的作用。對于異構冗余模型，除了能夠達到容錯的要求，還能夠滿足系統對容侵的需求，提高系統的抗攻擊能力。

（3）多樣性。是指在一個工作系統中構件的豐富程度。Baudry等人對軟件多樣性的多個方面，包括系統安全性等內容進行了全面的分析[13]。復雜的異構性和冗余性與系統的多樣性是不可分離的。可以認為，系統中構件的差異程度越大，異構性和冗余性越強。而系統中的構件集就越豐富，多樣性越強。因此，多樣性常被用于異構性的構造方法之中。

（4）動態性。是指具有相同功能作用的構件相互之間動態切換，達到讓系統結構不確定的目的。Peng等人在云服務環境下，利用虛擬化技術進行系統恢復的方法，實現了服務和流量的動態遷移[14]。Lew等人應用了動態變遷技術實現了一種動態防御的安全防護系統[15]。動態變換要按照一定的策略，不定時地改變系統運行構件，降低了系統漏洞被發現的風險，同時對持續性攻擊行為有著良好的防御效果。從某種程度上來說，系統的動態性可以被視為在時間維度上對系統多樣性的拓展。

（5）隨機性。是指在系統中的構件執行過程中由指令集合、地址空間的變化所引入的不確定性。隨機性方法在運行環境、軟件層和數據層存在著廣泛的應用。例如，地址空間隨機化技術（address space randomization， ASR）和指令集隨機化技術（instruction set randomization， ISR）[16-17]能夠防御攻擊者挖掘軟件漏洞，其中ASR技術在學術和商用領域都已經趨于成熟，應用較為廣泛。將隨機性分為靜態隨機性和動態隨機性。若在系統運行前產生的不確定性并且在系統運行中不發生改變，稱之為靜態隨機性；若在系統運行前后和系統的運行過程中都可能產生變化，則稱之為動態隨機性。靜態隨機性反映了系統構件間的差異程度所帶來的不確定性，屬于異構性范疇；動態隨機性則反映了系統構件間的動態切換所帶來的不確定性，屬于動態性范疇。

1.2 DHR架構

DHR架構通過構造異構性和冗余性，并融入動態性、隨機性和多樣性，以對抗漏洞攻擊。首先通過異構性的構造和組合方法，實現非相似余度架構（Dissimilar Redundancy Architecture， DRA）[2]，如圖1所示。

由圖1可知，DRA由輸入、請求分發器、異構執行體集合、多模表決器和輸出組成。在保證執行體間異構性足夠大的情況下，利用共有漏洞互不重合的性質，阻止入侵行為。利用n個執行體間的異構性給系統帶來安全增益，同時利用冗余性進行多模表決來提高系統輸出正確性。可以看出，異構性和冗余性是構成DRA的基本屬性。

在DRA模型的基礎上，以異構性最大化為基礎，冗余裁決為核心，綜合動態性、隨機性和多樣性實現了DHRA，如圖2所示。

由圖2可知，DHRA除了具備DRA的組成部分，增加了異構元素池、異構構件集合、動態選擇器、隨機發生器。在保障執行體結構具備可重組、可重建、可重定義等動態化、異構化的結構變換要素的基礎上，通過建立異構元素池，從中選取異構元素，組合生成m個具有相同作用和功能的異構構件。進一步通過動態選擇模塊，選擇出n個異構構件作為執行體A，并按照這n個執行體的輸出結果進行多模裁決，從而獲得威脅感知能力。這里，設PA表示執行體失效概率，V表示裁決狀態，則裁決后的失效概率Pjudge為：

理論上，DHRA要求完全地去關聯化和去協同化，以達到完全屏蔽互不相交的“有毒帶菌”的異構構件漏洞后門威脅的目的。而在實際應用中，DHRA的異構冗余構件非相似性設計則比經典的非相似余度要寬松得多。放寬對異構性設計的要求，一方面因為在實際的網絡空間環境中，考慮到服務對象的功能、性能以及用戶使用習慣等因素，人為設計存在處于同一概率空間的可能。也就是說，構造異構構件的過程之中，總會產生部分同構的成分。但是，由于有動態性的存在，只要保證在運行機制、調用機制、運行環境、參數賦值等方面存在不確定性，相互獨立的構件之中的同構成分也就很難同時形成一致性或多數相同的錯誤。另一方面，由于在現有的軟硬件體系結構中已經包含了一些安全防御手段，對于已經相對安全的系統來說，放寬相異性在一定程度上能夠提高系統工作效率。

2 DHR Web 威脅感知系統

Web服務作為網絡空間基礎設施服務中關鍵組成部分，發展迅速且規模龐大。Web服務的多元化發展趨勢也為DHR架構模型的應用提供了天然的優勢。因此，通過構造異構的Web威脅感知容器，實現異構的Web服務軟件棧，通過多模裁決技術實現基于DHR架構的Web威脅感知系統。

2.1 異構Web容器設計

在DHR Web 威脅感知系統中，其安全性上限的高低往往依賴于各個Web服務執行構件之間的異構性大小。執行構件間的異構性越大，相交的漏洞威脅就越少，系統也就越安全。在異構Web服務容器中，異構性的實現方法主要包括：自然異構性、隨機異構性和可控異構性。由此推得研究表述詳見如下。

（1）自然異構性。來自于軟件開發過程，是在軟件研發過程中，由于受到市場競爭、開發者、執行環境和開發語言等諸多社會因素的作用，自然而然形成的一種差異形式。目前，多元化的軟件市場中充斥著大量的自然異構軟件[13]。例如，操作系統軟件，包括Windows、Linux、Unix為核心的自然異構操作系統；服務器軟件，包括Apache、Nginx、IIS、Tomcat、Lighttpd等自然異構服務器；數據庫軟件，包括Mysql、Sql Server、Oracle、PostgreSQL、Sybase、DB2等自然異構數據庫。

（2）隨機異構性。是指通過在應用代碼自身或者代碼執行過程中使用隨機化方法產生差異的形式。隨機異構性的產生通常應用在代碼層面。靜態的隨機化可以在源代碼層面或二進制代碼層面產生相同程序的不同版本，典型的技術如代碼混淆技術[18]。動態的隨機化能夠直接或間接地產生同一程序的不同執行過程集，是在執行環境中實現的，常用的技術如多樣化編譯等。

（3）可控異構性。是通過人為控制來產生異構性，在保證程序功能等價的前提下通過人為構造多個獨立開發的程序從而帶來人為可控的差異。可控異構性常見于產品開發線、開源軟件架構和多版本軟件[19]。例如，操作系統、服務器、數據庫等軟件版本更替產生的異構性；開源軟件的不同分支產生的異構性，等。

綜上所述，對比3種異構性的實現方法可知，自然產生的異構性，在開發過程中通常會采用不同設計手段，因此其異構程度相對較大，但是利用自然異構的應用數量有限；隨機方法產生的異構性，因為并不能對隨機過程展開控制，因此無法預知其異構性表現；人為控制產生的異構性，通常會基于相同的構造方法實現進一步功能，因此其異構程度相對較小。

2.2 DHR Web服務軟件棧

根據DHR架構模型實現的Web服務采用層次化的設計方法，依據不同的功能定位選取相應的異構性實現方法，通過重構、重組等方法構成了異構的Web服務器軟件棧。DHR Web服務軟件棧主要包括應用層、存儲層、服務層、系統層等層次結構。如圖3所示，在應用層使用諸如Java、PHP或Python之類的高級編程語言定制應用程序業務邏輯；在服務層接收來自客戶端的HTTP請求，進行解析并將請求傳遞給相應的服務器端程序，如Apache、IIS和Nginx等；在存儲層用來存儲服務程序和用戶數據，包括數據應用接口和存儲的數據文件；在操作系統層為Web服務層和存儲層提供運行時環境，如Windows、Linux和Unix。

在DHR Web服務的軟件棧層次結構中，每一層都有可能遭受攻擊威脅。例如，攻擊者利用緩沖區溢出的攻擊方法對系統層進行攻擊，獲取系統應用權限；或者攻擊者通過利用應用層漏洞，在Web應用程序中上傳并執行惡意腳本，獲取用戶信息，通過進一步提升權限，獲得整個網站的管理特權；又或攻擊者通過利用存儲層漏洞，在Web應用程序中進行SQL注入攻擊，獲取存儲數據，通過進一步提升權限，獲得數據庫管理權限。因此，在DHR Web服務軟件棧中，通過使用異構Web容器設計方法，在系統的各個層次增加異構性成分，使得Web服務能夠更好地應對復雜多樣的攻擊手段，以增加攻擊者攻擊的復雜性和成本，阻斷攻擊威脅。

基于此，將多個層次的異構組件進行動態組合，形成異構的Web服務軟件棧 。對于不同層次組成元素失效率分別用λos、λds、λws、λal 來表示；Pos、Pds、Pws、Pal 依次表示圖3中操作系統層、假設失效在時間維度上可以看作是均勻的隨機事件且各層次失效概率為獨立事件，則有服務層、數據存儲層、應用邏輯層的失效概率為：

2.3 基于裁決的威脅感知方法

在Web威脅感知系統中Web威脅感知方法在保證系統中不缺失動態性、異構性和冗余性的前提下，比較異構的Web威脅感知容器的響應輸出結果，可得相對正確的響應輸出結果，從而達到屏蔽漏洞后門和感知攻擊威脅的目的。基于裁決的Web威脅感知方法更多地被視為一種響應比較的策略應用于DHR架構中。具體到不同的應用場景，實現方法會有一定的差異，常采用的裁決實現方法包括全體一致裁決、大數裁決算法、最大近似裁決、基于歷史信息的帶權裁決等。基于裁決的Web威脅感知方法如圖4所示。

基于裁決的Web威脅感知方法，在Web服務入口和出口處，增設了請求分發和響應比較模塊作為輸入和輸出代理。當請求到來時，分發器將請求復制為多份，分發至多個異構的Web容器中，響應裁決模塊通過收集比較多個響應的異同，得到唯一的響應輸出，同時判斷異常信息記錄到威脅感知日志當中，以此來獲得安全增益。

3 實驗分析

根據Web威脅感知系統的安全增益計算方法，討論在不同的DHR架構下安全增益的變化趨勢，如圖5所示。在圖5中，圖5（a）的趨勢圖為：當n=10固定不變時， k取n/2到n的安全增益變化曲線；圖5（b）的趨勢圖為：當n=40固定不變時， k取n/2到n的安全增益變化曲線；圖5（c）的趨勢圖為：當k/n=0.67固定不變、k增加時，系統的安全增益變化曲線；圖5（d）的趨勢圖為：當k/n=1固定不變、k增加時，系統的安全增益變化曲線。

通過對圖5進行對比分析可知，當n不變時，k越大則安全增益為正的失效概率范圍越大，安全增益的最值越高；當n增大時，安全增益為正的失效概率范圍不一定增大，但是安全增益的最值會提高；當k/n值不變時，安全增益為正的失效概率范圍基本保持不變，安全增益最值會提高；當k/n值不變時，安全增益為正的失效概率范圍基本會隨之增大，安全增益最值會提高。這說明了不同的DHR架構下，冗余程度n只會對威脅感知的上限產生影響，而裁決精度k/n則會對威脅感知容器的選取產生影響。

4 結束語

本文從DHR架構的防御特性和架構模型出發，闡述了DHR Web威脅感知的設計方法。在不同DHR架構下，分析Web威脅感知系統的安全增益，為DHR Web威脅感知技術的進一步研究和發展提供依據和參考。在未來，如何通過細粒度的異構性構造方法構造Web威脅感知容器，從而最大化提升DHR架構下的Web威脅感知系統的安全增益，將會成為DHR Web威脅感知技術發展的方向。

參考文獻

[1] CHERDANTSEVA Y， BURNAP P， BLYTH A， et al. A review of cyber security risk assessment methods for SCADA systems[J]. Computers & Security， 2016， 56（C）：1-27.

[2] 鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報， 2016， 1（4）：1-10.

[3] 鄔江興. 網絡空間擬態安全防御[J]. 保密科學技術， 2014（10）：4-9.

[4] 張錚， 馬博林， 鄔江興. web服務器擬態防御原理驗證系統測試與分析[J]. 信息安全學報， 2017， 2（1）：13-28.

[5] 仝青， 張錚， 張為華，等. 擬態防御web服務器設計與實現[J]. 軟件學報， 2017， 28（4）：883-897.

[6] HAN Jin， ZANG Binyu. Analyzing the effectiveness of software diversity for system security[J]. Computer Applications & Software， 2010，27（9）：273-275，300.

[7] 張宇嘉， 龐建民， 張錚，等. 基于軟件多樣化的擬態安全防御策略[J]. 計算機科學， 2018， 45（2）：215-221.

[8] LI Weichao， ZHANG Zheng， WANG Liqun. Improvement in diversify active defense for web application by using language and database heterogeneity[C]// International Conference on Anti-Counterfeiting， Security and Identification. Xiamen， China：IEEE， 2017：30- 35.

[9] 馬博林， 張錚， 劉健雄. 應用于動態異構web服務器的相似度求解方法[J]. 計算機工程與設計， 2018，39（1）：282-287.

[10]MA Bolin， ZHANG Zheng， ZHU Yongsheng. A formalization research on web server and scheduling strategy for heterogeneity[C]// Advanced Information Management， Communicates， Electronic and Automation Control Conference.Xi'an，China： IEEE， 2016：1447-1451.

[11]BIRMAN K， SCHNEIDER F B. Security risks from a software monoculture[R]. New York：Cornell University， 2008.

[12]HERSCHEL I F W. Report on Mr. Babbage's calculating engine[J]. Journal of the Franklin Institute， 1831，11（3）：210-213.

[13]BAUDRY B， MONPERRUS M. The multiple facets of software diversity[J]. Acm Computing Surveys， 2015， 48（1）：1-26.

[14]PENG Wei， LI Feng， HUANG C T， et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]// IEEE International Conference on Communications. Sydney， NSW， Australia：IEEE， 2014：804-809.

[15]LEW H L， DIKMEN S， Slimp J， et al. Organically assured and survivable information systems （OASIS） demonstration and validation program[J]. American Journal of Physical Medicine & Rehabilitation， 2003， 82（1）：53-61.

[16]VOAS J， GHOSH A， CHARRON F， et al. Reducing uncertainty [JP3]about common-mode failures[C]// Eighth International Symposium on Software Reliability Engineering. Albuquerque， NM：IEEE Computer Society， 1997：308.

[17]NADUNGODAGE C H， XIA Y， VAIDYA P S， et al. Online multi-dimensional regression analysis on concept-drifting data streams[J]. International Journal of Data Mining Modelling & Management， 2014， 6（3）：217.

[18]VOLCKAERT S， COPPENS B， De SUTTER B. Cloning your gadgets： Complete ROP attack immunity with multi-variant execution[J]. IEEE Transactions on Dependable & Secure Computing， 2016， 13（4）：437-450.

[19]GRUZENKIN D V， CHERNIGOVSKIY A S， TSAREV R Y. N-version software module requirements to grant the software execution fault-tolerance[C]// Computational Methods in Systems and Software. Cham：Springer， 2017：293-303.