基于擬態(tài)防御的多接入邊緣計算服務(wù)器異構(gòu)性量化方法

岳陽陽 付 雄 鄧 松

(南京郵電大學(xué)計算機學(xué)院 江蘇 南京 210023)

0 引 言

邊緣計算(Edge Computing,EC)是指在網(wǎng)絡(luò)邊緣側(cè)的分布式云計算平臺,更加靠近用戶終端,多接入邊緣計算(Multi-access Edge Computing,MEC)[1]作為云計算和邊緣計算的補充,擴展了邊緣計算的定義和應(yīng)用,使其在網(wǎng)絡(luò)邊緣節(jié)點提供各類信息技術(shù)業(yè)務(wù),能夠同時為移動用戶和固定用戶提供邊緣計算服務(wù),將計算任務(wù)和數(shù)據(jù)遷移至MEC節(jié)點進行處理,從而有效節(jié)約了傳送至遠程數(shù)據(jù)中心的帶寬。現(xiàn)如今,MEC服務(wù)器在安全性性上存在三個特點:(1) 應(yīng)用的軟硬件種類繁多,大部分軟硬件具有無法預(yù)知的安全漏洞;(2) 網(wǎng)絡(luò)結(jié)構(gòu)和端口主要采用靜態(tài)配置,攻擊者持續(xù)攻擊使得系統(tǒng)的安全性隨時間增長而下降;(3) 服務(wù)器采用的防御技術(shù)主要為被動防御,無法應(yīng)對未知的漏洞威脅。因此,“動態(tài)防御”成為網(wǎng)絡(luò)安全領(lǐng)域的主要研究問題[2]。

為了解決安全問題,相關(guān)領(lǐng)域的研究者提出了多種防御思想,其中包括傳統(tǒng)的被動防御,比如早期的防火墻對一些特定的攻擊行為具有一定的抵御性,但存在被繞過防御的可能性,防御力較低。入侵檢測[3]系統(tǒng)是一種較為主流的防御系統(tǒng),但其對攻擊行為存在一定的誤報性,且對攻擊源存在滯后性,只能防御一些已知攻擊,面對未知的新型攻擊束手無策,這些防御系統(tǒng)均是被動的,無法主動對未知攻擊做出反應(yīng)。

基于此,主動防御技術(shù)[4]成為了研究焦點,擬態(tài)防御是國內(nèi)研究者鄔江興院士提出的一種主動防御方法[5],借鑒結(jié)合了移動目標(biāo)防御[6]和非相似度冗余構(gòu)造的防御機理,利用動態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy,DHR)特性,增強了系統(tǒng)的安全性[7]。擬態(tài)防御思想已被應(yīng)用于多種網(wǎng)絡(luò)設(shè)備及軟件設(shè)計中,為系統(tǒng)提供內(nèi)生的安全防護性能。文獻[8]在軟件多樣化的基礎(chǔ)上,與擬態(tài)防御相結(jié)合,提高了軟件安全性。文獻[9]研究了“數(shù)據(jù)多樣性”機制,并定義了大量的SQL重寫規(guī)則,將客戶機發(fā)送的語句轉(zhuǎn)換為另一個邏輯上等價的語句,提高了數(shù)據(jù)庫的安全性。文獻[10-11]利用基于DHR的擬態(tài)防御模型構(gòu)建了擬態(tài)防御Web服務(wù)器,分析了該方案的可行性,并在測試中表明其有效提高了安全性。文獻[12]研究了可靠性優(yōu)化問題,提出了一種新的改進的多樣性保存和約束處理方法,指出了冗余分配的重要性。文獻[13]在DNS中引入了擬態(tài)防御技術(shù),提出了一種有效的安全策略,具有重要的指導(dǎo)意義。文獻[14]構(gòu)建了路由器擬態(tài)防御原理驗證系統(tǒng),改變了漏洞所呈現(xiàn)性質(zhì),擾亂了攻擊者對于漏洞的鎖定和攻擊鏈路的順通,大幅增加了系統(tǒng)漏洞的可利用難度。擬態(tài)防御技術(shù)在工程實踐上驗證了其有效性,主要在于其執(zhí)行體的異構(gòu)冗余特性,但是其異構(gòu)型難以量化評估,使其在能夠帶來多少安全增益等方面存在爭議。

傳統(tǒng)的度量算法大多是基于空間距離定義的,適用于低維度空間,在高維度空間沒有意義[15]。基于擬態(tài)防御的MEC服務(wù)器屬性特征維度較高,因此該方法不適用。文獻[16]采用近似熵來量化系統(tǒng)的復(fù)雜性,但是不適用于一致性較低的情況。在機器學(xué)習(xí)和數(shù)據(jù)挖掘領(lǐng)域,常用的量化差異性或相似性方法為數(shù)據(jù)挖掘中的聚類算法。文獻[17-18]運用交叉熵和余弦相似度等方法,計算聚類之間的相似性。文獻[19]采用多種方法量化聚類的差異性,并通過實驗分析了多種方法在不同的平均成員聚類準(zhǔn)確度、不同的集體大小和不同的數(shù)據(jù)分布情況下與各種聚類集成算法性能之間的關(guān)系。量化聚類的算法只適用于數(shù)據(jù)規(guī)模較大的場景,而在MEC服務(wù)器場景下,執(zhí)行體的數(shù)量較少,因此并不適用。

本文提出一種基于樹層次模型的異構(gòu)性量化算法,主要有兩部分組成,第一部分是對功能相同的構(gòu)件集的復(fù)雜性量化,通過生物上的多樣性方法來計算復(fù)雜性指數(shù)計算;第二部分是對執(zhí)行體集間差異性的量化,對執(zhí)行體的特征元素進行分層次處理,不同的特征具有大小不同的比重,從而計算其差異性指數(shù)。最后得到執(zhí)行體集的異構(gòu)性指數(shù)。實驗測試表明,該方法在準(zhǔn)確度上優(yōu)于傳統(tǒng)的生物上的多樣性量化方法,更合理并且適用于本文所提出的多接入邊緣計算應(yīng)用場景。

1 MEC系統(tǒng)架構(gòu)

1.1 系統(tǒng)架構(gòu)與工作流程

本文采用擬態(tài)防御作為基礎(chǔ),設(shè)計了基于擬態(tài)防御的MEC服務(wù)器架構(gòu),系統(tǒng)架構(gòu)主要基于擬態(tài)防御中的DHR理念,DHR作為擬態(tài)防御的核心理念,主要是為安全防御目標(biāo)系統(tǒng)引入多個功能等價的異構(gòu)執(zhí)行體,并使用動態(tài)的調(diào)度策略,在系統(tǒng)中加入冗余,使靜態(tài)系統(tǒng)在功能上和執(zhí)行模式等方面轉(zhuǎn)變?yōu)閯討B(tài)的、難以識別的,從而擾亂攻擊者。DHR可以為系統(tǒng)帶來內(nèi)生的安全防護,并且可以和靜態(tài)防御措施協(xié)同防御,從而大幅提高系統(tǒng)的安全性。

MEC系統(tǒng)架構(gòu)如圖1所示,待處理的數(shù)據(jù)源由數(shù)據(jù)采集器收集,然后交由轉(zhuǎn)發(fā)代理設(shè)備進行數(shù)據(jù)的分割、校驗和轉(zhuǎn)發(fā)處理,數(shù)據(jù)經(jīng)過處理后,交由MEC服務(wù)器執(zhí)行體集進行數(shù)據(jù)的處理,當(dāng)數(shù)據(jù)處理完后交由接受代理進行表決校驗分析,然后將正確結(jié)果返回給數(shù)據(jù)接收方,對于產(chǎn)生錯誤信息的服務(wù)器,動態(tài)選擇算法會根據(jù)表決校驗機制的反饋將其進行替換,然后對其進行重置、清洗等手段進行恢復(fù)并加入到MEC異構(gòu)池中,等待下一次被調(diào)用。

圖1 MEC架構(gòu)

基于擬態(tài)防御的MEC架構(gòu)的基礎(chǔ)是異構(gòu)性,執(zhí)行體之間差異越大,具有相同漏洞的概率越低。異構(gòu)層面越多,則系統(tǒng)的異構(gòu)性越強,相同漏洞越少,抵御攻擊的能力越強。執(zhí)行體集的多樣性可以增加系統(tǒng)的異構(gòu)性,比如服務(wù)器軟件的多樣性、數(shù)據(jù)庫的多樣性等都可以增加系統(tǒng)的異構(gòu)性。

1.2 系統(tǒng)安全性分析

基于擬態(tài)防御的MEC架構(gòu)中,對于輸入操作,通過異構(gòu)執(zhí)行體集處理后再經(jīng)由表決校驗機制進行輸出。基于DHR理念,系統(tǒng)不僅可以抵御已知的攻擊,還可以抵御未知的攻擊,使系統(tǒng)具有較強的容侵能力,由于異構(gòu)特性,攻擊只能在部分執(zhí)行體上成功,而對于其他的執(zhí)行體則失效,通過表決校驗機制,識別各執(zhí)行體所產(chǎn)生的相異結(jié)果,輸出相對正確的結(jié)果。而提高結(jié)果正確性的根本就在于提高系統(tǒng)的異構(gòu)性,異構(gòu)程度越高,則被入侵的執(zhí)行體越少,產(chǎn)生錯誤輸出的執(zhí)行體數(shù)量也就越少,表決校驗輸出正確結(jié)果的概率也就越高。本文重點不在于表決校驗機制,因此提到的表決檢驗機制采用多數(shù)一致算法。

異構(gòu)性的實現(xiàn)本質(zhì)在于系統(tǒng)軟硬件的多樣性,軟硬件差距越大,相似性越低。兩個系統(tǒng)的軟件差異越大,存在共生漏洞的可能性就越低,相同攻擊所造成的影響也就越低[20]。

(1) 面對同構(gòu)系統(tǒng),即執(zhí)行體集中所有的執(zhí)行體完全相同,所有執(zhí)行體具有相同的漏洞,若針對該漏洞進行攻擊,則對所有執(zhí)行體攻擊成功,表決校驗機制失效,出現(xiàn)共模逃逸,輸出為錯誤結(jié)果。

(2) 面對理想的基于擬態(tài)防御的系統(tǒng),各執(zhí)行體之間具有不同的漏洞,針對某一漏洞攻擊,只能影響一個執(zhí)行體,表決校驗機制能夠檢測識別錯誤的執(zhí)行體輸出結(jié)果,表決檢驗機制可以產(chǎn)生正確結(jié)果。

(3) 面對真實的基于擬態(tài)防御的系統(tǒng),執(zhí)行體之間存在相同漏洞,但又不是每個執(zhí)行體都存在同一漏洞,面對針對某一漏洞或多個漏洞的攻擊,會導(dǎo)致部分執(zhí)行體產(chǎn)生錯誤輸出,但漏洞的觸發(fā)機制會受執(zhí)行體的軟硬件因素影響,未必會產(chǎn)生一致的錯誤輸出,表決檢驗機制同樣檢測識別不一致輸出。但當(dāng)系統(tǒng)的差異性過小,存在相同漏洞的執(zhí)行體過多時,會出現(xiàn)共模逃逸,表決校驗機制也會失效。

綜上所述,相較于同構(gòu)系統(tǒng),基于擬態(tài)防御的系統(tǒng)的異構(gòu)冗余架構(gòu)雖然無法完全避免共模逃逸,但大幅提高了產(chǎn)生錯誤輸出的可能。面對真實的基于擬態(tài)防御的系統(tǒng),雖然無法做到完全異構(gòu),但可以盡可能地提高其異構(gòu)性,從而提高系統(tǒng)的安全性。因此,量化基于擬態(tài)防御的系統(tǒng)的異構(gòu)性就變成了衡量系統(tǒng)安全性的重要指標(biāo),而基于擬態(tài)防御的系統(tǒng)的異構(gòu)性主要在于執(zhí)行體集的異構(gòu)性,因此本文將對執(zhí)行體集的異構(gòu)性進行量化評估。

2 異構(gòu)性量化

2.1 異構(gòu)性定義

基于擬態(tài)防御的MEC服務(wù)器通過異構(gòu)性保證了系統(tǒng)的安全性,大幅提高了抵御攻擊的能力。然而對于系統(tǒng)的異構(gòu)性缺乏一個統(tǒng)一的定義。首先,可以類比生物多樣性的高低,異構(gòu)系統(tǒng)也是如此,系統(tǒng)里的執(zhí)行體集越復(fù)雜,越不容易受到相同攻擊。其次,對于類型相似的執(zhí)行體,還要考慮軟件上的細微差異,兩個執(zhí)行體之間軟件越不相同,存在相同漏洞的可能性就越低。

Twu等[21]將異構(gòu)性定義為兩個特征,復(fù)雜性和差異性,并解釋了該定義的有效性和合理性,同時該定義適用于本文關(guān)于基于擬態(tài)防御的MEC服務(wù)器的異構(gòu)型定義。如圖2所示,集合a和b元素種類較為單一,只有圓形,沒有復(fù)雜性,其中b具有一定的差異性;集合c和d既有圓形也有方形,具有較強的復(fù)雜性,d同時具有較強的差異性。定義本文構(gòu)造的MEC服務(wù)器執(zhí)行體集的異構(gòu)性為H,復(fù)雜性為C,差異性為D,關(guān)系如下[22]:

圖2 異構(gòu)性描述

H=C×D

(1)

2.2 執(zhí)行體集描述

定義1執(zhí)行體集合:基于擬態(tài)防御的MEC服務(wù)器的執(zhí)行體集和為S={s1,s2,…,sn}。

定義2系統(tǒng)構(gòu)件集合:基于擬態(tài)防御的MEC服務(wù)器的所有執(zhí)行體的一類功能等價的硬件或軟件構(gòu)件集合Mk={mk1,mk2,…,mkn},中任意兩個元素功能是等價的。

定義3執(zhí)行體的特征向量:基于擬態(tài)防御的MEC服務(wù)器的執(zhí)行體的特征向量為CVk=(ci1,ci2,…,cin),cij為執(zhí)行體的第j個特征值,n為執(zhí)行體的特征數(shù)量。例如特征向量(X86,Ubuntu 18.04,Apache 2.4,Oracle 11g)可以表示為(1,2,1,2),X86屬于處理器構(gòu)件集,Ubuntu 18.04屬于操作系統(tǒng)構(gòu)件集,Apache 2.4屬于Web服務(wù)器構(gòu)件集,Oracle 11g屬于數(shù)據(jù)庫構(gòu)件集。數(shù)字代表每種構(gòu)件在其所屬構(gòu)件集的編號。

定義4執(zhí)行體集的特征矩陣:基于擬態(tài)防御的MEC服務(wù)器的執(zhí)行體集的特征矩陣為:

其中列向量表示一類功能等價的構(gòu)件集,行向量表示某執(zhí)行體的特征向量。使用“單位”樣式。

2.3 復(fù)雜性量化

本文采用生物學(xué)上的物種多樣性方法來量化復(fù)雜性,采用的是Shannon-Wiener指數(shù),構(gòu)件集的復(fù)雜性計算公式如下:

(2)

式中:a為構(gòu)件集Mk所有構(gòu)件的種類數(shù),pi為第i種構(gòu)件在構(gòu)件集Mk所占的比例,其中ni為第i種構(gòu)件的個體數(shù),N為構(gòu)件集Mk內(nèi)的構(gòu)件數(shù)。執(zhí)行體集S的復(fù)雜性為所有構(gòu)件集的復(fù)雜性之和,計算公式如下:

(3)

式中:m為構(gòu)件集的數(shù)量。

2.4 差異性量化

對于執(zhí)行體集的量化基于一種樹層次模型來衡量,該模型如圖3-圖4所示。將執(zhí)行體集的特征進行分層處理,處于最高層級的特征具有最大的權(quán)值,表示在最高層級的特征對差異性有最強的影響,從上到下權(quán)值依次減小,影響依次減弱。本文的特征影響從硬件層到軟件層依次減小,計算機越靠近底層的層面差異越大,則兩者之間所造成的差異會越大。在每一層級內(nèi),又會進行細分,按類目大到小分類,權(quán)值依次遞減,可以自行調(diào)整分類層級,例如同為數(shù)據(jù)庫軟件,非關(guān)系型數(shù)據(jù)庫和關(guān)系型數(shù)據(jù)庫差異較大,可以列為分類1,關(guān)系型數(shù)據(jù)庫MySQL和Oracle差異變小,可以列為分類2,MySQL5.6和MySQL5.7差異更小,可以列為分類3,權(quán)值可以按照其構(gòu)件種類的豐富程度適當(dāng)增加。

圖3 樹層次模型

圖4 子節(jié)點層次模型

執(zhí)行體之間的差異性計算公式如下:

(4)

fk(A,B)=v(l)l=mk(A,B)

(5)

式中:n為層級數(shù);w是相應(yīng)層級的權(quán)值,如w(A,k)為執(zhí)行體A在第k層特征的權(quán)值,w(B,k)為執(zhí)行體B在第k層的權(quán)值;m為兩個執(zhí)行體之間產(chǎn)生差異的層級編號,如m(A,B)表示執(zhí)行體A和執(zhí)行體B在層次特征中第一個差異的編號。fk為執(zhí)行體A和執(zhí)行體B在第k層內(nèi)的差異,v是層級內(nèi)各分類的影響值,如v(l)為第l層的影響值,本文默認(rèn)v最大為1,最小為0.5。

最后,將每一個執(zhí)行體與執(zhí)行體集的其他執(zhí)行體比較計算差異度,并將所得到的差異度指標(biāo)求平均值作為該執(zhí)行體與執(zhí)行體集整體的差異度指標(biāo),然后對執(zhí)行體集的所有執(zhí)行體的該差異度指標(biāo)進行求和,得到執(zhí)行體集總的差異度如下:

(6)

式中:ns為執(zhí)行體集中執(zhí)行體的數(shù)量;nm為構(gòu)件集的數(shù)量,即樹模型的層級數(shù)。

2.5 異構(gòu)性量化算法

算法基于樹層次模型的異構(gòu)性量化算法(Tree-Level algorithm)

輸入:構(gòu)件集M,執(zhí)行體的特征矩陣CM。

輸出:異構(gòu)性指數(shù)H。

1.fori=1 Tok

2.forj=1 ToMk.length

3.Ck+=pj*ln(pj)

4.C+=(-Ck)

5.fori=1 Tons

6.forj=1 Tons

7.fork=m(i,j) Tonm

8.diff(i,j)=w(i,k)*w(j,k)*fk(i,j)

9.diffi+=diff(i,j)

10.D+=1/ns*diffi

11.H=C*D

12.returnH

3 實驗及結(jié)果分析

實驗部分選取的執(zhí)行體均包含四個特征,按照樹層次模型從上到下分別是處理器架構(gòu)、操作系統(tǒng)、服務(wù)器軟件和數(shù)據(jù)庫軟件,樹層次模型的權(quán)值從上到下默認(rèn)依次為1、0.8、0.6、0.5。子節(jié)點層次模型的權(quán)值默認(rèn)依次為1、0.8、0.6,可根據(jù)分類的多少進行適當(dāng)調(diào)節(jié)。

3.1 執(zhí)行體集的冗余度選擇

對于執(zhí)行體集中冗余度的選擇,當(dāng)構(gòu)件種類數(shù)m小于等于執(zhí)行體集中執(zhí)行體數(shù)量N時,根據(jù)式(1)、式(3)、式(6)得執(zhí)行體集中執(zhí)行體數(shù)量和最大異構(gòu)性指數(shù)的關(guān)系如圖5所示。可以得出,當(dāng)m≤N時,最大異構(gòu)性指數(shù)并不會隨著執(zhí)行體集中執(zhí)行體數(shù)量的增加而增加。理論上,執(zhí)行體集中含有2個完全異構(gòu)的執(zhí)行體就能實現(xiàn)容錯,當(dāng)含有3個完全一樣的執(zhí)行體時可以實現(xiàn)入侵檢測[23]。因此本文選取的每個執(zhí)行體集含有3個執(zhí)行體。

圖5 最大異構(gòu)性指數(shù)變化

3.2 異構(gòu)性的最大變化

我們選取3組數(shù)據(jù),每組均含有4個執(zhí)行體集,每組執(zhí)行體集復(fù)雜性相同。組1中,4個執(zhí)行體集分別只在第一層、第二層、第三層和第四層產(chǎn)生差異,且均在層內(nèi)的“分類1”層級產(chǎn)生差異;組2中,第一個執(zhí)行體集在全部四層都產(chǎn)生差異,第二個執(zhí)行體集在后三層都產(chǎn)生差異,第三個執(zhí)行體集在后兩層都產(chǎn)生差異,第四個執(zhí)行體集只在第四層產(chǎn)生差異,四個執(zhí)行體集均在層內(nèi)的“分類1”層級產(chǎn)生差異;組3中,4個執(zhí)行體集均在全部四層產(chǎn)生差異,且后三層均在“分類1”產(chǎn)生差異,第一個執(zhí)行體集在第一層的“分類1”層級產(chǎn)生差異,第二個執(zhí)行體集在第一層的“分類2”層級產(chǎn)生差異,第三個執(zhí)行體集在第一層的“分類3”層級產(chǎn)生差異,第四個執(zhí)行體集在第一層的“分類4”層級產(chǎn)生差異。

根據(jù)式(3)可得這3組數(shù)據(jù)中執(zhí)行體集的復(fù)雜度相同,根據(jù)式(6)得差異性比較如圖6所示。當(dāng)執(zhí)行體集的復(fù)雜性相同時,異構(gòu)性的大小就由執(zhí)行體集的差異性決定,差異性的大小由執(zhí)行體間產(chǎn)生差異的層級數(shù)和層級內(nèi)的分類等級決定,越在高層和層內(nèi)的高分類層級產(chǎn)生差異,差異性就越大,異構(gòu)性也就越大。

圖6 差異性指數(shù)變化

3.3 異構(gòu)性對比

我們選取8組不同的MEC異構(gòu)服務(wù)器執(zhí)行體集,CPU架構(gòu)均采用X86,操作系統(tǒng)、服務(wù)器軟件和數(shù)據(jù)庫均采用不同的軟件,如表1所示。根據(jù)式(1)、式(3)、式(6)計算,8組數(shù)據(jù)理論上異構(gòu)性越來越低。我們和Margalef指數(shù)、Shannon-Wiener指數(shù)和Simpson指數(shù)對比,異構(gòu)性量化結(jié)果如圖7所示。

表1 執(zhí)行體集

圖7 異構(gòu)性量化結(jié)果對比

可以看出本文提出的Tree-Level算法可以有效區(qū)分和量化執(zhí)行體集的異構(gòu)性,而其他三種算法對于異構(gòu)性的度量效果類似,只能將8組數(shù)據(jù)分為3類,區(qū)分度不足,無法準(zhǔn)確量化異構(gòu)性大小。

4 結(jié) 語

本文針對擬態(tài)構(gòu)造的MEC服務(wù)器中的異構(gòu)性難以量化的問題,將執(zhí)行體集的異構(gòu)性分解兩部分計算,即復(fù)雜性和差異性,引入Shannon-Wiener指數(shù)和樹層次模型來量化執(zhí)行體集的異構(gòu)性,在此基礎(chǔ)上,分析了影響異構(gòu)性的因素。與其他量化異構(gòu)性的方法相比,該方法更加適用于本文提出的架構(gòu)模型,效果更好。

下一步將對本文提出的異構(gòu)特征元素的權(quán)重進行進一步細化,從軟件同源的角度完善異構(gòu)性的量化。另一方面,反饋調(diào)節(jié)機制也是擬態(tài)防御系統(tǒng)架構(gòu)的重點之一,在本文異構(gòu)性量化的基礎(chǔ)上,將對異構(gòu)執(zhí)行體的動態(tài)調(diào)度算法進行分析和改進。