動態異構冗餘構造(Dynamic Heterogeneous Redundancy,DHR)是中國科學家鄔江興院士發明的一種新型的廣義魯棒控制結構,是擬態防禦的核心技術手段。基於該構造產生的內生安全效應,能有效抑制隱藏在系統內部的已知或未知漏洞後門、病毒木馬等引起的安全威脅。
動態異構冗餘構造能夠為信息系統或控制裝置或相關設施提供三位一體的提供“高可靠、高可信、高可用”的使用性能,也可以作為一種普適性的使能技術用於各種軟硬體設備的基礎構造設計和集成創新套用中。
基本介紹
- 中文名: 動態異構冗餘構造
- 外文名:Dynamic Heterogeneous Redundancy,DHR
- 所屬學科:網路空間安全
- 特點:可靠性
原理簡述,安全機制,高可靠屬性,技術現狀,套用特點,
原理簡述
動態異構冗餘構造(DHR)建立在“相對正確公理”邏輯表達與閉環魯棒控制基礎上,是一種基於策略裁決的閉環疊代式多維動態重構魯棒控制結構。由功能等價的異構執行體以及輸入出代理、採用疊代機制的策略裁決和反饋控制和調度器構成,其中輸入代理用於分發外部的輸入信號序列(非必要),輸出代理與疊代(由多種表決算法構成的)裁決共同組成可歸一化的判決界面,反饋控制與調度器的核心由一組預先設定的調度策略和智慧型學習算法組成,當收到判決器發現異常的信息後,反饋調度器被激活並指令相關部件作當前運行環境的更換、遷移、清洗、重組、重構等操作,這一過程是疊代執行的,直至判決器異常情況消失或發生頻度低於某個設定的閾值為止。需要強調指出的是,DHR構造內的元素間均採用非互動方式的“單向聯繫機制”。
DHR典型構造圖
安全機制
DHR構造具有獨特的“測不準”運行機制,能夠抑制或管控異構執行體集合K中廣義不確定擾動的影響,所形成“安全防禦迷霧”,不論是自然因素導致的可靠性風險,還是人為蓄意行為導致的安全威脅,只要是以差模形態的表達均可以100%得到抑制,對於裁決環節有感的共模形態的表達也能控制在設計給定的閾值範圍內。該構造及其運行機制是網路空間內生安全體制機制的核心內容之一,可以在不依賴關於攻擊者的先驗知識和行為特徵信息,以及不依賴(但可以融合)附加型網路安全技術的情況下,獨立應對基於目標對象軟硬構件內生安全問題的廣義不確定擾動。其內生安全功能建立在基於多模裁決和策略調度的編碼結構糾錯機制基礎上,用編碼信道理論可量化分析其安全性與可靠性。該結構如圖1、2所示。
圖1 動態異構冗餘構造內生安全機制可視化表達-1
高可靠屬性
DHR構造是一種超高可靠性架構,其高可靠屬性源於構造中的異構冗餘技術。該領域的理論研究工作,主要集中在相異性的特徵提取和比較及智慧型化的自動化識別方面,例如某種約束條件下的人臉、指紋等特徵識別算法等;實踐工作即非相似性工程實踐,以美國波音公司開發基於非相似余度架構(DRS)飛行控制儀堪稱經典之作。其理論基礎是依據“獨立開發的系統發生共性設計缺陷導致共模故障情況的機率很低”的公知。為確保異構軟硬體的獨立設計和開發,波音公司採用了極為嚴格的工程和技術管理手段與方法,選拔教育背景、工程背景甚至文化背景不同的人員組成幾個完全獨立的研發團隊,使用不同的開發語言,不同的開發工具尋戒,構建不同的處理環境,期望從管理和技術兩個層面使各個余度功能體間的相異性儘可能的大,以達到盡力避免或抑制共模故障或失效發生的目的。典型實現案例波音B-777寬體客機如圖3所示,這種構造的飛行控制器的可靠性是一流的,其失效機率低於10;採用同漿束阿樣方式設計的F16戰鬥機的飛行控制器失效率也低於10。與此相對應的是,獲得非凡效果的同時,這種開發模式的代價也是相當高昂的。
圖3 波音B-777飛行控制器構造
技術現狀
理論上,異構元素間的非相似性越高上述效果就越好。然而,“世界上既沒有完全相同的事情也沒有完全相異的事物”,總是存在不同程度或意義上的相似度。工程上,相似度的高低會直接影響共模故障發生機率或共模逃逸機率。
實踐中,DHR構造套用仍然未能解決的難題是:如何在給定一個功能的情況下,自動生成相異性足夠大的多種算法或構造;反之,如何在眾多的算法結構凝悼朵中識別出相同性的部分。不過,由於信息技術的COTS級貨架產品日益豐富,CPU器件、可程式FPGA元件滲尋婆歡、軟體定義硬體、作業系統、資料庫、函式館、中間件以及軟硬體開發工具等已形成多元化的生少擊巴態環境,因此工程實現代價無論是開發成本還是異構冗餘系統製造成本都得到極大地降低,技術與套用門檻的降低使得擬態構造的軟硬體技術系統實現和超高可靠性套用需求不再與異構冗餘代價強相關,為賦能信息領域及相關行業內生安全功能奠定了可靠的經濟技術基礎。
套用特點
圖4 DHR構造能夠允許的攻擊情況
2. 允許使用可信性不能確保的COTS級軟硬構件,可以緩解網路空間“開放性與安全性、先進性與可信性、自主可控與安全可信”矛盾。
3. 該構造可以快捷、經濟的增量模式升級改造現有信息系統、控制裝置、服務設施或相關設備,如擬態防禦基線1.0模式產品那樣。
4. 不僅可以為新一代信息技術提供內生的安全功能,而且是一種相對傳統非相似余度DRS構造具有全辨剃盼頌面優勢的新一代超高可靠性技術。
5. 該構造與無店棄多線信道物理特徵結合可以為無線通信提供內生安全功能。
6. 可以用於開發不依賴關於攻擊者的任何先驗知識且不需要在目標對象內部設定任何探針或機關的新型入侵檢測設備開發,利用設備的運行日誌和異常場景快照數據,可以檢測安全態勢、發現未知漏洞後門、捕獲惡意攻擊代碼、溯源攻擊者、為目標對象提供技術改進意見等。
技術現狀
理論上,異構元素間的非相似性越高上述效果就越好。然而,“世界上既沒有完全相同的事情也沒有完全相異的事物”,總是存在不同程度或意義上的相似度。工程上,相似度的高低會直接影響共模故障發生機率或共模逃逸機率。
實踐中,DHR構造套用仍然未能解決的難題是:如何在給定一個功能的情況下,自動生成相異性足夠大的多種算法或構造;反之,如何在眾多的算法結構中識別出相同性的部分。不過,由於信息技術的COTS級貨架產品日益豐富,CPU器件、可程式FPGA元件、軟體定義硬體、作業系統、資料庫、函式館、中間件以及軟硬體開發工具等已形成多元化的生態環境,因此工程實現代價無論是開發成本還是異構冗餘系統製造成本都得到極大地降低,技術與套用門檻的降低使得擬態構造的軟硬體技術系統實現和超高可靠性套用需求不再與異構冗餘代價強相關,為賦能信息領域及相關行業內生安全功能奠定了可靠的經濟技術基礎。
套用特點
圖4 DHR構造能夠允許的攻擊情況
2. 允許使用可信性不能確保的COTS級軟硬構件,可以緩解網路空間“開放性與安全性、先進性與可信性、自主可控與安全可信”矛盾。
3. 該構造可以快捷、經濟的增量模式升級改造現有信息系統、控制裝置、服務設施或相關設備,如擬態防禦基線1.0模式產品那樣。
4. 不僅可以為新一代信息技術提供內生的安全功能,而且是一種相對傳統非相似余度DRS構造具有全面優勢的新一代超高可靠性技術。
5. 該構造與無線信道物理特徵結合可以為無線通信提供內生安全功能。
6. 可以用於開發不依賴關於攻擊者的任何先驗知識且不需要在目標對象內部設定任何探針或機關的新型入侵檢測設備開發,利用設備的運行日誌和異常場景快照數據,可以檢測安全態勢、發現未知漏洞後門、捕獲惡意攻擊代碼、溯源攻擊者、為目標對象提供技術改進意見等。
