多模裁決

   多模裁決(Multimode Ruling，MR)，是一種由一組判決算法的逐次運用而形成的疊代裁決方式。例如擇多判決的多數或少數結果，通常存在疊加態的意義，多數和少數只是一種機率表達，當缺乏第三方意見或某些先驗性知識的情況下，常常難以給出肯定或否定的結論。擬態裁決就是用多種表決策略和輔助決策參數的結果權重的再表決，當輔助決策參數中包含過往表決結果的因素時，擬態裁決就具有了時空反饋的意義。

1.   使用一組多元化的表決算法和輔助參數；

2.   輔助參數與表決對象的歷史統計數據和驗證過的經驗強相關；

3.   裁決操作通常是一個具有反饋性質的疊代過程；

4.   裁決算法和裁決操作具有視在的隱匿性。

網路空間擬態防禦（CMD）將多模裁決稱之為“擬態裁決”（Mimic Ruling，MR），目的是要使裁決算法相對攻擊者具有隱匿性，防止利用公開算法的脆弱性實施“隧道穿越”或藉助“系統指紋”問題實現逃逸。

對於一個I【P】O數字系統，當關於P的功能集合P_(i_1 )=P_(i_2 ), i_1,i_2∈{1,2⋯i}保持不變情況下，理論上，變化輸入激勵信息和序列關係可以在輸出端得到關於P的全部回響信息，我們稱之為系統指紋(System-Fingprint，ST)，包括正常回響、異常回響、時延和狀態等信息，以及關於這些信息之間的時間和邏輯的關聯性認知。隧道穿越(Tunnel-Through，TT)是指，假定攻擊者通過運行已植入動態異構冗餘構造（DHR）、非相似余度架構（DRS）等功能等價冗餘結構內部的惡意代碼獲得了某一冗餘部件A_i中的敏感信息S，或者冗餘部件的控制許可權，再調製A_i輸出矢量的回響時延或者輸出矢量的正常與異常狀態等，在不改變輸出矢量任何信息比特或輸入/輸出合規回響情況下，利用擇多表決算法的一致性要求和允許的視窗時間將敏感信息S，通過A_i輸出矢量時延或狀態的變化影響表決器的輸出回響時間或結果，從而使敏感信息S藉助I【P】O機制隧道穿越到表決器外部。例如，一個有A₁、A₂、A₃三個異構冗餘部件的DRS系統，如果攻擊者測出系統正常輸出回響時延範圍在5ms左右，並通過A_i中植入的木馬程式檢測到表決器的時間視窗為30ms左右。於是，如果約定從表決器外側接收到回響時延為20ms的輸出矢量時代表比特“1”，而接收到5ms回響時延的輸出矢量時代表比特“0”，則以隧道穿越形式傳送一個長度為M個比特的敏感信息S最多只需要M+n次(n可能包括同步和校驗所需的信息位)請求回響。此時，即使當前運行環境內只有執行體A_i被控，只要採用的是嚴格一致的表決策略且假定其他冗餘體都工作正常，則A_i中的病毒木馬僅靠自身能力就可以達成調控表決器工作狀態的目的。同理，如果除A_i外的其他冗餘體都處於正常的工作狀態，則A_i中的病毒木馬只要能控制Ai輸出矢量的正常與否，也可以將敏感信息S通過M+n次請求-回響而穿過表決器。例如，攻擊者設定，凡是在傳送S中為“1”的比特位時就讓A_i輸出非正常的矢量信息導致表決器無輸出，而當比特位為“0”時就讓A_i正常回響，此時假如其他冗餘體也有完全相同的輸出，則從表決器外側就能夠獲得正常的輸出矢量。這樣，只要經過M+n次請求-回響就能根據表決器輸出狀態將敏感信息S“解調”出來。儘管這種類似“邊信道攻擊”的方式（也稱側信道攻擊）不適用於傳送大量信息的場合，但是對於隱蔽傳送諸如口令字、密鑰之類敏感信息已足夠用了。需要特彆強調的是，上述隧道穿越舉例中的後一種情況是DRS架構固有的安全缺陷，且屬於可復現問題。而前一種情況則是一種特殊形態的側信道攻擊，僅僅依靠多模輸出矢量擇多表決策略難以達成自然免疫目的。基於多模裁決的擬態裁決則可有效的規避或防止這兩種風險。