动态异构冗余构造(Dynamic Heterogeneous Redundancy,DHR)是中国科学家
邬江兴院士发明的一种新型的广义鲁棒控制结构,是拟态防御的核心技术手段。基于该构造产生的内生安全效应,能有效抑制隐藏在系统内部的已知或未知漏洞后门、病毒木马等引起的安全威胁。
原理简述
动态异构冗余构造(DHR)建立在“相对正确公理”逻辑表达与闭环
鲁棒控制基础上,是一种基于策略裁决的闭环迭代式多维动态重构鲁棒控制结构。由功能等价的异构执行体以及输入出代理、采用迭代机制的策略裁决和反馈控制和调度器构成,其中输入代理用于分发外部的输入信号序列(非必要),输出代理与迭代(由多种表决算法构成的)裁决共同组成可归一化的判决界面,反馈控制与调度器的核心由一组预先设置的调度策略和智能学习算法组成,当收到判决器发现异常的信息后,反馈调度器被激活并指令相关部件作当前运行环境的更换、迁移、清洗、重组、重构等操作,这一过程是迭代执行的,直至判决器异常情况消失或发生频度低于某个设定的阈值为止。需要强调指出的是,DHR构造内的元素间均采用非交互方式的“单向联系机制”。
安全机制
DHR构造具有独特的“测不准”运行机制,能够抑制或管控异构执行体集合K中广义不确定扰动的影响,所形成“安全防御迷雾”,不论是自然因素导致的可靠性风险,还是人为蓄意行为导致的安全威胁,只要是以差模形态的表达均可以100%得到抑制,对于裁决环节有感的共模形态的表达也能控制在设计给定的阈值范围内。该构造及其运行机制是网络空间内生安全体制机制的核心内容之一,可以在不依赖关于攻击者的先验知识和行为特征信息,以及不依赖(但可以融合)附加型网络安全技术的情况下,独立应对基于目标对象软硬构件内生安全问题的广义不确定扰动。其内生安全功能建立在基于多模裁决和策略调度的编码结构纠错机制基础上,用编码信道理论可量化分析其安全性与可靠性。该结构如图1、2所示。
高可靠属性
DHR构造是一种
超高可靠性架构,其高可靠属性源于构造中的异构冗余技术。该领域的理论研究工作,主要集中在相异性的特征提取和比较及智能化的自动化识别方面,例如某种约束条件下的人脸、指纹等特征识别算法等;实践工作即非相似性工程实践,以美国波音公司开发基于
非相似余度架构(DRS)飞行控制仪堪称经典之作。其理论基础是依据“独立开发的系统发生共性设计缺陷导致共模故障情况的概率很低”的公知。为确保异构软硬件的独立设计和开发,波音公司采用了极为严格的工程和技术管理手段与方法,选拔教育背景、工程背景甚至文化背景不同的人员组成几个完全独立的研发团队,使用不同的开发语言,不同的开发工具,构建不同的处理环境,期望从管理和技术两个层面使各个余度功能体间的相异性尽可能的大,以达到尽力避免或抑制共模故障或失效发生的目的。典型实现案例波音B-777宽体客机如图3所示,这种构造的飞行控制器的可靠性是一流的,其失效概率低于10-11;采用同样方式设计的
F16战斗机的飞行控制器失效率也低于10-8。与此相对应的是,获得非凡效果的同时,这种开发模式的代价也是相当高昂的。
技术现状
理论上,异构元素间的非相似性越高上述效果就越好。然而,“世界上既没有完全相同的事情也没有完全相异的事物”,总是存在不同程度或意义上的相似度。工程上,相似度的高低会直接影响共模故障发生概率或共模逃逸概率。
实践中,DHR构造应用仍然未能解决的难题是:如何在给定一个功能的情况下,自动生成相异性足够大的多种算法或构造;反之,如何在众多的算法结构中识别出相同性的部分。不过,由于信息技术的
COTS级货架产品日益丰富,CPU器件、可编程
FPGA元件、软件定义硬件、操作系统、数据库、函数库、
中间件以及软
硬件开发工具等已形成多元化的生态环境,因此工程实现代价无论是开发成本还是异构冗余系统制造成本都得到极大地降低,技术与应用门槛的降低使得拟态构造的软硬件技术系统实现和超高可靠性应用需求不再与异构冗余代价强相关,为赋能信息领域及相关行业内生安全功能奠定了可靠的经济技术基础。
应用特点
1. 允许构造内的软硬件以差模形态或可感知共模形态存在的
设计缺陷或
漏洞以及病毒木马等。如下图4示
2. 允许使用可信性不能确保的
COTS级软硬构件,可以缓解网络空间“开放性与安全性、先进性与可信性、自主可控与安全可信”矛盾。
3. 该构造可以快捷、经济的增量模式升级改造现有信息系统、控制装置、服务设施或相关设备,如拟态防御基线1.0模式产品那样。
4. 不仅可以为新一代信息技术提供内生的安全功能,而且是一种相对传统非相似余度DRS构造具有全面优势的新一代超高可靠性技术。
5. 该构造与无线信道物理特征结合可以为无线通信提供内生安全功能。
6. 可以用于开发不依赖关于攻击者的任何先验知识且不需要在目标对象内部设置任何探针或机关的新型入侵检测设备开发,利用设备的运行日志和异常场景快照数据,可以检测安全态势、发现未知漏洞后门、捕获恶意攻击代码、溯源攻击者、为目标对象提供技术改进意见等。