CN110519220A - 基于漏洞一致率的网络空间拟态防御安全性建模量化方法 - Google Patents

Abstract

本发明提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法。该方法包括：步骤1：确定影响DHR系统安全性的防御参数信息；步骤2：确定影响攻击者能力的攻击参数信息；步骤3：建立关于所述防御参数信息和所述攻击参数信息的DHR系统模型；步骤4：推导关于所述防御参数信息和所述攻击参数信息的DHR系统安全性度量指标，所述度量指标包括：一次攻击的系统攻击成功率和攻击任务的系统攻击成功率；步骤5：根据所述DHR系统模型、一次攻击的系统攻击成功率和攻击任务的系统攻击成功率，计算DHR系统针对特定漏洞的系统攻击成功率和DHR系统针对漏洞组合的系统攻击成功率。针对DHR系统建立了数学模型，以输出一致率、系统攻击成功率等指标表征系统的安全性，通过对模型的求解分析了DHR系统的安全性和抗攻击能力。

Description

基于漏洞一致率的网络空间拟态防御安全性建模量化方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于漏洞一致率的网络空间拟态防御的安全性建模量化方法。

背景技术

漏洞和后门问题是网络攻击中最严重的问题之一。漏洞通常是指，在硬件、软件或协议等的具体实现或系统安全策略上存在的缺陷，从而使攻击者有可能在未经授权下访问或破坏系统。软硬件后门通常是指留在软硬件系统中的恶意代码，旨在为特殊使用者通过特殊方式绕过安全控制环节而获得系统访问权提供方法与途径。由于利用漏洞和后门进行的网络攻击，其攻击门槛很低，网络防御成本却很高，因而严重威胁着网络空间的安全。网络空间现有的防御体制和机制，对未知漏洞和后门可能带来的未知风险更是缺乏有效的主动防御手段，因而难以应对基于无法彻底避免的未知漏洞以及难以完全杜绝的后门实施的网络攻击。

拟态防御思想旨在为解决网络空间不同领域相关应用层次上的基于未知漏洞、后门或病毒木马等不确定性威胁，提供具有普适性的创新防御理论和方法。概括来说，拟态防御的基本内涵为凡是利用动态异构冗余构造、输入输出代理和策略调度、分片化、碎片化、随机化动态化、多维动态重构、迭代与叠加等拟态防御机增强系统的动态性、随机性和多样性，隐匿或伪装目标对象功能(包括漏洞和后门之类的暗功能)与其实现结构(载体)映射关系，屏蔽或掩饰外部注入(侦察或攻击)以及内部错误导致的运行异常，破坏攻击链的稳定性或有效利用度，实现在“有毒带菌”异构体上搭建安全可控信息系统的方法和技术，都称其具有“拟态防御”的基本内涵。

为测试搭建的拟态防御系统的安全性，需要一种安全性分析方法对搭建的拟态防御系统的安全性进行量化，以便对搭建的拟态防御系统的后续改进提供参考。“动态异构冗余系统的安全性分析[J].计算机工程，2018，44(10):42-45,50”提供了一种安全性分析方法，在该分析方法中，只对一次攻击成功的概率进行了分析，而没有对攻击任务的攻击成功率进行分析求解，即一个攻击任务可能需要在多个动态变换周期中才能完成，此时的系统攻击成功率如何没有分析。

发明内容

为测试搭建的拟态防御系统的安全性，本发明提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法，针对DHR系统建立了数学模型，以漏洞输出一致率、系统攻击成功率等指标表征系统的安全性，通过对模型的求解分析了DHR系统的安全性和抗攻击能力。

本发明提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法，该方法包括：

步骤1：确定影响DHR系统安全性的防御参数信息；

步骤2：确定影响攻击者能力的攻击参数信息；

步骤3：建立关于所述防御参数信息和所述攻击参数信息的DHR系统模型；

步骤4：推导关于所述防御参数信息和所述攻击参数信息的DHR系统安全性度量指标，所述度量指标包括：一次攻击的系统攻击成功率和攻击任务的系统攻击成功率；

步骤5：根据所述DHR系统模型、一次攻击的系统攻击成功率和攻击任务的系统攻击成功率，计算DHR系统针对特定漏洞的系统攻击成功率和DHR系统针对漏洞组合的系统攻击成功率。

进一步地，所述防御参数信息包括：DHR系统的异构体集大小、执行体集大小、服务序列、动态变化时间序列和表决阈值。

进一步地，所述攻击参数信息包括：每个异构体上的漏洞集，以及漏洞集中的每个漏洞的攻击成功概率、攻击时间代价、权重和攻击任务步数。

进一步地，该方法还包括：

步骤6：在DHR系统模型下，解析表决阈值对系统攻击成功率的影响，并分别计算DHR系统相对于静态异构冗余系统和功能等价的传统系统的安全增益。

进一步地，步骤5具体包括：

针对特定漏洞v攻击，DHR系统针对特定漏洞的系统攻击成功率的求解过程为：

确定执行体集为所述执行体集S的出现是独立均匀的，m为异构体总个数；n为执行体集大小；

确定系统服务序列为所述系统服务序列是周期性的；其中，l表示系统服务序列的长度，l＝dμ+l′，μ≥1,0≤l′≤d-1，且在一个系统服务序列周期内，每个执行体集出现的次数w均相同，执行体集出现总次数为系统运行周期

当攻击者利用漏洞v对所述系统服务序列中各执行体集S均独立发起一次攻击时，计算得到攻击者对执行体集S攻击成功的次数的取值范围，所述取值范围为[wμ·[q_v·δ_k(i₁,i₂,…,i_n,v)]，w(μ+1)·[q_v·δ_k(i₁,i₂,…,i_n,v)]]；

根据攻击成功率定义存在：

当l、μ均充分大时，和接近于1，可计算得攻击成功率为：

P_v＝q_v·ε_k(v)

其中，q_v为攻击者利用v对某个附有v的执行体攻击一次的成功概率，q_v>0；ε_k(v)为关于漏洞v的k阶输出一致率，表示执行体集S中含有漏洞v的执行体个数是否多于k个，是则取值为1，否则为0，即 是执行体中包含的所有的漏洞集合。

进一步地，步骤5具体包括：

针对随机选择的漏洞组合V表示漏洞全集，DHR系统针对漏洞组合Γ的系统攻击成功率的求解过程为：

确定漏洞v_i的攻击权重为α_i，以及攻击者在预设时间段内的攻击总次数为ω；其中，1≤i≤s，s表示漏洞组合Γ中漏洞的个数，

根据下式计算得到针对漏洞组合Γ的系统攻击成功率为：

其中，漏洞v_i的攻击成功率为漏洞v_i的攻击成功次数为

进一步地，该方法还包括：

当攻击任务步数为θ时，系统攻击成功率为：

P_S,θ＝(P_S)^θ

其中，P_S为一次攻击的系统攻击成功率；P_S,θ为攻击任务步数为θ的攻击任务的系统攻击成功率。

本发明的有益效果：

本发明提供的基于漏洞一致率的网络空间拟态防御安全性建模量化方法，1、完善了影响DHR系统安全性的参数，引入了参数攻击任务步数(θ)；2、推导出了关于攻击任务的系统攻击成功率P_S,θ；3、在DHR模型下，针对攻击任务，分析比较了经典系统和DHR系统的安全优劣性。以上的理论分析结果，可以为工程实现提供理论指导，并对系统的安全性测试提供理论依据和测试方法。

附图说明

图1为本发明实施例提供的基于漏洞一致率的网络空间拟态防御安全性建模量化方法的流程示意图；

图2为现有技术的DHR系统的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

DHR：即动态异构冗余系统架构；由于信息系统固有的静态性、确定性和相似性，使得系统内部的运行环境是可感知或探知的，任何一种可利用、可规划的网络攻击都必须基于这样的运行环境才可能达到预期的目的。导入动态性有可能改变系统资源分配中的静态性，导入随机性可能改变运行机制的确定性，导入多元性或多样性可能改变运行环境的相似性。然而，分离的导入动态性、多样性和随机性，除了要付出功能、性能和设计使用成本方面的代价外，也只能起到局部的安全增强作用，难以获得全方位覆盖攻击链各阶段的防御效果。动态、重构、虚拟化等技术与异构冗余体制的融合应用是网络空间主动防御今后最重要的发展方向之一。这些融合广义动态性和异构冗余体制的架构称为动态异构冗余系统架构。

如图2所示，DHR系统一般由输入代理、异构体集、动态选择算法、执行体集和表决器组成。其中，异构体集和动态选择算法组成执行体集的多维动态重构支撑环节。异构体集的构造可以采用软硬件模块的重构、重组、重建、重定义、虚拟化、策略调度等广义动态化技术措施实现。执行体集由策略调度算法动态的从异构体集中选出若干个异构体组成，执行体集中的元素称为执行体，由执行体集的构建方法可知，某个执行体就是由策略调度算法从异构体集中选出的某个异构体。任意时刻，DHR系统的输入代理将输入转发给执行体集中的各执行体，不同执行体的运算结果提交给表决器进行表决，得到系统输出。

在DHR构造机制中，允许相互独立的执行体存在一定程度的同构成分，这是因为DHR在运行环境、运行机制、调度策略、参数赋值等方面已经引入了不确定性，相互独立的执行体中即使存在某些同构成分也很难同时形成一致性或多数相同的逃逸错误。也就是说，广义动态性的导入很容易破坏非配合情况下的协同攻击，这对防御的经济性与可实现性具有重要的工程意义。此外，对异构执行体，没有额外的个体安全性要求，允许所有执行体“有毒带菌”运行。

DHR架构的多模裁决机制和异构体的策略调度机制使得执行体中存在的漏洞和缺陷对攻击者而言，可达性大大降低。这主要是两方面的原因：DHR机制使得攻击者需要通过变化输入激励和获取输出响应方式才能分析掌控的漏洞变得难以探测；DHR机制使得需要通过输出矢量与外部攻击者交互信息的漏洞难以通达。DHR机制使得动态性、多样性和随机性等不确定性技术可以基于系统架构方式集约化的实现，能够最大程度的发挥这些主动防御因素的合成效果，尤其是该机制对架构内的异构执行体没有苛刻的安全性要求，理论上各执行体允许“有毒带菌”，只要执行体集中的所有执行体不能在时空维度中表现出多数或者完全一致的错误，就不会危及系统安全。

记所有异构体组成的集合为E＝{E₁,E₂,...,E_m}，异构体E_i(1≤i≤m)中所有漏洞组成集合为V_i，所有异构体中漏洞组成的集合为系统各时刻从m个异构体中随机选择n个异构体组成当前系统的执行体集；所有执行体集构成系统服务集W，W中元素的总数目称为系统服务集数λ，即

定义1:系统服务序列和系统服务时序。

系统在某个时段△t_i(i≥0，有界值)运行W中某个执行体集W_i，从0时刻开始系统各时段运行的执行体集构成的序列称为系统服务序列，对应时段序列称为系统服务时序。

本发明中系统通过随机算法RS在密钥MK的作用下产生服务序列且该序列是周期性的，称其周期为系统运行周期；特别地，本发明要求一个系统运行周期内W中各执行体集的选取是独立均匀的。

定义2:一次攻击成功与攻击任务成功。

一次攻击成功是指导致系统的机密性、可用性、完整性等遭受部分破坏的完整攻击过程。本模型中一次完整攻击包含若干次原子攻击，所谓原子攻击是指攻击者行为在系统中发生了一次输入输出。

攻击任务是指为达到攻击者的攻击意图，导致系统的机密性、可用性、完整性遭受持续破坏的攻击过程；一般地，攻击任务成功意味着连续一次攻击成功。

定义3:系统攻击成功率。

若攻击者利用DHR系统中的漏洞发起α次攻击，导致系统被攻击成功β次，则记

为一次攻击的系统攻击成功率；

若攻击者利用DHR系统中的漏洞执行同一项攻击任务(θ步)α′次，导致攻击任务成功β′次，则记

为攻击任务的系统攻击成功率。

定义4:系统攻击成功率安全增益。

若两个系统S和S′的一次攻击的系统攻击成功率分别为P_S和P_S′，则记

为系统S相对系统S′的一次攻击的系统攻击成功率安全增益。

若两个系统S和S′的攻击任务(θ步)的系统攻击成功率分别为P_S,θ和P_S′,θ，则记

为系统S相对系统S′的攻击任务的系统攻击成功率安全增益。

定义5:系统动态变化时间。

给定有限长的系统服务时序△t₀△t₁…△t_k-1，记为系统最小变化时间，为系统最大变化时间，

为系统平均变化时间。

若系统最小变化时间和最大变化时间相等，则称系统是周期性变化的，该变化时间称为系统动态变化周期(或系统服务时序周期)，记为T。

定义6:l阶输出一致率

设n个执行体组成一个执行体集，若在相同输入条件下，有l个输出相同，且与正常输出不一致，称该执行体集是l阶输出一致的。

考虑到攻击者是针对漏洞进行的攻击，若对漏洞v，在N次攻击中有N′次其l个输出相同且与正常输出不一致，则称

是关于漏洞v的l阶输出一致率。

关于漏洞v的l阶输出一致率实际上是攻击者能力、异构体异构程度和系统服务序列生成策略的一种综合度量。本发明赋予攻击者较高的能力，当其利用当前执行体集中某个异构体上漏洞v能成功控制该异构体时，其必定能成功控制该执行体集上所有含v的异构体，且这些含v的异构体输出一致；考虑到通信误码或异构体故障等随机因素，输出也可能存在随机错误，有两种情况:

①当n个执行体中均存在漏洞v，对相同输入，n个输出未必全一致；

②即使n个执行体中不全存在漏洞v，对相同输入也存在n个输出一致的可能。

本发明可以简单地认为关于漏洞v的l阶输出一致率是漏洞v在各异构体中分布情况和系统随机错误率之和；从系统建模来看，情况①降低了系统攻击成功率，忽略之并不影响本发明模型的分析，而情况②增加了系统攻击成功率，但工程实践上信息系统的系统随机错误率一般要求低于10^-9，因此忽略系统随机错误率是可行的，也便于建模。

若忽略系统随机错误，易知对任意漏洞v，关于v的l阶输出一致率：

其中函数

注:有研究者根据NIST国家漏洞数据库(NVD)中11个操作系统18年漏洞数据研究了操作系统公共漏洞数量分布情况，发现了某些操作系统组合有极少的公共漏洞这一规律。直观上同一系列的操作系统公共漏洞相对较多，而不同系列的操作系统则相对较少甚至为零；同一应用软件应用于不同操作系统时可能版本不一样，但通常其核心代码一样，所存在的漏洞甚至利用方式都是相同的。

如图1所示，本发明实施例提供一种基于漏洞一致率的网络空间拟态防御安全性建模量化方法，该方法包括：

S101：确定影响DHR系统安全性的防御参数信息；

具体地，所述防御参数信息包括：DHR系统的异构体集大小、执行体集大小、服务序列、动态变化时间序列和表决阈值。

S102：确定影响攻击者能力的攻击参数信息；

具体地，所述攻击参数信息包括：每个异构体上的漏洞集，以及漏洞集中的每个漏洞的攻击成功概率、攻击时间代价、权重和攻击任务步数。

S103：建立关于所述防御参数信息和所述攻击参数信息的DHR系统模型；

具体地，综合所述防御参数信息和所述攻击参数信息将DHR系统模型用一个10元组表示：其中，m:异构体总个数，表示系统有异构体E₁,E₂,…E_m；n:执行体集大小，表示每个执行体集含有可变的执行体A₁,A₂,…A_n；系统服务序列；系统服务时序；V_i:异构体E_i上漏洞之集；攻击者利用漏洞v_j对含v_j的执行体进行攻击的成功率；攻击者利用漏洞v_j对含v_j的执行体进行攻击所需时间；α_j:攻击者利用漏洞v_j攻击的权重；θ:攻击任务步数。

需要说明的是，构建该DHR系统模型时，基于以下前提条件：a:系统的输入与输出是一一对应的。b:针对漏洞的攻击，若攻击成功必导致执行体输出的改变(与正常输出相比)。c:输入代理和表决器是安全的，即不考虑输入代理和表决器受攻击的情况。d:表决器实行k/n表决且忽略系统实际运行中执行体集更新的时间。e:攻击者仅基于执行体的漏洞发起攻击，每次攻击事件是独立的。f:不考虑通信误码或执行体故障等因素引起的系统随机错误。g:攻击者已知DHR系统的结构及其工作模式。

S104：推导关于所述防御参数信息和所述攻击参数信息的DHR系统安全性度量指标，所述度量指标包括：一次攻击的系统攻击成功率和攻击任务的系统攻击成功率；

具体地，DHR系统建模的目的是要揭示系统对抗攻击的安全机理，本发明实施例定义一次攻击的系统攻击成功率P_S和攻击任务的系统攻击成功率P_S,θ两个度量指标来表征其主动防御的有效性，并导出两个指标与参数m,n,k,V_i,q_vj,t_vj,α_j,θ的函数关系:

S105：根据所述DHR系统模型、一次攻击的系统攻击成功率和攻击任务的系统攻击成功率，计算DHR系统针对特定漏洞的系统攻击成功率和DHR系统针对漏洞组合的系统攻击成功率。

在表决机制下，考虑攻击者针对V中特定漏洞或漏洞组合对DHR系统发起攻击的情况，模型待解决的问题是:计算针对特定漏洞的系统攻击成功率，针对漏洞组合的系统攻击成功率。

对任意漏洞v∈V，设攻击者利用v对某个附有v的执行体攻击一次的成功概率为q_v>0，所需攻击时间代价为t_v≤T。

步骤S105分为两种情况的模型求解过程：DHR系统针对特定漏洞的系统攻击成功率的求解过程和DHR系统针对漏洞组合的系统攻击成功率的求解过程。

(1)针对特定漏洞v攻击，DHR系统针对特定漏洞的系统攻击成功率的求解过程为：

S1051：确定执行体集为所述执行体集S的出现是独立均匀的，m为异构体总个数；n为执行体集大小；

具体地，从m个异构体中选取n个异构体组成执行体集S，可以有种选取组合，因此，

S1052：确定系统服务序列为所述系统服务序列是周期性的；其中，l表示系统服务序列的长度，l＝dμ+l′，μ≥1,0≤l′≤d-1，且在一个系统服务序列周期内，每个执行体集出现的次数w均相同，执行体集出现总次数为系统运行周期

具体地，l和d是确定的，μ表示周期d的整数倍，l′表示余数。

S1053：当攻击者利用漏洞v对所述系统服务序列中各执行体集S均独立发起一次攻击时，计算得到攻击者对执行体集S攻击成功的次数的取值范围，所述取值范围为[wμ·[q_v·δ_k(i₁,i₂,…,i_n,v)]，w(μ+1)·[q_v·δ_k(i₁,i₂,…,i_n,v)]]；

具体地，当攻击者利用漏洞v对所述系统服务序列中各执行体集S均独立发起一次攻击时，攻击者对执行体集至少攻击了wμ次，至多攻击了w(μ+1)次；这样对执行体集S攻击成功的次数至少为wμ·[q_v·δ_k(i₁,i₂,…,i_n,v)]，至多为w(μ+1)·[q_v·δ_k(i₁,i₂,…,i_n,v)]，因此攻击者总的攻击成功次数至少为至多为

S1054：根据攻击成功率定义存在：

当l、μ均充分大时，和接近于1，可计算得攻击成功率为：

P_v＝q_v·ε_k(v)

其中，q_v为攻击者利用v对某个附有v的执行体攻击一次的成功概率，q_v>0；ε_k(v)为关于漏洞v的k阶输出一致率，表示执行体集S中含有漏洞v的执行体个数是否多于k个，是则取值为1，否则为0，即 是执行体中包含的所有的漏洞集合。

具体地，根据攻击成功率定义知

有

当l充分大时，μ也充分大，和接近于1，攻击成功率稳定于

P_v＝q_v·ε_k(v)。

(2)针对随机选择的漏洞组合V表示漏洞全集，DHR系统针对漏洞组合Γ的系统攻击成功率的求解过程为：

确定漏洞v_i的攻击权重为α_i，以及攻击者在预设时间段内的攻击总次数为ω；其中，1≤i≤s，s表示漏洞组合Γ中漏洞的个数，

根据下式计算得到针对漏洞组合Γ的系统攻击成功率为：

其中，漏洞v_i的攻击成功率为漏洞v_i的攻击成功次数为

具体地，在本实施例中，攻击者利用漏洞子集合Γ组合攻击的平均所需攻击时间代价为：

特别地，取Γ＝V＝{v₁,v₂,…,v_N}，任意时刻攻击者利用所有异构体上漏洞全集V对系统发起攻击，得到系统攻击成功率：

在上述实施例的基础上，该方法还包括：

当攻击任务步数为θ时，系统攻击成功率为：

P_S,θ＝(P_S)^θ

其中，P_S为一次攻击的系统攻击成功率；P_S,θ为攻击任务步数为θ的攻击任务的系统攻击成功率。

具体地，在一个系统运行周期内，根据(2)知攻击者平均攻击成功总次数为对于攻击任务(θ步)，若攻击任务在一个系统运行周期内不可能完成，其攻击成功率P_S,θ＝0；若这里只考虑一种简化情形:攻击者必须控制连续的θ个完整周期T，在这些周期内执行体集切换开始时攻击者只发起一次攻击且均要成功。

给定系统服务序列不妨设攻击者在一个运行周期内完成攻击任务，其在第i(1≤i≤θ)步(次)利用漏洞在 运行开始各发起一次攻击且均成功，此时该步的攻击成功概率为

其中，函数(设执行体集W_li对应的异构部件为1≤s≤n，1≤i₁<i₂<…<i_n≤m)。

考虑漏洞和的所有可选方案，不妨设攻击者独立均匀选择(即权重为N^-1)，平均攻击成功概率为

设系统个执行体集为根据前提假设，所有在一个系统运行周期内的出现是独立均匀的，所以

由(1)论证过程知：

从而

若攻击者独立选择v_i的权重为仿(1)可证明系统攻击成功率为

在上述讨论基础上，将攻击概率为0或攻击时间代价大于动态变化周期T的漏洞考虑进来。

具体地，定义函数:

攻击成功的概率统一为:

P_v＝q_v·ε_k(v)·I(v)

和

给定DHR系统则一次攻击的系统攻击成功率为

攻击任务(θ步)的系统攻击成功率为

在上述实施例的基础上，该方法还包括：

S106：在DHR系统模型下，解析表决阈值对系统攻击成功率的影响，并分别计算DHR系统相对于静态异构冗余系统和功能等价的传统系统的安全增益。

下面对本发明实施例建立的DHR系统模型进行分析：

约定漏洞属于V且所需攻击时间代价不超过T。在k/n表决机制下，根据上述模型求解过程对DHR系统模型作一简要分析；分析结果表明在模型假设下DHR系统安全性有赖于k阶输出一致率和系统动态变化周期T两个参数。

1：P_v＝0当且仅当任意k个互异执行体A_i(1≤i≤k)不存在共同漏洞v或I(v)＝0。

这说明当攻击者利用特定漏洞发起攻击时，欲使系统攻击成功率降低，必须降低P_v＝q_v·ε_k(v)·I(v)值；由于q_v是客观存在的且与攻击者能力密切相关，系统很难进行改善以应对，一方面要通过提高系统的异构性来降低k阶输出一致率ε_k(v)，另一方面要减小T使得I(v)＝0。

2：P_S＝0当且仅当对任意1≤i≤N有

这说明欲使系统攻击成功率降低，必须降低各值；根据分析(1)，系统只能转而控制T值或关于各漏洞的ε_k(v_i)值。

并且，可得到DHR系统的性质如下：

根据系统模型求解结果，对系统参数和系统度量指标之间的关系进行分析，得到如下结果:

引理1:δ_k(i₁,i₂,…,i_n,v)≥δ_k+1(i₁,i₂,…,i_n,v)

对于给定的m，n，执行体集(对应执行体下标为i₁,i₂,…,i_n)和任意的漏洞v，因为

故但反之不成立，因此有

δ_k(i₁,i₂,…,i_n,v)≥δ_k+1(i₁,i₂,…,i_n,v)

性质1:P_s,θ是关于k的递减函数，其中k为表决阈值。

事实上，由引理1有

δ_k(i₁,i₂,…,i_n,v_i)≥δ_k+1(i₁,i₂,…,i_n,v_i)

从而有

即

从而在其他参数固定的情况下，若k′>k，则P′_S≤P_S，进而有(P′_S)^θ≤(P_S)^θ，即P′_S,θ≤P_S,θ。

性质2:DHR系统的安全性优于功能等价的传统系统的安全性。

传统系统可视为DHR系统的一种特例，此时n＝1，系统不进行动态变化，其系统攻击成功率为

对于DHR系统，其漏洞之集为V，|V|＝N，其系统攻击成功率为

设各漏洞的输出一致率小于某个阈值ε(0<ε<1)，则DHR系统相对传统系统的系统攻击成功率安全增益为

由于DHR系统的异构性，因此DHR系统的攻击成功率要远小于传统系统，其安全增益大于

性质3:DHR系统优于静态异构冗余系统。

在DHR系统下，系统攻击成功率为

在静态系统下，相当于θ＝1，系统攻击成功率为

其中i₁,i₂,…,i_n为选定的执行体集，N₀为选定执行体集i₁,i₂,…,i_n中漏洞的总个数，因为若某个漏洞v不在执行体i₁,i₂,…,i_n中，则δ_k(i₁,i₂,…,i_n,v)＝0，从而有

在静态系统下，系统动态变化周期T可以看成是无穷大，故Ι′(v_i)＝1，而DHR系统下Ι(v_i)＝0或1，故Ι(v_i)≤Ι′(v_i)

由于静态系统中执行体集i₁,i₂,…,i_n是随机选择的，设

从而有故P_S≤P′_S，且DHR系统相对于静态系统的攻击成功率安全增益为:

当θ≥2时，由于DHR系统异构性，其相对于静态异构冗余系统的安全增益很大。

由上述内容可知，DHR系统是网络空间拟态防御的典型架构，本发明针对DHR系统建立了数学模型，以漏洞一致率、系统攻击成功率等指标表征系统的安全性，通过对模型的求解分析了DHR系统的安全性和抗攻击能力。模型分析表明动态异构冗余系统与传统系统及静态异构冗余系统比较具有结构性安全增益。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.基于漏洞一致率的网络空间拟态防御安全性建模量化方法，其特征在于，包括：

步骤1：确定影响DHR系统安全性的防御参数信息；

步骤2：确定影响攻击者能力的攻击参数信息；

步骤3：建立关于所述防御参数信息和所述攻击参数信息的DHR系统模型；

步骤4：推导关于所述防御参数信息和所述攻击参数信息的DHR系统安全性度量指标，所述度量指标为系统攻击成功率，所述系统攻击成功率包括：一次攻击的系统攻击成功率和攻击任务的系统攻击成功率；

步骤5：根据所述DHR系统模型、一次攻击的系统攻击成功率和攻击任务的系统攻击成功率，计算DHR系统针对特定漏洞的系统攻击成功率和DHR系统针对漏洞组合的系统攻击成功率。

2.根据权利要求1所述的方法，其特征在于，所述防御参数信息包括：DHR系统的异构体集大小、执行体集大小、服务序列、动态变化时间序列和表决阈值。

3.根据权利要求2所述的方法，其特征在于，所述攻击参数信息包括：每个异构体上的漏洞集，以及漏洞集中的每个漏洞的攻击成功概率、攻击时间代价、权重和攻击任务步数。

4.根据权利要求2所述的方法，其特征在于，还包括：

步骤6：在DHR系统模型下，解析表决阈值对系统攻击成功率的影响，并分别计算DHR系统相对于静态异构冗余系统和功能等价的传统系统的安全增益。

5.根据权利要求3所述的方法，其特征在于，步骤5具体包括：

针对特定漏洞v攻击，DHR系统针对特定漏洞的系统攻击成功率的求解过程为：

确定执行体集为所述执行体集S的出现是独立均匀的，m为异构体总个数；n为执行体集大小；

确定系统服务序列为所述系统服务序列是周期性的；其中，l表示系统服务序列的长度，l＝dμ+l′，μ≥1,0≤l′≤d-1，且在一个系统服务序列周期内，每个执行体集出现的次数w均相同，执行体集出现总次数为系统运行周期

当攻击者利用漏洞v对所述系统服务序列中各执行体集S均独立发起一次攻击时，计算得到攻击者对执行体集S攻击成功的次数的取值范围，所述取值范围为[wμ·[q_v·δ_k(i₁,i₂,…,i_n,v)]，w(μ+1)·[q_v·δ_k(i₁,i₂,…,i_n,v)]]；

根据攻击成功率定义存在：

当l、μ均充分大时，和接近于1，可计算得攻击成功率为：

P_v＝q_v·ε_k(v)

其中，q_v为攻击者利用v对某个附有v的执行体的攻击成功概率，q_v>0；ε_k(v)为关于漏洞v的k阶输出一致率，δ_k(i₁,i₂,…,i_n,v)表示执行体集S中含有漏洞v的执行体个数是否多于k个，是则取值为1，否则为0，即 是执行体中包含的所有的漏洞集合。

6.根据权利要求3所述的方法，其特征在于，步骤5具体包括：

针对随机选择的漏洞组合V表示漏洞全集，DHR系统针对漏洞组合Γ的系统攻击成功率的求解过程为：

确定漏洞v_i的攻击权重为α_i，以及攻击者在预设时间段内的攻击总次数为ω；其中，1≤i≤s，s表示漏洞组合Γ中漏洞的个数，

根据下式计算得到针对漏洞组合Γ的系统攻击成功率：

其中，漏洞v_i的攻击成功率为漏洞v_i的攻击成功次数为

7.根据权利要求3所述的方法，其特征在于，还包括：

当攻击任务步数为θ时，系统攻击成功率为：

P_S,θ＝(P_S)^θ

其中，P_S为一次攻击的系统攻击成功率；P_S,θ为攻击任务步数为θ的攻击任务的系统攻击成功率。