時(shí)間:2019年11月11日 分類:科學(xué)技術(shù)論文 次數(shù):
摘要:擬態(tài)通用運(yùn)行環(huán)境(MCOE)實(shí)現(xiàn)了基于JAVA、C/C++開發(fā)的信息系統(tǒng)擬態(tài)防御架構(gòu),提供了擬態(tài)防御所需功能的服務(wù)器(分發(fā)、協(xié)同執(zhí)行、內(nèi)部和外部二表決、擬態(tài)管理等)。達(dá)到對(duì)已未知后門和漏洞主動(dòng)防御、安全威脅攻擊及時(shí)阻斷、數(shù)據(jù)完整性確保等主要擬態(tài)防御目標(biāo)。擬態(tài)防御目標(biāo)的實(shí)現(xiàn)取決于面向服務(wù)請(qǐng)求執(zhí)行的N異構(gòu)執(zhí)行體及其構(gòu)造化運(yùn)行節(jié)點(diǎn)軟硬件資源調(diào)度的隨機(jī)性、動(dòng)態(tài)性和異構(gòu)性(三性)達(dá)到的程度。
本文首先提出了達(dá)到三性最大化的擬態(tài)資源調(diào)度準(zhǔn)則;并基于準(zhǔn)則從擬態(tài)資源管理與MCOE框架交互設(shè)計(jì)、擬態(tài)資源管理、擬態(tài)資源調(diào)度等方面論述了擬態(tài)資源調(diào)度算法和管理服務(wù)的設(shè)計(jì)與實(shí)現(xiàn),重點(diǎn)描述了擬態(tài)運(yùn)行節(jié)點(diǎn)軟硬件資源異構(gòu)特征分類器的構(gòu)造,基于分類器的、具有三級(jí)異構(gòu)度分類的節(jié)點(diǎn)N元組和N異構(gòu)執(zhí)行體元組(支持容器和虛擬機(jī)鏡像)的構(gòu)建,以及遵循負(fù)載均衡的、不同等級(jí)的N元組及其運(yùn)行節(jié)點(diǎn)資源調(diào)度的隨機(jī)性、動(dòng)態(tài)性實(shí)現(xiàn);并通過(guò)示例驗(yàn)證了算法的有效性。
關(guān)鍵詞:擬態(tài)通用運(yùn)行環(huán)境;擬態(tài)資源管理;資源狀態(tài);資源調(diào)度;N異構(gòu)執(zhí)行體;分發(fā)表決
0概述
擬態(tài)信息系統(tǒng)是實(shí)現(xiàn)擬態(tài)化構(gòu)造的信息系統(tǒng),它基于鄔江興提出的擬態(tài)防御理論[1],為系統(tǒng)運(yùn)行環(huán)境的基礎(chǔ)、應(yīng)用支撐和應(yīng)用三層(以下簡(jiǎn)稱三層)軟硬件設(shè)施可能遭受的安全威脅攻擊提供主動(dòng)防御能力[2],確保處于威脅攻擊狀態(tài)下的系統(tǒng)功能的正確可靠運(yùn)行、運(yùn)行過(guò)程數(shù)據(jù)的完整性和防竊取。擬態(tài)信息系統(tǒng)主要由系統(tǒng)客戶端程序、應(yīng)用服務(wù)程序功能等價(jià)的冗余異構(gòu)執(zhí)行體或包含冗余異構(gòu)執(zhí)行體的云容器或虛擬機(jī)應(yīng)用鏡像(以下統(tǒng)稱為異構(gòu)執(zhí)行體)的集合、擬態(tài)防御架構(gòu)[3]和異構(gòu)冗余集成化運(yùn)行環(huán)境設(shè)施組成。
擬態(tài)信息系統(tǒng)按其開發(fā)語(yǔ)言可分為腳本和源語(yǔ)言兩類。其中基于腳本的信息系統(tǒng)擬態(tài)防御產(chǎn)品已由信大開發(fā)[4],并得到了廣泛應(yīng)用。本文研究的擬態(tài)防御技術(shù)面向JAVA和C/C++開發(fā)的B/S、C/S信息系統(tǒng),基于上述組成進(jìn)行開發(fā)和構(gòu)建,其中擬態(tài)防御架構(gòu)由MCOE實(shí)現(xiàn),異構(gòu)冗余集成化運(yùn)行環(huán)境由支持N異構(gòu)執(zhí)行體、MCOE各服務(wù)器運(yùn)行的,具有三層軟硬件異構(gòu)特征運(yùn)行節(jié)點(diǎn)(如CPU:申威、飛騰、兆芯;操作系統(tǒng):紅旗、麒麟。
Web容器:Tomcat、JBoss)和構(gòu)造化的擬態(tài)軟件產(chǎn)品環(huán)境設(shè)施組成。MCOE提供應(yīng)用服務(wù)請(qǐng)求的分發(fā)(N異構(gòu)執(zhí)行體運(yùn)行節(jié)點(diǎn))、執(zhí)行、表決和安全威脅診斷等服務(wù)功能,實(shí)現(xiàn)了服務(wù)請(qǐng)求執(zhí)行過(guò)程的自動(dòng)化,達(dá)到了已未知后門和漏洞主動(dòng)防御、安全威脅攻擊及時(shí)阻斷、數(shù)據(jù)完整性確保等擬態(tài)防御目標(biāo)。
它由分發(fā)器、N異構(gòu)執(zhí)行體服務(wù)請(qǐng)求執(zhí)行過(guò)程的內(nèi)部和服務(wù)請(qǐng)求響應(yīng)二表決器(以下統(tǒng)稱為內(nèi)部和外部二表決器)、管理者和代理二管理器三類服務(wù)器組成。三類服務(wù)器主要功能分別為:1)擬態(tài)分發(fā)器:面向客戶端應(yīng)用服務(wù)請(qǐng)求,提供其接收、處理、分發(fā)以及N個(gè)異構(gòu)執(zhí)行體運(yùn)行節(jié)點(diǎn)服務(wù)器的服務(wù)請(qǐng)求響應(yīng)結(jié)果的接收、處理和轉(zhuǎn)發(fā)客戶端等功能。2)內(nèi)部和外部二表決器:分別針對(duì)服務(wù)請(qǐng)求執(zhí)行過(guò)程中形成的N個(gè)關(guān)鍵結(jié)果數(shù)據(jù)(內(nèi)部)和請(qǐng)求響應(yīng)結(jié)果數(shù)據(jù)的表決調(diào)用,提供相應(yīng)表決調(diào)用服務(wù),實(shí)施表決結(jié)果的異常診斷和魯棒性處理過(guò)程,反饋表決結(jié)果。3)管理者和代理:管理者提供了擬態(tài)應(yīng)用管理、擬態(tài)資源管理和擬態(tài)安全管理等功能。代理執(zhí)行管理者命令,周期性或心跳地歸集和上報(bào)各運(yùn)行環(huán)境節(jié)點(diǎn)的軟硬件運(yùn)行過(guò)程形成的數(shù)據(jù)(如日志和資源狀態(tài))。
本文主要從擬態(tài)資源的管理體系架構(gòu)、狀態(tài)管理、調(diào)度服務(wù)三方面進(jìn)行了設(shè)計(jì)論述。重點(diǎn)圍繞達(dá)到調(diào)度的N異構(gòu)執(zhí)行體、服務(wù)器運(yùn)行節(jié)點(diǎn)資源及其資源對(duì)象(云容器、虛擬機(jī))三性最大化和資源調(diào)度負(fù)載均衡的目標(biāo),詳細(xì)描述了擬態(tài)資源調(diào)度的算法設(shè)計(jì)與實(shí)現(xiàn)。
1擬態(tài)資源管理與MCOE框架的交互設(shè)計(jì)
擬態(tài)資源管理提供擬態(tài)資源的狀態(tài)管理和調(diào)度服務(wù),主要功能包括:創(chuàng)建和實(shí)時(shí)維護(hù)集成化環(huán)境的運(yùn)行節(jié)點(diǎn)資源、資源對(duì)象異構(gòu)特征和狀態(tài)全局映像(擬態(tài)資源狀態(tài)管理);提供交互式資源和資源對(duì)象的狀態(tài)和調(diào)度管理;基于實(shí)時(shí)的異構(gòu)特征和狀態(tài)全局映像,提供相應(yīng)資源和資源對(duì)象異構(gòu)特征最大化的N個(gè)異構(gòu)執(zhí)行體、分發(fā)器、內(nèi)部和外部二表決器的運(yùn)行節(jié)點(diǎn)資源和資源對(duì)象的調(diào)度請(qǐng)求服務(wù)。資源調(diào)度[6]服務(wù)請(qǐng)求響應(yīng)結(jié)果主要包括N個(gè)異構(gòu)執(zhí)行體、運(yùn)行節(jié)點(diǎn)、按需云容器或虛擬機(jī)。
其中:N個(gè)異構(gòu)執(zhí)行體的源代碼以及相應(yīng)運(yùn)行節(jié)點(diǎn)三層軟硬件的異構(gòu)性,決定了擬態(tài)系統(tǒng)主動(dòng)防御[7]三層相應(yīng)軟硬件后門或漏洞安全威脅的水平[4];異構(gòu)執(zhí)行體、運(yùn)行節(jié)點(diǎn)資源和資源對(duì)象(如容器、虛擬機(jī))的調(diào)度隨機(jī)性和動(dòng)態(tài)變化性能有效阻斷黑客對(duì)系統(tǒng)的網(wǎng)絡(luò)攻擊;上述三性最大化是擬態(tài)資源調(diào)度實(shí)現(xiàn)的目標(biāo)。因此,擬態(tài)資源管理特別是資源調(diào)度[8]是MCOE擬態(tài)防御機(jī)制實(shí)現(xiàn)的基礎(chǔ)和關(guān)鍵。作為擬態(tài)管理服務(wù)的組成,它與N異構(gòu)執(zhí)行體、MCOE各服務(wù)器、集成化運(yùn)行環(huán)境設(shè)施的管理關(guān)系。
擬態(tài)資源管理基于B/S架構(gòu),為應(yīng)用客戶端程序和MCOE其它服務(wù)器提供WEB服務(wù)訪問(wèn)接口組件;擬態(tài)資源管理基于擬態(tài)管理Web服務(wù)器的管理者和管理者代理(M/A)架構(gòu),實(shí)施基于命令策略文件profile驅(qū)動(dòng)的對(duì)象管理和資源狀態(tài)的實(shí)時(shí)歸集。管理者和管理者代理的接口遵循MCOE要求的HTTP通信協(xié)議。
其與外部主要接口關(guān)系:擬態(tài)資源調(diào)度現(xiàn)有研究工作主要基于N異構(gòu)體隨機(jī)性和相似度比較方法。文獻(xiàn)[9][9]提出了一種功能等價(jià)體調(diào)度裝置及其方法,采取的完全隨機(jī)選擇異構(gòu)功能等價(jià)體為外部服務(wù)請(qǐng)求提供服務(wù)的方式降低攻擊者對(duì)某些漏洞和后門的探知或利用的可能性。劉勤讓等人[10]和張杰鑫等人[11]先后提出和完善的隨機(jī)種子最小相似度算法(RandomSeed&MinimumSimilarity,RSMS)也是首先隨機(jī)選取冗余體,再進(jìn)行最小相似性比較;而實(shí)際擬態(tài)應(yīng)用場(chǎng)景中,異構(gòu)執(zhí)行體和運(yùn)行環(huán)境節(jié)點(diǎn)軟硬件的相似度是可預(yù)先確定的,工程上需要綜合考慮N異構(gòu)執(zhí)行體和運(yùn)行節(jié)點(diǎn)資源的隨機(jī)性、動(dòng)態(tài)性、異構(gòu)性。
2擬態(tài)資源管理服務(wù)框架設(shè)計(jì)
擬態(tài)資源狀態(tài)管理為客戶端提供資源狀態(tài)查詢、監(jiān)管和調(diào)度功能。1)節(jié)點(diǎn)資源歸集和上報(bào):管理者代理心跳[12]歸集和上報(bào)分發(fā)、N異構(gòu)執(zhí)行體、內(nèi)部和外部二表決四類服務(wù)器節(jié)點(diǎn)以及相應(yīng)云容器和虛擬機(jī)資源運(yùn)行狀態(tài)信息;對(duì)于服務(wù)器或云集群,基于其集群服務(wù)器[13、14]API獲取相應(yīng)節(jié)點(diǎn)或云容器和虛擬機(jī)資源狀態(tài)信息。2)映像和表維護(hù):擬態(tài)資源異構(gòu)特征和狀態(tài)管理基于上報(bào)的節(jié)點(diǎn)資源狀態(tài),并基于節(jié)點(diǎn)資源狀態(tài)的變化同步更新環(huán)境節(jié)點(diǎn)異構(gòu)特征和狀態(tài)的內(nèi)存映像和表,同時(shí)更新運(yùn)行節(jié)點(diǎn)記錄。3)資源調(diào)度:擬態(tài)資源調(diào)度管理依據(jù)設(shè)計(jì)的調(diào)度算法為分發(fā)、N異構(gòu)執(zhí)行體、內(nèi)部和外部二表決服務(wù)器調(diào)度相應(yīng)的運(yùn)行節(jié)點(diǎn)或云容器、虛擬機(jī)計(jì)算資源。
3擬態(tài)資源調(diào)度服務(wù)
擬態(tài)資源調(diào)度服務(wù)主要為客戶端服務(wù)請(qǐng)求的執(zhí)行分別提供N異構(gòu)執(zhí)行體服務(wù)器、分發(fā)服務(wù)器、內(nèi)部和外部二表決服務(wù)器的運(yùn)行資源調(diào)度。其調(diào)度目標(biāo)在于最大化地確保N個(gè)服務(wù)器運(yùn)行節(jié)點(diǎn)三層軟硬件的隨機(jī)性、動(dòng)態(tài)性和異構(gòu)性,并實(shí)現(xiàn)資源的調(diào)度[16]和負(fù)載均衡[17]。分發(fā)、內(nèi)部和外部二表決服務(wù)器的資源調(diào)度是單一服務(wù)器運(yùn)行資源的調(diào)度,是N異構(gòu)執(zhí)行體服務(wù)器的N=1特例,以下主要以N異構(gòu)執(zhí)行體為對(duì)象,描述資源調(diào)度的設(shè)計(jì)與實(shí)現(xiàn)。
3.1擬態(tài)資源調(diào)度基礎(chǔ)數(shù)據(jù)結(jié)構(gòu)
擬態(tài)應(yīng)用為擬態(tài)資源管理創(chuàng)建了資源管理所需的基礎(chǔ)表,給出了三層軟硬件通用異構(gòu)特征的8位二進(jìn)制數(shù)字化表示,其中:異構(gòu)特征表征為:一位為1、七位為0。最多表示8個(gè)異構(gòu)特征;多于8個(gè)異構(gòu)特征的情況,依相似度合并為8個(gè)表征。實(shí)際上大多數(shù)軟硬件異構(gòu)特征≤3。
4結(jié)束語(yǔ)
本文基于網(wǎng)絡(luò)安全領(lǐng)域的顛覆性技術(shù)擬態(tài)防御的指導(dǎo)思想,結(jié)合在研的MCOE運(yùn)行環(huán)境中資源管理和調(diào)度問(wèn)題,給出了擬態(tài)通用運(yùn)行環(huán)境的資源管理技術(shù)的設(shè)計(jì)與實(shí)現(xiàn),特別是針對(duì)現(xiàn)有資源狀態(tài)的調(diào)度和實(shí)現(xiàn)。最后通過(guò)擬態(tài)管理服務(wù)的簡(jiǎn)單示例驗(yàn)證對(duì)于云容器集群上資源管理的擬態(tài)調(diào)度方案的有效性。未來(lái)將結(jié)合現(xiàn)有資源狀態(tài)與Kubernetes本身的調(diào)度機(jī)制實(shí)現(xiàn)算法的優(yōu)化和高效執(zhí)行。
參考文獻(xiàn)
[1]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御導(dǎo)論[M].北京:科學(xué)出版社,2017.
[2]斯雪明,王偉,曾俊杰,楊本朝,李光松,苑超,張帆.擬態(tài)防御基礎(chǔ)理論研究綜述[J].中國(guó)工程科學(xué),2016,18(06):62-68.
[3]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御原理[M].北京:科學(xué)出版社,2018.
[4]仝青,張錚,張為華,鄔江興.擬態(tài)防御Web服務(wù)器設(shè)計(jì)與實(shí)現(xiàn)[J].軟件學(xué)報(bào),2017,28(04):883-897.
[5]李文亮.GPU集群調(diào)度管理系統(tǒng)關(guān)鍵技術(shù)的研究[D].華中科技大學(xué),2011.
相關(guān)刊物推薦:《中國(guó)工程科學(xué)》雜志反映我國(guó)工程科技領(lǐng)域研究動(dòng)向,記載我國(guó)工程科技領(lǐng)域?qū)W術(shù)成果,探討我國(guó)工程科技領(lǐng)域未來(lái)發(fā)展。雜志內(nèi)容涉及國(guó)家重大工程技術(shù)項(xiàng)目、國(guó)家科技攻關(guān)項(xiàng)目和自然科學(xué)基金課題。《中國(guó)工程科學(xué)》和《ENGINEERING SCIENCES》雜志是中國(guó)科技論文統(tǒng)計(jì)源期刊(中國(guó)科技核心期刊)。