引言

隨著信息技術的發展和應用范圍的不斷擴大，網絡安全問題日益突出，各種網絡攻擊手段層出不窮，給信息系統的安全性帶來了巨大挑戰。傳統的安全防御體現往往采用隧道加密、防火墻、入侵檢測等手段，但隨著攻擊技術的不斷進步，這些傳統手段應對于未知攻擊、未定義特征的防御能力相對薄弱，對于 0-Day性質的漏洞后門、病毒木馬等網絡攻擊更是束手無策。因此，針對未知攻擊、未定義特征、 0-Day攻擊進行擬態防御是內生安全領域的一個重要研究方向。在《關于印發“十四五”數字經濟發展規劃的通知》規劃也提出：促進擬態防御等網絡安全技術信息系統，持續深入探索基于動態冗余架構的網絡內生安全機制。

內生安全強調了所有由軟硬件構成的信息物理系統或控制裝置都不可避免地存在內生安全共性問題，所以應當從系統的設計、開發過程中就建立應對內生安全問題的結構和機制，在面臨攻擊時通過該機制實現自我保護、自我檢測和自我恢復。

擬態防御是一種模仿真實系統的正常行為，并通過混淆、隱藏等手段使攻擊者無法分辨真實系統和擬態系統的安全機制。與傳統的被動防御機制不同，擬態防御強調對攻擊者的混淆和欺騙，使其無法準確識別真實系統和擬態系統的區別，從而達到保護系統安全的目的。在這種機制下，攻擊者很難對系統進行攻擊，因為他們無法找到真正的目標。

動態異構冗余架構是擬態防御的核心技術。動態異構冗余架構是利用不同的技術、硬件或軟件來實現冗余功能的安全機制。通過將系統的關鍵組件部署在不同的硬件、軟件環境中，即使其中一個組件受到攻擊或失效，系統仍能保持正常運行。動態異構冗余在一定程度上可以提高系統的安全性和穩定性，增強系統對外部攻擊的抵御能力。

本文將擬態防御和動態異構冗余架構的定義、原理、設計原則應用到工業控制系統中的網絡安全防護中。通過將擬態防御和動態異構冗余相結合，構建內生安全機制，可以更好地應對復雜多變的網絡安全威脅。

二、被動防御體系的演進和困局

被動防御體系演進

第一階段的安全技術主要通過劃分明確的網絡邊界，利用各種保護和隔離技術手段，例如用戶鑒權與認證、訪問控制、信息加解密、網絡隔離等，在網絡邊界上部署，防止外部非法入侵與信息泄露，達到系統加固的目的。此類技術在確保網絡系統的正常訪問、鑒別合法用戶身份和權限管理、機密數據信息安全方面有較強的防護作用，但這一階段技術對部分攻擊行為如用戶身份假冒、系統漏洞后門攻擊等顯得無能為力。

第二階段的安全防護融合了保護、檢測、響應、恢復四大技術。此階段主要采用特征掃描、模式匹配等手段對系統狀態進行檢測與報警，尋找被植入的惡意代碼并進行查殺，找出導致惡意代碼可被植入的原因并用補丁的方式進行修補，發現不規范的蓄意行為和特征并加以抑制。此階段技術高度依賴檢測能力，且攻擊方發展出對應的偽裝欺騙技術，導致不可能發現全部攻擊。

第三階段的安全防護在前兩階段的基礎上疊加了信息生存技術。此階段網絡在假設漏洞后門不可避免，攻擊和意外事故已然、必然發生的條件下，通過實時狀況感知與響應，實時調整安全策略，采用自我診斷隔離、還原重構等手段，仍可在限定時間內完成全部關鍵使命。容侵技術可以作為網絡系統的最后一道防線，使攻擊侵犯的影響降到最低。但目前容侵技術主要基于門限密碼秘密共享理論的容侵模型設計，尚未達到規模化實用的程度，并且模型的建立依賴大量先驗知識與實際經驗，對于未定義的攻擊行為仍然較難防范。

被動防御體系困局

被動防御體系，如常見的防火墻、入侵檢測系統、反病毒軟件等，主要依賴于對已知攻擊模式和特征的識別來發揮作用。這種依賴使得它們在面對新型的、未知的攻擊手段時顯得力不從心。由于其防御策略是基于事先設定的規則和模式，一旦攻擊者采用了未曾預見的攻擊方式或者對已知攻擊進行了巧妙的變形和偽裝，被動防御體系很可能無法及時有效地做出響應。

再者，被動防御體系往往在攻擊發生后才能檢測到異常，這意味著在發現威脅之前，系統可能已經遭受了一定程度的損害。而且，它們通常只能針對特定類型的攻擊或威脅進行防護，對于跨領域、多維度的復雜攻擊，可能無法提供全面的保護。

另外，被動防御體系的更新和維護是一個持續的挑戰。為了保持有效性，需要不斷更新特征庫、規則集以及軟件版本，以應對不斷變化的攻擊手段。然而，這個過程通常存在時間延遲，給攻擊者留下了可乘之機。

從更宏觀的角度來看，被動防御體系在應對大規模、協同式的網絡攻擊時，可能會因為資源消耗過大或者協調不暢而出現防護漏洞。隨著網絡環境的日益復雜和攻擊者技術的不斷進步，被動防御體系的部署和管理成本也在不斷增加，但其防護效果卻難以實現與投入成正比的提升。

迄今為止，傳統的被動防御網絡安全思維模式和技術路線很少能跳出“盡力而為、問題歸零“的慣性思維。相比之下，內生安全機制中的擬態防御體系則具有主動應對、動態變化和自適應的特點，能夠更好地適應復雜多變的網絡威脅環境，為網絡安全提供更強大、更靈活的保障。

三、擬態防御和動態冗余架構簡介

在上述背景下，學術界和工業界逐步認識到，僅僅依賴于傳統網絡安全技術已經不能有效應對不斷演變的網絡威脅。大量的網絡安全事件表明，網絡空間絕大部分安全威脅都是由人為攻擊這個外因，通過目標對象自身存在的漏洞后門這個內因的相互作用而形成的。為此，由中國工程院鄔江興院士提出的內生安全和擬態防御概念應運而生，旨在通過增強系統自身安全性、動態性和不確定性來應對復雜多變的威脅。

擬態防御

擬態防御是實現內生安全的具體方法之一，從生物學的擬態現象中獲得靈感，旨在通過動態變化、隨機性、異構冗余等機制，使系統表現出多樣化和不可預測性，從而使攻擊者難以識別和攻擊真實目標；核心是通過設立擬態邊界和重點區域防御，確保目標對象的穩定性。為了提高防御資源的利用率，采用了策略調度與動態重構的負反饋機制。在防御過程中，重點在于管理異構執行體漏洞后門的可達性與協同利用性，借助擬態裁決，實現目標對象功能和系統性能的健壯性。

擬態防御以“相對正確公理”，即“人人都存在這樣或那樣的缺點，但極少出現獨立完成同樣任務時，多數人在同一個地點、同一時間、犯完全一樣錯誤的情形”為基礎，引申出動態異構冗余架構，動態冗余架構是擬態防御的核心技術之一。

動態冗余架構（(Dynamic Heterogeneous Redundancy，DHR）

動態異構冗余架構(DHR)的核心思想是依據“構造決定安全”的公知，在保證本征功能集不變條件下，導入基于多模裁決的策略調度和多維動態重構魯棒控制機制，賦予運行環境動態可重組、軟件可定義、算法可重構的功能屬性，形成攻擊者視角下的測不準效應，使目標運行場景在抑制廣義不確定擾動方面具備可迭代收斂的動態性、隨機性、多樣性。

動態異構冗余架構(DHR)，包括輸入代理、等價異構執行體資源池、輸出代理、擬態裁決、異構體重構和策略調度、反饋控制等功能部件。

動態異構冗余構造來化解或規避目標對象內部“已知的未知風險”或“未知的未知威脅”的原理與方法，表現有五個方面：

首先：能將基于構造內執行體個體未知漏洞后門的隱匿性攻擊，轉變為擬態界內攻擊效果不確定的事件；

其次：能將效果不確定的攻擊事件歸一化為具有概率屬性的廣義不確定擾動問題；

三是：基于擬態裁決的策略調度和多維動態重構負反饋機制產生的“測不準”防御迷霧，可以瓦解試錯或盲攻擊的前提條件；

四是：借助“相對正確”公理的邏輯表達機制，可以在不依賴攻擊者先驗知識或行為特征信息情況下提供高置信度的敵我識別功能；

五是：能將非傳統安全威脅歸一化為廣義魯棒控制問題并可實現一體化的處理。

四、擬態防御與傳統安全結合場景

傳統安全技術在互聯網中面臨多重風險，特別是對于針對0 Day漏洞的攻擊（零日攻擊）和繞過WAF攻擊的方式缺乏有效的防御手段，而通過擬態防御和傳統安全混和部署的方式可以彌補傳統安全技術的缺陷，也可以有效阻止未定義攻擊造成系統異常或損壞，如圖所示：

五、基于動態冗余架構的工業控制網絡內生安全機制

工業控制網絡比之互聯網更需要穩定、安全的防護措施，基于動態冗余架構的工業控制網絡內生安全機制可以提高工業控制網絡對于攻擊的防護能力和靈活性。

工業控制網絡內生安全機制中包括輸入代理、冗余執行體集合、策略裁決、負反饋控制器、輸出代理、異構組件庫模塊，如圖所示：

1.輸入代理模塊：負責報文的接收和向冗余執行體集合分發，并執行檢查報文格式、協議類型、合法性等初步篩選或過濾動作，如發現可疑報文，輸入代理可直接丟棄報文，避免其進入下一階段。

2.冗余執行體集合：由多個功能等價但設計和實現不同的異構執行體構成。這些執行體分別處理相同的報文，即使某個執行體發生故障或遭受攻擊，其他執行體仍然能夠正常工作；同時，由于每個執行體具有不同的實現方式，攻擊者即使發現某個執行體的漏洞，也很難通過相同的攻擊手段同時攻破其他執行體，這種設計可以有效防御零日攻擊。

3.策略裁決模塊：接受冗余執行體集合中多個執行體處理后的結果，并對這些結果進行裁決。由于多個執行體可能由于環境、配置或潛在的攻擊而產生不同的輸出，策略裁決模塊通過比較和分析這些結果，識別潛在的攻擊或故障，向反饋控制器發送警報并決定最終的系統輸出；同時，策略裁決模塊可以動態調整裁決策略，通過動態調整，策略裁決模塊能夠適應不斷變化的環境和威脅。

4.負反饋控制器：持續監控系統的運行狀態，包括執行體的健康狀態、輸出結果和結果的準確性、安全性等。一旦檢測到執行體異常，負反饋控制器會向異常執行體發出調度指令，以促使其做出相應調整；同時，負反饋控制器也向策略裁決模塊實時傳遞反饋信息以促使策略裁決模塊根據反饋進行動態調整，優化裁決過程和輸出結果。

5.輸出代理模塊：將策略裁決模塊的最終結果安全、準確地傳遞到生產環境。它通過執行安全檢查、反饋異常信息、隔離生產環境和管理輸出的可追溯性，確保系統的輸出過程既安全又高效，從而保障整個工業控制網絡的穩定和可靠運行。

6.異構組件庫模塊：為系統提供了多種異構組件，這些組件在系統運行過程中被動態地選取、組合和部署，它支持多種工控協議和不同操作系統以確保冗余執行體集合中執行體的冗余度，隨著安全技術的發展，新的異構組件可以不斷添加到組件庫中，而舊的或已被攻破的組件則可以被淘汰或更新。該模塊是實現動態異構冗余架構的關鍵，確保系統在面對復雜威脅時能夠保持穩定和安全的運行。

工業控制系統內部動態冗余的實現流程如圖所示：

1.工控Modbus報文首先會進入“輸入代理”模塊中，輸入代理模塊驗證后將報文分發至功能等價冗余執行體集合。

2.異構冗余組件中的執行體將會響應并執行報文，其結果將發送至“策略裁決”模塊；攻擊者需要在擬態環境下實現多元目標的協同攻擊并取得一致攻擊效果，才能進行下一個攻擊步驟，但此過程需要攻擊者付出大量的攻擊成本和攻擊代價。

3.“策略裁決”模塊通過多模選擇、一致性比較或權重裁決等組合或迭代方式對異構冗余組件的執行結果進行裁決，并將裁決結果發送至負反饋控制器，并根據裁決結果決定是否發送至“輸出代理”模塊。

4.負反饋控制器收到來自裁決模塊的裁決結果后，向異構組件庫發送調度命令以執行對異構冗余執行體的調整。

5.“輸出代理”模塊將會格式化輸出，將原報文發送至工業控制網絡中，并記錄相關日志。

6.異構組件庫根據接收到來自反饋控制器或外部命令的調度指令執行策略調整，并根據動態選擇算法從異構組件庫中組裝新的異構執行體加入異構執行體集合。

7. 當“策略裁決”模塊檢測到預期的正常報文數量更多時，則向工業控制網絡中發送該報文；當檢測到非預期的異常報文數量更多時，則拒絕該報文進入工業控制網絡中。

動態冗余架構的工業控制網絡內生安全機制具有顯著的優點，在工業控制系統中發揮著重要作用。在高可信度上，擬態防御具備完善的裁決機制和反饋機制。面對內外部威脅攻擊，擬態防御機制能夠將針對個體的攻擊事件轉化為系統層面可量化且概率可控的安全事件。具體表現為裁決機制的組合迭代式裁決能力，在高可靠性上，冗余執行體與生產環境相隔離，即便冗余執行體內的執行體發生故障無法正常工作，也不會影響系統的業務功能運行。而且，反饋機制能夠實時檢測異常執行體并進行清洗、上線操作，進一步確保系統服務或功能穩定可靠地運行。

六、結束語

在信息技術高速發展的當下，工業控制網絡面臨的安全挑戰愈發嚴峻。通過對傳統安全防御手段的局限性分析，我們明確了針對未知攻擊、未定義特征以及 0-Day 攻擊進行擬態防御研究的重要性和緊迫性。這不僅是內生安全領域的關鍵研究方向，也是應對未來復雜多變網絡威脅的必然選擇。正如《關于印發“十四五”數字經濟發展規劃的通知》所強調，促進擬態防御等網絡安全技術在信息系統中的應用具有重要的戰略意義。我們應緊跟時代步伐，持續深入探索基于動態冗余架構的工業控制網絡內生安全機制，不斷創新和完善相關技術，為工業控制網絡的安全穩定運行提供堅實的保障，助力數字經濟的蓬勃發展，共同構建一個安全、可靠、高效的網絡環境。