有限异构资源条件下的工业控制拟态调度算法

doi:10.11959/j.issn.1000-0801.2021047

电信科学 ›› 2021, Vol. 37 ›› Issue (3): 57-65.doi: 10.11959/j.issn.1000-0801.2021047

有限异构资源条件下的工业控制拟态调度算法

张汝云, 李合元, 李顺斌

之江实验室，浙江杭州 311121

修回日期:2021-03-12 出版日期:2021-03-20 发布日期:2021-03-01
作者简介:张汝云（1973- ），男，博士，之江实验室工业互联网研究中心研究员，主要研究方向为工业互联网内生安全、新型网络架构、工业网络计算等。
李合元（1986- ），男，之江实验室工业互联网研究中心工程师，主要研究方向为工业互联网内生安全、时间敏感网络等。
李顺斌（1990- ），男，博士，之江实验室工业互联网研究中心助理研究员，主要研究方向为异构计算、可重构计算与工业互联网内生安全等。
基金资助:
国家重点研发计划项目(2020YFB1804800);之江实验室开放课题(2018FD0ZX01)

Mimic security scheduling algorithm for industrial control under limited heterogeneous resource constraints

Ruyun ZHANG, Heyuan LI, Shunbin LI

Zhejiang Lab, Hangzhou 311121, China

Revised:2021-03-12 Online:2021-03-20 Published:2021-03-01
Supported by:
The National Key R＆D Program of China(2020YFB1804800);Opening Foundation of Zhejiang Lab(2018FD0ZX01)

摘要/Abstract

摘要：

网络空间拟态防御技术是应对信息系统未知漏洞后门攻击的有效手段，其安全性与执行体的数量、异构化程度以及具体的裁决调度策略紧密相关。然而在工业控制领域，工业应用的生态资源相对封闭，可实现的异构执行体个数受限。针对上述问题，提出一种适用于有限异构资源约束条件下的工业控制拟态调度算法。算法通过引入执行体上线保护寄存器、周期清洗定时器等，能够根据运行环境自适应选择合适的执行体上线，可有效防范N-1模与N模攻击。实验结果表明，所提出的三余度工业控制拟态调度算法，可自适应根据环境特性选择合适的执行体上线，即使在高强度攻击环境下，依然能保持99.24%的高可用概率。

关键词: 拟态防御, 内生安全, 资源受控模型

Abstract:

Cyberspace mimic defense technology is an effective method to deal with backdoor attacks on unknown vulnerabilities in information systems.Its security is closely related to the number and the heterogeneity of the executors and the scheduling strategy.However, in the field of industrial control, the ecological resources of industrial application are relatively closed, and the number of realizable heterogeneous executors is limited.To solve the above problems, a mimic scheduling algorithm for industrial control under the constraints of limited heterogeneous resources was proposed.The experimental results show that the proposed algorithm for triple-redundancy mimic industrial control system was able to select a suitable executor to go online according to environmental characteristics adaptively.Even in a high-intensity attack environment, it can still maintain a high availability probability of 99.24%.

Key words: mimic defense, endogenous safety and security, resource-constrained model

中图分类号:

TP393

张汝云, 李合元, 李顺斌. 有限异构资源条件下的工业控制拟态调度算法[J]. 电信科学, 2021, 37(3): 57-65.

Ruyun ZHANG, Heyuan LI, Shunbin LI. Mimic security scheduling algorithm for industrial control under limited heterogeneous resource constraints[J]. Telecommunications Science, 2021, 37(3): 57-65.

图/表 7

图1

图2

表1

表2

图3

表3

表4

参考文献 10

[1]	HU H , WU J , WANG Z ,et al. Mimic defense:a designed-in cybersecurity defense framework[J]. IET Information Security, 2017,12(3): 226-237.
[2]	MA B L , ZHANG Z . Security research of redundancy in mimic defense system[C]// Proceedings of 3rd IEEE International Conference on Computer and Communications (ICCC). Piscataway:IEEE Press, 2017: 2910-2914.
[3]	马海龙, 伊鹏, 江逸茗 ,等. 基于动态异构冗余机制的路由器拟态防御体系结构[J]. 信息安全学报, 2017,2(1): 29-42.
	MA H L , YI P , JIANG Y M ,et al. Dynamic heterogeneous redundancy based router architecture with Mimic defenses[J]. 2017,2(1): 29.
[4]	沈丛麒, 陈双喜, 吴春明 . 基于信誉度与相异度的自适应拟态控制器研究[J]. 通信学报, 2018,39(Z2): 173-180.
	SHEN C Q , CHEN S X , WU C M . Adaptive mimic defensive controller framework based on reputation and dissimilarity[J]. Journal on Communications, 2018,39(Z2): 173-180.
[5]	陈利跃, 孙歆, 吴春明 ,等. 一种基于异构度的拟态执行体调度模型研究[C]// 第一届“先进计算与防御技术”会议. 北京:人民邮电出版社, 2018: 494-500.
	CHEN L Y , SUN X , WU C M ,et al. A heterogeneous-based mimic execution scheduling model[C]// Proceedings of the first national conference on advanced computing and defense. Beijing:People’s Posts and Telecom Press, 2018: 494-500.
[6]	魏帅, 于洪, 顾泽宇 ,等. 面向工控领域的拟态安全处理机架构[J]. 信息安全学报, 2017,2(1): 54-73.
	WEI S , YU H , GU Z Y ,et al. Architecture of mimic security processor for industry control system[J]. Journal of Cyber Security, 2017,2(1): 54-73.
[7]	赵长海, 晏海华, 金茂忠 . 基于编译优化和反汇编的程序相似性检测方法[J]. 北京航空航天大学学报, 2008(6): 711-715.
	ZHAO C H , YAN H H , JIN M Z . Approach based on compiling optimization and disassembling to detect program similarity[J]. Journal of Beijing University of Aeronautics and Astronautics, 2008(6): 711-715.
[8]	LIN S , LIU Q , WU Y ,et al. A self-adaptive timeout mechanism in Mimic Defense System[C]// Proceedings of 2017 8th IEEE International Conference on Software Engineering and Service Science (ICSESS). Piscataway:IEEE Press, 2017: 588-591.
[9]	GARCIA M , BESSANI A , GASHI I ,et al. Analysis of OS diversity for intrusion tolerance[J]. Software:Practice and Experience (accepted for publication), 2013.
[10]	邬江兴 . 网络空间内生安全——拟态防御与广义鲁棒控制[M]. 北京: 科学出版社, 2020.
	WU J X . Cyberspace endogenous security:Mimic defense and generalized robust control[M]. Beijing: Science Press, 2020.

情况	表现形式	安全状态	期望的预期操作
1	“0-0-0”	正常	定时器加1，若定时器超出阈值则随机清洗
2	“1-0-0”“2-0-0”等	差模攻击，可定位故障执行体	清洗输出结果不一致的执行体，恢复到正常状态
3	“1-1-0”“1-1-1”“1-1-2”“0-1-2”等	差模攻击，未能定位故障执行体	清洗输出置信度低于0的执行体，逐次清洗其他受攻击的执行体
4	“0-2-2”“1-2-2”	N-1模攻击	清洗输出结果不一致的执行体，进入“清洗后仍未恢复状态”；然
			后清洗输出结果一致的其中一个执行体，退化到差模攻击状态
5	“2-2-2”	共模攻击	定时器加1，若定时器超出阈值则随机清洗

对象	差模漏洞触发概率P_diff	共模漏洞触发概率P_comm	执行体初始胜任系数
执行体1	0.001/0.002/0.004	1×10^-5/2×10^-5/1×10^-4	0.9
执行体2	0.001/0.002/0.004	5×10^-5/1×10^-4/5×10^-4	0.85
执行体3	0.002/0.004/0.008	5×10^-5/1×10^-4/5×10^-4	0.8
执行体4	0.002/0.004/0.008	1×10^-4/2×10^-4/1×10^-3	0.75
执行体5	0.004/0.008/0.016	1×10^-4/2×10^-4/1×10^-3	0.7
执行体6	0.004/0.008/0.016	5×10^-3/1×10^-2/5×10^-2	0.95
注：该实验参数值仅为评估所提出有限异构资源条件下拟态调度策略安全程度的一组具体系数，读者可以根据实际情况对漏洞概率值进行调整。

攻击强度	执行体1	执行体2	执行体3	执行体4	执行体5	执行体6
高强度攻击	77.91%	76.52%	55.51%	52.72%	29.11%	8.20%
中强度攻击	74.71%	73.62%	55.74%	52.78%	28.35%	14.77%
低强度攻击	72.99%	71.07%	56.68%	52.87%	29.05%	17.31%

攻击强度	平均清洗概率	平均可用概率
高强度攻击	1.52%	99.24%
中强度攻击	0.64%	99.77%
低强度攻击	0.31%	99.87%

[1]	李传煌, 唐晶晶, 陈泱婷, 雷睿, 陈超, 王伟明. 基于拟态防御架构的服务功能链执行体动态调度方法[J]. 电信科学, 2022, 38(4): 101-112.
[2]	张帆, 谢光伟, 郭威, 扈红超, 张汝云, 刘文彦. 基于拟态架构的内生安全云数据中心关键技术和实现方法[J]. 电信科学, 2021, 37(3): 39-48.
[3]	李玉峰, 曹晨红, 李江涛, 王鹏. 生物免疫启发下的一种内生安全技术框架[J]. 电信科学, 2021, 37(3): 49-56.
[4]	朱泓艺, 陆肖元, 李毅. 网络空间内生安全试验场管理技术[J]. 电信科学, 2021, 37(3): 66-74.
[5]	陈哲,蒋胜,王闯. 面向智能工业物联的灵活地址可信协议架构[J]. 电信科学, 2020, 36(7): 26-33.
[6]	陈利跃,孙歆,成天晟,吴春明,陈双喜. 面向Web隐藏后门技术的防御[J]. 电信科学, 2020, 36(5): 39-46.
[7]	高明,罗锦,周慧颖,焦海,应丽莉. 一种基于拟态防御的差异化反馈调度判决算法[J]. 电信科学, 2020, 36(5): 73-82.
[8]	秦俊宁,韩嘉佳,周升,吴春明,陈双喜,赵若琰,张江瑜. 基于异构冗余架构的拟态防御建模技术[J]. 电信科学, 2020, 36(5): 31-38.
[9]	涂哲,周华春,李坤,王玮琳. 信息网络内生恶意行为检测框架[J]. 电信科学, 2020, 36(10): 37-45.
[10]	刘杨,彭木根. 6G内生安全：体系结构与关键技术[J]. 电信科学, 2020, 36(1): 11-20.
[11]	聂凯君,曹傧,彭木根. 6G内生安全：区块链技术[J]. 电信科学, 2020, 36(1): 21-27.
[12]	郑秀丽, 蒋胜, 王闯. NewIP：开拓未来数据网络的新连接和新能力[J]. 电信科学, 2019, 35(9): 2-11.
[13]	江伟玉, 刘冰洋, 王闯. 内生安全网络架构[J]. 电信科学, 2019, 35(9): 20-28.
[14]	郑秀丽, 谭佳瑶, 蒋胜, 王闯. 未来数据网络需求分析[J]. 电信科学, 2019, 35(8): 16-25.
[15]	季新生,梁浩,扈红超. 天地一体化信息网络安全防护技术的新思考[J]. 电信科学, 2017, 33(12): 24-35.

有限异构资源条件下的工业控制拟态调度算法

Mimic security scheduling algorithm for industrial control under limited heterogeneous resource constraints

在线阅读

PDF下载

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 10

相关文章 15

Metrics

推荐阅读 0