引言

随着信息技术的发展和应用范围的不断扩大，网络安全问题日益突出，各种网络攻击手段层出不穷，给信息系统的安全性带来了巨大挑战。传统的安全防御体现往往采用隧道加密、防火墙、入侵检测等手段，但随着攻击技术的不断进步，这些传统手段应对于未知攻击、未定义特征的防御能力相对薄弱，对于 0-Day性质的漏洞后门、病毒木马等网络攻击更是束手无策。因此，针对未知攻击、未定义特征、 0-Day攻击进行拟态防御是内生安全领域的一个重要研究方向。在《关于印发“十四五”数字经济发展规划的通知》规划也提出：促进拟态防御等网络安全技术信息系统，持续深入探索基于动态冗余架构的网络内生安全机制。

内生安全强调了所有由软硬件构成的信息物理系统或控制装置都不可避免地存在内生安全共性问题，所以应当从系统的设计、开发过程中就建立应对内生安全问题的结构和机制，在面临攻击时通过该机制实现自我保护、自我检测和自我恢复。

拟态防御是一种模仿真实系统的正常行为，并通过混淆、隐藏等手段使攻击者无法分辨真实系统和拟态系统的安全机制。与传统的被动防御机制不同，拟态防御强调对攻击者的混淆和欺骗，使其无法准确识别真实系统和拟态系统的区别，从而达到保护系统安全的目的。在这种机制下，攻击者很难对系统进行攻击，因为他们无法找到真正的目标。

动态异构冗余架构是拟态防御的核心技术。动态异构冗余架构是利用不同的技术、硬件或软件来实现冗余功能的安全机制。通过将系统的关键组件部署在不同的硬件、软件环境中，即使其中一个组件受到攻击或失效，系统仍能保持正常运行。动态异构冗余在一定程度上可以提高系统的安全性和稳定性，增强系统对外部攻击的抵御能力。

本文将拟态防御和动态异构冗余架构的定义、原理、设计原则应用到工业控制系统中的网络安全防护中。通过将拟态防御和动态异构冗余相结合，构建内生安全机制，可以更好地应对复杂多变的网络安全威胁。

二、被动防御体系的演进和困局

被动防御体系演进

第一阶段的安全技术主要通过划分明确的网络边界，利用各种保护和隔离技术手段，例如用户鉴权与认证、访问控制、信息加解密、网络隔离等，在网络边界上部署，防止外部非法入侵与信息泄露，达到系统加固的目的。此类技术在确保网络系统的正常访问、鉴别合法用户身份和权限管理、机密数据信息安全方面有较强的防护作用，但这一阶段技术对部分攻击行为如用户身份假冒、系统漏洞后门攻击等显得无能为力。

第二阶段的安全防护融合了保护、检测、响应、恢复四大技术。此阶段主要采用特征扫描、模式匹配等手段对系统状态进行检测与报警，寻找被植入的恶意代码并进行查杀，找出导致恶意代码可被植入的原因并用补丁的方式进行修补，发现不规范的蓄意行为和特征并加以抑制。此阶段技术高度依赖检测能力，且攻击方发展出对应的伪装欺骗技术，导致不可能发现全部攻击。

第三阶段的安全防护在前两阶段的基础上叠加了信息生存技术。此阶段网络在假设漏洞后门不可避免，攻击和意外事故已然、必然发生的条件下，通过实时状况感知与响应，实时调整安全策略，采用自我诊断隔离、还原重构等手段，仍可在限定时间内完成全部关键使命。容侵技术可以作为网络系统的最后一道防线，使攻击侵犯的影响降到最低。但目前容侵技术主要基于门限密码秘密共享理论的容侵模型设计，尚未达到规模化实用的程度，并且模型的建立依赖大量先验知识与实际经验，对于未定义的攻击行为仍然较难防范。

被动防御体系困局

被动防御体系，如常见的防火墙、入侵检测系统、反病毒软件等，主要依赖于对已知攻击模式和特征的识别来发挥作用。这种依赖使得它们在面对新型的、未知的攻击手段时显得力不从心。由于其防御策略是基于事先设定的规则和模式，一旦攻击者采用了未曾预见的攻击方式或者对已知攻击进行了巧妙的变形和伪装，被动防御体系很可能无法及时有效地做出响应。

再者，被动防御体系往往在攻击发生后才能检测到异常，这意味着在发现威胁之前，系统可能已经遭受了一定程度的损害。而且，它们通常只能针对特定类型的攻击或威胁进行防护，对于跨领域、多维度的复杂攻击，可能无法提供全面的保护。

另外，被动防御体系的更新和维护是一个持续的挑战。为了保持有效性，需要不断更新特征库、规则集以及软件版本，以应对不断变化的攻击手段。然而，这个过程通常存在时间延迟，给攻击者留下了可乘之机。

从更宏观的角度来看，被动防御体系在应对大规模、协同式的网络攻击时，可能会因为资源消耗过大或者协调不畅而出现防护漏洞。随着网络环境的日益复杂和攻击者技术的不断进步，被动防御体系的部署和管理成本也在不断增加，但其防护效果却难以实现与投入成正比的提升。

迄今为止，传统的被动防御网络安全思维模式和技术路线很少能跳出“尽力而为、问题归零“的惯性思维。相比之下，内生安全机制中的拟态防御体系则具有主动应对、动态变化和自适应的特点，能够更好地适应复杂多变的网络威胁环境，为网络安全提供更强大、更灵活的保障。

三、拟态防御和动态冗余架构简介

在上述背景下，学术界和工业界逐步认识到，仅仅依赖于传统网络安全技术已经不能有效应对不断演变的网络威胁。大量的网络安全事件表明，网络空间绝大部分安全威胁都是由人为攻击这个外因，通过目标对象自身存在的漏洞后门这个内因的相互作用而形成的。为此，由中国工程院邬江兴院士提出的内生安全和拟态防御概念应运而生，旨在通过增强系统自身安全性、动态性和不确定性来应对复杂多变的威胁。

拟态防御

拟态防御是实现内生安全的具体方法之一，从生物学的拟态现象中获得灵感，旨在通过动态变化、随机性、异构冗余等机制，使系统表现出多样化和不可预测性，从而使攻击者难以识别和攻击真实目标；核心是通过设立拟态边界和重点区域防御，确保目标对象的稳定性。为了提高防御资源的利用率，采用了策略调度与动态重构的负反馈机制。在防御过程中，重点在于管理异构执行体漏洞后门的可达性与协同利用性，借助拟态裁决，实现目标对象功能和系统性能的健壮性。

拟态防御以“相对正确公理”，即“人人都存在这样或那样的缺点，但极少出现独立完成同样任务时，多数人在同一个地点、同一时间、犯完全一样错误的情形”为基础，引申出动态异构冗余架构，动态冗余架构是拟态防御的核心技术之一。

动态冗余架构（(Dynamic Heterogeneous Redundancy，DHR）

动态异构冗余架构(DHR)的核心思想是依据“构造决定安全”的公知，在保证本征功能集不变条件下，导入基于多模裁决的策略调度和多维动态重构鲁棒控制机制，赋予运行环境动态可重组、软件可定义、算法可重构的功能属性，形成攻击者视角下的测不准效应，使目标运行场景在抑制广义不确定扰动方面具备可迭代收敛的动态性、随机性、多样性。

动态异构冗余架构(DHR)，包括输入代理、等价异构执行体资源池、输出代理、拟态裁决、异构体重构和策略调度、反馈控制等功能部件。

动态异构冗余构造来化解或规避目标对象内部“已知的未知风险”或“未知的未知威胁”的原理与方法，表现有五个方面：

首先：能将基于构造内执行体个体未知漏洞后门的隐匿性攻击，转变为拟态界内攻击效果不确定的事件；

其次：能将效果不确定的攻击事件归一化为具有概率属性的广义不确定扰动问题；

三是：基于拟态裁决的策略调度和多维动态重构负反馈机制产生的“测不准”防御迷雾，可以瓦解试错或盲攻击的前提条件；

四是：借助“相对正确”公理的逻辑表达机制，可以在不依赖攻击者先验知识或行为特征信息情况下提供高置信度的敌我识别功能；

五是：能将非传统安全威胁归一化为广义鲁棒控制问题并可实现一体化的处理。

四、拟态防御与传统安全结合场景

传统安全技术在互联网中面临多重风险，特别是对于针对0 Day漏洞的攻击（零日攻击）和绕过WAF攻击的方式缺乏有效的防御手段，而通过拟态防御和传统安全混和部署的方式可以弥补传统安全技术的缺陷，也可以有效阻止未定义攻击造成系统异常或损坏，如图所示：

五、基于动态冗余架构的工业控制网络内生安全机制

工业控制网络比之互联网更需要稳定、安全的防护措施，基于动态冗余架构的工业控制网络内生安全机制可以提高工业控制网络对于攻击的防护能力和灵活性。

工业控制网络内生安全机制中包括输入代理、冗余执行体集合、策略裁决、负反馈控制器、输出代理、异构组件库模块，如图所示：

1.输入代理模块：负责报文的接收和向冗余执行体集合分发，并执行检查报文格式、协议类型、合法性等初步筛选或过滤动作，如发现可疑报文，输入代理可直接丢弃报文，避免其进入下一阶段。

2.冗余执行体集合：由多个功能等价但设计和实现不同的异构执行体构成。这些执行体分别处理相同的报文，即使某个执行体发生故障或遭受攻击，其他执行体仍然能够正常工作；同时，由于每个执行体具有不同的实现方式，攻击者即使发现某个执行体的漏洞，也很难通过相同的攻击手段同时攻破其他执行体，这种设计可以有效防御零日攻击。

3.策略裁决模块：接受冗余执行体集合中多个执行体处理后的结果，并对这些结果进行裁决。由于多个执行体可能由于环境、配置或潜在的攻击而产生不同的输出，策略裁决模块通过比较和分析这些结果，识别潜在的攻击或故障，向反馈控制器发送警报并决定最终的系统输出；同时，策略裁决模块可以动态调整裁决策略，通过动态调整，策略裁决模块能够适应不断变化的环境和威胁。

4.负反馈控制器：持续监控系统的运行状态，包括执行体的健康状态、输出结果和结果的准确性、安全性等。一旦检测到执行体异常，负反馈控制器会向异常执行体发出调度指令，以促使其做出相应调整；同时，负反馈控制器也向策略裁决模块实时传递反馈信息以促使策略裁决模块根据反馈进行动态调整，优化裁决过程和输出结果。

5.输出代理模块：将策略裁决模块的最终结果安全、准确地传递到生产环境。它通过执行安全检查、反馈异常信息、隔离生产环境和管理输出的可追溯性，确保系统的输出过程既安全又高效，从而保障整个工业控制网络的稳定和可靠运行。

6.异构组件库模块：为系统提供了多种异构组件，这些组件在系统运行过程中被动态地选取、组合和部署，它支持多种工控协议和不同操作系统以确保冗余执行体集合中执行体的冗余度，随着安全技术的发展，新的异构组件可以不断添加到组件库中，而旧的或已被攻破的组件则可以被淘汰或更新。该模块是实现动态异构冗余架构的关键，确保系统在面对复杂威胁时能够保持稳定和安全的运行。

工业控制系统内部动态冗余的实现流程如图所示：

1.工控Modbus报文首先会进入“输入代理”模块中，输入代理模块验证后将报文分发至功能等价冗余执行体集合。

2.异构冗余组件中的执行体将会响应并执行报文，其结果将发送至“策略裁决”模块；攻击者需要在拟态环境下实现多元目标的协同攻击并取得一致攻击效果，才能进行下一个攻击步骤，但此过程需要攻击者付出大量的攻击成本和攻击代价。

3.“策略裁决”模块通过多模选择、一致性比较或权重裁决等组合或迭代方式对异构冗余组件的执行结果进行裁决，并将裁决结果发送至负反馈控制器，并根据裁决结果决定是否发送至“输出代理”模块。

4.负反馈控制器收到来自裁决模块的裁决结果后，向异构组件库发送调度命令以执行对异构冗余执行体的调整。

5.“输出代理”模块将会格式化输出，将原报文发送至工业控制网络中，并记录相关日志。

6.异构组件库根据接收到来自反馈控制器或外部命令的调度指令执行策略调整，并根据动态选择算法从异构组件库中组装新的异构执行体加入异构执行体集合。

7. 当“策略裁决”模块检测到预期的正常报文数量更多时，则向工业控制网络中发送该报文；当检测到非预期的异常报文数量更多时，则拒绝该报文进入工业控制网络中。

动态冗余架构的工业控制网络内生安全机制具有显著的优点，在工业控制系统中发挥着重要作用。在高可信度上，拟态防御具备完善的裁决机制和反馈机制。面对内外部威胁攻击，拟态防御机制能够将针对个体的攻击事件转化为系统层面可量化且概率可控的安全事件。具体表现为裁决机制的组合迭代式裁决能力，在高可靠性上，冗余执行体与生产环境相隔离，即便冗余执行体内的执行体发生故障无法正常工作，也不会影响系统的业务功能运行。而且，反馈机制能够实时检测异常执行体并进行清洗、上线操作，进一步确保系统服务或功能稳定可靠地运行。

六、结束语

在信息技术高速发展的当下，工业控制网络面临的安全挑战愈发严峻。通过对传统安全防御手段的局限性分析，我们明确了针对未知攻击、未定义特征以及 0-Day 攻击进行拟态防御研究的重要性和紧迫性。这不仅是内生安全领域的关键研究方向，也是应对未来复杂多变网络威胁的必然选择。正如《关于印发“十四五”数字经济发展规划的通知》所强调，促进拟态防御等网络安全技术在信息系统中的应用具有重要的战略意义。我们应紧跟时代步伐，持续深入探索基于动态冗余架构的工业控制网络内生安全机制，不断创新和完善相关技术，为工业控制网络的安全稳定运行提供坚实的保障，助力数字经济的蓬勃发展，共同构建一个安全、可靠、高效的网络环境。