李衛(wèi)超　馮俊龍

摘 要：威脅感知技術(shù)作為保障系統(tǒng)穩(wěn)定運(yùn)行的重要組成部分，在Web服務(wù)系統(tǒng)中得到了廣泛的應(yīng)用。針對動態(tài)異構(gòu)冗余的Web服務(wù)環(huán)境，利用多余度裁決的方法感知威脅，使得系統(tǒng)具備良好的阻斷攻擊過程、感知漏洞威脅的能力。本文首先介紹了動態(tài)異構(gòu)冗余架構(gòu)及其Web威脅感知系統(tǒng)的設(shè)計(jì)方法。然后通過比較不同威脅感知系統(tǒng)在不同架構(gòu)下的應(yīng)用效果，闡述動態(tài)異構(gòu)冗余的Web威脅感知系統(tǒng)的設(shè)計(jì)特點(diǎn)與難點(diǎn)。最后總結(jié)并展望動態(tài)異構(gòu)冗余的Web威脅感知技術(shù)面臨的挑戰(zhàn)和發(fā)展前景。

關(guān)鍵詞：動態(tài)異構(gòu)冗余架構(gòu)； 威脅感知； 異構(gòu)Web容器； Web服務(wù)軟件棧

Abstract： Threat awareness technology， as an important part of ensuring the stable operation of the system， has been widely applied in the Web service system. According to the dynamic heterogeneous redundant （DHR） Web service environment， the system has a good ability to block the attack process and perceive the threat of vulnerability by using the method of redundancy adjudication to perceive the threat. First， the paper introduces the DHR structure and design method of the Web threat awareness system. Second， the paper explains the security design features and difficulties of the DHR Web threat awareness system by comparing the application effect of different DHR structure. Finally， the summarization and the development of the DHR Web threat awareness system are discussed.

Key words： dynamic heterogeneity redundant structure； threat awareness； heterogeneity Web container； Web service software stack

引言

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可替代一部分。與此同時，快速、大規(guī)模的軟件開發(fā)模式，導(dǎo)致網(wǎng)絡(luò)應(yīng)用環(huán)境極易出現(xiàn)漏洞威脅。而且，自動化攻擊工具的出現(xiàn)，大大降低了攻擊者的攻擊成本，給網(wǎng)絡(luò)空間安全帶來了極大的挑戰(zhàn)[1]。為了應(yīng)對網(wǎng)絡(luò)空間中潛在的安全威脅問題，一種可行的方法是通過利用多樣化和隨機(jī)化的方法，在網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施中構(gòu)建動態(tài)異構(gòu)冗余（Dynamic Heterogeneity Redundant， DHR）模型，改變了原有系統(tǒng)的單一確定易受攻擊的狀態(tài)，從而達(dá)到擾亂攻擊流程，阻斷攻擊威脅的目的[2-3]。

Web服務(wù)作為關(guān)鍵的網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施服務(wù)之一，首當(dāng)其沖面臨攻擊威脅。因此，一種基于DHR架構(gòu)的Web服務(wù)系統(tǒng)就此產(chǎn)生[4]。近年來，DHR Web服務(wù)系統(tǒng)的發(fā)展十分迅速，在異構(gòu)性構(gòu)造、多余度裁決和動態(tài)調(diào)度等技術(shù)方面進(jìn)展突出。文獻(xiàn)[5]中，闡述了DHR Web服務(wù)器的基本構(gòu)造方法及性能指標(biāo)。文獻(xiàn)[6]中，提出了利用軟、硬件的多樣性來構(gòu)造系統(tǒng)異構(gòu)性的方法；文獻(xiàn)[7]中，提出了一種軟件多樣化編譯的方法來抵御攻擊威脅；文獻(xiàn)[8]中，提出了一種防御SQL注入攻擊的異構(gòu)標(biāo)簽化方法。文獻(xiàn)[9]中，提出了一種相似度求解方法，增強(qiáng)了DHR架構(gòu)系統(tǒng)的判別和決策能力；文獻(xiàn)[10]中，提出了一種動態(tài)調(diào)度的模型和方法來抵御持續(xù)性威脅。

1 DHR架構(gòu)技術(shù)

DHR架構(gòu)是DHR Web 威脅感知系統(tǒng)的環(huán)境基礎(chǔ)。通過利用DHR架構(gòu)技術(shù)將動態(tài)性、異構(gòu)性和冗余性等基本的內(nèi)生安全屬性導(dǎo)入網(wǎng)絡(luò)空間的基礎(chǔ)設(shè)施服務(wù)中，構(gòu)建內(nèi)生安全的網(wǎng)絡(luò)架構(gòu)模型，從而達(dá)到阻斷攻擊鏈、感知漏洞威脅的效果。

1.1 DHR特性

DHR架構(gòu)具有內(nèi)生安全的特點(diǎn)。因此，對于內(nèi)生安全特性有著深刻的理解才能更好地理解DHR架構(gòu)技術(shù)的內(nèi)生安全機(jī)制。DHR特性包括：異構(gòu)性、冗余性、多樣性、動態(tài)性、隨機(jī)性等?；诖?，可做研究解析分述如下。

（1）異構(gòu)性。是指具有相同功能作用的構(gòu)件，在結(jié)構(gòu)構(gòu)造、處理過程和實(shí)現(xiàn)方法存在的差異性。文獻(xiàn)[6]中，全面分析了多種軟件漏洞，并測試了相異性對安全性的提升是有效的。文獻(xiàn)[11]中，指出單一軟件帶來的安全風(fēng)險并討論了引入軟件相異性來提高系統(tǒng)安全性的方法。對于2個不同的處理構(gòu)件，相互之間必然會存在一定的差異性。理論上來說，如果2個構(gòu)件之間的差異性足夠大，則可以保證任意一種獨(dú)立的攻擊方法對于不同的2個構(gòu)件是不可能同時生效的。

（2）冗余性。是指在系統(tǒng)中存在功能等價的構(gòu)件同時工作。早在1834年，Lardner就已經(jīng)提出“通過多臺相同的計(jì)算機(jī)處理同一運(yùn)算，來檢測運(yùn)算結(jié)果的正確性，如果采用不同的運(yùn)算方法進(jìn)行計(jì)算，那么結(jié)果則更加可靠”的論題[12]。冗余性可以分為同構(gòu)冗余和異構(gòu)冗余。系統(tǒng)的冗余程度與系統(tǒng)的抗攻擊能力沒有直接的關(guān)聯(lián)，對于同構(gòu)冗余能夠做到屏蔽構(gòu)件自身執(zhí)行產(chǎn)生的故障性錯誤，在系統(tǒng)容錯方面起著重要的作用。對于異構(gòu)冗余模型，除了能夠達(dá)到容錯的要求，還能夠滿足系統(tǒng)對容侵的需求，提高系統(tǒng)的抗攻擊能力。

（3）多樣性。是指在一個工作系統(tǒng)中構(gòu)件的豐富程度。Baudry等人對軟件多樣性的多個方面，包括系統(tǒng)安全性等內(nèi)容進(jìn)行了全面的分析[13]。復(fù)雜的異構(gòu)性和冗余性與系統(tǒng)的多樣性是不可分離的?？梢哉J(rèn)為，系統(tǒng)中構(gòu)件的差異程度越大，異構(gòu)性和冗余性越強(qiáng)。而系統(tǒng)中的構(gòu)件集就越豐富，多樣性越強(qiáng)。因此，多樣性常被用于異構(gòu)性的構(gòu)造方法之中。

（4）動態(tài)性。是指具有相同功能作用的構(gòu)件相互之間動態(tài)切換，達(dá)到讓系統(tǒng)結(jié)構(gòu)不確定的目的。Peng等人在云服務(wù)環(huán)境下，利用虛擬化技術(shù)進(jìn)行系統(tǒng)恢復(fù)的方法，實(shí)現(xiàn)了服務(wù)和流量的動態(tài)遷移[14]。Lew等人應(yīng)用了動態(tài)變遷技術(shù)實(shí)現(xiàn)了一種動態(tài)防御的安全防護(hù)系統(tǒng)[15]。動態(tài)變換要按照一定的策略，不定時地改變系統(tǒng)運(yùn)行構(gòu)件，降低了系統(tǒng)漏洞被發(fā)現(xiàn)的風(fēng)險，同時對持續(xù)性攻擊行為有著良好的防御效果。從某種程度上來說，系統(tǒng)的動態(tài)性可以被視為在時間維度上對系統(tǒng)多樣性的拓展。

（5）隨機(jī)性。是指在系統(tǒng)中的構(gòu)件執(zhí)行過程中由指令集合、地址空間的變化所引入的不確定性。隨機(jī)性方法在運(yùn)行環(huán)境、軟件層和數(shù)據(jù)層存在著廣泛的應(yīng)用。例如，地址空間隨機(jī)化技術(shù)（address space randomization， ASR）和指令集隨機(jī)化技術(shù)（instruction set randomization， ISR）[16-17]能夠防御攻擊者挖掘軟件漏洞，其中ASR技術(shù)在學(xué)術(shù)和商用領(lǐng)域都已經(jīng)趨于成熟，應(yīng)用較為廣泛。將隨機(jī)性分為靜態(tài)隨機(jī)性和動態(tài)隨機(jī)性。若在系統(tǒng)運(yùn)行前產(chǎn)生的不確定性并且在系統(tǒng)運(yùn)行中不發(fā)生改變，稱之為靜態(tài)隨機(jī)性；若在系統(tǒng)運(yùn)行前后和系統(tǒng)的運(yùn)行過程中都可能產(chǎn)生變化，則稱之為動態(tài)隨機(jī)性。靜態(tài)隨機(jī)性反映了系統(tǒng)構(gòu)件間的差異程度所帶來的不確定性，屬于異構(gòu)性范疇；動態(tài)隨機(jī)性則反映了系統(tǒng)構(gòu)件間的動態(tài)切換所帶來的不確定性，屬于動態(tài)性范疇。

1.2 DHR架構(gòu)

DHR架構(gòu)通過構(gòu)造異構(gòu)性和冗余性，并融入動態(tài)性、隨機(jī)性和多樣性，以對抗漏洞攻擊。首先通過異構(gòu)性的構(gòu)造和組合方法，實(shí)現(xiàn)非相似余度架構(gòu)（Dissimilar Redundancy Architecture， DRA）[2]，如圖1所示。

由圖1可知，DRA由輸入、請求分發(fā)器、異構(gòu)執(zhí)行體集合、多模表決器和輸出組成。在保證執(zhí)行體間異構(gòu)性足夠大的情況下，利用共有漏洞互不重合的性質(zhì)，阻止入侵行為。利用n個執(zhí)行體間的異構(gòu)性給系統(tǒng)帶來安全增益，同時利用冗余性進(jìn)行多模表決來提高系統(tǒng)輸出正確性。可以看出，異構(gòu)性和冗余性是構(gòu)成DRA的基本屬性。

在DRA模型的基礎(chǔ)上，以異構(gòu)性最大化為基礎(chǔ)，冗余裁決為核心，綜合動態(tài)性、隨機(jī)性和多樣性實(shí)現(xiàn)了DHRA，如圖2所示。

由圖2可知，DHRA除了具備DRA的組成部分，增加了異構(gòu)元素池、異構(gòu)構(gòu)件集合、動態(tài)選擇器、隨機(jī)發(fā)生器。在保障執(zhí)行體結(jié)構(gòu)具備可重組、可重建、可重定義等動態(tài)化、異構(gòu)化的結(jié)構(gòu)變換要素的基礎(chǔ)上，通過建立異構(gòu)元素池，從中選取異構(gòu)元素，組合生成m個具有相同作用和功能的異構(gòu)構(gòu)件。進(jìn)一步通過動態(tài)選擇模塊，選擇出n個異構(gòu)構(gòu)件作為執(zhí)行體A，并按照這n個執(zhí)行體的輸出結(jié)果進(jìn)行多模裁決，從而獲得威脅感知能力。這里，設(shè)PA表示執(zhí)行體失效概率，V表示裁決狀態(tài)，則裁決后的失效概率Pjudge為：

理論上，DHRA要求完全地去關(guān)聯(lián)化和去協(xié)同化，以達(dá)到完全屏蔽互不相交的“有毒帶菌”的異構(gòu)構(gòu)件漏洞后門威脅的目的。而在實(shí)際應(yīng)用中，DHRA的異構(gòu)冗余構(gòu)件非相似性設(shè)計(jì)則比經(jīng)典的非相似余度要寬松得多。放寬對異構(gòu)性設(shè)計(jì)的要求，一方面因?yàn)樵趯?shí)際的網(wǎng)絡(luò)空間環(huán)境中，考慮到服務(wù)對象的功能、性能以及用戶使用習(xí)慣等因素，人為設(shè)計(jì)存在處于同一概率空間的可能。也就是說，構(gòu)造異構(gòu)構(gòu)件的過程之中，總會產(chǎn)生部分同構(gòu)的成分。但是，由于有動態(tài)性的存在，只要保證在運(yùn)行機(jī)制、調(diào)用機(jī)制、運(yùn)行環(huán)境、參數(shù)賦值等方面存在不確定性，相互獨(dú)立的構(gòu)件之中的同構(gòu)成分也就很難同時形成一致性或多數(shù)相同的錯誤。另一方面，由于在現(xiàn)有的軟硬件體系結(jié)構(gòu)中已經(jīng)包含了一些安全防御手段，對于已經(jīng)相對安全的系統(tǒng)來說，放寬相異性在一定程度上能夠提高系統(tǒng)工作效率。

2 DHR Web 威脅感知系統(tǒng)

Web服務(wù)作為網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施服務(wù)中關(guān)鍵組成部分，發(fā)展迅速且規(guī)模龐大。Web服務(wù)的多元化發(fā)展趨勢也為DHR架構(gòu)模型的應(yīng)用提供了天然的優(yōu)勢。因此，通過構(gòu)造異構(gòu)的Web威脅感知容器，實(shí)現(xiàn)異構(gòu)的Web服務(wù)軟件棧，通過多模裁決技術(shù)實(shí)現(xiàn)基于DHR架構(gòu)的Web威脅感知系統(tǒng)。

2.1 異構(gòu)Web容器設(shè)計(jì)

在DHR Web 威脅感知系統(tǒng)中，其安全性上限的高低往往依賴于各個Web服務(wù)執(zhí)行構(gòu)件之間的異構(gòu)性大小。執(zhí)行構(gòu)件間的異構(gòu)性越大，相交的漏洞威脅就越少，系統(tǒng)也就越安全。在異構(gòu)Web服務(wù)容器中，異構(gòu)性的實(shí)現(xiàn)方法主要包括：自然異構(gòu)性、隨機(jī)異構(gòu)性和可控異構(gòu)性。由此推得研究表述詳見如下。

（1）自然異構(gòu)性。來自于軟件開發(fā)過程，是在軟件研發(fā)過程中，由于受到市場競爭、開發(fā)者、執(zhí)行環(huán)境和開發(fā)語言等諸多社會因素的作用，自然而然形成的一種差異形式。目前，多元化的軟件市場中充斥著大量的自然異構(gòu)軟件[13]。例如，操作系統(tǒng)軟件，包括Windows、Linux、Unix為核心的自然異構(gòu)操作系統(tǒng)；服務(wù)器軟件，包括Apache、Nginx、IIS、Tomcat、Lighttpd等自然異構(gòu)服務(wù)器；數(shù)據(jù)庫軟件，包括Mysql、Sql Server、Oracle、PostgreSQL、Sybase、DB2等自然異構(gòu)數(shù)據(jù)庫。

（2）隨機(jī)異構(gòu)性。是指通過在應(yīng)用代碼自身或者代碼執(zhí)行過程中使用隨機(jī)化方法產(chǎn)生差異的形式。隨機(jī)異構(gòu)性的產(chǎn)生通常應(yīng)用在代碼層面。靜態(tài)的隨機(jī)化可以在源代碼層面或二進(jìn)制代碼層面產(chǎn)生相同程序的不同版本，典型的技術(shù)如代碼混淆技術(shù)[18]。動態(tài)的隨機(jī)化能夠直接或間接地產(chǎn)生同一程序的不同執(zhí)行過程集，是在執(zhí)行環(huán)境中實(shí)現(xiàn)的，常用的技術(shù)如多樣化編譯等。

（3）可控異構(gòu)性。是通過人為控制來產(chǎn)生異構(gòu)性，在保證程序功能等價的前提下通過人為構(gòu)造多個獨(dú)立開發(fā)的程序從而帶來人為可控的差異?？煽禺悩?gòu)性常見于產(chǎn)品開發(fā)線、開源軟件架構(gòu)和多版本軟件[19]。例如，操作系統(tǒng)、服務(wù)器、數(shù)據(jù)庫等軟件版本更替產(chǎn)生的異構(gòu)性；開源軟件的不同分支產(chǎn)生的異構(gòu)性，等。

綜上所述，對比3種異構(gòu)性的實(shí)現(xiàn)方法可知，自然產(chǎn)生的異構(gòu)性，在開發(fā)過程中通常會采用不同設(shè)計(jì)手段，因此其異構(gòu)程度相對較大，但是利用自然異構(gòu)的應(yīng)用數(shù)量有限；隨機(jī)方法產(chǎn)生的異構(gòu)性，因?yàn)椴⒉荒軐﹄S機(jī)過程展開控制，因此無法預(yù)知其異構(gòu)性表現(xiàn)；人為控制產(chǎn)生的異構(gòu)性，通常會基于相同的構(gòu)造方法實(shí)現(xiàn)進(jìn)一步功能，因此其異構(gòu)程度相對較小。

2.2 DHR Web服務(wù)軟件棧

根據(jù)DHR架構(gòu)模型實(shí)現(xiàn)的Web服務(wù)采用層次化的設(shè)計(jì)方法，依據(jù)不同的功能定位選取相應(yīng)的異構(gòu)性實(shí)現(xiàn)方法，通過重構(gòu)、重組等方法構(gòu)成了異構(gòu)的Web服務(wù)器軟件棧。DHR Web服務(wù)軟件棧主要包括應(yīng)用層、存儲層、服務(wù)層、系統(tǒng)層等層次結(jié)構(gòu)。如圖3所示，在應(yīng)用層使用諸如Java、PHP或Python之類的高級編程語言定制應(yīng)用程序業(yè)務(wù)邏輯；在服務(wù)層接收來自客戶端的HTTP請求，進(jìn)行解析并將請求傳遞給相應(yīng)的服務(wù)器端程序，如Apache、IIS和Nginx等；在存儲層用來存儲服務(wù)程序和用戶數(shù)據(jù)，包括數(shù)據(jù)應(yīng)用接口和存儲的數(shù)據(jù)文件；在操作系統(tǒng)層為Web服務(wù)層和存儲層提供運(yùn)行時環(huán)境，如Windows、Linux和Unix。

在DHR Web服務(wù)的軟件棧層次結(jié)構(gòu)中，每一層都有可能遭受攻擊威脅。例如，攻擊者利用緩沖區(qū)溢出的攻擊方法對系統(tǒng)層進(jìn)行攻擊，獲取系統(tǒng)應(yīng)用權(quán)限；或者攻擊者通過利用應(yīng)用層漏洞，在Web應(yīng)用程序中上傳并執(zhí)行惡意腳本，獲取用戶信息，通過進(jìn)一步提升權(quán)限，獲得整個網(wǎng)站的管理特權(quán)；又或攻擊者通過利用存儲層漏洞，在Web應(yīng)用程序中進(jìn)行SQL注入攻擊，獲取存儲數(shù)據(jù)，通過進(jìn)一步提升權(quán)限，獲得數(shù)據(jù)庫管理權(quán)限。因此，在DHR Web服務(wù)軟件棧中，通過使用異構(gòu)Web容器設(shè)計(jì)方法，在系統(tǒng)的各個層次增加異構(gòu)性成分，使得Web服務(wù)能夠更好地應(yīng)對復(fù)雜多樣的攻擊手段，以增加攻擊者攻擊的復(fù)雜性和成本，阻斷攻擊威脅。

基于此，將多個層次的異構(gòu)組件進(jìn)行動態(tài)組合，形成異構(gòu)的Web服務(wù)軟件棧 。對于不同層次組成元素失效率分別用λos、λds、λws、λal 來表示；Pos、Pds、Pws、Pal 依次表示圖3中操作系統(tǒng)層、假設(shè)失效在時間維度上可以看作是均勻的隨機(jī)事件且各層次失效概率為獨(dú)立事件，則有服務(wù)層、數(shù)據(jù)存儲層、應(yīng)用邏輯層的失效概率為：

2.3 基于裁決的威脅感知方法

在Web威脅感知系統(tǒng)中Web威脅感知方法在保證系統(tǒng)中不缺失動態(tài)性、異構(gòu)性和冗余性的前提下，比較異構(gòu)的Web威脅感知容器的響應(yīng)輸出結(jié)果，可得相對正確的響應(yīng)輸出結(jié)果，從而達(dá)到屏蔽漏洞后門和感知攻擊威脅的目的。基于裁決的Web威脅感知方法更多地被視為一種響應(yīng)比較的策略應(yīng)用于DHR架構(gòu)中。具體到不同的應(yīng)用場景，實(shí)現(xiàn)方法會有一定的差異，常采用的裁決實(shí)現(xiàn)方法包括全體一致裁決、大數(shù)裁決算法、最大近似裁決、基于歷史信息的帶權(quán)裁決等?；诓脹Q的Web威脅感知方法如圖4所示。

基于裁決的Web威脅感知方法，在Web服務(wù)入口和出口處，增設(shè)了請求分發(fā)和響應(yīng)比較模塊作為輸入和輸出代理。當(dāng)請求到來時，分發(fā)器將請求復(fù)制為多份，分發(fā)至多個異構(gòu)的Web容器中，響應(yīng)裁決模塊通過收集比較多個響應(yīng)的異同，得到唯一的響應(yīng)輸出，同時判斷異常信息記錄到威脅感知日志當(dāng)中，以此來獲得安全增益。

3 實(shí)驗(yàn)分析

根據(jù)Web威脅感知系統(tǒng)的安全增益計(jì)算方法，討論在不同的DHR架構(gòu)下安全增益的變化趨勢，如圖5所示。在圖5中，圖5（a）的趨勢圖為：當(dāng)n=10固定不變時， k取n/2到n的安全增益變化曲線；圖5（b）的趨勢圖為：當(dāng)n=40固定不變時， k取n/2到n的安全增益變化曲線；圖5（c）的趨勢圖為：當(dāng)k/n=0.67固定不變、k增加時，系統(tǒng)的安全增益變化曲線；圖5（d）的趨勢圖為：當(dāng)k/n=1固定不變、k增加時，系統(tǒng)的安全增益變化曲線。

通過對圖5進(jìn)行對比分析可知，當(dāng)n不變時，k越大則安全增益為正的失效概率范圍越大，安全增益的最值越高；當(dāng)n增大時，安全增益為正的失效概率范圍不一定增大，但是安全增益的最值會提高；當(dāng)k/n值不變時，安全增益為正的失效概率范圍基本保持不變，安全增益最值會提高；當(dāng)k/n值不變時，安全增益為正的失效概率范圍基本會隨之增大，安全增益最值會提高。這說明了不同的DHR架構(gòu)下，冗余程度n只會對威脅感知的上限產(chǎn)生影響，而裁決精度k/n則會對威脅感知容器的選取產(chǎn)生影響。

4 結(jié)束語

本文從DHR架構(gòu)的防御特性和架構(gòu)模型出發(fā)，闡述了DHR Web威脅感知的設(shè)計(jì)方法。在不同DHR架構(gòu)下，分析Web威脅感知系統(tǒng)的安全增益，為DHR Web威脅感知技術(shù)的進(jìn)一步研究和發(fā)展提供依據(jù)和參考。在未來，如何通過細(xì)粒度的異構(gòu)性構(gòu)造方法構(gòu)造Web威脅感知容器，從而最大化提升DHR架構(gòu)下的Web威脅感知系統(tǒng)的安全增益，將會成為DHR Web威脅感知技術(shù)發(fā)展的方向。

參考文獻(xiàn)

[1] CHERDANTSEVA Y， BURNAP P， BLYTH A， et al. A review of cyber security risk assessment methods for SCADA systems[J]. Computers & Security， 2016， 56（C）：1-27.

[2] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報， 2016， 1（4）：1-10.

[3] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)安全防御[J]. 保密科學(xué)技術(shù)， 2014（10）：4-9.

[4] 張錚， 馬博林， 鄔江興. web服務(wù)器擬態(tài)防御原理驗(yàn)證系統(tǒng)測試與分析[J]. 信息安全學(xué)報， 2017， 2（1）：13-28.

[5] 仝青， 張錚， 張為華，等. 擬態(tài)防御web服務(wù)器設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件學(xué)報， 2017， 28（4）：883-897.

[6] HAN Jin， ZANG Binyu. Analyzing the effectiveness of software diversity for system security[J]. Computer Applications & Software， 2010，27（9）：273-275，300.

[7] 張宇嘉， 龐建民， 張錚，等. 基于軟件多樣化的擬態(tài)安全防御策略[J]. 計(jì)算機(jī)科學(xué)， 2018， 45（2）：215-221.

[8] LI Weichao， ZHANG Zheng， WANG Liqun. Improvement in diversify active defense for web application by using language and database heterogeneity[C]// International Conference on Anti-Counterfeiting， Security and Identification. Xiamen， China：IEEE， 2017：30- 35.

[9] 馬博林， 張錚， 劉健雄. 應(yīng)用于動態(tài)異構(gòu)web服務(wù)器的相似度求解方法[J]. 計(jì)算機(jī)工程與設(shè)計(jì)， 2018，39（1）：282-287.

[10]MA Bolin， ZHANG Zheng， ZHU Yongsheng. A formalization research on web server and scheduling strategy for heterogeneity[C]// Advanced Information Management， Communicates， Electronic and Automation Control Conference.Xi'an，China： IEEE， 2016：1447-1451.

[11]BIRMAN K， SCHNEIDER F B. Security risks from a software monoculture[R]. New York：Cornell University， 2008.

[12]HERSCHEL I F W. Report on Mr. Babbage's calculating engine[J]. Journal of the Franklin Institute， 1831，11（3）：210-213.

[13]BAUDRY B， MONPERRUS M. The multiple facets of software diversity[J]. Acm Computing Surveys， 2015， 48（1）：1-26.

[14]PENG Wei， LI Feng， HUANG C T， et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]// IEEE International Conference on Communications. Sydney， NSW， Australia：IEEE， 2014：804-809.

[15]LEW H L， DIKMEN S， Slimp J， et al. Organically assured and survivable information systems （OASIS） demonstration and validation program[J]. American Journal of Physical Medicine & Rehabilitation， 2003， 82（1）：53-61.

[16]VOAS J， GHOSH A， CHARRON F， et al. Reducing uncertainty [JP3]about common-mode failures[C]// Eighth International Symposium on Software Reliability Engineering. Albuquerque， NM：IEEE Computer Society， 1997：308.

[17]NADUNGODAGE C H， XIA Y， VAIDYA P S， et al. Online multi-dimensional regression analysis on concept-drifting data streams[J]. International Journal of Data Mining Modelling & Management， 2014， 6（3）：217.

[18]VOLCKAERT S， COPPENS B， De SUTTER B. Cloning your gadgets： Complete ROP attack immunity with multi-variant execution[J]. IEEE Transactions on Dependable & Secure Computing， 2016， 13（4）：437-450.

[19]GRUZENKIN D V， CHERNIGOVSKIY A S， TSAREV R Y. N-version software module requirements to grant the software execution fault-tolerance[C]// Computational Methods in Systems and Software. Cham：Springer， 2017：293-303.