鄔江興院士：魯棒控制與內生安全

傳統的安全問題是天然發生的安全問題，如今非傳統安全問題是人爲的，好比黑客或蓄謀已久的人所作的事情，這時候的安全問題就由Safety 變成Security。對於Security 怎麼辦呢？廣義魯棒控制是手段，得到的效果是內生安全。

　　廣義魯棒控制與網絡安全挑戰

　　廣義不肯定擾動定義以下：若是目標對象內部既存在某些傳統類型的不肯定擾動因素（例如可靠性問題、物理失效問題），也存在針對系統軟硬件漏洞後門等「暗功能」的未知攻擊擾動（人爲的），咱們稱之爲廣義不肯定擾動，包括人爲暗功能的擾動。

　　廣義不肯定擾動就存在廣義魯棒控制。廣義魯棒的定義以下：若是有一種廣義魯棒控制構造，即能在某些傳統類型的不肯定因素擾動下保持給定功能或性能在設計餘度內，也能在基於系統內部漏洞後門等「暗功能」的不肯定攻擊做用下維持給定功能或性能。假若有這樣的能力，咱們就說它具備「抑制廣義不肯定擾動」的功能，也能夠稱之爲「廣義魯棒控制構造」。

　　網絡空間安全之本源問題

　　因爲軟硬件設計缺陷或脆弱性致使的安全漏洞沒法完全避免。產品提供者有意設計或產業生態環境中無心引入的具備「暗功能」性質的軟硬件代碼沒法完全杜絕。在能夠預見的未來，尚缺少技術和方法，沒法窮盡或徹查目標系統問題代碼及邏輯缺陷。網絡空間也沒法給出嚴格的操做規範以及它的行爲準則，包括精準、可靠的監管手段。試圖經過法律手段把這些問題解決也不太可能。

　　傳統魯棒控制構造因爲沒法實時感知「已知的未知」或「未知的未知」，鄔江興院士 這是網絡安全界獨有的表述，這不是一種非傳統的不肯定擾動影響，於是傳統的魯棒控制不具備抑制廣義不肯定擾動的能力。也就是說傳統魯棒控制沒有辦法對付廣義不肯定擾動，這是個世界性難題。

　　本屬網絡空間軟硬件產品設計、製造和使用過程當中存在的脆弱性或安全缺陷，或產業生態問題，因爲沒法實時管控軟硬件產品內部的廣義不肯定性擾動，隨着網絡空間的急速膨脹，安全威脅就成爲瀰漫性問題，威脅瀰漫在整個網絡空間內。

　　這樣潘多拉魔盒就這樣打開了。網絡空間天然產生「阿喀琉斯之踵」，如今從芯片到軟件，部件到器件，到雲、工業控制設備、網絡路由器/ 交換機，這麼多設備裏咱們會問他們可信嗎？是安全的嗎？具備魯棒控制能力嗎？

　　一個複雜系統或控制裝置只要存在一個設計缺陷或混入一段惡意代碼，就可能致使目標代碼的遭殃。由於缺乏先驗知識而沒法實時感知或認知基於軟硬件問題代碼實施的未知攻擊，被迫處於「沒法設防」狀態。不是咱們不肯意設防，是沒法設防。對於攻擊者來講，它具備「單向透明」的行動優點，他看獲得，埋設了漏洞，並採起「內外夾攻、隱匿配合」的攻擊方式。因而咱們能夠看到，軟硬件安全質量問題必然會成爲網絡空間的「阿喀琉斯之踵」。

　　如今的IT/ICT 信息系統廣義魯棒控制功能情況

　　現有的廣義魯棒控制功能能作的事是基於威脅或擾動特徵感知的魯棒控制。魯棒控制首先是感知，須要經過實時感知來得到關於不肯定擾動的信息，好比攻擊來源、攻擊特徵、滲透途徑、攻擊行爲、攻擊機理、目標環境等。要想實現魯棒控制，必須解決魯棒控制的實時性要求。因爲軟硬件目標對象自身既不能只是感知廣義不肯定擾動，又沒法實時應用魯棒控制技術抑制內部非指望的攝動，於是現有IT/ICT/ICS 等信息處理或控制系統不具備廣義魯棒控制功能。

　　附加式防護的有效性取決於先驗知識的完備性和精確感知能力，它屬於亡羊補牢式的後天免疫，即便引入動態防護（美國人提出的移動目標防護）或加密認證機制。若是是基於後一個功能也就是滲透攻擊的話，這二者的問題也是無能爲力，對這兩個問題的防範是沒有用的。動態防護和加密認證，對於基於後門功能的滲透攻擊也是無能爲力的，由於它是內外勾結的。

　　附加式防護系統自己一般不具有廣義魯棒控制功能。因而出現兩個問題，須要保護的對象自身沒有廣義魯棒控制功能，做爲它衛兵的系統也沒有廣義魯棒控制功能，安全系統自己不安全。

　　廣義魯棒控制缺位之困局

　　一是沒法設計出「沒有漏洞後門」的軟硬件。二是沒有先驗知識支持狀況下，不知道什麼是「擾動行爲」，要想進行攔截和攔阻，什麼是擾動行爲都不知道是不行的。三是「單向透明」條件下能夠從容地瞄準鎖定和利用系統中的漏洞後門，動態防護能力除外。四是「內外夾攻」的隱匿攻擊能夠輕易繞過任何形式的附加防護，包括加密、密碼技術的運用。由於加密算法還得放在CPU和芯片上，它裏面有沒有問題不知道。

　　缺少廣義魯棒控制功能的軟硬件產品越多，相關產業生態環境情況越惡劣，網絡空間陷入惡性循環就成爲不可避免的趨勢。更糟糕的是，由於存在着公認的世界難題，沒法實時感知，因此，全世界的軟硬件產品提供商都沒必要擔憂會被追究其產品安全質量缺陷形成的責任。微軟由於它的漏洞作過什麼賠償嗎？進行召回嗎？聽過英特爾會爲他的缺陷賠償過嗎？在商品世界裏，產品質量的問題廠家都要負責的，可在這一點上，全部的IT 廠家均可以對他的安全質量不負責任。固然，不是不肯意負責任，是由於世界性難題沒有解決，因此沒有辦法負責任。所以，「潘多拉魔盒」不管在觀念上仍是事實上都是敞開的。

　　網絡空間安全問題的核心是蒼蠅總叮有縫的雞蛋，網絡空間安全問題的核心仍是內因「不給力」，疏於抵抗。有沒有辦法解決這個問題，好比相對正確的公理和不肯定擾動感知。

　　這都是瞎子摸象。「未知」和「不肯定性」，在哲學意義上一般屬於相對性範疇，緣由是可感知的空間和可認知手段的侷限性，當人類沒有發明顯微鏡時咱們根本不知道病毒和細菌是怎麼回事，當咱們沒有設計太空望遠鏡的時候也不知道地球圍着太陽轉，也就是說位置和不肯定性是相對的範疇。

　　人人都存在這樣或那樣的缺點，但極少出現獨立完成一樣任務時，多數人在同一個地點、同一時間、犯徹底同樣錯誤的情形。這是一個公理，我把它命名爲「相對正確」公理。它有一個前提條件，也就是說對於個體成員而言，獨立完成任務是大機率事件，完不成任務是小几率事件，不能讓瞎子作他完不成的事兒。這就不存在內外勾結、協同做弊的問題，只有這種狀況下相對正確公理是成立的。

　　基於這個公理咱們有幾個推論

　　推論一：從成員個體行爲看，雖然缺點或錯誤具備多樣性，存在不肯定性，但在獨立完成一樣任務a 時，從羣體層面觀察，極少在同一時間、同一場合下犯徹底同樣的錯誤，態勢狀況可用機率表達，這是從不肯定性到可用機率表達。它獲得結果是隻要任務成員間不存在共同的缺陷和「私下串聯」的行爲，在相對正確公理適用場景下，個體的不肯定行爲能在羣體層面被相對正確的斷定模式感知。一個不肯定的東西經過相對正確的公理轉換成能夠相對肯定的東西。

　　推論二：相對正確具備量子疊加態的屬性。相對正確的感知結果，是相對正確，感知結果的肯定性正確是大機率事件，不肯定性是小几率事件，感知結果的不肯定性是正確與錯誤同時存在，只是機率不一樣。

　　推論三：感知結果的「置信度」與下列因素強相關：獨立執行任務人員的數量（冗餘度），任務參與成員合題差別（異構度），任務完成指標的詳盡程度（調查表或判決表等多少項，樣本空間），指標項選取與圈中設置（最高分仍是最低分，仍是取中間值，仍是要加權，這是表決策略）。

　　推論四：改變感知場景可轉化問題的性質。咱們把它從單一空間變換到多維空間，從同質化處理場景變換到功能等價的多元處理場景，從個體主觀性感知到羣體相對性判識，從關注局部效果到注重全局態勢狀況。咱們把這些問題變換之後，之前的未知，之前的不肯定可能都變成已知和肯定，這是感知場景的轉換，感知手段的轉換，感知條件的轉換，感知問題的性質變化了。所以，原有感知場景下沒法認知的不肯定擾動問題能用相對正確的等價場景轉化爲具備機率屬性的可感知問題。

　　用公理等價場景感知不肯定失效獲得實際應用，叫非類似餘度架構DRS。這個架構最後的約束條件是系統各類零部件出現物理性不肯定失效是小几率事件，零部件設計缺陷致使的不肯定性擾動也是小几率事件。在兩個約束條件成立的狀況下，構件或設計缺陷致使的不肯定擾動就可以被轉換爲功能等價、異構冗餘、相對性判決場景下系統層面可用機率表達的品質魯棒性問題。

　　這種構形成熟地在B-777 和F-16戰機上獲得了應用，在可靠性不夠的狀況下，用構造創新來解決問題，能夠控制系統故障率分別低於10 的負11 次方和10 的負8 次方，這在當時沒有任何一個飛控系統的元器件達到這個水平，但用系統構造技術達到了，也就是說用相對正確的工藝等價表達形式能把不肯定和未知的東西轉換成機率可控的問題。

　　構造決定安全，擬態構造與內生安全效應

　　構造決定安全， 不論A一、A2 或Ai 中有何漏洞後門、病毒木馬，也不論它們有什麼樣的行爲特徵，只要不能使輸出矢量同時產生徹底或多樣的錯誤，就會被多模表決機制發現並攔截。原來這兩個問題是不可能歸一的，不肯定失效是物理性問題，不肯定威脅是人爲問題。這種歸一化產生內生安全機制，就是已知或未知的個性化攻擊以及肯定或不肯定的擾動因素，都能被DRS構造感知爲可靠性且具備機率可控的特性。這是讓咱們很是心寬的事情。

　　DRS 傳統的表決方式，內生安全機制的侷限性，因爲構造、構件以及機制的肯定性和靜態性，使之不可以應對「協同做弊」或「試錯」式攻擊。如今表決裏輻射UI。協同做弊不行，它的內生安全機制，不具有內生穩定的魯棒性，你搞做弊的話它不具備穩定魯棒性。因而怎麼辦？咱們要改造一下，因此用冗餘架構。輸入序列，經過異構m個執行體，它不具備穩定魯棒性，因而把它改造一下，變成動態魯棒冗餘架構，這裏增長了反饋和負反饋控制器。增長之後的效果是什麼？能夠在某些不肯定的特定條件下具備穩定性、漸近調節和可收斂動態性保持不變的特性，也就是應對「試錯/ 協同攻擊」的穩定魯棒功能，也就是DHR 能對付協同攻擊和試錯攻擊，機制上就不容許。DHR 結構具備歸一化的處理功效，不管是目標對象（軟硬件）內部的隨機性差模失效仍是未知差模攻擊，不管是基於目標對象暗功能的外部攻擊仍是內部滲透攻擊，不管是傳統的不肯定擾動問題仍是非傳統安全的未知威脅，總之都能轉換爲穩定魯棒性和品質魯棒性問題並處理之。

　　擬態構造可視化表達。給定服務功能不變的狀況下，目標對象運行場景處於測不許的狀態，任何針對執行體個體的不肯定攻擊首先被擬態構造感知爲羣體層面的相對性事件，而且能被變換爲機率可控的可靠性事件。它的內生性效應就是非配合條件下動態多元目標協同一致攻擊。靠一個漏洞或一個後門，或靠幾個漏洞後門去攻擊指法產生一致性的結果，這種漏洞是沒有用的，在機理上已經把攻擊否認掉了。因而，廣義魯棒控制屬性的擬態架構能夠承載高可靠、高可信、高可用的三位一體服務功能，尤爲是工業控制系統，由於它沒辦法附加太多的防火牆、入侵檢測、入侵容忍這一套。因此，用擬態架構能夠三位一體把這個問題解決，而不須要經過附加形式。

　　魯棒控制機理

　　經過策略調度到擬態界，給它一個輸入代理條件，各自作不同的事，進行不一樣的算法，按結果代表輸出，裁決狀態反饋，不合適再換。這個機制，擬態場景調度原則，用適當的防護場景來應對相應的攻擊威脅，在擬態環境裏不是問題歸零，而是用問題快速規避。兵來降擋，水來土掩，並非萬能的，只要A 狀況不行，B 狀況行的時候，B 狀況就能上。未知威脅在內的不肯定擾動被擬態構造變換爲擬態界內同時出現多數一次性錯誤的機率問題且具備可靠性，這是擬態構造最大的發現。

　　測不許效應。擬態也有這個特色，由於任何探測、試錯攻擊或擾動均可能致使當前服務場景改變，在機理上與測不許原理等經過密碼方式暴力破解方式無異，由於這是物理問題，不是計算方法問題。擬態構造的廣義魯棒控制機制的產生，既不依賴攻擊者先驗知識和行爲特徵信息，也不依賴附加或外置防護措施有效性的擬態安全效應。它廣義上是個擬態安全效應的內生效應，並非刻意把它弄出來的。內生安全目標，可應對目標對象漏洞後門等暗功能引起的肯定風險或不肯定性威脅，內生安全機制的有效性，不依賴外在防護手段或任何先驗性知識，不以系統軟硬件安全可信爲前提，適應經濟全球化生態環境，既能防外部攻擊也能防內部做案，安全制度以可控可管手段爲基礎，能天然融合附加安全防禦措施，並能得到超非線性的防護效果。它的異構性能夠經過附加防護措施增長它的異構性，異構體之間若是異構度無窮大的話，它的安全性也是無窮大。具備高可靠、高可信、高可用三位一體的魯棒性服務和控制功能，與傳統加密認證方法一旦破解便可崩潰問題不一樣，即便被成功也只是一次，極低的機率。

　　所以，安全的東西能夠通過標定設計、可驗證度量的廣義魯棒性範疇。擬態防護場景數量、防護場景之間的相異度，多模輸出矢量內容丰度，裁決空間與裁決策略、擬態界設置層面、調度策略和多維重構策略、魯棒控制算法都能調整它的機率。擬態構造的穩定魯棒性和服務的品質魯棒性可標定設計，能用經典可靠性驗證理論和注入測試方法來驗證和度量，不是讓黑客測試。

　　迄今爲止，尚沒有一種信息服務裝置或網絡安全設備能夠接受廣義魯棒性注入測試和度量（白盒測試），包括移動目標防護MTD 爲表明的各類動態防護或者加密認證、可信計算類的底線防護。DHR 構造創建在跨領域的理論技術創新基礎之上，以相對正確公理爲核心，以系統工程理論爲主線，以非類似餘度架構與魯棒控制理論和技術爲基礎，以可靠性驗證理論和方法爲定性、定量測試評估手段。無法定量測試擬態解決問題，能夠用機率表示，擬態構造的集約化效應，主動與被動防護一體化，內生安全與可靠性一體化，服務提供與安全防禦一體化，防外部與防滲透攻擊一體化。

　　錢老先生的系統論對我有很大的影響，擬態構造內生機制造成的擬態安全效應，爲自主可控、安全可信開闢出一條基於系統工程理論和方法的實現途徑。

　　固然，由於擬態要異構，這種異構冗餘帶來了設計、體積、成本、功耗和複雜度的增長，須要實現技術方面的再創新，但在同等功能性能條件下擬態系統具備傳統系統不可比擬的綜合性價比優點。至少沒有0day 的問題，沒有漏洞庫的升級問題，沒有病毒庫的修改問題，也沒有殺毒軟件升級的問題。因此，要把握住擬態這個條件，須要依賴軟硬件多樣性、多元化供應鏈以及快速式的產業生態環境。

　　如何保證開放式環境下的一元度和互異性，這既是科學問題也是工程技術問題。無論怎麼說，不一樣領域面臨不一樣實現技術挑戰，理論與實踐的結合層面仍須要不斷完善或再創新。

　　國家天然基金委創新羣體項目把網絡安全與防護機制的研究做爲創新軀體。去年12 月18 日科學出版社出版了《網絡空間擬態防護導論》，這本書從理論和原理論證層面顛覆了當前圍繞目標對象軟硬件代碼缺陷的攻擊原理與方法。國家重點研發計劃——先進防護技術試驗場，徹底是擬態化的網絡設備，這將完全抵消技術先行者和市場壟斷者經過隱匿漏洞、植入木馬得到的單向透明戰略優點。國家重點研發計劃——內生安全的主動防護工控系統，重點研究如何用擬態構造技術改造和升級工控領域技術產品，解決工控系統廣泛缺少內生防護的問題，固然還有終結地下黑市攻擊服務，黑客攻擊等，構建工業4.0 和中國製造2025 時代三高三位一體內生安全的新一代工業控制系統和裝備。

　　在網絡基礎領域，軍事部門、運營商，控制領域、電商領域、金融領域都在試點示範，前一段時間，擬態域名服務器正式上線。擬態固網的應用前景很光明，它是構造基因，對芯片、模組、開源的軟件硬件、中間平臺、系統網絡具備滲透性、普適性、繼承性、集約化的效應，因此它具備裂變效應。因而，擬態構造理論和方法破解了目標對象軟硬件「暗功能」不能管控的公認難題，使得應用廣義魯棒控制技術與方法屏蔽軟硬件產品安全缺陷成爲可能。

　　習總書記提出的一體之兩翼，驅動之雙輪發展戰略，爲軍民融合發展新一代信息技術和產業，實現換道超車提供創新活力和市場驅動力。在IT/ICT/ICS/CPS 等技術產業發展上，中國有望成爲技術的引領者。

　　核心知識產權包括國內外專利，咱們受權擬態技術與產業創新聯盟成員單位無償使用，在受權IP 基礎上造成的新知識產權與受權者共享且後者只保留獲利權並自願放棄單獨實施權，以確保排他性。目前已經有60 多家單位簽定了核心受權協議。擬態構造應用範圍很是寬廣，擁有足夠大的技術創新空間可容納衆多市場參與者最大程度吸引國內外力量參與擬態技術的產業創新發展。

　　標定與檢定

　　擬態構造一般只是增長了產品的廣義魯棒性，故而凡是涉及產品現有標準或規範，好比路由器按照工信部的標準測，測完之後再測廣義魯棒性。增量性的擬態防護功能性能的標準或規範由國家保密局審批和發佈，其檢測中心負責產品相關標準複合型檢測認定。有了國家權威部門主導產品技術標準和檢測規範，保證市場健康，經過互聯網測試就是擬態，沒有經過就不是的。擬態系統控制與服務是分離的，如今的互聯網只是擬態後面加了一個結構，使行業技術擁有者具備應用創新的先發優點。

　　還要有商業槓桿。因爲擬態構造產品的廣義魯棒性是可設計標定，可驗證度量，屬於可精算的機率範圍，知足保險服務的基本要求。因而咱們知道，下一步只要能給各種擬態產品的廣義魯棒性精算登記，並能經過國家保密局檢測中心的檢定，保險業界願意提供相關險種服務，包括再保險服務，咱們能夠用保險級來撬動產業發展和推進擬態技術的應用。

　　在保險業的支持下，擬態產品將得到市場先發優點，並迫使非廣義魯棒控制功能產品儘快轉型升級。一旦人家拿出擬態防火牆，你仍是用傳統防火牆，用戶確定不會用你的，由於擬態防火牆是有公司保險的，你沒有保險。所以，開闢了IT/ICT/ICS 技術產品和控制裝置的保險業技術通道，咱們以顛覆性技術撬動了保險業，以保險業助力網絡安全增量市場開拓，以旺盛市場需求反哺新技術的成熟與發展。

　　這就是咱們的產業發展路線圖。我大膽預言，傳統信息技術產業將發生「雪崩運動」，新一代具備內生安全屬性的廣義魯棒控制軟硬件產品必將在網絡強國戰略發展綱要的推進下快速崛起，並會致使現有市場格局「從新洗牌」。

本文來源：軍民融合科技創新資訊平臺