基于擬態(tài)防御的多接入邊緣計(jì)算服務(wù)器異構(gòu)性量化方法

岳陽(yáng)陽(yáng) 付 雄 鄧 松

(南京郵電大學(xué)計(jì)算機(jī)學(xué)院 江蘇 南京 210023)

0 引 言

邊緣計(jì)算(Edge Computing,EC)是指在網(wǎng)絡(luò)邊緣側(cè)的分布式云計(jì)算平臺(tái),更加靠近用戶終端,多接入邊緣計(jì)算(Multi-access Edge Computing,MEC)[1]作為云計(jì)算和邊緣計(jì)算的補(bǔ)充,擴(kuò)展了邊緣計(jì)算的定義和應(yīng)用,使其在網(wǎng)絡(luò)邊緣節(jié)點(diǎn)提供各類(lèi)信息技術(shù)業(yè)務(wù),能夠同時(shí)為移動(dòng)用戶和固定用戶提供邊緣計(jì)算服務(wù),將計(jì)算任務(wù)和數(shù)據(jù)遷移至MEC節(jié)點(diǎn)進(jìn)行處理,從而有效節(jié)約了傳送至遠(yuǎn)程數(shù)據(jù)中心的帶寬?，F(xiàn)如今,MEC服務(wù)器在安全性性上存在三個(gè)特點(diǎn):(1) 應(yīng)用的軟硬件種類(lèi)繁多,大部分軟硬件具有無(wú)法預(yù)知的安全漏洞;(2) 網(wǎng)絡(luò)結(jié)構(gòu)和端口主要采用靜態(tài)配置,攻擊者持續(xù)攻擊使得系統(tǒng)的安全性隨時(shí)間增長(zhǎng)而下降;(3) 服務(wù)器采用的防御技術(shù)主要為被動(dòng)防御,無(wú)法應(yīng)對(duì)未知的漏洞威脅。因此,“動(dòng)態(tài)防御”成為網(wǎng)絡(luò)安全領(lǐng)域的主要研究問(wèn)題[2]。

為了解決安全問(wèn)題,相關(guān)領(lǐng)域的研究者提出了多種防御思想,其中包括傳統(tǒng)的被動(dòng)防御,比如早期的防火墻對(duì)一些特定的攻擊行為具有一定的抵御性,但存在被繞過(guò)防御的可能性,防御力較低。入侵檢測(cè)[3]系統(tǒng)是一種較為主流的防御系統(tǒng),但其對(duì)攻擊行為存在一定的誤報(bào)性,且對(duì)攻擊源存在滯后性,只能防御一些已知攻擊,面對(duì)未知的新型攻擊束手無(wú)策,這些防御系統(tǒng)均是被動(dòng)的,無(wú)法主動(dòng)對(duì)未知攻擊做出反應(yīng)。

基于此,主動(dòng)防御技術(shù)[4]成為了研究焦點(diǎn),擬態(tài)防御是國(guó)內(nèi)研究者鄔江興院士提出的一種主動(dòng)防御方法[5],借鑒結(jié)合了移動(dòng)目標(biāo)防御[6]和非相似度冗余構(gòu)造的防御機(jī)理,利用動(dòng)態(tài)異構(gòu)冗余(Dynamic Heterogeneous Redundancy,DHR)特性,增強(qiáng)了系統(tǒng)的安全性[7]。擬態(tài)防御思想已被應(yīng)用于多種網(wǎng)絡(luò)設(shè)備及軟件設(shè)計(jì)中,為系統(tǒng)提供內(nèi)生的安全防護(hù)性能。文獻(xiàn)[8]在軟件多樣化的基礎(chǔ)上,與擬態(tài)防御相結(jié)合,提高了軟件安全性。文獻(xiàn)[9]研究了“數(shù)據(jù)多樣性”機(jī)制,并定義了大量的SQL重寫(xiě)規(guī)則,將客戶機(jī)發(fā)送的語(yǔ)句轉(zhuǎn)換為另一個(gè)邏輯上等價(jià)的語(yǔ)句,提高了數(shù)據(jù)庫(kù)的安全性。文獻(xiàn)[10-11]利用基于DHR的擬態(tài)防御模型構(gòu)建了擬態(tài)防御Web服務(wù)器,分析了該方案的可行性,并在測(cè)試中表明其有效提高了安全性。文獻(xiàn)[12]研究了可靠性優(yōu)化問(wèn)題,提出了一種新的改進(jìn)的多樣性保存和約束處理方法,指出了冗余分配的重要性。文獻(xiàn)[13]在DNS中引入了擬態(tài)防御技術(shù),提出了一種有效的安全策略,具有重要的指導(dǎo)意義。文獻(xiàn)[14]構(gòu)建了路由器擬態(tài)防御原理驗(yàn)證系統(tǒng),改變了漏洞所呈現(xiàn)性質(zhì),擾亂了攻擊者對(duì)于漏洞的鎖定和攻擊鏈路的順通,大幅增加了系統(tǒng)漏洞的可利用難度。擬態(tài)防御技術(shù)在工程實(shí)踐上驗(yàn)證了其有效性,主要在于其執(zhí)行體的異構(gòu)冗余特性,但是其異構(gòu)型難以量化評(píng)估,使其在能夠帶來(lái)多少安全增益等方面存在爭(zhēng)議。

傳統(tǒng)的度量算法大多是基于空間距離定義的,適用于低維度空間,在高維度空間沒(méi)有意義[15]?；跀M態(tài)防御的MEC服務(wù)器屬性特征維度較高,因此該方法不適用。文獻(xiàn)[16]采用近似熵來(lái)量化系統(tǒng)的復(fù)雜性,但是不適用于一致性較低的情況。在機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘領(lǐng)域,常用的量化差異性或相似性方法為數(shù)據(jù)挖掘中的聚類(lèi)算法。文獻(xiàn)[17-18]運(yùn)用交叉熵和余弦相似度等方法,計(jì)算聚類(lèi)之間的相似性。文獻(xiàn)[19]采用多種方法量化聚類(lèi)的差異性,并通過(guò)實(shí)驗(yàn)分析了多種方法在不同的平均成員聚類(lèi)準(zhǔn)確度、不同的集體大小和不同的數(shù)據(jù)分布情況下與各種聚類(lèi)集成算法性能之間的關(guān)系。量化聚類(lèi)的算法只適用于數(shù)據(jù)規(guī)模較大的場(chǎng)景,而在MEC服務(wù)器場(chǎng)景下,執(zhí)行體的數(shù)量較少,因此并不適用。

本文提出一種基于樹(shù)層次模型的異構(gòu)性量化算法,主要有兩部分組成,第一部分是對(duì)功能相同的構(gòu)件集的復(fù)雜性量化,通過(guò)生物上的多樣性方法來(lái)計(jì)算復(fù)雜性指數(shù)計(jì)算;第二部分是對(duì)執(zhí)行體集間差異性的量化,對(duì)執(zhí)行體的特征元素進(jìn)行分層次處理,不同的特征具有大小不同的比重,從而計(jì)算其差異性指數(shù)。最后得到執(zhí)行體集的異構(gòu)性指數(shù)。實(shí)驗(yàn)測(cè)試表明,該方法在準(zhǔn)確度上優(yōu)于傳統(tǒng)的生物上的多樣性量化方法,更合理并且適用于本文所提出的多接入邊緣計(jì)算應(yīng)用場(chǎng)景。

1 MEC系統(tǒng)架構(gòu)

1.1 系統(tǒng)架構(gòu)與工作流程

本文采用擬態(tài)防御作為基礎(chǔ),設(shè)計(jì)了基于擬態(tài)防御的MEC服務(wù)器架構(gòu),系統(tǒng)架構(gòu)主要基于擬態(tài)防御中的DHR理念,DHR作為擬態(tài)防御的核心理念,主要是為安全防御目標(biāo)系統(tǒng)引入多個(gè)功能等價(jià)的異構(gòu)執(zhí)行體,并使用動(dòng)態(tài)的調(diào)度策略,在系統(tǒng)中加入冗余,使靜態(tài)系統(tǒng)在功能上和執(zhí)行模式等方面轉(zhuǎn)變?yōu)閯?dòng)態(tài)的、難以識(shí)別的,從而擾亂攻擊者。DHR可以為系統(tǒng)帶來(lái)內(nèi)生的安全防護(hù),并且可以和靜態(tài)防御措施協(xié)同防御,從而大幅提高系統(tǒng)的安全性。

MEC系統(tǒng)架構(gòu)如圖1所示,待處理的數(shù)據(jù)源由數(shù)據(jù)采集器收集,然后交由轉(zhuǎn)發(fā)代理設(shè)備進(jìn)行數(shù)據(jù)的分割、校驗(yàn)和轉(zhuǎn)發(fā)處理,數(shù)據(jù)經(jīng)過(guò)處理后,交由MEC服務(wù)器執(zhí)行體集進(jìn)行數(shù)據(jù)的處理,當(dāng)數(shù)據(jù)處理完后交由接受代理進(jìn)行表決校驗(yàn)分析,然后將正確結(jié)果返回給數(shù)據(jù)接收方,對(duì)于產(chǎn)生錯(cuò)誤信息的服務(wù)器,動(dòng)態(tài)選擇算法會(huì)根據(jù)表決校驗(yàn)機(jī)制的反饋將其進(jìn)行替換,然后對(duì)其進(jìn)行重置、清洗等手段進(jìn)行恢復(fù)并加入到MEC異構(gòu)池中,等待下一次被調(diào)用。

圖1 MEC架構(gòu)

基于擬態(tài)防御的MEC架構(gòu)的基礎(chǔ)是異構(gòu)性,執(zhí)行體之間差異越大,具有相同漏洞的概率越低。異構(gòu)層面越多,則系統(tǒng)的異構(gòu)性越強(qiáng),相同漏洞越少,抵御攻擊的能力越強(qiáng)。執(zhí)行體集的多樣性可以增加系統(tǒng)的異構(gòu)性,比如服務(wù)器軟件的多樣性、數(shù)據(jù)庫(kù)的多樣性等都可以增加系統(tǒng)的異構(gòu)性。

1.2 系統(tǒng)安全性分析

基于擬態(tài)防御的MEC架構(gòu)中,對(duì)于輸入操作,通過(guò)異構(gòu)執(zhí)行體集處理后再經(jīng)由表決校驗(yàn)機(jī)制進(jìn)行輸出?；贒HR理念,系統(tǒng)不僅可以抵御已知的攻擊,還可以抵御未知的攻擊,使系統(tǒng)具有較強(qiáng)的容侵能力,由于異構(gòu)特性,攻擊只能在部分執(zhí)行體上成功,而對(duì)于其他的執(zhí)行體則失效,通過(guò)表決校驗(yàn)機(jī)制,識(shí)別各執(zhí)行體所產(chǎn)生的相異結(jié)果,輸出相對(duì)正確的結(jié)果。而提高結(jié)果正確性的根本就在于提高系統(tǒng)的異構(gòu)性,異構(gòu)程度越高,則被入侵的執(zhí)行體越少,產(chǎn)生錯(cuò)誤輸出的執(zhí)行體數(shù)量也就越少,表決校驗(yàn)輸出正確結(jié)果的概率也就越高。本文重點(diǎn)不在于表決校驗(yàn)機(jī)制,因此提到的表決檢驗(yàn)機(jī)制采用多數(shù)一致算法。

異構(gòu)性的實(shí)現(xiàn)本質(zhì)在于系統(tǒng)軟硬件的多樣性,軟硬件差距越大,相似性越低。兩個(gè)系統(tǒng)的軟件差異越大,存在共生漏洞的可能性就越低,相同攻擊所造成的影響也就越低[20]。

(1) 面對(duì)同構(gòu)系統(tǒng),即執(zhí)行體集中所有的執(zhí)行體完全相同,所有執(zhí)行體具有相同的漏洞,若針對(duì)該漏洞進(jìn)行攻擊,則對(duì)所有執(zhí)行體攻擊成功,表決校驗(yàn)機(jī)制失效,出現(xiàn)共模逃逸,輸出為錯(cuò)誤結(jié)果。

(2) 面對(duì)理想的基于擬態(tài)防御的系統(tǒng),各執(zhí)行體之間具有不同的漏洞,針對(duì)某一漏洞攻擊,只能影響一個(gè)執(zhí)行體,表決校驗(yàn)機(jī)制能夠檢測(cè)識(shí)別錯(cuò)誤的執(zhí)行體輸出結(jié)果,表決檢驗(yàn)機(jī)制可以產(chǎn)生正確結(jié)果。

(3) 面對(duì)真實(shí)的基于擬態(tài)防御的系統(tǒng),執(zhí)行體之間存在相同漏洞,但又不是每個(gè)執(zhí)行體都存在同一漏洞,面對(duì)針對(duì)某一漏洞或多個(gè)漏洞的攻擊,會(huì)導(dǎo)致部分執(zhí)行體產(chǎn)生錯(cuò)誤輸出,但漏洞的觸發(fā)機(jī)制會(huì)受執(zhí)行體的軟硬件因素影響,未必會(huì)產(chǎn)生一致的錯(cuò)誤輸出,表決檢驗(yàn)機(jī)制同樣檢測(cè)識(shí)別不一致輸出。但當(dāng)系統(tǒng)的差異性過(guò)小,存在相同漏洞的執(zhí)行體過(guò)多時(shí),會(huì)出現(xiàn)共模逃逸,表決校驗(yàn)機(jī)制也會(huì)失效。

綜上所述,相較于同構(gòu)系統(tǒng),基于擬態(tài)防御的系統(tǒng)的異構(gòu)冗余架構(gòu)雖然無(wú)法完全避免共模逃逸,但大幅提高了產(chǎn)生錯(cuò)誤輸出的可能。面對(duì)真實(shí)的基于擬態(tài)防御的系統(tǒng),雖然無(wú)法做到完全異構(gòu),但可以盡可能地提高其異構(gòu)性,從而提高系統(tǒng)的安全性。因此,量化基于擬態(tài)防御的系統(tǒng)的異構(gòu)性就變成了衡量系統(tǒng)安全性的重要指標(biāo),而基于擬態(tài)防御的系統(tǒng)的異構(gòu)性主要在于執(zhí)行體集的異構(gòu)性,因此本文將對(duì)執(zhí)行體集的異構(gòu)性進(jìn)行量化評(píng)估。

2 異構(gòu)性量化

2.1 異構(gòu)性定義

基于擬態(tài)防御的MEC服務(wù)器通過(guò)異構(gòu)性保證了系統(tǒng)的安全性,大幅提高了抵御攻擊的能力。然而對(duì)于系統(tǒng)的異構(gòu)性缺乏一個(gè)統(tǒng)一的定義。首先,可以類(lèi)比生物多樣性的高低,異構(gòu)系統(tǒng)也是如此,系統(tǒng)里的執(zhí)行體集越復(fù)雜,越不容易受到相同攻擊。其次,對(duì)于類(lèi)型相似的執(zhí)行體,還要考慮軟件上的細(xì)微差異,兩個(gè)執(zhí)行體之間軟件越不相同,存在相同漏洞的可能性就越低。

Twu等[21]將異構(gòu)性定義為兩個(gè)特征,復(fù)雜性和差異性,并解釋了該定義的有效性和合理性,同時(shí)該定義適用于本文關(guān)于基于擬態(tài)防御的MEC服務(wù)器的異構(gòu)型定義。如圖2所示,集合a和b元素種類(lèi)較為單一,只有圓形,沒(méi)有復(fù)雜性,其中b具有一定的差異性;集合c和d既有圓形也有方形,具有較強(qiáng)的復(fù)雜性,d同時(shí)具有較強(qiáng)的差異性。定義本文構(gòu)造的MEC服務(wù)器執(zhí)行體集的異構(gòu)性為H,復(fù)雜性為C,差異性為D,關(guān)系如下[22]:

圖2 異構(gòu)性描述

H=C×D

(1)

2.2 執(zhí)行體集描述

定義1執(zhí)行體集合:基于擬態(tài)防御的MEC服務(wù)器的執(zhí)行體集和為S={s1,s2,…,sn}。

定義2系統(tǒng)構(gòu)件集合:基于擬態(tài)防御的MEC服務(wù)器的所有執(zhí)行體的一類(lèi)功能等價(jià)的硬件或軟件構(gòu)件集合Mk={mk1,mk2,…,mkn},中任意兩個(gè)元素功能是等價(jià)的。

定義3執(zhí)行體的特征向量:基于擬態(tài)防御的MEC服務(wù)器的執(zhí)行體的特征向量為CVk=(ci1,ci2,…,cin),cij為執(zhí)行體的第j個(gè)特征值,n為執(zhí)行體的特征數(shù)量。例如特征向量(X86,Ubuntu 18.04,Apache 2.4,Oracle 11g)可以表示為(1,2,1,2),X86屬于處理器構(gòu)件集,Ubuntu 18.04屬于操作系統(tǒng)構(gòu)件集,Apache 2.4屬于Web服務(wù)器構(gòu)件集,Oracle 11g屬于數(shù)據(jù)庫(kù)構(gòu)件集。數(shù)字代表每種構(gòu)件在其所屬構(gòu)件集的編號(hào)。

定義4執(zhí)行體集的特征矩陣:基于擬態(tài)防御的MEC服務(wù)器的執(zhí)行體集的特征矩陣為:

其中列向量表示一類(lèi)功能等價(jià)的構(gòu)件集,行向量表示某執(zhí)行體的特征向量。使用“單位”樣式。

2.3 復(fù)雜性量化

本文采用生物學(xué)上的物種多樣性方法來(lái)量化復(fù)雜性,采用的是Shannon-Wiener指數(shù),構(gòu)件集的復(fù)雜性計(jì)算公式如下:

(2)

式中:a為構(gòu)件集Mk所有構(gòu)件的種類(lèi)數(shù),pi為第i種構(gòu)件在構(gòu)件集Mk所占的比例,其中ni為第i種構(gòu)件的個(gè)體數(shù),N為構(gòu)件集Mk內(nèi)的構(gòu)件數(shù)。執(zhí)行體集S的復(fù)雜性為所有構(gòu)件集的復(fù)雜性之和,計(jì)算公式如下:

(3)

式中:m為構(gòu)件集的數(shù)量。

2.4 差異性量化

對(duì)于執(zhí)行體集的量化基于一種樹(shù)層次模型來(lái)衡量,該模型如圖3-圖4所示。將執(zhí)行體集的特征進(jìn)行分層處理,處于最高層級(jí)的特征具有最大的權(quán)值,表示在最高層級(jí)的特征對(duì)差異性有最強(qiáng)的影響,從上到下權(quán)值依次減小,影響依次減弱。本文的特征影響從硬件層到軟件層依次減小,計(jì)算機(jī)越靠近底層的層面差異越大,則兩者之間所造成的差異會(huì)越大。在每一層級(jí)內(nèi),又會(huì)進(jìn)行細(xì)分,按類(lèi)目大到小分類(lèi),權(quán)值依次遞減,可以自行調(diào)整分類(lèi)層級(jí),例如同為數(shù)據(jù)庫(kù)軟件,非關(guān)系型數(shù)據(jù)庫(kù)和關(guān)系型數(shù)據(jù)庫(kù)差異較大,可以列為分類(lèi)1,關(guān)系型數(shù)據(jù)庫(kù)MySQL和Oracle差異變小,可以列為分類(lèi)2,MySQL5.6和MySQL5.7差異更小,可以列為分類(lèi)3,權(quán)值可以按照其構(gòu)件種類(lèi)的豐富程度適當(dāng)增加。

圖3 樹(shù)層次模型

圖4 子節(jié)點(diǎn)層次模型

執(zhí)行體之間的差異性計(jì)算公式如下:

(4)

fk(A,B)=v(l)l=mk(A,B)

(5)

式中:n為層級(jí)數(shù);w是相應(yīng)層級(jí)的權(quán)值,如w(A,k)為執(zhí)行體A在第k層特征的權(quán)值,w(B,k)為執(zhí)行體B在第k層的權(quán)值;m為兩個(gè)執(zhí)行體之間產(chǎn)生差異的層級(jí)編號(hào),如m(A,B)表示執(zhí)行體A和執(zhí)行體B在層次特征中第一個(gè)差異的編號(hào)。fk為執(zhí)行體A和執(zhí)行體B在第k層內(nèi)的差異,v是層級(jí)內(nèi)各分類(lèi)的影響值,如v(l)為第l層的影響值,本文默認(rèn)v最大為1,最小為0.5。

最后,將每一個(gè)執(zhí)行體與執(zhí)行體集的其他執(zhí)行體比較計(jì)算差異度,并將所得到的差異度指標(biāo)求平均值作為該執(zhí)行體與執(zhí)行體集整體的差異度指標(biāo),然后對(duì)執(zhí)行體集的所有執(zhí)行體的該差異度指標(biāo)進(jìn)行求和,得到執(zhí)行體集總的差異度如下:

(6)

式中:ns為執(zhí)行體集中執(zhí)行體的數(shù)量;nm為構(gòu)件集的數(shù)量,即樹(shù)模型的層級(jí)數(shù)。

2.5 異構(gòu)性量化算法

算法基于樹(shù)層次模型的異構(gòu)性量化算法(Tree-Level algorithm)

輸入:構(gòu)件集M,執(zhí)行體的特征矩陣CM。

輸出:異構(gòu)性指數(shù)H。

1.fori=1 Tok

2.forj=1 ToMk.length

3.Ck+=pj*ln(pj)

4.C+=(-Ck)

5.fori=1 Tons

6.forj=1 Tons

7.fork=m(i,j) Tonm

8.diff(i,j)=w(i,k)*w(j,k)*fk(i,j)

9.diffi+=diff(i,j)

10.D+=1/ns*diffi

11.H=C*D

12.returnH

3 實(shí)驗(yàn)及結(jié)果分析

實(shí)驗(yàn)部分選取的執(zhí)行體均包含四個(gè)特征,按照樹(shù)層次模型從上到下分別是處理器架構(gòu)、操作系統(tǒng)、服務(wù)器軟件和數(shù)據(jù)庫(kù)軟件,樹(shù)層次模型的權(quán)值從上到下默認(rèn)依次為1、0.8、0.6、0.5。子節(jié)點(diǎn)層次模型的權(quán)值默認(rèn)依次為1、0.8、0.6,可根據(jù)分類(lèi)的多少進(jìn)行適當(dāng)調(diào)節(jié)。

3.1 執(zhí)行體集的冗余度選擇

對(duì)于執(zhí)行體集中冗余度的選擇,當(dāng)構(gòu)件種類(lèi)數(shù)m小于等于執(zhí)行體集中執(zhí)行體數(shù)量N時(shí),根據(jù)式(1)、式(3)、式(6)得執(zhí)行體集中執(zhí)行體數(shù)量和最大異構(gòu)性指數(shù)的關(guān)系如圖5所示?？梢缘贸?當(dāng)m≤N時(shí),最大異構(gòu)性指數(shù)并不會(huì)隨著執(zhí)行體集中執(zhí)行體數(shù)量的增加而增加。理論上,執(zhí)行體集中含有2個(gè)完全異構(gòu)的執(zhí)行體就能實(shí)現(xiàn)容錯(cuò),當(dāng)含有3個(gè)完全一樣的執(zhí)行體時(shí)可以實(shí)現(xiàn)入侵檢測(cè)[23]。因此本文選取的每個(gè)執(zhí)行體集含有3個(gè)執(zhí)行體。

圖5 最大異構(gòu)性指數(shù)變化

3.2 異構(gòu)性的最大變化

我們選取3組數(shù)據(jù),每組均含有4個(gè)執(zhí)行體集,每組執(zhí)行體集復(fù)雜性相同。組1中,4個(gè)執(zhí)行體集分別只在第一層、第二層、第三層和第四層產(chǎn)生差異,且均在層內(nèi)的“分類(lèi)1”層級(jí)產(chǎn)生差異;組2中,第一個(gè)執(zhí)行體集在全部四層都產(chǎn)生差異,第二個(gè)執(zhí)行體集在后三層都產(chǎn)生差異,第三個(gè)執(zhí)行體集在后兩層都產(chǎn)生差異,第四個(gè)執(zhí)行體集只在第四層產(chǎn)生差異,四個(gè)執(zhí)行體集均在層內(nèi)的“分類(lèi)1”層級(jí)產(chǎn)生差異;組3中,4個(gè)執(zhí)行體集均在全部四層產(chǎn)生差異,且后三層均在“分類(lèi)1”產(chǎn)生差異,第一個(gè)執(zhí)行體集在第一層的“分類(lèi)1”層級(jí)產(chǎn)生差異,第二個(gè)執(zhí)行體集在第一層的“分類(lèi)2”層級(jí)產(chǎn)生差異,第三個(gè)執(zhí)行體集在第一層的“分類(lèi)3”層級(jí)產(chǎn)生差異,第四個(gè)執(zhí)行體集在第一層的“分類(lèi)4”層級(jí)產(chǎn)生差異。

根據(jù)式(3)可得這3組數(shù)據(jù)中執(zhí)行體集的復(fù)雜度相同,根據(jù)式(6)得差異性比較如圖6所示。當(dāng)執(zhí)行體集的復(fù)雜性相同時(shí),異構(gòu)性的大小就由執(zhí)行體集的差異性決定,差異性的大小由執(zhí)行體間產(chǎn)生差異的層級(jí)數(shù)和層級(jí)內(nèi)的分類(lèi)等級(jí)決定,越在高層和層內(nèi)的高分類(lèi)層級(jí)產(chǎn)生差異,差異性就越大,異構(gòu)性也就越大。

圖6 差異性指數(shù)變化

3.3 異構(gòu)性對(duì)比

我們選取8組不同的MEC異構(gòu)服務(wù)器執(zhí)行體集,CPU架構(gòu)均采用X86,操作系統(tǒng)、服務(wù)器軟件和數(shù)據(jù)庫(kù)均采用不同的軟件,如表1所示。根據(jù)式(1)、式(3)、式(6)計(jì)算,8組數(shù)據(jù)理論上異構(gòu)性越來(lái)越低。我們和Margalef指數(shù)、Shannon-Wiener指數(shù)和Simpson指數(shù)對(duì)比,異構(gòu)性量化結(jié)果如圖7所示。

表1 執(zhí)行體集

圖7 異構(gòu)性量化結(jié)果對(duì)比

可以看出本文提出的Tree-Level算法可以有效區(qū)分和量化執(zhí)行體集的異構(gòu)性,而其他三種算法對(duì)于異構(gòu)性的度量效果類(lèi)似,只能將8組數(shù)據(jù)分為3類(lèi),區(qū)分度不足,無(wú)法準(zhǔn)確量化異構(gòu)性大小。

4 結(jié) 語(yǔ)

本文針對(duì)擬態(tài)構(gòu)造的MEC服務(wù)器中的異構(gòu)性難以量化的問(wèn)題,將執(zhí)行體集的異構(gòu)性分解兩部分計(jì)算,即復(fù)雜性和差異性,引入Shannon-Wiener指數(shù)和樹(shù)層次模型來(lái)量化執(zhí)行體集的異構(gòu)性,在此基礎(chǔ)上,分析了影響異構(gòu)性的因素。與其他量化異構(gòu)性的方法相比,該方法更加適用于本文提出的架構(gòu)模型,效果更好。

下一步將對(duì)本文提出的異構(gòu)特征元素的權(quán)重進(jìn)行進(jìn)一步細(xì)化,從軟件同源的角度完善異構(gòu)性的量化。另一方面,反饋調(diào)節(jié)機(jī)制也是擬態(tài)防御系統(tǒng)架構(gòu)的重點(diǎn)之一,在本文異構(gòu)性量化的基礎(chǔ)上,將對(duì)異構(gòu)執(zhí)行體的動(dòng)態(tài)調(diào)度算法進(jìn)行分析和改進(jìn)。