姚遠(yuǎn)，潘傳幸，張錚，張高斐

（1.信息工程大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，河南 鄭州 450001；2.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001）

1 引言

互聯(lián)網(wǎng)的高速發(fā)展，使計(jì)算機(jī)軟件全球化進(jìn)程不斷向前推進(jìn)的同時(shí)，也帶來了軟件一元化問題[1-2]。大量相似軟件存在于計(jì)算機(jī)中，容易導(dǎo)致黑客通過利用軟件的漏洞，攻擊安裝了該軟件的計(jì)算機(jī)，從而造成不可估量的經(jīng)濟(jì)損失。

安全研究人員意識(shí)到軟件多樣化是應(yīng)對(duì)黑客攻擊的一種有效手段。軟件多樣化是指同一軟件的多個(gè)實(shí)例有不同的二進(jìn)制執(zhí)行代碼。軟件多樣化最早應(yīng)用于容錯(cuò)機(jī)制，通過多個(gè)可選版本的程序組成多樣化冗余系統(tǒng)來獲得更高的可靠性和安全性。雖然軟件多樣化在一定程度上增大了針對(duì)軟件漏洞攻擊與利用的難度，但并沒有完全消除惡意威脅。張宇嘉等[3]和龐建民等[4]將軟件多樣化與擬態(tài)防御[5-6]思想相結(jié)合，提出了基于軟件多樣化的擬態(tài)防御框架，其框架組成如圖1所示。該框架不僅對(duì)軟件采用各種不同的多樣化手段，而且引入投票機(jī)制，即大數(shù)表決機(jī)制以產(chǎn)生相較于多版本程序集中單個(gè)執(zhí)行體更加可靠的輸出。

基于軟件多樣化的擬態(tài)防御框架中，通常使用多樣化編譯的方法生成變體集合，包含指令替換、控制流扁平化、代碼克隆、動(dòng)態(tài)不透明謂詞等各個(gè)粒度的混淆手段[7]。分發(fā)器將輸入分發(fā)給各個(gè)變體，表決器使用大數(shù)表決機(jī)制對(duì)各個(gè)變體的輸出進(jìn)行裁決。該框架有許多優(yōu)點(diǎn)：擾亂或阻斷了攻擊鏈，增加了攻擊難度，同時(shí)該框架安全風(fēng)險(xiǎn)可控的特點(diǎn)允許軟件中存在一定程度的漏洞；框架中多變體的組合應(yīng)用可以構(gòu)成相當(dāng)大的動(dòng)態(tài)空間，用以降低有效利用漏洞和后門進(jìn)行攻擊的風(fēng)險(xiǎn)；冗余使該框架具有內(nèi)在的可靠性；能夠形成共生協(xié)同、N 變體、等效多變體。可以看到，為了帶來上述優(yōu)點(diǎn)，該框架將原本一個(gè)執(zhí)行體的工作分發(fā)給了一個(gè)功能等價(jià)的異構(gòu)（多樣化）變體集合，這將會(huì)增加性能的損耗。在一些對(duì)安全比較敏感的行業(yè)（如銀行、電網(wǎng)、電子支付等）中，這些性能損耗是可以接受的；但是在一些對(duì)用戶體驗(yàn)比較敏感的行業(yè)（如游戲、社交、多媒體等）中，則要求性能損耗不能太大。目前，對(duì)于如何選擇N 個(gè)變體使之能構(gòu)成一個(gè)滿足各種要求的多樣化軟件系統(tǒng)，還沒有實(shí)際有效的測(cè)評(píng)體系及方法。

圖1 軟件多樣化的基于擬態(tài)防御框架

本文提出了一種基于層次分析法（AHP,analytic hierarchy process）的多樣化軟件系統(tǒng)量化評(píng)估方法，兼顧選取變體時(shí)考慮的主觀和客觀因素，從而使選出的變體是各方面要求的折中，也為多樣化軟件系統(tǒng)提供可定制服務(wù)貢獻(xiàn)了思路。

2 層次分析法

層次分析法是將與決策有關(guān)的元素分解成目標(biāo)、準(zhǔn)則、方案等層次，在此基礎(chǔ)上進(jìn)行定性和定量分析的決策方法。這種方法的特點(diǎn)是在對(duì)復(fù)雜決策問題的本質(zhì)、影響因素及其內(nèi)在關(guān)系等深入研究的基礎(chǔ)上，利用較少的定量信息使決策的思維過程數(shù)學(xué)化，從而為多目標(biāo)、多準(zhǔn)則或無結(jié)構(gòu)特性的復(fù)雜決策問題提供簡(jiǎn)便的決策方案。層次分析法是對(duì)難以完全定量的復(fù)雜系統(tǒng)做出決策的模型和方法。

層次分析法根據(jù)問題的性質(zhì)和需要達(dá)到的總目標(biāo)，將目標(biāo)分解為不同的組成因素，并按照因素間的相互關(guān)聯(lián)影響以及隸屬關(guān)系將因素按不同的層次聚集組合，形成一個(gè)多層次的分析結(jié)構(gòu)模型，最終使問題歸結(jié)為最低層（方案、措施等）相對(duì)于最高層（總目標(biāo)）的相對(duì)重要權(quán)值的確定或相對(duì)優(yōu)劣次序的排定。層次分析法適用于具有分層交錯(cuò)評(píng)價(jià)指標(biāo)的目標(biāo)系統(tǒng)，而目標(biāo)值又難于定量描述的決策問題。多樣化軟件系統(tǒng)質(zhì)量問題恰好屬于這類問題。層次分析法基本步驟為建立層次結(jié)構(gòu)模型，構(gòu)造成對(duì)比較矩陣，計(jì)算權(quán)向量并進(jìn)行一致性檢驗(yàn)，計(jì)算組合權(quán)向量并進(jìn)行組合一致性檢驗(yàn)。

3 多樣化軟件質(zhì)量的層次分析模型

3.1 評(píng)價(jià)指標(biāo)選取原則

形成評(píng)價(jià)體系需要選擇合適的評(píng)價(jià)指標(biāo)。本文根據(jù)層次分析理論，采用自上而下的方法，逐步分析，逐層分解，最終確定了由二層評(píng)價(jià)指標(biāo)構(gòu)成的多樣化軟件系統(tǒng)評(píng)價(jià)體系。在評(píng)價(jià)指標(biāo)選取的過程中遵循以下4 個(gè)原則。

1)針對(duì)性。多樣化軟件系統(tǒng)不同于一般的軟件系統(tǒng)，具體表現(xiàn)為異構(gòu)性、冗余性以及檢查點(diǎn)同步裁決。因?yàn)閭鹘y(tǒng)軟件系統(tǒng)并不具備這些特點(diǎn)，所以傳統(tǒng)軟件量化評(píng)估的指標(biāo)體系往往不涉及多樣化軟件系統(tǒng)的特有指標(biāo)[8-9]。這就要求指標(biāo)的選取要具有針對(duì)性。選取指標(biāo)時(shí)既要側(cè)重于多樣化軟件系統(tǒng)所特有的質(zhì)量要素，又要兼顧與傳統(tǒng)軟件所共有的一些質(zhì)量要素。

2)客觀性。應(yīng)用于不同領(lǐng)域的軟件系統(tǒng)所關(guān)注的質(zhì)量要素不同，選取指標(biāo)時(shí)應(yīng)注意軟件類別及主要用途，評(píng)價(jià)指標(biāo)應(yīng)反映多樣化軟件系統(tǒng)的本質(zhì)特征。

3)可測(cè)性。選取的評(píng)價(jià)指標(biāo)必須能夠量化表示，能夠通過經(jīng)驗(yàn)統(tǒng)計(jì)、數(shù)學(xué)計(jì)算、平臺(tái)測(cè)試等方法得到具體數(shù)據(jù)。這既是層次分析理論的內(nèi)在要求，也是評(píng)價(jià)體系具有應(yīng)用價(jià)值的前提條件。

4)簡(jiǎn)明性。評(píng)價(jià)指標(biāo)要易于被各方理解和接受。評(píng)價(jià)指標(biāo)的選取不在于多少，關(guān)鍵在于在評(píng)估過程中，指標(biāo)所發(fā)揮的作用有多大。過多的指標(biāo)不僅會(huì)增加結(jié)果的復(fù)雜性，有時(shí)還會(huì)影響評(píng)估的客觀性。

3.2 層次分析模型

多樣化軟件系統(tǒng)的層次評(píng)價(jià)體系由可用性指標(biāo)體系、安全性指標(biāo)體系和性能指標(biāo)體系3 個(gè)部分構(gòu)成。

可用性指標(biāo)體系由功能等價(jià)性與假陽(yáng)率 2個(gè)指標(biāo)構(gòu)成。多樣化軟件系統(tǒng)的多樣性通過多樣化編譯來保證，這難免會(huì)存在一致性問題，功能等價(jià)性是用來衡量執(zhí)行體之間一致性的指標(biāo)。由于執(zhí)行體之間存在不一致問題，表決器難免會(huì)產(chǎn)生誤報(bào)，這種現(xiàn)象稱為假陽(yáng)，假陽(yáng)率是衡量表決器誤報(bào)的指標(biāo)。

安全性指標(biāo)體系由異構(gòu)性和攻擊表面2 個(gè)指標(biāo)構(gòu)成。多樣化軟件系統(tǒng)的安全能力與異構(gòu)性緊密相關(guān)，目前通常通過統(tǒng)計(jì)執(zhí)行體之間的多樣性與差異性來估計(jì)異構(gòu)性[10-11]。攻擊表面是衡量一個(gè)系統(tǒng)安全能力的另一種量化方式[12]。一般來說，攻擊表面越小，系統(tǒng)越安全；攻擊表面越大，系統(tǒng)面臨的危險(xiǎn)越大。

性能指標(biāo)評(píng)價(jià)體系由時(shí)間性能指標(biāo)和空間性能指標(biāo)構(gòu)成。由于多樣化軟件系統(tǒng)各執(zhí)行體之間需要同步表決，這種同步表決機(jī)制會(huì)帶來不可避免的性能損耗；另外，多樣化軟件系統(tǒng)中多執(zhí)行體冗余執(zhí)行，相對(duì)傳統(tǒng)單執(zhí)行體軟件系統(tǒng)來說，額外的內(nèi)存空間開銷也是無法避免的。總之，性能指標(biāo)評(píng)價(jià)體系是層次評(píng)價(jià)體系中不可缺少的一部分。

綜合上述討論，同時(shí)根據(jù)3.1 節(jié)中的4 條評(píng)價(jià)指標(biāo)選取原則，本文構(gòu)建的指標(biāo)評(píng)價(jià)體系包括3 個(gè)一級(jí)指標(biāo)和6 個(gè)二級(jí)指標(biāo)。3 個(gè)一級(jí)指標(biāo)在準(zhǔn)則層B，分別是可用性、安全性、性能，6 個(gè)二級(jí)指標(biāo)在準(zhǔn)則層C，分別是功能等價(jià)性、假陽(yáng)率、異構(gòu)性、攻擊表面、時(shí)間性能、空間性能。下一步將對(duì)指標(biāo)評(píng)價(jià)體系中的各指標(biāo)分配一定的權(quán)重，再按權(quán)重將各個(gè)具體的指標(biāo)值整合起來，最終得到多樣化軟件質(zhì)量的評(píng)估結(jié)果。為了在評(píng)價(jià)過程中避免單一指標(biāo)的片面性造成的結(jié)果不可靠，同時(shí)更加全面地評(píng)價(jià)多樣化軟件系統(tǒng)的質(zhì)量，本文將選取的指標(biāo)評(píng)價(jià)體系轉(zhuǎn)換成如圖2 所示的層次分析模型。

圖2 多樣化軟件系統(tǒng)的層次分析模型

4 應(yīng)用實(shí)例

本文以應(yīng)用于互聯(lián)網(wǎng)行業(yè)的某Web 服務(wù)器為例來進(jìn)行具體的多樣化軟件評(píng)價(jià)。進(jìn)一步地，本次評(píng)價(jià)的目標(biāo)是從由多樣化編譯產(chǎn)生的4 個(gè)服務(wù)器變體中，選出3 個(gè)變體構(gòu)成質(zhì)量最優(yōu)的3-余度變體組合。層次指標(biāo)評(píng)價(jià)體系示例如圖3 所示。

在評(píng)價(jià)過程中，各項(xiàng)評(píng)價(jià)指標(biāo)的測(cè)量和數(shù)據(jù)的分析均由專業(yè)測(cè)試者完成。其中，功能等價(jià)性的測(cè)量如下：對(duì)一組變體組合中的各個(gè)變體進(jìn)行P 次不同輸入，人工觀察輸出結(jié)果，得到Q 次一致輸出，那么功能等價(jià)性為。假陽(yáng)率的測(cè)量結(jié)果如下：對(duì)一組變體組合進(jìn)行大量輸入，記為Z 次，通過表決器裁決發(fā)現(xiàn)X 次輸出異常，通過人工裁決發(fā)現(xiàn)Y 次輸出異常，則假陽(yáng)率為。針對(duì)異構(gòu)性的測(cè)量，采用張杰鑫等[10]提出的方法，通過計(jì)算辛普森多樣性指數(shù)和差異二次熵，來間接計(jì)算變體間的異構(gòu)性。張錚等[12]將攻擊面裁決的概念引入系統(tǒng)表面模型，針對(duì)非相似冗余系統(tǒng)進(jìn)行攻擊表面量化。時(shí)間性能和空間性能的測(cè)量使用基準(zhǔn)測(cè)試軟件完成。

圖3 層次指標(biāo)評(píng)價(jià)體系示例

各項(xiàng)指標(biāo)在準(zhǔn)則層的權(quán)重設(shè)置根據(jù)層次排序的結(jié)果確定，在方案層的權(quán)重由測(cè)量結(jié)果確定。由于各指標(biāo)間的測(cè)量方式與具體表現(xiàn)形式各異，將測(cè)量結(jié)果進(jìn)行等級(jí)量化，分為5 個(gè)等級(jí)，使用等級(jí)量化分?jǐn)?shù)代替測(cè)量結(jié)果。等級(jí)量化分?jǐn)?shù)如表1所示。

表1 等級(jí)量化分?jǐn)?shù)

針對(duì)需要評(píng)價(jià)量化的各個(gè)變體組合，同時(shí)結(jié)合表1的量化分?jǐn)?shù)，本文對(duì)各變體組合進(jìn)行定性分析，得出的各變體組合各項(xiàng)指標(biāo)等級(jí)量化得分如表2 所示。

表2 各變體組合各項(xiàng)指標(biāo)等級(jí)量化得分

在評(píng)價(jià)過程中，使用成對(duì)比較矩陣對(duì)各指標(biāo)的重要性進(jìn)行比較。每個(gè)指標(biāo)的成對(duì)比較矩陣M 中的元素mij表示在下一層第i 個(gè)準(zhǔn)則與第j 個(gè)準(zhǔn)則的重要程度之比，這個(gè)比值根據(jù)多樣化軟件的具體應(yīng)用領(lǐng)域所重視的質(zhì)量屬性而不同。

針對(duì)目標(biāo)層A，其矩陣由其下層的可用性B1、安全性B2、性能B3所決定，再根據(jù)AHP 中常用的1～9標(biāo)度法，可得出成對(duì)比較矩陣，因?yàn)楦鱾€(gè)變體組合的可用性和安全性比性能重要，所以m13和m23的值更大。

根據(jù)準(zhǔn)則層C 下一層，即方案層的值（表2），可得出功能等價(jià)性成對(duì)比較矩陣、假陽(yáng)率成對(duì)比較矩陣、異構(gòu)性成對(duì)比較矩陣、攻擊表面成對(duì)比較矩陣、時(shí)間性能成對(duì)比較矩陣、空間性能成對(duì)比較矩陣分別為

然后，計(jì)算各成對(duì)比較矩陣的特征向量并歸一化，得到準(zhǔn)則層各指標(biāo)的層次單排序結(jié)果如下。

層次單排序的結(jié)果即為各指標(biāo)的下級(jí)指標(biāo)權(quán)重。比如，ωB2=(0 .750,0.250)T說明對(duì)于安全性而言，異構(gòu)性的權(quán)重為0.750，攻擊表面的權(quán)重為0.250。

層次總排序的結(jié)果為ωres=(0 .257,0.263,0.246,0.234)T。變體D2組合的總排序結(jié)果最佳，其值為0.263，可將其視為4 個(gè)變體組合中質(zhì)量最好的變體，故應(yīng)選擇D2變體組合構(gòu)成多樣化軟件系統(tǒng)。

5 結(jié)束語

針對(duì)目前難以量化分析在不同場(chǎng)景選擇不同多樣化變體來使多樣化軟件系統(tǒng)獲益最大化的問題，本文基于層次分析法確定影響各個(gè)變體的質(zhì)量指標(biāo)權(quán)重，構(gòu)建了一種針對(duì)多樣化軟件系統(tǒng)的質(zhì)量評(píng)價(jià)體系。該方法能夠有效地量化不同變體組合的質(zhì)量指標(biāo)，驗(yàn)證了層次分析法在該領(lǐng)域的適用性以及量化的可行性，進(jìn)一步地將對(duì)多樣化軟件系統(tǒng)的變體組合的選取具有指導(dǎo)性意義。