拟态防御是软硬件基础设施网络安全与功能安全防护理论^[1-4]，通过拟态防御在网络设备、云平台、Web应用服务器等领域中的工程化实践可以发现，拟态裁决是关系拟态防御系统运行效率、可用性的核心因素. 拟态防御借鉴分布式计算思想，将用户请求通过分发组件递交至多个执行体上并行计算，计算完成后通过拟态裁决实现“多输出”到“一响应”的归约化. 拟态裁决环节相对正确值的产生与效率的提升是拟态防御研究的重点技术，它能够缓解裁决环节对被防御系统的效率损失影响.

拟态裁决效率的提升方法主要有裁决算法优化、策略优化、计算介质优化等，已有研究主要集中在基于深度学习、硬件加速或融合执行体置信度的裁决优化等技术路线^[5-13]，通过此类方法拟态裁决效率可以获得平均约10%的提升. 与拟态裁决技术类似的研究主要围绕选举算法^[14-15]、多余度表决算法^[16-21]，主要用于如容错软件、安全联锁系统（safety interlock system, SIS）的分布式系统的主控节点选举研究中. 针对拟态裁决效率提升的研究存在以下问题. 1）缺乏结合拟态防御架构特点的量化分析：基于深度学习、融合执行体置信度的裁决优化通过历史数据学习与模式挖掘匹配，使相对正确值的产生效率与可靠性得到改善，硬件加速优化方法通过计算介质替代实现裁决计算加速，这些技术本质上是以通用方法解决通用计算效率问题，并未进行拟态防御领域性的性能优化. 2）拟态单裁决器存在可用性风险：当前拟态裁决器与执行体数量的对应关系采用的是约定俗成的方法，通常仅采用单裁决器；当单裁决器由于工作负载或功能失效处于非稳定运行状态时，拟态防御系统整体将处于低效响应或运行阻塞状态. 3）针对可变数量执行体的可扩展性不足：在工业控制SIS中，存在器件2选1安全评估（1 out of 2 evaluation, 1oo2）, 器件3选2安全评估（2 out of 3 evaluation, 2oo3）, 器件4选2安全评估（2 out of 4 evaluation, 2oo4）等策略，可见执行体数并非固定不变. 此外，针对大型业务系统、微服务系统的拟态构造可生成多组执行体，单裁决器难以满足分布式系统的计算性能要求.

本研究基于拟态裁决架构动态生成，结合SIS级联结构，以可处理2个数据参数的二元裁决与逻辑计算单元为基本构件，设计支持自定义执行体数的分布式拟态裁决模型与架构，量化分析拟态裁决器与执行体的数量关系，探索通过动态规划生成级联拓扑结构的拟态裁决能力提升方法，突破通过经验约定裁决器架构导致的局限（如拟态防御架构扩展性差、拟态裁决器可用性低），从而达到拟态裁决效率提升目标.

裁决算法主要包括全体一致裁决^[5]、大数裁决算法^[6]、最大近似裁决^[7]等. 杨晓晗等^[8]挖掘不同执行体输出正常响应数据的深度语义特征，分析归纳正常响应和异常响应时的数据统计规律，提升了网络攻击检测的效率与准确率. 高振斌等^[9]结合拟态系统异构执行体输出数据集，采用异常检测的方法快速定位差模故障，构建基于CNN和LSTM网络的异常检测高效模型. 基于裁决算法优化的拟态裁决效率提升侧重数据特征挖掘，由此可见，在基于特征挖掘进行裁决算法优化时，拟态裁决输出数据集的体量与质量是影响拟态裁决效率与准确率的关键因素.

Latif-Shabgahi等^[10]在容错系统研究中基于历史输出值对系统模块进行加权，高权值模块的输出优先选为系统最终输出. 武兆琪等^[11]在选择执行体表决输出时引入执行体间的异构度作为决策因素，优先信任异构度大与历史置信度高的执行体输出，较好地提高了拟态裁决的效率与准确性. 基于裁决策略优化的拟态裁决效率提升方法须基于执行体输出数据集，增加了历史置信度高的执行体输出值正确性高的预设，在开放网络中，网络攻击具有随机性，此类预设容易失效.

宋克等^[12]采用基于现场可编程门阵列（field programmable gate array，FPGA）或专用集成电路芯片的软硬件协同拟态裁决方法，通过专用硬件电路使拟态裁决效率提升了10%~20%. 普黎明等^[13]提出面向JSON（JavaScript object notation）数据的裁决模型，结合拟态云计算服务，采用全字段数据比对快速排查系统异常. 硬件加速侧重裁决算法的硬件替代，云计算加速侧重利用高性能组件进行计算. 基于计算介质优化的拟态裁决效率提升方法采用通用方法解决通用计算效率问题，并未结合拟态防御架构进行针对性裁决效率提升.

进行传统拟态裁决架构的实现机制分析. 拟态防御模拟态裁决的含义：若拟态防御系统X中包含N个执行体（N≥3），对同一输入N个执行体响应输出值均进行一致性判定，从而推断系统运行安全状态，称为N模裁决；对N–1个执行体响应进行一致性判定，由此推断系统运行安全状态，称为N–1模裁决，此时系统故障容许度为1，允许1个执行体不参与拟态裁决. 以Web信息系统为例，在包含3个执行体的拟态Web信息系统工程实现中，拟态裁决器通常唯一，且裁决器内须预置裁决算法. 如图1所示，Web信息系统N模裁决(N=3)包含输入代理、执行体、裁决器等拟态信息系统基础组件，输入代理将Web请求发送至执行体1、2、3，分别生成响应a、b、c, N模裁决在裁决器内须定义能够对3个参数进行一致性判定的算法，并要求对所有执行体响应进行比较. 如图2所示为N–1模裁决模型. N模裁决算法可设计为兼容N–1模裁决，即在3个执行体拟态信息系统中，当1个执行体异常时，N模裁决降级为N–1模裁决. 若N–1模裁决成功，则表示系统仍处于安全运行状态，系统可继续运行而无需采取停机修复防御操作，保证拟态信息系统高可用；仅当3个执行体响应值完全相异时，裁决失败，表示系统处于非安全状态. 此外，N模裁决算法可设计为不兼容N–1模裁决，即要求所有执行体响应值相同才表示系统处于安全运行状态，保证拟态防御界内系统高安全. 图1、2中的示例算法均是支持1执行体故障容许度的高鲁棒系统拟态裁决算法. 当采用单裁决器时，预期或非预期因素（如负载过高、功能故障）均可能导致裁决器低效率运行甚至中止运行. 此时Web信息系统请求输入响应输出的通路稳定性将被破坏，Web信息系统用户将延迟收到或无法收到系统响应. 当前裁决器与执行体数量的对应关系是按经验习惯进行约定的，裁决器中的裁决算法须在拟态防御系统上线前部署完成，一旦更换执行体数量，裁决器算法须相应变化，否则将无法执行计算. 特别是在单裁决器情况下，裁决算法须在拟态防御系统下线后重新部署，极大限制了拟态防御系统的可用性与易用性.

参考SIS三模冗余投票模型，设计基于分布式裁决器集群的新型拟态裁决模型.

如图3所示，在经典三模冗余投票模型中，假设A、B、C为3个独立投票主体，投票结果由A&B、A&C、B&C、AB|BC|AC共同决定，A、B、C可以是多元矢量，也可以是基于时间的函数. A&B、A&C、B&C分别代表独立投票主体间的与运算，即三模冗余投票模型采用2oo3结构；A|B|C表示独立投票主体的或运算. 假设投票取1，不投票值取0，则投票系统可能的取值如表1所示.

借鉴三冗余投票模型与云平台服务集群的构建方法，提出如图4所示的分布式拟态裁决模型. 单一裁决器依照分布式服务集群样式进行设计，并设计执行体到裁决器的连接通路. 分布式拟态裁决模型的裁决器、逻辑运算器均为二元参数运算器，即输入参数数量均为2. 假设各裁决器、逻辑运算器均只执行单次运算，且裁决器、逻辑运算器仅执行单一裁决、单一与逻辑运算以及单一或逻辑运算功能，不具备通过计数、路径追溯分析拟态裁决组件输出值的附加功能. 裁决模型由输入层（input layer）、裁决层1（judge layer 1）、裁决层2（judge layer 2）、输出层（output layer）构成. 输入层是执行体集群层，执行体数为n（n≥3），产生待裁决的数值作为输入. 裁决层1是第一层裁决，其功能是在分布式裁决器集群中对输入层各执行体响应值是否相等进行裁决，同时完成将多元数值类型转换为布尔值的操作，裁决器内置二元比较算法，可以产生布尔值；若执行体输出值相同，则裁决器输出值为1，否则输出值为0. 设裁决器数量为m，当执行体数量为n（n≥3）时，可知本层裁决器数量

(1)$ m = C_n^2 . $

在产生布尔值之后，借鉴三冗余投票模型中的与运算逻辑以及或运算逻辑进行系统安全状态判定. 裁决层2是第二层裁决，本层裁决由逻辑运算器组成，根据裁决模式设计逻辑运算器连接拓扑完成拟态裁决功能. 输出层根据裁决层1和2的裁决结果进行输出，通过本层输出模块可判定拟态防御系统运行状态并选出合适的输出数值.

在分布式拟态裁决模型的基础上，探讨分别针对高安全系统和高鲁棒系统的分布式拟态裁决架构，构建支持用户自定义执行体数量与故障容许度的分布式拟态防御裁决架构，进一步完善裁决层1和2的裁决功能与连接拓扑设计.

根据拟态防御系统安全运行要求，定义针对高安全系统的分布式拟态裁决架构：当拟态防御系统执行体数为n，执行体数值均一致时，判定拟态防御系统处于安全运行状态，否则判定拟态防御界内系统存在安全风险. 以n=4的四冗余系统为例，依据分布式拟态裁决模型进行高安全拟态裁决架构设计，如图5所示. 当n=4时，裁决层1的裁决器数量$ m = C_4^2 $= 6，各裁决器的裁决内容如图6所示. 如裁决内容一致，则裁决器输出值为1，否则为0. 根据拟态裁决模型，在四冗余系统中，输入层中若有1个执行体异常，则裁决层1中3个裁决器输出值为0；若有2个执行体异常，则裁决层1中5个裁决器输出值为0. 以此类推，在n (n≥3)冗余系统中，当有r (r≤$\left\lfloor {n/2} \right\rfloor $)个执行体异常时，将导致（n–1） ··· +（n–r）个裁决器输出值为0，输出值为1的裁决器数量

(2)$ {m_1} = C_n^2 - (n - 1) \cdots - (n - r),\; r \leqslant \left\lfloor {n/2} \right\rfloor . $

且随着r增大，所有裁决器输出值将全部为0. 在高安全拟态裁决模式下，要求所有裁决器输出均相等，在裁决层2中，采用循环对比的方法将裁决层1中裁决器输出的布尔值进行两两与运算，得到裁决层2中的与运算器数

(3)$ Q = C_m^2 . $

算法复杂度为O(n²). 在输出层中对裁决层2中的值进行与运算；当输出值为1时，表示拟态防御界内的系统处于安全运行状态；输出值为0时，表示拟态防御界内的系统存在安全风险.

随着n增大，裁决层2中的Q将快速增长，在n=3的三冗余系统中，Q=3；n=4的四冗余系统中，Q=15；n=5的五冗余系统中，Q=45；n=6的六冗余系统中，Q=105. 结合高安全拟态裁决模式所有裁决器输出均须相等的特征，设计级联拓扑架构，通过连接拓扑的优化极大地提升裁决层2的运算效率. 以四冗余系统为例，在高安全拟态裁决模式中，要求执行体1~4的数值相等，在这种情况下，裁决器1~6的数值均为1，任何数值的不相等都将终止等价关系的传递. 设计如图7所示的级联拓扑，将裁决层2中的与运算器以级联方式连接，为原本独立的与运算器构建逐层的依赖关系，任何层级出现的0都会导致裁决层2的输出为0，仅当全部与运算器的值为1时，裁决层2的输出为1，符合高安全拟态裁决需求，级联拓扑下裁决层2中的与运算器各执行1次，算法复杂度为O(n).

观察图7裁决层2中的与运算器裁决内容，若通过人为判断4个执行体响应值是否相等，最便捷的方法之一是当证明执行体1与执行体2的数值相等，执行体1与执行体3的数值相等，执行体1与执行体4的数值相等时，即可完成所有执行体数值相等的证明. 也就是说，证明系统安全运行最少需要3次等值证明. 这是否表示在裁决层2中设置3个与运算器即可完成拟态裁决呢？在拟态裁决系统实际执行裁决的过程中，无法确定输入层中的执行体产生数值的顺序. 如在四冗余系统中，若顺序输入至裁决层2中与运算器的数值为执行体1与执行体2数值相等，执行体1与执行体3数值相等，执行体2与执行体3数值相等，由于执行体4数值缺失，导致在高安全模式下仅凭3个与运算器无法正确地判定拟态防御界内系统的运行状态. 若能找到保障所有执行体数值输入裁决层2中的方法，则可提供进一步优化裁决层运算效率的思路. 上文已推断出当有1个执行体异常时，（n–1）个裁决器输出值为0；反之，若裁决层2中参与与运算的裁决器为

(4)$ {m_{\mathrm{d}}} = C_n^2 - \left( {n - 1} \right)+1,\; r \leqslant \left\lfloor {n/2} \right\rfloor . $

即可达到所需执行体数值全部参与裁决层2与运算的目的，这些裁决器需要$ C_n^2 $−（n−1）个与运算器完成计算. 如在四冗余系统中，1个执行体将影响3个裁决层2中的与运算器输出值为0，利用该特性，进行4次执行体数值比较，即可确保全部所需执行体参与裁决层2的裁决. 假设前3次执行体数值比较分别判定执行体1数值是否等于执行体2数值， 执行体1数值是否等于执行体3数值，执行体2数值是否等于执行体3数值，尚未裁决的执行体数值为执行体1是否等于执行体4，执行体2是否等于执行体4，执行体3是否等于执行体4，可以发现第4次与运算必然会接收到包含执行体4的裁决内容，保障所有所需执行体均参与裁决层2的裁决，应相应地在裁决层2设置3个与运算器（裁决层2与运算器比较的是裁决层1裁决器的值，级联拓扑中与运算器个数比裁决器数少1个，即比所需执行体数值比较次数减1）. 以此类推，在三冗余系统中，应参与与运算的裁决器个数为2，在裁决层2中设置1个与运算器；在五冗余系统中，应参与与运算的裁决器个数为7，在裁决层2中设置6个与运算器. 采用级联拓扑即可达到高安全拟态裁决目标，改进后的四冗余高安全系统的分布式拟态裁决架构如图8所示. 与图5相比，裁决层中的与运算器个数由15减至3，算法复杂度由O(n²)降为O(n)，极大降低了系统建设成本，提高了整体运算效率.

针对高鲁棒系统的分布式拟态裁决架构具备安全风险容忍度，一定数量的执行体数值一致即可认为拟态裁决通过. 针对高鲁棒系统的分布式拟态裁决架构降低了对全部执行体数值强一致性的要求，由于故障容许度的设置，使得拟态裁决架构可以屏蔽故障执行体对拟态防御界内系统的影响，保障拟态防御界内系统的高鲁棒运行能力. 当执行体数为3时，三模冗余投票模型可作为针对高鲁棒系统拟态裁决架构的经典方案. 当执行体数大于3时，情况将复杂许多. 在n冗余系统中，裁决器数量为$ C_n^2 $，叠加容许度的因素，使得裁决层1的值输出情况更加复杂，须设计针对高鲁棒系统的分布式拟态裁决组件连接拓扑，使得拟态裁决系统具备准确高效的裁决能力.

根据分布式拟态裁决模型，探讨裁决层1的设计方案. 在n冗余系统中，执行体随机发生故障，且执行体运算响应具有不确定性，输入层全部执行体产生的数值对于拟态裁决系统均为有效信息，因此裁决层1须设计$ C_n^2 $个裁决器，确保输入层产生的数值均可传递至裁决层2. 针对裁决层2逻辑运算器进行设计. 假设有n冗余、容许度为r的系统，可知拟态裁决的目标是证明是否存在n–r个执行体数值相等. 如在n=4的四冗余、容许度为1的系统中，拟态裁决须判定是否存在3个执行体，使得执行体x数值=执行体y数值=执行体z数值成立, x,y,z∈{1,2,3,4}. 这是等价传递问题，能够通过级联拓扑解决，由此进行针对裁决层2的逻辑运算器连接拓扑设计. 当在裁决层1中使用级联拓扑证明3个执行体数值等价时，须比较$ C_3^2 - 2+1 = 2 $个裁决层1裁决器的输出值均为1，为此设置1个与运算器. 依次将裁决层1的输出值传递至裁决层2，在如图9所示的拓扑结构中，若存在2个裁决层1中的裁决器输出值使得裁决层2逻辑运算判定单元输出值为1，则拟态裁决通过，表示拟态防御界内的系统安全运行，否则表示拟态防御界内的系统安全风险大于容许度. 以此类推，在n(n≥3)冗余、容许度为r的系统的级联拓扑中，为了将等价关系向后传递，采用与运算器，在n – r个执行体数值之间证明等价关系需要

(5)$ {m_{{\mathrm{dr}}}} = C_{n - r}^2 - \left( {n - r - 1} \right)+1,\;\;r \leqslant \left\lfloor {n/2} \right\rfloor . $

个裁决器数值参与运算，级联与运算器个数为$ C_{n - r}^2 - \left( {n - r - 1} \right) $，裁决器2逻辑运算判定单元如图10所示. r∈[0, $\left\lfloor {n/2} \right\rfloor $]，表示半数以上执行体数值相等时可判定拟态防御界内系统安全运行. 当r=0时，针对高鲁棒系统的分布式拟态裁决架构与针对高安全系统的分布式拟态裁决架构拓扑结构相同. 进一步分析可知，裁决层1中的与运算器符合裁决层2逻辑运算判定单元级联拓扑结构的组合

(6)$ T = C_Q^{n - r} ,\;\; Q = C_n^2. $

如当n=3、r=1时，T=3，表示当拟态防御界内系统安全运行时，有3种裁决层1中的与运算器组合符合级联拓扑结构. 当n=4、r=1时，T=20，表示当拟态防御界内系统安全运行时，有20种裁决层1中的与运算器组合符合级联拓扑结构. 当找到与运算器组合符合级联拓扑结构，拟态裁决架构进行输出，不再继续寻找其他符合的与运算器组合，否则将等待所有与运算器组合输入裁决层2计算，直至找到符合级联拓扑结构的组合.若裁决层2未找到可输出的与运算器组合，则说明拟态防御界内系统存在安全风险. 本算法复杂度为O(n)~O(n²)，以n=4、r=1时为例，高鲁棒拟态裁决架构如图11所示.

开展仿真实验，验证基于单裁决器的拟态裁决架构、经典三模冗余投票模型、针对高安全系统的分布式拟态裁决架构、针对高鲁棒系统的分布式拟态裁决架构的裁决能力.

实验1：在n=3、r=0的系统中验证基于单裁决器的拟态裁决架构、经典三模冗余投票模型、针对高安全系统的分布式拟态裁决架构的裁决间隔，如图12所示. n=3、r=0表示拟态防御界内系统为高安全模式，要求全部执行体输出值相等方可裁决为系统安全运行，否则系统处于风险状态. 基于单裁决器的拟态裁决架构须部署参数为3的裁决算法，本实验采用遍历数值比较算法. 经典三模冗余投票模型采用或逻辑运算，天然具有3取2的1容许度特征，严格来说，三模冗余投票模型不适用要求执行体值全部相等的高安全模式，因此本实验将或运算器改为与运算器. 针对高安全系统的分布式拟态裁决架构在裁决层1中须部署3个裁决器，在裁决层2中须设置1层与运算级联拓扑结构，因此部署1个与运算器. 设置5组执行体输出数值，“1”表示执行体正常且输出值相同，“0”表示执行体异常且输出值相异. 设置执行体输出数值第1组为（1,1,1），第2组为（0,1,1），第3组为（0,0,0），第4组为（0,0,1），第5组为（1,0,1）. 实验结果如图13和表2所示，其中t为裁决间隔. 3类拟态裁决架构均裁决正确，其中单裁决器、经典三模冗余投票用时接近，经典三模冗余投票用时略少，分布式裁决间隔最长. 执行体数量为3的拟态防御系统结构较为简单，单裁决器、经典三模冗余投票拟态裁决架构均有较高的效率，分布式裁决须花费额外的时间计算裁决器、与运算器数量，并生成级联拓扑，因而在这3类拟态防御系统中不具备效率优势.

实验2：在n=4、r=1的系统中验证基于单裁决器的拟态裁决架构、针对高鲁棒系统的分布式拟态裁决架构的裁决能力及裁决间隔. 基于单裁决器的拟态裁决架构须预先设计支持4个执行体，1个故障执行体容许度的裁决算法，否则不具备自定义个数执行体的裁决能力. 在针对高鲁棒系统的分布式拟态裁决架构中， 裁决层1须部署6个裁决器，裁决层2须设置2层与运算级联拓扑结构，因此部署2个与运算器，如图14所示. 设置5组执行体输出数值，执行体输出数值第1组为（1,1,1,1），第2组为（0,1,1,1），第3组为（1,1,1,0），第4组为（0,0,1,1），第5组为（1,0,1,0），实验结果如图15和表3所示. 2类拟态裁决架构均裁决正确，分布式裁决间隔低于单裁决器，平均裁决效率相较单裁决器提高了33.74%. 在n=5、r=2的系统仿真实验中，分布式裁决在裁决结果全部正确的前提下，裁决间隔相较单裁决器平均缩短了28.92%，具体裁决间隔如图16所示.

实验3：验证分布式拟态裁决架构的服务可扩展性. 分别设置执行体数与故障容许度，分布式拟态裁决架构均能正确裁决，平均裁决间隔如表4所示. 从3执行体到20执行体，在执行体数增加约600%的情况下，拟态裁决间隔平均增长率为10%，增长率平稳.

实验仿真结果表明，分布式拟态裁决架构虽在n=3的拟态防御系统中不具备效率优势，但随着执行体数量增加，从n=4开始，本研究设计的分布式拟态裁决架构的效率优势与可扩展性优势明显. 1）分布式拟态裁决架构将多元参数裁决算法拆解为可并行计算的二元参数运算单元，针对高鲁棒系统的分布式拟态裁决架构算法复杂度为O(n)~O(n²)，基于单裁决器的拟态裁决架构算法复杂度为O(n²)，前者具有效率优势；分布式拟态裁决架构将多元参数裁决算法拆解为可并行计算的二元参数运算单元，改进后的针对高安全系统的分布式拟态裁决架构算法复杂度为O(n)，相较于基于单裁决器的拟态裁决架构计算效率平均提升30%. 2）分布式拟态裁决架构可通过定量分析的方法确定二元参数运算单元的数量，支持自定义执行体数量与故障容许度，动态生成级联拓扑，具备极好的扩展性. 3）分布式计算架构具备高可用性与高安全性.

本研究提出分布式拟态裁决模型，在分别针对高安全系统和高鲁棒系统的分布式拟态裁决架构中对二元参数运算单元数量进行量化分析，使高安全系统和高鲁棒系统能动态生成级联拓扑结构. 在实验仿真中，分布式拟态裁决架构的计算效率较高，当冗余执行体数值趋大时，分布式拟态裁决架构的计算效率优于单裁决器的拟态裁决架构，并且可支持用户自定义执行体数量与故障容许度，具有极好的扩展性与服务可用性. 本研究后续计划进一步将级联拓扑结构拓展为级联拓扑网络，分析二元参数运算单元输出数值矩阵特征值对执行体状态的表示含义.