黑客的日常工作就像一場精心策劃的“入室盜竊”。首先“踩點”——掃描目標系統的端口、分析網絡流量、研究系統架構找出漏洞，但如果黑客發現系統會“變臉”，今天Windows，明天變成Linux，剛研究完一種系統漏洞，結果目標系統已經“變身”了，那么還能成功得手嘛？這就是擬態安全所帶來的防護體系。

擬態安全是什么？

擬態安全是一種基于動態異構冗余架構（DHR）的主動防御技術，是由中國工程院鄔江興院士根據擬態章魚仿生學原理提出，旨在通過構建一個動態、異構、冗余的系統環境，使攻擊者難以找到并利用系統的漏洞，從而提升系統的安全性。

動態異構冗余架構（DHR）圖

DHR架構主要由以下幾個關鍵組件構成：

異構執行體：

多個功能相同但實現方式不同的執行體（如不同的硬件、操作系統、應用程序版本等。

每個執行體獨立運行，具有不同的漏洞和攻擊面。

輸入代理：

負責動態調整執行體的運行狀態和資源配置。

根據策略或環境變化，隨機選擇或輪換執行體。

多模裁決：

對多個執行體的輸出進行比較，通過多數表決或一致性檢查來判斷結果的正確性。

如果某個執行體被攻擊或失效，其異常輸出會被識別并排除。

負反饋控制器：

根據裁決結果和系統狀態，動態調整執行體的配置或切換執行體。

提供系統自適應的能力，增強抗攻擊性。

讓我們用老演員王總和小李出場，用一個生動的案例展示動態異構冗余架構的核心運作原理。

王總到某高級酒店宴請客戶，特別吩咐接待要“少油少鹽”，并安排了三位廚師同時制作。完成后，廚師AB的菜品完全符合，但廚師C的菜品鹽分超標。根據DHR結構的原則，只要有一個子系統（廚師）的輸出結果不符合要求，整個流程就必須重新開始。所以試菜員果斷全部打回，要求重新制作，并且將此情況匯報給餐廳經理，餐廳經理決定廚師C被暫時調離崗位，由備用廚師D（一位擅長健康飲食的米其林星級廚師）接替。之所以如此苛刻，是因為擬態安全的核心邏輯是：只有所有子系統的輸出結果一致且可靠，才能確保最終結果的絕對安全性。

這個案例正是揭示了擬態安全中DHR結構的強大之處：

動態性：

通過隨機檢查和動態調整，確保每一道菜品都符合標準。

異構性：

不同的廚師采用不同的烹飪風格，提高菜品的多樣性和可靠性。

冗余性：

即使某位廚師的菜品出現問題，系統也能通過替換和重置確保最終結果的絕對可靠

可以說，DHR結構就像為餐廳構建了一道“三重美味保險”，讓每一位顧客都能享受到完美的用餐體驗。

擬態安全如何進行未知攻擊的檢測？

擬態安全的核心優勢之一就是不依賴于傳統特征庫來檢測威脅流量，擬態安全的判斷邏輯并不是直接分析流量本身（比如檢查數據包內容或匹配特征庫），而是通過多個異構子系統的輸出結果比對來間接判斷流量是否安全，系統會實時比對這些子系統的輸出結果。

如果所有子系統的輸出結果一致，則認為流量是安全的；如果某個子系統的輸出結果與其他子系統不一致，則認為流量可能存在威脅。就算遇到現在讓大家比較頭疼的0day攻擊，擬態安全防護體系也可以通過多個子系統分析結果，一旦某一個系統處理結果與其他不一致，我們就判定遭受了攻擊，立馬將其進行隔離，后期通過分析子系統的異常行為，系統可以識別出0day攻擊的特征，融合人工智能和大數據技術進行自學習，為未來的防御提供參考。

擬態安全是否可以和零信任聯動？

零信任安全+擬態安全其實是1+1＞2的一個過程，從用戶訪問的角度出發，零信任核心理念是永不信任，始終驗證，會對于訪問者的終端、身份、行為進行安全基線評估，并要求進行多因素認證，攻擊者無法通過驗證，登錄失敗，如果攻擊者通過一些手段繞過了零信任系統，那么等待著他的就是帶有動態異構冗余架構的擬態安全防御系統，擬態安全通過結果一致性比對，檢測到數據訪問的異常行為，并立即隔離受影響的子系統，將威脅進行無縫攔截，敏感數據安然無恙。

擬態安全通過結果一致性比對檢測威脅，零信任通過持續驗證和日志分析檢測異常行為，兩者結合可以提高威脅檢測的準確性和及時性，這兩者的結合標志著網絡安全的“終極形態”，這樣的融合模式不僅能夠應對已知攻擊，還能有效防御未知攻擊，甚至預測和預防未來的威脅。

審核編輯 黃宇