当前,信息通信网络作为继陆、海、空、天之后的第五维空间,已由传统的单一消费型信息系统转变成与国民经济和社会发展高度相关的重大基础设施,辐射人类生产、生活、社会活动乃至意识形态的各个方面,对世界各国政治、经济、军事产生了深刻的影响。各类新兴技术特别是软件定义网络(Software-Defined Networking,SDN)、网络功能虚拟化(Network Function Virtualization,NFV)、云计算(Cloud Computing,CC)等蓬勃发展并广泛应用,使得信息通信网络展现出前所未有的发展生机。然而,随着信息通信网络规模的快速膨胀及各种网络要素的巨复杂特性,特别是在信息技术全球化发展浪潮下网络各类软/硬件系统极易被“毒化污染”,使得近年来网络节点或链路失效以及漏洞、后门等不确定扰动问题凸显,信息通信网络鲁棒性和安全性成为当前亟待解决的问题。针对该问题,相关研究人员前期提出了各类解决方案,例如,蜜罐技术,联动式防御,入侵容忍技术,沙箱隔离防御,可信计算,移动目标防御(Moving Target Defense,MTD)。然而,上述方案都具有一定的局限性,特别是难以防御由未知漏洞和后门导致的不确定失效和未知网络威胁。网络空间拟态防御(Cyberspace Mimic Defense,CMD),作为一种新型内生安全技术,通过引入动态异构冗余架构和负反馈控制机制,可以解决网络空间不同领域目标对象上基于漏洞后门或病毒木马等确定或不确定威胁问题。近年来,网络空间拟态防御在理论研究、技术攻关和示范应用等方面已经取得很多创新成果。随着网络空间拟态防御技术在信息通信网络中进一步发展,对改变信息通信网络“易攻难守”的安全防御困境具有重要意义。基于上述考虑,本课题对信息通信网络中拟态防御机理与关键技术展开深入研究,首先提出了一种基于博弈模型的拟态防御策略评估方法,然后在此基础上,进一步将拟态防御思想应用到信息通信网络的控制层和服务层,实现了“网络鲁棒控制”和“服务鲁棒提供”的安全目标。本课题的主要研究成果如下:1.借鉴近年来在高级持续性威胁分析中普遍采用的FlipIt博弈模型,提出针对拟态防御场景的攻防博弈改进模型M-FlipIt,对高级持续性威胁下的信息通信网络拟态防御系统的安全性进行了深入分析。通过分别讨论在完全异构和有限异构条件下,防御者和攻击者的收益变化情况,提出了不同异构条件下拟态防御的动态调度策略,实现了异构性和动态性的良好均衡。2.针对信息通信网络控制层的异构控制器存在多样化差异且评估困难的问题,提出了一种基于网络分析法(Analytical Network Process,ANP)的控制器异构性评估方法,不仅考虑选择条件,还考虑控制器所具有的每个功能,从而为如何选择拟态防御中异构控制器确定了一个多决策准则。首先使用ANP执行基于功能的控制器评估,然后对两个具有高优先级的控制器,在抖动和端到端时延方面进行性能比较。最终,确定具有最优功能和最优服务质量的控制器。仿真结果表明,该方法能够根据基于ANP计算得到的限制矩阵,较好完成所需异构功能的控制器选择。3.针对信息通信网络中集中式管控所导致的控制层易受攻击的问题,提出基于拟态防御的控制层安全机制,引入共识机制,使用多个异构的等价控制器同时处理数据层请求,通过对比它们的流表项来检测主控制器是否存在恶意行为。其中,重点研究了如何在语义层面对比多个异构控制器的流表项,以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识,实验结果验证对恶意行为检测的有效性和良好的检测性能。4.针对信息通信网络服务层中虚拟网络功能面临的恶意攻击和随机失效风险,提出一种支持节点分割与异构备份的服务功能链部署方法。该方法引入虚拟网络功能节点拆分和拟态防御思想,在满足服务功能链部署约束条件下,以最小化链路资源开销为目标建立了优化模型,并设计了基于宽容分层序列思想与贪婪选择的服务功能链部署算法。实验结果表明,相比于传统冗余备份部署方法,该方法在较大幅度提高服务功能链抗攻击性能的同时,降低了17%的计算资源开销和10%的链路带宽资源开销。本课题依托国家自然科学基金面上项目——信息通信网络广义鲁棒控制机理研究,相关研究成果可以为网络空间拟态防御提供技术支撑,拓展拟态防御在信息通信网络领域新的研究方向与应用。