基于約束馬爾可夫決策過程的網絡生存性研究

摘 要：給出了基于約束馬爾可夫決策過程的網絡生存性定義，提出了一個多層網絡生存性研究框架和一種新的網絡生存性設計方法。

關鍵詞：生存性定義； 生存性框架； 一致性原則； 生存性設計

中圖法分類號：TP311．5 文獻標識碼：A 文章編號：1001-3695(2006)10-0044-02

Survivability Analysis Based on Constrained Markov Decision Processes

ZHAO Kai， XIN Yang， YANG Yixian

(Centre of Information Security， Beijing University of Posts Telecommunications， Beijing 100876， China)

Abstract:A new definition of survivability based on constrained Markov Decision Processes is introduced. And a multilayered network survivability framework and a new method of network survivability design are also proposed.

Key words:Definition of Survivability; Framework of Survivability; Consistent Principles; Design of Survivability

傳統的安全技術是一種靜態的、被動的安全防護技術，一旦網絡遭受意外損害或惡意攻擊，將無法維持系統的必要服務，造成巨大的經濟損失。于是以服務連續性，資源動態調整和網絡自適應為特征的網絡生存性技術成了業界研究的重點。

生存性的研究[1]最早可以追溯到海軍戰船在遭遇持續的損害時，如何阻止其沉沒；而當輪船下沉時，如何挽救船員的生命。在一戰和二戰時，研究開始細化，研究領域延伸到了航空領域。20世紀60年代末，美國軍方標準正式定義生存性是指系統為完成其任務抗惡劣環境的能力。目前生存性的研究主要集中在汽車、建筑、戰爭、電信等領域。信息網絡系統的生存性研究相對較新，1993年信息系統的生存性概念由Barnes等人首次提出。生存性研究與關鍵信息基礎設施保護緊密相連，其重要性得到了廣泛關注。目前人們正吸收其他學科尤其是可靠性設計的研究成果，開展生存性的研究。研究重點包括生存性的基本概念、生存性體系結構、生存性系統模型、生存性系統分析與設計、生存性系統工程方法和工具、生存性風險評估、生存性系統評價與測試等。人們在不斷尋求開放互聯網絡環境下的容錯（Fault Tolerance）、容入侵(Intrusion Tolerance)、容攻擊(Attack Tolerance) 的軟硬件解決方案。

本文從工程應用出發，在約束馬爾可夫決策過程計算模型的基礎上給出了一種新的生存性定義，研究了多層網絡的生存性模型以及相應生存性技術的選定，在生存性模型的基礎上，給出了一種新的網絡生存性設計方法。

1 約束馬爾可夫決策過程和生存性定義

1．1 約束馬爾可夫決策過程

在網絡生存性設計中，希望網絡服務在任何時候均能滿足系統和用戶的需求，但同時由于在一定時刻系統的可用資源是有限的，因此就提出了在有限資源范圍內而使網絡性能達到最優的約束最優化問題，即約束馬爾可夫決策過程（CMDP）[2]。它是一個六元組{S，A，P，C，D，U}，其中，

S：一個有限服務狀態空間

A：有限行為集合，對于一個特定行為s∈S，A(s)A是指在狀態s下可用的行為集合

P：狀態轉移概率，對于給定的行為a， Psas′表示從狀態s到狀態s′的轉移概率

C：(S×A)→R是系統可用資源，即系統在狀態s下，選擇行為a時系統的可用資源

D：(S×A)→R是所需資源，即系統在狀態s下，選擇行為a所需要的資源

U：系統執行策略即系統根據時刻t的歷史狀態，確定下一時刻系統行為的策略

Du（s）：表示在狀態s下，利用策略u來決定相應的行為所需要的系統資源

因此生存性問題的關鍵是在服務狀態改變時如何選擇合適的策略，既要滿足Du（s）≤C，又要保證系統必需服務的連續性。

1．2 生存性定義

不同的研究領域對生存性有不同的定義[1]，具有普遍意義的生存性定義為系統在遭到攻擊或破壞的情況下，仍能完成任務的能力。這種定義將系統的服務分為必需服務和非必需服務，系統在任何情況下均要保證必需服務的運行。但是這種定義只是一般性定義，從工程實現的角度還是不夠的，下面給出基于約束馬爾可夫決策過程的網絡生存性定義。

以用戶和系統的需求為基礎，系統能夠根據網絡環境按照一定的轉移概率動態調整相應的服務，從而保證服務連續性，則稱這樣的系統具有生存性。具體講，當網絡環境改變時，系統會根據環境改變的條件，在同時滿足用戶和系統需求的基礎上，計算相應服務的概率，從而使系統能夠根據環境的變化自動調整服務級別，實現自適應的可生存性特點。

2 生存性研究框架

隨著信息技術的發展，異構型、大規模和無邊界將代表未來網絡的發展方向[3]，因此在網絡生存性研究中，采用分層策略，將一個大規模異構網絡從功能上分為三層來研究，具體如表1所示。其中最底層是物理層，主要由混合結構的基礎設施組成，包括光纖和非光纖有線傳輸系統、微波、移動和衛星等無線部分，其主要功能是提供網絡基礎環境；中間層即網路交換層，它建立在物理層服務之上，由電路交換網絡、包交換網絡、ATM和VPN組成，主要完成網絡數據交換和傳輸的功能；最高層是應用層，建立在網絡交換層提供的服務之上，主要實現數據、語音、視頻、多媒體以及其他分布式服務。

表1 網絡生存性研究框架

2．1 生存性技術的選擇

生存性技術[4]主要包括預防、設計和業務管理與恢復。預防是提供組件和系統的可靠性，如采用容錯的硬件結構，電源系統和傳輸設備的備份等；設計主要指在網絡拓撲中采用多樣性和大容量來減輕由于鏈路或節點故障造成的損失；業務管理與恢復的目的是使故障對系統的影響最小，并且能快速恢復。

圖1描述了生存性技術的確定方法。根據業務類別和生存性需求，參考可能的安全威脅，選擇相應的措施來阻止或減輕威脅，并且計算實施這些措施所需的資源，最后參考一致性生存原則確定相應的生存性技術。

2．2 一致性生存原則

如果某種生存性機制在某一層效果很好，并不代表它在每一層都能很好地執行。實際上如果每一層的生存性機制均相似，那么這些重復的機制不僅不會改善系統的性能，反而還會增加系統的潛在脆弱性。相反，各層間的生存性機制應該能夠取長補短。

一致性生存原則用于在不同的層間提供一致的恢復機制，從而提高整個網路的生存性。它定義了一組規則，在擴充戰略的指導下，這組規則用來決定何時啟動哪一層的機制，何時停止這種機制啟動別的機制等。其主要思想是各個層間不同生存性機制的交互；依靠特定的故障類型和場景定義何時啟動某一層生存性機制；何時在哪種情況下啟動高層機制等。

3 生存性設計方法

如何設計一個具有生存性的網絡[5]是目前研究的熱點。本文參考生存性研究框架，給出一種新的網絡生存性設計方案。該方案主要由服務定義、安全評估、系統建模、仿真測試和策略調整五個部分組成。圖2給出了這種生存性設計的具體流程。

（1）服務定義。在對網絡進行生存性設計時，首先根據用戶和系統需求定義各種環境下系統所能提供的服務，包括必需服務和非必需服務。這是生存性設計中關鍵的一步。

（2）安全評估。服務定義結束后，需要對網絡系統進行安全評估。它要評估系統的脆弱性、系統面臨的威脅以及脆弱性被威脅源利用后所產生的負面影響等，并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。系統所面臨的風險可表示為：威脅＋脆弱性－安全措施＝風險。在安全評估的基礎上，制定相應的生存性策略。

（3）系統建模。以最初定義的服務為基礎，搭建系統服務轉移模型，即在各種不同的網絡環境下各種服務的切換和資源的動態分配模型，計算在各種不同環境下系統的服務轉移概率。

（4）仿真測試。系統建模后需要對系統的生存性性能進行仿真測試，同時對各種生存性技術進行評估。仿真環境搭建中要充分考慮到各種已知和未知的安全威脅，開發并利用相應的攻擊工具，綜合分析在各種網絡環境下系統的生存性能。這是整個生存性設計中最重要的一步。

（5）策略調整。根據仿真測試的結果，判斷系統是否處于最佳性能，如果在測試過程中沒有達到滿意的效果，就需要及時調整或改變相應的生存性策略，然后再對調整后的策略進行測試，直到性能符合設計要求。

（6）設計方法分析。這種網絡生存性設計方法是建立在安全評估和仿真測試的基礎上，具有以下特點：①以服務為中心。該生存性設計始終以系統的服務為中心，通過仿真測試確保系統服務的連續性。②故障處理全面性。在安全評估的基礎上，綜合考慮了各種安全威脅和不確定因素，具有全面的故障處理范圍。③實用性強。該方案在設計時參考了生存性研究框架，很好地處理了系統的容錯性、安全性、可靠性以及成本等問題，具有很強的實用性。

4 結束語

隨著社會對關鍵基礎設施的依賴性越來越強，網絡生存性也越來越重要。本文在工程應用方面給出了生存性一種新的定義，提出了生存性分析框架，并在此基礎上給出了一種新的網絡生存性設計方法。但隨著黑客聯盟的興起和網上攻擊軟件的交流，對攻擊者實施攻擊的知識要求越來越低，網絡系統中存在安全漏洞的可能性越來越大，沒有任何網絡系統可以保證是無懈可擊的。因此，如何集成各種防御手段、實現縱深防御是生存性研究未來的發展方向。參考文獻：

[1]Knight J C， Strunk E A， Sullivan K J. Towards a Rigorous Definition of Information System Survivability[C]. Proceedings of the DARPA Information Survivability Conference and Exposition， 2003.78-89.

[2]胡奇英，劉建庸.馬爾可夫決策過程引論[M].西安：西安電子科技大學出版社，2000.

[3]Medhi D， Tipper D. Multilayered Network Survivabilitymodels， Analysis， Architecture， Framework and Implementation: An Overview[C]. Proceedings of the DARPA Information Survivability Conference and Exposition， 2000.173-186.

[4]Somesh J， Wing J M. Survivability Analysis of Networked Systems[C]. Proceedings of the 23rd International Conference on Software Engineering，2001.307-317.

[5]William Yurcik， David Doss. A SurvivabilityOverSecurity (SOS) Approach to Holistic CyberEcosystem Assurance[C]. West Point， NY: Workshop on Information Assurance United States Military Academy， 2002.

作者簡介：

趙凱（1977-），男，博士，主要研究方向為信息安全；辛陽（1977-），男，講師，博士，主要研究方向為信息安全；楊義先（1961-），男，教授，博導，主要研究方向為信息安全、密碼學。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文