自律入侵容忍系統(tǒng)的模型構(gòu)建與量化分析

（哈爾濱工程大學(xué) 計算機科學(xué)與技術(shù)學(xué)院 哈爾濱 150001）

摘 要：針對當(dāng)前入侵容忍系統(tǒng)無自適應(yīng)能力、缺乏定量分析等問題，提出了一個基于自律計算的自適應(yīng)分級入侵容忍模型(adaptive hierarchy intrusion tolerance system based on autonomic computing，AHITAC)。采用功能分級的分層模式，AHITAC的關(guān)鍵模塊涵蓋了訪問連接的信度評估、可疑信息的主動誘騙、應(yīng)用服務(wù)的分級學(xué)習(xí)與系統(tǒng)功能的分類恢復(fù)；同時通過自主實現(xiàn)可信度閾值、系統(tǒng)服務(wù)分級和誘騙知識庫的學(xué)習(xí)和自適應(yīng)過程，AHITAC實現(xiàn)了對入侵、可疑信息的有效容忍，提高了目標網(wǎng)絡(luò)的自我修復(fù)能力和自我優(yōu)化能力。實驗結(jié)果表明，加載了AHITAC的目標網(wǎng)絡(luò)服務(wù)性能穩(wěn)定，容忍性能良好。

關(guān)鍵詞：自律計算；入侵容忍；信度評估；容侵度

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2009)05-1883-05

Model construction and quantitative analysis of autonomic intrusion tolerance system

LI Bingyang，WANG Huiqiang FENG Guangsheng

（College of Computer Science Technology Harbin Engineering University Harbin 150001 China）Abstract:Aiming at the absence of selfadaptation ability and quantitative analysis on existent intrusion tolerance system，this paper proposed an adaptive hierarchy intrusion tolerance system based on autonomic computing (AHITAC).Adopting hierarchy modes the critical modules of AHITAC included confidence evaluation of accessing active trapping on suspicious information hierarchy study of applications and classed recovery of system function. By implementing the study and adaptive function of confidence threshold service classification and trap repository AHITAC implemented the tolerance on intrusion and suspicious information improving the ability of self recovery and self optimization on object network. The simulation results show that the object network with AHITAC is stable and tolerant.

Key words:autonomic computing; intrusion tolerance; confidence evaluation; degree of intrusiontolerance

0 引言

隨著全球信息化的迅猛發(fā)展和人們對網(wǎng)絡(luò)依賴程度的增加，網(wǎng)絡(luò)已經(jīng)成為社會生活中不可或缺的重要角色。然而，與日俱增的網(wǎng)絡(luò)復(fù)雜度、系統(tǒng)規(guī)模和運行速度，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的安全威脅和潛在風(fēng)險層出不窮、無處不在，使網(wǎng)絡(luò)系統(tǒng)的安全運行無法得到有效保障。當(dāng)前，日益惡化的網(wǎng)絡(luò)安全現(xiàn)狀對國家機密和信息安全造成了嚴重威脅，網(wǎng)絡(luò)安全亦成為關(guān)系到國家穩(wěn)定和社會發(fā)展的重大戰(zhàn)略性課題。

根據(jù)網(wǎng)絡(luò)安全需求，第一代信息安全技術(shù)以“防”為主，主要通過明確地劃分網(wǎng)絡(luò)邊界來阻止非法入侵，包括加密、認證、安全分級、訪問控制等辦法。然而，并非在任何情況下都可以實現(xiàn)邊界的準確劃分與有效控制；再加上系統(tǒng)本身所固有的缺陷，使得該類技術(shù)很難有效實現(xiàn)網(wǎng)絡(luò)信息保護。于是，出現(xiàn)了以“檢”為目標的第二代信息安全技術(shù)。主要通過對網(wǎng)絡(luò)流量或主機運行狀態(tài)的檢測來發(fā)現(xiàn)對系統(tǒng)資源的非授權(quán)訪問與破壞行為。但檢測系統(tǒng)不可能發(fā)現(xiàn)全部攻擊，亦無法完全準確地區(qū)分正常數(shù)據(jù)和攻擊數(shù)據(jù)。在此基礎(chǔ)上，以“容”為主要思想的第三代信息安全技術(shù)應(yīng)運而生，它是一種通過增強系統(tǒng)免疫能力來提升系統(tǒng)可生存性的安全技術(shù)。其中入侵容忍技術(shù)為該類技術(shù)的核心。作為應(yīng)用系統(tǒng)的最后一道安全防線，入侵容忍技術(shù)強調(diào)當(dāng)系統(tǒng)的某些部分已經(jīng)受到破壞或已經(jīng)受到攻擊者的控制時，整個系統(tǒng)仍然能夠繼續(xù)對外提供服務(wù)，并保證數(shù)據(jù)的秘密性和完整性^[1]。

20世紀80年代中期，Dobson等人^[2]提出的利用不安全、不可靠的部件來構(gòu)建安全可靠的系統(tǒng)的方法被認為是入侵容忍的思想雛形。1985年，F(xiàn)raga等人^[1]就提出了入侵容忍的概念，但直到近幾年，相關(guān)研究才隨著DAPPA的OASIS（organically assured and survivable information system）計劃和NSF的一系列計劃以及歐盟的MAFTIA（malicious and accidentalfault tolerance for internet applications）項目的研發(fā)得以蓬勃發(fā)展，并取得了較豐富的研究成果。例如Stanford大學(xué)的ITTC（intrusion tolerance via threshold cryptography）項目^[3]提出了采用門限密碼進行入侵容忍技術(shù)研究的思路；Cornell大學(xué)相繼提出了基于秘密共享方法的容忍入侵再現(xiàn)認證服務(wù)COCA^[4]和強健的秘密數(shù)據(jù)分布服務(wù)CODEX^[5]。國內(nèi)，中國科學(xué)院信息安全國家重點實驗室、國防科技大學(xué)、西安電子科技大學(xué)、武漢大學(xué)、電子科技大學(xué)、浙江大學(xué)、解放軍信息工程大學(xué)、哈爾濱工業(yè)大學(xué)、哈爾濱工程大學(xué)等單位也都進行了入侵容忍系統(tǒng)相關(guān)技術(shù)的嘗試和研究^[6~12]。經(jīng)過綜合研究發(fā)現(xiàn)，盡管目前入侵容忍方向的研究廣受關(guān)注，但當(dāng)前的研究主要集中于基于門限密碼或秘密共享理論的入侵容忍模型和系統(tǒng)設(shè)計方面，思路比較局限，研究的廣度也存在欠缺，可以概括為以下幾點：

a)入侵容忍系統(tǒng)的相關(guān)研究只關(guān)注系統(tǒng)本身的研究與分析，而在系統(tǒng)容忍性能的衡量方面缺乏統(tǒng)一的評價指標。

b)入侵容忍技術(shù)主要涉及相關(guān)模型原理的闡述，缺少定量化分析。哈爾濱工業(yè)大學(xué)的方濱興教授提出一個優(yōu)化的系統(tǒng)狀態(tài)轉(zhuǎn)移模型，并對系統(tǒng)安全屬性及可執(zhí)行性進行定量分析，還沒有具體設(shè)計到入侵容忍技術(shù)。

c)當(dāng)前的入侵容忍模型在技術(shù)實現(xiàn)上缺乏自適應(yīng)性、不具備自律特征。

1998年，Rabin^[13]將自適應(yīng)安全的思想用于RSA門限方案的研究中，之后也出現(xiàn)了幾種具有自適應(yīng)功能的門限方案^[14，15]，但這些工作僅僅局限于門限密碼方案或密碼共享方案的設(shè)計，對于如何將這些方案應(yīng)用于自適應(yīng)的入侵容忍系統(tǒng)的設(shè)計過程則沒有涉及。由DARPA資助的一個容忍入侵方面的重要研究計劃ITUA(intrusion tolerance by unpredictability and adaptation)項目^[16]利用先進的冗余管理技術(shù)實現(xiàn)系統(tǒng)的容錯和動態(tài)資源的分配，產(chǎn)生攻擊者無法預(yù)測的資源調(diào)配和復(fù)雜的響應(yīng)，使攻擊者很難進行攻擊計劃或協(xié)作下一步的攻擊。但不足之處在于只能夠針對有計劃或按部就班的攻擊，對于如何根據(jù)系統(tǒng)當(dāng)前狀態(tài)、安全性以及環(huán)境參數(shù)等的變化情況，對容忍入侵系統(tǒng)的配置和相應(yīng)運行參數(shù)進行動態(tài)調(diào)整以實現(xiàn)真正的自適應(yīng)，則沒有涉及。

IBM公司提出了自律計算的構(gòu)想，由自律計算機制所構(gòu)建的系統(tǒng)應(yīng)當(dāng)具備四個主要特征，即自我配置、自我修復(fù)、自我優(yōu)化和自我保護。自律計算環(huán)境的核心是使得計算機系統(tǒng)邁向RAS(高可靠性reliability、高可用性availability、高服務(wù)性serviceability)的目標。而自律計算系統(tǒng)所具備的特征正是當(dāng)前的入侵容忍系統(tǒng)所欠缺的，據(jù)此本文提出了將自律計算的機理應(yīng)用于入侵容忍系統(tǒng)和關(guān)鍵技術(shù)的研究中的思想，提出了一個基于自律計算的自適應(yīng)分級入侵容忍系統(tǒng)AHITAC，并對其中涉及到的關(guān)鍵模塊功能和指標進行了定量化分析。

本文構(gòu)建了AHITAC系統(tǒng)的模型框架，并概述了各關(guān)鍵模塊的功能原理，研究了信度評估機制，采用三階多屬性決策方法確定訪問連接的可信程度，以服務(wù)分級的實現(xiàn)機理提出冗余度概念，并通過系數(shù)反饋實現(xiàn)冗余度的自適應(yīng)學(xué)習(xí)，研究了誘騙機制的關(guān)鍵模塊工作原理；綜合系統(tǒng)服務(wù)、信度評估、服務(wù)分級等因素提出了容侵度的概念，最后通過仿真實驗驗證了AHITAC的入侵容忍能力。

1 基于自律計算的自適應(yīng)分級入侵容忍模型框架

借鑒自律計算系統(tǒng)工作機制，AHITAC無須外力參與，在實時監(jiān)測目標系統(tǒng)的傳輸介質(zhì)、內(nèi)/外部資源、網(wǎng)絡(luò)流量、服務(wù)響應(yīng)、訪問信息、穩(wěn)定性能及系統(tǒng)所處內(nèi)外部環(huán)境狀態(tài)的基礎(chǔ)上，自主評價訪問連接的可信程度，對于可疑訪問進行服務(wù)分級，并通過服務(wù)移植激活誘騙機制，最終根據(jù)特征分析和策略制定結(jié)果對可疑訪問分而治之，保持或恢復(fù)目標系統(tǒng)的穩(wěn)定狀態(tài)，如圖1所示。AHITAC模型的工作機理涵蓋以下三個方面：

a）評估層。在該層，評估傳感器實時監(jiān)測目標系統(tǒng)、內(nèi)外部環(huán)境和訪問連接的運行信息，為可信度評判器提供實時數(shù)據(jù)；專家知識庫、先驗知識庫和傳感器信息通過三階多屬性決策方法確定訪問連接的可信程度，并對可信度超過預(yù)定閾值的訪問即時予以放行，保證系統(tǒng)的正常訪問連接和服務(wù)性能。

b）容忍層。該層的服務(wù)分級模塊和誘騙模塊相互協(xié)作，完成對可疑信息的容忍和關(guān)鍵服務(wù)的保護功能。服務(wù)分級模塊在接收到可信度較小的可疑訪問后，按照其所請求的網(wǎng)絡(luò)服務(wù)的重要程度和該服務(wù)對網(wǎng)絡(luò)系統(tǒng)影響的大小進行自適應(yīng)分級，分為關(guān)鍵服務(wù)和非關(guān)鍵服務(wù)兩類，并對關(guān)鍵服務(wù)分配一定額度的冗余度。在此基礎(chǔ)上，服務(wù)分級結(jié)果和可疑訪問聯(lián)合導(dǎo)入誘騙模塊，平穩(wěn)移植所請求的網(wǎng)絡(luò)服務(wù)，完成對可疑信息的特征分析和策略制定。

c）執(zhí)行層。該層針對特征分析結(jié)論的不同，調(diào)控相應(yīng)的恢復(fù)技術(shù)使系統(tǒng)自行維持在安全區(qū)域場中運行，保持有序穩(wěn)定不降至自然平衡態(tài)。

簡言之，AHITAC =信度評估(confidence evaluation)+服務(wù)分級(service classification)+誘騙機制(trap mechanism)+執(zhí)行模塊(executing module)。

2 信度評估

如前所述，信度評估是第一層，將對檢測到的訪問連接進行初步可信程度評估，之后通過閾值設(shè)定完成可疑信息和可信信息的服務(wù)分流。信度評估模塊的工作機理如圖2所示。

信度評估的傳感器主要監(jiān)控四類參數(shù)，即本地資源參數(shù)（local resource，lr）、系統(tǒng)響應(yīng)參數(shù)(system response，sr)、網(wǎng)絡(luò)資源參數(shù)(network resource，nr)和訪問特征參數(shù)(accessing characteristic，ac)。其中本地資源參數(shù)主要指那些能夠反映本地資源使用情況的參數(shù)，主要包括本地CPU的使用情況（lr1）、本地物理內(nèi)存的使用情況（lr2）、虛擬內(nèi)存的使用情況（lr3）、本地當(dāng)前可用交換空間的大小（lr4）、本地當(dāng)前未使用的內(nèi)存大?。í玪r5）、I/O的使用情況（lr6）；系統(tǒng)響應(yīng)參數(shù)指在當(dāng)前狀態(tài)下，系統(tǒng)能夠向終端用戶提供正常網(wǎng)絡(luò)服務(wù)的能力，包括平均事務(wù)響應(yīng)率（sr1）、流速（sr2）、hit率（sr3）、HTTP響應(yīng)率（sr4）、出錯率（sr5）、負載下的平均響應(yīng)率（sr6）、網(wǎng)絡(luò)資源（sr7）、事務(wù)總速率（sr8）；網(wǎng)絡(luò)資源參數(shù)指反映網(wǎng)絡(luò)活動情況的參數(shù)，包括一段時間內(nèi)的會話個數(shù)（nr1）、會話狀態(tài)（nr2）、數(shù)據(jù)包發(fā)送個數(shù)（nr3）、數(shù)據(jù)包接收個數(shù)（nr4）、一段時間內(nèi)會話時間的平均值（nr5）、外部會話類型（nr6）、內(nèi)部會話類型（nr7）、會話使用的協(xié)議（nr8）、會話使用的端口（nr9）等；訪問特征參數(shù)主要表示所探測到的訪問連接本身的一些基本信息，主要包括數(shù)據(jù)流形態(tài)（ac1）、源IP地址（ac2）、目的IP地址（ac3）、訪問服務(wù)類型（ac4）、訪問頻度（ac5）、帶寬請求（ac6）等。因此，傳感器信息（sensor information）SI={lr，sr，nr，ac}。其中：lr ={lri|i=1，…，6}；sr={srj|j=1，…，8}；nr={nrk|k=1，…，9}；ac={acl|l=1，…，6}。

專家知識庫（expert knowledge，EK）存儲知識推理參數(shù)(knowledge illation，ki)和系統(tǒng)屬性參數(shù)（system attribute，sa）。知識推理參數(shù)指領(lǐng)域?qū)＜业睦碚撝R（theory knowledge，tk）和形式化的傳感信息（formalzed sensor information，SIF）對于網(wǎng)絡(luò)系統(tǒng)狀態(tài)(system state，ss)的推理結(jié)果。系統(tǒng)屬性參數(shù)表征人們對系統(tǒng)正常運行的需求，包括真實性(sa1)、保密性(sa2)、一致性(sa3)、系統(tǒng)的吞吐量(sa4)、隱蔽性(sa5)、運行保障(sa6)^[12]。因此，EK={ki，sa}。其中：ki={f(l)(tkl，SIFl)→ssj|l=1，…，n，j=1，…，m}；sa={sak|k=1，…，6}。

先驗知識庫(transcendent knowledge，TK)包括會話級參數(shù)（session parameter，sp）和成因參數(shù)（inducement parameter，ip）。會話級參數(shù)指反映會話使用計算機情況的參數(shù)，反映各個會話的行為，主要參數(shù)包括會話類型（sp1）、會話啟動時間（sp2）、會話終止時間（sp3）、源方（sp4）、目的方（sp5）、會話持續(xù)時間（sp6）等。成因參數(shù)反映系統(tǒng)從穩(wěn)定的有序狀態(tài)變成無序狀態(tài)的過程、特點和規(guī)律，可以表征為先驗傳感器信息(transcendent sensor information，SIT）對系統(tǒng)狀態(tài)ss的一個函數(shù)關(guān)系。因此，TK ={sp，ip}。其中：sp={spi|i=1，…，6}；ip =g(SITj→ssk|j=1，…，n，k=1，…，m)。

由此可以形成一個三階參數(shù)隸屬關(guān)系，如表1所示。

作為評測當(dāng)前訪問連接可信程度的三項輸入，傳感器信息、專家知識庫和先驗知識庫對于評判結(jié)果的準確性都具有重要作用，但其相對權(quán)重卻無法確定。因此，基于以上形式化表示的信息內(nèi)容和表1的三階隸屬關(guān)系劃分，信度評判過程將依據(jù)自底向上的原理，綜合考慮多種相關(guān)因素（包括確定性因素和不確定性因素），采用離差最大化的多屬性決策方法，計算當(dāng)前訪問連接的信度。具體步驟如下：

a)首先構(gòu)建三階參數(shù)的決策矩陣A(3)=(aij)n×m，對其經(jīng)過規(guī)范

從而可以計算出第三階參數(shù)的綜合屬性值，并將結(jié)果對應(yīng)輸入二階參數(shù)作為二階參數(shù)的屬性值。

在運行過程中，信度閾值將依據(jù)執(zhí)行模塊的執(zhí)行結(jié)果進行信度閾值的自主學(xué)習(xí)。若在系統(tǒng)運行一段時間之后，可疑信息在經(jīng)過系統(tǒng)容忍之后被判別為正常信息的比例（誤判比例）偏高，則信度閾值自主下調(diào)；否則，如果可疑信息在經(jīng)過系統(tǒng)容忍之后被判別為正常信息的比例偏低，則閾值自主上調(diào)。學(xué)習(xí)過程與誤判比例(misjudge rate，MR)的關(guān)系如圖3所示。

3 服務(wù)分級

在信度評估之后，若直接將可疑訪問引入誘騙機制，則有可能在特征分析期間，因為該可疑訪問請求的服務(wù)是關(guān)鍵服務(wù)而造成該服務(wù)對后繼請求的響應(yīng)延遲。為避免該情形的出現(xiàn)，必須在誘騙機制之前完成對服務(wù)級別的劃分，對于關(guān)鍵服務(wù)進行冗余設(shè)置，保障其服務(wù)的連續(xù)性。因此，設(shè)置了服務(wù)分級模塊，該模塊負責(zé)根據(jù)可疑訪問連接的訪問特征參數(shù)，將其請求的服務(wù)類型劃入關(guān)鍵服務(wù)（critical service CS）或非關(guān)鍵服務(wù)（uncritical service，US）范疇。

服務(wù)分級模塊的運行機理如圖4所示。

若某服務(wù)的竄改、刪除或攻破會導(dǎo)致目標系統(tǒng)直接面臨安全失控、其他服務(wù)失效、系統(tǒng)崩潰甚至造成經(jīng)濟損失或重大資源耗費等，則該服務(wù)被稱之為關(guān)鍵服務(wù)；關(guān)鍵服務(wù)之外的其他服務(wù)稱之為非關(guān)鍵服務(wù)。

在服務(wù)初步分級中，每個關(guān)鍵服務(wù)的冗余數(shù)目（redundant number，RN）將與其重要程度成正比關(guān)系，而該重要程度將根據(jù)安全專家知識、目標系統(tǒng)運行日志進行劃分。設(shè)目標系統(tǒng)包含P類服務(wù)。其中關(guān)鍵服務(wù)m類，CS={CS1，CS2，…，CSm}，US=準確表述也必須伴隨著AHITAC執(zhí)行過程的不斷調(diào)整和學(xué)習(xí)，實現(xiàn)對系統(tǒng)服務(wù)的自適應(yīng)分級。因此，執(zhí)行模塊在每次執(zhí)行完畢之后都將對該次所操作的服務(wù)進行重要程度的重新判定，并將其以冗余度系數(shù)（redundant coefficient，RC）的形式反饋給服務(wù)分級模塊。從而，冗余度學(xué)習(xí)公式修訂為

4 誘騙機制

為避免可疑信息對目標系統(tǒng)的攻擊，在服務(wù)分級之后必須在入侵者無法察覺的前提下及時切斷可疑信息對目標系統(tǒng)的訪問；同時實現(xiàn)對入侵者信息的分析和鑒定，將信息判定為攻擊行為、非攻擊行為和可疑訪問，從而為執(zhí)行模塊提供可靠輸入，這就引入了AHITAC的誘騙機制。

如圖5所示，該誘騙機制的工作原理主要包括以下幾個方面：

a）誘騙子網(wǎng)。其目標是誘騙、吸引和監(jiān)視入侵者，并在目標系統(tǒng)中防止類似的攻擊?；谌肭中袨橹囟ㄏ蛐驼T騙網(wǎng)絡(luò)^[17]的概念，本文模擬了一個相對獨立的誘騙子網(wǎng)，主要負責(zé)目標系統(tǒng)服務(wù)功能的承接、入侵行為的深入誘騙和入侵特征的匹配分析^[18，19]。

b）服務(wù)移植。服務(wù)的分級結(jié)果和可疑信息聯(lián)合激活服務(wù)移植功能，該功能針對可疑信息的服務(wù)請求，將目標系統(tǒng)當(dāng)前的相關(guān)服務(wù)參數(shù)、過程以及狀態(tài)動態(tài)移植到誘騙子網(wǎng)，完成目標系統(tǒng)服務(wù)功能的重定向。同時，可疑行為對于目標系統(tǒng)的訪問連接被及時截斷，從而保護其運行過程的安全、提高其入侵容忍能力。

c）攻擊誘騙。誘騙子網(wǎng)在接收了可疑信息的服務(wù)請求之后，將結(jié)合入侵知識庫的相關(guān)記錄，對外呈現(xiàn)出許多脆弱性，并向入侵者提供訪問容易、防護簡單之類的信息，從而吸引入侵者在當(dāng)前訪問的基礎(chǔ)上對其進行深入攻擊。同時收集入侵信息，觀察入侵者的行為，記錄其活動，分析入侵者的水平、目的、所用工具和入侵手段等，使特征分析有足夠的時間抽取入侵信息的形狀特征，在一定程度上增強系統(tǒng)防范的能力，拖延入侵者的時間，并為執(zhí)行模塊處理這樣的攻擊爭取時間。

d）特征分析。這里主要采用模式匹配、協(xié)議分析和命令解析方法進行特征分析。模式匹配通過在網(wǎng)絡(luò)數(shù)據(jù)包中檢查與分析某個攻擊的特征，發(fā)現(xiàn)可疑行跡；協(xié)議分析和命令解析技術(shù)利用已知結(jié)構(gòu)的通信協(xié)議處理數(shù)據(jù)幀，結(jié)合高速數(shù)據(jù)包捕獲、協(xié)議分析和命令解析來分析數(shù)據(jù)結(jié)構(gòu)，從而判別通信行為真實意圖。網(wǎng)絡(luò)中的數(shù)據(jù)都必須經(jīng)過層層封裝才能傳輸，且以太網(wǎng)首部、IP首部和TCP首部的格式均有嚴格的規(guī)定，確定的字節(jié)處有數(shù)據(jù)域的協(xié)議標志，這就為協(xié)議分析和命令解析方法提供了實現(xiàn)前提。

e）自律聯(lián)想學(xué)習(xí)。特征分析結(jié)果判定本次可疑連接為一次惡意攻擊，則將該次的入侵特征與入侵知識庫的原有入侵性狀記錄進行關(guān)聯(lián)、整合和集成分析，找出安全隱患的形成與發(fā)展規(guī)律，特別是產(chǎn)生隱患萌芽時的條件和特征；預(yù)測可能產(chǎn)生隱患的條件及早期隱患征兆，采用診斷預(yù)測和智能決策的方法實現(xiàn)入侵特征的自律聯(lián)想學(xué)習(xí)，并將學(xué)習(xí)結(jié)果加入入侵數(shù)據(jù)庫。

AHITAC的入侵容忍能力最終要體現(xiàn)在系統(tǒng)在遭受入侵時能夠保持正常服務(wù)的能力和對各類可疑信息的容忍性能上。為對AHITAC的容忍能力進行定量衡量，定義了AHITAC容侵度(intrusion tolerance degree，DIT)的概念。DIT表征了在單位時間(time，T)內(nèi)、單位入侵強度(intrusion strength，IS)下，AHITAC能夠提供連續(xù)性服務(wù)的能力(serve，S)。綜合AHITAC的信度評估、服務(wù)分級、誘騙機制、執(zhí)行模塊的相關(guān)內(nèi)容以及相應(yīng)的服務(wù)屬性，容侵度DIT的計算式如下：

在此基礎(chǔ)上，通過在實際運行過程中隨機導(dǎo)入攻擊和入侵事務(wù)測試了AHITAC的容忍性能。其中，AHITAC在Web服務(wù)受到攻擊時對于入侵的容忍功能如圖6、7所示。經(jīng)分析，加載了AHITAC的目標網(wǎng)絡(luò)在HTTP響應(yīng)方面表現(xiàn)比較正常，均值分別為每秒4.569次HTTP_200、0.045次HTTP_302、0.001次HTTP_304、6.168次HTTP_403和0.224次HTTP_404；平均點擊率為10.851次/s，平均流量為52 443.666 Bps。根據(jù)正常運行情況下對目標網(wǎng)絡(luò)的HTTP響應(yīng)率、點擊率和流量的均值統(tǒng)計可以發(fā)現(xiàn)，在被導(dǎo)入了攻擊和入侵事件之后，加載了AHITAC的目標網(wǎng)絡(luò)在對終端用戶提供Web服務(wù)方面表現(xiàn)正常，從而從實際運行上驗證了AHITAC的Web服務(wù)入侵容忍性能。

AHITAC系統(tǒng)在FTP服務(wù)遭受攻擊時對于入侵行為的容忍功能如圖8、9所示。

加載了AHITAC的目標網(wǎng)絡(luò)的平均響應(yīng)時間由事件結(jié)束的平均時間和事件初始化的平均時間兩個指標來衡量。其中事件結(jié)束的平均時間為0.65 s、事件初始化的平均時間為0.188 s，該測試結(jié)果與目標系統(tǒng)在正常運行情況下的平均響應(yīng)時間相差無幾。為驗證在FTP負載逐漸增加時AHITAC系統(tǒng)的FTP服務(wù)對于入侵行為的容忍能力，進行了負載下的FTP響應(yīng)時間測試。類似地，負載下的FTP響應(yīng)時間由負載下的事件結(jié)束平均時間和負載下的事件初始化平均時間兩個指標組成。經(jīng)測試發(fā)現(xiàn)，負載下的事件結(jié)束平均時間為0.401 s，而負載下的事件初始化平均時間為0.292 s。通過對加載了AHITAC的目標網(wǎng)絡(luò)的FTP服務(wù)測試，F(xiàn)TP響應(yīng)時間和負載下的FTP響應(yīng)時間均與目標系統(tǒng)未遭受入侵攻擊時的服務(wù)性能持平，從而驗證了AHITAC的FTP服務(wù)入侵容忍性能。

5 結(jié)束語

針對當(dāng)前入侵容忍系統(tǒng)無自適應(yīng)能力、缺乏定量分析等問題，本文提出了AHITAC模型。采用功能分級的分層模式，AHITAC的關(guān)鍵模塊涵蓋了訪問連接的可信度評估、可疑信息的主動誘騙、應(yīng)用服務(wù)的分級學(xué)習(xí)和系統(tǒng)功能的分類恢復(fù)，同時完成了自主實現(xiàn)可信度閾值、系統(tǒng)服務(wù)分級和誘騙知識庫的學(xué)習(xí)和自適應(yīng)過程，從而實現(xiàn)了對入侵、可疑信息的有效容忍，提高了系統(tǒng)自我修復(fù)能力和自我優(yōu)化能力，保障了目標系統(tǒng)的正常功能。通過對影響系統(tǒng)容忍能力的關(guān)鍵參數(shù)及其關(guān)系的定量化分析，提出了衡量入侵容忍系統(tǒng)的一個關(guān)鍵衡量指標：容侵度。實驗結(jié)果表明，本文提出的AHITAC在容侵度方面表現(xiàn)良好。

參考文獻：

［1］FRAGA J S，POWELL D.A fault and intrusiontolerant file system[C]//Proc of the 3rd International Conference on Computer Security.1985：203218.

[2]DOBSON J E，RANDELL B.Building reliable secure systems out of unreliable insecure components[C]//Proc of IEEE Symposium On Security and Privacy.Oakland:IEEE Press，1986:187193.

[3]WU T，MALKIN M，BONEH D.Building intrusion tolerant applications[C]//Proc of the 8th Conference on USENIX Security Symposium.Berkeley:USENIX Association，1999:7991.

[4]ZHOU Lidong，F(xiàn)RED B S，RENESSE R van.COCA:a secure distributed online certification authority[J].ACM Trans on Computer Systems，2002，20(4)：329368.

[5]MARSH M A，SCHNEIDER F B.CODEX:a robust and secure secret distribution system[J].IEEE Trans on Dependable and Secure Computing，2001，1(1)：3447.

[6]LEE G，IM C，LEE T，et al.SITIS:scalable intrusion tolerance middleware for Internet service survivability[C]//Proc of the 5th Pacific Rim Conference on Multimedia.Berlin:Springer，2004:564571.

[7]殷麗華，方濱興.入侵容忍系統(tǒng)安全屬性分析[J].計算機學(xué)報，2006，29(8):15051512.

[8]荊繼武，馮登國.一種入侵容忍的CA方案[J].軟件學(xué)報，2002，13(8):14171422.

[9]郭世澤，牛冠杰，鄭康鋒.入侵容忍系統(tǒng)模型構(gòu)建及量化分析[J].北京郵電大學(xué)學(xué)報，2007，30(1):3639.

[10] JING Jiwu，LIU Peng，F(xiàn)ENG Dengyuo，et al.ARECA: a highly attack resilient certification authority[C]// Proc of ACM Workshop on Survivable and Selfregenerative Systems.New York:ACM Press，2003:5363.

[11]王慧強，戎檄.基于異構(gòu)平臺的入侵容忍COTS服務(wù)器設(shè)計與實現(xiàn)[J].計算機工程，2006，23(3):177179，182.

[12]崔競松，王麗娜，張煥國，等.一種并行容侵系統(tǒng)研究模型——RC模型[J].計算機學(xué)報，2004，27(4):500506.

[13]RABIN T.A simplified approach to threshold and proactive RSA[C]//Proc of the 18th Annual International Cryptology Conference on Advances in Cryptology.London:SpringerVerlag，1998:89104.

[14]CANETTI R，GENNARO R，JARECKI S，et al.Adaptive security for threshold cryptosystems[C]//Proc of the 19th Annual International Cryptology Conference on Advances in Cryptology.London:SpringerVerlag，1999:98115.

[15]JARECKI S，LYSYANSKAYA A.Adaptively secure threshold cryptography: introducing concurrency removing erasures[C]//Proc of Advances in CryptologyEUROCRYPT.Berlin:Springer，2000:221242.

[16]CUKIER M，COURTNEY T，LYONS J，et al.Providing intrusion tolerance with ITUA[C]//Proc of International Conference on Dependable Systems and Networks(DSN).Washington DC:IEEE Press，2002:C51C53.

[17]夏春和，吳震，趙勇，等.入侵誘騙模型的研究與建立[J].計算機應(yīng)用研究，2002，19(4):7679.

[18]RAMASAMY H V，PANDEY P，CUKIER M，et al.Experiences with building an intrusiontolerant group communication system[J].Software:Practice and Experience，2008，38(6):639666.

[19]BALAZINSKA M，BALAKRISHNAN H，MADDEN S R，et al.Faulttolerance in the borealis distributed stream processing system[J].ACM Trans on Database Systems，2008，33(1):1-44.