入侵容忍技術用于軍事網絡的探討

【 摘 要 】 軍事網絡系統在保證部隊信息安全、推動部隊正常開展工作方面至關重要，對此應該充分重視軍事網絡系統，確保網絡系統安全。入侵容忍技術在保障軍事網絡安全方面發揮著重要的作用。論文首先對入侵容忍技術進行簡要概述，對以此為基礎的IDS系統設計進行分析，并對入侵容忍技術在軍事網絡中的應用進行闡述。

【 關鍵詞 】 入侵容忍技術；入侵檢測；軍事網絡

【 中圖分類號 】 TP315

【 文獻標識碼 】 A

【 Abstract 】 This paper introduces the intrusion tolerance technology， based on intrusion tolerance technology IDS system design analysis， and proposed intrusion tolerance technology in the military network.

【 Keywords 】 intrusion tolerance technology；intrusion detection；military networks

1 引言

網絡系統在軍事方面的應用，不僅方便了官兵的日常生活和訓練，同時為進行軍事管理提供了很大的便利。但是，由病毒傳播、黑客攻擊等帶來的網絡安全問題影響部隊工作的正常開展，因此積極尋求解決網絡安全問題的方法成為各界關注的焦點。入侵容忍技術對防止計算機系統發生故障，保證網絡安全至關重要，入侵容忍技術在軍事網絡方面的應用可以確保部隊人員能力信息的安全性，促使部隊正常工作的順利開展，推動部隊的網絡信息化進程。

2 入侵容忍技術

2.1 入侵容忍

當計算機網絡系統因為遭受攻擊而不能正常工作時，可以通過入侵容忍技術的應用來維持計算機的基本工作狀態，確保網絡系統能夠為部隊提供基本服務。可見，入侵容忍技術對保證軍事網絡系統正常工作起著重要的作用。

2.2 入侵容忍技術特點

入侵容忍技術對于保證軍事網絡安全、促進部隊工作順利開展具有積極的意義，入侵容忍技術的特點主要表現為幾個方面。

第一，自我診斷能力。這是入侵容忍技術發揮作用的第一步工作，在網絡系統內使用入侵容忍技術，可以方便對系統內部攻擊進行檢測，從而進行自我診斷，以便于對故障系統進行調整，保證網絡系統處于正常工作狀態。

第二，故障隔離能力。當檢測到網絡系統存在安全問題時，診斷機制就會發揮作用，將可疑的數據或操作進行隔離，對可疑的數據或是操作進行判斷，如果被判斷為攻擊或是惡意操作，則會對這些操作進行干擾和破壞，如果被判斷為正常操作，則會被放出隔離區，繼續進行工作。

第三，還原重構能力。入侵容忍系統除了可以診斷出攻擊、恢復網絡系統正常工作以外，還應該對被攻擊的數據或是操作進行修正，保證其安全性。

2.3 入侵容忍常用技術

冗余和多樣性技術、表決技術、門限秘密共享技術等技術是入侵容忍最常用的幾種技術。冗余技術和多樣性技術往往是共同運用的，當系統內部檢測出冗余組件處于非正常工作狀態時，可以通過冗余技術對其進行調整， 但是冗余組件可能會導致相同的組件處都受到攻擊，因此多樣性技術應運而生，可以防止攻擊者使用同樣的手段進行再次攻擊。冗余與多樣性技術的應用對計算機系統內部的設備有著很高的要求，因此成本比較高。表決技術就是在冗余與多樣性技術的基礎上進行表決，發揮作用。門限秘密共享技術的最佳適用情形是份數大的數據，這時可以保證信息的安全性和可用性。

3 入侵容忍系統的一種模型

3.1 系統模型

入侵容忍系統是以IDS為框架，并在IDS中使用入侵容忍技術，對計算機網絡系統中的服務器和主機進行保護，當遭到攻擊時保證其可以繼續提供服務。

3.2 結構設計

入侵容忍系統的結構組成包括捕獲模塊、存儲模塊、入侵檢測模塊、系統管理模塊、響應模塊、服務監視、應用服務，這幾大模塊相互聯系、共同工作。

3.2.1捕獲模塊

捕獲模塊是通過對網絡系統內部的信息進行檢測和捕獲，捕獲有用的信息數據和檢測報告，將捕獲結果上報存儲模塊，對數據進行存儲，并且方便對檢測結果進行分析。

3.2.2存儲模塊

當捕獲模塊將捕獲的信息數據上報到存儲模塊時，存儲模塊就會對檢測結果和一些有用的數據進行儲存，防止重要數據的丟失。

3.2.3入侵檢測模塊

當對被捕獲的可疑數據和信息進行分析時，入侵檢測模塊將要發揮作用，對各種信息和數據進行分析，并且要將檢測數據的類型和特征上報給系統管理模塊。

3.2.4系統管理模塊

系統管理模塊在入侵容忍技術的應用中發揮著核心的作用，可以對各個操作進行管理和監控，對不合理的操作和數據進行調整，充分保證軍事網絡的安全。

4 入侵容忍技術在軍事網絡中的應用

4.1 面向軍事網絡服務的入侵容忍系統實現

在軍事網絡中一些重要的應用程序需要時刻處于工作的狀態，當網絡系統面臨攻擊時可以及時的對系統進行維護，保證軍事網絡安全。例如，在軍棋推演中系統中，不同兵力是處于變化狀態的，周圍的環境以及作戰的狀態也不是一成不變的，如果在關鍵時刻系統存在病毒或是遭到攻擊就會影響系統的正常運行，因此利用入侵容忍技術可以保證系統的正常工作，不至于造成太大的損失。

該系統需要應用的模塊是復制模塊、表決模塊以及入侵檢測模塊。其工作流程為當網絡系統處于正常工作狀態時，用戶需要對服務器進行調試，一般情況下能夠對系統進行調試說明此網絡系統通過了常規的安全檢測。當系統進入復制模塊時需要對系統進行驗證，若檢驗合法則執行下一步工作，若不合法則需要上報表決管理器，通過表決管理器的分析進入入侵檢測模塊，最后將數據、信息傳輸給用戶。

4.2 面向軍事網絡數據的入侵容忍系統實現

軍事網絡系統中儲存著軍隊的各方面信息，有人員信息、訓練信息以及各種管理層的任務信息等，尤其是一些涉密信息，網絡系統工作人員應該意識到涉密信息的重要性，充分應用入侵容忍技術，對軍事涉密信息進行保護。

用到的模塊為常規安全技術模塊、服務器組、入侵檢測模塊、管理控制模塊，工作流程為在網絡系統正常工作時用戶可以對系統儲存的涉密文件進行讀取，當順利進入服務器組中不被檢測出來時，如果是正常用戶則可以繼續進行正常操作，但如果被診斷為攻擊，當攻擊者試圖改變數據或是刪除數據時，該攻擊就會被入侵容忍技術檢測出來進行消除，從而保證網絡系統的安全性。

5 結束語

軍隊信息化建設在促進我國信息化建設進程中發揮著重要的作用，網絡技術在軍事方面的應用給部隊的日常生活、軍事訓練以及軍事管理帶來了便利，但是在軍事網絡應用的同時也面臨著許多網路安全問題，為消除網絡安全隱患，保證軍事網絡的安全性，可以通過入侵容忍技術對病毒和攻擊進行檢測、消除，使軍事網絡系統能夠繼續提供服務，滿足軍事領域的需要。

參考文獻

[1] 吳賢達.基于網絡安全的入侵容忍技術[J].科技展望，2014，（13）：2-2.

[2] 周華，賀文輝，馬建鋒，等.入侵容忍的計算機網絡系統研究[J].計算機工程與應用，2012，48（16）：111-116.

[3] 周華，周海軍，馬建鋒，等.基于博弈論的入侵容忍系統安全性分析模型[J].電子與信息學報，2013，（8）：1933-1939.

作者簡介：

郭浩（1977-），男，云南蒙自人，漢族，本科，講師；主要研究方向和關注領域：計算機教學。