基于馬爾可夫的有限自動機入侵容忍系統模型

羅智勇，楊旭，孫廣路，謝志強，劉嘉輝

（哈爾濱理工大學計算機科學與技術學院，黑龍江 哈爾濱 150080）

1 引言

區域網的基礎設施通常由大量相互依賴的系統節點組成，這使網絡具有一定的開放性，也使網絡的入侵變得更加容易且具有隱蔽性[1]。日益復雜的網絡攻擊通常遵循一系列長期步驟和行動，被稱為多階段攻擊，因此很難預測[2]。所以除了在防火墻和訪問控制機制等軟件系統中使用傳統的安全解決方案外，現代網絡還需要使用入侵容忍技術。作為第三代網絡安全保障技術，入侵容忍融合了容錯技術和加密技術[3]，在攻擊無法被避免的情況下，系統針對受損情況的不同采取不同的響應策略，通過降級服務爭取分析時間，一邊學習一邊提供網絡服務，最終保證系統的穩定運行。在現有入侵容忍系統的文獻中，普遍采用定量分析法來形式化服務器系統的各個安全屬性，通過建模進一步尋找系統潛在的弱點，針對這些弱點制定不同的應對策略，讓系統提供降級服務增強容忍能力及自我修正能力，進而達到延長系統平穩運行時間的目的[4]。

邢云菲等[5]根據入侵容忍系統的狀態轉移模型的定量分析以及各狀態下的概率計算，結合系統遭到入侵之后所采取的進程遷移策略，建立了一種比較完善的入侵容忍網絡系統。劉進[6]基于高分子鏈病毒優化分析方法，將入侵容忍系統狀態數據和線性規劃技術相融合，提出了入侵容忍系統病毒吸附算法。徐曉斌等[7]為了實現對某一單個節點數據的信任評估，設計了一種異常數據過濾方法，其原理是基于節點數據的時空相關性，將定量數據和定性知識做不確定性轉換，進而提升系統的入侵容忍能力。孫蔚[8]將網絡管理系統和入侵檢測系統相結合，提出了一種包含檢測、報告和響應等多種功能的層次化入侵檢測模型。國外眾多研究者提出隱馬爾可夫入侵檢測模型，如Divya 等[9]將遺傳算法和隱馬爾可夫模型相結合，利用遺傳算法推導出有效的入侵檢測規則，然后使用隱馬爾可夫模型來預測攻擊者的下一個攻擊類，對攻擊進行精確檢測。Kholidy等[10]提出了一種有限狀態隱馬爾可夫預測模型，該模型采用自適應風險方法預測多階段云攻擊。風險模型考慮到威脅的發生概率，衡量威脅對系統的潛在影響，將攻擊預測模型與自主云入侵檢測框架相集成，攻擊來臨前對控制器發出早期預警，進而在攻擊對系統構成嚴重安全風險之前采取主動的糾正行動。Holgado 等[11]和Ahmadian 等[12]所述模型在分析輸入輸出關系和基于訓練數據集生成轉移概率矩陣方面具有易處理的數學形式。它通過狀態之間的轉移概率來處理順序數據，以此來跟蹤多階段攻擊的進度。

上述研究建立了不同的入侵容忍模型，但是通常建模復雜，計算量大，處理入侵行為耗時長。且當入侵行為發生時，上述模型的解決辦法多為檢測當前入侵行為，預測下一步攻擊，面對當前模型無法預測的更加復雜的入侵，并不能保證系統的入侵容忍能力，當系統因為入侵完全失控時，模型中也沒有給出相應的解決辦法。本文基于馬爾可夫理論，提出一種優化的有限自動機入侵容忍模型，主要工作及創新如下。

1)建立了優化的入侵容忍模型，并在模型中增加了學習狀態，系統在遭受攻擊后可以不斷改進，增強自身穩定性。

2)利用馬爾可夫過程（MP,Markov process）模型參數求解算法，得到系統在不同狀態下的平均損壞時間（ADT,average damage time）。

3)通過分析容忍系統，找出ADT 關鍵節點，維護這些關鍵節點，達到增強系統可用性和可靠性的目的。

4)分析不同入侵因素對系統容忍能力的影響，提出增強系統容忍能力的解決辦法。

2 馬爾可夫過程模型

俄國數學家馬爾可夫于1907 年提出了馬爾可夫模型（Markov model）[13]。設X(t)為一個隨機過程，如果該隨機過程X(t)在某一時刻t0的狀態已知，則之后任意時刻t(t＞t0)所表現的狀態與X(t)在t0時刻之前的狀態無關，那么稱X(t)具有無后效性，具有無后效性的隨機過程就是馬爾可夫過程。馬爾可夫過程中狀態和時間既可以是離散的，也可以是非離散的。狀態離散、時間離散的馬爾可夫過程稱為馬爾可夫鏈。馬爾可夫鏈中，各個時刻狀態之間的轉移由狀態轉移的概率矩陣P來控制。

馬爾可夫模型可以表示為λ={S,P,G}，其中λ為模型名，其余參數含義如下。

1)S是系統的狀態空間，是由系統所有可能狀態所組成的非空的狀態集。

3)G=[g1,g2,g3,…,gn]是系統的初始概率分布矩陣，gi表示系統在初始時刻處于狀態i的概率，且滿足約束

對于0≤p ij(t,t+k)≤1，i,j∈S，當k=1 時，稱pij(t,t+1)=pij(1)為時刻t的一步狀態轉移概率。

通常，使用馬爾可夫鏈進行預測是在當前狀態已知的情況下，通過確定一步轉移概率矩陣P（即k=1），得到下一狀態的概率分布，得到的概率值越大，則下一步處于該狀態的可能性越大。

3 優化的容忍系統狀態轉移模型

由于容忍系統可以保護的對象是多樣性的，因此每個容忍系統的目標設定采用的整體框架、實現系統的安全算法都不盡相同。本文為了表現出入侵容忍系統在不同狀態的抽象行為，創建了優化的系統狀態轉移模型（SSTM,system state transition model），其結構如圖1 所示。

圖1 系統狀態轉移模型

SSTM描述了多數容忍系統在遭受入侵后可能處于的狀態和在不同狀態下的處理方式，即系統中可能發生的事件。模型中各狀態的轉換方式如下。

步驟1開始系統處于正常運行（NO,normal operation）狀態。

步驟2當系統中存在的弱點被入侵者檢測到并利用時，系統處于危險運行（DO,dangerous operation）狀態。

步驟3如果系統發現自身弱點并及時修復了該弱點，則系統回歸正常運行。

步驟4如果入侵者成功入侵了系統，則系統處于被入侵（BA,being attacked）狀態。

步驟5若系統可以避免入侵造成的損害，則系統處于避免損害（AD,avoid damage）狀態。

步驟6這時，系統將進入等待改進（WI,waiting for improving）狀態。

步驟7若系統沒有檢測到入侵，也未觸發容忍系統，則系統處于未發現威脅（UD,unknown damage）狀態。

步驟8若入侵對系統造成了損害但是系統成功觸發有限自動機系統，則系統進入零容忍（ZT,zero tolerance）狀態。

步驟9此時，系統將評估當前所受損害及運行狀態，若系統可以降低服務等級繼續運行，則系統處于降低服務等級（RS,reduce the service）狀態。

步驟10若評估后發現系統不能繼續運行，則系統處于停止服務（SS,stop the service）狀態。無論是處于RS 狀態還是處于SS 狀態，系統都將進入WI 狀態，等待改進。

步驟11若系統受到入侵后，完全失去控制，則系統處于失控（CC,can’t be control）狀態，這時系統需要管理員修復或改進后才能繼續運行。

SSTM 根據入侵受損情況被劃分為若干狀態等級，當系統與已知狀態相似，則可以使用該狀態轉移模型進行處理。由于各狀態之間的轉換不受前一狀態的影響，符合馬爾可夫過程。因此，可以采用馬爾可夫對模型進行分析。

4 容忍系統的有限自動機分析

有限自動機是一種控制狀態有限、符號集有限的自動機，分為確定有限自動機和非確定有限自動機。

如圖1 所示，隨著入侵容忍系統的運行，系統從一個狀態轉換為另一個狀態，這些狀態可能為健康狀態，也可能為帶病工作狀態，不同的系統狀態代表不同的含義。某一時刻，均存在某種確定的狀態與系統相對應，系統無論如何運行最終均將處于終止狀態，因此系統的狀態是有限的，故可用有限自動機對容忍系統進行描述。又由于容忍系統具有非確定有限自動機的特點，即在給定狀態和符號的情況下，不能唯一地確定下一個狀態。所以，本文采用非確定有限自動機理論來研究容忍系統的形式化描述方法。

定義1一個非確定有限自動機NDFSA 是一個五元組，即NDFSA=(Sspace,Σ,Map,N0,ND)，各元素定義如下。

Sspace是一個非空有限狀態空間，它的每個元素稱為一個狀態。

Σ是一個非空有限輸入字母表，它的每個元素稱為一個輸入字符。

Map 是映射函數，可表示為SspaceΣ→Sspace的子集，即Map 是一個多值映射，若當自動機處于狀態s，并輸入字符δ后，系統轉換到狀態s′，則表示為：Map(s,δ)=s′。

N0?Sspace是非空初始狀態集。

ND?Sspace是Sspace終止狀態集，可取空值。

根據圖1，可以將容忍系統模型抽象為非確定性有限自動機NDFSA=(Sspace,Σ,Map,N0,ND)，其中Sspace＝{NO,DO,BA,AD,UD,WI,ZT,RS,SS,CC} ；Σ={0,1,τ}，1 和0 分別表示容忍系統安全策略的成功和失敗，τ表示空移；N0={N}；ND={N}。

映射Map：SspaceΣ→Sspace為

該容忍系統模型的非確定有限自動機狀態轉換表如表1 所示。基于圖1 的系統狀態轉移模型，建立該容忍系統模型的非確定有限自動機狀態轉換模型，如圖2 所示。圖2 反映了入侵容忍系統不同狀態之間的動態轉換框架，狀態轉換模型表現了系統遭受的入侵行為和系統實際安全需求二者之間的相應措施。

表1 容忍系統的非確定有限自動機狀態轉換表

圖2 容忍系統非確定有限自動機狀態轉換模型

5 有限自動機的馬爾可夫量化過程

由于圖2 所示的有限自動機容忍系統的狀態空間 為Sspace＝ {NO,DO,BA,AD,UD,WI,ZT,RS,SS,CC}，且轉換狀態滿足馬爾可夫過程，因此可以將其量化，并使用馬爾可夫理論對有限自動機容忍模型進行分析，該模型被稱之為MP 模型。

定義2MPSTP（Markov process state transition probability）矩陣是指結合馬爾可夫過程，在離散的時間點將狀態空間中各節點一次轉換成下一狀態的概率值組成一個矩陣，則該矩陣稱為MPSTP 矩陣，用P表示。

使用概率符號Pn、Pnd、Pdb、Pbs、Pbu、Paw、Pun、P1、P2、Pzr、Pzs、Prw、Psw、P3、Pwn、Pcn表示各狀態之間的一次轉換概率，其含義如表2 所示。

將狀態空間中各節點一次轉換成下一狀態的概率值代入圖2 的非確定有限自動機狀態轉換模型進行量化，得出MPSTP 模型如圖3 所示。

圖3 的MPSTP 模型展示了該容忍系統不同狀態之間相互轉移的可能性，其中穩定的概率值可由入侵注入的方式測定或者由網絡管理員根據經驗確定，本文采用第一種方式，通過入侵注入行為實驗，測得實驗數據。

將狀態空間中各節點一次轉換成下一狀態的概率值建立成一個矩陣，得到MPSTP 矩陣P為

定義3DoS（duration of state）矩陣是指有限自動機容忍系統中各狀態的持續停留時間所組成的矩陣，用T表示，則T=[tNO,tDO,tBA,tAD,tUD,tWI,tZT,tRS,tSS,tCC]。

6 MP 模型量化及分析

MP 模型的量化分析可以指導管理員有針對性地維護系統，達到增強系統入侵容忍能力的目的。為了簡化和準確的量化MP 模型，本文給出如下定義。

表2 MP 模型各符號及功能描述

圖3 MPSTP 模型

定義4有限機MP 模型的具體值，是指系統進入MP 模型各狀態的概率。用矩陣K表示，則K=[kNO,kDO,kBA,kAD,kUD,kWI,kZT,kRS,kSS,kCC]，ki表示系統進入MP 模型各狀態的概率值，i∈Sspace。

MP 模型各狀態的穩定概率主要有2 種輸入參數：1)各狀態的MPSTP 矩陣P；2)各狀態的DoS矩陣T。

圖3 所示模型中各狀態的概率值矩陣K可通過式(1)計算。

定義5有限自動機的MP 穩定概率，是指整個系統模型中各個狀態持續時間所占的比，用G來表示，則G=[gNO,gDO,gBA,gAD,gUD,gWI,gZT,gRS,gSS,gCC]，其中gi為狀態i的MP 穩定概率，gi可通過式(2)計算。

6.1 MP 模型安全屬性

圖3 所示的狀態節點空間Sspace共分為2 個子集。

1)系統遭受入侵者入侵的行為節點空間SI，則SI={NO,DO,BA}。

2)入侵發生以后，系統所采取的行為節點空間SR，則SR={AD,UD,ZT,RS,SS,CC,WI}。

在空間SR中，1)當系統處于某些狀態時，MP模型的安全屬性會受到損壞，這些狀態形成了安全受損空間SD；2)當系統處于另一些狀態時，MP 模型的安全屬性不會受到損失，這些狀態形成了安全未受損空間SU。

MP 模型的安全屬性可從3 個方面進行考慮。

1)可用性（availability），即模型可為合法用戶提供正常服務的能力，其概率用PA表示。

由于系統在UD、SS、CC 這3 種狀態下處于非運行狀態，因此無法向用戶提供任何服務。因此，系統的安全損壞狀態SD={UD,SS,CC}，安全未損壞狀態SU={AD,ZT,RS,WI}。MP 模型的系統可用性概率PA=1-kUD-kSS-kCC。

2)機密性（confidentiality），是指系統保證數據安全的能力，其概率用PC表示。

在UD、CC 狀態下，由于系統被入侵行為破壞導致非安全停止運行，將無法保證數據的安全。因此，系統的安全損壞狀態SD={UD,CC}，安全未損壞狀態SU={AD,ZT,RS,SS,WI}。MP 模型的系統機密性概率PC=1-kUD-kCC。

3)完整性（integrity），即系統不會被入侵者修改的能力，其概率用PI表示。

在UD、SS、CC、AD、RS 狀態下，由于入侵者的行為，系統將可能不再完整，即完整性受到破壞。因此，系統的安全損壞狀態SD={UD,SS,CC,AD,RS}，安全未損壞狀態SU={ZT,WI}。MP模型的系統完整性概率PI=1-kUD-kSS-kCCkAD-kRS。

由分析可知，MP 模型的3 個安全屬性概率與各個狀態節點的穩定概率相關。

綜上所述，MP 模型的安全屬性概率可通過式(3)計算。

從式(3)可知，MP 模型安全屬性與安全受損空間狀態的穩定概率kj成反比關系。

6.2 MP 系統平均損壞時間

定義6系統平均損壞時間ADT，是指系統開始處于MP模型的某狀態到系統由于入侵造成的損壞并導致最終停止運行二者之間消耗的平均時長。

平均損壞時間是檢測入侵容忍系統抵御入侵行為能力的重要指標。平均損壞時間的值越大，表示系統在該狀態受到入侵導致其非正常停止運行的時間就越長，入侵代價也就越大，則系統的安全性也越高。

分析圖3 所示的MP 模型，發現有些狀態是系統被入侵行為損壞后非正常停止運行的狀態，該類狀態系統需由網絡管理人員進行手動修復或改進后才能重新正常運行，將此類狀態組成的狀態集合，稱為停止運行狀態集，用SE表示。用SM表示此類狀態之外的狀態集合，稱為中間狀態集。

Trivedi[14]的研究表明，ADT 的計算式為

其中，Ci表示該容忍系統在最終進入停止狀態前通過其他狀態i的總次數，ti是狀態i的持續時間。

系統總是由正常狀態NO 開始運行，因此首先要算出CNO。分析圖3，系統通過狀態NO 的概率由流入概率Pin和流出概率Pout二者共同決定，且Pin+Pout=1。由于CNO是系統非正常停止運行前通過正常狀態NO 的總次數，因此在MP 模型中，影響狀態NO 流入概率Pin的因素很多且比較難確定，因此本文采用通過計算流出概率Pout來確定CNO。

經分析，系統由狀態NO 進入停止狀態的路徑共有5 條，即NO—DO—BA—AD—WI，NO—DO—BA—UD，NO—DO—BA—ZT—CC，NO—DO—BA—ZT—RS—WI 和 NO—DO—BA—ZT—RS—WI。觀察這5 條狀態轉換路徑發現，在MP 模型中，系統經過狀態BA 之后最終都將進入停止狀態，需由管理員修復或改進后重新回到正常狀態NO，因此狀態NO 的流出概率Pout=PdbPnd。

7 實驗分析與優化評估

7.1 實驗環境設計

為驗證MP 模型的優化評估過程，本文組建了如圖4 所示的實驗環境。圖4 給出了網絡拓撲結構及各服務器存在的漏洞，其中，容忍系統有由服務器IP1、IP2和IP3組成，它可以對不同主機提供相對應的服務，不同域間的訪問策略如下。

1)該入侵容忍系統中的各服務器與域D1和域D2內的各個網絡設備可以相互訪問，但不可訪問域D3中的網絡設備。

2)域D1中的網絡設備IP 和域D2中的網絡設備IP9都可以訪問域D3的數據庫服務器。

3)域D1中的網絡設備IP4可以和域D2中的網絡設備IP7相互訪問。

4)每個域內的網絡設備之間可以相互訪問。

5)區域網內部設備必須通過容忍系統中的服務器才可以與Internet 之間交換數據。

6)其他網絡設備之間如果跨域訪問都將被禁止。

7.2 實驗數據計算、優化與評估

圖4 MP 模型的網絡拓撲結構及各服務器存在的漏洞

為繞開企業防火墻安全策略，入侵者普遍采取先入侵內網主機后入侵容忍系統的攻擊策略。實驗正是在這種入侵策略下，對圖4 所示容忍系統進行了模擬攻擊測試。考慮到不同的操作系統存在不同的漏洞，而不同的漏洞決定了入侵成功的概率，進而影響容忍系統的服務能力。為此，實驗分別模擬入侵者在完全控制域D1和域D2內的主機IP4、主機IP7和主機IP9的情況下，直接或間接（即通過域D3中數據庫服務器）對容忍系統進行攻擊。將每種攻擊路徑所造成容忍系統無法提供服務的數據進行分析統計，得出該容忍系統中各參數的平均值如下。

1)系統開始正常運行，所以Pn=1；

2)系統發生故障，管理員對系統維護后，系統將重新運行，因此Paw=Psw=Prw=Pwn=Pun=Pcn=1。

3)系統中的弱點被發現的概率Pnd=0.2。

4)系統中存在的弱點被入侵者發現后，入侵者入侵成功的概率Pdb=0.6。

5)系統檢測到自身弱點并及時修復的概率P1=1-Pnd-Pdb=0.2。

6)入侵被發現且被屏蔽的概率Pba=0.3。

7)入侵沒有被發現的概率Pbu=0.1。

8)成功觸發自動機的概率P2=1-Pba-Pbu=0.6。

9)系統能夠運行但卻需要降級服務的概率Pzr=0.6。

10)系統無法運行自主停止概率Pzs=0.3。

11)系統因為入侵故障被迫停止運行的概率P3=1-Pzr-Pzs=0.1。

由測試可知，系統處于降級服務運行的時間最長，處于容忍觸發的時間最短，處于正常運行和未發現入侵繼續運行的時間相當，處于屏蔽該入侵行為運行和處于學習改進的時間相當，其他各狀態的時間不等?；趯嶒灁祿?，將系統處于各狀態的時間（單位為天）定為：tNO=1，tDO=0.8，tBA=0.3，tAD=0.4，tUD=1.2，tZT=0.1，tRS=3，tSS=2，tCC=1.5，tWI=1.5。

本文所設定的數據均來自本次實驗，現實中不同網絡設備存在操作系統、漏洞、網絡擁擠程度的差異，所以具體的數據可由網絡管理員針對系統的不同進行設置。

7.2.1MPSTP 矩陣

依據定義4 的式(1)，可以計算出系統進入MP模型各狀態的概率值ki，如式(5)所示。

將式(6)代入式(5)并結合實驗所得數據，計算出系統進入MP 模型各狀態的概率值ki，如圖5 所示。

利用系統各概率值ki和式(3)，可以得到系統的可用性概率PA=0.992 1，機密性概率PC=0.993 4，完整性概率PI=0.939 4。

7.2.2MP 穩定概率

將系統進入MP 模型各狀態的概率矩陣K和處于各個狀態的時間矩陣T代入式(2)，得出MP 模型各狀態的穩定概率gi，如式(7)所示。

將實驗得到的各狀態轉移概率Pi值和持續時間ti值及計算所得到的ki值代入式(7)，得到各狀態的穩定概率gi，gi的分布軌跡如圖6 所示。

7.2.3各狀態訪問次數

由6.2 節分析，先求出容忍系統最終進入停止狀態前通過正常狀態的總次數CNO，然后通過各個狀態之間的狀態轉移概率求出不同狀態的Ci，最終可求出系統的平均損壞時間ADT，可通過式(8)計算。

圖5 MP 模型進入各狀態的概率

圖6 MP 模型各狀態穩定概率

把實驗得到的Pdb和Pnd代入式(8)，求出CNO的數據值，進一步求得每個狀態的Ci值，其分布條形圖如圖7 所示。

ADT 代表著入侵者所付出的入侵代價，所以ADT 是系統安全可靠的重要指標。增大ADT 可以增加入侵者的入侵代價從而保障系統的安全。然而，ADT 的增加又與Ci和ti有關。一個確定入侵容忍系統，其各狀態的Ci值基本固定，因此可以通過增加各狀態的持續時間ti來達到增大ADT 的目的。進一步分析式(8)，可以得出MP 模型中各中間狀態的ADT 值，其分布情況如圖8 所示。

圖7 各狀態訪問次數

圖8 各中間狀態ADT 變化軌跡

從圖8 中可以看出，各中間狀態的持續時間對系統總體ADT 影響從大到小的順序為{NO,DO,RS,SS,BA,AD,ZT}。若增大中間狀態{NO,DO,RS}的持續時間，則可以有效地提高系統的ADT，同時也增加了入侵代價，增強了系統的可靠性。

7.3 入侵因素對系統性能的影響

本文主要從容忍系統關鍵節點的平均故障時間、系統的可用性、機密性和完整性等方面分析了系統的性能。在圖4 所示的實驗環境中，假設容忍系統的服務器數量為N(N=1,2,…)，容忍系統的可用性、機密性和完整性定義為：在給定時間周期內，仍有個服務器可以提供正常提供服務且數據未泄密和未被篡改的概率。

本文通過使用網絡仿真軟件GNS3 模擬網絡入侵數據分組，基于實驗數據，得出了容忍系統中各關鍵節點在不同入侵速度V下ADT 的分布軌跡如圖9 所示。

圖9 總體平均損害時間與入侵速度的關系

圖9 表明，容忍系統各總體的平均損害時間與網絡入侵速度V基本成反比，即入侵速度增加平均損害時間降低。呈現這種關系的主要原因為：隨著網絡入侵速度的加快，容忍系統中出現故障的服務器數增多，造成系統各關鍵節點及總體的ADT 下降?？赏ㄟ^增加容忍系統服務器數量N來提高系統的ADT 值，這是因為在出現故障節點相同的前提下，提供服務的節點數越多，系統的可用性越強。

基于實驗中的數據，把容忍系統不同狀態的持續時間（單位為天）設定為：tNO=1，tDO=0.8，tBA=0.3，tAD=0.4，tUD=1.2，tZT=0.1，tRS=3，tSS=2，tCC=1.5，tWI=1.5，進而模擬在不同網絡入侵成功概率下，系統可用性概率PA、機密性概率PC和完整性概率PI之間的軌跡分布，如圖10 所示。

圖10 系統性能概率與入侵成功概率的關系

圖10 的數據表明容忍系統的可用性概率PA、機密性概率PC和完整性概率PI隨著網絡入侵成功概率的增加而明顯降低。這主要是因為：入侵成功概率的增加表明入侵的隱蔽性增高，被發現的概率減小，對系統破壞的能力增強，容忍系統服務器被破壞的數量增多，因此性能下降。圖10 還表明，系統性能概率在入侵成功概率為[0.4,0.6]時比較好，可通過在給定時間周期T內對重點服務器加強入侵防護來提高系統總體的容忍能力。

7.4 模型對比

當系統遭受無法避免的入侵后，容忍能力是評判容忍系統優劣的重要指標。由于本文使用ADT 來量化系統的容忍能力，ADT 越大，說明系統的帶病工作時間越長，容忍能力越高。圖11 給出了本文模型與文獻[5]模型在不同的入侵速度下，容忍系統ADT 的分布軌跡。從圖11 可以看到，本文模型的容忍能力明顯高于文獻[5]。這是因為文獻[5]中的系統在檢測到入侵后，立即采取降級服務的安全策略，當入侵速度加快時，系統采用進程遷移策略，但是同時也消耗了計算機資源和時間，隨著入侵速度不斷增加，超過容忍系統承受能力之后，模型中沒有給出解決辦法，容忍能力不斷下降。本文模型通過增加學習狀態，系統遭受攻擊后會不斷學習修復自身，以提高自身容忍能力。

圖11 容忍能力對比

完整性是系統容忍能力的進一步提高的體現。本文分別利用魏柯等[15]建立的模型和本文模型進行試驗。在不同攻擊速度下，將2 種模型的完整性進行對比，結果如圖12 所示。

隨著攻擊速度的增加，攻擊成功率明顯增加，導致2 種模型的完整性整體上都呈下降趨勢，但是本文模型完整性明顯優于文獻[15]的模型。這是因為文獻[15]的模型在使用馬爾可夫過程進行量化時，狀態等級劃分不夠明確導致入侵檢測準確率下降，且建模復雜，本文模型很好地克服了這一缺點。

圖12 完整性對比

8 結束語

入侵容忍技術是網絡安全管理的重要技術，它保障了系統在入侵發生后能夠繼續運行[16]。本文創建了優化的SSTM，由于模型中不同狀態之間轉換符合有限自動機的原理，因此首先通過該原理對模型進行初步分析，進而使用馬爾可夫理論進行定量，給出模型中各狀態的轉移概率。通過對該模型進行的分析，計算出系統中不同狀態的概率值和各狀態的訪問次數，比較不同狀態ADT 分布情況，得出延長模型處于中間狀態{NO,DO,RS}的時間可以增加入侵難度的結論。同時，本文還分析了入侵速度、入侵成功概率與系統容忍能力的對應關系，給出了提高系統容忍能力的方案。最后，本文從容忍能力和完整性2 個方面和其他文獻的入侵容忍模型進行對比，驗證了SSTM 的優越性。下一步將研究在模型中增加聯機修復功能，達到提高系統在線入侵容忍能力的目的。