網(wǎng)絡(luò)系統(tǒng)可生存性

網(wǎng)絡(luò)信息系統(tǒng)可生存性夏秦第1章緒論研究背景可生存性定義可生存性評(píng)估模型可生存性增強(qiáng)技術(shù)研究背景網(wǎng)絡(luò)安全發(fā)展階段入侵阻止——防加密、認(rèn)證、安全分級(jí)、訪問(wèn)控制入侵檢測(cè)——檢防火墻、IDS可生存性——容網(wǎng)絡(luò)安全與可生存性的關(guān)系網(wǎng)絡(luò)安全追求目標(biāo)轉(zhuǎn)移，可生存性要保證系統(tǒng)中關(guān)鍵服務(wù)的正確性、連續(xù)性、無(wú)間隙性不存在絕對(duì)的可生存性可生存性的多樣性可生存性是網(wǎng)絡(luò)系統(tǒng)的整體特性可生存性策略抵抗、識(shí)別、響應(yīng)和恢復(fù)可生存性技術(shù)可生存性分析對(duì)系統(tǒng)的可生存性評(píng)估和分析（量化）給出系統(tǒng)的可生存性狀況并提出具體建議可生存性增強(qiáng)提高系統(tǒng)服務(wù)能力和質(zhì)量的手段研究現(xiàn)狀通信系統(tǒng)網(wǎng)絡(luò)鏈路連通性信息系統(tǒng)可生存性量化評(píng)估可生存性增強(qiáng)技術(shù)可生存性定義Barnes系統(tǒng)提供關(guān)鍵服務(wù)的能力，即系統(tǒng)在面臨攻擊、失效和偶然事件的情況下仍然可以按照需求及時(shí)完成任務(wù)的能力Deutsch在系統(tǒng)部分癱瘓的情況下，關(guān)鍵服務(wù)還能夠使用的程度IEEE系統(tǒng)一部分無(wú)法工作時(shí)，軟件系統(tǒng)能夠無(wú)故障地執(zhí)行和維持關(guān)鍵功能的能力CMU/SEI在遭受攻擊、故障或意外事故時(shí)，系統(tǒng)能夠及時(shí)完成其關(guān)鍵任務(wù)的能力可生存性的基本要素系統(tǒng)體系結(jié)構(gòu)、關(guān)鍵服務(wù)、系統(tǒng)任務(wù)和功能環(huán)境網(wǎng)絡(luò)環(huán)境威脅攻擊、故障、意外事故服務(wù)持續(xù)性關(guān)鍵服務(wù)響應(yīng)時(shí)間在用戶(hù)期望的時(shí)間內(nèi)可用可生存性評(píng)估模型基于系統(tǒng)結(jié)構(gòu)基于系統(tǒng)服務(wù)組件基于數(shù)據(jù)流圖基于攻擊基于系統(tǒng)與環(huán)境關(guān)系基于系統(tǒng)結(jié)構(gòu)的評(píng)估模型基本思想用圖對(duì)系統(tǒng)網(wǎng)絡(luò)拓?fù)浠蛭锢斫Y(jié)構(gòu)建模成熟方法——SNA從系統(tǒng)的生命周期、需求分析以及體系結(jié)構(gòu)三個(gè)方面給出分析結(jié)果和建議報(bào)告。難點(diǎn)規(guī)則集制定、參數(shù)選擇、攻擊方式確定Krings四步模型基于系統(tǒng)服務(wù)組件的評(píng)估模型基本思想通過(guò)評(píng)估各個(gè)組件的可生存性，獲得系統(tǒng)的可生存性難點(diǎn)組件之間的依賴(lài)關(guān)系組件與系統(tǒng)之間的依賴(lài)關(guān)系基于數(shù)據(jù)流圖的評(píng)估模型基本思想將配置指令的過(guò)程看成是對(duì)數(shù)據(jù)流的處理，將與生存性相關(guān)的所有元素的功能抽象為數(shù)據(jù)流的輸入、處理和輸出，構(gòu)造一種反映元素之間數(shù)據(jù)流關(guān)系的圖模型。難點(diǎn)數(shù)據(jù)鏈路情況的確定（響應(yīng)時(shí)間、丟包率）基于攻擊的評(píng)估模型核心思想衡量不同級(jí)別攻擊下的服務(wù)質(zhì)量（響應(yīng)時(shí)間）難點(diǎn)攻擊方式確定環(huán)境變化影響DoS攻擊下網(wǎng)絡(luò)系統(tǒng)狀態(tài)遷移基于系統(tǒng)與環(huán)境關(guān)系的評(píng)估模型基本思想通過(guò)激勵(lì)系統(tǒng)，觀察系統(tǒng)的響應(yīng)方法以服務(wù)為核心組織系統(tǒng)組件，利用事件情景表示環(huán)境對(duì)系統(tǒng)的作用，通過(guò)系統(tǒng)狀態(tài)轉(zhuǎn)變分析系統(tǒng)的可生存性難點(diǎn)參數(shù)選擇可生存性增強(qiáng)技術(shù)離線技術(shù)系統(tǒng)設(shè)計(jì)階段優(yōu)化系統(tǒng)體系結(jié)構(gòu)、控制參數(shù)在線技術(shù)系統(tǒng)運(yùn)行階段識(shí)別、抵抗、恢復(fù)、適應(yīng)基于3R的可生存性增強(qiáng)技術(shù)離線技術(shù)方法在設(shè)計(jì)過(guò)程中使用螺旋模型基于3R的可生存性增強(qiáng)技術(shù)基于Tabu算法的可生存性增強(qiáng)技術(shù)離線技術(shù)方法——通過(guò)仿真模型優(yōu)化系統(tǒng)結(jié)構(gòu)用邏輯進(jìn)程實(shí)例表示系統(tǒng)中的部件或者部件集合通過(guò)邏輯進(jìn)程實(shí)例之間交換的信息實(shí)例表示部件之間的相互作用用點(diǎn)表示邏輯進(jìn)程的實(shí)例，用邊表示消息傳遞每個(gè)實(shí)例可以設(shè)置攻擊、故障和意外失效發(fā)生的概率用Tabu算法求解在一定條件下系統(tǒng)的最優(yōu)結(jié)構(gòu)難點(diǎn)系統(tǒng)結(jié)構(gòu)確定、參數(shù)設(shè)置基于異構(gòu)網(wǎng)絡(luò)的可生存性增強(qiáng)技術(shù)在線技術(shù)方法增加網(wǎng)絡(luò)的異構(gòu)性和多樣性基于動(dòng)態(tài)漂移的可生存性增強(qiáng)技術(shù)在線技術(shù)方法通過(guò)漂移技術(shù)將用戶(hù)服務(wù)請(qǐng)求轉(zhuǎn)接到其他類(lèi)似服務(wù)組件上傳統(tǒng)漂移技術(shù)，如DNS輪轉(zhuǎn)、URL重定位、IP重定向、IP欺騙連接遷移：使客戶(hù)端和服務(wù)器端都支持動(dòng)態(tài)漂移多樣化漂移：包括分布式動(dòng)態(tài)備份、多樣化主動(dòng)漂移以及快速恢復(fù)機(jī)制基于P2P的可生存性增強(qiáng)技術(shù)在線技術(shù)方法建立P2P關(guān)鍵服務(wù)覆蓋網(wǎng)，將受攻擊服務(wù)器中的連接關(guān)系切換到提供類(lèi)似服務(wù)的P2P節(jié)點(diǎn)上，當(dāng)節(jié)點(diǎn)修復(fù)后，再重新連接到原來(lái)節(jié)點(diǎn)上?；赑2P的可生存性增強(qiáng)系統(tǒng)第2章

信息系統(tǒng)可生存性隨機(jī)Petri網(wǎng)評(píng)估模型SPN可生存系統(tǒng)的關(guān)鍵屬性基于SPN的信息系統(tǒng)可生存性建模從體系結(jié)構(gòu)和可生存設(shè)計(jì)方面分析模型SPN表示方式一個(gè)隨機(jī)Petri網(wǎng)可以用六元組SPN=(P,T,F,K,M0,λ)表示(P,T,F)是一個(gè)網(wǎng),P是狀態(tài)位置集,T是狀態(tài)變遷集,F代表連接位置集與變遷集的弧集K表示位置P的容量函數(shù),也稱(chēng)為資源函數(shù)M0代表SPN的初始標(biāo)識(shí),也是系統(tǒng)的初始狀態(tài)λ是狀態(tài)變遷的平均觸發(fā)速率集合SPN引發(fā)規(guī)則設(shè)M是系統(tǒng)的一個(gè)狀態(tài),對(duì)于t∈T,p∈{p|(p∈P)∧(p,t)∈F},M(p)>0,則稱(chēng)t是可以觸發(fā)的,并且若M觸發(fā)到M’,且滿(mǎn)足下式，其中M(p)為狀態(tài)位置p的托肯數(shù)可生存系統(tǒng)的關(guān)鍵屬性抵抗——抵抗策略認(rèn)證、訪問(wèn)控制、加密、過(guò)濾、隔離、多樣性識(shí)別——攻擊檢測(cè)入侵檢測(cè)、數(shù)據(jù)完整性檢查恢復(fù)——維護(hù)和保持系統(tǒng)服務(wù)冗余、數(shù)據(jù)恢復(fù)、備份適應(yīng)——改進(jìn)策略適應(yīng)、進(jìn)化基于SPN的信息系統(tǒng)可生存性建模步驟針對(duì)特定系統(tǒng)建立描述系統(tǒng)工作流的SPN模型;建立系統(tǒng)的失效SPN模型,它描述資源的服務(wù)失效和修復(fù)過(guò)程;合并這兩個(gè)模型生成系統(tǒng)可生存性模型;采用模擬的方法在合成模型中注入安全事件;根據(jù)可達(dá)狀態(tài)信息,計(jì)算信息系統(tǒng)服務(wù)可生存性參數(shù),對(duì)信息系統(tǒng)生存能力進(jìn)行評(píng)估通用信息系統(tǒng)模型信息系統(tǒng)模型中的定義TC是關(guān)鍵服務(wù)的通信時(shí)間,TP是服務(wù)處理時(shí)間,Ts是數(shù)據(jù)提供時(shí)間,T為用戶(hù)期望的服務(wù)完成時(shí)間,其中T>TC+TP+Ts,Td=T-(TC+TP+Ts)為用戶(hù)能夠容忍的服務(wù)延遲組件有且只有兩種狀態(tài):完好和失效服務(wù)可生存性:網(wǎng)絡(luò)環(huán)境中,服務(wù)節(jié)點(diǎn)能夠正常提供服務(wù)的概率,系統(tǒng)能夠在用戶(hù)期望時(shí)間T內(nèi)提供關(guān)鍵服務(wù)的概率,其中ker_job_ok為在時(shí)間T內(nèi)完成服務(wù)的數(shù)量,kex_job為服務(wù)請(qǐng)求組件發(fā)出的關(guān)鍵服務(wù)請(qǐng)求數(shù)量信息系統(tǒng)SPN模型可生存屬性模型服務(wù)失效模型服務(wù)修復(fù)模型冗余備份模型攻擊注入具有可生存屬性組件模型可生存性仿真算法服務(wù)失效模型

系統(tǒng)由正常服務(wù)狀態(tài)都服務(wù)失效狀態(tài)的變化過(guò)程服務(wù)修復(fù)模型假設(shè)系統(tǒng)行為是一個(gè)泊松過(guò)程。冗余備份模型備份種類(lèi)冷備份：當(dāng)工作設(shè)備運(yùn)行時(shí),備用設(shè)備處于不工作狀態(tài),失效率為零溫備份：備用設(shè)備處于輕負(fù)荷工作狀態(tài),失效率小于工作組件熱備份：備用設(shè)備與工作設(shè)備處于相同工作狀態(tài),失效率等同于工作組件攻擊注入具有可生存屬性組件模型

——抵抗能力攻擊注入具有可生存屬性組件模型

——識(shí)別能力攻擊注入具有可生存屬性組件模型

——修復(fù)能力攻擊注入具有可生存屬性組件模型

——適應(yīng)能力可生存性仿真算法參數(shù)初始化,定義系統(tǒng)運(yùn)行所需參數(shù);定義攻擊事件,包括攻擊組件,攻擊類(lèi)別,攻擊強(qiáng)度,開(kāi)始時(shí)間,結(jié)束時(shí)間等;while(服務(wù)請(qǐng)求數(shù)>0){

獲取當(dāng)前時(shí)間; If(如果當(dāng)前時(shí)間>攻擊開(kāi)始時(shí)間){注入攻擊;} lf(如果當(dāng)前時(shí)間>攻擊結(jié)束時(shí)間){攻擊停止;}

發(fā)送連接請(qǐng)求;

結(jié)束服務(wù)數(shù)=規(guī)定時(shí)間內(nèi)完成服務(wù)數(shù)+規(guī)定時(shí)間內(nèi)未完成服務(wù)數(shù); if(結(jié)束服務(wù)數(shù)%統(tǒng)計(jì)值==0) { 統(tǒng)計(jì)可達(dá)狀態(tài)中托肯數(shù)量;

計(jì)算瞬時(shí)服務(wù)生存性;}

服務(wù)請(qǐng)求數(shù)--;}While(服務(wù)未處理完畢){等待一個(gè)時(shí)間周期;}統(tǒng)計(jì)可達(dá)狀態(tài)中托肯數(shù)量:計(jì)算服務(wù)生存性;實(shí)驗(yàn)SPN仿真工具：RENEW內(nèi)容故障率、修復(fù)率與服務(wù)可生存性的關(guān)系組件并聯(lián)結(jié)構(gòu)設(shè)計(jì)與服務(wù)可生存性的關(guān)系冗余設(shè)計(jì)與服務(wù)可生存性的關(guān)系同異構(gòu)設(shè)計(jì)與服務(wù)可生存性的關(guān)系可生存屬性組件實(shí)驗(yàn)

故障率、修復(fù)率與服務(wù)生存性的關(guān)系

——穩(wěn)態(tài)結(jié)論服務(wù)生存性與故障率成反比，與修復(fù)率成正比故障率、修復(fù)率與服務(wù)生存性的關(guān)系

——瞬態(tài)結(jié)論攻擊會(huì)導(dǎo)致服務(wù)生存性下降很大組件并串聯(lián)結(jié)構(gòu)設(shè)計(jì)與服務(wù)可生存性的關(guān)系

——穩(wěn)態(tài)結(jié)論當(dāng)故障率增加時(shí)，并聯(lián)結(jié)構(gòu)的服務(wù)生存性比串聯(lián)結(jié)構(gòu)的服務(wù)生存性下降要慢得多組件并串聯(lián)結(jié)構(gòu)設(shè)計(jì)與服務(wù)可生存性的關(guān)系——瞬態(tài)結(jié)論當(dāng)攻擊發(fā)生時(shí)，并聯(lián)結(jié)構(gòu)的服務(wù)可生存性比串聯(lián)結(jié)構(gòu)的服務(wù)可生存性下降要小的多冗余設(shè)計(jì)與服務(wù)可生存性的關(guān)系結(jié)論熱備份比冷備份具有更高的抗攻擊能力同異構(gòu)設(shè)計(jì)與服務(wù)可生存性的關(guān)系結(jié)論異構(gòu)比同構(gòu)具有更高的抗攻擊能力可生存屬性組件試驗(yàn)結(jié)論具有抵抗能力組件的生存性比無(wú)抵抗能力組件的生存性下降較小有識(shí)別能力組件的生存性幾乎不改變無(wú)法識(shí)別的攻擊可生存屬性組件試驗(yàn)結(jié)論具有修復(fù)能力組件的生存性會(huì)在修復(fù)后恢復(fù)到原來(lái)水平具有適應(yīng)能力組件的生存性會(huì)隨著攻擊次數(shù)的增加不斷改善第3章信息系統(tǒng)可生存性層次化評(píng)估模型基本定義相關(guān)概念建模步驟和評(píng)估方法實(shí)驗(yàn)驗(yàn)證基本定義關(guān)鍵服務(wù)系統(tǒng)在遭受攻擊等突發(fā)事件情況下，還必須為用戶(hù)提供的服務(wù)。原子組件保證網(wǎng)絡(luò)系統(tǒng)持續(xù)提供關(guān)鍵服務(wù)的必不可少的最小組件。入侵場(chǎng)景為達(dá)到影響系統(tǒng)服務(wù)的某個(gè)意圖(intention，比如拒絕服務(wù))而發(fā)生的一系列事件組成的一個(gè)入侵場(chǎng)景，它包含的事件可能是具有某個(gè)通用意圖的事件集組成的任務(wù)，也可能是具體目標(biāo)(target，比如root權(quán)限)的事件完成的任務(wù)?；驹砭W(wǎng)絡(luò)攻擊圖攻擊圖的生成入侵場(chǎng)景漏洞等級(jí)確定服務(wù)質(zhì)量網(wǎng)絡(luò)攻擊圖攻擊圖是一個(gè)狀態(tài)轉(zhuǎn)換系統(tǒng)T=(S，Γ，s0，SG)。其中S是網(wǎng)絡(luò)狀態(tài)的集合，ΓSxS是狀態(tài)轉(zhuǎn)換關(guān)系的集合，s0∈S是網(wǎng)絡(luò)初始狀態(tài)，SGS是目標(biāo)狀態(tài)的集合。對(duì)于一個(gè)目標(biāo)狀態(tài)sn∈SG，如果從初始狀態(tài)s0開(kāi)始，存在一組狀態(tài)序列s1，s2，…，sn，使得(si，si+1)∈Γ，0<i<n-1，則稱(chēng)狀態(tài)序列s0，s1，…，sn是一條攻擊路徑。攻擊行動(dòng)用如下三元組表示(src_host，dst_host，vid)。其中src_host是發(fā)動(dòng)攻擊的主機(jī)id，dst_host是遭受攻擊的主機(jī)id，vid是此次攻擊所利用的弱點(diǎn)號(hào)。攻擊圖的生成利用漏洞掃描工具(如Nessus，Nmap])探測(cè)單個(gè)主機(jī)的漏洞信息;將探測(cè)到的漏洞信息和其他信息進(jìn)行關(guān)聯(lián)(如主機(jī)中的連接信息)，并利用GraPhviz工具生成攻擊圖。攻擊圖中的每條路徑由一系列原子節(jié)點(diǎn)構(gòu)成，最終到達(dá)一個(gè)特定的狀態(tài)(如管理員權(quán)限狀態(tài))。用戶(hù)類(lèi)型用戶(hù)類(lèi)型角色描述Root系統(tǒng)管理員，管理系統(tǒng)設(shè)備、系統(tǒng)文件和系統(tǒng)進(jìn)程等一切資源User系統(tǒng)普通用戶(hù)，由系統(tǒng)初始化產(chǎn)生或系統(tǒng)管理員創(chuàng)建，有自己獨(dú)立的私有資源Access可以訪問(wèn)網(wǎng)絡(luò)服務(wù)的遠(yuǎn)程訪問(wèn)者，通常是信任的訪問(wèn)者，能和網(wǎng)絡(luò)服務(wù)進(jìn)程交互數(shù)據(jù)，可以?huà)呙柘到y(tǒng)消息等攻擊圖實(shí)例攻擊圖生成算法1)建立初始網(wǎng)絡(luò)狀態(tài)init_state:2)將init_state加入到擴(kuò)展網(wǎng)絡(luò)隊(duì)列state_queue;3)While(state<-queue不為空)Cur_state<-Get_State(state_queue)if(M中指定了攻擊目標(biāo)&&攻擊目標(biāo)全部到達(dá))continue;建立與當(dāng)前發(fā)起攻擊主機(jī)具有連接關(guān)系的主機(jī)隊(duì)列host_queue;While(host_queue不為空)Host<-Get_host(host_queue);建立當(dāng)前攻擊主機(jī)可以用來(lái)訪問(wèn)host的網(wǎng)絡(luò)協(xié)議隊(duì)列protocol_queue;

While(protocol_queue不為空)Protocol<-Get-Protoeol(protocol_queue);建立與protocol相關(guān)的攻擊規(guī)則隊(duì)列attack_rule_queue;14)while(attaek_rule_queue不為空)15)Attack_rule<-

Get--Attack_Rule(attack_rule_queue);16)從當(dāng)前攻擊發(fā)起主機(jī)嘗試?yán)胊ttack_rule對(duì)host進(jìn)行模擬攻擊;17)lf(模擬攻擊成功&&攻擊者對(duì)網(wǎng)絡(luò)的控制能力得到提升)18)生成新的網(wǎng)絡(luò)狀態(tài)new_state索引;19)If(new_state在分析過(guò)程中沒(méi)有出現(xiàn))20)將new_state的索引其加入到state_queue中;21)While(攻擊線索不為空)22)If(攻擊目標(biāo)不在路徑線索中)23)刪除該路徑線索;24)If(攻擊目標(biāo)在路徑線索中&&攻擊目標(biāo)不在線索終點(diǎn))25)刪除線索中攻擊目標(biāo)以后部分;26)輸出攻擊路徑線索;入侵場(chǎng)景將入侵場(chǎng)景中能夠達(dá)到管理員所提供的系統(tǒng)所能承受的最大入侵等級(jí)中的入侵場(chǎng)景作為分析該系統(tǒng)可生存性的依據(jù)。漏洞等級(jí)確定弱點(diǎn)的攻擊復(fù)雜度是用來(lái)衡量攻擊者成功利用該弱點(diǎn)的難易程度的一種度量。等級(jí)描述攻擊復(fù)雜度1有現(xiàn)成可用的攻擊工具與詳細(xì)的攻擊步驟1.02可定制攻擊工具，有較詳細(xì)的攻擊步驟0.83無(wú)現(xiàn)成可用的攻擊工具，但有較詳細(xì)的攻擊步驟0.64公開(kāi)報(bào)告并提及可能或粗略描述的攻擊方法0.45公開(kāi)報(bào)告但未給出攻擊方法0.2服務(wù)質(zhì)量單位時(shí)間內(nèi)處理的服務(wù)數(shù)量——當(dāng)前服務(wù)狀態(tài)剩余網(wǎng)絡(luò)帶寬——可容忍服務(wù)狀態(tài)網(wǎng)絡(luò)延遲——服務(wù)效率可生存性層次化評(píng)估模型可生存性分析步驟可生存性層次化計(jì)算方法可生存性分析步驟可生存性層次化計(jì)算方法示意圖W:影響系統(tǒng)中關(guān)鍵服務(wù)的重要程度E:關(guān)鍵服務(wù)與原子組件的依賴(lài)關(guān)系C:攻擊者利用漏洞的可能性可生存性層次化計(jì)算方法系統(tǒng)的關(guān)鍵服務(wù)集合S={S1，S2，…，Sk};W={W1，W2，…，Wk}為關(guān)鍵服務(wù)重要性權(quán)重集合，且脆弱原子服務(wù)組件具有的資源消耗類(lèi)漏洞集合A={A1，A2，…，Am}，權(quán)限提升類(lèi)漏洞集合B={B1，B2，…，Bn}，漏洞被攻擊者利用的可能性參數(shù)集合C={C1，…，Cm，Cm+1，…，Cm+n}，特權(quán)提升類(lèi)攻擊可識(shí)別參數(shù)集合D={D1，…，Dm}系統(tǒng)服務(wù)狀態(tài)集合:{PS_Init，PS_Attack_l，PS_Interval，PS_Attack_2}，其中PS_Init代表原子組件正常運(yùn)行的服務(wù)質(zhì)量狀態(tài)，PS_Attack_l代表第一次攻擊中原子組件服務(wù)質(zhì)量狀態(tài)，PS_Interval代表攻擊結(jié)束后服務(wù)質(zhì)量狀態(tài)，PS_Attack_2代表第二次攻擊中原子組件的服務(wù)質(zhì)量狀態(tài)關(guān)鍵服務(wù)K的原子組件集合為M={MK1，…，MKL}，L代表關(guān)鍵服務(wù)原子組件的個(gè)數(shù)。系統(tǒng)可生存性定義為Sur={Recognition，Resistance，Recovery，Adaptation}，原子組件的可生存性表示為M_Sur，關(guān)鍵服務(wù)的可生存性表示為S_Sur。識(shí)別攻擊能力以每個(gè)原子服務(wù)為最終節(jié)點(diǎn)，生成攻擊場(chǎng)景根據(jù)場(chǎng)景中的漏洞參數(shù)屬性構(gòu)造函數(shù)Fm=f(c1，…，cm)=，和Gm=g(D1，…，Dm)=1-利用漏洞可能被利用的可能性和被識(shí)別的概率量化原子服務(wù)組件識(shí)別攻擊能力:只有每個(gè)原子服務(wù)組件正常運(yùn)行才能保證系統(tǒng)持續(xù)提供服務(wù)，所以服務(wù)的識(shí)別性計(jì)算公式為:

S_Recognition=Min{M_Recongnitioni}i=1,…,k系統(tǒng)的識(shí)別能力由各關(guān)鍵服務(wù)的識(shí)別能力得出，并根據(jù)服務(wù)重要程度大小來(lái)區(qū)分，計(jì)算公式為:抵抗攻擊能力用攻擊時(shí)刻的服務(wù)狀態(tài)和系統(tǒng)未遭受攻擊時(shí)的服務(wù)狀態(tài)比來(lái)量化原子服務(wù)組件抵抗攻擊的能力，原子服務(wù)組件抵抗攻擊能力計(jì)算公式為:只有每個(gè)原子服務(wù)組件正常運(yùn)行才能保證系統(tǒng)持續(xù)提供服務(wù)，所以服務(wù)的抗攻擊能力計(jì)算公式為:

S_Resistance=Min{M_Resistancei}i=1,…,k系統(tǒng)的識(shí)別能力由各關(guān)鍵服務(wù)的抗攻擊能力得出，并根據(jù)服務(wù)重要程度大小來(lái)區(qū)分，計(jì)算公式為: Resistance=*S_Resistance服務(wù)恢復(fù)能力通過(guò)分析攻擊結(jié)束或被隔離以后，原子服務(wù)組件的自動(dòng)恢復(fù)情況來(lái)分析其恢復(fù)能力，計(jì)算公式為:只有每個(gè)原子服務(wù)組件正常運(yùn)行才能保證系統(tǒng)持續(xù)提供服務(wù)，所以服務(wù)的恢復(fù)能力計(jì)算公式為:

S_Recovery=Min{M_Recoveryi}i=1,…,k系統(tǒng)的識(shí)別能力由各關(guān)鍵服務(wù)的恢復(fù)能力得出，并根據(jù)服務(wù)重要程度大小來(lái)區(qū)分，計(jì)算公式為: Recovery=*S_Recovery適應(yīng)能力對(duì)同一個(gè)原子服務(wù)組件進(jìn)行兩次同樣的攻擊測(cè)試，以獲取系統(tǒng)是否具有自適應(yīng)機(jī)制，計(jì)算公式為:只有每個(gè)原子服務(wù)組件正常運(yùn)行才能保證系統(tǒng)持續(xù)提供服務(wù)，所以服務(wù)的適應(yīng)能力計(jì)算公式為:

S_Adaptation=Min{M_Adaptationi}i=1,…,k系統(tǒng)的識(shí)別能力由各關(guān)鍵服務(wù)的抗攻擊能力得出，并根據(jù)服務(wù)重要程度大小來(lái)區(qū)分，計(jì)算公式為: Adaptation=*S_Adaptation實(shí)驗(yàn)定義服務(wù)重要程度向量W={0.5，0.3，0.2}使用Nessus2.2.6對(duì)實(shí)驗(yàn)環(huán)境中機(jī)器進(jìn)行掃描，得到漏洞情況表根據(jù)表中的漏洞信息生成網(wǎng)絡(luò)攻擊圖根據(jù)表中的結(jié)果，從攻擊庫(kù)中選取針對(duì)漏洞號(hào)136和13653的攻擊，對(duì)系統(tǒng)進(jìn)行5組攻擊測(cè)試，測(cè)試過(guò)程分為:初始狀態(tài)、1次攻擊狀態(tài)、間隔狀態(tài)、2次攻擊狀態(tài)，每部分持續(xù)一分鐘，并選取每部分的中間點(diǎn)采樣，使用coral-3.7.5對(duì)攻擊下的服務(wù)質(zhì)量進(jìn)行監(jiān)測(cè)，平均結(jié)果如服務(wù)質(zhì)量監(jiān)測(cè)表所示計(jì)算服務(wù)質(zhì)量計(jì)算系統(tǒng)可生存性網(wǎng)絡(luò)攻擊圖漏洞信息一覽表服務(wù)質(zhì)量監(jiān)測(cè)表服務(wù)質(zhì)量選取的服務(wù)質(zhì)量指標(biāo)有網(wǎng)絡(luò)延時(shí)ND，包處理數(shù)PD，網(wǎng)絡(luò)帶寬NB Qos=(A1-A2+1)/2服務(wù)質(zhì)量表系統(tǒng)可生存性結(jié)論測(cè)試環(huán)境系統(tǒng)中DNS服務(wù)有較強(qiáng)的恢復(fù)能力，在攻擊結(jié)束后可在較短時(shí)間內(nèi)正常提供服務(wù)，并釋放掉攻擊所占用資源由于DNS服務(wù)在第一次遭受攻擊后增加了過(guò)濾規(guī)則，因此在進(jìn)行第二次攻擊時(shí)，沒(méi)有達(dá)到拒絕服務(wù)效果，因此有較強(qiáng)的適應(yīng)能力由于在第一次攻擊時(shí)，DNS和FTP系統(tǒng)都處于拒絕服務(wù)狀態(tài)，故抵抗能力較低。第4章基于服務(wù)自組織的可生存性增強(qiáng)算法自組織服務(wù)可生存性計(jì)算自組織算法實(shí)驗(yàn)分析自組織系統(tǒng)局部交互中的全局有序性分布式控制健壯性反饋控制局部交互中的全局有序性局部交互指?jìng)€(gè)體僅與它們的直接鄰居交互,即任何一個(gè)個(gè)體獨(dú)立于遠(yuǎn)離它的其它個(gè)體全局有序性是指由事先設(shè)計(jì)的某種目標(biāo)特性,它應(yīng)當(dāng)是系統(tǒng)的某種自發(fā)屬性，所謂自發(fā)屬性是指系統(tǒng)中通過(guò)微觀的操作組合自然形成的某種宏觀特性自組織過(guò)程如下:兩個(gè)交互的個(gè)體通過(guò)一系列交互，自動(dòng)配置各自的參數(shù),直到它們發(fā)現(xiàn)一個(gè)相互滿(mǎn)意的穩(wěn)定的狀態(tài),稱(chēng)此時(shí)它們己經(jīng)適應(yīng)或藕合在一起分布式控制控制必須是分布式的存在于所有參加的個(gè)體中健壯性當(dāng)系統(tǒng)的損傷較小時(shí)，自組織系統(tǒng)能夠利用系統(tǒng)中富余的資源自動(dòng)修復(fù)和屏蔽故障或攻擊，維持系統(tǒng)服務(wù)的正常提供當(dāng)損傷過(guò)于嚴(yán)重時(shí)，系統(tǒng)的功能將逐步惡化，而不是突然崩潰能夠調(diào)整其結(jié)構(gòu)適應(yīng)環(huán)境的變化，“學(xué)習(xí)”新的技巧應(yīng)對(duì)過(guò)去未遇到的問(wèn)題服務(wù)可生存性計(jì)算網(wǎng)絡(luò)提供的服務(wù)集合為一個(gè)二元組,S={SE,SN},其中SE={SE1,…,SEn}為關(guān)鍵服務(wù),SN={SN1,…,SNm}為非關(guān)鍵服務(wù)網(wǎng)絡(luò)系統(tǒng)抽象為原子組件Nij的集合,sys=(N11,N12,…,Nn1,…,Nnk),其中N11,…,N1I表示一共有I個(gè)具有功能號(hào)1的原子組件,n代表網(wǎng)絡(luò)系統(tǒng)原子組件種類(lèi)數(shù)。m=Max|Ni|i=1,…,n代表所有原子組件中具有相同功能原子組件數(shù)量中的最大值。其中,Ni代表功能號(hào)為i的原子組件集合原子組件有且只有兩種狀態(tài):完好和故障。服務(wù)模式:系統(tǒng)在完好的狀態(tài)下提供的服務(wù)稱(chēng)為標(biāo)準(zhǔn)服務(wù)，在某些組件發(fā)生故障時(shí)，系統(tǒng)使用具有相同功能的替代組件提供可接受的服務(wù),稱(chēng)為替代服務(wù)服務(wù)的生存性若原子組件在時(shí)間t內(nèi)處于完好狀態(tài)的概率為exp(-λt)，則服務(wù)的生存性是當(dāng)服務(wù)所需原子組件(總數(shù)為n)均處于完好狀態(tài)時(shí)的概率:sur:可生存性值n:組件種數(shù)ti:服務(wù)在功能組件i上的處理時(shí)間,msλi:失效系數(shù)林德貝格一列維中心極限定理設(shè)隨機(jī)變量X1,…,Xn相互獨(dú)立,服從同一分布，且具有數(shù)學(xué)期望和方差E(Xk)=μ和D(Xk)=σ2>0(k=1,…,n),則隨機(jī)變量之和的標(biāo)準(zhǔn)化變量Yn的分布函數(shù)Fn(x)對(duì)于任意x滿(mǎn)足該定理表明:當(dāng)n→∞時(shí),隨機(jī)變量序列Yn的分布函數(shù)收斂于標(biāo)準(zhǔn)正態(tài)分布的分布函數(shù)該定理認(rèn)為：正態(tài)分布的均值等于總體分布的均值,方差等于總體分布的方差除以樣本大小失效狀態(tài)評(píng)定原子組件Nij對(duì)于關(guān)鍵服務(wù)的響應(yīng)時(shí)間為日志庫(kù)中樣本的平均響應(yīng)時(shí)間樣本的標(biāo)準(zhǔn)方差為：總體均值的置信區(qū)間為：概率度與置信度的關(guān)系表Λ的計(jì)算組件在時(shí)間t內(nèi)處于完好狀態(tài)的概率為：組件在時(shí)間t內(nèi)處于故障狀態(tài)的概率為：原子組件可生存性算法統(tǒng)計(jì)滑窗內(nèi)有效服務(wù)響應(yīng)數(shù)num;計(jì)算有效響應(yīng)時(shí)間數(shù)組均值T;計(jì)算方差D;計(jì)算參數(shù)統(tǒng)計(jì)滑動(dòng)窗口中失效點(diǎn)個(gè)數(shù)L及最小時(shí)間間隔tval;更新參數(shù)計(jì)算服務(wù)生存性Returnsur;原子組件可生存性二維矩陣元素的值為：自組織算法廣播自己節(jié)點(diǎn)的服務(wù)生存性信息;if(收到服務(wù)生存性列表)then更新服務(wù)組件生存性列表;else得到令牌并接管服務(wù);while(1){if(具有令牌){ 接收其他節(jié)點(diǎn)提供的生存性信息，并排序; if(如果排序發(fā)生變化){將最新的生存性列表信息廣播給所有節(jié)點(diǎn);} else將最新的生存性列表信息廣播給請(qǐng)求節(jié)點(diǎn); if(No.A組件節(jié)點(diǎn)生存性高于自己){將令牌交給No.A組件}//endif continue;}//endif自組織算法else{探測(cè)自身生存性信息，并發(fā)送給服務(wù)主節(jié)點(diǎn).if(沒(méi)有得到回應(yīng)){ if(其本身不是次高節(jié)點(diǎn)){將具有次高服務(wù)生存性的組件設(shè)置為主節(jié)點(diǎn);continue;}//endif 得到令牌; 將得到令牌信息通知所有節(jié)點(diǎn); continue;}//endifelse{ if(得到令牌)then接管服務(wù); continue;}//endelse等待一個(gè)時(shí)間周期;}//endelse}//endwhile實(shí)驗(yàn)環(huán)境采用C語(yǔ)言模擬實(shí)驗(yàn)內(nèi)容可生存性計(jì)算驗(yàn)證自組織算法應(yīng)用分析攻擊情況服務(wù)能力下降情況可生存性計(jì)算驗(yàn)證設(shè)定原子組件出錯(cuò)概率和服務(wù)平均響應(yīng)時(shí)間;根據(jù)出錯(cuò)概率隨機(jī)產(chǎn)生100000個(gè)狀態(tài)序列，其中采樣點(diǎn)有且只有“失效”和“完好”兩種狀態(tài);隨機(jī)產(chǎn)生10000個(gè)服務(wù)起始點(diǎn)，統(tǒng)計(jì)在不同平均相應(yīng)時(shí)間中服務(wù)能夠完成的概率曲線;計(jì)算可生存性變化曲線;比較上兩個(gè)步驟中生成的曲線低失效率生存曲線對(duì)比圖結(jié)論計(jì)算獲得的生存性指標(biāo)與實(shí)際值非常相近服務(wù)生存性與失效率和平均響應(yīng)時(shí)間成反比高失效率生存曲線對(duì)比圖結(jié)論計(jì)算獲得的生存性指標(biāo)與實(shí)際值非常相近服務(wù)生存性與失效率和平均響應(yīng)時(shí)間成反比失效高的的節(jié)點(diǎn)服務(wù)生存性有可能高于失效率低的節(jié)點(diǎn)攻擊情況下自組織算法應(yīng)用分析設(shè)定原子組件的失效概率，通過(guò)動(dòng)態(tài)調(diào)整失效率矩陣模擬攻擊，原子組件失效率變化情況如下：假定原子組件平均響應(yīng)時(shí)間一樣，采樣頻率為I000Hz，平均響應(yīng)時(shí)間為0.1秒，采樣時(shí)間為1秒。攻擊環(huán)境下自組織圖結(jié)論在原子組件失效狀態(tài)時(shí)可將令牌交給替代組件，使替代組件繼續(xù)提供服務(wù)，如圖中點(diǎn)A、D;攻擊強(qiáng)度越大導(dǎo)致單位時(shí)間內(nèi)新產(chǎn)生的狀態(tài)點(diǎn)越多，導(dǎo)致平均自組織時(shí)間越長(zhǎng)；原子組件的短時(shí)間失效(節(jié)點(diǎn)B)沒(méi)有影響自組織結(jié)果;原子組件從失效狀態(tài)恢復(fù)到完好狀態(tài)，需要進(jìn)行一段時(shí)間考查才可以繼續(xù)提供服務(wù)(節(jié)點(diǎn)E)當(dāng)具有相同功能的多個(gè)原子組件服務(wù)的生存能力相當(dāng)時(shí)，自動(dòng)實(shí)現(xiàn)負(fù)載均衡。配置狀態(tài)1代表由AtomicModule11和AtomicModule22；配置狀態(tài)2代表由AtomicModule12和AtomicModule22；配置狀態(tài)3代表由AtomicModule12和AtomicModule21；服務(wù)能力下降情況下自組織算法分析設(shè)定原子組件服務(wù)能力下降衰減參數(shù)，通過(guò)動(dòng)態(tài)調(diào)整響應(yīng)時(shí)間矩陣模擬服務(wù)能力下降，原子組件響應(yīng)時(shí)間矩陣和組件服務(wù)能力下降參數(shù)分別為：假定原子組件平均響應(yīng)時(shí)間一樣，采樣頻率為I000Hz，平均響應(yīng)時(shí)間為0.1秒，采樣時(shí)間為l秒。服務(wù)質(zhì)量下降情況下自組織圖結(jié)論在原子組件服務(wù)能力下降的時(shí)候選擇替代組件繼續(xù)提供服務(wù);相同功能的原子組件服務(wù)能力相當(dāng)時(shí)，算法可以根據(jù)實(shí)際測(cè)量的服務(wù)情況在原子組件中相互切換;當(dāng)服務(wù)在組件中進(jìn)行切換時(shí)，組件所分得的平均服務(wù)時(shí)間與其服務(wù)能力下降的衰減參數(shù)成反比;當(dāng)采取恢復(fù)組件服務(wù)能力等措施時(shí)，算法會(huì)對(duì)其進(jìn)行一段時(shí)間的考查才能繼續(xù)提供服務(wù)。配置狀態(tài)1代表由AtomicModule11和AtomicModule21提供服務(wù);狀態(tài)2代表AtomicModule12和AtomicModule21;其他依次類(lèi)推。第5章基于連接遷移的服務(wù)可生存性增強(qiáng)系統(tǒng)連接遷移技術(shù)基于連接遷移的服務(wù)可生存性增強(qiáng)系統(tǒng)的架構(gòu)服務(wù)處理流程系統(tǒng)模塊設(shè)計(jì)實(shí)驗(yàn)分析連接遷移技術(shù)基于DNS輪轉(zhuǎn)的連接遷移基于ARP協(xié)議的連接遷移基于重構(gòu)現(xiàn)場(chǎng)的連接遷移基于DNS輪轉(zhuǎn)的連接遷移基本思想 將多個(gè)IP地址綁定到一個(gè)域名上，域名服務(wù)器按輪轉(zhuǎn)機(jī)制將到達(dá)該域名的請(qǐng)求解析到不同的服務(wù)器上。優(yōu)點(diǎn)簡(jiǎn)單支持多種平臺(tái)支持跨WAN備份缺點(diǎn)不能識(shí)別無(wú)法提供正常服務(wù)的服務(wù)器基于ARP協(xié)議的連接遷移基本思想 一組服務(wù)器節(jié)點(diǎn)使用公共的虛擬IP地址對(duì)外提供服務(wù)，各節(jié)點(diǎn)之間通過(guò)網(wǎng)絡(luò)或?qū)Ｓ秒娎|互相監(jiān)視彼此的狀況，任何時(shí)候只能有一個(gè)活躍服務(wù)器對(duì)外提供服務(wù)。一旦活躍服務(wù)器由于某些原因而發(fā)生故障，則競(jìng)爭(zhēng)成功地備份服務(wù)器就通過(guò)發(fā)送修改過(guò)的ARP報(bào)文，將活躍服務(wù)器的IP映射到自己的硬件地址上，從而實(shí)現(xiàn)服務(wù)的連續(xù)性。缺點(diǎn) 只能用在同一個(gè)局域網(wǎng)內(nèi)基于重構(gòu)現(xiàn)場(chǎng)的連接遷移基本思想 在適當(dāng)?shù)臅r(shí)機(jī)，前端處理組件根據(jù)自身的服務(wù)狀態(tài)，將與該客戶(hù)的連接遷移至另一個(gè)處理組件(后端)上。后端處理組件根據(jù)前端發(fā)送過(guò)來(lái)的數(shù)據(jù)進(jìn)行現(xiàn)場(chǎng)重構(gòu)，并采用連接傳遞技術(shù)將構(gòu)造出的資源交給屬主進(jìn)程，屬主繼續(xù)完成服務(wù)并將處理結(jié)果傳遞給服務(wù)請(qǐng)求者。連接重構(gòu)概念 將連接的一切數(shù)據(jù)結(jié)構(gòu)在后端處理組件的操作系統(tǒng)內(nèi)核中重建。步驟分配記錄連接信息的sock結(jié)構(gòu)并初始化;查找到服務(wù)請(qǐng)求方的路由，將路由信息填入Sock結(jié)構(gòu);根據(jù)遷移協(xié)議從遷移請(qǐng)求報(bào)文提取連接信息;根據(jù)提取得到的連接信息修改sock結(jié)構(gòu)的一些域;將該sock結(jié)構(gòu)登記到系統(tǒng)的相關(guān)表格中。連接傳遞概念 讓?xiě)?yīng)用層服務(wù)程序接受構(gòu)造出來(lái)的連接請(qǐng)求，將一個(gè)連接從一個(gè)進(jìn)程傳遞給另一個(gè)監(jiān)聽(tīng)進(jìn)程。步驟將連接的sock結(jié)構(gòu)與源進(jìn)程脫鏈;構(gòu)造出該連接在初始建立時(shí)的環(huán)境;建立sock結(jié)構(gòu)與初始環(huán)境(open-request結(jié)構(gòu))的聯(lián)系;將open-request結(jié)構(gòu)掛到目的監(jiān)聽(tīng)進(jìn)程的接收隊(duì)列上;將目的監(jiān)聽(tīng)進(jìn)程喚醒。系統(tǒng)硬件體系結(jié)構(gòu)對(duì)等網(wǎng)結(jié)構(gòu)系統(tǒng)模塊結(jié)構(gòu)服務(wù)處理流程系統(tǒng)初始化，自組織模塊定時(shí)發(fā)送測(cè)試數(shù)據(jù)報(bào)文通過(guò)本節(jié)點(diǎn)的通信、服務(wù)分發(fā)和服務(wù)提供模塊，三個(gè)模塊分別記錄測(cè)試數(shù)據(jù)報(bào)文經(jīng)過(guò)本模塊的時(shí)間段。開(kāi)始自組織過(guò)程，系統(tǒng)首先已經(jīng)指定一個(gè)主節(jié)點(diǎn)，其它節(jié)點(diǎn)通過(guò)取得測(cè)試報(bào)文經(jīng)過(guò)三個(gè)模塊的時(shí)間獲得當(dāng)前節(jié)點(diǎn)各個(gè)模塊的可生存性，并向主節(jié)點(diǎn)通報(bào)該節(jié)點(diǎn)的可生存性狀態(tài)?？蛻?hù)在瀏覽器中輸入一條url信息，url信息經(jīng)過(guò)系統(tǒng)所設(shè)定的DNS服務(wù)器解析得到相應(yīng)的IP地址，該IP地址也就是當(dāng)前提供服務(wù)通信模塊的IP地址?？蛻?hù)與獲得的通信模塊建立三次握手，接著向通信模塊發(fā)送get請(qǐng)求，通信模塊通過(guò)配置文件找到當(dāng)前正在提供服務(wù)的分發(fā)模塊IP，若該IP配置在本節(jié)點(diǎn)上，則直接向虛擬地址建立連接，若該IP沒(méi)配置在本節(jié)點(diǎn)上，則直接把請(qǐng)求經(jīng)過(guò)三次握手轉(zhuǎn)發(fā)到該服務(wù)分發(fā)模塊所在的通信模塊上。通信模塊此時(shí)可以和分發(fā)模塊監(jiān)聽(tīng)的虛擬IP直接建立連接并發(fā)送get請(qǐng)求?？蛻?hù)與通信模塊和通信模塊與分發(fā)模塊建立socket對(duì)，該socket對(duì)負(fù)責(zé)客戶(hù)與分發(fā)模塊直接數(shù)據(jù)的傳遞。當(dāng)分發(fā)模塊收到通信模塊發(fā)來(lái)的get請(qǐng)求時(shí)，把這個(gè)連接在連接池內(nèi)進(jìn)行登記，設(shè)置相關(guān)狀態(tài)，生成遷移請(qǐng)求數(shù)據(jù)包。根據(jù)自組織信息找到當(dāng)前正在提供服務(wù)的最優(yōu)服務(wù)提供模塊，通過(guò)一條和該服務(wù)提供模塊己經(jīng)建立的持久連接把遷移請(qǐng)求數(shù)據(jù)包發(fā)給該服務(wù)提供模塊。服務(wù)提供模塊在特定socket上等待數(shù)據(jù)，收到數(shù)據(jù)包后首先對(duì)數(shù)據(jù)包進(jìn)行解析，判定是否遷移請(qǐng)求，若是則取出包內(nèi)的TCP連接現(xiàn)場(chǎng)信息，查找本地應(yīng)用服務(wù)的監(jiān)聽(tīng)socket，根據(jù)該socket生成一個(gè)新的Sock，把該sock的相關(guān)信息改為分發(fā)模塊上的已經(jīng)建立的連接現(xiàn)場(chǎng)信息，并把目的路由信息從指向分發(fā)模塊改為直接指向通信模塊，這樣就把連接現(xiàn)場(chǎng)在數(shù)據(jù)模塊重建起來(lái)了，把get信息放入重建連接的請(qǐng)求隊(duì)列中，此外還要新建一個(gè)請(qǐng)求頭，把請(qǐng)求頭放入請(qǐng)求隊(duì)列并喚醒讓上層應(yīng)用協(xié)議開(kāi)始處理。完成重建現(xiàn)場(chǎng)、連接傳遞的相關(guān)工作后，服務(wù)提供模塊構(gòu)造連接現(xiàn)場(chǎng)重建成功信息包，并把此包通過(guò)剛才接收遷移請(qǐng)求的連接發(fā)送回分發(fā)模塊，分發(fā)模塊收包后進(jìn)行解析，若解析為重建現(xiàn)場(chǎng)成功則撤銷(xiāo)分發(fā)模塊上與客戶(hù)連接的socket，然后在連接池內(nèi)把該連接的狀態(tài)改成已遷移。應(yīng)用層服務(wù)向通信模塊發(fā)送請(qǐng)求回復(fù)，通信模塊所在節(jié)點(diǎn)協(xié)議棧中向分發(fā)模