入侵容忍技术

关键词： 木马 引言 入侵 技术

入侵容忍技术（精选七篇）

入侵容忍技术 篇1

随着计算机网络技术的迅猛发展, 计算机系统和网络迅速延伸到社会的各个领域, 已经成为支撑社会发展的重要信息基础设施, 而病毒、木马、黑客攻击等网络安全问题频频发生, 网络安全技术日益引起重视, 信息安全已经成为国家战略安全的一部分。如何在遭到攻击、入侵等可能的不安全状态下, 保障用户使用安全、可靠的网络服务呢?目前, 国际上正着力研究的入侵容忍技术得到了大家的广泛关注, 此项技术在于当系统的某些部分遭到攻击或破坏, 系统仍能继续提供相应的网络服务, 并能保证系统中关键信息的机密性和服务的完整性。与传统的网络安全方法相比, 入侵容忍技术是安全防范的最后一道屏障, 保证了网络服务的连续性。

1、网络安全技术

安全性是计算机网络与生俱来的弱点, 网络安全的历史表明, 绝对安全的信息网络系统是不存在的。

网络安全包括网络的系统安全和信息安全两部分, 最主要的是保障信息安全。网络安全有这么几个基本特征:完整性 (Integrity) 、机密性 (Confidentiality、可用性 (Availability) 、不可否认性 (Non-repudiation) 和可控性 (Controllability) 。网络安全问题主要来源于网络系统对资源和数据便捷通信的需求, 以及操作系统安全漏洞、传输线路侦听和网络安全管理疏忽等。传统的网络防护技术主要是用密码技术、防火墙、入侵检测技术等来防止网络安全事件的发生。通常把防火墙的“入侵阻止”技术称为第一代网络安全技术, 入侵检测的“检测恢复”技术称为第二代网络安全技术, 入侵容忍作为第三代网络安全技术强调的是“适应生存”。

“入侵阻止”的第一代网络安全技术强调的是“保护”。通过划分明确的区域边界, 利用各种限制和隔离的技术手段来阻止非法入侵, 使得信息得到保护。

“检测恢复”的第二代网络安全技术强调的是“保障”。在以检测技术为核心, 避免已知的入侵和攻击;以恢复技术为后盾, 对遭到攻击破坏后预设解决方案, 从而保障整个网络的正常运作。这些技术对于防范外部的入侵攻击具有一定的有效性, 但对于网络内部的攻击却无能为力。

“适应生存”的第三代网络安全技术强调的是“生存”能力。即系统在攻击、错误和突发事故的情况下, 仍能保障系统关键功能的安全性的健壮性。

2、入侵容忍概述

2.1 入侵容忍基本理论

入侵容忍是指系统在遭受一定入侵或攻击的情况下仍然能够提供所希望的服务。入侵容忍技术的容错和容侵能力使得构建安全、可生存的入侵检测系统成为可能。

入侵容忍的概念最早由Fraga于1985年提出, 但直到近几年才发展起来。入侵容忍系统的目标是保证系统在发生故障时也能正确运转。当系统由于故障原因不能工作时, 也应以一种非灾难性的方式停止或重启服务。与传统技术不同, 入侵容忍是一种新型的安全技术, 其主要思想是用硬件或者软件容错技术屏蔽任何入侵或者攻击对系统功能的影响, 保证系统关键功能的安全性和业务的连续性。入侵容忍技术的应用会使得系统在发生入侵或故障的情况下具有自诊断、修复和重构的能力。这种技术不仅要考虑入侵/攻击的防范措施, 而且还要解决在入侵存在的情况下系统的可生存性和抗毁能力问题。

一般而言, 入侵容忍技术包括两个方面的内容:一是容忍技术, 可以让系统对入侵和攻击具有可恢复性, 如资源重新分配、系统冗余等;二是错误触发器, 可以监测系统资源、可能的攻击以及系统错误, 使系统在被攻击或发生故障的初期就能够得到相应的处理, 如资源监视、验证测试、入侵检测等。

2.2 容忍技术分类

容忍技术是指进行入侵容忍所需要的基础手段和措施, 主要有冗余技术、门限密码技术等。

冗余与多样性技术

冗余是计算机容错的一个有效方法, 一个组件或某个子系统发生故障时, 可由其它组件或系统提供服务直至该组件或系统被修复。多样性是指冗余的组件应该在一个或多个方面有所不同。冗余技术主要有四种实现方法:硬件冗余、软件冗余、信息冗余和时间冗余。目前普遍使用的是软件冗余, 即屏蔽软件故障, 恢复因故障而受影响的运行进程。冗余和多样性减少了错误关联的危险, 去增加了系统的复杂性, 为了保证冗余, 必须提供多套设备或软件;为了保证更高水平的多样性, 必须使用多个执行方式不同的服务。显然, 冗余技术可以增强系统服务, 确保系统的安全特性, 增强可用行, 但冗余技术要求较高的系统资源。

门限密码方案

门限密码方案也称为秘密共享, 由Blakley和Shamir于1979年分别提出并设计出具体的秘密共享体制。实质是为攻击者设置一个门槛, 当受到攻击低于门槛时, 系统可以容忍攻击行为, 保持系统的可用行。基本思想是通过某种手段把数据P分成若干份A份, 设置一最小数值M, 当被划分的若干份数据中收回了大于等于M份数据, 就可以获取数据P的详细信息, 如果少于M份, 则无法获得。门限方案相比于冗余技术, 机密性较能符合要求, 但可生存性反而较差。因为A和M两个参数的取值较有难度, 若M取小, 可以得到较高的性能, 但数据的可靠性会降低;若A取大, 则可以确保可用性, 但会降低系统性能并且存储要求较高。

3、入侵容忍系统的决策过程

在系统遭到入侵、攻击时, 如何判断攻击者的危害, 容忍系统以何种方式响应、何时响应, 这就涉及到容忍系统的容忍决策等问题, 包含入侵监控和决策分析两个方面。

3.1 入侵监控

入侵监控是安全领域中的一个经典框架, 包含了检测可能的入侵和对入侵行为进行持续监督。入侵监控系统是一个监督系统, 它跟踪并记录系统活动, 实时的检测系统中存在的诸如端口扫描、脆弱性扫描以及恶意攻击行为。目前, 以入侵检测技术为代表的入侵监控发展已经十分成熟, 这在入侵容忍系统中可以借鉴并应用于容忍触发。

在容忍触发机制中, 入侵检测和入侵容忍是一个有机的整体。一般地, 入侵检测系统在发现入侵行为后, 主要通过报警给系统管理员或者与防火墙联动实施恢复;而入侵容忍系统则在发现入侵行为后, 分析评估系统响应代价和攻击的风险, 并进行决策处理。可见, 在容忍触发中, 入侵检测和入侵容忍是不能分割的。也就是说, 容忍决策触发机制是以入侵检测或入侵监控为基础的。

作为入侵容忍触发机制, 入侵监控或者入侵检测系统存在着一些不足, 它不可能检测到所有的攻击, 因此存在漏报、误报等风险。

3.2 基于博弈的容忍决策分析

网络攻防是一对矛盾体, 也是一个相互博弈的过程。入侵容忍系统中, 触发机制根据攻击者入侵行为的类型、攻击风险和自身响应成本及系统性能状况进行综合分析。同样, 攻击者也根据入侵容忍系统的响应调整攻击策略, 攻防双方行为交互、策略相依并各自追求自身利益的最大化。网络攻防中, 双方一个回合接着一个回合博弈, 各自获得各自的收益。攻击者希望选择最有效的方法进攻防御者, 而防御者也希望以最好的方法防御攻击, 都在考虑自身损失最小而收益最大。可见, 攻击者与防御者的交互行为与博弈论思想基本协调一致。

假设攻击者继续攻击为A, 不攻击为B, ;入侵容忍系统M为容忍, N为响应。则容忍系统检测到攻击者行为时, 分析攻击者行为对系统的影响, 若采取M容忍, 则收益为-a (a为系统性能下降值) , 攻击者收益为a-b (b为攻击代价) ;若采取N响应, 则收益为-n (n为系统响应代价) , 攻击着收益为-b。如下表所示:

若容忍的收益大于响应的收益, 即a>n, 攻防博弈将以b/a的概率选择容忍策略, 以1-b/a的概率选择响应, 才能达到收益的最大化。

若容忍的代价小于响应的代价, 即a<n时, 入侵容忍系统将选择容忍策略以以实现利益最大化, 入侵容忍系统与攻击者达到稳定的状态。

容忍决策机制根据攻防双方博弈的结论, 进行决策管理, 选择启动响应或容忍, 以实现入侵容忍系统收益的最大化。

4、总结

根据网络攻防的特征, 在分析攻防双方的收益与代价基础上, 运用博弈的思想, 分析推理了容忍响应的决策机制问题。当容忍的代价大于响应的代价时, 系统选择容忍还是响应具有一定的概率性;当容忍的代价小于响应的代价时, 无论攻击者继续攻击还是放弃攻击, 系统都将采用容忍策略。

摘要：入侵容忍系统的响应决策策略在决定容忍还是响应时要考虑攻防之间的利益博弈。响应触发机制根据攻击者的行为类型、攻击风险和自身响应成本及系统性能状况进行综合分析, 攻击者也根据入侵容忍系统的响应调整攻击策略, 攻防双方行为交互、策略相依、相互博弈, 构成了容忍系统的响应决策策略。

关键词：入侵容忍,容忍决策,博弈

参考文献

[1]王宁波, 王先培基于容侵技术的Web服务器设计.计算机应用研究, 2005, (6) :123-126

[2]郑顾平, 徐露锋, 徐沛娟.基于入侵容忍的分布式数据库安全体系结构.微计算机信息, 2006, 22 (3) :100-102.

[3]J.D.S.Fraga, and D.Powell.AFault-and Intrusion-Tolerant FileSystem.In the 3rd International Conference on Computer Security.Ireland.1985

[4]D eswarteY, Blain L, Fabre J C.Intrusion tolerancein distributedcomputing systems.Proceedings of the International Symposium onSecurity and Privacy, New York, 1991:110-121.

[5]Wu T, Malkin M, Boneh D.Building intrusion tolerant appli-cations.Proceedings of the 8th U SENIX Security Symposium, Washington, 1999:79-91.

[6]徐瑞荣基于博弈理论的入侵容忍决策研究中国石油大学 (华东) 硕士论文2008.5

[7]Lampon L, Shostak R, Pease M.The Byzantine Generals Prob-lem.ACM Transactions On Programming Languages and Systems, 1982, Vol.4 (3) , 382-401

入侵检测技术发展方向入侵检测 篇2

入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(ddos)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对ids作攻击的报道。攻击者详细地分析了ids的审计方式、特征描述、通信模式找出ids的弱点，然后加以攻击。

今后的入侵检测技术大致可朝下述三个方向发展，

分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

入侵容忍技术 篇3

关键词入侵容忍；网络安全；技术

中图分类号TP文献标识码A文章编号1673-9671-(2011)021-0109-01

随着网络上各种新业务的兴起，信息技术与信息产业已成为当今世界经济与社会发展的主要驱动力。然而，在网络这个不断更新换代的世界里，安全漏洞却无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。而第一代信息安全技术以“防”为主，但不能阻止非法入侵。第二代信息安全技术以入侵检测系统为代表，在阻止不了敌人的情况下，以发现敌人或破坏结果为目标，但随着新的攻击技术不断出现，很难发现所有的攻击行为。因此，第三代信息安全技术入侵容忍技术应运而生。所谓入侵容忍技术就是认同安全问题的不可避免性，针对安全问题，不再将消除或者防堵作为第一重点，而是把目光焦聚到如何在攻击之下系统仍能提供正常的或者降级服务这一点上。入侵容忍系统以攻击者即使攻破了系统中的多个组件，也不会危害整个系统的安全和主要服务质量为目标，同时能迅速恢复入侵所造成的损害。

1入侵容忍技术的特点

入侵容忍系统要求系统具有耐攻击的可操作性，当系统遭受攻击或入侵时，仍然能够连续地提供所期望的服务。因此，入侵容忍必须具有以下：1）自我诊断能力。通过触发器检测到局部系统的失效，然后调整系统结构，重新分配资源，从而达到继续服务的目的。2）故障隔离能力。针对被隔离的数据和操作，当判决系统认为确实是攻击时，就将被隔离的操作删除掉。当判定不是攻击时，就将这些隔离的内容融合到正确的系统中去。3）还原重构能力。具有入侵容忍能力的系统必须修正所有被攻击影响到的数据，但又不能采用简单的回退恢复。

2入侵容忍技术在企业网络安全中的应用

一个入侵容忍系统有以下几个基本功能模块：1）服务监视模块：模拟用户服务，向用户发送某些特定的测试信号，检验受保护服务器的工作状态是否正常。 2）服务代理模块：服务代理模块主要起防护系统的作用，服务代理可以是简单的防火墙或入侵检测系统，在过滤大量可以被简单检测出的恶意行为的同时，确保控制模块只需处理真正威胁到服务的攻击。3）系统控制模块：主要设定安全策略，并有选择地提取信息。4）分析模块：完成对数据的分析，总结各个单元的运行数据。如采用数据挖掘等方法来完成分析任务，一旦发现异常特征的数据或异常模式会通知系统控制模块。5）策略执行模块：完成清除、恢复和屏蔽步骤并执行系统控制模块送出的安全策略。系统状态可以分为正常、退化和受攻击状态。6）系统备份模块：原有系统的组成部分。比如采用冗余服务器来保证容错，或者采用多种系统结构来增强整体系统的健壮性。

下图根据入侵容忍系统的实现方式和形式不同，将上述各模块中的多个模块合并设计，大部分入侵容忍系统都需要完成这些功能，才能够独立提高系统的安全性能，具体划分和转换过程如下：1）正常状态：系统能够安全并正常运行的状态，即没有检测到任何可疑的故障/入侵。2）易受攻击状态:即系统己经检测到存在某些可疑的故障入侵，但还不能确认是否为真正的网络攻击或系统故障，在这个状态下系统不采取较强的响应措施，只是通过状态转移控制模块延迟相关服务对象请求的处理或资源分配的限制。3）服务退化状态:服务器的服务功能受到较大影响，服务器处理响应延迟明显加大，并由状态转移控制模块把可疑服务（请求）迁移分配到同一台服务器上，进行服务隔离。4）被攻击状态:状态转移控制模块根据表决管理器或其它模块提供的分析结果，确认可疑服务属于某种故障，系统进入被攻击状态。此时，复制管理器从对象组中删除有故障的复制品，切断有故障请求与服务器的连接。

3结语

总的来说，网络安全技术是个很重要的方面，就目前防范技术的发展来看，开发新的安全网络体系结构、高性能的安全产品（防火墙、入侵检测系统等）、新的网络安全协议等是未来的发展方向。特别要提出的是，为了网络信息的安全，加密技术是一个重要角色，它在未来网络安全保卫战中的地位会越来越重要。

参考文献

[1]孙晶茹,董晓梅.于戈.分布式入侵检测中的报警关联方法评述.计算机工程.2005,31:7.

[2]鲍旭华,戴英侠,等.基于入侵意图的复合攻击检测和预测算法.软件学报.2005,16:l2.

入侵容忍技术用于军事网络的探讨 篇4

网络系统在军事方面的应用,不仅方便了官兵的日常生活和训练,同时为进行军事管理提供了很大的便利。但是,由病毒传播、黑客攻击等带来的网络安全问题影响部队工作的正常开展,因此积极寻求解决网络安全问题的方法成为各界关注的焦点。入侵容忍技术对防止计算机系统发生故障,保证网络安全至关重要,入侵容忍技术在军事网络方面的应用可以确保部队人员能力信息的安全性,促使部队正常工作的顺利开展,推动部队的网络信息化进程。

2 入侵容忍技术

2.1 入侵容忍

当计算机网络系统因为遭受攻击而不能正常工作时,可以通过入侵容忍技术的应用来维持计算机的基本工作状态,确保网络系统能够为部队提供基本服务。可见,入侵容忍技术对保证军事网络系统正常工作起着重要的作用。

2.2 入侵容忍技术特点

入侵容忍技术对于保证军事网络安全、促进部队工作顺利开展具有积极的意义,入侵容忍技术的特点主要表现为几个方面。

第一,自我诊断能力。这是入侵容忍技术发挥作用的第一步工作,在网络系统内使用入侵容忍技术,可以方便对系统内部攻击进行检测,从而进行自我诊断,以便于对故障系统进行调整,保证网络系统处于正常工作状态。

第二,故障隔离能力。当检测到网络系统存在安全问题时,诊断机制就会发挥作用,将可疑的数据或操作进行隔离,对可疑的数据或是操作进行判断,如果被判断为攻击或是恶意操作,则会对这些操作进行干扰和破坏,如果被判断为正常操作,则会被放出隔离区,继续进行工作。

第三,还原重构能力。入侵容忍系统除了可以诊断出攻击、恢复网络系统正常工作以外,还应该对被攻击的数据或是操作进行修正,保证其安全性。

2.3 入侵容忍常用技术

冗余和多样性技术、表决技术、门限秘密共享技术等技术是入侵容忍最常用的几种技术。冗余技术和多样性技术往往是共同运用的,当系统内部检测出冗余组件处于非正常工作状态时,可以通过冗余技术对其进行调整,但是冗余组件可能会导致相同的组件处都受到攻击,因此多样性技术应运而生,可以防止攻击者使用同样的手段进行再次攻击。冗余与多样性技术的应用对计算机系统内部的设备有着很高的要求,因此成本比较高。表决技术就是在冗余与多样性技术的基础上进行表决,发挥作用。门限秘密共享技术的最佳适用情形是份数大的数据,这时可以保证信息的安全性和可用性。

3 入侵容忍系统的一种模型

3.1 系统模型

入侵容忍系统是以IDS为框架,并在IDS中使用入侵容忍技术,对计算机网络系统中的服务器和主机进行保护,当遭到攻击时保证其可以继续提供服务。

3.2 结构设计

入侵容忍系统的结构组成包括捕获模块、存储模块、入侵检测模块、系统管理模块、响应模块、服务监视、应用服务,这几大模块相互联系、共同工作。

3.2.1 捕获模块

捕获模块是通过对网络系统内部的信息进行检测和捕获,捕获有用的信息数据和检测报告,将捕获结果上报存储模块,对数据进行存储,并且方便对检测结果进行分析。

3.2.2 存储模块

当捕获模块将捕获的信息数据上报到存储模块时,存储模块就会对检测结果和一些有用的数据进行储存,防止重要数据的丢失。

3.2.3 入侵检测模块

当对被捕获的可疑数据和信息进行分析时,入侵检测模块将要发挥作用,对各种信息和数据进行分析,并且要将检测数据的类型和特征上报给系统管理模块。

3.2.4 系统管理模块

系统管理模块在入侵容忍技术的应用中发挥着核心的作用,可以对各个操作进行管理和监控,对不合理的操作和数据进行调整,充分保证军事网络的安全。

4 入侵容忍技术在军事网络中的应用

4.1 面向军事网络服务的入侵容忍系统实现

在军事网络中一些重要的应用程序需要时刻处于工作的状态,当网络系统面临攻击时可以及时的对系统进行维护,保证军事网络安全。例如,在军棋推演中系统中,不同兵力是处于变化状态的,周围的环境以及作战的状态也不是一成不变的,如果在关键时刻系统存在病毒或是遭到攻击就会影响系统的正常运行,因此利用入侵容忍技术可以保证系统的正常工作,不至于造成太大的损失。

该系统需要应用的模块是复制模块、表决模块以及入侵检测模块。其工作流程为当网络系统处于正常工作状态时,用户需要对服务器进行调试,一般情况下能够对系统进行调试说明此网络系统通过了常规的安全检测。当系统进入复制模块时需要对系统进行验证,若检验合法则执行下一步工作,若不合法则需要上报表决管理器,通过表决管理器的分析进入入侵检测模块,最后将数据、信息传输给用户。

4.2 面向军事网络数据的入侵容忍系统实现

军事网络系统中储存着军队的各方面信息,有人员信息、训练信息以及各种管理层的任务信息等,尤其是一些涉密信息,网络系统工作人员应该意识到涉密信息的重要性,充分应用入侵容忍技术,对军事涉密信息进行保护。

用到的模块为常规安全技术模块、服务器组、入侵检测模块、管理控制模块,工作流程为在网络系统正常工作时用户可以对系统储存的涉密文件进行读取,当顺利进入服务器组中不被检测出来时,如果是正常用户则可以继续进行正常操作,但如果被诊断为攻击,当攻击者试图改变数据或是删除数据时,该攻击就会被入侵容忍技术检测出来进行消除,从而保证网络系统的安全性。

5 结束语

军队信息化建设在促进我国信息化建设进程中发挥着重要的作用,网络技术在军事方面的应用给部队的日常生活、军事训练以及军事管理带来了便利,但是在军事网络应用的同时也面临着许多网路安全问题,为消除网络安全隐患,保证军事网络的安全性,可以通过入侵容忍技术对病毒和攻击进行检测、消除,使军事网络系统能够继续提供服务,满足军事领域的需要。

参考文献

[1]吴贤达.基于网络安全的入侵容忍技术[J].科技展望,2014,(13):2-2.

[2]周华,贺文辉,马建锋,等.入侵容忍的计算机网络系统研究[J].计算机工程与应用,2012,48(16):111-116.

入侵容忍技术 篇5

1 多层次入侵容忍数据库安全体系结构

实现容忍入侵的数据库安全体系结构的基本思想是：在系统构件中引入一定的冗余度，包括软件组件和硬件;由于不同的应用服务器运行于不同的操作系统环境中，因此应用程序最好采用多版本的程序设计;利用门限密码技术将信息分布于多个系统构件上，构件之间通过一定的通讯机制建立联系，以实现数据库系统的可生存性及机密数据的安全性;当自适应重配置机制被触发时，开始对系统进行动态调整。

如图1所示，系统由代理服务器(PS)、自适应表决控制结构、异构数据库冗余结构、入侵检测系统(IDS)、事务级容忍等构成。

2 入侵容忍实现

2.1 PS的容忍入侵

在多层次入侵容忍数据库安全体系结构中，PS起着关键的作用，因此也成为外部攻击的重点目标。为了增强PS的攻击能力，可将MPS作为一个动态的虚拟服务器，不固定某一台PS为MPS。对外而言，MPS只表示PS中的一个IP地址，每个PS都设定一个动态的优先级。MPS定期向APS发送消息，APS要对MPS发出的信息及时做出回应。如果在固定时间内MPS没有接受到某个APS的应答，则发出警报信息，显示该APS发生故障。所有APS都能收到MPS所发送的信息，如果在一定时间内没有收到MPS的信息，则从APS中选择一个优先级最高的成为新的MPS。

2.2 异构冗余数据库服务器

异构的冗余数据库的构成可以有三种形式：运行在相同操作系统上的不同类型的数据库;运行在不同操作系统上的同种类型的数据库;运行在不同操作系统上的不同类型的数据库。前两种构成形式的实现较简单，但是抵御攻击的能力较弱，只能分别防范针对DBMS漏洞或OS漏洞的攻击。第三种形式实现复杂，但是可以同时防范针对数据库漏洞和操作系统漏洞的攻击。

建立系统之前，在代理和每个冗余服务器上对目前已知的漏洞都要打上补丁，并通过IDS对它们进行监视。对于一些未知的漏洞，则使用表决的方法来识别。该方法的思想是：同样的输入被送给同一组件，输出也是相同的;如果输出不同，可以认定系统的某一构件发生了错误。

设运行在OS上的数据库系统为A，则从系统的整体性考虑，其受到攻击的可能性由OS的漏洞和DBMS的漏洞两个部分决定。

用户和DBMS之间的交互关系其实就是一个由输入与输出的映射关系构成的集合，用I表示，即：

I={};

在这里，漏洞其实就是I的一个子集，即：

L={|I，为未预期访问的结果}。

则有：

一个使用代理PS的系统，其漏洞可以表示如下：

其中：

L：数据库系统的整体漏洞;

L (PS)：代理应用程序的漏洞;

L (OS)：运行的操作系统的漏洞;

L (DBMS):DBMS的漏洞。

用S来表示该系统，在其中采用了异构的冗余数据库服务器结构，即使用了在不同操作系统上运行不同类型数据库系统的形式。

设有M个代理应用服务器，N种异构数据库服务器。由于在S中使用了表决技术，所以该系统的漏洞可进一步表示为：

其中：psi∈L (PS), osi∈L (OS), dbmsi∈L (DBMS)。

由于系统中的冗余数据库是异构的，即osi≠osj, dbmsi≠dbmsj，所以当表决策略要求所有的数据库返回的结果都相同时(称为严格的一致性表决)，有：

由式4可以看出，使用冗余的机构和结果表决可以实现异构的数据库服务器结构，从而实现系统漏洞的入侵容忍。

2.3 动态自适应重配置

采用自适应重配置策略动态重构系统，就可以使服务不被中断。这一策略实现的根据是表决反馈管理模块与IDS对日志和系统安全检测后送来的警告信息，警告信息触发一个自适应重配置程序。基于入侵触发的内容，该程序在新的环境下自动用一个正确的组件来代替错误的组件，或者用一个足够的或者正确的配置代替不充足的或者不正确的配置。如果一个数据库复制品被攻击并且被污染，可通过备份进行更正。在必要的情况下，还可以改变冗余数据库服务器的工作方式：随着攻击的增加，可以将工作模式由全激活改变为主从模式，为用户提供降级但不中断的服务。

为了更有效、安全地实现控制模块的复制和冗余服务器间的通讯，在复制控制模块内部为每个数据库存储节点设计了一个Agent，通过Agent与存储节点进行通讯。对冗余服务器的工作模式的调整可通过对Agent的机构调整来实现。如图2所示。

在重新配置期间，可以利用降级的服务来获得恢复力，它的恢复时间依赖于恢复机制。系统使用的恢复机制主要有两种：

(1)向前式恢复：如果系统受到的入侵和损失的性质可以被完全准确地获知，那么自适应重配置模块就可以准确定位系统的故障，从而可以通过修改系统的一些内容去除该故障。系统向前推进到一个新的安全状态，继续接受用户的请求。

(2)向后式恢复：系统采用了多冗余服务器的设计，其优点是可以容忍未知的攻击。对于未知的攻击，可以确定系统是否已经受到入侵，但是却无法确切地定位系统的故障。最好的解决思路就是把它恢复到以前未受攻击时的安全状态，即向后式恢复。通过向后式恢复，系统可以恢复到先前的某一安全状态。为了实现向后式恢复，应在日志中保留一些“检查点”，即系统响应、执行用户请求时的一些点，系统可以在以后恢复至这些点。

2.4 事务级入侵容忍

IDS在发现可疑事务后报告给隔离管理模块，隔离管理模块对该事务进行隔离和控制，并将其放入虚拟隔离数据库。在虚拟隔离数据库中，该事务可以继续执行。当该事务被IDS确定为一次恶意攻击后，恢复管理的损害评估会根据日志查找受这一恶意事务影响的其它相关联的事务集，对损害传播进行追踪，接着，再根据损害评估跟踪的结果，沿着跟踪的路线对被修改的对象进行同步的更新。如果该事务最后被确定为一次正常事务，则由恢复管理模块解除并将该事务从虚拟隔离数据库释放出来，即将其执行结果并入各冗余数据库中。

对于一个入侵事务T，恢复管理中的损害修复模块会专门建立一个清除的事务，来清除被T更新的事务。清除一个对象是简单的操作，只是把对象恢复到最近一个没有被损害的版本(比如使用UNDO操作)。

参考文献

[1]Liu P, Jajodia S.Multi-phase Damage Connement in Database Sys-tems for Intrusion Tolerance[A].Proc14th IEEE Computer Securi-ty Foundations Workshop[C].New York:IEEE, 2001.

[2]Ranger G R, Khosla P K, Bakkaloglu M, et al.Survivable Storage Systems[A].In DARPA Information Survivability Conference and Exposition II[C].New York:IEEE Computer Society, 2001.

[3]荆继武, 周天阳.Internet上的入侵容忍服务技术[J].中国科学院研究生院学报, 2001 (2) .

[4]荆继武, 冯登国.一种入侵容忍的CA方案[J].软件学报, 2002 (8) .

入侵容忍技术 篇6

入侵容忍体系构造中一个重要的组成部分就是入侵容忍触发器的构造,即在容忍入侵的条件下如何判断一个入侵行为的发生。目前主要有两种实现方式:(1)将IDS进行改进作为容忍入侵的触发检测机制[2—4],但这种方法对于“自我”缺乏更新性,除此之外,“记忆细胞”的非死亡性,可能会导致触发器的误报率显著增加,并对新的入侵类型容易忽视;(2)以表决的结果作为容忍入侵触发的机制[5],其核心思想是利用冗余和多样性技术进行表决进而判断系统是否受到了攻击,这种方法的最大缺点是会占用大量的空闲资源,而且也会导致很高的误警率。

为此本文将突变原理加入到免疫记忆中提出了一种基于生物免疫突变的入侵容忍触发模型(ANew Instrusion Tolerance Trigger Model Based on Biological Immune and Catastrophe Theory,BICTTM)。主要思想是通过突变原理的势函数和临界点来判别入侵,当有入侵行为发生时由于存在容忍机制故不必马上报警进行处理,而随着攻击行为的深入如果达到了一个临界值或者达到某一条件后再进行报警处理,以此来提升系统抵抗入侵的能力,达到入侵容忍的效果。

2 BICTTM模型

2.1模型框架

自框架图可以看到BICTTM模型由三个部分组成:

(1) 数据预处理。此过程负责收集需要检测对象的相关信息,进行离散化编码,按照一定的编码存放规则生成检测对象。

(2) 免疫检测。其主要是模拟人工免疫系统的否定选择、自体耐受、克隆选择以及细胞记忆等过程,由记忆检测集和成熟检测集对需要检测的对象进行分类,以发现异常数据。

(3) 容忍突变分析。根据容忍机制和容忍强度对入侵的攻击行为进行分析并做出预警或相应的处置措施。

2.2 模型定义

在网络系统中,进程调用各种资源具有相对稳定的行为特征,因此本模型中,以进程对资源的占有、消耗、放弃等行为特征来进行相应的信息处理。

定义1 检测集V是一个四元组:

VS={<(PID,Ppath,Pfile,RV),R>|;

PID∈P,PID,path,file,v,R∈D} (1)

检测集V用来表示服务器系统运行中以及进程对系统资源的使用情况,式(1)中:D={0,1}L,|V|=L,L为自然常数。和生物的免疫系统相类似,本模型的检测对象编码格式也由不变区和可变区组成,在不变区中,PID表示进程编号,Ppath表示进程的路径,Pfile表示文件的使用程度,RV表示进程的资源类型;可变区域由R表示进程资源使用序列构成,其序列长度是可变的。

S∈{normal,unNormal}表示检测集的类型,其中Vnormal表示正常进程及进程的资源使用情况(自体);VunNormal表示异常进程及进程资源的使用情况,且满足如下条件:Vnormal∪VunNormal=V,Vnormal∩VunNormal=ϕ。

定义2 检测因子集ES为一个三元组:

ES={(Bsequence,Ktime,Kn)|Ktime∈N,Kn∈N} (2)

式(2)中:Bsequence为检测因子的检测序列(抗体),其编码格式与V相同,由其完成对检测对象的相似匹配;Ktime为检测因子的生存时间;Kn为匹配计数器。

S∈{ripe,memory}分别表示成熟因子检测集Eripe和记忆检测集Ememory,成熟因子是指不成熟的因子与VS匹配反映发生后,不对VS产生识别的,且在检测VS时未与VS中的检测对象相匹配的检测因子集;记忆检测集Ememory是指成熟检测因子在检测VS时,与检测对象发生匹配且Kn超过阈值的检测因子集。定义如下:

Eripe={x|x∈ES,∀y∈VS,<x.Bsequence,

y>∉F∧x,Kn<η} (3)

Ememory={x|x∈ES,∀y∈VS,<x.Bsequence,

y>∉F∧x,Kn≥η} (4)

它们满足关系:

Eripe∪Ememory=ES,Eripe∩Ememory=Ø,F为匹配集合[4]

F={<x,y>|x,y∈D,f(x,y)=1} (5)

定义3 未成熟检测因子集EunRipe为一个二元组:

EunRipe={(Bsequence,Ktime)|Ktime∈N} (6)

其表示检测器按照系统的检测因子E的编码格式随即生成的且必须经过与VS发生识别反映,用于生成Eripe的检测因子集。

2.3 更新与突变检测算法

2.3.1 检测对象集的自动更新

对象检测集必须实时地检测网络系统中的进程及其占用资源的动态情况,本模型采用和文献[4]相类似的以时间为轴的动态更新方式。

VS的更新过程如下:

$\{\begin{array}{l}V{}_S(t+1)=V{}_S(t)-V^{\prime }{}_S(t)+\Delta V{}_S(t)\\ V^{\prime }{}_S(t)=\{x|x\in V{}_S(t),\exists y\in E{}_S(t),(x,y.B{}_{\text{s}\text{e}\text{q}\text{u}\text{e}\text{n}\text{c}\text{e}})\in F\}\\ \text{Δ}V{}_S(t)=\{x|x\in V{}_S(t),\exists y\in E{}_S(t),(x,y.B{}_{\text{s}\text{e}\text{q}\text{u}\text{e}\text{n}\text{c}\text{e}})\notin F\}\end{array}$

(7)

式(7)中:ΔVS(t)表示在t时段内新增的检测对象集,V′S(t)表示t时段内VS发生了改变且不再属于VS的检测对象。

2.3.2 未成熟检测因子的生成与更新

未成熟检测因子是由检测器自动随机生成的,其中一部分会死亡(如果与VS相匹配),另一部分会在一定的时间内成长为成熟检测因子。EunRipe的更新过程如下:

EunRipe(t+1)=E′unRipe(t)-Eripe′(t)+ΔEunRipe(t)。

E′unRipe(t)={y|∃x∈Eripe(t),y.Bsequence=

x.Bsequence,y.Ktime=x.Ktime+1};

Eripe′(t)={x|x∈Eripe(t),x.Ktime>ε} (8)

式(8)中:E′unRipe(t)表示当前时刻剩余的未成熟检测因子集;Eripe′(t)表示在t时段内变为成熟的检测因子;ΔEunRipe(t)表示在本时段随机生成的未成熟检测因子。

2.3.3 成熟检测因子的动态更新

成熟检测因子的作用是对检测对象VS进行分类识别,当判别某一个对象为VunNormal时即进入到容忍突变检测过程中。

Eripe(t)={x1,x2,…,x|Eripe|}表示t时刻的成熟检测因子集,则其动态的更新过程如下:

Eripe(t+1)=E′ripe(t)+ΔEripe(t)+Er-m(t)+

Em-r(t)-Eripem(t)-Eripeγ(t) (9)

式(9)中:E′ripe(t)表示在t时刻内仍然保持着的成熟检测因子,同时更新其生存周期;ΔEripe(t)表示在t时段内由未成熟检测因子检测而演变来的成熟检测因子;Em-r(t)表示由记忆检测因子降级而来的成熟检测因子;Eripem(t)表示在t时段内转化为记忆检测因子的成熟检测因子集;Er-m(t)表示发生了变化的新的成熟检测因子集;Eripeγ(t)表示在t时段内由于生存周期γ内未与检测对象发生匹配作用的成熟检测因子集。

2.3.4 记忆检测因子的更新

记忆检测因子的作用就是当VunNormal中的对象在此发现时,其可以快速的识别,而且有更长的生命周期,以此来提升检测效率。

假设Ememory(t)={x1,x2,…,x|Ememory|}为t时刻的记忆检测因子集合,其更新方式为:

Ememory(t)=E′memory(t)+ΔEmemory(t)-Em-e(t)-Em-r(t) (10)

各元素意义类同式(9)。

2.3.5 容忍突变检测分析

在本模型中考虑系统已经检测到流量攻击,并处于抵制状态的情况,此时需要判断系统是否仍能够正常运作或者确定报警。

根据突变理论需要依据容忍系统变量间的关系函数来确定突变点,在进程对资源的使用过程中,数据的传输可以看作是一系列数据包的有序传送,动能函数近似等于所有数据包的动能,所以本模型利用动能函数来反应系统的势能,全局势能函数定义如式(11)。

$G={\displaystyle \sum _i\frac{1}{2}}kB{}_i(t)u{}_i^2(t)$ (11)

其中k为标准单位数据包大小系数,则容忍势函数可表示为:

$G={\displaystyle \sum _i\frac{1}{2}}kB{}_i(t)u{}_{i0}^2\left(1+\alpha {}_i\left(\frac{B{}_i(t)}{C{}_i(t)}\right){}^{\beta {}_i}\right){}^{-2}$ (12)

同时局部容忍势函数为:

$F{}_i(B{}_i,C{}_i)=\frac{1}{2}kB{}_i(t)u{}_{i0}^2(1+\alpha {}_i(\frac{B{}_i(t)}{C{}_i(t)}){}^{\beta {}_i}){}^{-2}$ (13)

突变临界点集可由$\frac{\partial F{}_i(B{}_i,C{}_i)}{\partial B{}_i}=0$求得。即:

$\frac{\partial F{}_i(B{}_i,C{}_i)}{\partial B{}_i}=2\alpha {}_i\beta {}_i\left(\frac{B{}_i}{C{}_i}\right){}^{\beta {}_i}-\alpha {}_i\left(\frac{B{}_i}{C{}_i}\right){}^{\beta {}_i}-1=0$ (14)

也即:$\frac{B{}_i}{C{}_i}=\left(\frac{1}{2\alpha {}_i\beta {}_i-\alpha {}_i}\right){}_i^{\beta {}^{-1}}$如果式(14)大于0,则说明相应的突变临界点是稳定的,若式(14)等于0,则为容忍势函数关于数据流量的拐点。

当稳定点与分叉集点重合时,容忍势函数的曲率最大,即系统出现突变后,只要限制数据流量小于或等于稳定点数据流量,就能保证系统的容忍性并提供稳定服务,否则证明系统存在着严重的入侵问题,需要报警或者采取相应的措施。

3 实例分析

为了能够真实地模拟和验证本模型的正确性和效率,本次试验和文献[4]中的处理方式一致,使用常用的标准测试数据集UCI(University of California,Irvine)数据集中的分类验证数据作为样本集。(下载地址http://kdd.ics.uci.edu/summary.data.type.html)。

在实验的过程中,本模型首先按照类别进行分组,形成对象检测集VS,对象集中共有16个属性值,其包括:进程编号,进程路径、进程文件占用量、访问时间、访问的IP地址、CPU占用率、网络流量、网络吞吐量、I/O占用的时间等,其中进程编号为固定的,其余会随之而改变,在进行实验时采用相应的二进制编码,进行相应的处理,得出模型的异常识别率和正常识别率如图2所示。

实例证明,本模型能够对正常的进程进行检测,而且由于对象检测集VS的动态更新,因此具有较高的检测效率,正常检测率在0.9以上,这较以往的模型有很大的优势。例如传统的Dynamics算法的正常检测率最多达到0.86左右。但由于采用的容忍突变机制使得系统的异常检测率有所增加,需要在以后的研究中进一步改进。

参考文献

[1]张鸿志,张玉清.网络可生存性研究进展.计算机工程,2005;31(20)350—355

[2]刘丽,刘传忠,王宏,等.基于诱骗机制的网络容侵模型的设计与实现.计算机工程与设计,2006;27(8):1435—1438

[3]张萍,王健忠.基于教育网格的免疫安全考试系统.计算机应用,2006;26(2):349—351

[4]刘冠.免疫原理在入侵容忍系统中的应用研究.西安建筑科技大学硕士论文,2007

入侵容忍技术 篇7

数据库安全研究的重点在于如何保护数据的机密性、完整性和有效性。传统的数据库安全解决方案所采用的技术主要有防火墙、访问控制、入侵检测、认证、加密等。这些安全技术的主要目的是防御攻击或入侵。但是事实上, 随着系统复杂性和用户数量的增加, 试图对系统的每个细节和用户进行控制变得十分困难, 这些防御措施对于一些恶意攻击有时是无效的。由于用户知识水平的差异, 有些授权用户不能很好地保护自己的户, 使黑客可以获得从系统内部攻击系统的权限。传统的安全方案面对这些威胁显得束手无策。因此, 在防御失败的情况下, 如何保障数据库系统的可生存性就成为数据库安全的一个主要问题。入侵容忍系统的出现, 为解决上述威胁提供了很好的方案。它使系统具有弹性, 能承受一定限度的攻击, 在系统受攻击后仍然可以为合法用户提供不间断的服务。

本文提出一种面向特定服务的入侵容忍方法, 这种方法结合容错方法与安全方法的两个方面的特点, 利用可验证密码方法、一致性协商方法和大数表决等技术实现对入侵故障的检测[1], 同时利用复制和秘密共享等冗余等手段, 在检测到入侵的同时屏蔽入侵对系统功能的影响, 以实现系统中关键功能或服务的安全性和连续性。

1 传统容错方法的不足

入侵可以看作一种蓄意故障, 它将引起系统部件的某种错误, 使系统进入错误状态, 从而引起系统中数据和服务的机密性、完整性以及可用性等安全属性的失效。从本质上讲, 入侵容忍方法对入侵的检测和响应类似于容错系统中对系统故障的诊断与处理。

由于蓄意故障的根源在人, 所以安全威胁具有一定的自适应性, 容错中的故障威胁一般却是偶然的。这是安全问题与容错问题的一个显著区别。容错计算中的许多容错需求可以用概率模型表示, 而安全需求一般是不能用概率模型表示的。直接借用容错系统中的故障诊断方法实现入侵的检测会带来方法与模型上的不可行性,

显然, 造成上述困难的原因在于入侵本身的特性使得它无法与容错模型直接结合。为此可以考虑将处理与诊断的对象由故障转移到故障的结果, 即失效上。无论对于容错领域还是安全领域, 将故障看作原因, 则故障的最终结果都表现为系统失效, 由于失效是用户域功能是否正常的标志, 因此, 可以将检测对象看作黑匣子。如果对象失效, 不管引起失效的原因如何, 都一定可以由检测系统检测出来并加以处理。反之, 不管是否存在入侵, 只要系统没有检测到失效, 则说明系统功能可正常发挥, 即使没有采取任何措施也不会影响系统服务的提供。

作为入侵容忍所要保护的任何系统, 归根结底是要为客户的请求提供相应的服务或数据, 因此, 以服务和数据作为入侵检测方法中的检测对象, 将会使基于失效的检测方法具有现实的可操作性。

表1给出了数据和服务失效的表现形式。其中, 完整性和可用性的失效与否可以通过状态机复制的方法, 使用容错及分布领域中的Byzantine一致性协商和大数表决等方法加以检测。机密性失效与否虽然难以采用常规方法加以检测, 但是在状态机复制方法的基础上, 使用门限密码技术并选用适当的门限值即可保证, 只要状态机复制方法本身有效, 数据的机密性就不会失效。

2 面向特定服务的入侵容忍

面向特定服务应用复制的状态机方法对服务进程及支持该服务的数据进行复制, 可以获得服务级容忍入侵的入侵检测与响应模型。其基本思想就是结合复制冗余、验证密码技术及Byzantina[2]容错及一致性协商、大数表决等技术, 在失效的复制服务进程个数和复制数据集个数不超过预先指定的门限值的情况下, 检测出失效了的服务进程和数据服务器集, 同时屏蔽失效带来的影响, 以保证服务及数据的可能性, 从而向终端用户提供可生存的服务。其中, 复制冗余的作用是在部分系统失效时能够持续提供服务。可验证秘密共享方法的作用是在攻击者成功控制的进程及主机个数不超过门限值时, 检测出并屏蔽失效了的进程及主机, 以在提供服务及数据的机密性和完整性的同时保证服务及系统状态的完整性。大数表决用于保证服务结果能以正确有效的方式传送给终端用户。从这里可以看出, Byzantine容错和一致性协商技术、可验证密码共享技术和大数表决都可用于检测出失效了的服务进程及数据服务器, 这分别对应于服务提供的3个阶段:服务请求、数据处理和服务应答。

显然, 这种方法检测的目标是入侵或故障的结果, 即服务及数据是否失效, 而不是攻击的原因、方法及所采用的技术, 避免了现有入侵检测方法中存在的入侵行为描述、用户/系统行为刻画、海量计算等问题。同时, 在检测出入侵的同时, 还将入侵的检测与响应功能有机地纳入了整个系统的安全体系中, 可期望用于关键性基础设施服务的入侵检测、防范与可生存性保障上。

3 分布式信任模型

在基于复制的状态机的入侵容忍方法中, 维护着复制的服务进程和数据集, 这些复制的服务进程和数据集运行在由有限个数的处理器集组成的服务器组上, 服务器组中的单个的处理器被称作复制主机, 每个主机都有一个唯一的标志符, 假定服务器组中每个主机上只运行一个服务进程和一个数据备份, 所有主机中的数据及进程的初始状态都是相同的, 称系统中要求服务器进程提供的进程或用户为客户, 假定系统中客户的数目是无限的, 客户对服务的请求将引发系统中的每一个主机执行一次活动, 活动定义了系统从当前状态到下一个状态的转换, 下一个状态完全由当前状态和活动所确定, 每个活动中可选的包含有请求部分和更新部分, 活动的更新部分定义了将要对主机所做的修改查询部分返回一个值[3]。

图1给出了容忍入侵的分布式安全服务图, 从图中可以看出, 敏感的服务数据通过秘密共享的方式加以保存。其中, 门限可用性保证了服务数据的可用性, 为了提供全方位的容忍入侵, 除了对服务数据进行复制和共享外, 还需对服务进程复制, 以在某些进程失效的情况下保证服务的连续性和有效性, 从而防止Dos攻击, 与数据的复制相比, 服务的复制要复杂得多, 为了保持各主机间状态的一致性, 各主机上进程间的执行必须是高度相关的。因此, 需要通过数据通信和本地决策进行协商。

可以看出, 在入侵容忍方法中, 由于采用了秘密共享及一致性协商等方法, 即使服务器组遭受入侵, 只要被破坏的主机数目不超过预先指定的门限数目, 总可以被检测出来, 服务器组也总可以向用户提供可信的服务。在传统的基于TCB的方法中, 当攻击者对于某台计算机的入侵成功时, 整个系统的安全性就不复存在。而在入侵容忍方法中, 当安全策略所要求实施保护的主机被成功入侵不超过系统规定的门限值时, 全局系统的安全性仍然保持, 因此也可以防范TCB方法中难以防范的由系统管理员发起的攻击[4]。图2为入侵容忍的分布式模型与传统模型的比较。

4 系统的实现

根据前面模型中的定义, 在入侵容忍的检测与处理环境中, 操作环境是由包含多个主机的服务器所构成的分布式网络组成, 其基本架构如图3所示。图中每个节点上都运行着一个入侵容忍模块, 该模块在操作系统之上运行, 相互间通过分布式网络连通, 用于为上层应用程序提供入侵容忍的入侵检测与处理服务。

可将入侵容忍模块看作是操作系统的安全增强, 通过恰当使用入侵容忍协议, 通用操作系统可转变成容忍入侵的安全操作系统, 从而将入侵的检测与相应纳入到系统的整体防御中来[5]。入侵容忍模块的基本结构如图4所示。基本组成如下:

(1) 控制部件:入侵容忍模块的主要引擎, 负责管理模块中的数据并将进入的消息分发到模块中协议库协议中进行处理。

(2) Byzantine一致性协商与故障检测部件:用于保证所有正确的复制进程间执行相同的操作, 以保证服务及系统状态的完整性和一致性。

(3) 密码原语库:它是基于标准密码库构建的包括分布式加密、签名、Shamir秘密共享方案及其变种等, 是基本执行协议所需的本地功能集。

(4) I/O模块:接收用户请求并送至Byzantine一致性协商与故障检测模块。

(5) 数据库:用于存储支持服务的系统数据集。其中, 非敏感部分以复制的方式在每个主机中存储相同的拷贝, 敏感部分以秘密共享的方式在每个主机中存储一个秘密份额。

(6) 表决器:用于将来自服务器集中各个主机的服务响应进行表决处理。该部件既可嵌入客户进程, 也可放在入侵容忍系统中。

4 结论

本文提出了一种入侵容忍的入侵检测与处理方法, 给出了其系统模型和系统架构并讨论了其中所涉及的一些主要的基本功能模块。分析表明, 采用面向特定服务的状态机复制方法并以服务和数据是否失效作为系统检测的目标, 具有较好的可操作性。这种方法在检测入侵的同时可以屏蔽入侵对系统功能的影响, 且将入侵的检测与影响功能有机地纳入了整个系统的安全体系中, 可用于关键性基础设施服务的入侵检测、防范与可生存性保障上, 有着重要的理论意义与现实意义。

摘要：分析了入侵与故障的区别, 指出在安全领域直接使用容错方法存在模型上的不可行性。提出了一种面向特定服务的入侵容忍方法。这种方法关注的是入侵的结果而不是入侵本身, 即在保证系统功能连续的情况下, 利用门限密码以及大数表决等技术检测入侵的存在, 然后用容错技术重构和恢复受攻击的系统。详细介绍了这种面向特定服务的入侵容忍方法的信任模型, 讨论了系统的初步实现。

关键词：面向服务,入侵容忍,系统失效

参考文献

[1]荆继武, 冯登国.一种入侵容忍的CA方案.软件学报, 2002;13 (8) :1417—1422

[2]韩卫, 百灵.一种安全高效的入侵容忍CA方案.科学技术与工程, 2005;5 (12) :819—823

[3] Feng Dengguo, Xiang Ji.Experiences on intrusion tolerance distribu-ted systems.Computer Software and Applications Conference.Chica-go:The Third International Workshop on Software Cybernetics (IWSC’06) , 2005:270—271

[4]王良民, 马建峰.基于攻击者能力状态的入侵建模方法.系统工程与电子技术, 2005;5 (5) :753—760