摘要
网络系统的入侵容忍是保障网络安全的一个重要环节。现有的入侵容忍研究一般基于传统的容错技术,然而容错和入侵容忍面向的对象并不相同,使得容错技术应用在入侵容忍方面存在很大的困难,尤其针对DoS攻击的容忍技术,已有的研究结果都集中在检测和防御方面。评估网络系统入侵容忍技术的有效性需要量化的安全评价指标,而安全评价指标和信息安全的安全属性一致。但目前信息安全的理论研究尤其是安全属性的可计算性一直没有明确的定义。为此,本文在网络系统的入侵容忍和安全分析方面展开了研究工作。 首先以信息安全理论框架为基础,针对四个安全层面,通过对安全事件的高度抽象,定义了系统在不同安全层面的对象、作用条件、操作函数和安全属性等基本要素,并通过操作算子将这些要素联结在一起,算子用来描述操作序列,表述基本要素之间的不同关系如传递关系、冗余关系等,安全属性则描述了系统运行过程中,不同操作序列带来的安全问题。通过对系统的高度抽象,提出了各个安全层面的基本操作模型,并分别对其安全属性作了分析,提出了计算各个安全属性的概率模型。根据安全属性的内涵分析归纳出信息安全的四个核心属性,即机密性、可鉴别性、可控性和可用性。并论述了信息安全四个层面中相关的入侵容忍技术。 为提高存在入侵时运行安全的可用性属性,研究了网络系统的入侵容忍技术。首先提出一个优化的系统状态转移模型,用以描述具有自我演进能力的入侵容忍系统的动态行为。由于系统状态转移满足马尔可夫特性,故采用SMP模型对系统安全属性进行分析,进而计算出平均安全故障时间MTTSF,系统在不同的工作状态其性能也有差异,将每一状态赋予回报率,系统回报率表示系统的可执行性,累积回报率则表明系统在一段时间内完成任务总量。数值分析及时间参数的敏感度分析结果指出了入侵容忍技术研究的关键点。对于从G状态开始运行的入侵容忍系统,增大{G、R、GD、V}状态的平均保持时间,将在较大范围内提高系统的安全特性及性能,而L状态能够对遭受的攻击进行学习反馈,从而增强系统。 按照系统模型的分析结果表明的研究关键点,研究了对目前网络安全威胁很大的DoS攻击的容忍算法。在对不同种类的DoS分析论述后,发现Syn Flood攻击是最难以解决的。通过对服务器接收网络报文过程建模分析,得出提高服务系统报文处理速度的方法和手段。在详细分析了TCP协议中连接建立过程的基础上,借用科学计算中核外计算的概念,提出了基于核外存储的Syn Flood攻击容忍算法。算法的基本思想是将大多数半连接信息保存在外存上,从而将半连接中最耗费时间的超时时间转变成对外存数据的查找时间,进而提高报文处理速度。由于外存半连接队列可被认为是无限大,因此能够有效地容忍Syn Flood攻击,实验结果表明算法在容忍Syn Flood攻击时具有很好的效果。 在入侵容忍系统模型的指导下,提出了一个自适应入侵容忍系统的体系结构,在节点和系统两个级别上实现了入侵容忍,采用多样化冗余和选举机制来屏蔽及发现冗余部件故障,应用沙盒技术实现攻击的在线诊断等。实验结果表明入侵容忍技术能够构建基于COTS部件的、具有入侵容忍能力的连续服务系统。在此基础上,建立该系统的SRN模型,详细描述了SRN模型中的位置、变迁的含义以及模型对整个系统的抽象刻画,定义了模型中的变迁可实施函数,并根据文献及经验值选取模型参数,使用SPNP工具计算得出系统的各项性能指标并进行分析。分析表明,当系统处于攻击时,入侵容忍技术能够提高系统的安全性能,但并非随冗余服务器数目的增加而线性增长。
NETL