（计算机应用技术专业论文）应对网络入侵的研究——入侵容忍模型构建与量化分析.pdf

摘要 入侵容忍是以生存为目的的第三代信息安全技术的核心，也是近几年信息安全领域 研究的热点。与防火墙、入侵检测等传统信息安全技术不同，入侵容忍关注的不是入侵 产生的原因，而是入侵对系统的影响。入侵容忍的研究目标是系统受到入侵时，甚至组 件或者子系统已经崩溃或者被入侵者控制，系统仍具有维持整个系统关键信息和服务完 整性、保密性和可用性的能力。 本文针对现有入侵容忍系统模型未考虑系统自恢复能力、自适应性差和没有考虑系 统响应时间的不足进行了改进，构建了一种分布式自适应入侵容忍系统模型。通过对入 侵容忍系统的数据完整性、保密性和系统响应速度的定量分析，提出了响应度的新概念， 从而完善了入侵容忍度的概念。新模型具有自恢复能力，较强的自适应性，并能提供持 续的可靠服务。通过分析模型和模拟实验，得到了各评价指标( 完整度、响应度、保密 度和入侵容忍度) 与各因素( 服务器数量、数据备份数目、门限值等) 之间的联系。仿 真结果表明，与目前的入侵容忍模型相比，新模型具有更好的入侵容忍能力。 本文随后针对上一个模型未使用表决技术，提出了一种基于表决的分布式自适应入 侵容忍模型。在对该模型进行量化分析和仿真的过程中，发现了信息隐藏共享算法与表 决技术相互作用所造成的三种情况，详细分析了在这三种情况下，表决技术对入侵容忍 模型的完整度、保密度和入侵容忍度的影响，以及这些情况下各因素与完整度、保密度 和入侵容忍度之间相互作用关系。实验结果表明，与上一个模型相比较，本模型具有更 好的完整度、保密度和入侵容忍度。最后，从服务器的工作模式和入侵容忍度的构成两 个角度分析了本模型和上一个模型之间的区别，指出了两个模型各自的优缺点，并分析 了造成这些优缺点的原因，为根据客观情况选取合适的模型提供了理论依据。 关键词：入侵容忍；入侵容忍模型；自恢复；自适应；量化分析；响应度；入侵 容忍度； a b s t r a c t i n t r u s i o nt o l e r a n c ei st h ec o r eo ft h et h i r dg e n e r a t i o no fi n f o r m a t i o ns e c u r i t yt e c h n o l o g y f o rt h ep u r p o s eo fs u r v i v a l ，a l s oi nr e c e n ty e a r sah o tr e s e a r c hf i e l do fi n f o r m a t i o ns e c u r i t y d i f f c r e n tf r o mf i r e w a l l ，i n t r u s i o nd e t e c t i o na n ds oo n , w h a ti n t r u s i o nt o l e r a n c ec o n c e r n si sn o t t h ec a u s eo ft h ei n v a s i o n ，b u tt h ei m p a c to ft h ei n v a s i o no nt h es y s t e m t h er e s e a r c hg o a lo f i n t r u s i o nt o l e r a n c ei sw h e nt h es y s t e mh a sb e e ni n v a d e d o re v e nc o m p o n e n to rs u b s y s t e mh a s c o l l a p s e do rb e e nc o n t r o l l e db ya ni n t r u d e r , t h es y s t e mr e m a i n st h ec a p a c i t yt om a i n t a i n c r i t i c a li n f o r m a t i o na n ds e r v i c e so ft h ew h o l es y s t e mi n t e g r i t y , c o n f i d e n t i a l i t ya n da v a i l a b i l i t y b e c a u s et h ee x i s t i n gi n t r u s i o nt o l e r a n ts y s t e mm o d e lh a sp o o ra d a p t a b i l i t y , a n dd o e sn o t c o n s i d e rs e l f - r e c o v e r yc a p a b i l i t ya n dr e s p o n s et i m e ，ad i s t r i b u t e da d a p t i v ei n t r u s i o nt o l e r a n t m o d e lw i mr e c o v e r ya n da d a p t i v ec h a r a c t e r i s t i c si sp r o p o s e di nt h i sp a p e r t h ec o n c e p t i o no f r e s p o n s ed e g r e ei sp r o p o s e da n dt h ec o n c e p to fi n t r u s i o nt o l e r a n c ed e g r e e ( i t d ) i sp e r f e c t e d t h r o u g hq u a n t i t a t i v e l ya n a l y z i n gi n t r u s i o nt o l e r a n ts y s t e md a t ai n t e g r i t y , d a t ac o n f i d e n t i a l i t y a n ds y s t e mr e s p o n s es p e e d t h en e wm o d e lh a ss e l f - r e c o v e r ya b i l i t y , s t r o n ga d a p t a b i l i t y , a n d c a np r o v i d ec o n t i n u o u sa n dr e l i a b l es e r v i c e r e l a t i o n s h i p sb e t w e e nt h ee v a l u a t i o ni n d i c a t o r s ( s u c ha si n t e g r i t yd e g r e e ，r e s p o n s ed e g r e e ，s e c u r i t yd e g r e ea n di n t r u s i o n t o l e r a n c ed e g r e e ) a n d t h ef a c t o r s ( s u c ha st h en u m b e ro fs e r v e r s ，d a t ab a c k u pn u m b e r ，t h r e s h o l dn u m b e r ，e t c ) h a v e b c c ng o r e nb ya n a l y z i n gt h em o d e la n ds i m u l a t i n ge x p e r i m e n t s s i m u l a t i o nr e s u l t ss h o wt h a t c o m p a r e dw i t ht h ec u r r e n ti n t r u s i o nt o l e r a n c em o d e l t h en e wm o d e lh a sb e t t e ri n t r u s i o n b e c a u s el a s tm o d e ld o e sn o tu s et h ev o t i n gt e c h n o l o g y , ad i s t r i b u t e da d a p t i v ei n t r u s i o n t o l e r a n tm o d e l b a s e dv o t i n g 、析t 1 1r e c o v e r ya n da d a p t i v ec h a r a c t e r i s t i c si sp r o p o s e di nt h er e a r s e c t i o n i nt h ep r o c e s so ft h eq u a n t i t a t i v ea n a l y s i so ft h em o d e la n ds i m u l a t i o n , t h r e ec a s e s c a u s e db yi n t e r a c t i o no ft h r e s h o l ds c h e m ea n dv o t i n gt e c h n o l o g yh a v eb e e nf o u n d 。刀抡 i m p a c to ft h ev o t i n gt e c h n o l o g yo nt h ee v a l u a t i o ni n d i c a t o r s ( s u c ha si n t e g r i t yd e g r e e ， r e s p o n s ed e g r e e ，s e c u r i t yd e g r e ea n di n t r u s i o nt o l e r a n c ed e g r e e ) o fm o d e la n dr e l a t i o n s h i p s b e t w e e nt h ee v a l u a t i o ni n d i c a t o r sa n dt h ef a c t o r sh a v eb e e na n a l y z e di nd e t a i li nt h e s et h r e e c a s e s e x p e r i m e n t a lr e s u l t ss h o wt h a tc o m p a r e dw i t hl a s tm o d e l ，t h i sm o d e lh a sb e t t e r i n t e g r i t yd e g r e e ，s e c u r i t yd e g r e ea n di n t r u s i o nt o l e r a n c ed e g r e e f i n a l l y , d i f f e r e n c eb e t w e e n t h i sm o d e la n dl a s tm o d e lh a sb c c na n a l y z e df r o mt h ep e r s p e c t i v e so f b o t ht h eo p e r a t i n gm o d e o fs e r v e r sa n dt h e c o m p o s i t i o n o fi n t r u s i o nt o l e r a n c e d e g r e e t h ea d v a n t a g e sa n d d i s a d v a n t a g e so fe a c ho ft h et w om o d e l sh a v eb e e np o i n t e do u t t h e s er e a s o n sw h i c hc a u s e t h ea d v a n t a g e sa n dd i s a d v a n t a g e sh a v eb e e na n a l y z e d 廿l a tp r o v i d e sat h e o r e t i c a lb a s i sf o r s e l e c t i n gt h ea p p r o p r i a t em o d e la c c o r d i n gt oo b j e c t i v ec o n d i t i o n s k e y w o r d s ：i n t r u s i o nt o l e r a n c e ；i n t r u s i o nt o l e r a n tm o d e l ；r e c o v e r y ；a d a p t i v e ；q u a n t i t a t i v e a n a l y s i s ；r e s p o n s ed e g r e e ；i n t r u s i o nt o l e r a n td e g r e e ； 目录 目录 摘要i a b s t r a c t i i 第一章绪论1 1 1 课题研究背景及意义1 1 2 国内外研究工作3 1 2 1 国外研究工作3 1 2 2 国内研究工作5 1 3 论文的主要创新点及组织结构6 第二章入侵容忍相关理论8 2 1 入侵容忍概念8 2 2 入侵容忍的基础理论。8 2 2 1 系统故障模型8 2 2 2 待解决的问题1 0 2 2 3 入侵的风险10 2 2 4 能否将风险降为零11 2 2 5 信任与可信任1 2 2 2 6 对入侵者的思维和能力进行建模1 4 2 - 3 入侵容忍系统架构1 6 2 3 1 安全且容错的通讯1 6 2 3 2 基于软件的入侵容忍1 6 2 3 3 基于硬件的入侵容忍1 7 2 3 4 审计和入侵容忍。17 2 4 本章小结18 第三章入侵容忍相关技术19 3 1 常见的入侵容忍技术1 9 3 2 入侵容忍的触发机制2 1 3 3 入侵容忍系统分类2 2 3 3 1 按服务器的工作模式分类2 2 3 3 2 按入侵容忍体系结构的设计思路进行分类。2 3 3 4 本章小结2 3 第四章一种分布式自适应入侵容忍系统模型及定量分析2 4 4 1 引言2 4 4 2 目前的入侵容忍系统模型2 4 4 3 改进后的分布式自适应系统模型。2 5 4 3 1 分布式概念2 5 目录 4 3 2 自适应概念。2 5 4 3 3 模型介绍。2 5 4 3 4 模型假设一2 6 4 3 5 模型状态图2 7 4 3 6 符号说明2 7 4 3 7 模型分析2 8 4 4 仿真结果与分析2 9 4 4 1 模型简化2 9 4 4 2 仿真结果与分析3 0 4 5 模型实际应用分析：3 3 4 6 本章小结3 4 第五章基于表决的分布式自适应入侵容忍模型及量化分析3 5 5 1 引言3 5 5 2 表决概念与数学理论3 5 5 2 1 表决的概念3 5 5 2 1 表决的数学理论3 6 5 3 一种新的基于表决的入侵容忍系统模型3 6 5 3 1 模型介绍3 6 5 3 2 模型假设一3 7 5 3 3 符号说明3 8 5 3 4 模型分析3 8 5 4 仿真结果与分析3 9 5 4 1 模型简化：3 9 5 4 2 仿真结果与分析一4 2 5 5 与第四章模型的区别4 5 5 5 1 按服务器的工作模式4 5 5 5 2 按入侵容忍度的构成4 6 5 6 本章小结：4 6 第六章总结与展望4 7 致谢4 9 参考文献5 0 附录：作者在攻读硕士学位期间发表的论文5 4 第一章绪论 第一章绪论 1 1 课题研究背景及意义 安全是一项基本的人权概念，但在信息时代它变得更加难以确定和执行。在原始社 会，安全仅限于确保该集团成员的安全和保护物质资源，例如食品和水，但现在它还包 括信息资源。在现代通讯技术发明以前，信息安全是控制一些仅限于口头或书面交流的 物理访问。信息安全的重要性导致人们一直希望设计出最新的方式来保护他们的信息。 例如，罗马帝国的军队把敏感的信息写在羊皮纸上，阅读完以后就把它溶解在水里。军 事历史提供了另一个体现信息安全的重要性的例子。据透露，二战期间盟军破译了德国 和日本的密码，这为盟军在以后的战争中获得了巨大的信息优势。随着信息技术例如网 络的发展，人们可以在世界各地以最廉价的成本和最快捷的方式轻松地获得大量的数 据。然而由于网络的最初设计只是为了联通各个孤立的端点，并没有过多考虑安全性， 以及网络的开发性要求它可以连接各种各样的端点，因此联接到网络的端点很容易被别 人攻击，网络上传输的信息也很有可能被非法的传输，存储，复制，操纵和破坏。 般情况下，完整性、保密性、可用性被认为是信息安全的三个基本要素： ( 1 ) 完整性：完整性是指信息不能在未经授权的情况下被修改或者被破坏。这与 数据库中的参照完整性是不一样的概念。信息的完整性被破坏可以表现为：雇员意外或 恶意删除重要的数据文件；电脑病毒感染了存储信息的计算机，雇员在工资数据库修改 他自己的工资；一个未经授权的用户破坏某个网站；某人在某个网络投票中投中的票数 非常大等等。 ( 2 ) 保密性：保密性是防止信息被未经授权的个人或系统所窃取，或者即使被窃 取也无法理解该信息的真正含义。例如，信用卡交易需要在互联网上的信用卡号码传 送到从买者到卖者，再从卖者到一个事务处理系统。该系统试图通过加密在传输过程 中保密信用卡号码，限制它可能会出现的地方( 例如数据库，日志文件，备份，打印的 收据等) ，并且限制可能进入的存放场所。如果未经授权的一方以任何方式取得卡号， 则违反信息安全的保密性。 ( 3 ) 可用性：又称“有效性”j 可用性是指当信息被需要时，它们是可用的。这意 味着用于存储和处理信息的计算机系统，用于保护信息的安全机制和用于访问信息的通 信渠道都必须正常运行。高可用性系统的目标就是一直保持可用，即使在停电，硬件故 障，系统升级等情况下也不会中断服务。确保信息的可用性也涉及到防止拒绝服务攻击。 当然出了这些基本要素外，在一些特殊领域还有一些其他要素，例如：真实性：保 证所提供的信息或者服务是真实的，不是伪造的，这在分布式应用中是非常重要的。不 可抵赖性：在法律上，不可抵赖性意味着一个人必须履行其合同义务。即通过建立有效 的责任机制，防止用户否认其操作过的行为，这一点在电子商务中是极其重要的。可审 查性：即可以对出现的信息安全问题提供调查的依据和方法。对于信息安全的领域这是 非常重要的。可控制性：对信息的传播及内容本身具有控制能力，这在信息安全领域也 是非常重要的。 ， 江南大学硕士学位论文 为了保证信息的安全和共享，人们提出了许多跟信息安全相关的措施、策略和技术。 按照所基于的技术和理念，可以划分为如下三代。 第一代：以隔绝入侵为目的的保护技术 这种技术是通过阻隔入侵来保护系统。其理念基于这样的假设：即可以明确地划分 各种边界，通过在边界上设置一道道无形的“墙 来阻隔非法活动。例如：通过加密来 保证信息不被非法查看：通过防火墙来关闭不需要的端口；通过存取控制和权限管理使 信息不被恶意修改或者披露；通过设置口令来阻止非授权用户的登录；通过等级划分来 保证敏感数据的保密性。这些技术的基本原理是保护和隔离，以此来达到合适的数据只 被合法的用户操作，从而达到数据的完整、保密、可用和不可抵赖等安全目的。 这些技术解决了当时大部分与信息安全有关的问题，但随着网络的发展，特别是随 着i n t c m e t 的普及，网络越来越复杂，信息系统的分布性越来越高，攻击手段越来越多， 防堵的边界越来越宽，边界的确定越来越模糊，控制也越来越难，这使得以防御入侵为 主的第一代信息安全技术越来越难以保护信息的安全。 第二代：以入侵检测为主的信息保障技术【5 】 由于第一代以防御入侵为主的信息保护技术并不能解决所有信息安全问题，因此人 们迫切希望有一种新的技术来解决第一代信息技术解决不了的问题。在第一代安全技术 的年代，人们通过各种边界控制来堵住系统原有的缺口，但这些保护措施并不是无懈可 击的，特别是当系统的复杂性非常高的时候。因此人们设想如果挡不住入侵，那么在系 统被入侵的时候发现入侵，并阻止入侵或者减少入侵造成的危害也已经接受的。于是出 现了第二代安全技术一以入侵检测为主的信息保障技术。 第二代安全技术的核心是入侵检测技术。入侵检测技术弥补了第一代信息保护技术 的不足，它可以为内外网进行实时的监控。它不仅能检测到外网的入侵，也能监控到内 网中的非法操作。在第二代安全技术中，由于所有的响应都基于入侵检测，因此入侵检测 能否快速准确发现入侵是第二代安全技术的关键。 入侵检测系统所采用的技术可分为特征检灏l j ( s i g n a t u r e b a s e dd e t e c t i o n ) 与异常检测 ( a n o m a l yd e t e c t i o n ) 两种。特征检测的原理是把各种已有的入侵定义成各种模式，通过 检测的检测对象的活动模式是否与入侵模式相匹配，若匹配，则发现入侵。这种技术的 优点是能够快速发现已经定义好的入侵类型。缺点是它只能发现已有的并且已经定义好 的入侵类型，对新的或者还没有定义的入侵类型则无能为力。 异常检测的原理是建立检测对象的正常活动的“活动状态记录”，将检测对象的当 前活动状态与“活动状态记录 相比较，若违反统计规律，则认为该检测对象处于异常 状态，即该对象受到入侵。这种技术的缺点是难于建立合适的“活动状态记录”以及设计 一个好的统计算法使不把正常的行为当作入侵或者不忽略正确的入侵。 第三代：以入侵容忍为主的生存技术 这种技术是以提高系统的可生存能力为最终目的的。卡耐基梅隆研究中心 ( c e r t c c ) 定义的”可生存能力”就是系统在攻击( a t t a c k s ) ，故障( f a i l u r e s ) 和突发事 故( a c c i d e n t s ) 发生的情况下，仍能及时地履行其使命的能力。攻击是指由一个具有智 2 第一章绪论 能的对手采取一系列操作获得非法授权访问的行为。攻击可以是入侵，扫描和拒绝服务。 故障是指由于系统本身的缺陷或者影响系统的外部因素引起的灾难事件。故障可以包括 软件本身的缺陷，硬件损坏，人为误操作以及不完整或者错误的数据。突发事故是指随机 发生的灾难事件，例如自然灾害等。 卡耐基梅隆的研究中心c e r t c c 在研究可生存性时，指出可生存能力包括三个方 面：防御( r e s i s t a n c e ) 、识另u ( r e c o g n i f i o n ) 、恢复( r e c o v e r y ) ( 简称3 r 【u 】) 。防御就是能够 抵御攻击的能力。识别就是检测入侵以及识别系统当前状态的能力，其中包括评估入侵 造成的程度。恢复就是当攻击时能恢复关键服务，攻击结束后恢复所有服务的能力。 入侵容忍，也称容忍入侵( 简称为“容侵”) 技术。由于入侵容忍是生存技术中最重 要的技术，所以入侵容忍也被称为第三代信息安全技术。该技术假设系统中的任意单点 都是不完全可信的，因此要求系统中任何单点的失效、故障或者被入侵者控制都不会影 响整个系统的关键服务的运行。入侵容忍承认系统在一定程度上是脆弱的，承认系统的 组件或子系统很有可能被入侵，甚至这些入侵是成功的。入侵容忍的要求是即使这样， 整个系统仍是安全的，仍能提供关键的服务。即通过分散权力以及在技术上对单点失效 的预防，保证任何单点、局部网络失效或者被入侵都不会影响整个系统的正常运行和系 统内部的信息安全。所以，入侵容忍不仅能够预防外界入侵，而且同样能够有效地制止 内部非法操作。 目前入侵容忍技术的研究虽然并不成熟，但它所基于的假设前提( 即系统的组件或 者子系统是不可信的) 非常符合实际情况，因此入侵容忍技术已展示出非常广阔的发展 前景。随着相关科技的不断发展，相信研究人员必定可以从硬件组件、系统结构、网络 协议、应用方案等层次上提供新的入侵容忍技术，入侵容忍也会在信息安全领域里产生 越来越重要的作用。 1 2 国内外研究工作 1 2 1 国外研究工作 在国外，入侵容忍技术早就被许多重要研究机构所重视了。入侵容忍概念早在1 9 8 5 年就由f r a g a 和p o w e l l 所提出【2 0 】；在1 9 9 1 年，d e s w a r t e 和b l m n 等开发了一个具有入 侵容忍功能的分布式计算系统阮3 7 1 ，但对其进行详细的研究则还是1 9 9 9 年以后才开始 的【3 0 】。 1 美国：d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y 国防部高级研究计划 署) 计划署在入侵容忍方面的研究有i n t r u s i o nt o l e r a n ts y s t e mp r o g r a m 项目 ( 19 9 9 - 2 0 0 2 ) 、o a s i s ( t h eo r g a n i c a l l ya s s u r e d a n ds u r v i v a b l ei n f o r m a t i o ns y s t e m s ) p r o g r a m l l 2 项i 三t ( 1 9 9 9 - 2 0 0 3 ) 、o a s i sd e m v a l ( d e m o n s t r a t i o na n dv a l i d a t i o n ) p r o g r a m 项目 ( 2 0 0 2 - - 2 0 0 4 ) 。 美国国防部认为新技术的有效和快速的创新与应用对国家安全来说是至关重要的。 这需要将有前途的新技术早日引入到研究所、实验室、基础设施和军事环境去进行研究、 江南大学硕士学位论文 实验、应用和评估。随着网络技术的进步和各国相关技术的日益复杂，为了保护美国的 信息控制权，d a r p a 将信息保障和生存联系在一起，目的是大力发展信息保障和生存 技术( i n f o r m a t i o na s s u r a n c ea n ds u r v i v a b i l i t y ，简称i a & s ) 。美国国防部希望通过推进这 些技术研究、发展和应用来保障和统治本国以及盟国紧密集成的信息。为了达到这个目 的，d a r p a 希望拥有一些有效并且高效的与信息保障以及生存相关的防御策略、架构 和机制。入侵容忍系统项目计划( i t s ) 就是这些重大计划中的一个。后来美国d a r p a 的 信息技术办公室( i n f o r m a t i o np r o c e s s i n gt e c h n i q u e so f f i c e ，简称i p t o ) 将入侵容忍的研究 归并到”组织保障和生存信息系统”( o a s i s ) 计划中，同时对o a s i s 也进行单独立项资助。 o a s i s 计划的目的就是能够提供防御复杂入侵的能力，在受到无论是已知的还是未知的 网络攻击、故障和突发事件情况下，都能持续地提供关键功能的服务。在这个计划中， 入侵容忍受到相当的关注。o a s i s 的目标是：( 1 ) 体现入侵容忍机制的成本效益的特征； ( 2 ) 使用具有潜在缺陷的部件来构建入侵容忍系统；( 3 ) 设计评估验证方法来评估入 侵容忍机制。 o a s i s 资助了大概3 0 个左右的项目，其中的一些比较著名的项目有： ( 1 ) s i t a r 项目 1 3 - m 】 s i t a r ( s c a l a b l ei n t r u s i o nt o l e r a n t a r c h i t e c t u r e ，可扩展入侵容忍体系结构) 是美国的 m c n c ( m i c r o e l e c t r o n i c sc e n t e ro f n o r t hc a r o l i n a ) 和美国d u k e 大学联合研究的容忍入 侵安全技术项目。 s i t a r 项目的目标是：1 ) 设计、实现一个基于潜在缺陷的c o t s ( c o m m e r c i a lo f f t h e s h e l f , 即向公众销售的已经成型的商用产品) 部件的入侵容忍系统的架构并且评估它。 2 ) 开发一种能够构造高可用性系统的技术，例如无论是否在受到攻击的境况下都能保 持一定可以让人接受的服务水平。 s i t a r 以代理服务器作为前端，使用具有潜在威胁的c o t s 作为系统的部件，通 过冗余的c o t s 产生冗余结果来进行表决，表决结果依赖于整个系统的生存状态。同时 开发系统架构模型，为系统状态变化和系统如何才是处于正常状态提供理论依据。因此， s i t a r 是一个经典的入侵容忍系统，但它也有一个突出的缺点，即该系统架构在设计上 过于依赖组件的冗余，结构非常复杂，很难真正实现。 ( 2 ) i t u a 项目【1 6 】 该项目由d a r p a 资助，项目全称为i n t r u s i o nt o l e r a n c eb yu n p r e d i c t a b i l i t ya n d a d a p t a t i o n 。其设计理念就是利用不可预测和自适应性来设计一个入侵容忍系统。目的 在于设计和开发一种可以通过冗余、自适应和不确定等方式来使分布式系统具有入侵容 忍能力的中间件机制，以及能够体现系统从资源到应用都入侵容忍的多模式冗余机制。 其关键的技术策略是无单点故障、冗余、不确定、自适应、合理的降级。其入侵容忍主 要体现系统的设计和构成、中间件以及应用对象。在主要i t u a 体系架构由安全域所组 成，安全域抽象出边界的概念，对攻击者来说要想跨越边界是困难的。i t u a 中的自适 应由q u o 中间件管理，组通信在整体工具包中作为入侵容忍层来实现。i t u a 缺点在于 它不能防御未定义的入侵且没有关注系统的保密性等安全属性。 4 第一章绪论 ( 3 ) c o c a 项目1 2 9 1 c o c a 是c o m e l l 大学f r e ds c h n e i d e r 等人研发的一个为局域网和i n t e m e t 提供容错 和安全的在线认证服务的授权系统。项目全称为c o m e l lo nl i n ec e r t i f i c a t i o na u t h o r i t y 。 该系统采用b y z a n t i n e 协议技术和秘密共享方法，通过使用服务器复件来实现系统的可 用性及入侵容忍。它所产生的证书用一个门限加密算法进行签名。该系统能够容忍 b y z a n t i n e 故障。另外，该机构还开发出了强健的秘密数据分布服务c o d e x 。 ( 4 ) d i t 项目 该项目由s k ii n t e r n a t i o n a l 的a l f o n s ov a l d e s 等人研发的一种自适应的入侵容忍服务 器架构。项目全称为d e p e n d a b l ei n t r u s i o nt o l e r a n c e 。该项目主要目的是设计一个基于入 侵检测的入侵容忍服务器系统。该系统以具有入侵容忍功能的代理为前端，以冗余的服 务器为后盾，根据检测到的攻击水平进行表决控制和冗余度操作。它的研究目标是在使 用免费软件的前提下，设计出一个可以提供高可靠性服务的系统。 除此之外，还有i t t c 项卧1 5 1 、h a c q i t 1 7 1 、i t d b t l 8 】等项目也取得了一些的研究成 果。 2 欧洲：i s t ( i n f o r m a t i o ns o c i e t yt e c h n o l o g i e s ) 该技术中心在入侵容忍方面的研究主要包括m a t f i a ( m a l i c i o u s a n da c c i d e n t a l - f a u l tt o l e r a n c ef o ri n t e m e ta p p l i c a t i o n s ) 项目( 2 0 0 0 - - 2 0 0 2 ) uw 。 m a f t i a 是欧盟2 0 0 0 年1 月启动的为期3 年的研究项目，m a f t i a 目标是系统地 研究构建大规模可靠的分布式应用程序的容忍范式，。它是第一个探索了利用容错技术来 构建基于互联网应用的入侵容忍系统的项目。该项目的主要创新是提出了一个能够容忍 偶然错误、恶意攻击( 包括由外部黑客攻击或者内部人员发起的) 的全面研究办法。该 项目使用了多种容错技术、分布式技术和安全策略来实现入侵容忍。其工作重点是在三 个主要领域【5 6 1 ：( 1 ) m a f t i a 的概念模型和架构：提供一个框架，该框架保证了在面对 广泛的故障和攻击的情况下分布式应用程序的可靠性。主要工作是对入侵容忍概念核心 集合的定义及展开。其他相关工作包括同步性和拓扑定义，入侵检测概念的建立， m a f t i a 节点体系架构的定义。( 2 ) 机制和协议的设计：设计了m a f t i a 中间件和协 议，以便实现大规模可靠应用。异步协议包，包括可靠原子以及因果多播都被定义。对 于基于时控模型的协议也进行了研究工作，这个时控模型主要基于一个创新概念，即虫 孔概念。这个时控模型给组件提供了一个方法来获得一些简单的特权功能以及用于组件 间通信的信道。( 3 ) 严格界定了m a f t i a 中提出的核心概念和验证评估可靠中间件的 应用效果。主要工作是开发了针对相关系统安全的新的模型，并且协议也采用c s p ( c o m m u n i c a t i n gs e q u e n t i a lp r o c e s s e s ) 和f d r ( f a i l u r ed i v e r g e n c er e f i n e m e n t ) 进行模 型化。 1 2 2 国内研究工作 国内在入侵容忍方面的研究相对于国外比较晚，大约从1 9 9 9 年开始，研究的内容 比较零散，而且大多数研究停留在理论阶段。但目前已经有许多专家和学者认识到了入 侵容忍技术对于信息安全技术发展的重要性。比较有代表的：如信息安全国家重点实验 5 江南大学硕士学位论文 室的荆继武，冯登国等人提出的入侵容忍c a 系统1 2 1 , 2 2 1 。它从门限密码学的思路出发， 利用密钥的拆分来保证私钥安全和签名安全。当有少数设备被敌人占领时，私钥不会泄 露，证书和c r l 的签发服务照常进行。华东理工大学赵福通，郭卫斌提出了把动态密 码和入侵容忍技术结合起来的方案，该方案可以较好地解决用户密码被攻破以及认证服 务器被入侵或破坏所带来的安全问题【2 3 1 。华中科技大学的赵峰，金海等人提出了一种面 向虚拟计算环境的入侵容忍方法，该方法能够有效预测虚拟计算环境下的异常入侵，并 能较好地容忍虚拟计算环境下的复杂性错误【2 4 】。武汉大学的崔竞松等人提出了一种并行 容忍入侵系统研究模型i r c 模型【2 5 1 ，从入侵行为对系统的资源和控制所造成的影响的 角度建立了模型并给出了实例分析；在哈尔滨工业大学的方滨兴教授等人负责的国家十 五预研基金项目( 4 1 3 1 5 1 7 1 3 ) 的研究中：殷丽华和方滨兴提出一个优化的系统状态转移模 型，用以描述具有自我演进能力的入侵容忍系统的动态行为，并提高了对攻击行为的描 述能力，以该模型为基础，建立s m p 模型并对系统安全属性及可执行性进行定量分析， 得出入侵容忍技术研究的关键点1 2 j 。殷丽华等人提出一种可以在节点和系统两个级别上 实现入侵容忍的自适应入侵容忍系统，并使用了攻击在线诊断及重定向技术，增强系统 抵抗攻击的能力【2 6 】。在西安电子科技大学，王超和马建蜂等人对三种类型的入侵容忍系 统，即资源冗余、完全信息冗余和部分信息冗余的入侵容忍系统，采用随机p e t r i 网模 型对这些系统的服务进行了可用性分析【2 刀；郭渊博和马建峰等人给出了基于秘密共享方 法分别提出了高效的容忍入侵会议密钥分配方案 3 1 , 3 2 】和容忍入侵的认证与授权方案 3 3 , 3 4 ，设计了一种多重驱动的容忍入侵自适应安全通信模型【3 5 1 。该通讯模型能够根据系 统当前安全态势及系统资源状态和系统配置变化、用户使用偏好等因素，自适应地调整每 个会话的安全策略，增加系统的不可预测性，并实现性能和系统容忍入侵能力等方面的最 佳折衷。在东南大学，王良民、马建峰等人提出了一种基于再生技术的入侵容忍拓扑控 制方法【4 6 j ，该方法被证明可以生成具有较强入侵容忍能力的拓扑结构，同时将不断进入 部署区域的新增节点视为网络的可更新资源，以一代代再生网络的方式补充网络的可用 能量以延长网络的生存期。尽管目前国内有许多专家和学者关注入侵容忍领域，而且越 来越重视，但研究的深度和广度还有所欠缺，研究的内容较分散，没有形成系统的理论。 在通用的入侵容忍的模型的自适应性、效率和安全性，以及具体的入侵容忍技术的模型 的设计和量化分析都很少涉及。 1 3 论文的主要创新点及组织结构 本文共分六章( 含本章) 分别是绪论( 第一章) 、入侵容忍相关理论( 第二章) 、入 侵容忍相关技术( 第三章) 、一种分布式自适应入侵容忍系统模型及定量分析( 第四章) 、 基于表决的分布式自适应入侵容忍模型及量化分析( 第五章) 、总结与展望( 第六章) 。 本文的主要创新点如下： ( 1 ) 本文针对目前入侵容忍领域中对分布式自适应的入侵容忍系统模型研究的不 足，构建了一种分布式自适应入侵容忍系统模型，提出了响应度的新概念，完善了入侵 容忍度( i t d ) 的概念，分析了和总结了该模型中各因素对其入侵容忍能力的影响，为 6 第一章绪论 实际应用中如何提高系统的入侵容忍能力提供了理论基础。最后，将该模型与以往模型 比较，实验结果表明该模型具有更好的入侵容忍能力。 ( 2 ) 针对上一个模型并未涉及到所有的入侵容忍技术，本文又提出了一种基于表决 的分布式自适应入侵容忍系统模