（计算机科学与技术专业论文）web服务容忍入侵机制与关键技术的研究.pdf

原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获 得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的 同志对本研究所作的贡献均己在论文中作了明确的说明。 作者签名：壅皇绣日期：型坦年月堡日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权 保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学 位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以 采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息 研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向 社会公众提供信息服务。 作者签名：艇+ 翩乏邀期：业年月堆日 摘要 容忍入侵作为一种新的技术，它为保护网络系统提供了新的方法和思 路，关注的是在攻击不可避免的情况下的系统的生存能力。本论文着重 研究了秘密共享技术在保护数据上的应用，设计了w e b 私钥保护方案。 为了能从冗余的w e b 响应中选择出一个正确的响应，设计了可靠的中值 表决算法。 论文在分析研究通用服务容忍入侵模型的基础上，提出了一种w e b 服务容忍入侵机制，它将入侵检测、冗余、多样性技术运用到系统设计 中，适当增加了系统中的模块，建立了过滤表，保证了机制的容忍入侵 特性。在不影响容忍入侵能力的前提下，仅在代理服务器和w e b 服务器 的设计上引入一定的冗余度，减轻了该机制的负担，降低了维护成本； 在s h a m i r 秘密共享方案的基础上，设计了w e b 私钥保护方案。在参数初 始化过程中，私钥共享者选取私钥分片，并且私钥管理者不向各个私钥 共享者传递任何信息。在私钥恢复过程中，可以及时地验证其它合作的 私钥共享者是否提供了错误的分片影子。此方案有效的保护了w e b 容忍 入侵机制中的w e b 私钥。 论文提出了可靠的中值表决算法，此算法以各个服务器的可靠性为基 础，借鉴了中值表决的思想进行设计。实验表明，可靠的中值表决算法 相比普通大数表决算法表决出正确的响应结果的次数更多，算法的可靠 性和安全性更高，符合该机制的需求。 关键词容忍入侵，冗余，s h a m i r 秘密共享，w e b 私钥，中值表决 a bs t r a c t i n t r u s i o nt o l e r a n c ei san e w t e c h n o l o g yt h a tp r o v i d e san e wm e t h o da n d t h o u g h tf o r t h ep r o t e c t i o no ft h en e t w o r ks y s t e m i tc o n c e r n st h es u r v i v a b ili t y o ft h es y s t e m ，a l t h o u g ht h ea t t a c ki su n a v o i d a b l e t h i sp a p e rf o c u s e so nt h e s e c r e ts h a r i n gi nt h ea p p l i c a t i o no f p r o t e c t i n gd a t a ，d e s i g n i n gw e bp r i v a t ek e y p r o t e c t i o ns c h e m e i no r d e rt os e l e c tac o r r e c tr e s u l tf r o mr e d u n d a n tr e s p o n s e ， ar e l i a b l em e d i a nv o t i n ga l g o r i t h mi sd e s i g n e d a nw e bi n t r u s i o n t o l e r a n tm e c h a n i s mb a s e do nr e s e a r c ho nc o m m o n s e r v i c e si n t r u s i o nt o l e r a n c em o d e li s p r e s e n t e d i ti n c o r p o r a t e si n t r u s i o n d e t e c t i o n ，r e d u n d a n c y , d i v e r s i t yt e c h n o l o g y , a n da p p r o p r i a t e l yi n c r e a s e st h e m o d u l e s ， e s t a b l i s h e st h ef i l t e r t a b l e ， e n s u r i n g i n t r u s i o n t o l e r a n c e c h a r a c t e r i s t i co ft h em e c h a n i s m w i t h o u ta f f e c t i n gt h ei n t r u s i o nt o l e r a n c e c a p a b i l i t yo fs y s t e m ，o n l yt h ep r o x ys e r v e ra n dw 曲s e r v e rw i t hr e d u n d a n t d e s i g n ，r e d u c i n gs y s t e mb u r d e na n dm a i n t e n a n c e 。c o s t s w e bp r i v a t ek e y p r o t e c t i o nm e t h o di sb a s e do nt h es h a m i rs c h e m ei sp r e s e n t e di nt h i sp a p e r i n t h ep a r a m e t e ri n i t i a l i z a t i o np r o c e s s ，t h ep r i v a t ek e ys h a r e rc a nc h o o s es e c r e t s l i c e 1 1 1 e p r i v a t ek e ym a n a g e rd o e s n o tp a s s a n y i n f o r m a t i o nt oa l l p a r t i c i p a n t s i nt h ew 曲p r i v a t ek e yr e c o v e r yp h a s e ，i tc a nv e r i f yw h e t h e rt h e o t h e rp r i v a t ek e ys h a r e r sp r o v i d ei n c o r r e c ts l i c es h a d o w , w h i c hc a ne f f e c t i v e l y p r o t e c t 阢6p r i v a t ek e y ar e l i a b l em e d i a nv o t i n ga l g o r i t h mi sp r e s e n t e d ，t h ea l g o r i t h mi sb a s e do n t h er e l i a b i l i t yo fe a c hs e r v e ra n dr e f e r e n c i n gm e d i a nv o t i n ga l g o r i t h m r e s u l t s h o w st h a tt h i sa l g o r i t h mh a sm a n ya d v a n t a g e st h a no r d i n a r ym a j o r i t yv o t i n g a l g o r i t h m ，s u c ha s m o r ec o r r e c tn u m b e ro f v o t i n gv a l u e ，h i g ha c c u r a c ya n d h i g hr e l i a b i l i t y , m e e t i n gr e q u i r e m e n t so ft h em e c h a n i s m k e yw o r d s i n t r u s i o n - t o l e r a n c e ，r e d u n d a n c y , s h a m i rs e c r e ts h a r i n g ，w _ e b p r i v a t ek e y , m e d i a nv o t i n g h 目录 摘要i a b s t r a c t j i i 第一章绪论l 1 1 研究背景一l 1 2 国内外研究现状2 1 2 1 国外研究现状：。2 1 2 2 国内研究现状4 1 3 本文的工作与组织结构5 第二章容忍入侵理论和实现一7 2 1 容忍入侵理论_ 7 2 1 1 容忍入侵概念j 7 2 1 2 入侵模型。8 2 1 3 容忍入侵技术1 0 2 2 容忍入侵的实现1 l 2 3 本章小结13 第三章w e b 服务容忍入侵机制设计1 4 3 1w e b 服务容忍入侵机制设计的相关问题1 4 3 1 1s i t a r 架构1 4 3 1 2w i t m 设计思路1 5 3 2w i t m 架构及模块介绍：1 6 3 2 1 代理服务器组1 7 3 2 2w e b 服务器组18 3 2 3 自适应重配置模块：1 9 3 2 4 屏蔽识别模块2 0 3 2 5 表决模块：- 2 1 3 3w i t m 的工作过程2 2 3 4w i t m 的容侵性能及架构比较2 3 3 4 1w i t m 的容忍入侵性能分析2 3 3 4 2 架构比较2 4 3 5 本章小结2 6 l 第四章w e b 私钥保护方案的设计。2 7 4 1w e b 私钥保护的相关问题2 7 4 1 1 容忍入侵系统中的数据保护方案2 8 4 1 2w 曲私钥保护方案思路2 9 4 2w e b 私钥保护方案的相关理论3 0 4 2 1s h a m i r 的门限秘密共享方案3 0 4 2 2 可验证的秘密共享方案3l 4 3 基于r s a 的s h a m i r 秘密共享的w e b 私钥保护方案3l 4 3 1 参数初始化阶段3 2 4 3 2 私钥分发阶段3 2 4 3 3 欺骗性行为检测阶段3 3 4 3 4 私钥恢复阶段：3 3 4 4 方案讨论和分析3 4 4 4 1 正确性安全性及容忍入侵性分析3 4 4 4 2 方案推广3 5 4 5 本章小结3 6 第五章可靠的中值表决算法的设计与实现3 7 5 1 表决的概念和分类3 7 5 1 1 表决的概念：3 7 5 1 2 表决算法的分类。3 8 5 2 可靠性的中值表决算法设计4 0 5 3 试验设计及结果分析。4 3 5 3 1 试验设计。4 4 5 3 2 试验结果分析。4 5 5 4 本章小结4 7 第六章总结和展望4 8 6 1 论文总结4 8 6 2 进一步的研究方向4 8 参考文献5 0 致 射。5 7 攻读学位期间主要的研究成果5 9 硕士学位论文 第一章绪论 1 1 研究背景 第一章绪论 随着现代计算机科学技术的发展和计算机在同常生活中的普及，网络进入了人们 生活的各个方面，但是由于网络本身所具有的丌放性、共享性使一些试图破坏网络系 统的入侵者就可能趁机而入，网络安全保护问题就迫在眉睫。网络安全，顾名思义， 就是保证网络的正常运行，使其不受侵害。认证、数据加密、防火墙、入侵检测等常 用的保证网络安全的技术在一定程度上保证了信息的安全性，特别是入侵检测技术在 这方面表现了潜在的优越性。入侵检测系统是通过收集网络中的信息并对这些收集来 的信息进行研究分析而进行检测的工作的，从而发现网络中的非常规的信息，如果发 现系统中有不符合系统正常工作的行为，它就会通过发出警示信号的方式告知该系统 的管理人员。入侵检测技术不是主动的对攻击进行制止，而是一种被动的、消极的防 御技术，在系统遭到攻击者攻击后做出反应，在收集到网络中的信息后，根据本身的 知识库对收集来的信息进行匹配，如果收集来的不符合系统正常工作的行为信息的值 和知识库中的值相符合，就会被认为是攻击口3 。到现在为止，入侵检测技术不能够防 御新的攻击，此技术只能检测以前出现过或者是知识库中以预设好的攻击，并不能阻 止攻击，并存在漏检、误检和延迟性能方面的问题，因此，只能应用此技术进行攻击 的防御口钔。系统在使用传统的安全技术对攻击进行防御失败并且这些技术没有很好 完善的情况下，系统仍然摆脱不了攻击者的攻击，在这种情况下，如何保证合法的用 户可以得到系统的正常服务就成了一个需要关注的问题瞄，。 容忍入侵技术就是在现有的安全技术不能完全使系统处于完全没有威胁的环境 中的情况下产生的，它可以使面临攻击或者是部分组件遭到攻击者破坏的系统仍然可 以为合法的用户提供正常的服务，并且可以保持系统数据继续拥有一些安全属性。容 忍入侵技术假设系统中总是存在着漏洞而且这些漏洞不能完全被修复，入侵者可以通 过这些漏洞对系统实施入侵，并且入侵总是可以成功，从而对系统进行不正当的访问， 实施一些非法的行为嘲。容忍入侵技术对系统进行近乎完美的保护，达到了未雨绸缪 的目的，是网络安全领域的一个福音。 容忍入侵技术被称为网络安全第三代技术，也可以说是最后一代技术，它的思想 是当系统中有入侵的情况发生时可以容忍入侵的存在而不是阻止入侵，当系统中的一 些组件被攻破时，仍然可以为用户提供正常的服务并且保持关键数据完整性、可用性 和保密性。容忍入侵技术是一种综合性的新的技术，融入了多种安全技术和容错技 术哺1 ，主要有冗余技术、表决技术、门限秘密共享技术、多样性技术、群组通信技 硕+ 学位论文 第一章绪论 术等。容忍入侵技术作为一种安全技术关注的是系统被攻击者攻击后对系统所造成的 影响，而不是系统为什么遭受到攻击，主要考虑在网络攻击不能被完全制止的情况下 系统的存活能力嘲。 1 2 国内外研究现状 容忍入侵系统能够保证系统的安全使其在攻击者存在的情况下，依旧能够提供持 续的服务。容忍入侵技术能够很好的保护系统中的关键组件、关键信息和关键服务， 即使在不可能避免入侵的发生并且不容易检测到入侵的情况下。容忍入侵技术是网络 安全发展到一定程度人们对系统生存性要求更高的产物；容忍入侵技术作为网络安全 的一个新的亮点，它的出现无疑会给人类隐形地创造了巨大的财富；容忍入侵技术作 为网络安全的最后一道防线，有着很重要的理论研究价值、实际运用价值和广阔的发 展空间。 大约2 0 年前，一些具有开创性的先辈研究者争辩说容忍入侵是从可靠的计算和 容错技术发展而来。这一时期的显著的成果包括l a p r i e e t a l n 町1 ，d o b s o na n d r a n d e l l d 2 1 ， j o s e p ha n da v i z i e n i s n 3 3 对容忍入侵的研究。1 9 8 5 年，人们第一次接 触到容忍入侵这个术语，它是f r a g a 和p o w e l l 在他们的文章中提出来的，并且这个 术语一直延续使用到今天1 ，1 9 9 0 年后，基于分割一分散的方法被d e s w a r e 、b l a i n 和f a b r e 等人提了出来，一些系统使用这种方法来容忍入侵 i g o 在之后的几年中， 容忍入侵的研究者没有关注容忍入侵技术的整体，只是针对了其中的一个方面进行研 究，容忍入侵的其它方面都没有涉及到，并且也只是对容忍入侵系统中一些协议的研 究，研究的比较分散，没有构成一个统一的体系，容忍入侵技术在那个时期并未得到 许多人的注意。容忍入侵技术是随着一些研究者对o a s i s 和m a f t i a 这两个典型的项 目的研究才逐渐被人们重视起来n n 7 1 。从1 9 9 9 年开始，国际上就有很多的研究者涉 入了这个领域，取得了一定的成绩 1 a o 从那个时候起，容忍入侵这个领域才有更多 的研究者涉入，大范围的发展起来。 1 2 1 国外研究现状 容忍入侵的概念是国外最先提出的，国外的研究者们对容忍入侵技术的研究比较 早，研究的也比较深入，研究的领域也非常的广，获得的研究成果也比较丰厚。国外 学者对容忍入侵系统相关问题的研究工作主要是通过做一些容忍入侵项目进行的，主 要的容忍入侵项目有s i t a r 项目、i t t c 项目、d i t 项目、i t u a 项目、c o c a 系统、m a f t i a 项目等。容忍入侵的各个研究项目都有一定的研究特色，它们的设计思路和考虑的重 点，实现的功能都不尽相同，因此，在容忍入侵的实现技术上也是比较分散的，只是 针对特定的应用 1 9 o 这里主要介绍s i t a r 项目、i t t c 项目和d i t 项目三个典型的项 目。 2 硕士学位论文第一章绪论 1 s i t a r 项目 可扩展的容忍入侵体系( s i t a r ；s c a l a b l ei n t r u s i o nt o l e r a n c ea r c h i t e c t u r e ) 是一个研究通用服务的项目，它是由美国的d u k e 大学和m c n c 组织成功合作的一个范 例 2 0 2 h ，它研发的成功对以后容忍入侵系统结构的研究奠定了一定的基础。s i t a r 方案结合了容错技术实现容忍入侵的目标，从某种意义上来说，它的由来是容错技术， 但是它并不等同于容错技术，是建立在容忍入侵的多种技术的基础上的。文献 2 2 主要介绍了当系统中某些组件由于一定原因被攻击者攻击而出现错误时，系统应用自 身的策略对这些部件进行重新分配，在一定程度上保证了系统服务的正常进行，并且 也着重介绍了这个动态重配置策略设计和实现的过程；文献 2 3 - 2 4 介绍了应用系统 中的表决机制的相关问题，包括如何设计和如何实现，还介绍了完成一个容忍入侵系 统的功能所要采取一系列的措施；文献 2 5 对容忍入侵所要经历的各种状态进行建 模，详细分析了和描述了系统中的对入侵者的攻击进行响应的行为。文献 2 6 运用多 种容忍入侵技术构建容忍入侵系统，这些技术包括入侵检测、冗余、多样性、错误处 理、自适应重配置等d 2 i t t c 项目 基于门限的容忍入侵项目i t t c ( i n t r u s i o nt o l e r a n c et h r e s h o l dc r y p t o g r a p h y ) 主要是为w e b 服务和对c a 签名的保护提供一种方法，它是利用门限秘密共享的技术 来实现的。i t t c 项目非常侧重于保护系统的秘密，当系统遭受到攻击后系统的秘密 也不能被攻击者得到，但是它没有把保护系统服务作为研究的重点。很多容忍入侵系 统中有关对门限秘密共享技术的研究都是围绕i t t c 项目而进行的。文献 2 7 利用了 门限秘密共享技术对w e b 服务容忍入侵系统中的关键数据进行保护；文献 2 8 深入研 究了门限秘密共享技术，为以后在容忍入侵系统中的广泛使用提供了一种方法。其他 文章中还有许多关于门限秘密共享技术的细小问题和实现上的研究，如大型异构网络 容忍入侵系统中秘密保护的实现问题1 ，容忍入侵系统中使用门限秘密共享技术的秘 密分片如何进行分发的问题啪3 ，容忍入侵系统中的一些安全属性的研究口。 3 d i t 项目 可靠的容忍入侵d i t ( d e p e n d a b l ei n t r u s i o nt o l e r a n c e ) ，是针对w e b 服务的 架构，它是s r i 容忍入侵研究组织做的一个项目2 儿3 朝。该项目提倡使用免费的软件， 并且在成本不高的情况下能够增强w e b 服务的可靠性。d i t 项目与s i t a r 项目的设计 思路非常相似，也是对通用服务的保护。文献 3 4 3 5 介绍了容忍入侵系统中的入侵 检测技术，同时详细阐述了自适应容忍入侵服务的架构。 虽然国外许多安全领域的专家、学者和机构对容忍入侵系统进行了广泛而深入的 研究，并且在一定程度上也取得了一些研究成果，但是由于有关容忍入侵系统的各个 项目的设计基本思路、对项目研究的侧重点、容忍入侵的实现技术和实现容忍入侵系 统的目标的不同，因此，对容忍入侵的研究相对来说还是比较分散，没有形成具体的 3 性得到极大的保证m 1 ；普通的大数表决算法虽然具有简单可行，执行速度快的优点， 但是不能提高系统的适应能力，而且容易出错，针对这些问题，提出了自适应大数表 决的容忍入侵系统模型，该模型提高了系统的自适应能力，并且通过实验证明了该模 型中表决算法的优越性，极大适应了系统的需求h8 l ；将古老的拜占庭协议用在了容忍 入侵系统的模型中，分析了该模型的设计原理，对该模型进行详细的设计，并且分析 了各个模块的工作过程n 射。在容忍入侵数据库系统中由于对一些部件采用了冗余的设 计必然提高系统的复杂性，导致系统性能的降低，为了提高容忍入侵数据库系统的性 能，为其设计了动态同步方案和表决算法，使数据库之间的表决和同步问题得到了很 好的解决咖1 。对容忍入侵的数据库系统结构进行设计，详细的分析了各个模块的功能， 并且给出了系统的工作的过程晦。 尽管国内关注容忍入侵领域的专家比较多，但容忍入侵在国内的研究毕竟还处于 初级阶段，研究的范围有一定的局限性，研究的深度也有待提升。许多问题在该领域 中仍未得到很好的解决。例如，在攻击不可避免的网络环境下容忍入侵中自适应重构 模型的设计与实现、基于门限秘密共享技术的w e b 服务的私钥保护方案的设计，对 使用冗余技术的系统所产生的冗余的响应结果进行投票表决的表决算法的设计等都 是非常值得关注的研究方向。w e b 服务是现今使用最频繁的服务，在网络中存在攻击 4 硕士学位论文 第一章绪论 的情况下，对w e b 服务容忍入侵机制的研究具有深远的意义、广阔的发展空间和实际 的运用价值。 1 3 本文的工作与组织结构 容忍入侵技术关注的是在攻击存在的情况下系统的生存能力和攻击者实施攻击 后对系统受到的影响，并不关注系统为什么受到攻击。网络安全技术有着三代的发展 史，每一代的功能都比前一代有所加强。第一代安全技术把保护放在第一位，而第二 代安全技术则是把保障放在首位，第一代和第二代安全技术作为传统的安全技术，它 们的目标是防止非法入侵者的入侵，主要是通过防止系统的脆弱性进行实施，但是系 统中总会存在一定数量的脆弱点，并且依靠传统的技术并不能对系统进行全方位的保 护，特别是对于一些复杂交互的分布式网络系统。容忍入侵技术的出现，无疑是网络 安全领域上的福音，给网络安全带来了宝贵的财富，它能够在系统存在入侵的情况下， 仍然为客户提供所需要的服务，即使是降级的服务。不能将容忍入侵技术看作是绝对 能够保证系统安全的技术，它是一种融合了密码技术、容错技术和其它相关安全方面 的技术，因此，并不能代替前两代网络安全技术，作为网络安全领域的最后一道防护 线，具有广阔的发展空间和研究价值。 本文所做的工作主要有w e b 服务容忍入侵机制架构设计、w e b 私钥保护方案的 设计和w e b 服务容忍入侵系机制中可靠的中值表决算法设计与实现三部分： ( 1 ) w e b 服务容忍入侵机制架构设计。在针对使用w e b 服务的网络系统，设计 了w e b 服务容忍入侵机制的架构。该架构与入侵检测等防护技术相结合，并引入冗 余、多样性和投票表决等多种技术，。提高了该机制的容忍入侵的能力。 ( 2 ) w e b 私钥保护方案设计。针对传统的秘密共享方案中秘密共享者可能提供 错误的秘密分片进行不诚实操作的问题，本文设计了w e b 私钥保护方案，该方案能 够保证w e b 私钥的安全性和秘密性，并在私钥恢复的过程中能够检验私钥的共享者 是否有不诚实的行为。 ( 3 ) w e b 服务容忍入侵机制中可靠的中值表决算法设计与实现。为了从冗余设 计的w e b 服务器组的响应结果中表决出一个正确的响应结果，设计了使用了服务器 的可靠性对输出结果进行衡量的可靠的中值表决算法，表决出的响应结果与w e b 服 务器的可靠性相关。 本文共分为六章，各章的内容如下： 第一章绪论。介绍了容忍入侵技术的研究背景、国内外研究现状和本文的工作 与组织结构。 第二章容忍入侵理论和实现。介绍了容忍入侵的概念、容忍入侵系统要实现的 三个目标、对系统的各种故障进行建模时常用的a v i 故障模型、容忍入侵系统中几 种常用的技术、容忍入侵系统实现的两种方法，入侵响应和攻击掩盖。 硕十学位论文第一章绪论 第三章w e b 服务容忍入侵机制设计。针对现有的容忍入侵系统中的不足，在结 合现有架构优点的基础上，设计了w e b 服务容忍入侵机制( w i t m ) 。首先，给出了 w i t m 的设计目标和思路；然后，设计了机制的架构和主要的功能模块，并且详细介 绍了各个模块的功能，描述了机制的工作过程；最后，进行了架构的比较。 第四章w e b 私钥保护方案的设计。对原有的秘密共享方案进行继承和改进，设 计了w e b 私钥保护方案。介绍了方案的具体实现过程，并且对方案的安全性、正确 性和性能进行了分析，此方案能够验证合作的私钥共享者是否进行了欺骗，能够保证 w e b 服务容忍入侵机制中w e b 私钥的安全性、完整性、可用性。 第五章可靠的中值表决算法设计与实现。提出了可靠的中值表决算法，给出了 该算法的设计思路，以及该算法建立的步骤及其实现。实验表明，本文设计的可靠的 中值表决算法，表决出正确的响应结果的次数更多，算法的可靠性和安全性更高，符 合该机制的需求。 第六章总结和展望。对本文所做全部工作进行总结，并提出了下一步的研究方 向。 硕士学位论文 第二章容忍入侵理论和实现 2 1 容忍入侵理论 第二章容忍入侵理论和实现 容忍入侵的关注点和其他的安全技术不同，它所关注的是攻击者在发起攻击后对 系统功能所造成的影响，而不是系统为什么受到了攻击，在系统遭受攻击的情况下， 能够通过一定的技术掩盖攻击对系统所造成的影响，让系统感觉不到任何异常，并为 用户提供正常的、不间断的服务。容忍入侵技术是建立在一些传统的安全技术的基础 上的，是传统安全技术的延伸。虽然容忍入侵技术与容错技术有些相似，但容忍入侵 技术不是容错技术。计算机的可靠性主要是由容错技术来实现的，当计算机由于一些 问题而出现故障的时候，这些故障可以利用容错技术进行屏蔽，从而保证计算机继续 正常工作，为用户提供正常的服务。容错技术也是建立在冗余技术基础之上，这一点 容忍入侵技术与容错技术相似，但是，容错技术所关注的是系统出现的一些无法预测 的、非正常的故障。容错技术能够保证在系统存在良性错误的情况下，系统能够正常 运行，容忍入侵技术对于任何良性或者是恶意的错误都能保证系统在一定限度内正常 运行。 2 1 1 容忍入侵概念 1 9 8 5 年，f r a g a 和p o w e l l 第一次提出了容忍入侵的概念嘲1 ，随后容忍入侵这个 概念才开始进入一些研究领域。容忍入侵技术作为网络安全的第三代安全技术，远不 同于入侵检测技术，考虑的是系统在攻击不可避免的情况下系统的工作能力。当系统 遭受攻击者攻击的时候，系统依靠自身的技术保证系统的正常运行，为客户提供不受 影响的服务，从而能够满足客户请求服务的需求。容忍入侵技术的根本目标并不是阻 止入侵者的入侵，而是要求系统能够容忍这些入侵者的入侵，容忍入侵系统总是认为 系统中的一些漏洞和脆弱点不能完全被排除，而且可以被入侵者利用从事一些干扰系 统的不正当的活动。 由于攻击者的手段多种多样，并且经常升级和更新，不可能预知所有未知形式的 攻击，而且由于一些原因出现的安全漏洞也不可能被完全杜绝，因此不可能完全抵挡 攻击者的攻击。这就需要容忍入侵系统在被攻击者攻击或者是出现故障的情况下，能 够对系统中出现的问题进行自我诊断，对系统中的一些故障进行修复，并且对系统中 的一些组件进行自适应重构。容忍入侵系统中一般会结合一些传统的防御系统，对系 统进行保护。为了使系统在遭受攻击后仍能为用户提供不问断的服务，容忍入侵系统 采取了冗余、多样性技术，即使入侵者破坏了系统中的一些组件，其它的组件仍然会 7 硕+ 学位论文 第二章容忍入侵理论和实现 为用户服务。容忍入侵系统中的这项技术和容错技术相似，但不完全是容错，它比容 错技术更有力，更能够保证系统为用户提供持续的服务。 2 1 2 入侵模型 一个系统由很多的部件组成，由于系统的这些部件之间的相互协作才能够保证系 统正常工作，系统中的部件的种类越多，系统中的故障的种类就会越多，这些故障的 存在使系统有了不能正常工作的可能。一个系统在开发的过程中，需求的分析人员、 规范的编写人员、设计系统的人员和代码编写人员等不可能对任何问题都考虑的很周 全，支撑系统的底层的软件和硬件方面的出现的不符合常规的问题等都会使系统出现 故障，这些故障都是偶然的故障，可以被软件测试人员测试出来，并且这些故障也比 较容易被消除，它不同于由于攻击者的攻击所产生的系统故障，由攻击者的攻击所产 生的故障是恶意的故障，恶意的故障不能被消除，只能进行预防、阻止和防御。 为了对容忍入侵的机制更为清晰的了解，有着更为深入的认识，用建模的方式展 示了系统中各种各样的故障。常用的经典故障模型是a v i 模型( a t t a c kv u l n e r a b i l i t y i n t r u s i o nm o d e l ) 晦引，如图2 1 所示。 攻击者 。l 尺j l 、1。lnj 物l 1 7 r u 能 1 i ， 图2 1a v i 故障模型 失效 这是2 0 0 1 年在m a f t i a 研究计划阳3 中给出的一个故障模型。模型中故障产生的 原因是由于系统的设计者编码不规范，操作者的错误的操作或者系统本身的问题使系 统中存在一些脆弱点，入侵者会使用一些手段利用这些脆弱点进入系统，对系统进行 一些破坏性的操作。当系统中的一些故障被入侵者唤醒后，系统会出现一些错误，这 些错误使系统不能为用户提供正常的服务，系统处在失效的状态中。系统中的故障在 系统的状态中表现为错误，而错误是在系统不能为用户提供服务时表达为失效。由此 可见，攻击者就是利用了系统中存在的脆弱点进行一些破坏的活动的，如果不采取任 8 硕士学位论文 第二章容忍入侵理论和实现 何阻止攻击者攻击的措施的话，就会导致系统中的某些组件遭到破坏，整个系统就有 不能为用户提供可靠的服务的可能。 从以上分析可知，在攻击发生的情况下，系统被成功入侵的因素主要有内部原因 和外部原因这两种原因。 ( 1 ) 内部原因。系统被入侵的内部原因是由于系统的设计者编码不规范，操作 者的错误的操作或者系统本身的问题使系统中存在一些脆弱点，入侵者通过一定的手 段对这些脆弱点进行分析，找到进入系统的途径，从而可以进入系统对系统进行攻击， 引起系统故障的发生。 ( 2 ) 外部原因。系统被入侵的外部原因是入侵者的攻击，攻击者在入侵系统之 前总会先找出系统中脆弱点，入侵者就是利用这些脆弱点结合使用电子邮件攻击，拒 绝服务，缓冲区溢出等攻击段来实施对系统的攻击。如果系统对入侵行为没有反抗， 就会导致系统中的一些组件遭到破坏，使系统失去应有的功能，以至于使系统处于错 误的状态中，进而引起整个系统失效，从而不能继续为用户提供服务。 为了有效的防止系统失效，对系统中的入侵进行容忍，从而为用户提供不问断的 持续的服务，可以在故障每个的阶段采用相应的技术对故障的各个环节进行阻断。防 止系统失效的模型，如图2 2 。 r j ( n tl i 艘蘑 失效 露 雾 攻击 除寓 入侵 n f 矜t霪 q鐾二 磁 t 一 l l：”鲢j 飞图 、。、融眵 冒 1 唾 i 一一一一一一一 k 移除 【乍者 - - - 叫 蓬 i 图2 2 防止系统失效的模型 可以看出，对系统的失效的阻止分为攻击阻止、入侵阻止和容忍入侵阶段。在攻 击阻止阶段使用预防的手段把入侵者挡在门外。这个阶段主要是通过减少系统的漏 洞，使入侵者没有可乘之机进行实现的。在入侵阻止阶段，通过一些信息过滤、认证、 防火墙、入侵检测等传统的安全技术来阻止入侵。但是，这两种方法也不是解决问题 的最终的办法，不是所有的攻击都是已知的，入侵检测只能检测己知的攻击，对新的 9 硕十学位论文第二章容忍入侵理论和实现 类型的攻击无能为力。为了不使系统处于崩溃状态，防止攻击者破坏活动的进一步发 展，就要对这些入侵进行容忍，从而保证了系统能够为用户继续提供持续的、不间断 的、正常的服务。 2 1 3 容忍入侵技术 下面介绍一下容忍入侵系统中一些常见的技术，为以后构建系统结构做一些理论 上的准备。 1 冗余技术 冗余技术与拷贝技术有着本质的不同，它并不是简单的拷贝，而是要求每个冗余 的组件要有所不同。冗余技术在容忍入侵系统中的占有非常的重要的地位，容忍是靠 冗余进行支撑。冗余技术的基本思想是：当组件受到攻击者攻击而被破坏后，其余的 组件就接管被破坏组件的任务直到那个组件被完全恢复。冗余是确保系统安全的一种 手段，是确保系统进行服务的一种技术，虽然在有攻击者攻击后其它的方法可能已经 失效，但是冗余技术的存在仍然能够保证系统进行正常的工作，冗余技术大大提高了 系统服务的可用性和性能嘶1 。 不应该只看到冗余技术的优点还应该注意冗余技术存在着一些缺点，比如，系统 中使用多的冗余虽然可以减小系统故障发生的可能性，但是也会给系统带来很重的负 担，并且也会大大增加系统的维护和构建的成本，更有甚者会引发一些错误。因此， 冗余技术的使用要适度，根据系统的实际情况进行引入冗余度。 如果在容忍入侵系统中只是采用了冗余技术，假设所有的w e b 服务器只是采用 简单的拷贝并且源w e b 服务器中存在着漏洞，那么由这个w e b 服务器拷贝而来的其 他的w e b 服务器就和这个w e b 服务器具有相同的漏洞。如果源w e b 服务器被攻击者 攻击成功，那么整个w e b 服务器组也会被攻击，整个系统就会彻底崩溃，因此，在 容忍入侵系统中出现了多样性的技术。 2 多样性技术 多样性的使用增强了系统的容忍特性，大大提高了攻击者攻破系统的难度。在容 忍入侵系统中使用了多样性的冗余，而不是纯粹的拷贝技术。多样性的冗余是通过不 相同的实现方法进行实现的，从而使冗余组件相同的漏洞不被攻击者发现嘲1 。主要有 硬件多样性，软件多样性，操作系统多样性这三种多样性，容忍入侵系统中的w e b 服务器组的多样性是采用操作系统的多样性来完成的。 容忍入侵系统中多样性的使用给攻击者攻破系统增加了难度，但是多样性的使用 无疑也增加了系统的复杂性，造成了系统维护上的困难，多样性的使用必然带来了非 常贵的代价。首先，引入了人力的代价，需要有很多完全了解整个系统的管理员进行 系统管理；其次，引入了补漏的代价，随着系统多样性的增加，为系统补漏的工作也 会很复杂；最后，引入了系统使用费用的代价，由于多个版本的使用，系统的费用也 1 0 硕士学位论文第二章容忍入侵理论和实现 会加大。多样性技术在容忍入侵系统中是一种不可缺少的技术，在使用多样性技术的 同时应该认真权衡系统在性能和代价以及预防和容忍之间的关系。 3 表决技术 采用冗余技术提高系统的容忍能力，但是当多个冗余的组件在处理相同请求的时 候会出现多个响应不一致的现象，为了解决这个问题，就出现了投票表决技术。投票 表决技术可以解决冗余响应结果不同的现象，并且根据一定的算法表决出一个正确 的、一致的响应结果。 目前存在的表决算法主要有：大数表决算法，中值表决算法，多元化表决算法， 全体一致表决算法。由于容忍入侵系统结构的安全需求情况要求不同，所采用的表决 算法也不尽相同。 目前广泛应用的是大数表决算法，其基本思想是：在有n 个输入的集合中，若不 少于i ( n + 1 ) 21 个输入满足一致协商，系统会产生一个输出，否则，会产生没有输 出的现象或者是随机的选择一个输出旧1 。 在不超过n i ( n + 1 ) 21 个复制品产生错误的结果，或者是所有的正确结果是一致 的条件下普通大数表决能够正常工作。但是在系统执行过程中往往会出现差强人意的 结果，普通的大数表决算法可能会选择不正确的响应作为输出，如果有至少 i ( 1 1 + 1 ) 21 个错误的响应结果它也认为此结果是正确的，因此这种算法不能够区别一 致正确的响应和一致错误的响应，会出现错误输出的情况。 然而，通常用的表决技术还是大数表决，它是目前被普遍使用、效率高、适应性 最好的方法，也是当前研究的重点所在。 4 入侵检测技术 随着攻击者的技术的不断的更新，攻击行为也是多式多样，出现了很多未知的攻 击，防火墙不能满足一些组织对安全的需求，入侵检测技术是继防火墙的一种安全技 术，它能够在多种网络环境中发挥着重要的作用。入侵检测技术是防火墙之后的第二 道防线，它在对网络中的行为进行监听的过程中并不影响网络性能，对收集来的异常 信息进行分析，从而发现可疑的行为。入侵检测技术在容忍入侵系统中起到了防御的 作用，当发现攻击时，它对管理员发出信号并触发系统中的自适应配置模块对系统中 的组件进行处理。入侵检测系统中有着已经定义好的规则，可以对符合已知的和定义 好的攻击进行有效的抵挡，而对于系统中没有定义的、新类型的攻击，它们往往是无 能为力的，并且入侵检测技术还存在一些性能上的问题，因此，只能作为容忍入侵系 统的一个极有意义的、有效的补充。 2 2 容忍入侵的实现 容忍入侵技术作为第三代的安全技术，虽然不能够取代入侵检测技术和其他的安 全技术，但是从保护系统的角度来讲，容忍入侵技术是其他安全技术很好的一个补充， 硕十学位论文 第二章容忍入侵理论和实现 成为了网络安全保护的最后一道防线。既然容忍入侵技术是保证系统生存性的一种技 术，那么一个好的容忍入侵系统应达到预防和阻止入侵、自动恢复和保护机密数据这 三个目标： ( 1 ) 预防和阻止入侵。在网络入侵如此泛滥的情况下，要保证一个系统能够为 用户请求提供正常的服务，就要使该系统具有预防和阻止入侵的能力。预防和阻止入 侵只是一种手段，而不是最终的目的，容忍入侵系统的最终的目的是即使系统遭受了 入侵也能够为用户提供可靠的服务。防火墙一定程度上保证了内部网络系统的安全， 认证、加密技术也是限制入侵者非法进入网络的一种手段。入侵检测系统可以对网络 中的异常的行为进行检测，及时地发现攻击者的攻击，避免了系统不必要的损失。容 忍入侵系统中一般会融合这些网络安全技术对入侵进行预防和阻止。 ( 2 ) 自动恢复。如果系统