网络生存性研究概述_杨凡.docx

《网络生存性研究概述_杨凡.docx》由会员分享，可在线阅读，更多相关《网络生存性研究概述_杨凡.docx（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 网络生存性研究概述 * 杨凡 S 蒋建春 2，陈松脊 1 (1.中南大学信息工程学院，湖南长沙 410083; 2.中国科学院信息安全工程研究中心， 北京、 100080) 摘 要 ：网 络系洗逐步成为现在社会系统的关健组成部分，许多方面的关健应用越来越依赖于网络系 统的运转，如交通控制和国防信息系统等 .然而这种网络依赖性带来的风险和网络系统所面临入侵、 事故 .失效等的威胁将不仅影响网络系统的本身，而且已扩大到其它的系统领域。主要给出了网络生 存性定义及研究内容，并讨论了提高网络系统生存性的解决方法 . 关键词：网络系统；可生存性；入侵；安全 中图分类号： TP393.01 文献标识码

2、： A 文章编号 ： 1001-3695(2001)06-0012-03 The Research Summarise of Network Survivability YANG Fan1, JIANG Jian-chun2, CHEN Song-qiao1 (The College of Information Engineering, South China University, Changsha Hunan 410083; 2.Engineering Research Center For Information Security Technology, Chinese Academy

3、 of Sciences, Beijing 100Q8Q, China) Abstract: Today, networic systems have become a critical element of modem society,Many critical applications, such as transportation and defence, all depend on network systems, operate. However, theriak of depend on and the threaten of intrusions, accidents and f

4、ailuresnot only impact network systems selves, but also impact others fields. In this paper we introduce the definition of survivability and the requirements for survivable systems. And we also discuss the solve way use to enhance the survivability of network systems. Key words: Network systems; Sur

5、vivability; Intrusion; Safety 0 引言 大约从 20年前起，计算机网络就成为现代社会的 一个关键部分。这些网络不仅遍布全球，而且事实上 已经开始影响人类的各个方面。网络系统己经广泛应 用于工业、商业、政府和国防部门。主要的经济部门， 包括能源、交通、电讯、制造、金融服务、医疗和教 育都依赖于大量的运行在本地、本国和全球范围的网 络。社会普遍依赖网络加大了由入侵、故障以及意外 事件所造成的后果的影响，增强了确保网络生存的重 要性。因此，确保网络的生存也日益受到重视。 1 生存性简介 -1.1 生存性的定义 生存性是指系统在适时模式下，在出现入侵、故 障或意外事件的情

6、况下完成任务的能力 . 生存性的中心思想是即使在入侵成功后，系统的 重要部分遭到损害 或摧毁时，系统依然能够完成任 务，并能即时修复被损坏的服务能力。我们有时会用 术语 “ 可生存的系统 ” 来表示系统在遇到攻击、故障、 收稿日期 ： 2000-09-08 基金项目： 中国科学院软件所青年创新基金资助课题 (cxZK5606) 意外事件是否能完成指定任务的能力。需要注意的一 点是必须生存的是任务而不是系统的某个部分。 1.2 生存性适用的范围：无限网络 一个可生存系统的成功与否依赖于该系统的操作 所处的计算环境。网络计算环境的趋势是向无限网络 基础机构发展。无限网络中没有统一的管理机构控制 它

7、的组成部分。在无限网络中，每个参与者对整体的 看法是不全面的，必须依赖和信任由邻近的参与者提 供的信息，不能在它的范围外行使控制权。 一个无限系统可以由一个网络中的有限系统和无 限系统连接组成。图 1 说明了一个无限域是由一些有限 系统集组成，这些有限集都处于单独的管理控制下。 1.3 生存性的特征 可生存系统的关键特征是在面对攻击、故障、意 外事件时完成基本服务的能力。完成基本服务的核心 是在出现攻击、故障、意外事件时系统保持基本特性 的能力(例如，指定完整性、机密性、性能和其它特 性的程度 )。 为了保持完成基本服务的能力，生存系统必须拥 有表 1 所示的四个关键特性。 表 1 可生存系统

8、的关键要素 关键要素 描述 例子 抵抗攻击 抵抗攻击的策略 用户认证随机的多样性 程序 识别攻击以及 检测攻击（概括入侵）的策 识别入侵使用模式内部 危险的程度 略 了解系统吕前状态，包 括评测危险的程度 完挪检査 在攻击后修复 所有的和基本 的服务 保存报坏信息的策略，限制 危险的程度，在任务运行期 间 维护或保存 (ffi 要的话 ） 基本服务，在条件允许的愦 况下 保存所有的服务 恢复和重新设定数据 改进和发展以 减轻未来攻击 的影响 裉据从入侵中获得的知识改 进系统生存性的策略 加入入侵识别的新棋式 2 生存性的需求定义 生存性需求的定义和分析是实现系统生存的关键 的第一步。生存性需求

9、能够根据系统的范围、危险程 度，以及服务失败和中断所造成的后果来进行改变。 为生存系统定义的需求的种类包括功能、用法、发展、 操作和进展。图 2 描述了定义需求的循环模式。生存 性必须针对的不仅仅是软件功能的需求，还包括了软 件使用、发展、运算和进化的需求。因此，在模式中 包含了有关生存系统五种类型的需求定义。 . 二 . I - 图 2 可生存系统的需求定义 系统 /生存性需求：系统需求是指系统必须提供 的基本用户功能。例如，一个网络管理系统必须提供 允许用户监测网络操作、调节性能参数等功能。系统 需求也包括系统非功能性方面，例如定时、性能和可 靠性。生存性需求是指系统在遇到入侵或损坏的情况

10、 下完成基本任务的能力以及恢复整个服务的能力。 图 3 描述了在节点和网络层中生存性需求和系统 需求的结合。 图 3 将生存性需求和系统霹求结合起来 使用 /入侵需求：可生存系统的测试必须证明基 本服务和非基本服务正确的性能与入侵时的基本服务 的生存性一样好。因为测试 (或操作 )的系统性能完全 依赖于系统的使用，一个生存系统测试的有效方法是 基于使用模式的使用方法。使用模式是由使用需求发 展而来的。使用模式指定使用的环境和系统使用的方 法。基本和非基本服务的使用需求必须与系统和生存 性需求同时定义。此外，入侵者和合法用户必须一视 同仁。指定入侵使用环境和入侵使用方法的入侵需求 也必须定义。在

11、这种方法中，对系统服务的入侵使用 和合法使用都是模式的。 图 4 合法与入侵使用的关系 发展需求：在系统发展和测试工程中生存性对需 求有严格的要求。不适当的功能性和软件错误都能对系 统生存性造成破坏性的影响并为入侵者提供机会。 生存性操作需求： 生存性将请求放在系统操作 和管理的需求上。这些需求包括定义和连接生存性机 制，监视系统使用，报告入侵以及根据需要改善系统功 能以便在使用环境和入侵模式变化时能确保生存性。 生存性演化需求：系统根据用户对新功能的需 求来演化。但是，这种演化也需要对入侵者有关系统行 为和结构的知识作出反应。特别的，生存性要求系统能 力的演化速度快于入侵者的知识。这种快速的

12、演化可 以阻止入侵者为他们的成功入侵积累足够多的知识。 3 生存性结构 系统设计的一个基本方面就是要确保系统足够健 壮使攻击或故障对其造成的影响降到最低。例如，对 系统组件的精心选择将大大降低硬件故障，而对系统 访问适当的限制也将消除某些类型的安全攻击。 实际上，可用于提高生存性的方法是有限的。例 如，考虑到系统的规模，对目前存在的关键系统的软 件全部重写就不太可能；同样，对系统的体系结构作 大的变化也是不现实的。我们实现容忍非局部故障和 提高生存性的方法就是采用 “ 生存性体系结构 ” 。所 谓 “ 生存性体系结构 ” 就是指专门设计用来对付攻击 和故障的系统结构。 3.1 将生存性当作一种

13、控制 当遇到攻击、故障或意外事件时，可生存系统 必 须进行适当地调整以确保基本服务的完成。那么如何 对其进行调整呢？ 生存性结构保持服务的方法是利用关键系统、该 系统的信息系统以及系统运行的环境中的数据通过直 接控制来管理信息系统。基本上，这种控制系统能够 根据系统当前的状况来适时地设置系统配置文件以尽 量降低服务的损失，并确保定义的服务满足生存性需 求。 如图 5 所示，一个给定的系统配置文件支持某些 层次的基本结构服务。具体需要哪个层次的服务是由 系统的所有者决定的，并且这种选择表明了所有者对 服务价值的评价。 3.2 分层适应控制 生存性结构的关键特征是它实现了适应控制，并 且处于分散的

14、、分层的状态。控制系统依据被控制系 统的传感器数据对其进行管理，预测它的行为及其它 信息以维持系统正常的运行。 所谓分散控制系统是控制系统的某部分自动控制 被控制系统的某部分。适应控制系统是指在控制和被 控制系统发生变化时能够不间断地进行控制。分层控 制系统的控制动作是由分层系统的层数决定，低层控 制系统能影响高层控制系 统，反之亦然。 无限网络的规模和分布决定了分层结构的必要性。 很难想象只有一个节点监视整个国家银行系统。实际 上，每个主要的银行都有局部的控制系统，这些系统通 过高层 (如总行 )以及低层 (如分行 )控制系统互相联系。分 层结构通过局部控制以及将整个系统的状态信息在各层 上

15、传下达支持可量测性。这种信息的流动对实现非局部 的重配置是很有必要的。这种结构允许局部的控制节点 根据本地情况和由上层传来的信息进行工作。 3.3 将生存性当作控制的意义 将生存性当作控制有以下几方面的意义： 1) 应用程序重配置 为了保持可生存系统的基本服务的不间断，系统 必须能够重新配置。也就是说，应用必须提供足够富 裕的空间来确保系统重新配置以应付不利的环境。具 体提供多大的适应性由基本服务被中断所造成影响的 大小、系统故障造成中断的程度等决定。另外，这种 -适应性的代价也是需要考虑的 . 2) 适应性设计 对适应性的设计必须考虑到几点问题。尤其是现有 的系统，这些系统在当初设计的时候并

16、没有考虑到适应 性问题，而且这些系统已经非常陈旧、复杂，考虑到资 金和智力上的投资，对它们进行改造往往是不现实的。 一个可能的解决方法是对现有系统的设计 空间进 行透明扩展。在某种意义上，将生存性固化到现有系 统就是首先封装技术扩展 (也许是压缩 )设计空间，然 后对修改的系统进行生存性控制。 3) 安全的生存性机制 通常，抱着优化系统的目的将一个复杂的事物加 到一个复杂的系统中往往会使系统变得更糟。这条规 律同样适用于此：加入一个控制系统的目的是能够动 态地管理、控制系统，但同时它也带来了一个明显的 危险：控制系统成为攻击者最好的目标。也许我们没 有办法来解决这个安全问题，但我们可以使攻击者

17、为 攻击付出巨大的代价。在实际中，我们可以采用一系 列的安全和其它方法来保护 控制系统，如采用多样性 和单向转换。 4 结 束 语 本文介绍了网络生存性的定义，并介绍了生存性的 需求定义，最后讨论了提髙网络生存性的方法一生存性 体系结构。网络的生存是网络安全研究的新方向，其中 的许多关键问题，如关键任务的恢复以及如何提髙系统 自身的抗攻击性，都有待进一步研究与实现。 参考文献： 】 B Boardman, Motwoik Management Solutions Lack Clear LeaderJJ. Network Computing, August 15, 1998, 54-67. 2

18、C Collberg, C Thomborson, D Low. Breaking Abstractions and Unstructuring Data StructuresC. Proceedings: IBE International Conference on Computer Languages, Chicago, May 1998. 3 A Ferrari. Process State Capture and Recovery in High- performance Heterogeneous Distributed Computing SystemsD. Ph.D. Diss

19、ertation. University of Virginia, January, 1998. 4 K Sullivan J Knight, X Du, S Geist. Information Survivability Control SystemsC. Proceedings: 21st International Conference on Software Engineering, IEEE Computer Society Press Los Alamitos, CA, 1999,49-71. 5 P A Porras, P Neumann. EMERALD: Event Mon

20、itoring Enabling Responses to Anomalous Live DisturbancesC. Proceedings: 20th National Information Systems Security Conference, October, 1997,7-10. 6 J Knight M Elder, X Du. Error Recovery in Critical Infrastructure SystemsC. Proceedings: Computer Security, Dependability, and Assurance Workshops 199

21、8, IEEE Computer Society Press, Los Alaxnitos CA, 1999f 49-71. 7 John C Knight, Kevin J Sullivan, Matthew C Elder, Chenxi Wang. Survivability Architectures: Issues and ApproachesC. Proceedings: DARPA Information Survivability Conference & Exposition Volume II of E, January, 2000,25-27. 8 Lipson H, L

22、ongstaff T, Proceedings of the SEI1997 Information Survivability WorkshopC, San Diego, CA, Feb, 12-13, 1997, Los Alamitos, CA: IEEE Computer Society Press, 1997. 9 R C Linger, N R Mead, H F Lipson. Requirements Definition for Survivable Netwoik Systems|ED/OL. http:/www.cmu.edu/. 10 Ellison R J， Fisher D, Linger R C， Lipson H F, Longstaff T, Mead N R. SurvivableNetwoifc Systems: An Emerging Disciplinc(CMU/SEI-97-TR-013)M, Pittsburgh, PA:Soflware Engineering Institute, Carnegie Mellon University, 1997. 作者简介： 杨凡 (1974-,男，中 南大学信息工程学院，硕士研究生，研究 方向为网络安全 .