一种瞬态可生存性评估模型.pdfVIP

2011年 9月 内蒙古大学学报 (自然科学版) Sept． 2011 第42卷第5期 JournalofInnerMongoliaUniversity(NaturalScienceEdition) Vo1．42No．5 文章编号 ：100O一1638(2011)05—0481—07 一 种瞬态可生存性评估模型 黄继鹏 ，江建慧 (同济大学软件学院，上海 201804；同济大学计算机科学与技术系，上海 201804) 摘要 ：深入分析了可生存性的内涵，针对系统在失效环境下的动态行为，从基本服务和及时性 两个角度出发，考虑失效及其失效损失，定量地评价系统的可生存性．所建立的模型采用安全 性数据集进行了验证，结果表明提出的瞬态可生存性评估模型是有效的． 关键词 ：可生存性；可信性；信息安全性；量化评估 中图分类号 ：TP302．7 文献标志码 ：A 引 言 在过去的几十年里，可信性 (dependabi1ity)技术的研究主要集 中在对于信息系统和网络 中物理 故障、差错和失效的处理问题方面，信息安全性 (security)技术的研究主要集中在对于信息的安全防 护策略方面．随着社会信息化的发展，一些基础设施和关键机构，如电力网、传输、电信、医疗、银行等 对网络的依赖程度愈来愈高，这些大规模系统运行于无界网络环境 中，这类网络(尤其是 Internet)既 没有中央集中控制，也无统一的安全策略，任何观察者无论其处于系统 内部还是外部，都仅仅对系统 的结构 、拓扑具有有限的可见性． 建筑在无界网络之上的应用系统不仅受物理故障的影响，还要受到各种各样的网络攻击的影响． 从 20世纪 90年代开始 ，关于可生存性技术 的研究从军事领域转移到了网络和分布式系统领域，试图 解决现代无界网络环境中的故障、攻击及其他意外事故等因素．已有的工作主要归纳为如下几个方 面。：可生存性的定义；确保可生存性的软件模块和体系结构；可生存性评估等．但是迄今为止，可生 存性 的概念也未能得到统一 ，评估方法也很缺乏． 关于可生存性定性评估，比较典型的方法是 由CMUCERT／SEI中心提出的可生存性网络分析 (survivabilitynetworkanalysis，SNA)方法。 ，该方法给出了关于可生存性评估的整个流程 ，它可以 在系统的生命周期、需求分析及体系结构层次展开，最终可以得到一个可生存性图，可以对原来的体 系结构和系统需求提供反馈 ，并能交互式地给出可生存性评估和提高方法．SNA方法可 以通过 四个 步骤进行展开，并提供可生存性评估的一般性过程．SNA方法为后来很多量化的评估模型提供了基 础 ，如文[4]按照SNA方法所要求的步骤对系统进行可生存性评估，并借助了概率风险模型．但是， SNA方法缺乏量化值 ，并不能精确评估可生存性． 关予可生存性的量化评估，文[53考虑对网络分别从服务层、逻辑层、系统层、物理层进行建模和 评估．文[63和 [73主要从网络中节点保持连通的概率人手，并提出期望可生存性、最差可生存性、r 一 可生存性和 O～可生存性概念及相关指标的计算方法．Keshtgary等人首先分析通信网络中失效造成 * 收稿 日期 ：2011一O6—27 基金项 目：国家高技术研究发展计划 (No．2007AA01Z142) 作者简介：黄继鹏(1985一)，男，河南信阳人，硕士．主要从事可信计算研究．E-mail：robinhjp@163．com． 通信作者：江建慧 (1964--)，男，浙江淳安人 ，教授，博士生导师，博士．主要从事可信系统与网络、软件可靠性工 程 、VLSI／SoC测试与容错研究．E-mail：jhjiang@tongji．edu．cr1． 482 内蒙古大学学报(自然科学版) 的额外损失，并分别对单链路失效、多链路失效和节点失效给出了具体讨论 ，然后考虑了通信路径的 影响，给出了可生存性的模型 ．这些工作一般通过网络损失考虑可生存性 ，但是并不能很好地把握 系统的动态行为．对于失效环境下的系统可用性及瞬态状态分析，Liu等人采用 了文[63和[7]中提出 的评估方法 ，考虑了系