生存性定义的研究.docVIP

生存性定义的研究 　　中图分类号：TP3 文献标识码：B 文章编号：1002－6908（2007）0520106－02 　　 　　可生存性反映了网络的整体性能，是网络研究的一个基本目标，与传统网络安全的研究既有联系又有区别。网络安全的研究工作主要经历了三个阶段[1]：第一阶段，防止入侵，如防火墙、加密、认证等技术；第二阶段，入侵监测，如IDS、PKI等；第三阶段，容侵容错，是指在系统受到攻击和破坏后系统自我恢复的能力。第三个阶段也是可生存性研究阶段，即主要考虑如何使网络在受到攻击和破坏后仍能恢复，并确保基本服务的实现。由于它脱胎于对以往的性能、安全等方面的研究，因此与之既有联系又有区别。下面就相关概念以及什么是生存性进行介绍。 　　 　　一、相关概念 　　 　　安全是基于系统局部组件安全性的增强，从预防的角度保护网络，使之正常的运行。而生存性是指某系统的构件遭到攻击而损坏，但仍能保证所执行的任务按照预期完成，我们就说它的安全策略失败了，生存策略却是成功的。下面就生存性与容错性、可靠性的区别加以阐述。 　　 　　（一）容错性 　　容错性是保证系统可生存性的一个重要手段，指的是在故障存在的情况下计算机系统不失效，仍然能够正常工作的特性，它主要针对随机发生的自然故障，使用概率模型来描述。一般不包括用户的恶意攻击行为，而生存性面对的是各种各样的事件，它更强调系统在面对故障时可以提供可替代的服务或预先定义的不同性能的服务，以及关注故障出现后系统服务的恢复能力。 　　 　　（二）可靠性 　　可靠性是指系统提供能被用户信任的服务的能力，它基于系统的内部结构，强调阻止系统遭遇的各故障的发生，假设各故障之间是相互独立的。而生存性强调系统在不同环境下能提供不同形式的服务，且每个服务在不同条件下都有它自身的可靠性，同时生存性考虑到了故障的关联，以及故障发生后的恢复，使得系统在面对故障时仍能保持继续服务。 　　 　　二、生存性定义 　　 　　从生存性与传统安全等相关概念之间的区别与联系可以看出生存性是在原来基础上进行的更深一步的研究。总的有两种：描述性定义和形式化定义。 　　 　　（一）描述性定义 　　目前大多数生存性研究中只给出了描述性定义。现有生存性的定义有很多版本，但应用较多的是Ellison[2，3]给出的生存性定义：生存性是指系统在遭受攻击、故障和偶然事故时还能及时完成其任务的能力。此定义涉及到了若干概念，如攻击事件、基本服务以及实时性等。其中定义的任务是用户对系统作为一个整体提出的更高层次的要求；及时性是对系统完成任务的时间的要求，不同的服务有不同的时间标准；攻击指的是人为的精心实施的恶意的行为，故障是指因为系统本身的缺陷或依赖外部因素造成的事件，偶然事故指的是广义上随机出现的系统内部、外部具有破坏性的事件。对于生存性的定义需要根据上下文确定，文献[4]指出生存性是指在遭受攻击、故障或意外事故时，系统能够及时地完成其基本任务的能力。 　　描述性定义虽然指出了生存性的本质，但缺乏相应判定系统生存性的具体性能指标。形式化定义相对的则能够更加准确严谨地给出生存性的要求。 　　 　　（二）形式化定义 　　形式化定义从各个方面对生存性进行详细的描述，杨超，马建峰[5]在Knight的基础上利用一个8元组SURV={S,V,F,f1,E,f2,T,P}描述了系统的可生存性。其中，S指系统提供的必要服务类型的非空有穷集；V是系统环境因素变量集；F是系统环境因素变量的所有可能取值集；f1是产生式的非空有穷集，f1(x)：V→F；E是系统多个环境因素不同取值的各种可能组合；f2是产生式的非空有穷集；f2(x)：S*E→Z+；T是系统在各种实际环境状态下其必要服务的所有可能转换，TS*S*E；P为产生式非空有穷集P(x)：S*E→{p∈R|0p1}。 　　 　　（三）基于系统状态的生存性定义 　　因为系统的生存性是它本身的一种属性，虽然随着环境的变化系统会采取不同的可生存策略，在分析的过程中不仅涉及到系统自身结构，还涉及到还涉及运行环境，但是起决定作用的还是系统自身的属性，于是可知系统的生存性是自身固有的一种性质，不会因环境的变化而变化，因此我们基于系统，从以下几个方面定义系统生存性： 　　（1）系统服务：系统提供的服务分为基本服务和非基本服务，所谓基本服务是指在系统遭受攻击、失效或事故时仍然必须提供的服务。非基本服务是指在系统面临入侵或受损时，为保证基本服务的持续，系统可以暂时挂起或停止的服务[1]。 　　（2）服务组件：系统的执行需要相应的软、硬件为载体，它是服务实现的基本条件。组件与服务之间有一定的对应关系，因此可以通过测试组件的运行情况来分析服务的实现。这里涉及到环境对系统服务执行的影响。