chap14计算机网络系统的可生存性B.ppt

CH14 ：计算机网络系统的可生存性 内容： 一、可生存性的定义及其它； 二、可生存网络系统的体系结； 三、可生存性的形式化描述； 四、可生存性的定量评估。 定义： 1. 武器系统； 2. 通信系统； 3. 基于计算机的网络系统： ? Neumann, et al. ：在任意的不利条件下，基于 计算机通信系统的应用所具有的持续满足用户 需求的能力； ? Ellison, et al. ：在出现攻击、故障和意外事件的 情况下，网络系统所具有的及时完成任务的能 力。 一、可生存性的定义及其它 与相关研究的关系： ? 可依赖性 (Dependability) ? 安全性 (Security) ? 容错 (Fault-tolerant) 、容忍入侵 (Intrusion-tolerant) ? …… 一、可生存性的定义及其它 可依赖性和安全性的属性分解 一、可生存性的定义及其它 可依赖性 可用性 可靠性 保险性 可维护性 完整性 机密性 不可否认性 安全性 可生存性 可靠性 性能 失败模式 容错 实时 性能 非实时 性能 可用性 优先考虑 的性能 完整性 统一 可用性 Y Y Y Y MLI：多级完整性 MLS：多级安全性 MLA：多级可用性 X： 共享组件的可生存性 Y： 具体属性 安全性 可用性 MLA X 统一 可用性 Y 完整性 机密性 MLI 系统 完整性 数据 完整性 MLS X X Y Y 可生存性属性分解 一、可生存性的定义及其它 容错与容忍入侵 ： ? 故障和入侵一样导致系统的服务被破坏，而容错 理论并不是针对攻击专门设计； ? 并不是所有攻击都表现为信息和系统的破坏，例 如篡改数据等，只要这种攻击本身不构成一种显 式的错误，容错就无法解决这些问题； ? 故障错误可能是随机发生的，而攻击却是有预谋 地利用了系统的弱点和漏洞，这比随机错误更难 预防； ? 容错中常用的备份技术使得攻击者的攻击点从一 台主机变成多台主机，这不仅不能增强系统中敏 感数据的安全性，相反倒增加了攻击成功的机会。 一、可生存性的定义及其它 可生存系统的特性： ? 抵御 ? 识别 ? 恢复 ? 适应与进化 一、可生存性的定义及其它 可生存系统的特性： ? 抵御 ? 识别 可生存 ? 恢复 ? 适应与进化 一、可生存性的定义及其它 二、可生存网络系统的体系结构 已有的研究： ? Neumann 等人基于 监视 — 分析 — 响应 的思想， 开发了分布式可扩展的恶意行为追踪工具 EMERALD ，初步实现对网络系统的监视、 入侵隔离和自动响应； ? Knight 等人对控制环的各个组件都进行了细 化，设计并实现了一个可生存网络系统的原 型系统 Willow 。 EMERALD 采用分层的方法，由相互协作的分布式监 视器实现对整个网络系统的监视。监视器接口从目标相 关的事件流中提取监视信息发送给分析引擎（基于统计 异常的检测引擎和基于特征推理的特征引擎），目标相 关的事件流包括审计数据、网络数据报、 SNMP 通信、 应用日志以及其他的 IDS 信息等等；分析引擎的分析结 果经过 EMERALD 裁决器协调并产生响应策略；监视器 的核心是资源对象，而资源对象是目标相关的可挂配置 数据和方法以便监视器根据具体的目标进行动态配置。 EMERALD 的监视器之间存在相互协作，分析引擎之 间相互交流监视信息；裁决器除了接受监视器自身的分 析引擎的分析结果外，也接收其他监视器的分析引擎产 生 的 分 析 结 果 ； 监 视 器 之 间 共 享 应 对 策 略 等 等 。 EMERALD 的核心是多个相互协作的分布式监视器，由 这些监视器实现对整个网络系统的监视、入侵隔离和自 动响应，即实现网络系统的可生存性。 二、可生存网络系统的体系结构（ EMERALD ） 第三方 安全模块 (结果处理器) 第三方 安全模块 (分析引擎) 第三方 安全模块 (事件记录器) 监视接口 监视接口 (外部结果关联) 监视接口 (结果分发) 监视边界 裁决器 (对策单元) 监视接口 监视接口 检测引擎 (统计异常 检测单元) 特征引擎 (基于特征 推理单元) 目标相关 的资源对象 (可插拔 配置库) 目标相关的事件流 监视接口 (事件报告) 监视接口 (事件报告) (事件报告) 二、可生存网络系统的体系结构（ EMERALD ） Willow 的实现细节：每个应用节点都分布很多传感器， 这些传感器收集应用节点的安全相关的异常信息，通过 Willow 的底层通信系统 —— Siena 发送到管理员工作台。 管理员工作台对收集到的信息进行综合并分析处理，向 需要重配置的应用节点发出重配置命令，由分布于应用 节点的节点库 (Field Dock) 执行重配置。 Willow 的控制有主动式控