一种网络信息系统的生存能力的仿真判定方法

专利名称：一种网络信息系统的生存能力的仿真判定方法
一种网络信息系统的生存能力的仿真判定方法
(一) 技术领域 本发明涉及的是一种网络安全的分析判定方法。
(二)
背景技术：
随着计算机和网络的快速发展和广泛应用，关系到社会正常运作的大部分基 础设施是由计算机和网络来组成和控制的，而信息系统(Information System, IS) 又在其中扮演着十分重要的角色，因此信息系统的安全和可靠性直接影响到电力 系统、金融系统等关键基础设施的运行。生存性研究是目前国内外网络安全技术 发展的一个新方向，它是指在遭受攻击、故障或意外事故时，信息系统依然能够 及时地完成关键任务的能力。在生存性研究中重要的基础性工作是形式化的建模 技术，通过规范的形式化语言对系统工作流程进行精确的描述和分析，建模的最 终目的是为了对系统的存活能力进行定量或定性的分析。
目前这方面的研究处于起步阶段，现有的大部分建模方法仅能够应用于局部 网络或特定系统。如ICSE2001[C]. Toronto, 2001. 307-317.中刊登的Survivability analysis of networked systems[A]，将系统网络结构中的节点都用一个有限状态机 来表示，综合利用模型检査、贝叶斯分析以及概率系统等数学方法进行定性和定 量分析；4th Information Survivability Workshop(2001 /2002).中刊登的Survivability assessment: modeling dependencies in information systems,提出每一个系统月艮务由
一些不同影响权重的关键规格来描述其生存性的；对每个关键规格通过不同优先 级的方法来实现，每个方法由若干组件提供的服务组成，这样整个系统的生存性
就可以通过各个组件的生存性来表示；Semantic foundations for survivable system analysis and design. Proceedings of the International Conference on Dependable Systems and Networks, Goteberg, Sweden, 2001.7中提出一个FSQ框架来对复杂系 统进行生存性建模，通过利用流、服务和质量属性3个方面的描述来评估和管理 系统生存性；A definition for information system survivability [A]. Proceeding of the 37th Hawaii International Conference on System Sciences (HICSS，04)[C]. 2004. 2086-2096中从系统面临威胁时提供最小级别的服务能力角度出发，给出了一个
生存性定义的形式化模板；On the definition of survivability[EB/OL]. http:Vwww.cs.virginia.edu/-jck/recentpapers.httnl, 2000中给出了一种生存性的六元 组描述，但却没有给出系统生存性的实现泛型；Static vs dynamic recovery models for survivable distributed systems[A] Proceedings of the 37th International Conference on System Sciences[C]. Washington, USA， 2004中引入UML语言思想对生存性进 行了形式化描述；A generalized model for network survivability [A]. Proceedings of the 2003 Conference on Diversity in Computing(TAPIA，03)[C]. Atlanta, Georgia, USA, 2003.47-51引入半马尔科夫链对生存性形式化建模。上面几个典型的形式 化方法大部分属于概念性的表述，如果没有大量后续工作的展开，是难以在生存 性的定性、定量分析中得到应用。由于SPN具有较强的系统描述能力，能够细 致的刻画系统并发和冲突情况且具有很好的扩展性，可对系统性能进行定量和定 性分析，因此已被逐步广泛应用于网络安全分析中。
发明内容
本发明的目的在于提供一种采用随机Petri网对信息系统生存能力进行形式 化建模与分析的一种网络信息系统的生存能力的仿真判定方法。 本发明的目的是这样实现的
1) 建立系统的工作流模型，它描述了理想无失效发生时系统的结构和性能 的情况；
2) 对可能出现失效的资源建立失效模型和容错模型，用它来描述组件失效 的过程及失效后的反应；
3) 将前面的两者相结合建立信息系统生存性模型，它描述了在一个特定的 网络环境中某些资源失效后对整个系统所带来的影响；
4) 采用模拟的方法在合成模型中注入安全事件，具体包括组件的失效率、 入侵事件对组件的影响，以及组件可生存属性；
5) 通过对SPN中可达状态信息的统计，计算信息系统服务生存性参数，对信 息系统生存能力进行评估。
所述的建立系统的工作流模型1)按照系统对服务的处理步骤和方法，确 定组件的类别和数量；2)预测用户访问系统的频率和其所能容忍处理服务时间； 3)根据前两个步骤的结果，确定从服务请求开始到结束过程中的SPN变迁过程
以及可达状态。
所述的建立失效模型和容错模型是1)确定构成系统组件的体系结构，即 采用串联、并联、冷热备份等；2)确定构成系统中每个组件的基本属性，包括: 失效率和修复率；3)根据前两个步骤的结果，确定完成服务所必须的每一组组 件的"失效一恢复"模型。
所述的建立可生存属性模型是l)确定可生存属性种类，包括抵抗能力、 识别能力、恢复能力、适应能力；2)确定具有可生存属性的组件的"失效一恢 复"过程；3)利用SPN建模工具，构造可生存的组件"失效一恢复"模型。
所述的安全事件注入方法是1)确定安全事件的影响范围，具体指事件所 影响的组件数目以及其在系统体系结构中的部署位置；2)确定安全事件的影响 程度，具体指其对组件失效率的影响程度；3)在安全事件发生时间范围内，动 态更改组件的失效率属性，仿真事件发生。
本发明是基于如下问题而设计的
1) 基于ECPS的信息系统形式化描述方法
由于网络安全尤其是可生存技术研究需要在遭受对网络的攻击和破坏的情 况下来体现和检验，难以在真实环境中进行测试，尤其是对于互联网等大型网络。 而且管理和技术因素使研究者难以自由配置网络条件、预期网络行为，因此需要 对真实网络进行抽象以便建立不同抽象粒度的网络模型。
目前还没有一种针对生存能力分析的信息系统形式化描述方法。为了能够对 信息系统的生存能力进行分析，首先研究采用面向对象的信息系统建模策略，来
定位信息系统的关键资源部件;其次研究一种基于环境、通信、处理、存储(ECPS) 的信息系统形式化描述方法；最后给出信息系统服务生存性的定义与描述。
2) 基于SPN的信息系统关键服务工作流分析建模方法 目前对网络系统可生存性建模研究主要从系统结构、服务组件、数据流图、
服务质量等方面开展，这些方法都是从不同角度出发对网络系统可生存性进行分 析建模的。然而生存性是对网络信息系统多角度分析度量的综合体现，故准确评 估生存性需要将网络系统结构、服务组件、实际运行环境等多方面因素综合起来， 才能达到最佳仿真效果。
以分析服务工作流为基础，结合信息系统的ECPS模型，细化并抽象系统对
关键服务及非关键服务的处理流程，采用基于随机Petri网的建模方法，对信息 系统的工作流程进行刻画，并结合信息系统的SPN给出信息系统生存能力量化 评估的计算方法，这是对信息系统的生存能力进行仿真与分析的前提。 3)基于安全事件注入的网络信息系统生存性仿真与评测方法
作为对故障注入技术的进一步扩展，事件注入技术具有更适合计算机网络环 境下仿真实验的特点。通过事件的注入可以大大加快仿真评测的进程，并且良好 的注入事件空间可以增加仿真结果的可信度。
首先研究网络攻击事件、服务失效及修复事件、部件冗余备份事件、系统组 件响应事件等与生存性评测相关的安全事件形式化描述方法，研究安全事件注入 空间的评价机制；其次研究将安全事件注入信息系统的SPN模型中，定量与定 性地分析网络信息系统的服务生存性。
本发明的主要技术特征体现在
1) 基于ECPS的信息系统建模方法
大型信息系统通常十分复杂，很难直接对它进行分析设计，因此经常借助模 型来设计分析系统。信息系统结构中通常会包括服务请求组件(Eiwironment， 简称E)、通信组件(Communication,简称C)、处理组件(Process,简称P)、存 储组件(Storage,简称S)等，组件也可称为资源，通用的系统抽象结构模型如 图1所示。信息系统能够提供正常服务的前提条件是ECPS组件协同工作，基于 ECPS的资源描述方法适用于可生存性的SPN建模分析。
具体技术路线是l.融合系统体系结构理论和服务生存性理论，通过分析影 响关键服务生存性的系统资源，采用面向对象的信息系统建模策略，融合系统体 系结构和安全注入事件，提出一种基于环境、通信、处理、存储(ECPS)的信 息系统形式化描述方法；2.分析传统的生存性概念，结合信息系统的ECPS形式 化描述，以概率论为基础定义系统关键服务生存性。
2) 基于SPN的信息系统关键服务工作流分析建模方法 具体技术路线l.SPN已经成为在逻辑层次上对离散事件动态系统(DEDS)
进行建模和分析的主要方法之一，因此在充分分析关键服务工作流程及服务生存 性定义的基础上，利用随机Petri网的有关理论对信息系统的生存性问题进行建 模，并通过在SPN模型中定义针对生存性分析的新属性对其进行简化，由此获取
生存性分析的状态可达图；2.利用随机Petri网与马尔可夫过程同构的特性，数学 求解信息系统的生存性参数，从而避免了马尔可夫模型难以扩展的问题。并且随 机Petri网可以在一个系统模型的框架下采用图形化的方式完成系统的描述、生存 性分析以及系统的验证和测试，这是其他的方法所不具备的。3.研究基于模拟的 方法对系统生存能力进行分析，结合服务生存性定义，构建基于关键服务的可达 状态图。
3)基于安全事件注入的网络信息系统生存性仿真与评测方法 具体技术路线l.结合系统可靠性相关理论，对信息系统中的关键属性进行 定义，首先形式化描述网络攻击事件、服务失效及修复事件、部件冗余备份事件、 系统组件响应事件等与生存性评测相关的安全事件，构成安全事件注入空间，并 用事件覆盖率、脆弱点覆盖率、潜伏期等定量指标评价事件空间；2.结合安全事 件特征，利用概率论和高级随机过程理论，生成各种安全事件。采用层次化模型 思想，将安全事件注入信息系统的SPN中，并使用成熟的SPN分析工具，得到系 统的生存性定量和定性分析结果。
本发明的优点在于可根据网络信息系统构成部件的生存属性，分析其在具 体应用环境下服务的完成质量，在系统体系结构设计阶段进行仿真试验，并修改 不足地方，降低投资成本。
(四)


图1是通用信息系统结构模型； 图2是信息系统SPN模型； 图3是抵抗攻击部件SPN; 图4是识别攻击部件SPN; 图5是攻击恢复部件SPN;
图6是适应能力部件SPN;
图7是具有可生存属性部件生存性测试结果1; 图8是具有可生存属性部件生存性测试结果2。
具体实施方式
下面结合附图举例对本发明做更详细地描述 1)相关定义
根据图l，我们对服务生存性相关参数进行定义
定义i 7;是关键服务的通信所需时间，7;是服务处理时间，7;是数据提供 时间，r为用户期望的服务完成时间，其中r〉7;+7;+7;， rrf =r—(7; + 7;+7;)
为用户能够容忍的服务延迟。
定义2服务生存性为网络环境中，信息系统能够在用户期望时间r内提供
关键服务的概率，计算方法为S"r = JW oA: x 100% ，其中—oA:为
一 —》6
在时间r内完成服务的数量，fej^yw为服务请求组件发出的关键服务请求数
且 里。
2)信息系统工作流建模 信息系统的工作流程如下
1. 服务请求组件发起服务请求；
2. 通信组件首先接受连接，将请求保存到缓存队列中；
3. 处理组件从缓存队列中获取服务请求，并协同存储组件完成服务；
4. 将服务结果通过通信组件返回给服务请求组件。
根据图1可知只有当信息系统中的通信组件、处理组件和存储组件都处于 正常状态下，才能保证系统持续地提供各种服务，所以在建模的过程中，根据各 种组件的冗余程度和"容侵"设计等为其设定相应的资源和恢复策略。关键服务 具有比非关键服务更高的优先级，只有当缓存队列中没有关键服务请求时，处理 器才能对非关键服务进行处理，建模时通过禁止弧实现。
根据以上描述的工作流程，建立信息系统随机Petri网模型如图2: Pl、 P2代表请求组件发出的关键服务请求和非关键服务请求；P3、 P6、 P9 代表通信组件、处理组件和存储组件；P4、 P5代表关键服务和非关键服务的缓冲 队列，容量为K; P7、 P8代表处理组件等待存储资源状态；PIO、 Pll代表关键服 务和非关键服务处理结束状态；P13、 P14代表关键和非关键服务响应结束状态； P12代表关键服务失效状态。Tl、 T2代表服务请求获得通信资源；T3、 T4为处理 器获取队列中的服务请求，为瞬时变迁；T5、 T6表示处理器获得存储器资源； T7、 T12代表服务应答获得通信资源；T8、 T9、 TIO、 Tll代表关键服务无法在用
户期望时间内完成。w'， 7y"， 7y"'分别为各阶段实际延迟。由于服务生存性 计算考虑非关键服务竞争资源对关键服务的影响，而不考虑非关键服务的服务质
量，因此在图2中对其进行了简化描述。 3)可生存事件建模
攻击是引起系统无法正常提供服务的关键因素之一，因此在系统生存能力分 析中必然涉及对攻击注入的建模；此外，部件还具有与可生存相关的四个属性， 即抵抗攻击、识别攻击、攻击修复和适应攻击的能力。
1) 抵抗能力属性建模
根据可生存属性的定义可知具有抵抗攻击能力的部件可以减小攻击对系统 所提供服务的影响，攻击发生时，其对部件的失效率影响降低；用随机Petri网进 行建模时，通过对攻击强度过滤的方法实现。
2) 识别能力属性建模
识别攻击能力部件具有快速发现攻击并进行防范的能力，由于部件可对已经 识别出来的攻击进行预先防范和隔离等多种策略，因此攻击发生时，具有识别能 力的部件可以有效化解攻击对部件的影响。建模时通过攻击的单次过滤体现。
3) 修复能力属性建模
具有攻击修复功能部件部件在遭受攻击后能够快速修复服务，在攻击过程中 可以对受损部件进行字修复，减少攻击影响时间长度。
4) 适应能力属性建模
适应攻击部件釆用自学习功能，不断调整可生存策略，从整体上提高部件对 相同攻击的防御与进化能力。
4)实验及分析
对具有四种不同可生存属性部件进行攻击测试实验，实验中对同一组件分别 在300ms、 900ms、 1500ms进行三次攻击，试验数据如下图7和图8所示。
通过综合分析三次攻击前后的实验数据可知具有抵抗攻击能力的部件可以 降低攻击强度，即相同的攻击强度对其影响变小；具有识别攻击能力部件可以防 范已知攻击能力；而具有攻击修复功能部件部件在遭受攻击后能够快速修复服
务，减少攻击影响时间长度；适应攻击部件对多次相同攻击的防御与进化能力， 逐渐减少攻击对其的影响，并最终趋紧于零。
对于复杂信息系统，具体实施中在通用模型的基础上根据系统的体系结构和 工作流程融合以上多种模型，并通过收集相关数据，估计其可生存属性值(动态 变化)，建立真实环境下的SPN，对其服务生存能力进行分析和预测。
权利要求
1、一种网络信息系统的生存能力的仿真判定方法，其特征是1)建立系统的工作流模型，它描述了理想无失效发生时系统的结构和性能的情况；2)对可能出现失效的资源建立失效模型和容错模型，用它来描述组件失效的过程及失效后的反应；3)将前面的两者相结合建立信息系统生存性模型，它描述了在一个特定的网络环境中某些资源失效后对整个系统所带来的影响；4)采用模拟的方法在合成模型中注入安全事件，具体包括组件的失效率、入侵事件对组件的影响，以及组件可生存属性；5)通过对SPN中可达状态信息的统计，计算信息系统服务生存性参数，对信息系统生存能力进行评估。
2、 根据权利要求1所述的一种网络信息系统的生存能力的仿真判定方法， 其特征是所述的建立系统的工作流模型由以下几步完成1)按照系统对服务的处理 步骤和方法，确定组件的类别和数量；2)预测用户访问系统的频率和其所能容 忍处理服务时间；3)根据前两个步骤的结果，确定从服务请求开始到结束过程 中的SPN变迁过程以及可达状态。
3、 根据权利要求1所述的一种网络信息系统的生存能力的仿真判定方法， 其特征是所述的建立失效模型和容错模型是1)确定构成系统组件的体系结 构，即采用串联、并联、冷热备份；2)确定构成系统中每个组件的基本属性， 包括失效率和修复率；3)根据前两个步骤的结果，确定完成服务所必须的每 一组组件的"失效一恢复"模型。
4、 根据权利要求1所述的一种网络信息系统的生存能力的仿真判定方法， 其特征是所述的建立可生存属性模型是l)确定可生存属性种类，包括抵 抗能力、识别能力、恢复能力、适应能力；2)确定具有可生存属性的组件的"失 效一恢复"过程；3)利用SPN建模工具，构造可生存的组件"失效一恢复" 模型。
5、根据权利要求1所述的一种网络信息系统的生存能力的仿真判定方法，其特征是所述的安全事件注入方法是1)确定安全事件的影响范围，具体指事件所影响的组件数目以及其在系统体系结构中的部署位置；2)确定安全事件 的影响程度，具体指其对组件失效率的影响程度；3)在安全事件发生时间范围 内，动态更改组件的失效率属性，仿真事件发生。
全文摘要
本发明提供的是一种网络信息系统的生存能力的仿真判定方法。建立系统的工作流模型，它描述了理想无失效发生时系统的结构和性能的情况；对可能出现失效的资源建立失效模型和容错模型，用它来描述组件失效的过程及失效后的反应；将前面的两者相结合建立信息系统生存性模型，它描述了在一个特定的网络环境中某些资源失效后对整个系统所带来的影响；采用模拟的方法在合成模型中注入安全事件，具体包括组件的失效率、入侵事件对组件的影响，以及组件可生存属性；通过对SPN中可达状态信息的统计，计算信息系统服务生存性参数，对信息系统生存能力进行评估。本发明可根据网络信息系统构成部件的生存属性，分析其在具体应用环境下服务的完成质量。
文档编号G06F17/50GK101187952SQ200710144819
公开日2008年5月28日 申请日期2007年12月14日 优先权日2007年12月14日
发明者猛 刘, 张乐君, 武 杨, 杨永田, 莫锡昌 申请人:哈尔滨工程大学