网络系统可生存性

《网络系统可生存性》由会员分享，可在线阅读，更多相关《网络系统可生存性（125页珍藏版）》请在金锄头文库上搜索。

1、网络信息系统可生存性,夏秦,第1章绪论,研究背景 可生存性定义 可生存性评估模型 可生存性增强技术,研究背景,网络安全发展阶段 入侵阻止防 加密、认证、安全分级、访问控制 入侵检测检 防火墙、IDS 可生存性容 网络安全与可生存性的关系 网络安全追求目标转移，可生存性要保证系统中关键服务的正确性、连续性、无间隙性 不存在绝对的可生存性 可生存性的多样性 可生存性是网络系统的整体特性 可生存性策略 抵抗、识别、响应和恢复,可生存性技术,可生存性分析 对系统的可生存性评估和分析（量化） 给出系统的可生存性状况并提出具体建议 可生存性增强 提高系统服务能力和质量的手段,研究现状,通信系统 网络链路连

2、通性 信息系统 可生存性量化评估 可生存性增强技术,可生存性定义,Barnes 系统提供关键服务的能力，即系统在面临攻击、失效和偶然事件的情况下仍然可以按照需求及时完成任务的能力 Deutsch 在系统部分瘫痪的情况下，关键服务还能够使用的程度 IEEE 系统一部分无法工作时，软件系统能够无故障地执行和维持关键功能的能力 CMU/SEI 在遭受攻击、故障或意外事故时，系统能够及时完成其关键任务的能力,可生存性的基本要素,系统 体系结构、关键服务、系统任务和功能 环境 网络环境 威胁 攻击、故障、意外事故 服务持续性 关键服务 响应时间 在用户期望的时间内可用,可生存性评估模型,基于系统结构 基

3、于系统服务组件 基于数据流图 基于攻击 基于系统与环境关系,基于系统结构的评估模型,基本思想 用图对系统网络拓扑或物理结构建模 成熟方法SNA 从系统的生命周期、需求分析以及体系结构三个方面给出分析结果和建议报告。 难点 规则集制定、参数选择、攻击方式确定,Krings四步模型,基于系统服务组件的评估模型,基本思想 通过评估各个组件的可生存性，获得系统的可生存性 难点 组件之间的依赖关系 组件与系统之间的依赖关系,基于数据流图的评估模型,基本思想 将配置指令的过程看成是对数据流的处理，将与生存性相关的所有元素的功能抽象为数据流的输入、处理和输出，构造一种反映元素之间数据流关系的图模型。 难点

4、数据链路情况的确定（响应时间、丢包率）,基于攻击的评估模型,核心思想 衡量不同级别攻击下的服务质量（响应时间） 难点 攻击方式确定 环境变化影响,DoS攻击下网络系统状态迁移,基于系统与环境关系的评估模型,基本思想 通过激励系统，观察系统的响应 方法 以服务为核心组织系统组件，利用事件情景表示环境对系统的作用，通过系统状态转变分析系统的可生存性 难点 参数选择,可生存性增强技术,离线技术 系统设计阶段 优化系统体系结构、控制参数 在线技术 系统运行阶段 识别、抵抗、恢复、适应,基于3R的可生存性增强技术,离线技术 方法 在设计过程中使用螺旋模型,基于3R的可生存性增强技术,基于Tabu算法的可

5、生存性增强技术,离线技术 方法通过仿真模型优化系统结构 用逻辑进程实例表示系统中的部件或者部件集合 通过逻辑进程实例之间交换的信息实例表示部件之间的相互作用 用点表示逻辑进程的实例，用边表示消息传递 每个实例可以设置攻击、故障和意外失效发生的概率 用Tabu算法求解在一定条件下系统的最优结构 难点 系统结构确定、参数设置,基于异构网络的可生存性增强技术,在线技术 方法 增加网络的异构性和多样性,基于动态漂移的可生存性增强技术,在线技术 方法 通过漂移技术将用户服务请求转接到其他类似服务组件上 传统漂移技术，如DNS轮转、URL重定位、IP重定向、IP欺骗 连接迁移：使客户端和服务器端都支持动态

6、漂移 多样化漂移：包括分布式动态备份、多样化主动漂移以及快速恢复机制,基于P2P的可生存性增强技术,在线技术 方法 建立P2P关键服务覆盖网，将受攻击服务器中的连接关系切换到提供类似服务的P2P节点上，当节点修复后，再重新连接到原来节点上。,基于P2P的可生存性增强系统,第2章 信息系统可生存性随机Petri网评估模型,SPN 可生存系统的关键属性 基于SPN的信息系统可生存性建模 从体系结构和可生存设计方面分析模型,SPN,表示方式 一个随机Petri网可以用六元组SPN=(P,T,F,K,M0,)表示 (P,T,F)是一个网,P是状态位置集,T是状态变迁集,F代表连接位置集与变迁集的弧集

7、K表示位置P的容量函数,也称为资源函数 M0代表SPN的初始标识,也是系统的初始状态 是状态变迁的平均触发速率集合,SPN,引发规则 设M是系统的一个状态,对于tT, pp|(p P)(p,t)F,M(p)0,则称t是可以触发的,并且若M触发到M,且满足下式，其中M(p)为状态位置p的托肯数,可生存系统的关键属性,抵抗抵抗策略 认证、访问控制、加密、过滤、隔离、多样性 识别攻击检测 入侵检测、数据完整性检查 恢复维护和保持系统服务 冗余、数据恢复、备份 适应改进策略 适应、进化,基于SPN的信息系统可生存性建模,步骤 针对特定系统建立描述系统工作流的SPN模型; 建立系统的失效SPN模型,它描

8、述资源的服务失效和修复过程; 合并这两个模型生成系统可生存性模型; 采用模拟的方法在合成模型中注入安全事件; 根据可达状态信息,计算信息系统服务可生存性参数,对信息系统生存能力进行评估,通用信息系统模型,信息系统模型中的定义,TC是关键服务的通信时间,TP是服务处理时间,Ts是数据提供时间,T为用户期望的服务完成时间,其中T TC + TP+ Ts,Td=T-(TC + TP+ Ts)为用户能够容忍的服务延迟 组件有且只有两种状态:完好和失效 服务可生存性:网络环境中,服务节点能够正常提供服务的概率,系统能够在用户期望时间T内提供关键服务的概率,其中ker_job_ok为在时间T内完成服务的数

9、量,kex_job为服务请求组件发出的关键服务请求数量,信息系统SPN模型,可生存属性模型,服务失效模型 服务修复模型 冗余备份模型 攻击注入具有可生存属性组件模型 可生存性仿真算法,服务失效模型,系统由正常服务状态都服务失效状态的变化过程,服务修复模型,假设系统行为是一个泊松过程。,冗余备份模型,备份种类 冷备份：当工作设备运行时,备用设备处于不工作状态,失效率为零 温备份：备用设备处于轻负荷工作状态,失效率小于工作组件 热备份：备用设备与工作设备处于相同工作状态,失效率等同于工作组件,攻击注入具有可生存属性组件模型 抵抗能力,攻击注入具有可生存属性组件模型 识别能力,攻击注入具有可生存属性

10、组件模型 修复能力,攻击注入具有可生存属性组件模型 适应能力,可生存性仿真算法,参数初始化,定义系统运行所需参数; 定义攻击事件,包括攻击组件,攻击类别,攻击强度,开始时间,结束时间等; while(服务请求数0) 获取当前时间; If(如果当前时间攻击开始时间)注入攻击; lf(如果当前时间攻击结束时间)攻击停止; 发送连接请求; 结束服务数=规定时间内完成服务数+规定时间内未完成服务数; if(结束服务数%统计值=0) 统计可达状态中托肯数量; 计算瞬时服务生存性; 服务请求数-; While(服务未处理完毕)等待一个时间周期; 统计可达状态中托肯数量: 计算服务生存性;,实验,SPN仿真

11、工具：RENEW 内容 故障率、修复率与服务可生存性的关系 组件并联结构设计与服务可生存性的关系 冗余设计与服务可生存性的关系 同异构设计与服务可生存性的关系 可生存属性组件实验,故障率、修复率与服务生存性的关系 稳态,结论 服务生存性与故障率成反比，与修复率成正比,故障率、修复率与服务生存性的关系 瞬态,结论 攻击会导致服务生存性下降很大,组件并串联结构设计与服务可生存性的关系 稳态,结论 当故障率增加时，并联结构的服务生存性比串联结构的服务生存性下降要慢得多,组件并串联结构设计与服务可生存性的关系瞬态,结论 当攻击发生时，并联结构的服务可生存性比串联结构的服务可生存性下降要小的多,冗余设计

12、与服务可生存性的关系,结论 热备份比冷备份具有更高的抗攻击能力,同异构设计与服务可生存性的关系,结论 异构比同构具有更高的抗攻击能力,可生存属性组件试验,结论 具有抵抗能力组件的生存性比无抵抗能力组件的生存性下降较小 有识别能力组件的生存性几乎不改变,无法识别的攻击,可生存属性组件试验,结论 具有修复能力组件的生存性会在修复后恢复到原来水平 具有适应能力组件的生存性会随着攻击次数的增加不断改善,第3章信息系统可生存性层次化评估模型,基本定义 相关概念 建模步骤和评估方法 实验验证,基本定义,关键服务 系统在遭受攻击等突发事件情况下，还必须为用户提供的服务。 原子组件 保证网络系统持续提供关键服

13、务的必不可少的最小组件。 入侵场景 为达到影响系统服务的某个意图(intention，比如拒绝服务)而发生的一系列事件组成的一个入侵场景，它包含的事件可能是具有某个通用意图的事件集组成的任务，也可能是具体目标(target，比如root权限)的事件完成的任务。,基本原理,网络攻击图 攻击图的生成 入侵场景 漏洞等级确定 服务质量,网络攻击图,攻击图是一个状态转换系统T=(S，s0，SG)。其中S是网络状态的集合， SxS是状态转换关系的集合，s0S是网络初始状态，SG S是目标状态的集合。 对于一个目标状态snSG，如果从初始状态s0开始，存在一组状态序列s1，s2，sn，使得(si，si+1

14、) ，0in-1，则称状态序列s0，s1，sn是一条攻击路径。 攻击行动用如下三元组表示(src_host，dst_host，vid)。其中src_host是发动攻击的主机id， dst_host是遭受攻击的主机id，vid是此次攻击所利用的弱点号。,攻击图的生成,利用漏洞扫描工具(如Nessus，Nmap)探测单个主机的漏洞信息; 将探测到的漏洞信息和其他信息进行关联(如主机中的连接信息)，并利用GraPhviz工具生成攻击图。攻击图中的每条路径由一系列原子节点构成，最终到达一个特定的状态(如管理员权限状态)。,用户类型,攻击图实例,攻击图生成算法,1)建立初始网络状态 init_state

15、: 2)将init_state加入到扩展网络队列state_queue; 3)While(state-queue不为空) Cur_state-Get_State(state_queue) if(M中指定了攻击目标,14) while(attaek_rule_queue不为空) 15) Attack_rule- Get-Attack_Rule(attack_rule_queue); 16) 从当前攻击发起主机尝试利用attack_rule对host进行模拟攻击; 17) lf(模拟攻击成功,入侵场景,将入侵场景中能够达到管理员所提供的系统所能承受的最大入侵等级中的入侵场景作为分析该系统可生存性的

16、依据。,漏洞等级确定,弱点的攻击复杂度是用来衡量攻击者成功利用该弱点的难易程度的一种度量。,服务质量,单位时间内处理的服务数量当前服务状态 剩余网络带宽可容忍服务状态 网络延迟服务效率,可生存性层次化评估模型,可生存性分析步骤 可生存性层次化计算方法,可生存性分析步骤,可生存性层次化计算方法示意图,W:影响系统中关键服务的重要程度 E:关键服务与原子组件的依赖关系 C:攻击者利用漏洞的可能性,可生存性层次化计算方法,系统的关键服务集合S=S1，S2，Sk; W=W1，W2，Wk为关键服务重要性权重集合，且 脆弱原子服务组件具有的资源消耗类漏洞集合A=A1，A2，Am，权限提升类漏洞集合B=B1，B2，Bn，漏洞被攻击者利用的可能性参数集 合C=C1，Cm，Cm+1，Cm+n，特权提升类攻击可识别参数集合 D=D1，Dm