入侵容忍实时数据库的半马尔可夫生存能力评价模型

资源描述

《入侵容忍实时数据库的半马尔可夫生存能力评价模型》由会员分享，可在线阅读，更多相关《入侵容忍实时数据库的半马尔可夫生存能力评价模型（10页珍藏版）》请在金锄头文库上搜索。

1、书书书第卷第期年月计算机学报收稿日期：；最终修改稿收到日期：本课题得到中央高校基本科研业务费专项资金（）资助陈长清，男，年生，博士，副教授，主要研究方向为实时数据库、数据仓库与联机分析：裴小兵，男，年生，博士，副教授，主要研究方向为软件工程、数据挖掘：周恒，男，年生，硕士研究生，主要研究方向为实时数据库、数据仓库与联机分析刘云生，男，年生，教授，博士生

2、导师，主要研究领域为现代数据库理论与技术入侵容忍实时数据库的半马尔可夫生存能力评价模型陈长清裴小兵周恒刘云生（华中科技大学软件学院武汉）摘要针对事务和数据的实时特性，给出了具有入侵容忍能力的实时数据库系统的体系架构基于实时性的要求和入侵检测存在的延迟，提出了半马尔可夫评价模型，对实时数据库在入侵容忍条件下的生存能力进行评

3、价，并根据此模型给出相关的量化准则，定义了完整性与可用性等生存性指标，对实时数据库的生存能力进行了验证由于误报、检出率和攻击强度等因素会对生存能力造成重大影响，因此利用基准测试对其进行了详细的数据分析实验表明，该模型能较准确地预测实时数据库的行为，所提出的入侵容忍实时数据库在面临攻击时，其基本生存能力没有受到严重的影响关

4、键词入侵容忍；实时数据库；生存性；评价模型中图法分类号犇犗犐号：犃犛犲犿犻犕犪狉犽狅狏犈狏犪犾狌犪狋犻狅狀犕狅犱犲犾犳狅狉狋犺犲犛狌狉狏犻狏犪犫犻犾犻狋狔狅犳犚犲犪犾犜犻犿犲犇犪狋犪犫犪狊犲狑犻狋犺犐狀狋狉狌狊犻狅狀犜狅犾犲狉犪狀犮犲（犛犮犺狅狅犾狅犳犛狅犳狋狑犪狉犲犈狀犵犻狀犲犲狉犻狀犵，犎狌犪狕犺狅狀犵犝狀犻狏犲狉狊犻狋狔狅犳犛

5、犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔，犠狌犺犪狀）犃犫狊狋狉犪犮狋，，，，，，，犓犲狔狑狅狉犱狊；；；引言数据库入侵容忍技术改变了传统的以防御、检测、响应和恢复为主的思想，它假定系统中存在一些恶意事务攻击，在系统可容忍的限度内，这些攻击不会对系统的服务造成灾难性影响，系统本身仍能保证最低质量的服务为了评价一个数据库系统抵抗持

6、续入侵的能力，需要建立定量评价模型，根据该模型还能比较不同的入侵容忍架构文献提出针对传统数据库的入侵容忍生存评价模型，并假设入侵是由随机的攻击造成的，例如马尔可夫模型在该模型中，事务状态间的转换概率服从负指数函数分布，事务交互的时间已经给出并且定义为常数但在实际应用中，许多已经成功的真实入侵却是由人为因素造成的，故而建模时还

7、需综合考虑这些因素半马尔可夫模型对其进行了拓展，还允许非指数函数分布地存在，由于事务间的交互具有随机性，相比于马尔可夫链，半马尔可夫链模型中的非指数函数更适合模拟这些较实际问题，文献提出了针对传统数据库的基于半马尔可夫的生存评价模型相对于传统数据库，实时数据库系统的本质特征就是事务和数据有定时限制，系统的正确性不仅依赖于逻

8、辑结果，而且还和逻辑结果所产生的时间有关为此，结合实时性的要求，提出了入侵容忍实时数据库的半马尔可夫生存评价模型，使其能应用到实时数据库中因为实时数据库具有时限要求，如果状态定义的粒度较粗，会达不到细粒度要求，也就不能充分评价实时系统的生存能力本文所提半马尔可夫生存评价模型考虑了实时数据库系统中事务的软硬实时要求、事务序列长

9、短、事务与事务执行时间间隔分布不均等因素，是针对实时数据库生存评价的一种实用模型本文第节介绍本研究的相关工作；第节给出改进的入侵容忍实时数据库体系结构；第节提出相应的半马尔可夫生存评价模型，并予以分析和求解；第节提出相应的生存性评价准则；第节通过验证模型的有效性；第节对误报、检出率和攻击强度这个重要因素的影响进行详细数据分析；最后在第

10、节得出全文结论相关工作大多数关于生存能力的研究是从定性的角度来考虑的，较少有文献讨论定量的生存性评价指标文献给出了生存性的形式化定义，并和相关的概念，如可靠性、可用性和依赖性进行了比较文献从几个方面定义了生存性，说明了生存性和可靠性的差别在于：用户能接受可生存系统的降级服务，而可靠性假设系统要么能用要么不能用但这些文献对生存

11、性的量化和降级服务的程度都没有考虑文献讨论把现有的基于模型的可靠性评价技术扩展到评估系统的安全性，但困难在于错误的偶然特性和网络攻击的人为特征之间有本质差别文献把对入侵容忍系统的攻击与响应按随机处理建模，给出了系统的量化的安全属性，实验中模型参数使用了推测值，而缺乏对模型的验证安全的量化验证常使用形式化方法文献通过随机

12、模型进行概率验证，这是验证入侵容忍的一个有吸引力的手段，该文利用随机行为网络来定量验证一个入侵容忍的复制管理系统，在模型之上提出了几种度量手段，并研究了参数变化对生存性的影响尽管文献中已提出几种生存性模型和相应的度量，但它们都局限于评估入侵容忍数据库系统的安全属性文献研究在可生存数据库系统中提供有一致性保证的服务文献提

13、出针对工作流的在线攻击恢复系统，对恢复系统的行为分析是基于连续时间马尔可夫链模型，包括了稳态和状态转换行为文献根据入侵检测的缺陷，利用定量评价了其对生存性的影响，但没有提到系统性的生存模型和度量标准，文献提出了入侵容忍数据库系统的连续时间半马尔可夫链生存评价模型，基于状态转换是非指数分布的文献在传统数据库恶意事务修复方案

14、的基础上，采用网模型分析事务撤销冲突和操作执行序列异常检测，进而结合可生存性特征提出恶意事务静态和在线修复算法，给出随机网恶意事务修复模型，在分析恶意事务修复随机网模型和连续时间马尔可夫链的一致性后，给出了连续时间马尔可夫链的恶意事务修复模型求解文献在数据库系统内部设计和实现了一种受损数据隔离策略语言，提出了一种有效

15、的受损隔离算法，该算法使用语句动态替换技术尽量保证隔离阶段用户请求数据的完整性，通过子查询动态视图替换法保证数据隔离的有效性文献提出事务融合策略以缩短修复时间，文献考虑了实时数据库事务的定时特性，将事务融合策略应用到实时数据库的修复中文献研究利用时间标记进行实时数据库的入侵检测入侵容忍实时数据库体系结构入侵容忍实时数

16、据库系统（，）要保证：在被入侵之后，系统能在时限内尽快自动定位、控制和修复被损坏的部分，使实时数据库系统在遭受入侵的情况下可以继续被使用在文献的基础上，我们对国产化实时数据库管理系统的入侵容忍体计算机学报年系结构进行了改进，使其能适应半马尔可夫评价模型的要求，如图所示，主要由策略执行、攻击检测、损害评价、损害修复、隔离等模块构成图入侵

17、容忍实时数据库体系架构主要关注已提交的恶意事务，认为即使是未提交的活动，恶意事务也不会产生影响（因为事务的原子属性），一旦提交则会产生影响，而且在检测延迟期内，损害可能已经蔓延到许多其它的数据项中，即恶意事务扩散为了克服这种局限性，采用隔离技术与损害控制相结合的方法中各部件的功能介绍如下：攻击检测器（）通过系统日志和审计文

18、件检测恶意事务或可疑事务；损害评价器（）通过系统日志和审计文件标识恶意事务所损害的数据；隔离管理器对恶意事务和可疑事务进行隔离；生存评价器（）对恶意事务发生后的影响进行完整性与可用性等指标的评价，通过扫描攻击历史（），根据数学模型预测数据的生存性和脏数据集；损害修复器（）则用补偿机制来修复损害评价器和生存评价器所报告的受损数

19、据策略执行管理器（，）用于代理用户事务，执行系统级的入侵容忍策略，当事务被攻击检测器判定为可疑事务时，该事务被隔离管理器隔离，对应用户随后提交的事务也都被隔离；当事务被攻击检测器判定为恶意事务时，该用户及其行为被写入“历史记录”中，该用户提交新事务时会由阻止入侵容忍实时数据库的生存评价模型为了更加全面地分析和评价的生存能力，且能捕

20、捉到系统所处的各种状态，建立了一个半马尔可夫定量评价模型下面将首先建立半马尔可夫生存评价的简单模型，然后再考虑入侵检测的参数，拓展成一个综合的应用模型简单评价模型图显示了一个的基本状态转换模型在该模型中，系统的运行状态主要是由事务特征属性所标识，例如：事务的大小、事务的数量、当前用户的数量和事务的截止时间将这些数值型变量、标称

21、变量的取值与标准的参数预设值进行比较，然后对不同数值集合进行划分，从而可定义为一定的系统状态，也称状态空间，如下所示图基本的状态迁移模型定义良好状态犌：表示系统状态一切正常定义感染状态犐：表示系统由于预防机制失败受到恶意事务感染定义检疫状态犙：表示系统进行主要检疫活动，即判断可疑事务等定义判定状态犑：表示系统根据时限要求进行修复必要

22、性判断定义修复状态犚：表示系统进行主要事务修复与恢复活动定义补偿操作：表示系统弥补操作，如事务处理回滚、事务检测点恢复、补偿事务执行等传统上，计算机的安全首先依赖于系统的预防，在图所示系统的事务代理机制中，一般引进预处理过程如果预防的策略失败，系统在攻击检测阶段将会从良好状态犌转变为感染状态犐如果攻击被成功地检测到，入侵容忍系统采取攻

23、击防护策略，从而进入检疫状态犙在犙状态下，所有“可疑事务”都将会被加载进来，然后对所有的人为攻击的损害进行标记后，把未被损害或者误判的事务释放传统数据库系统由于没有时限要求，可直接进入修复状态，完成修复后返回到良好状态犌但是，在实时数据库系统中，由于时限的要求，需要先进入判定状态犑，根据日志与审计表，判定待修复的事物是否满足硬实时与软实时需

24、求，若是，则进入到修复状期陈长清等：入侵容忍实时数据库的半马尔可夫生存能力评价模型态犚，进行定义的补偿操作（修复或者恢复所有的损害），修复完成后返回良好状态犌；若否，则将所处理的事务抛弃，返回到良好状态犌在已定义的状态下，为了保证入侵容忍数据库系统的设计及实施的基本要求，活动一般分为个阶段，依次为攻击渗透、错误检测、攻击检疫、损害评价和错误

25、恢复，它们描述了每个入侵容忍数据库系统都将会遇到的基本问题由于人为攻击的存在，从犌状态转换到犐状态的转变并不一定服从指数分布，所以该随机过程不是一个连续时间马尔可夫链半马尔可夫模型相比于马尔可夫链，能更好地适应实际应用，在执行事务之间的逗留时间可以任意分配考虑实时数据库中事务的截止时间、事务序列长短、事务与事务执行时间间隔分布

26、不均等因素，通过在面临攻击时的状态转换，从状态空间定义和状态之间的复杂转换关系这两个方面来建模设犈，，狀表示状态空间，为概率空间同时定义以下的随机变量：犡狀：犈和犜狀：犐犖，其中犡狀表示狀个事务转换状态，犜狀表示处理狀个事务的时间（犜），狋狀表示处理相应的狀个事务的时限要求，与事务被创建时所带有的时间戳相对应设犞犽犜犽犜犽，表示在第犽次诊断状态时的逗留时间（犽犈）

27、那么（犡，犜，狋）过程则是一个半马尔可夫综合过程半马尔可夫综合过程的核心犓，其中犓（狋）犓犻犼（狋）被定义如下：犓犻犼（狋）犘犡狀犼，犞犽狋犡，，犡狀；犜，，犜狀犘犡狀犼，犞犽狋犡狀犻那么，当犘犻犼狋犓犻犼（狋）时，犘犘犻犼为包含马尔可夫链的状态转换概率矩阵设矢量狏（狏，狏，，狏狀）表示包含连续时间马尔可夫链的稳态概率为了获得稳态概率，求解方程狏犘狏，犻犈狏犻（）现在可以定义条件分布函数（）在状

28、态犻逗留的时间函数：犎犻（狋）犘犜狀犜狀狋犡狀犻一般地，可以采用折扣指标或者平均指标对半马尔可夫进行决策分析，该模型中采用平均指标进行分析，设犺犻为状态犻的平均逗留时间，即犺犻犿犪狓狋（犎犻（狋））狋，其中，犿犪狓狋表示最大软硬时限数值，积分的时间超过此数值，则时间统计失效设向量犺（犺，犺，，犺狀），且假定所有犻犈，犺犻半马尔可夫链的稳态概率定义如下：狏犺狏犺（）考虑图中的基

29、本模型，事务处理状态间的转换可能遵从非指数函数分布，例如韦伯尔分布、正态分布与指数分布等，该函数理论上完全可以模拟黑客的行为以及状态犌和犐之间的转变韦伯尔分布由此公式给出：犉（狋）（狋），其中为规模参数，为形状参数，当时，它就成了指数分布当时则相似于正态分布在状态犌中平均逗留时间犺由以下公式给出：犺犿犪狓狋犎（狋）狋（），其中，是关于整数犖的函数，（犖

30、）（犖）！简单地，仍假定检测攻击的时间、标记损坏数据项的时间、修复损害时间、错误恢复时间以及判定处理时间服从指数分布，且参数依次为，犱，犿，犽和狉，那么，平均逗留时间表示如下：犺犱，犺犿，犺狉，犺犼（）由图的模型，可得狏犞，犞，犞，犞，犞为了得到种状态的稳态概率，求解方程（）和（），可得（）（）犱犿狉犼犱（）犱犿狉犼犿（）犱犿狉犼狉（）犱犿狉犼犼（）犱犿狉烅烄烆犼（）综合评

31、价模型出于简单考虑，节中的模型并没有考虑入侵检测系统（）本身的性能，只是假定可以毫不拖延地报告入侵但是在实时环境下，的响应能力却是很重要的，延时过长将会导致大量的恶意事务传播，并不可遏制在本节，将考虑检测延迟等参数，细化模型，将其拓展为综合评价模型定义未检测状态表示未发现检测事项，或者将已检测事项的标记恢复为未检测标识定义虚警状

32、态表示系统发出计算机学报年错误警告误报率和检出率被广泛地用来评价在任何网络入侵检测系统的性能检测延迟时间是另一个用来评价的指标，该时间被定义为从当攻击侵入数据库系统开始到入侵检测系统成功识别入侵的时间段，且检测的平均时间（）即为状态犐下的平均逗留时间犺对于不完善的检测，通过可能不会成功地检测到入侵如果检测失败，系统将从感染

33、状态变成未检测状态犝犇对于实时系统来说，系统要求的时限会减去刚才的时间损耗，直至不满足要求为止，而且该事务项也方便在下一轮检测周期中被重新检测假定犘犱表示一个识别入侵检测的概率，则该系统由感染状态犐到检疫状态犙的转变概率为犘犱，到未检测状态犝犇的转变概率为犘犱，如图所示未经检测的攻击最终都将被系统管理员所识别，并且遭到感染的数据项也会被

34、恢复该系统将从未检测状态犝犇还原到良好状态犌图考虑了的状态迁移模型此外，入侵检测系统虚警概率为犘犳犪发生虚警时，系统会从良好的状态犌转换到错误报警状态犉犃下面的状态转换模型充分考虑了的检测延迟等参数的影响，如图所示按照状态序列犌、犐、犙、犑、犚、犉犃与犝犇排列顺序，可得模型中的状态转换概率矩阵犘如下：犘犘犳犪犘犳犪犘犱犘犱犘犼犘犼熿燀燄燅（）从而可得稳定状

35、态空间为狏犞，犞，犞，犞，犞，犞，犞，代入方程（），求解可得犞犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳犪犞犘犳犪犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳犪犞犘犱犘犳（）犪犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳犪犞犘犱犘犼犘犳（）犪犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳犪犞犘犱犘犳（）犪犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳犪犞犘犳犪犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳犪犞（犘犱）（犘犳犪）犘犳犪犘犱犘犱犘犳犪犘犱犘犼犘犱犘犼犘犳烅烄烆犪（）向量狏表示包含持续时间马

36、尔可夫链的稳态概率，设向量犺（犺，犺，犺，犺，犺，犺，犺），代表每一个状态的逗留时间，通过解方程（）可得稳态概率生存性评价指标生存性，也称生存能力，是指系统的重要部分在受到攻击或事故的损害时仍然能及时提供服务的能力一般地针对传统数据库，生存性指标主要有完整性、可用性两个，而误报因素、检出率因素、攻击强度等因素会对生存性指标造成重大影响本节将在实时

37、数据库半马尔可夫生存评价模型的基础上，建立量化指标，从多个方面来对进行评价，改进其生存能力下面将分析与重定义针对实时数据库的生存能力完整性本文中生存能力是完整性和可用性的量化术语根据生存能力的要求，完整性定义如下定义完整性在某个时间范围，所有可访问数据项都是干净的和时间有效的较高的完整性意味着入侵容忍系统为用户提供好的或

38、干净的数据服务的概率较高显然，在状态犌下所有的数据项均是干净的并且是可得到的当攻击发生时，一些数据项将受到感染因此，在状态犐下，部分数据项是“脏数据”在入侵被识别后，该“脏数据”首先被隔离，直到完成修复过程后才被释放把状态空间犈分为两个集合：犆和犆，其中犆犆犆，犆犆，子集犆包含所有“完整性”状态，在这些状态下所有能访问的数据项都是干净的，而期陈长清等：入侵

39、容忍实时数据库的半马尔可夫生存能力评价模型犆中则有些是不干净的因此，可得犆犌，犙，犑，犚，该模型处于完整性状态的概率为犐狀狋犲犵狉犻狋狔（）假设犕犜犜犃指攻击的平均时间，表示该系统被损坏的预期时间，也就是系统能保持正常的时间；犕犜犜犇指检测的平均时间，表示入侵被检测到的预期时间；犕犜犜犕指标记的平均时间，表示该系统标记“脏”数据项的平均时间；

40、犕犜犜犑指判定的平均时间，表示系统进行修复必要性判定的预期时间犕犜犜犚指修复的平均时间，表示系统修复损坏数据项的预期时间；由状态转换模型的定义，可得到犐狀狋犲犵狉犻狋狔犕犜犜犃犕犜犜犕犕犜犜犚犕犜犜犑犕犜犜犃犕犜犜犇犕犜犜犕犕犜犜犚犕犜犜犑（）可用性对于入侵容忍实时数据库系统而言，除了得到干净的数据服务外，响应的结果集还必须满足软硬

41、实时的要求可用性定义如下定义可用性所有干净数据项都能被访问，并且满足实时要求把状态空间犈分为两个集合：犃和犃，其中犃犃犃，犃犃子集犃包含了所有“可用”状态，其中干净数据项都能被访问由于在检疫状态犙下，一些干净的数据项也会被包含进来，在损害评价完成后，干净数据项才被放行，而损坏数据项在修复状态犚下被继续隔离因此可得犐犌，犚实时数据库系统中，由于每个事务都

42、有时限要求犔犻（犻，，狀），那么假定状态空间犈中每个事务在模型各阶段运行的时间统计为犜狆犻（假定系统在狆犻阶段的处理时间为犜狆犻），定义时限运行参数犻犔犻犜狆犻如果时间超过时限要求，犻的值肯定为，表明事务项失效，模型将进行重新评价根据定义，可得半马尔可夫综合评价模型的可用性为犃狏犪犻犾犪犫犻犾犻狋狔犕犜犜犃犕犜犜犚犕犜犜犃犕犜犜犇犕犜犜犕犕犜犜犚犕犜犜犑（）

43、模型验证模型验证的目标是确定模型能提供系统的准确信息在一组实验条件下，如果一个模型的准确性在可接受范围内，那么模型是正确的，这通常要确定感兴趣的模型输出变量如果该变量是随机变量，那么常用平均值来验证模型的正确性在我们提出的半马尔可夫模型中，感兴趣的是某个状态下的稳态概率，下面将比较模型的稳态概率和面临攻击时观察到的度量值，

44、以验证所提模型实验平台实验系统为平台，开发环境为集成开发环境，开发语言为语言，并在内存、为的计算机上进行了实验本次实验中使用实时数据库管理系统作为底层的数据库管理系统，通过事务模拟器，用基准模拟批发商的货物管理流程，随机产生合法事务和恶意事务对进行仿真测试，恶意事务模拟异常输入和注入攻击实验中提交了个合法事务，个恶意事务，累计

45、执行了个语句，其中含有条件语句（如）短语的事务共个下面列出实验中共用的重要参数，如表所示表评价参数参数意义值犱犫狊犻狕犲数据对象数值块（行）犅犾狅犮犽狊犻狕犲块大小字节犕犪狓狊犻狕犲最大转换量读行，写行犕犻狀狊犻狕犲最小转换量读行，写行犠狉犻狋犲狆狉狅犫读写状态（写犡读犡）在选择实验参数时，所选择的数据库和事务的尺寸是要让操作在一定范围内产生感兴趣的结

46、果，保证实验结果能被观测到且不需要花费很长的仿真时间参数说明在上述模型中，实验者可以通过控制攻击行为、人为干预等对实验加以控制，或者自定义一些参数，例如本模型中的检出率、虚警概率等可以进行多次实验，通过改变参数的取值来研究它们在系统生存性方面受到的影响模型中通过使用事务代理，可以控制在实验中所使用的参数，例如事务的大小、事务的

47、数量、当前用户的数量等模型中的一些参数是有关自身的属性，这通常不由实验者来决定实验中的半马尔可夫综合评价模型可采用最大似然估计来生成这些参数假定观察犽个事件与修复事件，总时耗为犕犽，总的修复时间为犚犽，判定时间为犑犽并且它们的最大似然估计为犺，犺，犺，那么犺犽犕犽，犺犽犚犽，犺犽犑犽计算机学报年相应地，实际观察数据的概率估计取决于系统处于该状态下的时间

48、长度占总的观察时间长度的比率实验数据统计为了简单描述实验，将实验中所有的参数的集合称为方案首先验证综合评价模型相对简单评价模型的改进，都取方案进行实验比较，通过计算模型中的公式，结果如表所示表简单评价模型仿真结果（方案）状态模型理论实验值实际观测值误差犌犐犙犚犑同样地，采用方案的数据，应用于综合评价模型，通过计算，得到结果如表所示表

49、综合评价模型仿真结果（方案）状态模型理论实验值实际观测值误差犌犐犙犚犑犉犃犝犇比较表与表可知，在实际观测值相同的同一运行案例下，综合评价模型相比简单模型更精确，能更好地反映系统的状态变化当其受到恶意事务感染及传播后，半马尔可夫综合评价模型实时响应的动作，根据需要跳转到其它粒度更细的状态（如犉犃、犝犇等）因为它允许系统存在事务时间处理

50、间隔，并且评价的时间度量的粒度更细，也符合实时系统的必备要求而单纯的半马尔可夫链概率模型比较“迟钝” ，认为此时系统处于良好状态（犌状态）居多，评价粒度较粗，显然不符合实际情况为了验证系统误差，在应用程序中改变方案中的参数，选用方案得到结果如表所示表综合评价模型仿真结果（方案）状态模型理论实验值实际观测值误差犌犐犙犚犑犉犃犝犇表与表的实验

51、结果表明由模型的理论输出结果与实际观测得到的结果匹配得非常相近，误差基本不超过，除了犚状态为以外这也证实了该模型的正确性，表明该模型在入侵容忍实时数据库系统的生存性建模方面与实际情况吻合得很好表总结了验证实验的结果表综合评价模型的实验统计值参数方案实验值方案实验值虚警概率犘犳犪检出率犘犱犌状态下的犺犐状态平均逗留时间犺犙状态平均

52、逗留时间犺犚状态平均逗留时间犺犑状态平均逗留时间犺犝犇状态平均逗留时间犺犉犃状态平均逗留时间犺生存性指标的评价由于入侵检测的三个重要因素：误报、检出率和攻击强度会对生存能力造成重大影响，因此，基于所开发的入侵容忍实时数据库，进一步研究第节提出的生存性度量在实验中将继续用进行数据处理，并通过基准测试对其进行详细的数据分析误报影

53、响误报是评价入侵检测系统性能的关键因素因为攻击行为的全局特征可能会在训练学习阶段被忽略掉，所以高误报率是基于行为检测技术的主要障碍其次，高误报率可能给安全子系统带来额外负担和资源代价图轻度攻击下误报率犚犗犆曲线下面研究对较高虚警概率的容忍性图显示了在轻度攻击下稳态概率的变化即使在面临猜测攻击（虚警概率为的临界点）期陈长清

54、等：入侵容忍实时数据库的半马尔可夫生存能力评价模型时，仍保持完整性大于，可用性大于，这表明该系统在轻度攻击下具有较高的容忍性在感染状态犐、检疫状态犙和修复状态犚下，该系统的稳态概率低于，这表明该系统能够高效快捷地检疫、查找和修复攻击与之相比，图则显示了在高强度攻击下的反应由图可知，高强度的攻击和额外的负荷导致了误报，也增加了误报状态

55、、感染状态、检疫状态和修复状态的稳态概率将花更多的时间来处理误报状态以及忙于分析状态变化和修复损害，系统的可用性由于损害检疫时间的增长而减少，评价过程也变得更长，但其完整性仍保持在大于的较高水平上这表明系统仍具有提供干净数据给用户的较高可能性图重度攻击下误报率犚犗犆曲线检出率的影响检出率是评价生成性的另一个重要指标，下

56、面研究不同检出概率对系统生存性能的影响图轻度攻击下检出率犚犗犆曲线处于轻度攻击下的检出率影响如图所示当检出率为时，入侵检测则完全取决于人工检测，耗时较长，保持在未检测状态犝犇与良好状态犌下的概率均较低，完整性和可用性处于较低水平反之，当检出率为时，未检测状态犝犇的稳态概率回到，检疫状态犙和修复状态犚的稳态概率随着检出率的增长而增长这表

57、明随着受到更多的攻击，系统将花更多时间进行损伤评价和修复，而且由于人工修复比的修复子系统的自动修复缓慢得多，那么完整性和可用性将会随着检出率的增长而提高当面临强攻击时，如图所示，低检出率明显影响了的性能当检出率为时，良好状态犌的稳态概率低于因此，当无法识别入侵时，可用性和完整性也比较低，仅能维持系统运行随着检出率增长，犌状态下的完整

58、性和可用性都平稳提升这表明遭到高强度攻击时仍可容忍较低的检出率图重度攻击下检出率犚犗犆曲线检出率相比虚警的影响，对生存能力的影响则更加严重因为检出率若从提高到，可用性和完整性的方差则接近，而当虚警概率从变化到时，方差却低于其中的主要原因是由于低检出率会给管理员带来更多的工作，如手工标记和人工修理损坏等如果系统能识别和恢复未

59、检测的入侵的速度比手工操作快，那么低检出率的影响将会很小实验结论表明，要提高入侵容忍实时数据库系统的性能，主要考虑提高的检出率攻击强度的影响定义优质系统：优质入侵检测系统的简称，表示一个具有很高的检出率、低误报率、短检测延迟、快速评价损坏及修复的入侵容忍系统定义劣质系统：劣质入侵检测系统的简称，表示一个具有较低的检出率、高误报率

60、、长检测延迟、缓慢的损坏评价及修复的入侵容忍系统攻击强度对入侵容忍系统的生存能力的影响也不容忽视高强度攻击使得安全系统忙于防御和修计算机学报年复，由此系统有可能会在安全系统修复损坏之前就崩溃掉下面用良好状态犌状态的逗留时间的长短来量化攻击强度，攻击越重，处于犌状态的时间显然越短图比较了在不同犌状态平均逗留时间下不同系统结构的的

61、稳态概率图优质系统的攻击强度犚犗犆曲线图中显示了优质系统的犚犗犆曲线可以看出状态转换概率比较大，虚警概率相对小，这表示感染状态、检疫状态、修复状态的平均逗留时间相对较短重度攻击会对的生存能力能造成明显影响如当受到高强度攻击时，犌状态取值为时，完整性只到，可用性只到，处于非常低的水平随着攻击强度的减轻，犌状态取值为，完整性和可用性也恢复到

62、较高水平图中显示了劣质系统的犚犗犆曲线相对于优质系统，劣质系统的状态转换概率比较小，虚警概率比较大，这表示感染状态、检疫状态、修复状态的平均逗留时间较长图劣质系统的攻击强度犚犗犆曲线重度攻击增加了标记和修复坏损子系统的工作量因此，检疫状态和修复状态的稳态概率上升，这使忙于分析和屏蔽严重攻击，但对系统完整性造成的影响并不显著因为采用

63、了损害检疫策略，所以当其面临重度攻击时仍能给用户提供干净的数据信息结论本文考虑实时数据库系统中事务的时间戳、事务序列长短、事务与事务执行时间间隔分布不均等因素，通过在面临攻击时的状态转换，对状态空间定义与状态之间的复杂转换关系这两个方面进行建模，建立了半马尔可夫生存评价模型，求解并进行误差分析再进一步考虑本身性能的影响，逐步细

64、化模型，给出了生存性指标中完整性与可用性的定义最后，进行仿真比较实验结果表明，改进后的体系结构适应了实际应用的需求，评价指标中的完整性与可用性也满足了实时数据库的生存需求，所提出的半马尔可夫模型是有效的评价结果表明，遵循半马尔可夫综合模型的可以做到以下两点：一是在面临攻击时能在时限范围内提供必要的数据库服务，二是在各种不同系

65、统的缺陷和攻击强度下，系统所需基本生存特性也没有受到严重的影响参考文献，，：，，，：：，，：，，（）：，，，：，，：，，（）：，，（）：，，（）：期陈长清等：入侵容忍实时数据库的半马尔可夫生存能力评价模型，，，：，，：，，，，，，：，，，，（）：（）（郑吉平，秦小麟，钟勇等基于模型的可生存性中恶意事务修复算法的研究计算机学报

66、，，（）：），，（）：（）（付戈等一种有效的受损数据隔离方法计算机科学与探索，，（）：），，：（），，，：，，，（）：（）（陈长清，刘云生等容忍入侵实时数据库系统的体系结构计算机研究与发展，，（）：），，，：犆犎犈犖犆犺犪狀犵犙犻狀犵，，，，犘犈犐犡犻犪狅犅犻狀犵，，，犣犎犗犝犎犲狀犵，，，犔犐犝犢狌狀犛犺犲狀犵，，，犅犪犮犽犵狉狅狌狀犱，，，，，，，，，，，（）计算机学报年

展开阅读全文