[科普中国]-可生存网

定义

Neumann等人于1993年定义了网络系统可生存性：在任意的不利条件下，基于计算机通信系统的应用所具有的持续满足用户需求的能力。其中，用户需求包括安全性、可靠性、实时响应和正确性等需求。与之相似，1997年Ellison等人更正式地定义了网络系统的可生存性：网络系统在遭受攻击、故障和意外事故的情况下及时完成任务的能力。1

2000年Knight和Sullivan提出了一种网络系统可生存性的定义 ：网络系统的可生存需求以一个四元组{E, R, P, M}表示，符合此需求的网络系统是可生存的。四元组{E, R, P, M}解释了网络系统所能提供的服务规格，以及不同的服务规格的实现概率。Knight和Sullivan依概率定义的网络系统的可生存性是对Neumann和Ellison等人的定义的细化，更精确地表示了对网络系统基本服务的保护和网络系统的可生存性，使得定量研究网络系统的可生存性成为可能。1

特性可生存网的特性如下：1

抵御抵御非法入侵是安全性研究的主要内容，也是可生存性研究的一部分。传统的安全技术如认证、加密、多样性、容侵和容错等仍然是最主要的和最常用的方法。

识别和恢复随着网络系统的规模和复杂性不断增加以及攻击手段越来越多样化，网络系统不可避免地会遭受攻击破坏和发生故障，网络系统的可生存性也主要体现在对攻击和故障等的识别和恢复上。对于可生存性而言，无论是否出现攻击和故障，系统及其重要服务都要得到保护。对于攻击和故障等，可生存性研究认为重要的是对其影响的评估和系统服务的恢复，而不是针对其起因的及时响应。如果所提供的服务不能满足用户需求，则网络系统可生存性被破坏。

适应性和进化适应性和进化也是重要的可生存特性之一。适应性和进化是利用已经获得的入侵的知识增强系统的抵御、识别和恢复特性，因而从整体上增强系统的可生存性。

体系结构现有的可生存网络系统大多是在安全网络系统的基础上附加控制系统得到。控制系统主要包含三类组件：感觉组件、分析组件和执行组件。感觉组件负责从网络系统中提取信息，如网络系统异常的行为和性能变化等，再把这些信息传递给分析组件；分析组件根据感觉组件提取的信息确定其所监控的网络系统中是否存在攻击和故障，一旦确定就向执行组件发送重配置命令；执行组件接受并执行来自分析组件的命令，对网络系统进行重配置。控制系统的主要功能是实时监视和管理网络系统，使网络系统的安全性被破坏后网络系统仍然可以提供基本服务，网络系统的识别、恢复、适应性与进化等可生存特性主要由控制系统实现。

采用这种体系结构时，需要考虑保护控制系统组件。控制系统的分析组件可以从网络系统隔离出来，而感觉组件和执行组件都分布在网络系统中，可能成为攻击者的目标，其安全性需要得到保护。

基础要素可生存网具有如下5个基础要素：2

1、研究对象——无边界网络系统：所谓无边界是指系统的拓扑结构是动态变化的，不存在集中式的中央控制节点，没有任何节点拥有全部的全局信息。一般来说，网络可生存系统都是指类似于Internet的大规模无边界分布式网络系统。

2、适用场景——系统面临威胁：影响系统提供服务的威胁因素，可以分为意外、恶意或灾难．意外威胁包括软件错误、硬件错误或人为错误．恶意威胁包括破坏、入侵，或恐怖攻击。灾难威胁一般都使得系统无法向用户提供要求的服务，主要包括自然行为、战争行为和电力故障等。

3、衡量标准——能力：对于给定的具有网络可生存性系统，需要有一定的衡量标准来衡量其是否满足可生存性。

4、可生存需求——可生存性系统关键属性：可生存系统的核心就是维持关键服务，比如完整性、机密性、性能和其他属性等．维持关键服务不能够以系统中特定信息源、节点计算能力或通信链路的可生存为前提。

5、时间要求——及时性：服务应该在系统要求或者用户期望的时间内可用。系统对调整所需时间有严格要求，只有时间合理可生存性策略才是有效的。

设计方法分析方法网络系统的故障既包括系统组件自然发生的组件故障，又包括人为恶意破坏造成的组件故障。如果故障是局部的，可以通过同步、虚拟同步、软件和硬件复制等容侵和容错技术加以屏蔽；如果故障是非局部的，必须通过增强系统的可生存性解决。

Ellison等人在综合了以前的研究之后，提出了一种可以全面地提高网络系统可生存性的方法，称为可生存网络分析方法(SNA)。这种方法是在规划网络系统和网络系统的体系结构动态变化的过程中，用系统化的方法得到并提高网络系统的可生存性。SNA方法包括四个步骤：

1、系统定义：包括系统的目标和需求定义、系统体系结构和特性的定义和说明；

2、基本性能定义：根据系统的目标和故障造成的后果定义网络系统的基本性能，包括确定基本服务和基本组件；

3、破坏能力定义：包括攻击事件或故障的选择和弱组件的确定。攻击事件的选择根据系统所处的计算环境以及对风险和攻击者能力的评估，而弱组件的选择要考虑到 COTS组件的特性以及已知的安全性和可靠性缺陷；

4、可生存性分析：根据步骤2和3分析的结果生成可生存图。可生存图是一张二维表，包含步骤3中确定的每个攻击事件和相应对策以及抵抗、识别和恢复的体系结构级上的策略，可生存图可以为系统及其体系结构设计提供反馈信息。

设计方法在 SNA 的基础上，Mead 等人提出了用于可生存网络系统开发的螺旋模型。模型中螺旋线始于问题定义阶段，随后是三个循环表示需要考虑的三种攻击。每个循环始于入侵模型，经过可生存性风险分析和规划以后，止于应用模型，螺旋线依次经过四个区域：入侵模型，可生存性风险分析，可生存性规划和应用模型。螺旋线可能针对同一类攻击循环多次，然后再考虑其他的攻击类型。可以看出，螺旋线经过的四个区域与 SNA 四个步骤相对应，整个模型的螺旋结构与SNA方法的反馈环节相对应。

存在的问题国际上对网络系统可生存性的研究始于上世纪末，主要的研究机构有 Virginia 大学、Arizona 大学、CarnegieMellon 大学和 CERT 组织等，其研究各有侧重点 ：Virginia大学和Arizona大学的研究侧重于系统可生存性的量化和体系结构，而Carnegie Mellon大学和CERT组织的研究主要是从方法学的角度讨论可生存系统的建立方法和步骤，并开发了两个建立可生存网络系统的模型。但是这些研究都处于建立理论模型阶段，还没有形成完整的理论体系结构和实用技术。国内在网络系统可生存性方面的研究较少，目前只有信息安全国家重点实验室和国防科技大学等少数几个单位进行了一些研究。可生存性是一个新的研究课题，尤其是在网络系统方面的研究历史更短，还需要在形式化表示、定量评估和系统设计方法等问题上进一步研究。