容侵系統中狀態轉移模型的研究

摘要:已有的網絡安全技術不能防范所有入侵，因此需要研究入侵容忍技術。提出了優化的容侵系統狀態轉移模型，以此為基礎建立半馬爾可夫過程(SMP)模型。計算各狀態的穩態概率，給出數值分析結果，定量評估了容侵系統的可用性、機密性與完整性。為進一步構建容侵系統提供了理論依據。

關鍵詞:入侵容忍;狀態轉移;SMP模型;安全屬性

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2009)24-6959-03

Research on the State Transition Model of Intrusion Tolerance System

GAO Guo-feng， ZHANG Feng-bin

(School of Computer Science and Technology， Harbin University of Science and Technology， Harbin 150080， China)

Abstract:The existing network security technology can’t prevent all the intrusions， so we need to study the intrusion tolerance technology. The paper puts forward an optimized state transition model of intrusion tolerance system， builds a semi Markov process based on this model. The authors calculate the steady-state probability of all kinds of states. Finally， numerical results are presented and evaluating quantitatively the availability，confidentiality and integrity of the Intrusion tolerance system. In order to providing a theoretical basis for further building the Intrusion tolerance system.

Key words: intrusion tolerance; state transition; SMP model; security attribute

傳統的安全工作可歸結為兩個方面:阻止攻擊的發生和不斷解決系統存在的安全漏洞。由于不可能預知所有未知攻擊的形式，也不可能完全杜絕新安全漏洞的存在，這將導致一些攻擊取得成功。因此，有必要研究開發一種即使遭到攻擊仍能運轉的系統，即入侵容忍系統。

入侵容忍技術作為第三代網絡安全技術的核心，它承認系統中脆弱點的存在，并假定隨著時間的發展，其中某些脆弱點可能會被入侵者利用。其設計的目標就是使得系統在發生錯誤或受到入侵的情況下，仍能保證關鍵功能繼續執行，關鍵系統持續地提供服務。由于這種方法在考慮對系統可用性保護的同時，還考慮了對系統數據和服務的機密性與完整性等安全屬性的保護，因此能夠達到防患于未然的目的，被稱作是系統安全防護中的最后一道防線。

網絡安全研究的一個重要理論基礎是安全評價，特別是定量刻畫網絡系統的安全性，評價容侵機制保證的安全程度，從理論上指導網絡安全機制與措施的構建[1-2]。本文以SITAR入侵容忍系統結構為基礎，提出了優化的容侵系統狀態轉移模型，并將其SMP模型進一步抽象得到嵌入離散馬爾可夫鏈，通過分析計算了SMP穩態概率、平均安全故障時間，最后給出數值實例，定量分析了系統的可用性、機密性和完整性。

1 優化的容侵系統狀態轉移模型

由于容侵系統可以保護的對象是多樣性的，所以每個容侵系統所采用的系統框架、容侵策略、安全算法都不盡相同;同時，對容侵系統安全屬性的分析，要考慮到攻擊者的行為和系統對入侵的響應行為。因此為便于抽象地描述入侵容忍系統的動態行為，本文在SITAR入侵容忍系統結構的基礎上，增加攻擊學習狀態(Learn State)，提出了優化的狀態轉移模型，模型如圖1所示。

系統初始工作時處于正常狀態G(Good);由于自身固有的弱點，系統很容易進入脆弱狀態V(Vulnerable)，此時，攻擊者還沒有對應用和服務造成傷害，如果可以及時修復脆弱點，系統則恢復到狀態G;如果攻擊行為繞過防護措施，系統進入被攻擊狀態A (Active attack)，在A狀態下，應用服務器的某些部分或功能已經被損害，這種損害可能是靜態的、一次性的，也可能是動態的、持續性的;如果入侵沒有被檢測到，但在系統的設計中已經準備了一些容錯措施對這種損害加以控制和消除，則系統進入屏蔽損害狀態MC(Masked Compromised);若入侵沒有被檢測到，也沒有采取任何措施加以控制和消除，則系統進入未知損害狀態UC(Undetected Compromised);在攻擊被檢測到之后，容侵機制被觸發，系統進入觸發狀態TR(Triage)，在這種狀態下，系統根據需要可以進入到降級服務狀態GD(Graceful Degradation)或安全停止狀態FS(Fail Secure);如果容侵機制失效，系統進入到失控狀態F(Failed)，此時應立刻報警，由管理員手動恢復。當系統由MC、GD和FS狀態回到G狀態時，通過L(Learn)狀態的學習功能，識別此次攻擊的類型并進行存儲，進而為再次攻擊時快速采取響應手段打下基礎。

該狀態遷移模型中通過各種攻擊對系統服務所造成的影響，概括地描述了一般化的容侵系統在抵制入侵時可能發生的事件、所處的狀態和處理方式。從系統的狀態轉移模型可知，系統在各狀態之間的轉移滿足馬爾可夫性:當過程在時刻 的狀態已知，那么，在時刻 所處狀態的條件分布與過程在時刻 之前所處的狀態無關。該文中假定狀態的停留時間為任意隨機分布，狀態轉移點上滿足無記憶性，故可使用半馬爾可夫過程(SMP)來描述容侵系統狀態轉移模型。

2 半馬爾可夫過程模型分析

2.1 系統狀態轉移模型DTMC

離散時間馬爾可夫鏈(Discrete-time Markov Chain，DTMC)是時間取值離散，狀態空間也是離散集合的馬爾可夫過程，所有狀態之間的一步轉移概率構成一個狀態轉移矩陣，DTMC可以由這個矩陣完全決定。為了對系統的SMP模型進行分析，將系統狀態轉移模型進一步抽象，得到嵌入離散時間馬爾可夫鏈(DTMC)，其狀態空間為Xs={G，V，A，MC，UC，TR，GD，FS，LF}，pa，pm，pu，pg，ps表示相應的狀態轉移概率，如圖2所示。

轉移概率矩陣P描述系統在各狀態之間轉移的可能性，其中概率值可由先驗知識確定或通過入侵注入的方式測定。系統狀態轉移模型DTMC轉移概率矩陣為:

其中，p1=1-pa，p2=1-pm-pu，p3=1-pg-ps。

2.2 SMP穩態概率

2.3 平均安全故障時間

在安全分析中，容侵系統從G狀態開始直到達到故障狀態的平均時間稱為平均安全故障時間(Mean time to failure，MTTSF)。從攻擊者的角度來說，即從攻擊開始到最終系統不能正常工作為止，所需花費的時間代價。MTTSF越大，表明入侵容忍系統對攻擊的抵抗能力越強，或者說系統的安全可靠性越高。

修改SMP嵌入鏈DTMC，將模型中所有狀態歸為兩大類:吸收狀態集Xa和瞬時狀態集Xt。方法為:將其中的失敗狀態和安全受損狀態歸為吸收狀態，去掉有吸收狀態引出的弧，也就是說吸收狀態只有入弧，沒有出弧，其余狀態歸為瞬時狀態。

Xa和Xt隨攻擊的不同而有所變化，如圖2所示DTMC中，有Xa={UC，L， F}，Xt={G，V，A，MC，TR，GD，FS}。將系統狀態重新劃分歸類后，對系統狀態狀態轉移矩陣進行調整，可寫成其中，Q表示瞬時狀態之間的轉移概率，C表示瞬時狀態到吸收狀態的轉移概率，I表示單位陣。采用Kishor S. Trivedi[5-6]提出的方法，令Vi表示在DTMC中進入吸收狀態前經過狀態i∈Xt的次數，hi為在狀態i的保持時間。則MTTSF的計算方法如式(3)，Vi計算方法如式(4)所示:

MTTSF表明系統的安全可靠性，增大MTTSF，也就增加了攻擊成功需要付出的代價，可通過增大Vi或hi來實現，對于確定的系統，各狀態的Vi基本固定，因此可增大Vi較大狀態的保持時間hi以達到增大MTTSF的目的。式(4)中qi表示系統從狀態i開始的可能性，令q=[qi]=[1 0 0 0 0 0 0]，表明系統從狀態G開始運行。由式(4)可計算出Vi如下:

3 數值分析結果

在這一部分，采用估值方法給出一個具體實例。這些參數值反映了系統屬性變化的一種趨勢。

系統各狀態的轉移概率分別為:pa=0.4，pm=0.3，pu=0.2，pg=0.6，ps=0.3。因此，攻擊被發現并觸發入侵容忍機制的概率為1-pm-pu=0.5，系統無法處理攻擊從而失效報警的概率為1-pg-ps=0.1。

平均保持時間。由經驗可知系統處于正常狀態G和脆弱狀態V的時間較長，而處于被攻擊狀態A的時間較短，這樣，令狀態的平均停留時間分別為:hG=1/2，hV=1/3，hA=1/4，當系統發現入侵后分別轉移到MC、UC和TR狀態，MC狀態通過學習轉至G，UC狀態下需要人工干預轉至G，令hMC-1/4，hUC=1/2，hTR=1/6;另外，系統處于降級服務、安全停止、攻擊學習和失效報警狀態的平均時間分別為hGD=4、hFS=1、hL=1/3和hF=2。

應用上述參數，由前面的計算結果可得H=1.7167，繼而可以計算出πi，即半馬爾可夫過程模型各穩態概率分別為:

πG=0.2913，πV=0.1942， πA=0.0583， πMC=0.0175，πUC =0.0233，πTR=0.0194，πGD=0.2796，

πFS=0.0350， πL=0.0583， πF=0.0233。

穩態概率πi即SMP模型中狀態i的保持時間。對于以上參數，入侵容忍系統處于正常狀態G和脆弱狀態V的時間遠長于處于其他狀態的時間。又由前面計算出的Vi結果，可知DTMC中到達吸收狀態前狀態被訪問的平均次數分別為:

VG=1.0204， VV=1.0204， VA=0.4082， VMC=0.1224， VTR=0.0816，VGD=0.2041，VFS=0.1224。

綜上，通過公式(3)可計算出平均安全故障時間MTTSF=2.2108。

最后，對系統的可用性、機密性和完整性進行分析。狀態轉移模型中包括兩種狀態，分別描述攻擊行為和系統遭受攻擊后的響應行為。攻擊行為可由狀態{G，V，A}表示，容侵系統對入侵的響應行為由狀態{ MC，UC，TR，GD，FS，L，F }表示。計算系統可用性時，系統在UC，FS，F，三個狀態下不能提供正常服務，則系統的可用性為A=1-πUC-πFS=0.9184;計算機密性屬性時，FS狀態為安全保護狀態，系統在UC和F狀態下數據可能被竊取，則系統的機密性為C=1-πUC-πFS =0.9534;計算完整性屬性時，UC和F狀態下的數據完整性都有可能遭到破壞，因此系統完整性I=1-πUC-πFS =0.9534。

4 結束語

該文給出了一種評估容侵系統安全屬性的方法。首先分析了優化的容侵系統的狀態轉移模型，由于系統狀態轉移滿足馬爾可夫特性，故采用SMP 模型對系統進行分析，計算了SMP相關安全屬性，包括SMP穩態概率，平均安全故障時間MTTSF，最后給出數值分析結果，定量評估了容侵系統的可用性、機密性與完整性。為進一步的構建容侵系統提供了理論依據。

參考文獻:

[1] Chang R. K. C. . Defending against flooding-based distributed denial of service attacks: A tutorial[J]. IEEE Communications Magazine， 2002， 40(10): 42-51.

[2] 郭世澤，牛冠杰，鄭康峰.入侵容忍系統模型構建及量化分析[J].北京郵電大學學報，2007，30(1): 36-39.

[3] 林闖，汪洋，李泉林. 網絡安全的隨機模型方法與評價技術[J].計算機學報，2005， 28(12): 1943-1956.

[4] 殷麗華，方濱興.入侵容忍系統安全屬性分析[J].計算機學報，2006，29(8):1505-1512.

[5] Madan B，Goeva-Popstojanova K，Vaidyanathan K.Trivedi K.S. .Modeling and quantification of security attributes of software systems[C]. In: Proceedings of Internation Conference on Dependable Systems and Networks， Washington， DC， USA， 2002， 505-514.

[6] Madan B.， Goeva-Popstojanova K.，Vaidyanathan K. ，Trivedi K. S. .A method for modeling and quantifying the security attributes of intrusion tolerant systems[J]. Performance Evaluation， 2004， 56(1-4): 167-186.