关于入侵容忍技术的研究
时间:2021-04-07 07:52:42 来源:达达文档网 本文已影响 人 
摘要:入侵容忍技术在认同安全问题不可避免性的前提下,主要研究如何在被攻击时系统仍能保证正常运行。本文介绍了网络环境下的容忍入侵系统的相关概念与技术,同时分析了实现入侵容忍的两种途径。容忍入侵技术已成为网络安全技术的发展新方向。
关键词:入侵容忍;容错;网络安全
1 入侵害忍技术简介
入侵容忍概念的提出主要是源于故障模型,该模型将一个计算机系统出现的故障归为两类:(1)故意故障,主要是由攻击、病毒、蠕虫等引起的;(2)非故意类故障,主要是由代码错误、开发环境错误和配置错误等原因引起的。
入侵容忍系统是指系统能在遭受一定入侵的情况下,通过采取一些必要的措施手段,以保证关键应用或关键服务能连续正确地工作。入侵容忍系统的功能主要包括:自我诊断能力、故障隔离能力和还原重构能力。这种技术不仅要考虑入侵/攻击的防范措施,而且还要解决在入侵存在的情况下系统的可生存性和抗毁能力问题。
2 入侵容忍系统分类
(1)按服务器的工作模式分类
按照服务器的工作模式可以将已有的容忍入侵系统分为两类:
①主从模式
在主从模式中,任何时刻只有一个主服务器和多个从服务器协同工作。在这种模式中,客户端通过前端只与主服务器之间进行通信。主服务器负责执行客户端的服务请求并返回响应给前端,同时发送更新消息给从服务器。如果主服务器失败,那么通过预定的选举机制从服务器中选出一个新的主服务器来继续为客户端提供服务,从而保证了系统服务的持续性。这种模式的优点是系统开销小,因为只有主服务器为客户端提供服务。缺点是无法容忍拜占庭错误。
②全激活模式
在全激活模式中,前端将接收到的客户端的服务请求通过可靠多播机制发送给服务器组,所有的服务器都是独立地处理该请求的。如果某个服务器失败,这可能会影响到整个系统的性能,但是其余的服务器仍然可以提供持续的服务。这种模式的优点是可以容忍拜占庭错误,缺点是系统的开销大,因为所--有的服务器都要处理请求并反馈结果给前端处理。
(1)按容忍入侵的技术分类
①基于门限密码技术的容忍入侵方法
该方法是针对数据进行保护的,其技术上主要采用门限密码技术——Shamir的秘密共享方案来实现应用系统的容忍入侵。这类容忍入侵方法主要强调保护系统数据的保密性,但是并不完全满足信息可生存性的要求。
②基于容错技术的容忍入侵方法
该方法是针对服务进行保护的,其技术上主要采用一些成熟的容错计算技术来实现应用系统的容忍入侵,特别强调系统在受到恶意攻击下的可生存能力的问题,符合信息可生存性的要求,但是并不满足信息保密性的要求。这是目前容忍入侵系统研究的主流方向。
3 入侵容忍技术的实现
入侵容忍技术的实现主要有两种途径。第一种方法是攻击响应,通过检测到局部系统的失效或估计到系统被攻击。而加快反应时间,调整系统结构,重新分配资源。使信息保障上升到一种在攻击发生的情况下能够继续工作的系统。另一种实现方法则被称为“攻击遮蔽”技术。就是待攻击发生之后,整个系统好像没什么感觉。该方法借用了容错技术的思想,就是在设计时就考虑足够的冗余。保证当部分系统失效时,整个系统仍旧能够正常工作。
(1)攻击响应的容忍入侵方法
攻击响应的容忍入侵技术仍旧依赖检测或评估系统,或称为容忍入侵触发器系统。通过检测到局部系统的失效或估计到系统被攻击。然后调整系统结构,重新分配资源,从而达到继续服务的目的。攻击响应的容忍入侵系统一般都包括一个基于风险概念的入侵预测系统、一个具有很高正确率的入侵判决系统、一套系统资源控制系统和在线的修复管理程序。修复管理程序再将攻击操作所导致的错误结果进行修补。针对被隔离的数据和操作。当判决系统认为确实是攻击时,就将被隔离的操作删除掉。当判定不是攻击时就将这些隔离的结果融合到正确的系统中去。
(2)攻击遮蔽的容忍入侵方法
攻击遮蔽的方法就是一开始就重新设计整个系统,以保证攻击发生后对系统没有太大的影响。该方法的原理可以用古老的容错技术进行说明。容忍入侵的冗余技术应该保证各冗余部件之间具有复杂的关系,并具有不一样的结构。类似双机备份这样的技术没有办法构成容忍入侵的结构。因为攻击者攻克第一个服务器。他也就能够攻克第二个服务器。当需要机密性服务时,双机备份也不行,因为攻入一个系统就能够得到所有的信息。
4 结论
入侵容忍技术虽然是一门新兴的安全领域技术,但已经成为网络安全整体机构框架中不可缺少的一个重要组成部分,作为信息安全领域的最后一道防线,可在系统发生错误、故障或受到攻击时,在有限的时间内保证系统最低限度地提供服务。将入侵容忍技术与多种安全技术相结合。可有效地预防或阻止入侵,降低系统瘫痪带来的损失。发展前景非常广阔。
参考文献
[1]张有东,江波,王建东,基于入侵容忍的网络取证系统设计[J]计算机工程,2007,33(19):1612163.
[2]朱建明,马建峰基于容忍入侵的数据库安全体系结构[J].西安电子科技大学学报:自然科学版,2003.
[3]陈伟鹤,殷新春,谢立,数据库管理系统的入侵容忍技术研究进展[J],计算机科学.2004,31(4).
