網絡系統(tǒng)可生存性

網絡信息系統(tǒng)可生存性夏秦第1章緒論研究背景可生存性定義可生存性評估模型可生存性增強技術研究背景網絡安全發(fā)展階段入侵阻止——防加密、認證、安全分級、訪問控制入侵檢測——檢防火墻、IDS可生存性——容網絡安全與可生存性的關系網絡安全追求目標轉移，可生存性要保證系統(tǒng)中關鍵服務的正確性、連續(xù)性、無間隙性不存在絕對的可生存性可生存性的多樣性可生存性是網絡系統(tǒng)的整體特性可生存性策略抵抗、識別、響應和恢復可生存性技術可生存性分析對系統(tǒng)的可生存性評估和分析（量化）給出系統(tǒng)的可生存性狀況并提出具體建議可生存性增強提高系統(tǒng)服務能力和質量的手段研究現狀通信系統(tǒng)網絡鏈路連通性信息系統(tǒng)可生存性量化評估可生存性增強技術可生存性定義Barnes系統(tǒng)提供關鍵服務的能力，即系統(tǒng)在面臨攻擊、失效和偶然事件的情況下仍然可以按照需求及時完成任務的能力Deutsch在系統(tǒng)部分癱瘓的情況下，關鍵服務還能夠使用的程度IEEE系統(tǒng)一部分無法工作時，軟件系統(tǒng)能夠無故障地執(zhí)行和維持關鍵功能的能力CMU/SEI在遭受攻擊、故障或意外事故時，系統(tǒng)能夠及時完成其關鍵任務的能力可生存性的基本要素系統(tǒng)體系結構、關鍵服務、系統(tǒng)任務和功能環(huán)境網絡環(huán)境威脅攻擊、故障、意外事故服務持續(xù)性關鍵服務響應時間在用戶期望的時間內可用可生存性評估模型基于系統(tǒng)結構基于系統(tǒng)服務組件基于數據流圖基于攻擊基于系統(tǒng)與環(huán)境關系基于系統(tǒng)結構的評估模型基本思想用圖對系統(tǒng)網絡拓撲或物理結構建模成熟方法——SNA從系統(tǒng)的生命周期、需求分析以及體系結構三個方面給出分析結果和建議報告。難點規(guī)則集制定、參數選擇、攻擊方式確定Krings四步模型基于系統(tǒng)服務組件的評估模型基本思想通過評估各個組件的可生存性，獲得系統(tǒng)的可生存性難點組件之間的依賴關系組件與系統(tǒng)之間的依賴關系基于數據流圖的評估模型基本思想將配置指令的過程看成是對數據流的處理，將與生存性相關的所有元素的功能抽象為數據流的輸入、處理和輸出，構造一種反映元素之間數據流關系的圖模型。難點數據鏈路情況的確定（響應時間、丟包率）基于攻擊的評估模型核心思想衡量不同級別攻擊下的服務質量（響應時間）難點攻擊方式確定環(huán)境變化影響DoS攻擊下網絡系統(tǒng)狀態(tài)遷移基于系統(tǒng)與環(huán)境關系的評估模型基本思想通過激勵系統(tǒng)，觀察系統(tǒng)的響應方法以服務為核心組織系統(tǒng)組件，利用事件情景表示環(huán)境對系統(tǒng)的作用，通過系統(tǒng)狀態(tài)轉變分析系統(tǒng)的可生存性難點參數選擇可生存性增強技術離線技術系統(tǒng)設計階段優(yōu)化系統(tǒng)體系結構、控制參數在線技術系統(tǒng)運行階段識別、抵抗、恢復、適應基于3R的可生存性增強技術離線技術方法在設計過程中使用螺旋模型基于3R的可生存性增強技術基于Tabu算法的可生存性增強技術離線技術方法——通過仿真模型優(yōu)化系統(tǒng)結構用邏輯進程實例表示系統(tǒng)中的部件或者部件集合通過邏輯進程實例之間交換的信息實例表示部件之間的相互作用用點表示邏輯進程的實例，用邊表示消息傳遞每個實例可以設置攻擊、故障和意外失效發(fā)生的概率用Tabu算法求解在一定條件下系統(tǒng)的最優(yōu)結構難點系統(tǒng)結構確定、參數設置基于異構網絡的可生存性增強技術在線技術方法增加網絡的異構性和多樣性基于動態(tài)漂移的可生存性增強技術在線技術方法通過漂移技術將用戶服務請求轉接到其他類似服務組件上傳統(tǒng)漂移技術，如DNS輪轉、URL重定位、IP重定向、IP欺騙連接遷移：使客戶端和服務器端都支持動態(tài)漂移多樣化漂移：包括分布式動態(tài)備份、多樣化主動漂移以及快速恢復機制基于P2P的可生存性增強技術在線技術方法建立P2P關鍵服務覆蓋網，將受攻擊服務器中的連接關系切換到提供類似服務的P2P節(jié)點上，當節(jié)點修復后，再重新連接到原來節(jié)點上?；赑2P的可生存性增強系統(tǒng)第2章

信息系統(tǒng)可生存性隨機Petri網評估模型SPN可生存系統(tǒng)的關鍵屬性基于SPN的信息系統(tǒng)可生存性建模從體系結構和可生存設計方面分析模型SPN表示方式一個隨機Petri網可以用六元組SPN=(P,T,F,K,M0,λ)表示(P,T,F)是一個網,P是狀態(tài)位置集,T是狀態(tài)變遷集,F代表連接位置集與變遷集的弧集K表示位置P的容量函數,也稱為資源函數M0代表SPN的初始標識,也是系統(tǒng)的初始狀態(tài)λ是狀態(tài)變遷的平均觸發(fā)速率集合SPN引發(fā)規(guī)則設M是系統(tǒng)的一個狀態(tài),對于t∈T,p∈{p|(p∈P)∧(p,t)∈F},M(p)>0,則稱t是可以觸發(fā)的,并且若M觸發(fā)到M’,且滿足下式，其中M(p)為狀態(tài)位置p的托肯數可生存系統(tǒng)的關鍵屬性抵抗——抵抗策略認證、訪問控制、加密、過濾、隔離、多樣性識別——攻擊檢測入侵檢測、數據完整性檢查恢復——維護和保持系統(tǒng)服務冗余、數據恢復、備份適應——改進策略適應、進化基于SPN的信息系統(tǒng)可生存性建模步驟針對特定系統(tǒng)建立描述系統(tǒng)工作流的SPN模型;建立系統(tǒng)的失效SPN模型,它描述資源的服務失效和修復過程;合并這兩個模型生成系統(tǒng)可生存性模型;采用模擬的方法在合成模型中注入安全事件;根據可達狀態(tài)信息,計算信息系統(tǒng)服務可生存性參數,對信息系統(tǒng)生存能力進行評估通用信息系統(tǒng)模型信息系統(tǒng)模型中的定義TC是關鍵服務的通信時間,TP是服務處理時間,Ts是數據提供時間,T為用戶期望的服務完成時間,其中T>TC+TP+Ts,Td=T-(TC+TP+Ts)為用戶能夠容忍的服務延遲組件有且只有兩種狀態(tài):完好和失效服務可生存性:網絡環(huán)境中,服務節(jié)點能夠正常提供服務的概率,系統(tǒng)能夠在用戶期望時間T內提供關鍵服務的概率,其中ker_job_ok為在時間T內完成服務的數量,kex_job為服務請求組件發(fā)出的關鍵服務請求數量信息系統(tǒng)SPN模型可生存屬性模型服務失效模型服務修復模型冗余備份模型攻擊注入具有可生存屬性組件模型可生存性仿真算法服務失效模型

系統(tǒng)由正常服務狀態(tài)都服務失效狀態(tài)的變化過程服務修復模型假設系統(tǒng)行為是一個泊松過程。冗余備份模型備份種類冷備份：當工作設備運行時,備用設備處于不工作狀態(tài),失效率為零溫備份：備用設備處于輕負荷工作狀態(tài),失效率小于工作組件熱備份：備用設備與工作設備處于相同工作狀態(tài),失效率等同于工作組件攻擊注入具有可生存屬性組件模型

——抵抗能力攻擊注入具有可生存屬性組件模型

——識別能力攻擊注入具有可生存屬性組件模型

——修復能力攻擊注入具有可生存屬性組件模型

——適應能力可生存性仿真算法參數初始化,定義系統(tǒng)運行所需參數;定義攻擊事件,包括攻擊組件,攻擊類別,攻擊強度,開始時間,結束時間等;while(服務請求數>0){

獲取當前時間; If(如果當前時間>攻擊開始時間){注入攻擊;} lf(如果當前時間>攻擊結束時間){攻擊停止;}

發(fā)送連接請求;

結束服務數=規(guī)定時間內完成服務數+規(guī)定時間內未完成服務數; if(結束服務數%統(tǒng)計值==0) { 統(tǒng)計可達狀態(tài)中托肯數量;

計算瞬時服務生存性;}

服務請求數--;}While(服務未處理完畢){等待一個時間周期;}統(tǒng)計可達狀態(tài)中托肯數量:計算服務生存性;實驗SPN仿真工具：RENEW內容故障率、修復率與服務可生存性的關系組件并聯(lián)結構設計與服務可生存性的關系冗余設計與服務可生存性的關系同異構設計與服務可生存性的關系可生存屬性組件實驗

故障率、修復率與服務生存性的關系

——穩(wěn)態(tài)結論服務生存性與故障率成反比，與修復率成正比故障率、修復率與服務生存性的關系

——瞬態(tài)結論攻擊會導致服務生存性下降很大組件并串聯(lián)結構設計與服務可生存性的關系

——穩(wěn)態(tài)結論當故障率增加時，并聯(lián)結構的服務生存性比串聯(lián)結構的服務生存性下降要慢得多組件并串聯(lián)結構設計與服務可生存性的關系——瞬態(tài)結論當攻擊發(fā)生時，并聯(lián)結構的服務可生存性比串聯(lián)結構的服務可生存性下降要小的多冗余設計與服務可生存性的關系結論熱備份比冷備份具有更高的抗攻擊能力同異構設計與服務可生存性的關系結論異構比同構具有更高的抗攻擊能力可生存屬性組件試驗結論具有抵抗能力組件的生存性比無抵抗能力組件的生存性下降較小有識別能力組件的生存性幾乎不改變無法識別的攻擊可生存屬性組件試驗結論具有修復能力組件的生存性會在修復后恢復到原來水平具有適應能力組件的生存性會隨著攻擊次數的增加不斷改善第3章信息系統(tǒng)可生存性層次化評估模型基本定義相關概念建模步驟和評估方法實驗驗證基本定義關鍵服務系統(tǒng)在遭受攻擊等突發(fā)事件情況下，還必須為用戶提供的服務。原子組件保證網絡系統(tǒng)持續(xù)提供關鍵服務的必不可少的最小組件。入侵場景為達到影響系統(tǒng)服務的某個意圖(intention，比如拒絕服務)而發(fā)生的一系列事件組成的一個入侵場景，它包含的事件可能是具有某個通用意圖的事件集組成的任務，也可能是具體目標(target，比如root權限)的事件完成的任務。基本原理網絡攻擊圖攻擊圖的生成入侵場景漏洞等級確定服務質量網絡攻擊圖攻擊圖是一個狀態(tài)轉換系統(tǒng)T=(S，Γ，s0，SG)。其中S是網絡狀態(tài)的集合，ΓSxS是狀態(tài)轉換關系的集合，s0∈S是網絡初始狀態(tài)，SGS是目標狀態(tài)的集合。對于一個目標狀態(tài)sn∈SG，如果從初始狀態(tài)s0開始，存在一組狀態(tài)序列s1，s2，…，sn，使得(si，si+1)∈Γ，0<i<n-1，則稱狀態(tài)序列s0，s1，…，sn是一條攻擊路徑。攻擊行動用如下三元組表示(src_host，dst_host，vid)。其中src_host是發(fā)動攻擊的主機id，dst_host是遭受攻擊的主機id，vid是此次攻擊所利用的弱點號。攻擊圖的生成利用漏洞掃描工具(如Nessus，Nmap])探測單個主機的漏洞信息;將探測到的漏洞信息和其他信息進行關聯(lián)(如主機中的連接信息)，并利用GraPhviz工具生成攻擊圖。攻擊圖中的每條路徑由一系列原子節(jié)點構成，最終到達一個特定的狀態(tài)(如管理員權限狀態(tài))。用戶類型用戶類型角色描述Root系統(tǒng)管理員，管理系統(tǒng)設備、系統(tǒng)文件和系統(tǒng)進程等一切資源User系統(tǒng)普通用戶，由系統(tǒng)初始化產生或系統(tǒng)管理員創(chuàng)建，有自己獨立的私有資源Access可以訪問網絡服務的遠程訪問者，通常是信任的訪問者，能和網絡服務進程交互數據，可以掃描系統(tǒng)消息等攻擊圖實例攻擊圖生成算法1)建立初始網絡狀態(tài)init_state:2)將init_state加入到擴展網絡隊列state_queue;3)While(state<-queue不為空)Cur_state<-Get_State(state_queue)if(M中指定了攻擊目標&&攻擊目標全部到達)continue;建立與當前發(fā)起攻擊主機具有連接關系的主機隊列host_queue;While(host_queue不為空)Host<-Get_host(host_queue);建立當前攻擊主機可以用來訪問host的網絡協(xié)議隊列protocol_queue;

While(protocol_queue不為空)Protocol<-Get-Protoeol(protocol_queue);建立與protocol相關的攻擊規(guī)則隊列attack_rule_queue;14)while(attaek_rule_queue不為空)15)Attack_rule<-

Get--Attack_Rule(attack_rule_queue);16)從當前攻擊發(fā)起主機嘗試利用attack_rule對host進行模擬攻擊;17)lf(模擬攻擊成功&&攻擊者對網絡的控制能力得到提升)18)生成新的網絡狀態(tài)new_state索引;19)If(new_state在分析過程中沒有出現)20)將new_state的索引其加入到state_queue中;21)While(攻擊線索不為空)22)If(攻擊目標不在路徑線索中)23)刪除該路徑線索;24)If(攻擊目標在路徑線索中&&攻擊目標不在線索終點)25)刪除線索中攻擊目標以后部分;26)輸出攻擊路徑線索;入侵場景將入侵場景中能夠達到管理員所提供的系統(tǒng)所能承受的最大入侵等級中的入侵場景作為分析該系統(tǒng)可生存性的依據。漏洞等級確定弱點的攻擊復雜度是用來衡量攻擊者成功利用該弱點的難易程度的一種度量。等級描述攻擊復雜度1有現成可用的攻擊工具與詳細的攻擊步驟1.02可定制攻擊工具，有較詳細的攻擊步驟0.83無現成可用的攻擊工具，但有較詳細的攻擊步驟0.64公開報告并提及可能或粗略描述的攻擊方法0.45公開報告但未給出攻擊方法0.2服務質量單位時間內處理的服務數量——當前服務狀態(tài)剩余網絡帶寬——可容忍服務狀態(tài)網絡延遲——服務效率可生存性層次化評估模型可生存性分析步驟可生存性層次化計算方法可生存性分析步驟可生存性層次化計算方法示意圖W:影響系統(tǒng)中關鍵服務的重要程度E:關鍵服務與原子組件的依賴關系C:攻擊者利用漏洞的可能性可生存性層次化計算方法系統(tǒng)的關鍵服務集合S={S1，S2，…，Sk};W={W1，W2，…，Wk}為關鍵服務重要性權重集合，且脆弱原子服務組件具有的資源消耗類漏洞集合A={A1，A2，…，Am}，權限提升類漏洞集合B={B1，B2，…，Bn}，漏洞被攻擊者利用的可能性參數集合C={C1，…，Cm，Cm+1，…，Cm+n}，特權提升類攻擊可識別參數集合D={D1，…，Dm}系統(tǒng)服務狀態(tài)集合:{PS_Init，PS_Attack_l，PS_Interval，PS_Attack_2}，其中PS_Init代表原子組件正常運行的服務質量狀態(tài)，PS_Attack_l代表第一次攻擊中原子組件服務質量狀態(tài)，PS_Interval代表攻擊結束后服務質量狀態(tài)，PS_Attack_2代表第二次攻擊中原子組件的服務質量狀態(tài)關鍵服務K的原子組件集合為M={MK1，…，MKL}，L代表關鍵服務原子組件的個數。系統(tǒng)可生存性定義為Sur={Recognition，Resistance，Recovery，Adaptation}，原子組件的可生存性表示為M_Sur，關鍵服務的可生存性表示為S_Sur。識別攻擊能力以每個原子服務為最終節(jié)點，生成攻擊場景根據場景中的漏洞參數屬性構造函數Fm=f(c1，…，cm)=，和Gm=g(D1，…，Dm)=1-利用漏洞可能被利用的可能性和被識別的概率量化原子服務組件識別攻擊能力:只有每個原子服務組件正常運行才能保證系統(tǒng)持續(xù)提供服務，所以服務的識別性計算公式為:

S_Recognition=Min{M_Recongnitioni}i=1,…,k系統(tǒng)的識別能力由各關鍵服務的識別能力得出，并根據服務重要程度大小來區(qū)分，計算公式為:抵抗攻擊能力用攻擊時刻的服務狀態(tài)和系統(tǒng)未遭受攻擊時的服務狀態(tài)比來量化原子服務組件抵抗攻擊的能力，原子服務組件抵抗攻擊能力計算公式為:只有每個原子服務組件正常運行才能保證系統(tǒng)持續(xù)提供服務，所以服務的抗攻擊能力計算公式為:

S_Resistance=Min{M_Resistancei}i=1,…,k系統(tǒng)的識別能力由各關鍵服務的抗攻擊能力得出，并根據服務重要程度大小來區(qū)分，計算公式為: Resistance=*S_Resistance服務恢復能力通過分析攻擊結束或被隔離以后，原子服務組件的自動恢復情況來分析其恢復能力，計算公式為:只有每個原子服務組件正常運行才能保證系統(tǒng)持續(xù)提供服務，所以服務的恢復能力計算公式為:

S_Recovery=Min{M_Recoveryi}i=1,…,k系統(tǒng)的識別能力由各關鍵服務的恢復能力得出，并根據服務重要程度大小來區(qū)分，計算公式為: Recovery=*S_Recovery適應能力對同一個原子服務組件進行兩次同樣的攻擊測試，以獲取系統(tǒng)是否具有自適應機制，計算公式為:只有每個原子服務組件正常運行才能保證系統(tǒng)持續(xù)提供服務，所以服務的適應能力計算公式為:

S_Adaptation=Min{M_Adaptationi}i=1,…,k系統(tǒng)的識別能力由各關鍵服務的抗攻擊能力得出，并根據服務重要程度大小來區(qū)分，計算公式為: Adaptation=*S_Adaptation實驗定義服務重要程度向量W={0.5，0.3，0.2}使用Nessus2.2.6對實驗環(huán)境中機器進行掃描，得到漏洞情況表根據表中的漏洞信息生成網絡攻擊圖根據表中的結果，從攻擊庫中選取針對漏洞號136和13653的攻擊，對系統(tǒng)進行5組攻擊測試，測試過程分為:初始狀態(tài)、1次攻擊狀態(tài)、間隔狀態(tài)、2次攻擊狀態(tài)，每部分持續(xù)一分鐘，并選取每部分的中間點采樣，使用coral-3.7.5對攻擊下的服務質量進行監(jiān)測，平均結果如服務質量監(jiān)測表所示計算服務質量計算系統(tǒng)可生存性網絡攻擊圖漏洞信息一覽表服務質量監(jiān)測表服務質量選取的服務質量指標有網絡延時ND，包處理數PD，網絡帶寬NB Qos=(A1-A2+1)/2服務質量表系統(tǒng)可生存性結論測試環(huán)境系統(tǒng)中DNS服務有較強的恢復能力，在攻擊結束后可在較短時間內正常提供服務，并釋放掉攻擊所占用資源由于DNS服務在第一次遭受攻擊后增加了過濾規(guī)則，因此在進行第二次攻擊時，沒有達到拒絕服務效果，因此有較強的適應能力由于在第一次攻擊時，DNS和FTP系統(tǒng)都處于拒絕服務狀態(tài)，故抵抗能力較低。第4章基于服務自組織的可生存性增強算法自組織服務可生存性計算自組織算法實驗分析自組織系統(tǒng)局部交互中的全局有序性分布式控制健壯性反饋控制局部交互中的全局有序性局部交互指個體僅與它們的直接鄰居交互,即任何一個個體獨立于遠離它的其它個體全局有序性是指由事先設計的某種目標特性,它應當是系統(tǒng)的某種自發(fā)屬性，所謂自發(fā)屬性是指系統(tǒng)中通過微觀的操作組合自然形成的某種宏觀特性自組織過程如下:兩個交互的個體通過一系列交互，自動配置各自的參數,直到它們發(fā)現一個相互滿意的穩(wěn)定的狀態(tài),稱此時它們己經適應或藕合在一起分布式控制控制必須是分布式的存在于所有參加的個體中健壯性當系統(tǒng)的損傷較小時，自組織系統(tǒng)能夠利用系統(tǒng)中富余的資源自動修復和屏蔽故障或攻擊，維持系統(tǒng)服務的正常提供當損傷過于嚴重時，系統(tǒng)的功能將逐步惡化，而不是突然崩潰能夠調整其結構適應環(huán)境的變化，“學習”新的技巧應對過去未遇到的問題服務可生存性計算網絡提供的服務集合為一個二元組,S={SE,SN},其中SE={SE1,…,SEn}為關鍵服務,SN={SN1,…,SNm}為非關鍵服務網絡系統(tǒng)抽象為原子組件Nij的集合,sys=(N11,N12,…,Nn1,…,Nnk),其中N11,…,N1I表示一共有I個具有功能號1的原子組件,n代表網絡系統(tǒng)原子組件種類數。m=Max|Ni|i=1,…,n代表所有原子組件中具有相同功能原子組件數量中的最大值。其中,Ni代表功能號為i的原子組件集合原子組件有且只有兩種狀態(tài):完好和故障。服務模式:系統(tǒng)在完好的狀態(tài)下提供的服務稱為標準服務，在某些組件發(fā)生故障時，系統(tǒng)使用具有相同功能的替代組件提供可接受的服務,稱為替代服務服務的生存性若原子組件在時間t內處于完好狀態(tài)的概率為exp(-λt)，則服務的生存性是當服務所需原子組件(總數為n)均處于完好狀態(tài)時的概率:sur:可生存性值n:組件種數ti:服務在功能組件i上的處理時間,msλi:失效系數林德貝格一列維中心極限定理設隨機變量X1,…,Xn相互獨立,服從同一分布，且具有數學期望和方差E(Xk)=μ和D(Xk)=σ2>0(k=1,…,n),則隨機變量之和的標準化變量Yn的分布函數Fn(x)對于任意x滿足該定理表明:當n→∞時,隨機變量序列Yn的分布函數收斂于標準正態(tài)分布的分布函數該定理認為：正態(tài)分布的均值等于總體分布的均值,方差等于總體分布的方差除以樣本大小失效狀態(tài)評定原子組件Nij對于關鍵服務的響應時間為日志庫中樣本的平均響應時間樣本的標準方差為：總體均值的置信區(qū)間為：概率度與置信度的關系表Λ的計算組件在時間t內處于完好狀態(tài)的概率為：組件在時間t內處于故障狀態(tài)的概率為：原子組件可生存性算法統(tǒng)計滑窗內有效服務響應數num;計算有效響應時間數組均值T;計算方差D;計算參數統(tǒng)計滑動窗口中失效點個數L及最小時間間隔tval;更新參數計算服務生存性Returnsur;原子組件可生存性二維矩陣元素的值為：自組織算法廣播自己節(jié)點的服務生存性信息;if(收到服務生存性列表)then更新服務組件生存性列表;else得到令牌并接管服務;while(1){if(具有令牌){ 接收其他節(jié)點提供的生存性信息，并排序; if(如果排序發(fā)生變化){將最新的生存性列表信息廣播給所有節(jié)點;} else將最新的生存性列表信息廣播給請求節(jié)點; if(No.A組件節(jié)點生存性高于自己){將令牌交給No.A組件}//endif continue;}//endif自組織算法else{探測自身生存性信息，并發(fā)送給服務主節(jié)點.if(沒有得到回應){ if(其本身不是次高節(jié)點){將具有次高服務生存性的組件設置為主節(jié)點;continue;}//endif 得到令牌; 將得到令牌信息通知所有節(jié)點; continue;}//endifelse{ if(得到令牌)then接管服務; continue;}//endelse等待一個時間周期;}//endelse}//endwhile實驗環(huán)境采用C語言模擬實驗內容可生存性計算驗證自組織算法應用分析攻擊情況服務能力下降情況可生存性計算驗證設定原子組件出錯概率和服務平均響應時間;根據出錯概率隨機產生100000個狀態(tài)序列，其中采樣點有且只有“失效”和“完好”兩種狀態(tài);隨機產生10000個服務起始點，統(tǒng)計在不同平均相應時間中服務能夠完成的概率曲線;計算可生存性變化曲線;比較上兩個步驟中生成的曲線低失效率生存曲線對比圖結論計算獲得的生存性指標與實際值非常相近服務生存性與失效率和平均響應時間成反比高失效率生存曲線對比圖結論計算獲得的生存性指標與實際值非常相近服務生存性與失效率和平均響應時間成反比失效高的的節(jié)點服務生存性有可能高于失效率低的節(jié)點攻擊情況下自組織算法應用分析設定原子組件的失效概率，通過動態(tài)調整失效率矩陣模擬攻擊，原子組件失效率變化情況如下：假定原子組件平均響應時間一樣，采樣頻率為I000Hz，平均響應時間為0.1秒，采樣時間為1秒。攻擊環(huán)境下自組織圖結論在原子組件失效狀態(tài)時可將令牌交給替代組件，使替代組件繼續(xù)提供服務，如圖中點A、D;攻擊強度越大導致單位時間內新產生的狀態(tài)點越多，導致平均自組織時間越長；原子組件的短時間失效(節(jié)點B)沒有影響自組織結果;原子組件從失效狀態(tài)恢復到完好狀態(tài)，需要進行一段時間考查才可以繼續(xù)提供服務(節(jié)點E)當具有相同功能的多個原子組件服務的生存能力相當時，自動實現負載均衡。配置狀態(tài)1代表由AtomicModule11和AtomicModule22；配置狀態(tài)2代表由AtomicModule12和AtomicModule22；配置狀態(tài)3代表由AtomicModule12和AtomicModule21；服務能力下降情況下自組織算法分析設定原子組件服務能力下降衰減參數，通過動態(tài)調整響應時間矩陣模擬服務能力下降，原子組件響應時間矩陣和組件服務能力下降參數分別為：假定原子組件平均響應時間一樣，采樣頻率為I000Hz，平均響應時間為0.1秒，采樣時間為l秒。服務質量下降情況下自組織圖結論在原子組件服務能力下降的時候選擇替代組件繼續(xù)提供服務;相同功能的原子組件服務能力相當時，算法可以根據實際測量的服務情況在原子組件中相互切換;當服務在組件中進行切換時，組件所分得的平均服務時間與其服務能力下降的衰減參數成反比;當采取恢復組件服務能力等措施時，算法會對其進行一段時間的考查才能繼續(xù)提供服務。配置狀態(tài)1代表由AtomicModule11和AtomicModule21提供服務;狀態(tài)2代表AtomicModule12和AtomicModule21;其他依次類推。第5章基于連接遷移的服務可生存性增強系統(tǒng)連接遷移技術基于連接遷移的服務可生存性增強系統(tǒng)的架構服務處理流程系統(tǒng)模塊設計實驗分析連接遷移技術基于DNS輪轉的連接遷移基于ARP協(xié)議的連接遷移基于重構現場的連接遷移基于DNS輪轉的連接遷移基本思想 將多個IP地址綁定到一個域名上，域名服務器按輪轉機制將到達該域名的請求解析到不同的服務器上。優(yōu)點簡單支持多種平臺支持跨WAN備份缺點不能識別無法提供正常服務的服務器基于ARP協(xié)議的連接遷移基本思想 一組服務器節(jié)點使用公共的虛擬IP地址對外提供服務，各節(jié)點之間通過網絡或專用電纜互相監(jiān)視彼此的狀況，任何時候只能有一個活躍服務器對外提供服務。一旦活躍服務器由于某些原因而發(fā)生故障，則競爭成功地備份服務器就通過發(fā)送修改過的ARP報文，將活躍服務器的IP映射到自己的硬件地址上，從而實現服務的連續(xù)性。缺點 只能用在同一個局域網內基于重構現場的連接遷移基本思想 在適當的時機，前端處理組件根據自身的服務狀態(tài)，將與該客戶的連接遷移至另一個處理組件(后端)上。后端處理組件根據前端發(fā)送過來的數據進行現場重構，并采用連接傳遞技術將構造出的資源交給屬主進程，屬主繼續(xù)完成服務并將處理結果傳遞給服務請求者。連接重構概念 將連接的一切數據結構在后端處理組件的操作系統(tǒng)內核中重建。步驟分配記錄連接信息的sock結構并初始化;查找到服務請求方的路由，將路由信息填入Sock結構;根據遷移協(xié)議從遷移請求報文提取連接信息;根據提取得到的連接信息修改sock結構的一些域;將該sock結構登記到系統(tǒng)的相關表格中。連接傳遞概念 讓應用層服務程序接受構造出來的連接請求，將一個連接從一個進程傳遞給另一個監(jiān)聽進程。步驟將連接的sock結構與源進程脫鏈;構造出該連接在初始建立時的環(huán)境;建立sock結構與初始環(huán)境(open-request結構)的聯(lián)系;將open-request結構掛到目的監(jiān)聽進程的接收隊列上;將目的監(jiān)聽進程喚醒。系統(tǒng)硬件體系結構對等網結構系統(tǒng)模塊結構服務處理流程系統(tǒng)初始化，自組織模塊定時發(fā)送測試數據報文通過本節(jié)點的通信、服務分發(fā)和服務提供模塊，三個模塊分別記錄測試數據報文經過本模塊的時間段。開始自組織過程，系統(tǒng)首先已經指定一個主節(jié)點，其它節(jié)點通過取得測試報文經過三個模塊的時間獲得當前節(jié)點各個模塊的可生存性，并向主節(jié)點通報該節(jié)點的可生存性狀態(tài)?？蛻粼跒g覽器中輸入一條url信息，url信息經過系統(tǒng)所設定的DNS服務器解析得到相應的IP地址，該IP地址也就是當前提供服務通信模塊的IP地址?？蛻襞c獲得的通信模塊建立三次握手，接著向通信模塊發(fā)送get請求，通信模塊通過配置文件找到當前正在提供服務的分發(fā)模塊IP，若該IP配置在本節(jié)點上，則直接向虛擬地址建立連接，若該IP沒配置在本節(jié)點上，則直接把請求經過三次握手轉發(fā)到該服務分發(fā)模塊所在的通信模塊上。通信模塊此時可以和分發(fā)模塊監(jiān)聽的虛擬IP直接建立連接并發(fā)送get請求?？蛻襞c通信模塊和通信模塊與分發(fā)模塊建立socket對，該socket對負責客戶與分發(fā)模塊直接數據的傳遞。當分發(fā)模塊收到通信模塊發(fā)來的get請求時，把這個連接在連接池內進行登記，設置相關狀態(tài)，生成遷移請求數據包。根據自組織信息找到當前正在提供服務的最優(yōu)服務提供模塊，通過一條和該服務提供模塊己經建立的持久連接把遷移請求數據包發(fā)給該服務提供模塊。服務提供模塊在特定socket上等待數據，收到數據包后首先對數據包進行解析，判定是否遷移請求，若是則取出包內的TCP連接現場信息，查找本地應用服務的監(jiān)聽socket，根據該socket生成一個新的Sock，把該sock的相關信息改為分發(fā)模塊上的已經建立的連接現場信息，并把目的路由信息從指向分發(fā)模塊改為直接指向通信模塊，這樣就把連接現場在數據模塊重建起來了，把get信息放入重建連接的請求隊列中，此外還要新建一個請求頭，把請求頭放入請求隊列并喚醒讓上層應用協(xié)議開始處理。完成重建現場、連接傳遞的相關工作后，服務提供模塊構造連接現場重建成功信息包，并把此包通過剛才接收遷移請求的連接發(fā)送回分發(fā)模塊，分發(fā)模塊收包后進行解析，若解析為重建現場成功則撤銷分發(fā)模塊上與客戶連接的socket，然后在連接池內把該連接的狀態(tài)改成已遷移。應用層服務向通信模塊發(fā)送請求回復，通信模塊所在節(jié)點協(xié)議棧中向分發(fā)模