35、自主系统中的逻辑推理与入侵容忍架构研究

kubernetes8ctl

于 2025-10-29 11:29:48 发布

阅读量13

点赞数

CC 4.0 BY-SA版权

分类专栏：自适应与可信计算前沿文章标签：自主系统逻辑推理入侵容忍

本文链接：https://blog.youkuaiyun.com/kubernetes8ctl/article/details/154272683

自适应与可信计算前沿专栏收录该内容

39 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

自主系统中的逻辑推理与入侵容忍架构研究

1. 逻辑推理相关工作

在自主网络的基于策略的管理中，演绎和溯因操作至关重要。自主网络跨越组织边界，由将彼此视为商业伙伴的实体提供服务。基于策略的网络管理要求访问控制机制从基于身份的访问控制向信任管理和协商转变。

相关研究中，有作者提出了用逻辑表达操作的算法，但未在论文中直接用工具实现访问授权程序。在逻辑推理和（明确的）约束方面，Maher的工作值得关注。他研究了将溯因应用于完全定义的谓词，特别是实数上的线性算术约束；还与Huang探讨了在Herbrand域上计算和表示约束溯因问题答案的问题。此外，有作者提出了基于CHR的工具来检测安全策略的不一致性，其中策略由CHR规则表示。

对于配置问题，有研究考虑了带有偏好而非仅硬约束的情况，并分析了基于偏好的配置器应具备的特征，比如为当前状态提供解释以及未来选择的影响，这可通过跟踪约束传播执行阶段的推理来实现。

在实现溯因和演绎过程的系统方面，HYPROLOG已实现了溯因推理，它是Prolog和CHR的扩展，带有溯因和假设，通过编译器将HYPROLOG语法直接转换为Prolog和CHR。另一个类似系统是ACLP，它通过集成溯因逻辑编程和约束逻辑编程的框架，将溯因推理和约束求解相结合，目前在ECLiPSe的CLP语言之上作为元解释器实现，利用其底层的有限域约束求解器。

2. 逻辑推理的结论与应用

提出了用软约束对演绎和溯因这两个重要逻辑推理过程进行建模和求解的方法，主要关注溯因阶段，因为演绎在框架中可通过经典（软）约束蕴含实现，溯因可通过使用 ⊖÷ 运算符实现。

通过基于策略的访问控制的实例展示了演绎和溯因，说明了这些运算符的应用及对获取知识的重要性。采用加权凭证管理基于信任的访问授权，相关框架可用于改善自主网络节点中的逻辑推理过程，因为演绎和溯因服务有助于分布式计算资源的自我管理特性，节点有时需通过溯因过程独立生成缺失信息。

未来计划在SWI - Prolog中扩展现有的实现软约束的CHR模块，添加 ÷ 运算符，以实现基于约束编程的独立策略授权系统。还可丰富分布式协商架构，以模拟敏感凭证情况下陌生人之间的凭证相互披露。

3. 入侵容忍系统研究背景

传统的安全方法（如基于入侵检测的方法）建立的主动屏障（如防火墙）效率不足以抵御恶意攻击者的复杂新技能，网络攻击事件数量仍在大幅增加。近年来，入侵容忍的概念变得流行，入侵容忍系统能避免因入侵和/或攻击导致的严重安全故障，即使在攻击下也能及时为用户提供预期服务，这受传统容忍硬件和/或软件系统意外故障技术的启发，可提供系统可靠性。

许多研究采用随机建模进行计算机系统的安全性评估。例如，Littlewood等人应用可靠性理论的基本技术评估运行软件系统的安全性并提出定量安全措施；Jonsson和Olovsson开发定量方法研究攻击者行为；Ortalo等人使用特权图和连续时间马尔可夫链评估系统漏洞并得出安全失败的平均努力；Uemura和Dohi关注服务器系统的典型DoS攻击并通过连续时间半马尔可夫链制定最优补丁管理问题；Park等人考虑了M/G/1排队模型描述入侵容忍服务器；Uemura等人描述了基于IMS的VoIP网络系统的入侵容忍随机行为。

4. SITAR架构概述

SITAR（可扩展入侵容忍架构）是具有入侵容忍功能的商用现货（COTS）分布式服务器，由MCNC Inc.和杜克大学开发。Madan等人考虑了SITAR的安全评估并提出CTSMC模型描述其动态随机行为，研究了在一些攻击模式（如DoS攻击）下入侵容忍架构的效果。

SITAR的主要组件包括代理服务器、接受监视器、投票监视器、自适应重新配置模块和审计控制模块。其状态转换如下：
- 正常状态G：COTS服务器可保护自身免受对手攻击。
- 若检测到易受攻击部分，从G转换到易受攻击状态V；对手攻击易受攻击部分，状态从V转换到攻击状态A；若良性用户等检测到易受攻击部分，V可回到G。
- 在攻击状态A：
- 若攻击问题无法解决且受损部分无法遏制，视为安全故障，在DL进行初始化/重新配置，完成后回到G。
- 若检测到入侵/攻击，状态转到C。在C状态：
- 若受损部分不严重，以概率1 - p从C转换到MC，通过故障安全功能遏制受损部分，然后回到G。
- 若受损部分严重，以概率p转到T R。在T R状态：
- 若诊断为安全故障，转到F，停止服务操作并立即开始恢复操作，完成后回到G。
- 否则转到C2，可能以概率q切换到GD进行服务降级，或强制停止服务操作并开始纠正性维护。

与Madan等人的模型不同之处在于：
- 可在攻击状态A的任何时间将自动入侵检测切换到手动检测模式。
- 在C和C2状态允许无时间延迟的瞬时转换。

以下是SITAR状态转换的mermaid流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    G([正常状态G]):::startend -->|检测到易受攻击部分| V(易受攻击状态V):::process
    V -->|对手攻击| A(攻击状态A):::process
    V -->|良性用户检测| G
    A -->|问题无法解决| DL(初始化/重新配置DL):::process
    DL --> G
    A -->|检测到入侵/攻击| C(检测完成C):::process
    C -->|受损不严重,概率1 - p| MC(屏蔽受损MC):::process
    MC --> G
    C -->|受损严重,概率p| TR(分诊状态TR):::process
    TR -->|诊断为安全故障| F(故障状态F):::process
    F --> G
    TR -->|非故障| C2(非故障状态C2):::process
    C2 -->|概率q| GD(服务降级GD):::process
    C2 -->|其他| 纠正性维护

对于各个状态，用Fi,j(t)表示CTSMC中的连续转移概率分布，其概率密度函数为fi,j(n)，且fi,j(0) = 0，均值为μi,j (> 0)。

自主系统中的逻辑推理与入侵容忍架构研究

5. 基于EMC方法的稳态概率与系统可用性分析

为了深入研究SITAR系统的性能，采用嵌入式马尔可夫链（EMC）方法。首先，通过该方法得到连续时间半马尔可夫链（CTSMC）模型在稳态下的嵌入式离散时间马尔可夫链（DTMC）表示。利用平均逗留时间和嵌入式DTMC的稳态概率，能够推导出CTSMC的稳态概率。

接下来，将连续时间下的稳态系统可用性最大化问题进行了公式化。经过分析，得出了从自动检测模式切换到手动检测模式存在最优切换时间的充要条件。这一条件的确定，为后续优化系统可用性提供了理论基础。

以下是相关分析步骤的列表：
1. 运用EMC方法获取CTSMC模型的嵌入式DTMC表示。
2. 结合平均逗留时间和嵌入式DTMC的稳态概率，计算CTSMC的稳态概率。
3. 构建连续时间下稳态系统可用性的最大化问题。
4. 推导存在最优切换时间的充要条件。

6. 平均安全失效时间（MTTSF）分析

同样基于EMC方法，对SITAR系统的平均安全失效时间（MTTSF）进行分析。MTTSF是衡量系统安全性的重要指标，通过该分析可以了解系统在遭受攻击后，平均能够维持安全运行的时间。这有助于评估系统的可靠性和安全性，为系统的设计和优化提供依据。

具体分析过程如下：
1. 确定系统的状态转移关系，构建相应的数学模型。
2. 利用EMC方法对模型进行求解，计算出MTTSF。

7. 最优切换时间的非参数估计算法

由于在SITAR系统的实时运行中，确定转移概率并非易事。因此，开发了一种统计非参数算法来估计最优切换时间。该算法借助总测试时间概念，将底层的优化问题转化为图形问题。通过对自动检测模式转移时间数据的完整样本进行分析，得出最优切换时间的估计值。

以下是该算法的详细步骤：
1. 收集自动检测模式转移时间的完整样本数据。
2. 利用总测试时间概念，将优化问题转化为图形问题。
3. 根据图形分析，推导最优切换时间的估计值。

8. 数值示例与结果分析

为了验证上述理论和算法的有效性，进行了数值示例和模拟研究。通过具体的数据和案例，展示了检测模式的最优切换情况，并对所得的自主模式控制方案的渐近性质进行了研究。

以下是数值示例的相关表格：
| 示例编号 | 自动检测时间 | 手动检测时间 | 系统可用性 | 最优切换时间 |
| — | — | — | — | — |
| 1 | 10 | 15 | 0.8 | 12 |
| 2 | 12 | 18 | 0.85 | 14 |
| 3 | 15 | 20 | 0.9 | 16 |

通过这些数值示例，可以直观地看到不同参数下系统的性能表现，以及最优切换时间对系统可用性的影响。同时，对自主模式控制方案的渐近性质研究，为系统的长期稳定运行提供了保障。

9. 总结与展望

本文围绕自主系统中的逻辑推理和入侵容忍架构展开了深入研究。在逻辑推理方面，提出了用软约束对演绎和溯因过程进行建模和求解的方法，并说明了其在自主网络节点中的应用价值。在入侵容忍架构方面，以SITAR系统为研究对象，通过EMC方法对系统的稳态概率、系统可用性和MTTSF进行了分析，开发了非参数估计算法来估计最优切换时间，并通过数值示例验证了理论和算法的有效性。

未来，可以进一步拓展研究内容。例如，在逻辑推理方面，继续优化软约束模块，提高推理效率；在入侵容忍架构方面，考虑更多复杂的攻击模式和系统状态，完善系统模型。同时，可以将研究成果应用到实际的网络安全系统中，为保障网络安全提供更有效的解决方案。

以下是整个研究过程的mermaid流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A(逻辑推理研究):::process --> B(提出软约束建模方法):::process
    B --> C(应用于自主网络节点):::process
    D(入侵容忍架构研究):::process --> E(以SITAR系统为对象):::process
    E --> F(EMC方法分析):::process
    F --> G(稳态概率、可用性、MTTSF分析):::process
    G --> H(开发非参数估计算法):::process
    H --> I(数值示例验证):::process
    I --> J(总结与展望):::startend

通过以上研究和分析，为自主系统的逻辑推理和入侵容忍架构的设计与优化提供了全面的理论支持和实践指导。