入侵容忍的计算机网络系统研究

摘要 新时期，计算机网络在人们生活中的深入应用，也带来了不可避免的网络安全问题，加强对于各种网络安全威胁的有效抵御，是当前计算机网络技术研究人员至为关注的一项工作。而入侵容忍的技术便是目前应对不良网络入侵行为而研发的网络安全的关键维护技术，推动此项技术的系统构建，是推动其安全防护作用顺利实现的必要保证。本文通过分析入侵容忍的相关技术理论，着重探讨了其系统的构成以及系统构建的关键机制，以求为相关人员提供参考和借鉴。

关键词 计算机网络；入侵容忍系统；技术理论；系统组成；构建机制

中图分类号 TP309 文献标识码 A 文章编号 1673-9671-（2012）102-0145-01

21世纪计算机网络的应用与其具体应用中的安全防护，同时成为了时代的焦点话题，做好对于两个方面的全力研究，是国家技术人员目前正在努力实施的事情。而随着人们在更加深入的程度上加深了对于计算机网络的依赖，网络安全有效防护研究步伐日益实现了迅猛的提升，入侵容忍的防护技术在此种形势下被逐渐研发出来。本文出于帮助更多相关人员加深对于入侵容忍技术认知的目的，以入侵容忍技术的系统构建作为切入点，着重从其系统组成以及关键机制等方面进行了探讨。

1 计算机网络的入侵容忍技术理论分析

当前时期，计算机网络面临的各种安全威胁，在本质上都可以被归为入侵的行为，即非授权用户恶意地通过各种措施来访问他人网络，以达到对于各种网络数据和相关资源等的保密性、完整性以及有效性的破坏，或者是指某些用户不能遵照系统安全需求来进行各项操作。加强对于入侵行为的有效抵御，是维护网络安全的必行措施，因而，入侵容忍技术被逐渐地研发出来。

从入侵容忍的技术理论层面来讲，此项技术属于网络安全维护中的第三代的技术，它的应用致力于维持网络的可生存能力，即保证网络在遭遇任何操作失误、突发事故、攻击事件等的状况中，都能够借助于技术对于各种不良行为的检查、隔离和处理等，使其自身依旧保持稳定、可持续的运营。而基于入侵容忍技术所构筑的系统，主要就是借助于此种技术为计算机网络构筑的一种系统的防护。

入侵容忍防护系统的构建从功能上讲，主要实施两类保护，即对于服务以及数据两者的入侵容忍，前者主要研究遭遇攻击的网络系统对于合法用户的机制与方法的可持续正常传输，后者主要研究系统在遭遇各种攻击时对于数据可用性与保密性的维护。从系统整体上应该发生的作用来讲，入侵容忍防护系统必须能够做到对于各种攻击与攻击后破坏程度的检测以及评估，还要能够应对关键服务、数据以及完整服务等功能进行维护以及恢复。

2 入侵容忍系统组成部分以及构建机制

2.1 入侵容忍系统组成部分

从此系统的整体组成方面来讲，它主要包括了三个大方面的子系统，即：服务调度与监控、信息的多元管理与存储、报警信息的聚合与关联，这些子系统与计算机网络原有的安全防护体系进行有效融合，从而与原有的防护体系实施相互的辅助，共同发挥对于网络的安全保护作用。

就服务调度与监控这个子系统而言，它在整个系统中居于核心的地位，设置在关键的应用服务器群落以及具体网络用户之间，用来为二者的沟通连接来提供缓冲与过滤的场地，即用户请求发送至服务调度与监控部位，然后由此部位指点应当做出反应的服务器，再由服务器将具体响应返回，由系统决定是否具体实施这些反应。它包括了对虚拟的IP地址与网关群、攻击反应机制、投票表决机制这样三个内容，能够过滤用户发来的所有信息，从而避免这些信息中的恶意信息直接接触服务器，使服务器始终处于安全运行中。

就信息的多元管理与存储这个子系统而言，它是在关键的应用服务器群落内部设置的一种系统，包括了两个及以上主流操作系统与信息服务机制部分、信息管理与存储以及切分与耦合关键数据信息的机制，前两项用来保证服务器在遭遇攻击时切换到其他未受攻击的服务器以维持继续运行，并且以异构的系统对所有信息进行统一透明的管理与存储，后者用来对关键数据进行切分使各项数据成为线性无关的多个分块，从而对信息进行不同部位的存储。此部分的构建能够达到对于用户信息的透明呈现以及分割管理，以避免计算机系统在遭遇入侵时产生大面积的崩溃。

就报警信息的聚合以及关联这个子系统而言，它主要是设置于系统后台运行部位，对来自防火墙、入侵检测、安全审计以及漏洞扫描等防护系统的数据信息实施综合的分析与评估，从而针对各项信息对网络所构成的威胁程度来进行系统或人工干预，从而达到对于信息的提炼。它包括了关联系统的定义与实现格式、报警信息聚合、攻击步骤关联以及入侵容忍触发这样几个内容，能够将各种信息构建成统一的关联格式，然后对其进行分类聚合，从而针对各种动作进行逻辑的关联，最终就某个攻击行为触发报警机制。

2.2 入侵容忍系统关键机制

1）系统必须构建多于系统实际需求的信息及资源冗余机制，将这一机制渗透在各个网关配制中，从而使不同服务器都获得对于数据信息的备份，以借助可应用网关针对攻击行为与客户进行交互。2）系统的信息资源必须以多元化的建构方式在系统中得以储存及管理，从而避免系统单点失效而造成系统崩溃。3）系统必须具有聚合以及关联机制，保证各种具有相同与相似属性的事件信息能够得到及时有效的聚合分析，并在这些信息中构建起关联关系，以研究其具体的攻击过程与攻击程度。

3 结束语

计算机网络对于入侵容忍系统的构建，是维护网络安全的必要措施，本文只对基础的系统理论方面进行了探究，技术研究人员还要针对各种理论积极做好对系统的实际构建，进而努力地推动此技术所具有的网络安全防护作用的实现。

参考文献

[1]周华，孟相如，张立.一种基于TTCB的容侵原子多播协议研究[J].计算机应用研究，2008，07.

[2]刘学诚，李云.基于聚类和免疫遗传的入侵检测系统研究[J].计算机工程与设计，2009，10.

[3]郭世泽，牛冠杰，郑康锋.入侵容忍系统模型构建及量化分析[J].北京邮电大学学报，2007，01.