CN108076072B

CN108076072B - 一种针对Web异构冗余系统的动态切换方法

Info

Publication number: CN108076072B
Application number: CN201810038718.8A
Authority: CN
Inventors: 汤景凡; 胡恩超; 姜明; 张旻; 梁惠兵
Original assignee: Hangzhou Electronic Science and Technology University
Current assignee: Hangzhou Electronic Science and Technology University
Priority date: 2018-01-16
Filing date: 2018-01-16
Publication date: 2020-02-18
Anticipated expiration: 2038-01-16
Also published as: CN108076072A

Abstract

本发明公开了一种针对Web异构冗余系统的动态切换方法。本发明包括了动态切换机制、异构度计算以及切换成本计算，其中动态切换机制是利用日志审计结果触发系统执行切换，切换方式又分为水平切换和垂直切换；计算的异构度用于系统执行切换时，评估待切换的执行体集的异构程度，以筛选待切换的执行体集；计算的切换成本是用于评估系统执行切换时的代价，以筛选待切换的执行体集。本发明为静态的web异构冗余引入动态切换机制，可以降低单位时间内特定执行体的暴露时间,增加系统结构信息的不确定性。能够有效转移并减小系统暴露出的攻击面，具有更好的数据保密性和入侵容忍度，对提供连续可靠服务的主动防御系统具有积极的指导意义。

Description

一种针对Web异构冗余系统的动态切换方法

技术领域

本发明设计一种针对Web异构冗余系统的动态切换方法，具体是一种使冗余异构执行体动态切换的方法，该方法在Web异构系统感知到安全威胁时,触发动态切换机制，将线上的不安全执行体替换成其他与其充分异构的执行体。

背景技术

异构冗余的设计模式在执行体集上实现了服务器软件、文件系统和操作系统等多层次的异构化。虽然异构系统的设计和实现方法是多样的，所使用的技术和手段是不同的，但异构系统的目标是从入侵防御的角度保护系统数据的机密性。一方面系统中的异构执行体就是屏蔽攻击者嗅探的关键，另一方面静态结构的Web异构冗余系统在防御能力上的增益是随时间的推移而减小的，理论上，有足够耐心的攻击者总有希望找出所有的异构漏洞。

参考文献

[1]Scarfone K,Mell P.An analysis of CVSS version 2 vulnerabilityscoring[C]//International Symposium on Empirical Software Engineering andMeasurement.IEEE,2009:516-525.

[2]Schleimer S,Wilkerson D S,Aiken A.Winnowing:local algorithmsfordocument fingerprinting[C]//ACM SIGMOD International ConferenceonManagement of Data.ACM,2003:76-85.

[3]Tang Jingfan,Hu Enchao,Liang Huibing,etc.Application of GeneticAlgorithmin Heterogeneous Redundant Web System.Revista de la Facultad deIngeniería U.C.V.,2017.10

发明内容

本发明的目的是针对传统静态结构的web异构冗余系统的不足，提供一种针对Web异构冗余系统的动态切换方法。

本发明解决其技术问题所采用的技术方案包括如下步骤：

一种针对Web异构冗余系统的动态切换方法，包括了动态切换机制、异构度计算以及切换成本计算，其中动态切换机制是利用日志审计结果触发系统执行切换，切换方式又分为水平切换和垂直切换；计算的异构度用于系统执行切换时，评估待切换的执行体集的异构程度，以筛选待切换的执行体集；计算的切换成本是用于评估系统执行切换时的代价，以筛选待切换的执行体集。

具体实现包括如下步骤：

步骤1、提出监听日志审计结果，当系统状态达到切换条件时，触发切换机制；

步骤2、将切换模式分为水平切换和垂直切换；

步骤3、提出Web异构系统的异构度的定义并计算；

步骤4、提出Web异构系统切换时的成本定义并计算；

步骤5、结合异构度和切换成本，选出执行体集执行切换。

步骤1所述的监听日志审计结果是指统计当前执行体集下的错误、警告日志的累积值，每当有新错误、警告日志产生时，就累加一次具体错误类型的报警次数，再通过事件机制触发系统去判断累计值是否达到安全阈值，未超过就继续运行，超过就根据不同级别的阈值设定触发切换机制。

步骤2提出的两种切换模式，具体如下：

根据系统的安全红线分为两条，一条是系统在以后存在崩溃的可能，红线阈值(χ)相对低；一条是系统在不久以后必定崩溃，红线阈值(χ^s)相对高；前者执行水平切换，后者执行垂直切换；具体红线阈值设定方法如下所示：

χ＝bs＝CVSS(l) 公式1

l＝(id_l,time_l,type,content,id_c,id_h)公式2

其中危险值(bs)是根据CVSS计算得出的，当0≤bs≤3.9时，该执行体处在低风险状态，当4.0≤bs≤6.9时，该执行体处在中等风险状态，当7.0≤bs≤10.0时,该执行体处在高风险状态；id_l是日志信息的唯一标识符；time_l是日志信息产生的时间；type是日志消息的类型，并type∈{Sys,Sec,App,Alert},其中Sys表示系统日志,Sec表示安全日志,App表示应用日志,Alert表示告警日志；content是日志信息的内容；id_c是产生日志的节点标识符，id_h是日志对应安全事件的目标节点标识符；

χ^s≈(N+1)/2 公式3

其中，N为在线执行体数,系统的异常执行体数已经高达半数以上，系统可进行垂直切换。

所述的平行切换是指系统运行过程中检测到A^*可能存在安全隐患，将存在隐患的执行体替换掉，替换的候选集为A^-；垂直切换是指将执行体集由A切换至B；设A,B为2组异构执行体集，且每组中有5个执行体；其中A＝{A₁,A₂,A₃,A₄,A₅},B＝{B₁,B₂,B₃,B₄,B₅}；首先选取A作为线上运行的执行体集，A^*表示参与输出的集合，A^-表示暂时不参与输出的集合；其中A^*＝{A₁,A₂,A₃},A^-＝{A₄,A₅}；B作为备用执行体集，表示方法和A类似；当系统检测到A₃的隐患级别超过阈值时，但还未到达可能影响系统瘫痪的级别时，根据动态切换机制，将A₃从A^*中移出，清洗，加入到A^-中，A₄从不参与输出决策到参与输出决策；即A₄替换了A₃；当系统检测到隐患级别到达影响系统故障的级别时，根据动态切换机制，先对B做系统资源完全存储，然后做内存资源增量备份，此时会出现停机维护；维护期间B切换成当前线上的执行体集，A被移出后执行清洗。

步骤3提出计算异构度，具体实现如下：

假设待移入的执行体为α∈A^*,待移出的执行体为β∈A^-,待移入的执行体集为A,待移出的执行体集为A′∈{B,C,D}，其中B,C,D都是异构执行体集；则α与β(或A与A′)的异构度计算方式如下：

(1)当进行水平切换时,只需将α与集合A^-里的每个执行体做Moss运算：

其中，Moss是美国斯坦福大学开源的一款代码查重系统，返回数值对(X,Y)表示a代码中有X％的代码与b中Y％的代码相匹配；

(2)当进行垂直切换时:

步骤4所述的切换成本由系统处理数据造成的，分布式的异构系统在切换时需要对系统数据进行存储、清洗、备份；不管是对数据的操作或是宕机所造成的损失，都是不可忽视系统性能，假设：①单位时间内Web系统的信息交互次数满足poison分布；②切换成本与数据量成线形关系；则切换成本P的定义如下：

其中，

是影响因子，且

S是信息量大小；

步骤5具体实现如下：

首先，构建异构执行体集并初始化影响因子

其中，构建算法使用遗传算法GAFDFR；

然后，系统监控日志审计结果，判断累计错误值(CNE)是否满足切换(switch)条件：

如果系统进行水平切(horizontally)，由于A^-已经在线上，只是不参与输出决策，所以切换成本不高，只需按照H降序排序，切换最小值即可；

如果系统进行垂直切换(vertical)，先按照H降序，当遇到H相同时，按照P升序排序,迭代选择较优的即可，直到执行体达到运行需求即可。

本发明有益效果如下：

(1)本发明提出了一种优化Web异构系统的算法模型。通过分析和评估各层的相似度，并依据评估结果对执行集进行选择、改进和设计。

(2)本发明web异构系统的异构优化属于组合优化问题，它的时间复杂度为O(n^n)。本文引入遗传算法，避免了迭代运算陷入局部极小的陷阱。

(3)本发明将动态切换问题转化成双目标优化问题。

总之，本发明为静态的web异构冗余引入动态切换机制，降低单位时间内特定执行体的暴露时间,增加系统结构信息的不确定性。DSA根据系统日志审计进行切换执行体，使系统内部结构动态化。DSA同时考虑了切换成本与切换前后系统的异构程度，将切换问题转化为双目标优化问题。仿真结果表明，对比静态结构，DSA可以有效转移并减小系统暴露出的攻击面，具有更好的数据保密性和入侵容忍度，对建立响应时间稳定的，提供连续可靠服务的主动防御系统具有积极的指导意义，能得到大大增强系统的防御能力。

附图说明

图1为本发明流程图。

图2为本发明成本示意图。

图3为本发明累计错误值示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明。

如图1-3所示，一种针对Web异构冗余系统的动态切换方法，包括了动态切换机制、异构度计算以及切换成本计算，其中动态切换机制是利用日志审计结果触发系统执行切换，切换方式又分为水平切换和垂直切换；计算的异构度用于系统执行切换时，评估待切换的执行体集的异构程度，以筛选待切换的执行体集；计算的切换成本是用于评估系统执行切换时的代价，以筛选待切换的执行体集。

具体实现包括如下步骤：

步骤2、将切换模式分为水平切换和垂直切换；

步骤3、提出Web异构系统的异构度的定义并计算；

步骤4、提出Web异构系统切换时的成本定义并计算；

步骤5、结合异构度和切换成本，选出执行体集执行切换。

步骤1所述的监听日志审计结果是指统计当前执行体集下的错误、警告日志的累积值，每当有新错误、警告日志产生时，就累加一次具体错误类型的报警次数，再通过事件机制触发系统去判断累计值是否达到安全阈值，未超过就继续运行，超高了就根据不同级别的阈值设定触发切换机制。

步骤2提出的两种切换模式是由于笔者考虑到系统执行切换成本较大，频繁触发系统切换可能造成投入产出比极度失调，导致系统模型不可用。因此根据将系统的安全红线大致分为两条，一条是系统在以后存在崩溃的可能，红线阈值(χ)较低，一条是系统在不久以后必定崩溃，红线阈值(χ^s)较高。前者执行水平切换，后者执行垂直切换。具体红线阈值设定视具体场景而定。本专利的给出一种设定红线阈值的方法如下所示：

χ＝bs＝CVSS(l)公式1

l＝(id_l,time_l,type,content,id_c,id_h)公式2

其中危险值(bs)是根据CVSS^[1]计算得出的，当0≤bs≤3.9时，该执行体处在低风险状态，当4.0≤bs≤6.9时，该执行体处在中等风险状态，当7.0≤bs≤10.0时,该执行体处在高风险状态。id_l是日志信息的唯一标识符；time_l是日志信息产生的时间；type是日志消息的类型，并type∈{Sys,Sec,App,Alert},其中Sys表示系统日志,Sec表示安全日志,App表示应用日志,Alert表示告警日志；content是日志信息的内容；id_c是产生日志的节点标识符，id_h是日志对应安全事件的目标节点标识符。

χ^s≈(N+1)/2公式3

其中N为在线执行体数,系统的异常执行体数已经高达半数以上，系统可进行垂直切换。

系统的工作图如图1所示，平行切换是指系统运行过程中检测到A^*可能存在安全隐患，将存在隐患的执行体替换掉，替换的候选集为A^-。垂直切换是指将执行体集由A切换至B。具体举例来说，首先准备2组异构执行体集分别记作A,B，每组中有5个执行体。其中A＝{A₁,A₂,A₃,A₄,A₅},B＝{B₁,B₂,B₃,B₄,B₅}。首先选取A作为线上运行的执行体集，A^*表示参与输出的集合，A^-表示暂时不参与输出的集合。其中A^*＝{A₁,A₂,A₃},A^-＝{A₄,A₅}.B作为备用执行体集，表示方法和A类似。当系统检测到A₃到隐患级别超过阈值时，且还未到达可能影响系统瘫痪的级别时，根据动态切换机制，将A₃从A^*中移出，清洗，加入到A^-中，A₄从不参与输出决策到参与输出决策。即A₄替换了A₃。它的特点是代价小，速度快。当系统检测到隐患级可能影响系统故障的级别时，根据动态切换机制，先对B做系统资源完全存储，然后做内存资源增量备份，这时可能会出现几十秒，甚至几分钟或者更长的停机维护。维护期间B切换成当前线上的执行体集，A被移出后执行清洗。它一系列操作的特点是代价大，速度慢。

步骤3提出计算异构度的原因是无论水平切换还是垂直切换都应该保证执行体集合的异构性。假设待移入的执行体为α∈A^*,待移出的执行体为β∈A^-,待移入的执行体集为A,待移出的执行体集为A′∈{B,C,D}，其中B,C,D都是异构执行体集。则α与β(或A与A′)的异构度计算方式如下：

(1)当进行水平切换时,只需将α与集合A-里的每个执行体做Moss运算：

其中，Moss^[2]是美国斯坦福大学开源的一款代码查重系统，返回数值对(X,Y)表示a代码中有X％的代码与b中Y％的代码相匹配。

(2)当进行垂直切换时:

步骤4所述的切换成本主要由系统处理数据造成的，分布式的异构系统在切换时需要对系统数据进行存储、清洗、备份。不管是对数据的操作或是宕机所造成的损失，都是不可忽视系统性能，如图3所示为成本图，为方便讨论，笔者作出以下假设：

1)单位时间内Web系统的信息交互次数满足poison分布。

2)切换成本与数据量成线形关系。

则切换成本P的定义如下：

其中

是影响因子，且

S是信息量大小。

步骤5是结合上述所有步骤的结果来筛选下一个线上执行体(集)目标就是要在保障安全的前提下，找出切换成本最小的方案，因此该方法也属于双目标优化方法，首先构建异构执行体集并初始化影响因子，其中构建算法使用遗传算法GAFDFR[3],然后系统会监控日志审计结果，判断累计错误值(CNE)是否满足切换(switch)条件，如图2所示，如果系统进行水平切(horizontally)，由于A-已经在线上，只是不参与输出决策，所以切换成本不高，只需按照H降序排序，切换最小值即可。如果系统进行垂直切换(vertical)，先按照H降序，当遇到H相同时，按照P升序排序,迭代选择较优的即可，直到执行体达到运行需求即可。

Claims

1.一种针对Web异构冗余系统的动态切换方法，其特征在于包括如下步骤：

步骤1、提出监听日志审计结果，当系统状态达到切换条件时，触发切换机制，通过计算红线阈值进行相应的切换；

步骤2、将切换模式分为水平切换和垂直切换；

步骤3、提出Web异构系统的异构度H的定义并计算，所述的异构度H用于系统执行切换时，评估待切换的执行体集的异构程度；

步骤4、提出Web异构系统切换时的成本P定义并计算，所述的切换成本P是用于评估系统执行切换时的代价；

步骤5、结合异构度和切换成本，选出执行体集执行切换；

步骤5具体实现如下：

首先，构建异构执行体集并初始化影响因子

其中，构建算法使用遗传算法GAFDFR；

如果系统进行水平切(horizontally)，由于候选集A-已经在线上，只是不参与输出决策，所以切换成本不高，只需按照H降序排序，切换最小值即可；

如果系统进行垂直切换(vertical)，先按照H降序，当遇到H相同时，按照P升序排序，迭代选择较优的即可，直到执行体达到运行需求即可。

2.根据权利要求1所述一种针对Web异构冗余系统的动态切换方法，其特征在于步骤1所述的监听日志审计结果是指统计当前执行体集下的错误、警告日志的累积值，每当有新错误、警告日志产生时，就累加一次具体错误类型的报警次数，再通过事件机制触发系统去判断累计值是否达到安全阈值，未超过就继续运行，超过就根据不同级别的阈值设定触发切换机制。

3.根据权利要求1所述一种针对Web异构冗余系统的动态切换方法，其特征在于步骤2提出的两种切换模式，具体如下：

根据系统的安全红线分为两条，一条是系统在以后存在崩溃的可能，红线阈值χ相对低；一条是系统在不久以后必定崩溃，红线阈值χ^s相对高；前者执行水平切换，后者执行垂直切换；具体红线阈值设定方法如下所示：

χ＝bs＝CVSS(l) 公式1

l＝(id_l，time_l，type，content，id_c，id_h) 公式2

其中危险值bs是根据CVSS计算得出的，当0≤bs≤3.9时，该执行体处在低风险状态，当4.0≤bs≤6.9时，该执行体处在中等风险状态，当7.0≤bs≤10.0时，该执行体处在高风险状态；id_l是日志信息的唯一标识符；time_l是日志信息产生的时间；type是日志消息的类型，并type∈{Sys，Sec，App，Alert}，其中Sys表示系统日志，Sec表示安全日志，App表示应用日志，Alert表示告警日志；content是日志信息的内容；id_c是产生日志的节点标识符，id_h是日志对应安全事件的目标节点标识符；

χ^s≈(N+1)/2 公式3

其中，N为在线执行体数，系统的异常执行体数已经高达半数以上，系统可进行垂直切换。

4.根据权利要求3所述一种针对Web异构冗余系统的动态切换方法，其特征在于所述的水平切换是指系统运行过程中检测到A^*可能存在安全隐患，将存在隐患的执行体替换掉，替换的候选集为A^-；垂直切换是指将执行体集由A切换至B；设A，B为2组异构执行体集，且每组中有5个执行体；其中A＝{A₁，A₂，A₃，A₄，A₅}，B＝{B₁，B₂，B₃，B₄，B₅}；首先选取A作为线上运行的执行体集，A^*表示参与输出的集合，A^-表示暂时不参与输出的集合；其中A^*＝{A₁，A₂，A₃}，A^-＝{A₄，A₅}；B作为备用执行体集，表示方法和A类似；当系统检测到A₃的隐患级别超过阈值时，但还未到达可能影响系统瘫痪的级别时，根据动态切换机制，将A₃从A^*中移出，清洗，加入到A^-中，A₄从不参与输出决策到参与输出决策；即A₄替换了A₃；当系统检测到隐患级别到达影响系统故障的级别时，根据动态切换机制，先对B做系统资源完全存储，然后做内存资源增量备份，此时会出现停机维护；维护期间B切换成当前线上的执行体集，A被移出后执行清洗。

5.根据权利要求4所述一种针对Web异构冗余系统的动态切换方法，其特征在于步骤3提出计算异构度，具体实现如下：

假设待移入的执行体为α∈A^*，待移出的执行体为β∈A^-，待移入的执行体集为A，待移出的执行体集为A′∈{B，C，D}，其中B，C，D都是异构执行体集；则α与β的异构度计算方式如下：

(1)当进行水平切换时，只需将α与集合A^-里的每个执行体做Moss运算：

其中，Moss是美国斯坦福大学开源的一款代码查重系统，返回数值对(X，Y)表示a代码中有X％的代码与b中Y％的代码相匹配；

(2)当进行垂直切换时：

6.根据权利要求5所述一种针对Web异构冗余系统的动态切换方法，其特征在于步骤4所述的切换成本由系统处理数据造成的，分布式的异构系统在切换时需要对系统数据进行存储、清洗、备份；不管是对数据的操作或是宕机所造成的损失，都是不可忽视系统性能，假设：①单位时间内Web系统的信息交互次数满足poison分布；②切换成本与数据量成线形关系；则切换成本P的定义如下：

其中，

是影响因子，且

S是信息量大小。