基于隨機(jī)Petri網(wǎng)的虛擬網(wǎng)可生存性模型研究

趙靚，鄒宏，張校輝

?

基于隨機(jī)Petri網(wǎng)的虛擬網(wǎng)可生存性模型研究

趙靚1，鄒宏2，張校輝1

（1. 國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南鄭州 450002；2. 國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心，河南鄭州 450000）

針對在描述可重構(gòu)服務(wù)承載網(wǎng)(RSCN)差異化服務(wù)需求時(shí)無法定量描述其安全屬性的問題，提出了一種RSCN可生存性模型。模型基于隨機(jī)Petri網(wǎng)構(gòu)建，首先構(gòu)建RSCN的非馬爾可夫隨機(jī)Petri網(wǎng)模型，再基于最常用的先到先服務(wù)(FCFS)故障修復(fù)策略得到系統(tǒng)狀態(tài)可達(dá)圖，通過引入補(bǔ)充變量建立系統(tǒng)狀態(tài)概率方程，并最終求解得到該模型。通過仿真實(shí)驗(yàn)對該可生存性模型的有效性進(jìn)行驗(yàn)證，仿真結(jié)果表明，理論模型計(jì)算結(jié)果與仿真結(jié)果擬合性較好，可用于描述基于FCFS故障修復(fù)策略的RSCN可生存性能。

可重構(gòu)服務(wù)承載網(wǎng)；可生存性模型；隨機(jī)Petri網(wǎng)

1 引言

可重構(gòu)柔性網(wǎng)絡(luò)(CFN, configurable flexible network)理論[1,2]主要研究在實(shí)現(xiàn)網(wǎng)絡(luò)資源高效利用的基礎(chǔ)上如何面向用戶的應(yīng)用需求提供差異化網(wǎng)絡(luò)服務(wù)。其中，可重構(gòu)服務(wù)承載網(wǎng)[3~5]（RSCN, reconfigurable service carrying network）的相關(guān)研究內(nèi)容就是以如何滿足差異化服務(wù)需求為目標(biāo)提出的。然而，現(xiàn)有相關(guān)研究在討論RSCN承載的差異化服務(wù)時(shí)都是從業(yè)務(wù)屬性出發(fā)進(jìn)行描述的，重點(diǎn)在于為不同種類的服務(wù)提供所需的帶寬等基礎(chǔ)網(wǎng)絡(luò)資源，以保障通信業(yè)務(wù)的基本需求得以滿足，而對于其安全屬性的需求則關(guān)注不足。事實(shí)上，差異化的安全屬性也應(yīng)是差異化服務(wù)需求的重要內(nèi)容之一。例如，提供娛樂服務(wù)的承載網(wǎng)與提供金融服務(wù)的承載網(wǎng)在安全屬性方面的需求顯然是不同的。因此，在討論RSCN如何提供差異化服務(wù)時(shí)不能僅考慮業(yè)務(wù)性能方面的需求，還必須充分考慮其安全性能的需求。

雖然目前還沒有對網(wǎng)絡(luò)安全性能衡量標(biāo)準(zhǔn)的定義，但在相關(guān)研究中，可生存性(survivability)作為一個(gè)重要的研究方向經(jīng)常被提及。對于網(wǎng)絡(luò)系統(tǒng)的可生存性較為認(rèn)可的定義為：網(wǎng)絡(luò)系統(tǒng)在遭受攻擊、故障和意外事故的情況下及時(shí)完成任務(wù)的能力[6]。從其定義可以看出，網(wǎng)絡(luò)可生存性與傳統(tǒng)的網(wǎng)絡(luò)安全性既有關(guān)聯(lián)，又有較大的差異。傳統(tǒng)的網(wǎng)絡(luò)安全研究重點(diǎn)在于如何“防”，其目標(biāo)是力爭做到“事先能預(yù)防，事發(fā)能阻攔”；而可生存性技術(shù)的研究重點(diǎn)則是事后的識別和響應(yīng)，旨在增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的免疫能力，即當(dāng)攻擊成功、系統(tǒng)已經(jīng)被破壞時(shí)，如何修復(fù)系統(tǒng)，使其盡快恢復(fù)服務(wù)，從而減小損害。由此可見，在當(dāng)下網(wǎng)絡(luò)攻擊頻發(fā)、實(shí)時(shí)防御越來越困難的狀況下，更應(yīng)該加強(qiáng)網(wǎng)絡(luò)可生存性研究，從而在理論上指導(dǎo)可生存系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，并有助于網(wǎng)絡(luò)系統(tǒng)在復(fù)雜環(huán)境下的維護(hù)和技術(shù)改造。這與RSCN的設(shè)計(jì)理念非常貼近，因此，把可生存性作為RSCN安全性的一個(gè)重要評價(jià)指標(biāo)。

信息系統(tǒng)可生存性研究的基礎(chǔ)[7]是進(jìn)行定量描述，因此本文以RSCN的可生存性模型的構(gòu)建方法為主要研究內(nèi)容，旨在為不同策略的系統(tǒng)提供一種準(zhǔn)確評估其可生存性的方法。

2 相關(guān)工作

考慮到網(wǎng)絡(luò)可生存性與安全性的相關(guān)性，可生存性定量分析方面的研究部分參考網(wǎng)絡(luò)安全性的定量評價(jià)方法。傳統(tǒng)的網(wǎng)絡(luò)安全性定量分析有2種主要思路：1) 通過建立形式化的數(shù)學(xué)模型分析評價(jià)；2) 通過實(shí)驗(yàn)[8]來模擬分析網(wǎng)絡(luò)系統(tǒng)及攻擊行為，根據(jù)實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證網(wǎng)絡(luò)的安全性能。這2種方法對于研究如何防御網(wǎng)絡(luò)攻擊具有一定價(jià)值，但也存在較大局限，如較難應(yīng)用于大規(guī)模系統(tǒng)的研究，特別是面對結(jié)構(gòu)日益復(fù)雜的網(wǎng)絡(luò)系統(tǒng)時(shí)，它們更加不適用。因此，1993年Littlewood等[9]在網(wǎng)絡(luò)安全性評價(jià)中引入系統(tǒng)可信賴性的分析方法，并取得一定效果。

網(wǎng)絡(luò)可生存性定量分析除了借鑒網(wǎng)絡(luò)安全性定量分析方法外，還在攻擊模型的基礎(chǔ)上基于圖論和隨機(jī)模型進(jìn)行分析。文獻(xiàn)[10]利用模型檢測技術(shù)生成系統(tǒng)情景圖，給節(jié)點(diǎn)賦予入侵及失效的時(shí)間概率分布，采用貝葉斯網(wǎng)絡(luò)描述有依賴關(guān)系節(jié)點(diǎn)的概率值，由此計(jì)算網(wǎng)絡(luò)的可用性。文獻(xiàn)[11]假設(shè)系統(tǒng)失效時(shí)間的隨機(jī)分布，從而得到網(wǎng)絡(luò)的馬爾可夫模型，由此評價(jià)可用性指標(biāo)，該方法提供了網(wǎng)絡(luò)可生存性評價(jià)的一般框架。文獻(xiàn)[12]計(jì)算了簡單環(huán)形網(wǎng)絡(luò)和一般網(wǎng)絡(luò)的可生存性，該方法通過對實(shí)際網(wǎng)絡(luò)的定期采樣獲得網(wǎng)絡(luò)節(jié)點(diǎn)的失效概率，并以該條件概率定義網(wǎng)絡(luò)系統(tǒng)的可生存性函數(shù)。文獻(xiàn)[13]抽象并獲得網(wǎng)絡(luò)安全的狀態(tài)轉(zhuǎn)移，假定所有狀態(tài)的停留時(shí)間是指數(shù)分布，通過求解相應(yīng)的馬爾可夫鏈得到網(wǎng)絡(luò)系統(tǒng)的平穩(wěn)概率分布，進(jìn)而分析網(wǎng)絡(luò)的可生存性。文獻(xiàn)[14]提出一種面向?qū)ο蟮能浖到y(tǒng)的生存性模型，文獻(xiàn)[15]提供一種隨機(jī)模型框架和相關(guān)計(jì)算技術(shù)，文獻(xiàn)[16]基于包括免疫評估算法在內(nèi)的評估計(jì)算給出一種網(wǎng)絡(luò)生存性評估模型。

從上述關(guān)于網(wǎng)絡(luò)可生存性定量評價(jià)的工作來看，對于網(wǎng)絡(luò)可生存性定量評價(jià)，目前主要采用的方法大部分是基于隨機(jī)模型的分析方法，說明該方法在網(wǎng)絡(luò)性能評價(jià)方面已經(jīng)得到廣泛認(rèn)可，根據(jù)該方法得到的性能模型能夠較準(zhǔn)確地反應(yīng)系統(tǒng)的性能指標(biāo)，但是上述研究均沒有說明如何得到一個(gè)準(zhǔn)確的隨機(jī)模型。另一方面來看，上述的評價(jià)模型大多停留在驗(yàn)證系統(tǒng)是否滿足某些抗毀性特征上，而對于系統(tǒng)故障恢復(fù)方面的描述能力不足。而可重構(gòu)網(wǎng)路在網(wǎng)絡(luò)故障恢復(fù)方面具有顯著的優(yōu)勢，如果直接套用上述隨機(jī)模型則無法準(zhǔn)確描述其故障恢復(fù)的特征，這種情況下往往得到可生存性指標(biāo)偏差較大，對具體的可重構(gòu)網(wǎng)絡(luò)系統(tǒng)的可生存性判斷不夠準(zhǔn)確，很難指導(dǎo)新的可重構(gòu)服務(wù)承載網(wǎng)的構(gòu)建，因此本文引入基于隨機(jī)Petri網(wǎng)[6]的建模方法，構(gòu)建適用于描述RSCN系統(tǒng)生存性的模型，用于評估和指導(dǎo)構(gòu)建RSCN系統(tǒng)。

3 RSCN的可生存性評價(jià)指標(biāo)

不同的評價(jià)體系其評價(jià)指標(biāo)也不同，目前對于網(wǎng)絡(luò)可生存性能就存在很多評價(jià)指標(biāo)，而可用性則是業(yè)界最為認(rèn)可的，也是最重要的可生存性評價(jià)指標(biāo)，該指標(biāo)用于量化網(wǎng)絡(luò)系統(tǒng)有效和無效的變化。一個(gè)RSCN系統(tǒng)，可以根據(jù)安全等級需求定義其失效的臨界條件，若達(dá)到臨界條件閾值則認(rèn)為系統(tǒng)失去服務(wù)能力，變?yōu)槭到y(tǒng)。由此，本文將系統(tǒng)穩(wěn)態(tài)可用性作為RSCN可生存性的主要評價(jià)指標(biāo)，用以描述RSCN系統(tǒng)的可生存性能。

一般來說，網(wǎng)絡(luò)可用性分析中通常假設(shè)完全可靠的是網(wǎng)絡(luò)節(jié)點(diǎn)，不可靠的只是鏈路。而在遭受惡意攻擊的情況下，一般節(jié)點(diǎn)才是攻擊目標(biāo)，而非鏈路?；谏鲜龇治?，本文在計(jì)算系統(tǒng)可用性時(shí)假設(shè)節(jié)點(diǎn)不可靠，遭到攻擊后會發(fā)生故障失效，但RSCN系統(tǒng)中的節(jié)點(diǎn)或鏈路發(fā)生故障后，能夠通過故障修復(fù)機(jī)制進(jìn)行修復(fù)?；谠摷僭O(shè)條件，定義和形式化描述RSCN系統(tǒng)可用性。

定義2 （系統(tǒng)失效因子） RSCN中的鏈路數(shù)為，如果其中的任意條鏈路同時(shí)故障，系統(tǒng)即變?yōu)槭到y(tǒng)，則該條件為系統(tǒng)失效的臨界條件，此時(shí)故障鏈路數(shù)與鏈路總數(shù)的比率稱為RSCN系統(tǒng)失效因子，記為。

根據(jù)上述定義，一個(gè)RSCN系統(tǒng)，若節(jié)點(diǎn)數(shù)為，鏈路數(shù)為系統(tǒng)失效因子為，則系統(tǒng)失效條件為同時(shí)失效的鏈路數(shù)不小于。假定RSCN的節(jié)點(diǎn)平均鏈接度為，則根據(jù)定義1可知一個(gè)節(jié)點(diǎn)失效，相應(yīng)會有條鏈路失效。由此，RSCN系統(tǒng)失效的臨界條件也可表示為個(gè)節(jié)點(diǎn)同時(shí)失效。

定義3 （RSCN穩(wěn)態(tài)可用性）成功構(gòu)建且長期運(yùn)行的RSCN網(wǎng)絡(luò)系統(tǒng)，系統(tǒng)有效運(yùn)行的時(shí)間與總運(yùn)行時(shí)間的比值稱為系統(tǒng)穩(wěn)態(tài)可用性。穩(wěn)態(tài)可用性也可表示為系統(tǒng)處于有效狀態(tài)的穩(wěn)定概率之和，描述為

4 RSCN的隨機(jī)Petri網(wǎng)模型

4.1 隨機(jī)Petri網(wǎng)及其在可靠性分析中的應(yīng)用

Petri網(wǎng)是一種圖形化和形式化的建模工具，最早于1962年由Carl Adam Petri在“用自動機(jī)通信”中提出。他使用網(wǎng)狀結(jié)構(gòu)模擬通信系統(tǒng)，包括條件和事件2類節(jié)點(diǎn)，在條件和事件為節(jié)點(diǎn)的有向二分圖的基礎(chǔ)上加上標(biāo)識狀態(tài)信息的托肯（Token）分布，并按一定的引發(fā)規(guī)則使事件驅(qū)動狀態(tài)演變，從而反映系統(tǒng)的動態(tài)運(yùn)行過程。

圖1所示為一個(gè)簡單的Petri網(wǎng)。用*和*分別表示的前置集和后置集，為Petri網(wǎng)的一個(gè)標(biāo)識。則初始標(biāo)識，，等。：，其中，變遷和在標(biāo)識處于并發(fā)關(guān)系，而變遷和在標(biāo)識處于沖突關(guān)系。該P(yáng)etri網(wǎng)的可達(dá)標(biāo)識集合為={,,,,,}，因此該P(yáng)etri網(wǎng)的狀態(tài)圖如圖2所示。

隨機(jī)Petri網(wǎng)（SPN, stochastic Petri net）最早由Shadiros提出，其基本思想是：對每一個(gè)變遷，從其被激活開始到執(zhí)行的時(shí)間是一個(gè)連續(xù)的隨機(jī)，可以具有不同的分布。用隨機(jī)Petri網(wǎng)對動態(tài)系統(tǒng)性能評估、分析和模擬，實(shí)質(zhì)上是給出離散隨機(jī)過程的一個(gè)圖形化描述。

本文在RSCN系統(tǒng)的可靠性模型建立過程中引入這種適合于復(fù)雜系統(tǒng)可靠性分析的方法，用以構(gòu)建本文中的RSCN狀態(tài)模型。

4.2 RSCN可用性建模分析

RSCN是由鏈路及相互獨(dú)立的節(jié)點(diǎn)構(gòu)成的復(fù)雜系統(tǒng)，其中的鏈路及節(jié)點(diǎn)故障可以修復(fù)，根據(jù)不同的可重構(gòu)故障修復(fù)機(jī)制其修復(fù)時(shí)間可能存在差異，但不影響RSCN成為一個(gè)可修復(fù)系統(tǒng)。因此，基于可修復(fù)系統(tǒng)的建模方法可以對RSCN進(jìn)行系統(tǒng)性能分析及建模。

馬爾可夫可修復(fù)系統(tǒng)的定義為：系統(tǒng)中部件相互獨(dú)立，其壽命及修復(fù)時(shí)間均服從指數(shù)分布的系統(tǒng)。這類系統(tǒng)的狀態(tài)可由一個(gè)時(shí)齊馬爾可夫鏈來描述。對于這類可修復(fù)系統(tǒng)進(jìn)行性能分析，即要得到系統(tǒng)穩(wěn)態(tài)可用性，較為成熟的方法是建立系統(tǒng)的運(yùn)行狀態(tài)集及故障情形下各狀態(tài)之間的轉(zhuǎn)移關(guān)系，然后通過馬爾可夫過程得到穩(wěn)態(tài)概率分布。但是對于RSCN這樣的復(fù)雜系統(tǒng)來說，所有可達(dá)狀態(tài)的直接求解不但繁瑣，而且非常容易出錯(cuò)，因此必須尋求其他的求解方法。由于已經(jīng)證明SPN的狀態(tài)可達(dá)圖同構(gòu)于一個(gè)齊次馬爾可夫鏈，因此可以通過建立可修系統(tǒng)的SPN模型即可獲得系統(tǒng)的狀態(tài)可達(dá)圖，隨即就可利用馬爾可夫理論對可修系統(tǒng)的性能進(jìn)行定量分析。主要方法為：將SPN的每個(gè)標(biāo)識映射成馬爾可夫鏈(MC, Markov chain)的一個(gè)狀態(tài)，SPN的可達(dá)圖即可與一個(gè)MC的狀態(tài)空間同構(gòu)，由此獲得MC轉(zhuǎn)移概率矩陣參數(shù)，再通過計(jì)算得到MC每個(gè)狀態(tài)穩(wěn)定狀態(tài)概率，即可得到各種性能指標(biāo)。

在上述SPN中，對應(yīng)于各變遷的分布函數(shù)都是一個(gè)指數(shù)分布函數(shù)，而指數(shù)分布引發(fā)的延遲具有無記憶特性，因此SPN系統(tǒng)可達(dá)圖與連續(xù)時(shí)間馬爾可夫過程同構(gòu)?；谏鲜龇治?，通過建立系統(tǒng)的SPN模型，得到系統(tǒng)狀態(tài)可達(dá)圖，然后再利用馬爾可夫理論即可對服從指數(shù)分布的系統(tǒng)進(jìn)行性能分析。

由于RSCN中發(fā)生的攻擊和入侵具有不確定性，因此假定其壽命服從指數(shù)分布是合理的；同時(shí)假定攻擊發(fā)生后節(jié)點(diǎn)或鏈路出現(xiàn)故障，由于該系統(tǒng)是可修復(fù)系統(tǒng)，因此上述故障都是可修復(fù)的，但是基于不同的故障修復(fù)算法其修復(fù)時(shí)間不同，而故障修復(fù)算法是與系統(tǒng)決策及當(dāng)前的網(wǎng)絡(luò)狀態(tài)緊密相關(guān)的，因此RSCN系統(tǒng)中的故障修復(fù)時(shí)間不服從指數(shù)分布。對類似上述這樣壽命或修復(fù)時(shí)間不服從指數(shù)分布的可修復(fù)系統(tǒng)，由于其馬爾可夫性被破壞，所以對RSCN系統(tǒng)進(jìn)行性能分析時(shí)不能直接運(yùn)用SPN模型。此時(shí)需要用到非馬爾可夫隨機(jī)Petri網(wǎng)（NMSPN, non-Markovian stochastic Petri net）。NMSPN不具有馬爾可夫性，允許指數(shù)變遷、瞬時(shí)變遷以及一般變遷共存，這正好滿足RSCN修復(fù)時(shí)間不服從指數(shù)分布這一特點(diǎn)，因此考慮基于NMSPN進(jìn)行RSCN可靠性建模。若系統(tǒng)中有可實(shí)施的瞬時(shí)變遷，需要先把消失狀態(tài)移出，得到化簡的隨機(jī)過程。對此進(jìn)行分析求解時(shí)可以利用馬爾可夫再生理論或補(bǔ)充變量法?；谏鲜龇治?，本文通過構(gòu)建NMSPN模型進(jìn)行RSCN可靠性建模。

4.3 NMSPN模型構(gòu)建

假設(shè)一個(gè)RSCN的節(jié)點(diǎn)數(shù)為，鏈路數(shù)為，系統(tǒng)失效因子為且RSCN中所有資源都由系統(tǒng)維護(hù)中心（SMC, system maintenance center）進(jìn)行維護(hù)，一旦發(fā)生故障也由SMC進(jìn)行探測及修復(fù)。假設(shè)該系統(tǒng)的鏈路壽命和節(jié)點(diǎn)壽命分別是服從參數(shù)為和的指數(shù)分布，當(dāng)其中任何鏈路或節(jié)點(diǎn)故障并失效時(shí)，由SMC進(jìn)行探測、管理和修復(fù)等處理。故障時(shí)若遇空閑的SMC，鏈路或節(jié)點(diǎn)故障會立即被處理；否則，鏈路或節(jié)點(diǎn)故障必須排隊(duì)等待處理，直到當(dāng)前正在進(jìn)行的故障修復(fù)任務(wù)被SMC完成。為模型簡化，文中后續(xù)僅描述節(jié)點(diǎn)故障情況。

假設(shè)RSCN中鏈路和節(jié)點(diǎn)的故障修復(fù)所需的時(shí)間服從一般分布，分布函數(shù)分別為和，分布密度函數(shù)分別為和，該條件下RSCN的NMSPN模型如圖3所示。

5 RSCN狀態(tài)可達(dá)圖

5.1 故障修復(fù)策略

RSCN中可以采取不同的故障修復(fù)策略應(yīng)對RSCN中發(fā)生的故障，基于不同的故障修復(fù)策略會得到不同的狀態(tài)可達(dá)圖，從而也會生成不同的RSCN系統(tǒng)性能模型。故障修復(fù)策略事實(shí)上亦是一種調(diào)度策略，在各類調(diào)度的策略中，F(xiàn)CFS總是被優(yōu)先提及并被廣泛應(yīng)用的策略，主要原因?yàn)椋?）FCFS策略易于實(shí)現(xiàn)；2）調(diào)度公平性較好。因此本文以先來先服務(wù)策略（FCFS, first-come first-served）為例構(gòu)建RSCN可靠性模型，并舉一反三的說明各種可靠性模型的建立方法。

FCFS策略是SMC用以處理多個(gè)可能同時(shí)到達(dá)的RSCN故障的應(yīng)對方法，它總是先處理最先到達(dá)的故障。如圖4中位置中的托肯表示需要處理的故障，當(dāng)數(shù)量超過1時(shí)，由于只能有一個(gè)托肯進(jìn)入位置進(jìn)行修復(fù)處理，因此其他故障必須按照到達(dá)的先后順序在位置排隊(duì)等待，位置中的故障處理完成后，從位置的隊(duì)頭中取一個(gè)托肯進(jìn)行修復(fù)處理，直到位置中的隊(duì)列為空為止。

5.2 基于FCFS修復(fù)策略的RSCN狀態(tài)可達(dá)圖

設(shè)RSCN系統(tǒng)中的節(jié)點(diǎn)數(shù)量為如果采用FCFS故障修復(fù)策略，根據(jù)4.3節(jié)的NMSPN模型，經(jīng)移除消失狀態(tài)后由圖4所示模型可得到如圖5所示的狀態(tài)可達(dá)圖。該狀態(tài)可達(dá)圖中的狀態(tài)編號分別表示故障節(jié)點(diǎn)的數(shù)量，即狀態(tài)0表示無故障節(jié)點(diǎn)的狀態(tài)，狀態(tài)1表示故障節(jié)點(diǎn)為1個(gè)的狀態(tài)，以此類推，狀態(tài)為全部節(jié)點(diǎn)故障的狀態(tài)，故而該狀態(tài)可達(dá)圖中共有1個(gè)狀態(tài)。

根據(jù)分析可知RSCN狀態(tài)可達(dá)圖的規(guī)模與節(jié)點(diǎn)數(shù)量強(qiáng)相關(guān)，因此為了簡化后續(xù)描述及推導(dǎo)過程，下面描述的系統(tǒng)可達(dá)圖及由此推導(dǎo)性能模型均假定節(jié)點(diǎn)數(shù)量為5、鏈路數(shù)量為7，并且RSCN系統(tǒng)失效因子。

由于故障節(jié)點(diǎn)在時(shí)刻開始到修復(fù)完成所需要的時(shí)間會影響系統(tǒng)狀態(tài)的變化規(guī)律，所以將補(bǔ)充變量引入到系統(tǒng)性能模型中。引入的變量表示正在被處理的故障節(jié)點(diǎn)已經(jīng)花費(fèi)的時(shí)間，則得到節(jié)點(diǎn)故障的修復(fù)速率函數(shù)為

6 RSCN的性能評價(jià)模型

本文在求解RSCN系統(tǒng)的各種性能指標(biāo)時(shí)，主要從系統(tǒng)性能下降的可控性和系統(tǒng)可用性角度來評價(jià)RSCN系統(tǒng)可生存性性能，因此在基于上述狀態(tài)可達(dá)圖求解過程中，側(cè)重于針對系統(tǒng)可用性給出評價(jià)模型，從而通過可用性指標(biāo)對系統(tǒng)性能進(jìn)行描述。

(4)

(5)

(7)

(8)

約束條件為

(10)

(11)

(13)

對上述方程進(jìn)行求解（求解過程略），可得到5節(jié)點(diǎn)RSCN系統(tǒng)基于FCFS策略的各可達(dá)狀態(tài)概率分布函數(shù)分別為

(15)

(16)

(18)

(19)

根據(jù)式（1），基于FCFS策略的RSCN系統(tǒng)穩(wěn)態(tài)可用性是可用狀態(tài)的概率求和，由5.2節(jié)分析可知，對于失效因子，節(jié)點(diǎn)數(shù)為5、鏈路為7的網(wǎng)絡(luò)，和狀態(tài)為有效狀態(tài)，所以該網(wǎng)絡(luò)的穩(wěn)態(tài)可用性可表示為

7 實(shí)驗(yàn)及仿真分析

7.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)在Intel(R) Core(TM) i7 CPU 2.67 GHz，RAM 2 GB的PC上進(jìn)行，虛擬網(wǎng)絡(luò)的的拓?fù)渥兓ㄟ^C++編程仿真實(shí)現(xiàn)，同時(shí)模擬構(gòu)建及撤銷RSCN。

1) 物理網(wǎng)絡(luò)：引入GT-ITM[17]。工具生成底層的物理網(wǎng)絡(luò)拓?fù)?，模擬的物理網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)是50，且任意節(jié)點(diǎn)間存在鏈路的概率是25%，由此計(jì)算可得初始網(wǎng)絡(luò)拓?fù)渲写嬖诘奈锢礞溌窋?shù)是300，虛擬網(wǎng)絡(luò)的鏈路和節(jié)點(diǎn)資源服從均勻分布，且取值為[50, 100]。

2) 服務(wù)承載網(wǎng)：假設(shè)在上述物理網(wǎng)絡(luò)中有20個(gè)具有隨機(jī)拓?fù)浣Y(jié)構(gòu)的服務(wù)承載網(wǎng)，且鏈路資源請求在[5, 30]內(nèi)均勻分布；節(jié)點(diǎn)數(shù)也服從均勻分布，取值為[2, 8]。

在上述實(shí)驗(yàn)環(huán)境中，模擬故障修復(fù)，且采用FCFS策略。實(shí)驗(yàn)過程中，鏈路和節(jié)點(diǎn)的可靠性初始值均為1，壽命都服從指數(shù)分布，且節(jié)點(diǎn)失效率；單個(gè)節(jié)點(diǎn)故障的修復(fù)時(shí)間服從均值的伽瑪分布。

7.2 系統(tǒng)性能分析

1) 模型計(jì)算的結(jié)果與實(shí)驗(yàn)驗(yàn)證結(jié)果的擬合性很好，證明本文分析所得的系統(tǒng)可用性模型準(zhǔn)確性較高，從而也證明提出的構(gòu)建系統(tǒng)可用性模型的方法正確。

2) RSCN的性能受到故障修復(fù)平均時(shí)間的極大影響。如圖7所示，故障修復(fù)時(shí)間越短，RSCN的性能越好，反之亦然。所以當(dāng)故障率水平穩(wěn)定時(shí)，如果通過研究故障修復(fù)技術(shù)縮短故障修復(fù)時(shí)間，則可有效控制整個(gè)RSCN系統(tǒng)可用性。

3) RSCN的性能與故障間隔平均時(shí)間關(guān)系緊密。如圖8所示，故障間隔的時(shí)間越短，RSCN的性能越差，反之亦然。故而若故障修復(fù)平均時(shí)間確定，如果通過研究防故障技術(shù)有效增大故障發(fā)生的頻率，則可提升整個(gè)RSCN系統(tǒng)可用性。

4) 系統(tǒng)可用性還受到網(wǎng)絡(luò)規(guī)模的影響。如圖7和圖8所示，實(shí)驗(yàn)1和實(shí)驗(yàn)2分別對應(yīng)不同規(guī)模網(wǎng)絡(luò)，其中，實(shí)驗(yàn)1比實(shí)驗(yàn)2的網(wǎng)絡(luò)規(guī)模小，由仿真圖分析可知對于不同規(guī)模的網(wǎng)絡(luò)，其故障間隔時(shí)間和故障修復(fù)時(shí)間對系統(tǒng)可用性的影響趨勢是一致的，但是其影響量化值具有差別。

通過對RSCN系統(tǒng)可用性與各參數(shù)的關(guān)系對比分析，故障發(fā)生頻率與故障修復(fù)時(shí)間都對系統(tǒng)性能產(chǎn)生較大影響，若要進(jìn)行系統(tǒng)性能控制應(yīng)研究故障快速修復(fù)技術(shù)和防故障技術(shù)。

8 結(jié)束語

本文主要針對網(wǎng)絡(luò)系統(tǒng)可生存性性能進(jìn)行建模分析?；赟PN構(gòu)建復(fù)雜系統(tǒng)可靠性模型的方法構(gòu)建出了RSCN的SPN模型，并基于FCFS故障修復(fù)策略構(gòu)建了相應(yīng)的狀態(tài)可達(dá)圖，然后通過馬爾可夫隨機(jī)過程的分析方法構(gòu)建了系統(tǒng)可生存性模型。

基于模型分析和實(shí)驗(yàn)驗(yàn)證，指出這2種可以提升網(wǎng)絡(luò)性能的關(guān)鍵技術(shù)，即故障修復(fù)技術(shù)和網(wǎng)絡(luò)防故障技術(shù)。其中，故障修復(fù)技術(shù)研究的主要目標(biāo)是提升RSCN的故障修復(fù)速度，縮短故障修復(fù)時(shí)間；網(wǎng)絡(luò)防故障技術(shù)研究的主要目標(biāo)是通過防故障技術(shù)的應(yīng)用，減小網(wǎng)絡(luò)節(jié)點(diǎn)及鏈路受攻擊而發(fā)生故障的速率，這些均為后續(xù)相關(guān)研究提供了理論基礎(chǔ)。

[1] 程東年, 汪斌強(qiáng),等. 網(wǎng)絡(luò)結(jié)構(gòu)自調(diào)整的柔性內(nèi)涵初探[J]. 通信學(xué)報(bào), 2012 , 33(8): 214-222.

CHENG D N, WANG B Q, et al. Preliminary study on the connotation of flexibility in dynamically reconfigurable networks[J]. Journal on Communications, 2012, 33(8): 214-222.

[2] 蘭巨龍, 邢池強(qiáng), 胡宇翔, 等. 可重構(gòu)技術(shù)與未來網(wǎng)絡(luò)體系架構(gòu)[J]. 電信科學(xué), 2012, 29(8): 16-23.

LAN J L, XING C Q, HU Y X, et al. Reconfiguration technology and future network architecture[J]. Telecommunications Science, 2012, 29(8): 16-23.

[3] 齊寧, 汪斌強(qiáng), 王志明. 可重構(gòu)服務(wù)承載網(wǎng)容錯(cuò)構(gòu)建算法研究[J]. 電子與信息學(xué)報(bào), 2012, 34 (2): 468-473.

QI N, WANG B Q, WANG Z M. Research on reconfigurable service carrying network resilient construction algorithms[J]. Journal of Electronics & Information Technology, 2012, 34(2): 468-473.

[4] 王志明, 汪斌強(qiáng). 基于備份的可重構(gòu)服務(wù)承載網(wǎng)可靠性映射方法[J].電子與信息學(xué)報(bào), 2013, 35(1): 126-132.

WANG Z M, WANG B Q. Reliable mapping method for reconfigurable service carrying netwok based on path backup[J]. Journal of Electronics & Information Technology, 2013, 35(1): 126-132.

[5] 張博, 汪斌強(qiáng), 袁博. 面向可重構(gòu)服務(wù)承載網(wǎng)的分域混合承載組調(diào)度研究[J]. 電子與信息學(xué)報(bào), 2012, 34(5): 1231-1238.

ZHANG B, WANG B Q, YUAN B. Research on partition domain hybrid carrying group scheduling based on reconfigurable service carrying network[J]. Journal of Electronics & Information Technology, 2012, 34(5): 1231-1238.

[6] ELLISION R J, FISHER D A, LINGER R C, et al. Survivable network systems: an emerging discipline [R]. Carnegie Mellon University, 1999.

[7] WESTMARK V R. A definition for information system survivability[C]//The 37th Internal Conference on System Sciences. Hawaii, USA, c2004: 127-136.

[8] 盧山. 網(wǎng)絡(luò)生存性評估模型的仿真分析[J]. 計(jì)算機(jī)仿真, 2013, (9): 270-273.

LU S. Simulation analysis of network survivability assessment model[J]. Computer Simulation, 2013, (9):270-273.

[9] LITTLEWOOD B, BROCKLEHURST S, FENTON N, et al. Towards operational measures of computer security[J]. Computer Security, 1993, 2(2/3):211-230.

[10] LANDWEHR C. Formal models for computer security[J]. Computer Surveys, 1981,13(3):247-278.

[11] LIEW S C, LU K W. A framework for characterizing disaster-based network survivability[J]. IEEE Journal on Selected Areas in Communications, 1994, 12(1):52-58.

[12] JHA S, WING J, LINGER R, et al. Survivability analysis of network specifications[C]//International Conference on Dependable Systems and Networks(DSN). New York, USA, c2000: 613-622.

[13] LIU Y, TRIVEDI K S. A general framework for network survivability quantification[C]//The 12th GI/ITG Conf Measuring, Modeling and Evaluation of Computer and Comm. Systems(MMB) together with Thid Polish-German Teletraffic Symposium(PGTS). Dresdes, Germany, c2004: 369-378.

[14] SODIYA A S, ABORISADE D O, IKUOMOLA A J. A survivability model for object-oriented software systems[C]//Computational Aspects of Social Networdk(CASoN). Sao Carlos, c2012: 283-290.

[15] XIE L, JIANG Y M, HEEGAARD P E. Modelling and analysis of the survivability of telecommunication networks[C]//Performance Evaluation of Computer and Telecommunication Systems(SPECTS). Toronto, c2013:91-98.

[16] WANG C L, FANG L, DAI Y Q, et al. Network survivability evaluation model based on immune evolution and multiple criteria decision making[C]//Cyber-Enabled Distributed Computing and Knowledge Discovery(CyberC). Sanya, China, c2012: 178-184.

[17] 原菊梅. 復(fù)雜系統(tǒng)可靠性Petri網(wǎng)建模及其智能分析方法[M]. 北京: 國防工業(yè)出版社, 2011.42-64.

YUAN J M. Reliability Petri net modeling of complex systems and intelligent analysis[M]. Beijing: Defense Industry Press, 2011.42-64.

Survivability model for reconfigurable service carrying network based on the stochastic Petri net

ZHAO Liang1, ZOU Hong2, ZHANG Xiao-hui1

(1. National Digital Switching System Engineering and Technology Research Center, Zhengzhou 450002, China; 2. National Cyberspace Security Development Innovation Center, Zhengzhou 450000, China)

Aiming at the defect that the security attribute of RSCN couldn’t be described with measurement, a survivability model for RSCN was proposed based on the stochastic Petri net. Firstly, a non-Markovian stochastic Petri net for RSCN was proposed, and then the state schematics was educed based on the FCFS fault repair policy subsequently. Finaly, the survivability model was concluded based on the probability equation of system state by importing supplementary variable. The model was analyzed and validated for validity through emulational experiments. The emulational results show that the comparability between the computed-results of model and emulational results is good, and the model can be used to discribe the survivability for RSCN.

reconfigurable service carrying network, survivability model, stochastic Petri net

TP393

A

10.11959/j.issn.1000-436x.2016054

2015-01-14；

2015-04-17

國家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目(No. 2015AA016102)；國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃（“973”計(jì)劃）基金資助項(xiàng)目(No.2012CB315905)；國家科技支撐計(jì)劃基金資助項(xiàng)目(No.2012BAH02B01)

The National High Technology Research and Development Program of China (863 Program) (No. 2015AA016102), The National Basic Research Program of China(973 Program)(No. 2012CB315905), The National Science and Technology Support Program (No. 2012BAH02B01)

趙靚（1979-），女，山西盂縣人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心工程師、講師，主要研究方向?yàn)樾乱淮畔⒕W(wǎng)絡(luò)關(guān)鍵技術(shù)與理論、可重構(gòu)網(wǎng)絡(luò)安全等。

鄒宏（1976-），男，天津人，國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心工程師，主要研究方向?yàn)橛?jì)算機(jī)應(yīng)用技術(shù)。

張校輝（1979-），男，河南洛陽人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心工程師、講師，主要研究方向?yàn)镾DN。