王建嶺，李仁玲，王恒草，王鐵柱

（河北醫(yī)科大學(xué) 基礎(chǔ)課教學(xué)部，河北 石家莊 050091）

Web服務(wù)的多層入侵容忍機(jī)制

王建嶺，李仁玲，王恒草，王鐵柱

（河北醫(yī)科大學(xué) 基礎(chǔ)課教學(xué)部，河北 石家莊 050091）

Web服務(wù)通過互聯(lián)網(wǎng)向公眾提供各種服務(wù)，其存在的漏洞容易受到攻擊.攻擊會(huì)導(dǎo)致許多惡意操作或故障，致使Web服務(wù)器無法正常工作或發(fā)生安全事件.確保服務(wù)器的安全性，以保障系統(tǒng)數(shù)據(jù)和服務(wù)的私密性、完整性及可用性.Web服務(wù)的多層入侵容忍機(jī)制，結(jié)合傳統(tǒng)安全技術(shù)和容忍技術(shù)在服務(wù)器前和在服務(wù)器結(jié)構(gòu)內(nèi)部署不同傳感器，偵測各請求對服務(wù)器的影響.對不同安全級別的請求提供相應(yīng)的服務(wù)，并一定程度上容忍非正常請求的存在.在Web服務(wù)系統(tǒng)上提供有效的深度防御，提高Web服務(wù)器對入侵、攻擊的適應(yīng)能力，即使發(fā)生嚴(yán)重事件也能及時(shí)恢復(fù)Web服務(wù).不會(huì)因存在入侵、故障而停止服務(wù)，從而提高Web服務(wù)器的生存能力.

Web服務(wù)；入侵容忍；IDS；恢復(fù)

互聯(lián)網(wǎng)經(jīng)常爆發(fā)病毒、惡意攻擊等惡略事件.Web服務(wù)的設(shè)備和信息在一個(gè)互聯(lián)網(wǎng)的不安全的環(huán)境下，其安全嚴(yán)重受到威脅.Web服務(wù)使用XML消息機(jī)制，具有互操作性、自我控制和自我描述的特點(diǎn)，將各種服務(wù)通過互聯(lián)網(wǎng)發(fā)布，實(shí)現(xiàn)簡單，使用便捷［1］.然而，由于Web服務(wù)存在的各種漏洞，系統(tǒng)往往不可靠，易受各種故障和攻擊的影響［2］.Web服務(wù)長期穩(wěn)定提供服務(wù)，其可靠性和生存能力非常重要.

在互聯(lián)網(wǎng)中，Web服務(wù)器不能完全杜絕故障或攻擊，而且Web服務(wù)系統(tǒng)中必然存在一些易受攻擊點(diǎn).有些情況下，某些攻擊并不會(huì)對系統(tǒng)造成嚴(yán)重的影響，Web服務(wù)系統(tǒng)仍能提供正常的服務(wù)［3］.在網(wǎng)絡(luò)環(huán)境中，建立Web服務(wù)交互平臺的容忍機(jī)制.在遭受入侵時(shí)，該機(jī)制在可容忍的限度內(nèi)，控制、清理入侵并保證服務(wù)系統(tǒng)不間斷地為客戶端服務(wù)［4-6］.因此，在入侵存在的環(huán)境下，加強(qiáng) Web服務(wù)的安全防護(hù)，Web服務(wù)器還要提供必要的服務(wù)，而且，保證Web服務(wù)器系統(tǒng)可用性、完整性和保密性的應(yīng)用規(guī)范和安全要求［7-8］.

1 Web服務(wù)的多層入侵容忍機(jī)制

本文設(shè)計(jì)一種基于多種網(wǎng)絡(luò)安全技術(shù)的多層入侵容忍機(jī)制，形成不同層次的Web安全防護(hù)系統(tǒng)，在不可靠的網(wǎng)絡(luò)環(huán)境下，預(yù)防、偵測、隔離和容錯(cuò)攻擊.在系統(tǒng)受到入侵，數(shù)據(jù)遭到一定程度的破壞情況下，系統(tǒng)仍能得到有效控制，并向合法用戶提供連續(xù)、無差錯(cuò)的服務(wù)，保障Web服務(wù)器的安全.

1.1 系統(tǒng)體系結(jié)構(gòu)

為了在不安全的網(wǎng)絡(luò)環(huán)境中使Web服務(wù)更加穩(wěn)定、可靠地提供服務(wù)，Web服務(wù)安全防護(hù)系統(tǒng)應(yīng)具備自我診斷、自我修復(fù)［9-10］和自適應(yīng)重配置［11］的能力.為此，設(shè)計(jì)一種多層容錯(cuò)機(jī)制，其架構(gòu)如圖1所示.

圖1 Web服務(wù)的多層入侵容忍架構(gòu)Fig.1 Multi-layer intrusion tolerant architecture for Web services

系統(tǒng)主要由以下單元組成.

1）容錯(cuò)代理（ITA）：容錯(cuò)代理是Web服務(wù)的接入點(diǎn)，根據(jù)系統(tǒng)對訪問者的安全級別判定、過濾和凈化客戶的服務(wù)請求；對可信的Web服務(wù)請求轉(zhuǎn)發(fā)至正常服務(wù)模塊（NS），而可疑的Web服務(wù)請求轉(zhuǎn)發(fā)至降級服務(wù)模塊（DS）或進(jìn)行隔離.這樣既提供正常服務(wù)，又能控制可疑訪問的活動(dòng).

2）狀態(tài)決策模塊：Web服務(wù)器執(zhí)行某項(xiàng)服務(wù)后，服務(wù)器一些狀態(tài)參數(shù)或某些文件會(huì)發(fā)生改變.狀態(tài)決策模塊監(jiān)控服務(wù)器重要的文件、數(shù)據(jù)及系統(tǒng)狀態(tài)，從而監(jiān)控服務(wù)器的運(yùn)行狀態(tài).服務(wù)器狀態(tài)模塊根據(jù)Web服務(wù)器的正常服務(wù)模式和入侵特征庫及故障狀態(tài)集，以識別是否遭受入侵攻擊或決定是否重新配置Web服務(wù)器.

3）動(dòng)態(tài)配置中心（RCFG）：該中心監(jiān)控服務(wù)器的狀態(tài)和事件管理模塊（EMG），一旦發(fā)現(xiàn)入侵的發(fā)生或服務(wù)器狀態(tài)處于危險(xiǎn)，則停止受損服務(wù)，清除入侵故障，并對Web服務(wù)器進(jìn)行動(dòng)態(tài)重配置，及時(shí)進(jìn)行恢復(fù)服務(wù).

4）事件管理模塊（EMG）：管理Web服務(wù)事件，并記錄每個(gè)事件的服務(wù)節(jié)點(diǎn)，當(dāng)檢測到系統(tǒng)出現(xiàn)例外情形時(shí)，查詢受損節(jié)點(diǎn)，并拆除受損的節(jié)點(diǎn)列表，通知RCFG，進(jìn)行服務(wù)器重新配置或恢復(fù).

1.2 系統(tǒng)工作原理

Web防火墻（WFS）接收用戶請求，并根據(jù)特征庫內(nèi)規(guī)則和已知的攻擊模式驗(yàn)證用戶請求.驗(yàn)證合法的服務(wù)請求才可以提交主服務(wù)器，并將請求添加到系統(tǒng)日志.請求經(jīng)主服務(wù)器的容錯(cuò)代理模塊檢測并轉(zhuǎn)發(fā)給服務(wù)器的服務(wù)模塊.

入侵檢測系統(tǒng)（IDS）根據(jù)特征知識庫審計(jì)系統(tǒng)日志，從而檢測和報(bào)警異常行為.IDS一經(jīng)發(fā)現(xiàn)入侵或可疑行為則向事件管理模塊（EMG）發(fā)出警報(bào)（包含請求服務(wù)ID、報(bào)警節(jié)點(diǎn)）.事件管理模塊根據(jù)請求服務(wù)ID查詢Web服務(wù)列表受損節(jié)點(diǎn)，并拆除受損的節(jié)點(diǎn)列表.動(dòng)態(tài)配置中心（RCFG）在主服務(wù)器上停止該受損節(jié)點(diǎn)對應(yīng)的受損服務(wù).清除完畢入侵故障后，入侵檢測模塊診斷受保護(hù)的日志文件是否存在攻擊，并通過診斷以確定哪些服務(wù)請求引起了系統(tǒng)故障，從而提取這些請求的攻擊特征并豐富入侵檢測系統(tǒng)的攻擊特征庫.這樣，IDS保護(hù)系統(tǒng)將增強(qiáng)防護(hù)能力，識別出以前未知的攻擊，防范它再次引起系統(tǒng)故障.

容錯(cuò)代理模塊接收服務(wù)請求并判斷服務(wù)的級別是正常服務(wù)還是降級服務(wù).正常服務(wù)類型則轉(zhuǎn)交NS服務(wù)模塊提供正常服務(wù)；若是降級服務(wù)類型則由DS服務(wù)模塊僅提供基本服務(wù)或降級服務(wù)，使服務(wù)器的服務(wù)控制在可控制的范圍內(nèi).

在Web服務(wù)體系結(jié)構(gòu)中，服務(wù)器上部署了狀態(tài)決策模塊的若干傳感器.這些傳感器負(fù)責(zé)監(jiān)視服務(wù)器的運(yùn)行狀態(tài)，并且實(shí)時(shí)檢測關(guān)鍵數(shù)據(jù)的機(jī)密性和完整性.一旦服務(wù)系統(tǒng)發(fā)生異常，傳感器就會(huì)監(jiān)測到，狀態(tài)決策模塊將發(fā)出信號.狀態(tài)決策模塊根據(jù)若干傳感器的狀態(tài)決策此項(xiàng)服務(wù)的安全狀態(tài)，若請求服務(wù)危險(xiǎn)，則對服務(wù)降級，并報(bào)告動(dòng)態(tài)配置中心.

動(dòng)態(tài)配置中心根據(jù)狀態(tài)決策模塊的狀態(tài)評定服務(wù)器的服務(wù)水平.在服務(wù)請求中發(fā)現(xiàn)可疑服務(wù)，服務(wù)器則自動(dòng)對其降級服務(wù)，關(guān)閉高級操作.如果服務(wù)水平下降太多不能滿足Web服務(wù)，則主服務(wù)器進(jìn)行備份恢復(fù)或由備份服務(wù)器接替主服務(wù)器，例如，服務(wù)器需要恢復(fù)時(shí)，由保留有所應(yīng)用數(shù)據(jù)的獨(dú)立備份磁盤，將數(shù)據(jù)和程序用回卷的方式恢復(fù)到服務(wù)器上.

動(dòng)態(tài)配置中心模塊包含＜服務(wù)請求，響應(yīng)＞預(yù)定義集.＜服務(wù)請求，響應(yīng)＞對定義了正常Web服務(wù)請求及其相應(yīng)的響應(yīng).隨機(jī)的服務(wù)請求到達(dá)服務(wù)器，服務(wù)的響應(yīng)與預(yù)定義的響應(yīng)集比較，發(fā)現(xiàn)了非正常服務(wù)響應(yīng)就視為可疑的請求，對其加以標(biāo)記.當(dāng)檢測到主服務(wù)器上存在服務(wù)故障，可以由冗余服務(wù)器接替主服務(wù)器，主服務(wù)器就可以進(jìn)行恢復(fù)，保證服務(wù)器能正常地服務(wù).＜服務(wù)請求，響應(yīng)＞對定義集根據(jù)Web服務(wù)系統(tǒng)的實(shí)際情況定期進(jìn)行更新.

2 入侵容忍的實(shí)現(xiàn)

首先，容忍入侵的Web服務(wù)的環(huán)境和部署IDS.Web服務(wù)器分別在Linux下運(yùn)行Apache服務(wù)器和在Windows下配置IIS服務(wù)器.由IDS系統(tǒng)分別檢測Web服務(wù)系統(tǒng)外部和服務(wù)器內(nèi)的攻擊及異常服務(wù)狀態(tài).

2.1 入侵容忍

在Web服務(wù)器前，安裝Web防火墻軟件和入侵檢測系統(tǒng).這些軟件把常規(guī)的系統(tǒng)入侵阻止在系統(tǒng)之外.入侵檢測系統(tǒng)還可以將可疑的服務(wù)請求加以標(biāo)示.

基于網(wǎng)絡(luò)的IDS工具Snort和專家網(wǎng)，基于多傳感器實(shí)時(shí)檢測和刺探真正的網(wǎng)絡(luò)攻擊.這些傳感器運(yùn)行在專用的機(jī)器上，監(jiān)視容錯(cuò)代理與防火墻和應(yīng)用服務(wù)器之間子網(wǎng).Snort和專家網(wǎng)的各傳感器分別專注特定網(wǎng)絡(luò)協(xié)議.這些傳感器具有攻擊特征知識庫和基于正向規(guī)則推理系統(tǒng)的推理引擎，可以檢測已知網(wǎng)絡(luò)攻擊以及攻擊的部分變體.通過監(jiān)測會(huì)話或事務(wù)重建，專家網(wǎng)傳感器監(jiān)視Web流量，檢測網(wǎng)絡(luò)數(shù)據(jù)包中漏掉的攻擊.

Web服務(wù)器前的IDS對請求服務(wù)進(jìn)行篩選，如果是可疑請求，則由容錯(cuò)代理申請服務(wù)器降級服務(wù)，以確保服務(wù)器安全.攻擊者利用一些系統(tǒng)漏洞發(fā)起攻擊，在攻擊的影響下服務(wù)器可能做出某些妥協(xié)，產(chǎn)生錯(cuò)誤響應(yīng).這將影響系統(tǒng)的狀態(tài)和數(shù)據(jù)的完整性，則觸發(fā)服務(wù)器內(nèi)傳感器并向RCFG報(bào)告服務(wù)系統(tǒng)的異常情況.將基于主機(jī)IDS監(jiān)測Web服務(wù)系統(tǒng)，它的傳感器通過監(jiān)測操作系統(tǒng)的活動(dòng)，彌補(bǔ)基于網(wǎng)絡(luò)的傳感器監(jiān)視Web服務(wù)器操作系統(tǒng)的不足，分析操作系統(tǒng)的安全模塊產(chǎn)生的基于特征的實(shí)時(shí)監(jiān)測的審計(jì)記錄.狀態(tài)決策模塊根據(jù)傳感器的報(bào)告，對可疑的請求進(jìn)行降級服務(wù)，實(shí)現(xiàn)容錯(cuò)服務(wù).

2.2 動(dòng)態(tài)自適應(yīng)重配置

動(dòng)態(tài)自適應(yīng)重配置容忍入侵增強(qiáng)系統(tǒng)的生存能力，即使系統(tǒng)存在入侵的情況下.為此，Web服務(wù)系統(tǒng)采用自適應(yīng)重配置策略，在服務(wù)存在故障時(shí)，動(dòng)態(tài)重構(gòu)系統(tǒng)恢復(fù)系統(tǒng)的狀態(tài).這個(gè)策略基于事件管理模塊與服務(wù)器狀態(tài)決策模塊發(fā)送來的警報(bào)信息.警報(bào)信息觸發(fā)一個(gè)重配置程序，使系統(tǒng)在新環(huán)境下自動(dòng)調(diào)用一個(gè)新組件來代替出錯(cuò)的組件.如果服務(wù)器發(fā)生嚴(yán)重故障則啟用故障恢復(fù)，或者由動(dòng)態(tài)配置中心拆除入侵者的請求服務(wù)列表，利用冗余Web服務(wù)器接替本服務(wù)器的正常用戶請求服務(wù).例如，一個(gè)數(shù)據(jù)被攻擊并且被污染，它通過備份恢復(fù)來改正.

2.3 服務(wù)器故障恢復(fù)

當(dāng)檢測到主服務(wù)器上存在服務(wù)故障，服務(wù)器就可以恢復(fù)到以前未受攻擊時(shí)的安全狀態(tài).然而某些攻擊利用不斷攻擊造成服務(wù)器反復(fù)進(jìn)行故障恢復(fù)，不能提供正常服務(wù).為此建立防重復(fù)攻擊機(jī)制，如圖2所示，防范這種破壞.

圖2 防重復(fù)攻擊機(jī)制Fig.2 Mechanisms to prevent repeat attacks

t1時(shí)刻啟用恢復(fù)機(jī)制的系統(tǒng).t2時(shí)刻有入侵I1發(fā)起服務(wù)請求連接，t3時(shí)刻發(fā)現(xiàn)I1操作可疑，t4時(shí)刻另有入侵I2進(jìn)入系統(tǒng)，t5時(shí)刻檢測系統(tǒng)發(fā)出警報(bào).由此可知入侵屬于t1～t5時(shí)刻間的請求集合，對此間隔的系統(tǒng)日志進(jìn)行審計(jì)，過濾已知合法請求，找到可疑的請求.Web服務(wù)防火墻可以暫時(shí)停止這些請求，避免系統(tǒng)再出現(xiàn)同樣的故障.在日志中保留這些“檢查點(diǎn)”，并將它們的信息由服務(wù)器中的傳感器傳遞給重配置中心進(jìn)行服務(wù)數(shù)據(jù)備份.

3 實(shí)驗(yàn)及分析

使用了Code Red蠕蟲測試說明各項(xiàng)機(jī)制的檢測和恢復(fù).該請求被轉(zhuǎn)發(fā)到Web服務(wù)器，此期間服務(wù)器監(jiān)控服務(wù)請求連接數(shù)如圖3所示.在t4時(shí)刻Code Red蠕蟲侵入IIS服務(wù)器，t5時(shí)刻服務(wù)器狀態(tài)發(fā)生有損改變，Web服務(wù)器內(nèi)的服務(wù)請求數(shù)迅速減少，影響服務(wù)器的服務(wù)，另外，服務(wù)器向外連接數(shù)量增加較快.狀態(tài)模塊監(jiān)測到服務(wù)器的錯(cuò)誤內(nèi)容，服務(wù)器拆除服務(wù)列表中有關(guān)節(jié)點(diǎn)，服務(wù)請求連接數(shù)量驟減.同時(shí)，狀態(tài)模塊診斷出服務(wù)器的狀態(tài)發(fā)生改變，及時(shí)向重配置中心發(fā)出警報(bào).t6時(shí)刻，重配置中心啟用備份服務(wù)器，開始接替主服務(wù)器，向用戶提供系統(tǒng)服務(wù).t8時(shí)刻，主服務(wù)器停止提供服務(wù)，并進(jìn)行服務(wù)器動(dòng)態(tài)配置，或?qū)ο到y(tǒng)、文件進(jìn)行恢復(fù)，并在t10時(shí)刻重新啟動(dòng)主服務(wù)器.在發(fā)生故障期間系統(tǒng)能自我診斷，啟用備份服務(wù)器，并恢復(fù)主服務(wù)器的環(huán)境，另外對客戶的正常請求仍然可以提供有效服務(wù).如果，Code Red蠕蟲劫持 Web服務(wù)器作為跳板攻擊其他目標(biāo)，IDS結(jié)合Web防火墻阻斷其連接，控制攻擊的范圍.

圖3 主服務(wù)器和備份服務(wù)器的服務(wù)請求連接數(shù)Fig.3 Requests between main server and backup server

攻擊想成功不得不穿透一些機(jī)制，包括對外部網(wǎng)絡(luò)的檢測，內(nèi)部網(wǎng)絡(luò)和服務(wù)器系統(tǒng)內(nèi)的狀態(tài)檢測，文件、數(shù)據(jù)完整的檢查.監(jiān)控這些狀態(tài)，安全系統(tǒng)可以識別入侵的發(fā)生.服務(wù)系統(tǒng)控制入侵的作用、范圍，繼續(xù)為合法用戶提供服務(wù)，并可在嚴(yán)重受損中恢復(fù)干凈的環(huán)境，實(shí)現(xiàn)高效容錯(cuò)服務(wù).

本機(jī)制在一定程度容忍入侵，并能繼續(xù)提供Web服務(wù)，在發(fā)現(xiàn)較嚴(yán)重的故障后能及時(shí)恢復(fù)，這很大因素取決于服務(wù)器的狀態(tài)決策模塊及傳感器的部署和設(shè)置，另外還有動(dòng)態(tài)自適應(yīng)重配置中心的性能.

1）服務(wù)器狀態(tài)決策模塊：該模塊根據(jù)各傳感器的報(bào)告決策服務(wù)器的工作狀態(tài)，因此傳感器部署數(shù)量、監(jiān)控部位和設(shè)置很重要.建立該模塊使其能夠監(jiān)控到系統(tǒng)基本狀態(tài)、重要的文件和重要的數(shù)據(jù).重要的傳感器數(shù)量多，監(jiān)控的點(diǎn)多則會(huì)增加系統(tǒng)建設(shè)的難度.另外狀態(tài)決策模塊依據(jù)它的異常狀態(tài)庫判斷異常服務(wù)，決策該服務(wù)采用怎樣的服務(wù)模式.異常狀態(tài)庫需要預(yù)定義服務(wù)器的異常狀態(tài)，或經(jīng)過學(xué)習(xí)和訓(xùn)練來完善數(shù)據(jù)庫內(nèi)的狀態(tài)信息.

2）動(dòng)態(tài)自適應(yīng)配置中心：是系統(tǒng)核心組成，容忍入侵和故障中恢復(fù)很大程度取決于動(dòng)態(tài)配置中心的能力.在Web服務(wù)器受到入侵后，如果系統(tǒng)監(jiān)控服務(wù)器狀態(tài)，發(fā)現(xiàn)可疑請求對請求提供降級服務(wù)，并記錄下此請求的活動(dòng)軌跡，訪問文件、數(shù)據(jù)及服務(wù)器監(jiān)控點(diǎn)的狀態(tài)等信息，以便分析真正的入侵者的入侵特征.如果RCFG確定其為入侵將通知防護(hù)軟件阻斷其的活動(dòng)，而且保證系統(tǒng)仍能為用戶提供良好的服務(wù).如果服務(wù)器的狀態(tài)發(fā)生改變，影響服務(wù)器的工作，RCFG啟動(dòng)備份服務(wù)器接替主服務(wù)器工作，并恢復(fù)主服務(wù)器系統(tǒng)和配置.因此該模塊功能設(shè)計(jì)和性能優(yōu)劣決定整個(gè)系統(tǒng)性能.

4 結(jié)束語

Web服務(wù)的多層入侵容忍機(jī)制，結(jié)合多種網(wǎng)絡(luò)安全技術(shù)，對系統(tǒng)進(jìn)行深度防御.該機(jī)制使Web服務(wù)在一定程度上容忍故障和事故的存在，繼續(xù)對外提供服務(wù).在造成服務(wù)器嚴(yán)重故障時(shí)，它能動(dòng)態(tài)重配置服務(wù)器或?qū)Ψ?wù)器進(jìn)行自動(dòng)恢復(fù).這將大大提高Web服務(wù)器的生存能力，增強(qiáng)系統(tǒng)的可靠性.

［1］ 張?jiān)朴?，努爾布力，王程明，?入侵容忍綜述［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2009，27（4）：289-395.

ZHANG Yunying，NURBOL，WANG Chengming，et al.Status of intrusion tolerance［J］.Journal of Jilin University：Information Science Edition，2009，27（4）：289-395.

［2］ SAIDANE A，NICOMETTE V，DESWARTE Y.The design of a generic intrusion-tolerant architecture for Web servers［J］.Dependable and Secure Computing，2009，6（1）：45-58.

［3］ VERíSSIMO P，NEVES N，CORREIA M.Intrusion-tolerant architectures：concepts and design［J］.Lecture Notes in Computer Science，2003（2677）：3-36.

［4］ ALYSSON N，PAULO S，MIGUE C.Cheap intrusion-tolerant protection for CRUTIAL things［R］.Lisbon：Department of Computer Science，University of Lisbon，2009.

［5］ RAFAEL F，BRUNO G，JOAO S，et al.An intrusion-tolerant web server based on the DISTRACT architecture［EB／OL］.（2004-08-24）［2011-06-20］http：／／www.di.fc，ul.pt／～nuno／PAPERS／WDDDMO4.

［6］ VERISSIMO P，NEVES N，CORREIA M.Intrusion-tolerant architectures：concepts and design architecting dependable systems［J］.Lecture Notes in Computer Science，2003（2677）：3-36.

［7］ VERISSIMO P，NEVES N F，CACHIN C，et al.Intrusion-tolerant middleware：the road to automatic security［J］.IEEE SECURITY ＆ PRIVACY，2006，4：54-62.

［8］ BANGALORE A，SOOD A.Securing web servers using self cleansingintrusion tolerance（SCIT）［EB／OL］.（2009-03-30）［2010-07-05］.http：／／cs.gmu.edu／～asood／scit／depend＿2009＿submitted＿version-2.

［9］ NGUYEN Q，SOOD A.Comparative analysis of intrusion-tolerant system architectures［EB／OL］.（2010-08-24）［2011-06-20］.http：／／cs.gmu.edu／～asood／scit／SP-PrePrint.

［10］ SOUSA P，BESSANI A N，CORREIA M，et al.Highly available intrusion-tolerant services with proactive-reactive recovery［J／OL］.Parallel and Distributed Systems，2010，21（4）：452-465.

Multi-layer intrusion tolerant mechanism for Web services

WANG Jianling，LI Renling，WANG Hengcao，WANG Tiezhu
（College of Basic Course，Hebei Medical University，Shijiazhuang 050091，China）

Web server provide various services to the public via the Internet.The existing loopholes are attacked frequently.The attacks could lead to a number of malicious operation or failure，resulting in Web server fault or security incident.To ensure server security to protect system data and services privacy，integrity and availability.Multi-layer intrusion tolerant scheme for Web services，which combinates traditional network security technology with intrusion-tolerant technology，provides an effective deep defense to Web server.We installed different sensors in front of Web server and in the server architecture.The sensors detect the effects to server caused by different requests.The scheme provides appropriate service to the requests，which were marked the different levels of security.And it tolerates the existence of abnormity request to some extent.So the system provides an effective defense in depth on Web server.It improves itself ability to defense attacks and intrusions.Even if the serious incident happened，it could restore Web services in time.The service will not be failed for intrusion or failure.So it must enhance the viability of Web services.

Web service；intrusion tolerance；IDS；recovery

TP393

A

1000-1565（2012）05-0545-05

2012-03-10

河北省教育廳資助項(xiàng)目（SZ090809）；河北省教科研項(xiàng)目（06020458）；河北醫(yī)科大學(xué)資助項(xiàng)目（30900179）

王建嶺（1973-），男，河北巨鹿人，河北醫(yī)科大學(xué)講師，主要從事計(jì)算機(jī)網(wǎng)絡(luò)安全研究.E-mail：wang＿jl＠126.com

孟素蘭）