丁冉 丁峰 周芳

隨著我軍信息系統(tǒng)正在向網(wǎng)絡(luò)信息體系方向發(fā)展,系統(tǒng)結(jié)構(gòu)由傳統(tǒng)樹狀層次化向“云+端”模式轉(zhuǎn)型,該使用模式在帶來靈活、高效、便捷的同時,也帶來了一些應(yīng)用上的問題,云中資源一旦發(fā)生故障會影響網(wǎng)絡(luò)上依賴此資源的系統(tǒng)運(yùn)行.隨著賽博對抗威脅日益嚴(yán)重,未來處于“云”端[1-2]的信息服務(wù)云環(huán)境,遭受賽博攻擊、物理毀傷,發(fā)生節(jié)點(diǎn)失效、故障不可避免.因此,為了充分驗證信息系統(tǒng)在復(fù)雜戰(zhàn)場對抗環(huán)境下的自適應(yīng)調(diào)整、自重構(gòu)與任務(wù)持續(xù)保障等能力,亟需在試驗環(huán)境下模擬云環(huán)境實(shí)際運(yùn)行過程中可能出現(xiàn)的內(nèi)部故障和外部威脅場景[2].

故障注入技術(shù)是信息系統(tǒng)可靠性驗證中的關(guān)鍵技術(shù),它是通過人為手段直接把故障引入目標(biāo)系統(tǒng)中,加速目標(biāo)系統(tǒng)發(fā)生故障和失效的過程[2].通過模擬強(qiáng)對抗戰(zhàn)場環(huán)境,利用非法數(shù)據(jù)對軍事信息系統(tǒng)進(jìn)行攻擊,從而檢驗系統(tǒng)能否在惡劣環(huán)境中持續(xù)穩(wěn)定工作,進(jìn)而不斷完善抗毀頑存能力.非法數(shù)據(jù)生成的難點(diǎn)是: 構(gòu)造的非法數(shù)據(jù)一方面要體現(xiàn)合法特征,能夠通過軟件輸入進(jìn)行校驗,另一方面要保持足夠非法特征,可以引發(fā)深層次缺陷.因此,如何高效生成“半合法數(shù)據(jù)”成為關(guān)鍵問題.

針對這一問題,提出了一種基于業(yè)務(wù)數(shù)據(jù)變異的故障注入方法,從已有功能測試腳本中自動提取業(yè)務(wù)系統(tǒng)輸入數(shù)據(jù)的語法規(guī)格,結(jié)合能夠體現(xiàn)特定威脅的變異特略,采用數(shù)據(jù)類型引導(dǎo)的自動生成算法從變異算子庫中選擇適合的變異算子,形成變異規(guī)則,最后將合法數(shù)據(jù)作為“種子”,逐一應(yīng)用變異規(guī)則自動生成“半合法數(shù)據(jù)”,并將半合法數(shù)據(jù)自動注入系統(tǒng).

1 基于業(yè)務(wù)數(shù)據(jù)變異的故障注入方法

從云環(huán)境故障注入的角度,從故障數(shù)據(jù)產(chǎn)生、故障注入[3-5]兩方面,提出基于業(yè)務(wù)數(shù)據(jù)與環(huán)境變異的故障注入技術(shù)途徑,向云環(huán)境與其他應(yīng)用系統(tǒng)注入非法/異常業(yè)務(wù)數(shù)據(jù),致使云環(huán)境中核心資源節(jié)點(diǎn)出現(xiàn)功能故障.技術(shù)途徑如圖1所示.

圖1 基于業(yè)務(wù)數(shù)據(jù)變異的故障注入方法

業(yè)務(wù)數(shù)據(jù)變異是指將輸入輸出數(shù)據(jù)的內(nèi)容變?yōu)榉欠?異常數(shù)據(jù),環(huán)境變異是指改變被攻擊對象的運(yùn)行環(huán)境,包括服務(wù)器宕機(jī)或依賴服務(wù)失效等,從而造成被攻擊對象故障.總體來說,業(yè)務(wù)數(shù)據(jù)變異和運(yùn)行環(huán)境變異都是以變異算子庫為核心的變異方法,具體實(shí)施過程分兩步驟: 故障數(shù)據(jù)產(chǎn)生、故障注入.

1.1 故障數(shù)據(jù)產(chǎn)生

故障數(shù)據(jù)產(chǎn)生包括3 個階段: 第1 階段是從被測系統(tǒng)接口規(guī)格模型和測試數(shù)據(jù)中提取輸入數(shù)據(jù),生成數(shù)據(jù)模型,該數(shù)據(jù)模型能夠嚴(yán)格反映被測系統(tǒng)的輸入數(shù)據(jù)結(jié)構(gòu)和取值約束; 第2 階段是變異規(guī)則的生成,定義一系列接口變異算子及其相關(guān)的變異算子選擇策略,變異規(guī)則的生成以數(shù)據(jù)模型為輸入,在特定策略的指導(dǎo)下從變異算子庫中選擇適合的變異算子,從而生成變異規(guī)則集合;第3 階段是變異數(shù)據(jù),采用變異規(guī)則生成變異數(shù)據(jù).圖2展示了接口數(shù)據(jù)變異測試生成技術(shù)的完整過程.

圖2 變異數(shù)據(jù)生成過程

在故障數(shù)據(jù)模型[6]生成方面,為了支持?jǐn)?shù)據(jù)的提取,首先定義了基于樹文法(Tree Grammar) 的數(shù)據(jù)模型[7],即TDM(Test Data Model).一個TDM 表示為一個文法G.語言L(G)是由所有符合文法G 的測試數(shù)據(jù)組成的集合,即合法數(shù)據(jù)的集合.{d|d?L(G)}則是非法數(shù)據(jù)的集合.采用形式化方法定義數(shù)據(jù)模型可以更有效支持魯棒性測試[8]數(shù)據(jù)的自動化生成.

在變異算子設(shè)計方面,借鑒變異測試的思想,針對故障注入目標(biāo)和數(shù)據(jù)類型的特點(diǎn),設(shè)計相應(yīng)變異算子.變異算子的定義為:變異算子是一個利用轉(zhuǎn)換函數(shù)進(jìn)行變異測試的思想,進(jìn)行故障注入的函數(shù).該函數(shù)使用變異參數(shù)p,對種子數(shù)據(jù)td(td∈L(G))中由f指定的數(shù)據(jù)字段進(jìn)行修改,從而產(chǎn)生一個非法數(shù)據(jù)td(td′?L(G)或者td′∈L(G),但部分字段值處于約束邊界).每個變異算子需要作用在一種數(shù)據(jù)類型之上.本文針對XSD 中數(shù)據(jù)類型設(shè)計了14 種變異算子,如表1所示.

表1 主要變異算子的定義

在變異算子參數(shù)選擇策略方面,本文針對不同的數(shù)據(jù)類型和約束,定義相應(yīng)變異算子參數(shù)選擇函數(shù),具體參數(shù)選擇策略包括:

第1 種: 針對值域約束的選擇策略.對于包含VAL(D)約束的產(chǎn)生式,PS 函數(shù)采用邊界值原則選擇參數(shù).在約束VAL(D)中,D 有兩種形式: 取值列表和取值區(qū)間.對于前者,隨機(jī)選取一個列表內(nèi)的值和一個列表外的值.對于后者,選取區(qū)間的邊界值和略超出區(qū)間的值.

第2 種: 針對值長度約束的選擇策略.對于包含LEN(L)約束的產(chǎn)生式,PS 函數(shù)通常會選擇處于L 下限、L 上限,以及一系列超過L 上限的值作為串長度,以檢測被測系統(tǒng)中與緩沖區(qū)溢出有關(guān)的缺陷.

第3 種: 針對可選性約束的選擇策略.對于包含OPT(F)約束的產(chǎn)生式,PS 函數(shù)針對F 中的每個字段選擇相關(guān)MO 改變字段值的存在狀態(tài).

第4 種: 針對序列類型的選擇策略.XSD 數(shù)據(jù)類型中存在有序序列sequence 和無序序列g(shù)roup.對于前者,可采用兩種策略打破原有的元素順序關(guān)系:1)隨機(jī)選擇其中的元素,使用MO-DisorderField 變異算子改變其順序; 2) 隨機(jī)選擇其中的元素,使用MODuplicateElement 和MO-DeleteElement 變異算子改變其數(shù)量.對于無序序列,則只能采用第2 種方式.

在變異規(guī)則生成方面,提出基于數(shù)據(jù)模型的變異規(guī)則生成算法.該算法以待變異的種子數(shù)據(jù)作為輸入,遍歷其中的每個字段,根據(jù)字段類型選擇適合的變異算子和參數(shù),產(chǎn)生相應(yīng)變異規(guī)則.算法輸出是變異規(guī)則集合(簡稱MRS),函數(shù)FindMOs 用來從變異算子庫中搜索適用于該字段的所有變異算子,函數(shù)ChooseMO 則依據(jù)某種策略從中選擇所使用的變異算子.所支持的選擇策略包括: 順序輪換、隨機(jī)選擇、基于權(quán)重的隨機(jī)選擇和基于反饋的選擇.該算法將持續(xù)生成變異規(guī)則,直到其數(shù)量達(dá)到用戶設(shè)定的期望值.基于數(shù)據(jù)模型的變異規(guī)則生成算法如下所示.

1.2 故障注入

有了非正常的數(shù)據(jù),即可進(jìn)行故障注入.本文針對威脅攻擊的特點(diǎn),提出了一種環(huán)境故障注入測試模型.該模型主要包括3 個組成部分: 故障注入配置模型[9]、交互過程模型[10]和環(huán)境故障模型[11].

故障注入配置模型: 定義了測試系統(tǒng)的靜態(tài)結(jié)構(gòu),描述了故障注入器(FIE)、被測系統(tǒng)(SUT)和其他系統(tǒng)組件的邏輯連接關(guān)系.該模型以UML 2.0 部署模型[12-13]為基礎(chǔ),對其中的節(jié)點(diǎn)定義進(jìn)行了擴(kuò)展,劃分為如下3 種類型: FIE、SUT 和普通節(jié)點(diǎn)(代表被測系統(tǒng)的通信對端,可以是一個測試組件,也可以是一個真實(shí)的系統(tǒng)組件).通過該模型,FIE 可以確定在測試中需要監(jiān)控的哪些節(jié)點(diǎn)之間的通信過程.

交互過程模型: 定義了測試的動態(tài)行為,每一幅模型圖對應(yīng)一個測試用例,描述了被測系統(tǒng)與其他組件的一個消息交換過程,以及在這個過程中FIE 的故障注入活動.在該模型中,UML 順序圖中的異步消息[14]用來表示W(wǎng)eb 服務(wù)的協(xié)議消息(如SOAP 消息[15]).從FIE 的角度來看,協(xié)議消息可進(jìn)一步分為測試期望消息和測試動作消息.測試期望消息代表FIE 要接收的消息,順序圖中測試期望消息的序列確定了FIE 希望接收到的消息序列.如果收到的消息和這個序列不符,即可判定當(dāng)前測試用例執(zhí)行失敗;測試動作消息代表FIE 要發(fā)出的消息,屬于在收到某條測試期望消息后要執(zhí)行的操作,既可以轉(zhuǎn)發(fā)一條之前收到的消息,也可以構(gòu)造并發(fā)送一條新的消息.

環(huán)境故障模型: 定義如何在交互過程中產(chǎn)生和注入故障.該模型中的每個故障都會關(guān)聯(lián)到一條測試期望消息,稱為“觸發(fā)消息”[16].當(dāng)收到這條消息后,相應(yīng)的測試動作就會被觸發(fā),以對正常的交互過程進(jìn)行干擾,從而模擬出相應(yīng)的環(huán)境故障.

本方法針對Web 服務(wù)的運(yùn)行環(huán)境特征和典型網(wǎng)絡(luò)故障模式,設(shè)計并實(shí)現(xiàn)了消息丟失故障、消息重復(fù)故障、消息亂序故障、消息延時故障等環(huán)境,以消息丟失故障為例,從故障描述、故障原理、故障實(shí)現(xiàn)、故障處理方式等4 方面進(jìn)行描述:

故障描述: 消息丟失是網(wǎng)絡(luò)通信過程中的常見故障之一,主要是指在通信的兩端中,一方向另一方發(fā)送消息后,接收方?jīng)]有收到這一消息,即消息在傳輸過程中由于某種原因發(fā)生了丟失.

故障原因:1)在網(wǎng)絡(luò)轉(zhuǎn)發(fā)節(jié)點(diǎn)上丟失;2)在接收端被丟棄;3)被轉(zhuǎn)發(fā)時發(fā)生地址段數(shù)據(jù)錯誤,消息未被發(fā)送到正確的地址.

模型描述: 如表2所示.

表2 模型描述

故障實(shí)現(xiàn): 在收到消息PI 后,根據(jù)腳本將該消息丟棄.輸出消息的集合為空.

故障處理方式: 被測系統(tǒng)在發(fā)送出消息后,對該消息維持一個計時器,當(dāng)計時器超時后,如果仍未收到期望的回復(fù)消息,則將該消息重新發(fā)送.

2 故障注入工具設(shè)計

在現(xiàn)有商用云平臺故障注入研究中,主要針對虛擬機(jī)管理器、云平臺管理軟件進(jìn)行故障注入,缺乏一個完整針對云平臺各個層次的故障注入方法.

本文針對上述存在問題,設(shè)計了針對信息服務(wù)云環(huán)境IaaS 層、PaaS 層、SaaS 層等多層次、可擴(kuò)展的故障注入平臺.該平臺涵蓋計算資源、通信網(wǎng)絡(luò)、平臺、數(shù)據(jù)、服務(wù)共5 類18 種故障,全面覆蓋云環(huán)境3 層注入需求.同時,設(shè)計了14 種數(shù)據(jù)變異算子,提出了緩沖區(qū)溢出等3 類故障模擬手段,能夠驗證系統(tǒng)能否在強(qiáng)對抗環(huán)境下持續(xù)、穩(wěn)定的工作.

表3 信息服務(wù)云環(huán)境故障類型

2.1 功能設(shè)計

該平臺以模塊化形式組成,包括5 個功能模塊:故障注入控制模塊、故障負(fù)載生成模塊、故障分發(fā)模塊、故障注入模塊(含故障注入器)、故障注入統(tǒng)計分析模塊.

故障控制模塊: 用于為試驗人員提供圖形或腳本的方式進(jìn)行控制,發(fā)送故障注入開始、暫停、恢復(fù)等控制命令.故障注入控制模塊讀取兩種形式的輸入: 一是讀取故障注入腳本的輸入,在設(shè)定的時間往預(yù)定的位置注入故障; 二是根據(jù)需要在特定時間點(diǎn),通過圖形界面的接口進(jìn)行故障導(dǎo)調(diào)干預(yù).

故障負(fù)載編輯模塊: 為了統(tǒng)一、規(guī)范化描述云平臺中各層故障類別,設(shè)計了5 元組的故障描述模型:<故障層次、故障工具、故障位置、故障時間、故障參數(shù)＞,生成故障注入描述的腳本文件.

圖3 故障注入平臺功能設(shè)計

故障分發(fā)模塊: 根據(jù)生成的故障負(fù)載的IP 地址等信息分發(fā)到各個具體物理服務(wù)器和虛擬主機(jī)節(jié)點(diǎn)的故障注入器.

故障注入模塊: 接收故障分發(fā)模塊下發(fā)的故障注入腳本,當(dāng)故障注入任務(wù)滿足發(fā)生的條件時,調(diào)用對應(yīng)的故障注入模塊,并傳遞對應(yīng)參數(shù),觸發(fā)故障注入程序運(yùn)行.

故障統(tǒng)計分析: 將收集故障注入信息并存儲于數(shù)據(jù)庫,用于后續(xù)的信息服務(wù)云環(huán)境能力評估與統(tǒng)計分析.

2.2 功能研制開發(fā)

故障注入平臺能夠完成故障模擬數(shù)據(jù)的自動化生成以及注入,主要包括變異規(guī)則配置、變異數(shù)據(jù)生成和故障注入3 個部分.

1)變異規(guī)則配置是為用戶提供可視化的數(shù)據(jù)變異規(guī)則配置,針對用戶實(shí)際使用需求,提供兩類不同的配置方式: 普通模式和專家模式,其中普通模式旨在提供更容易的使用方式,用戶只需選擇變異算子即可完成配置,專家模式則主要面向領(lǐng)域知識較為豐富的使用者,為該類使用人員提供細(xì)粒度的配置能力.

變異規(guī)則配置界面如圖4所示,從圖4可知,普通模式下通過從左側(cè)選擇變異規(guī)則到右側(cè)即可完成配置,專家模式下則需要為協(xié)議報文的字段選擇合適的變異算子.

2)變異數(shù)據(jù)生成是指根據(jù)變異規(guī)則配置內(nèi)容以及數(shù)據(jù)格式要求,在變異生成引擎的驅(qū)動下快速產(chǎn)生大量異常數(shù)據(jù),從后續(xù)威脅注入提供支撐.

3) 故障注入是指利用生成的異常數(shù)據(jù),通過被注入系統(tǒng)對外提供的接口(如網(wǎng)絡(luò)接口、函數(shù)接口等),將異常數(shù)據(jù)自動化注入被測軟件中,從而觀測軟件是否能在惡劣環(huán)境下正常工作.

圖5顯示了向服務(wù)注入故障的時序過程,該過程采用序列圖進(jìn)行展示.

3 故障注入仿真試驗

為了能夠?qū)υ摴收献⑷敕椒ㄟM(jìn)行驗證,以某工程的實(shí)際態(tài)勢處理軟件為對象進(jìn)行驗證.試驗環(huán)境如圖6所示,由圖可知,使用模擬器生成大量的態(tài)勢測試數(shù)據(jù),實(shí)時態(tài)勢信息經(jīng)過網(wǎng)絡(luò)向資源管理服務(wù)中心上報態(tài)勢信息,態(tài)勢信息經(jīng)過實(shí)時信息分發(fā)服務(wù)轉(zhuǎn)發(fā)至態(tài)勢服務(wù),由態(tài)勢信息服務(wù)進(jìn)行信息的抽取、轉(zhuǎn)換,最終投遞到綜合態(tài)勢顯示軟件.在這一環(huán)境中使用故障注入工具向?qū)崟r信息分發(fā)服務(wù)注入異常數(shù)據(jù),如果實(shí)時信息分發(fā)這類較為成熟的軟件發(fā)生問題,則證明了本方法研究的可行性和工具的實(shí)用性.

圖4 變異規(guī)則配置界面

圖5 變異數(shù)據(jù)注入過程序列圖

采用本文研制的故障注入工具,并設(shè)置相關(guān)的變異規(guī)則,實(shí)現(xiàn)了對XX 報文的變異,具體變異規(guī)則設(shè)置如表4所示.

表4 變異規(guī)則設(shè)置

圖6 業(yè)務(wù)數(shù)據(jù)變異試驗場景

圖7 實(shí)時信息分發(fā)服務(wù)崩潰效果圖

圖8 態(tài)勢服務(wù)崩潰效果圖

通過在實(shí)驗室內(nèi)部搭建實(shí)驗環(huán)境,并設(shè)計了800組攻擊數(shù)據(jù).在上述場景下開展試驗,發(fā)現(xiàn)了實(shí)時信息分發(fā)服務(wù)在部分情況下會發(fā)生崩潰問題,通過分析注入過程以及注入數(shù)據(jù)發(fā)現(xiàn),如果頻繁收到信息訂閱報文時,實(shí)時信息分發(fā)的訂閱關(guān)系會發(fā)生問題,進(jìn)而導(dǎo)致軟件崩潰,軟件崩潰后無法自動重啟,導(dǎo)致態(tài)勢信息中斷,無法順利上報.

4 結(jié)論

本文提出了一種基于業(yè)務(wù)數(shù)據(jù)變異的故障注入方法,能夠根據(jù)變異算子構(gòu)建“半合法數(shù)據(jù)”來模擬產(chǎn)生云環(huán)境中各類資源故障與異常事件.同時,提供故障注入能力,依托仿真或云環(huán)境接口調(diào)用等手段實(shí)現(xiàn)故障注入.實(shí)驗結(jié)果表明,該方法能夠滿足大部分通信網(wǎng)絡(luò)、云環(huán)境原型等層面的故障注入需求,支撐云環(huán)境能力評估試驗.