Research on analysis model of MANET survivability

WANG Ji-Lu1,2 1. Department of Computer Science and Technology

Beijing Foreign Studies University, Beijing, China

wjlgax@sohu.com

YU Zhen-Wei2 2. Department of Computer Science and Technology

Chinese University of Mining and Technology Beijing, China

gaxwjl@sohu.com

Abstract—The paper mainly presents the analytical discussion of MANET and network survivability research that have been

done so far. As MANET were open and complex, system hierarchical model was provided, which converted the traditional

survivability analysis into hierarchical relation between the key services and the atomic components. This analysis can be

applied in quantitative analysis of MANET survivability.

Keywords- MANET, survivability, analysis model, hierarchical

MANET 生存性分析模型研究

王冀鲁 1,2，余镇危 2 1. 北京外国语大学 计算机科学与技术系,北京,100089

2. 中国矿业大学(北京) 计算机科学与技术系,北京,100083

1. wjlgax@sohu.com, 2.gaxwjl@sohu.com

【摘要】通过对无线自组织网络和生存性的研究，介绍了生存性评价的目前进展。基于无线自组织网络的开放性和复杂性，本文提出了无线自组织网络的生存性分析模型，将整个生存性分析问题转化成关键服务与组件间关系问题，层次分析模型具有一定的量化分析应用前景。

【关键字】无线自组织网；生存性；分析模型；层次

1. 引言

移动 MANET 网络（Mobile MANET Network）是一个

复杂的分布式系统，它由能自由移动和动态地自组织成任

意网络拓扑结构的无线节点组成。它使人员和设备在没有

固定基础设施的地方无缝地连接到因特网。而移动节点间

无线连接的易变性、节点分布的随机性、以及能量、带宽

受限、共享信道冲突等因素影响，使该技术在实用化方面

遇到了极大挑战。 可生存性是 Barnes 等人于 1993 年提出来的概念[1]。

Ellison 指出可生存性是指系统在遭受攻击、故障或意外事

故时，系统能够及时的完成其关键任务的能力[2]。可生存

系统的核心就是维持关键服务，也就是维持系统中支持关

键服务的关键属性，比如完整性、机密性、性能和其它属

性等。维持关键服务不能够以系统中特定信息源、节点计

算能力或通信链路的可生存为前提。也就是说，即使系统

中某一关键部分遭到破坏，依然能够维持关键服务，甚至

在该服务遭到毁灭性打击根本无法继续提供时，系统中还

必须有其它服务能够同样有效的方式来替代该服务。而传

统的安全概念更多的关注于单个系统组件，或者仅仅考虑

到系统某个层面上的安全，而生存性是考虑系统整体上的

性能，关注的是系统在遭受攻击、软硬件故障等意外事故

下能否“生存”。 生存性分析是对系统的生存性进行评估和分析，给出

系统的生存性状况并提出具体的改进建议。它不仅在系统

设计阶段根据系统生存性需求提供生存性的设计建议，也

可在系统建成后对系统的实际状况进行评价和改进，为系

统在各种环境下的服务性能提供预测。 本文首先对以有的生存性分析模型进行了总结和分

析，基于无线自组织网络的复杂性，从系统事件与网络系

统提供的关键服务的交互关系出发，将无线自组织网络生

存性分析问题转换为一个层次结构的分析模型，层次模型

的顶端是系统生存性和与之紧密相连的关键服务，底端关

联到原子功能或原子组件。模型的描述显示出关键服务与

原子组件或原子功能的紧密关系，由此可以定性分析无线

自组织网络系统的生存性，并可以对无线自组织网络生存

作者简介：王冀鲁(1973-)，男，副教授，博士研究生，研究方向为

网络性能评价，无线自组织网络；余镇危(1943-)，男，教授，博士

生导师，研究领域为计算机网络及体系结构，网络性能评价。

978-1-4244-7255-0/11/$26.00 ©2011 IEEE

性进行进一步量化分析。

2.研究现状

在网络可生存性研究中，对可生存性的评估可以从两

个阶段进行。一个阶段对应于可生存网络的全新设计方法,把可生存性作为网络的功能要求之一进行考虑。另一个评

估阶段对应于可生存网络的增强设计。在现实中很多情形

是对现有网络进行改进，使其具有生存性。在这种情形下

就需要对现有网络进行生存性评估，然后看现有网络是否

满足生存性需求，若不满足，则可以给出改进策略，把现

存网络改进成为可生存网络。 在生存性分析研究领域中，定性分析和定量分析成为

生存性分析中的两个热点问题，虽然出现了不少生存性分

析模型，但这些模型更多的是应用于网络或信息系统的定

性分析或者理论研究，而应用到无线自组织网络中的分析

模型或者具体实际工程分析的较少。

2.1 定性分析

生存性的定性分析的主要目的是为了评估出影响系统

生存性关键部分。目前的研究主要集中在网络信息系统和

通信领域。SNA[2]方法通过定义系统的基本服务及其相应

的基本组件定位系统的缺陷组件，再通过分析缺陷组件的

可抵抗性(resistance)、可识别性(recognition)和可恢复性

(recovery)这三个方面(简称 3R)性能来反映系统的生存性。

Gao[3]基于每一个系统服务，利用一些关键规格来描述其

生存性，通过一定的分解，将整个系统的生存性通过各个

组件的生存性来表示， 后形成一种树状模型。Hevner[4]等提出一个 FSQ 框架来表示复杂系统，基于用户服务的

需求而不是系统功能或对象来层次性分解系统，通过利用

流（flow）、服务（service）和质量属性（quality attributes）三个方面的描述提供了评估和管理系统生存性的基础。

2.2 定量分析

对系统可生存性进行定量分析，首先要从实际系统中

抽取出有用信息，建立模型，然后对模型进行分析。下面

分别总结了网络可生存性分析中的一些建模技术和评价方

法。 Jha[5]对网络中的每个节点及链路用状态机建模，把整

个系统描述为一系列并发执行的有限状态机，然后用形式

化分析工具对系统特性进行分析。在可生存性分析中，入

侵和故障的发生之间可能具有依赖关系，各个节点的不同

状态之间可能具有联系。为了能够表示状态之间的相互关

联信息，Jha[6]用受限制的马尔可夫决策进程对系统进行建

模。Dong.S.K[7]用基于半马尔可夫进程的随机进程对系统

进行建模。这些模型都能很好地表示出系统的状态转移关

系，有利于对系统的动态行为进行分析。 从攻击者的角度对生存性进行分析可以实现对系统组

件的脆弱性分析。攻击树和攻击图是目前描述攻击 常用

的方法[8]，Casey.F[9]用攻击树的方法对系统的生存性进

行了分析。 郭渊博[10]从另一个角度把不同的系统部件集看作配

置,配置对部件进行分配组合以支持某个服务,从而把系统

视作层次化的结构,定义了系统与配置服务的关系,给出了

比较服务可生存性大小的充分条件,把服务表示为与或树

的形式,给出了服务可生存性的一种定量表达方法。

3. 无线自组织网络生存性分析模型

无线自组织网路系统拓扑结构的时变性导致系统状态

时刻迁移变化，系统所提供的服务随之受到影响。因此对

该系统进行生存性分析具有典型性。目前对通信网络、计

算机网络和信息系统的生存性分析研究较多，对于无线自

组织网络生存性定性和定量分析也已经有了一些。 在系统的生存性分析方法中，基于系统结构的生存性

建模类似系统物理模型，通常是从系统的物理结构出发的，

适用于小规模或者是系统结构简单的系统，而对于大规模

的系统而言，因为物理结构的复杂性，在无界网络中系统

的物理结构甚至是不可知的，模型的建立就比较困难； 基于系统服务的生存性分析建模类似系统业务逻辑模

型，可以看成是对系统业务及内部结构的逻辑描述，因为

是从系统服务出发，所以要详细了解系统各个用户群的需

求以便对系统服务进行等级划分。 系统的生存性的核心是系统继续提供基本服务的能

力，其不同于一般通讯网络之处在于更多的关注系统整体

逻辑层面上的服务性能，而不仅仅是物理上的网络链路，

所以基于系统服务的分析模型更容易被人接受，应用更广

泛些。 本文设计的无线自组织网络系统层次分析模型作为定

性分析生存性的一种方法，将复杂的系统生存性分析转移

到系统提供的基本服务或基本功能的生存性分析，能够快

速对系统的生存性缺陷进行定位，并依此给出合理的生存

性建议。并且再此基础之上进一步研究依据该模型进行量

化分析打下基础。

3.1 分析框架

MANET 系统的生存性分析涉及到如何对其进行定

义，如何组织具体的生存性分析，如何给出分析报告等方

面，因此首先对分析过程的各个步骤进行定义，以此来指

导具体的分析过程。

生存性分析过程如下： （1）MANET 系统生存性定义： 确定 MANET 系统生存性的目标和需求，给出系统的

生存性需求定义，包括系统环境参数的定义以及系统生存

性值的定义（3R+A）。确定系统物理结构环境特性。 根据具体服务需求、系统运行环境和资金预算来决定

系统需要什么样的生存性。因此，事先需要定义系统的生

存性需求，即系统生存性级别，以此为基准对比实际的生

存性分析结果，从而判定系统是否达到其生存性要求。系

统的生存性需求也是随着系统运行环境的改变而不同。 （2）基本/关键服务的定义（包括基本和关键服务）： 主要定义系统要提供的服务以及哪些服务是基本服务

和关键服务。所谓关键服务是指系统在遭遇入侵、故障或

意外情况下还必须提供的系统服务。关键服务及相应数据

可根据业务优先级被分为多个层次，在事件影响等级不同

的情况下，系统提供不同的关键服务并维持基本数据的完

整性。 根据系统的生存性目标和受到事件攻击后果来定义

MANET 系统的关键服务和属性。网络的节点的分布区域、

节点配置、节点的运动状态等来确定系统的环境。系统的

关键服务可以通过不同优先级的方法实现，这些方法的实

现 终是通过节点及其状态和相应的原子功能单元/原子

组件来体现。 （3）原子组件或原子功能单元的定义： 所谓原子是指的是能够完成某项功能的 小组成部

分，该部分不能在进行细化。系统中的物理组件可能包含

一个和多个逻辑功能，这些功能单元的组合实现某种关键

服务。称这些逻辑功能单元为原子组件或原子功能单元。 确定系统 基本的组件或功能单元。确定各个组件或

功能单元的生存概率，可用来进一步量化分析系统生存性。 （4）事件库的定义：通过分析系统的网络拓扑环境和

硬件组成、功能单元等，定义可能对系统进行攻击的事件

库，事件库攻击系统的生存性是通过影响原子组件或原子

功能单元实现的！ （5）生存性评测和生存性分析 根据系统定义，进行事件库的生成。系统在运行时会

遭遇各种不同的事件，这些事件随着环境的不同而改变。

因此，可将事件分为不同的级别，不同级别的事件组合，

即发生概率可以表示不同的运行环境，即各个原子组件的

组合形成不同的事件。将这些事件进行加载进行评测。 根据评测结果来分析系统生存性所受到的影响因素有

哪些，进一步确定生存性的缺陷，并给出生存性建议。或

根据相应的 3R+A 量化指标进行初步量化评估。 分析框架如图 1 所示：

MANET系统物物物物物物物

服 服关键 务 其 方方实现 、原原 原组

/原原原原 原单 物确确

生生生检测

生生系生生（ 生生生指标3R+A）

MANE

T

生存性需求定义

事 原 库

生存性改进建议

图 1 MANET 生存性分析框架

3.2 分析模型：

可生存性实际上是系统提供基本服务的能力。将

MANET 系统的生存性进行建模分析，层次模型如图 2 所

示。 模型中相关定义如下： MANET 系统：MANET 网络系统生存性通过其提供

的服务来体现，系统在事件库的影响下，仍能保持系统关

键服务的能力，称其为生存性。一般生存性指标采用 3R+A的形式表示。

方法/配置

任务/服务 1 任务/服务 2 任务/服务 n

方法/配置 方法/配置 方法/配置

权重/重要度参数

原子组

件/功能

原子组

件/功能

原子组

件/功能

原子组

件/功能 原子组

件/功能 原子组

件/功能

事件库

．．．．．

．．．．．

．．．．．

配置优先级参数

MANET 系统生存性

图 2 MANET 系统生存性分析模型

MANET 提供的服务：MANET 网络系统提供多种服

务类型，用户根据实际环境的需求，确定哪些是关键服务，

进而对系统进行生存性评价。MANET 网络所承载的业务

同其它各类型的网络一样，主要是传统的业务以及人们寄

予厚望的“无线宽带数据业务”。MANET 网络系统提供

的服务从宏观上来讲分以下几类；一类是实时性业务，此

类业务对实时性和要求较高，衡量参数有平均端到端时延、

抖动、路由协议的效率等等。具体服务如语音通话服务、

视频直播服务等等。另外一类业务是数据传输业务，此类

也无对实时性要求不高，衡量参数包括吞吐量、带宽等等。

具体服务包括数据传输业务、网页浏览业务等。还有一类

对实时性和数据传输要求均等的业务。 MANET 提供的服务类型不同，对系统生存性的影响

不同，为此通过权重/重要度参数区分关键服务和基本应用

服务。系统生存性是这些服务和相应权重的乘积和。 方法/配置：而对于每种服务，可以通过不同方法来实

现，不同的方法对于服务实现的配置是不同的，每个方法

都有优先级。系统服务可根据实际运行状况选择不同的方

法以保证服务的继续。例如：当系统受到攻击时，无法通

过优先级高的方法实现关键服务，可以通过降级实现方法

的手段保证关键服务的继续。MANET 系统中链路的不稳

定性，要求系统能够在某条链路损毁的情况下，快速查找

新的链路保证服务得以维持。 原子组件/功能单元：保证系统关键服务的 小组件或

功能单元。每个方法/配置是由若干组件或功能单元提供的

服务组成的，这样整个系统的生存性就可以通过各个组件

的生存性来表示。 系统的服务 终是通过各个节点的去实现。系统的生

存性与节点的有限状态机表示联系在一起。生存性定义体

现 MANET 网络的无基础设施、多跳、节点移动、节点易

消失、易受攻击等特征。 系统生存性可用节点生存性来表达或通过节点的状态

来反映，即通过节点的生存性或生存概率来表示系统的生

存性，用于分析系统的生存性。 事件库：包括故障、入侵和软硬件件自身的缺陷；①

攻击（如：入侵、探测、DoS）；②故障和意外事件（因

为软件设计错误、硬件退化、人为误操作、数据被破坏等

内部产生的事件、自然灾害等外部产生的事件）；③系统

软硬件自身的缺陷（如电池的能量、协议的不完备性、信

号发射距离的局限性）。 根据系统硬件环境和软件设置，分析系统可能存在的

漏洞及漏洞相关的原子组件或原子逻辑功能单元，将这些

对不同原子组件的生存性威胁的组合形成事件库的集合。 生存性指标（3R+A）：MANET 生存性指标可以用可

抵抗性（Resistance）、可识别性（Recognition）、可恢复

性（Recovery）和自适应性（Adaptation）来评价。 可抵抗性反映了系统提供的关键服务对各种事件的抵

抗能力。利用攻击时刻的服务状态和系统未遭受攻击时的

服务状态比来量化原子服务组件抵抗攻击的能力。 可识别性强调对整个系统状态的监控和识别。是根据

系统的层次结构，依次转化为对关键服务性能下降的识别、

事件情景的识别和各个原子组件的识别。 可恢复性反映了系统关键服务受到影响后能否恢复以

及能恢复到什么程度来判定系统的可恢复性。通过分析事

件对系统影响后，原子服务组件的自动恢复情况来分析其

恢复能力, 自适应能力需要对同一个原子服务组件进行多次同样

的攻击测试，以获取系统是否具有自适应机制。

3.3 分析过程

系统生存状态由关键任务/服务所决定，关键服务收到

事件影响发生状态迁移和改变，事件对关键服务的影响和

作用是通过几个步骤的集合来实现，每个步骤是针对原子

组件/原子功能单元实施完成的！系统遭受事件作用后的变

化，可理解成为一个有限状态的转移过程，如图 3 所示： 目前一些基于系统状态的生存性分析模型的文章中，

一般是先对系统的状态进行定义，再利用状态转移的概率

来对系统的生存性进行分析，分析结果依赖于状态转移的

概率，而概率由哪些因素来定义则更多地是由统计或专家

经验来确定，其可信度有待提高。 本文的分析过程也是基于系统状态来描述的，但为了

今后的实际应用，尽量避免直接的系统状态定义以及系统

状态转移概率的计算。 根据分析模型可知，系统生存性是由系统各个关键任

务的状态来决定。而系统各个关键任务的实现通过原子组

件或原子功能单元实现的。

MANET 系统

稳态 1（ 保保

服关键 务）

MANET 系统

稳态 n（ 保保

服关键 务）

MANET 系统失失

状态（ 无方 保维 保

保 服关键 务）

事原库作作

事原库作作

事原库作作 事原库作作

事原库作作 事原库作作

事原库作作 图 3 MANET 系统状态转移过程

事件将会对系统的服务产生影响．对于影响关键任务

服务的每个事件，其意图可以通过对多个原子组件作用来

．．．．．．

实现，因此事件通过对原子组件或原子功能单元的影响，

达到作用于系统关键服务的目的。从上述的逐层分析来看，

系统状态的变迁情况 终可通过系统对各原子组件的各种

事件的反应情况来体现。也即：系统的生存性可以通过各

原子组件或原子功能单元的生存性得以体现。 因此对系统状态变化的分析可从各种事件开始从底往

上逐层分析进行，这样就避免了基于系统状态的分析模型

中系统状态集的定义，对系统在事件作用下的状态转移分

析可从单纯的状态转移概率分析转化为从事件、原子组件

或原子功能单元和关键服务及其实现途径的逐层分析。

4．总结

针对网络系统生存性分析，虽然已经有人提出了基于

系统状态的分析模型，如故障状态模型、有限自动机模型

等，但这些模型无法适用于 MANET 系统，本文提出的生

存性层次分析模型，将复杂的 MANET 生存性分析问题转

化成系统关键服务与原子组件生存性的关系，从而简化了

问题的复杂性，并且为进一步量化评价打下基础。

参考文献 [1] Hollway B A, Neumann P G. Survivable computer2communication

systems: The problem and working group recommendations[R]. Washington: US Army Research Laboratory, 1993.

[2] Ellison R ,Fisher D ,Linger R ,et al. Survivable network systems: An emerging discipline [R]. Pittsburgh: Software Engineering Institute, Carnegie Mellon University, 1997.

[3] GAO Z X, ONG C H, TAN W K. Survivability assessment: modeling dependencies in information systems [A]. Proceedings of the 4th IEEE/CMU/SEI Information Survivability Workshop (ISW-2001/2002) [C].Vancouver, Canada, 2001.

[4] HEVNER A, LINGER R. The flow-service-quality framework: unified engineering for large-scale, adaptive systems [A]. Proceedings of the 35th Hawaii International Conference on System Sciences [C]. Hawaii, USA, 2002. 278.

[5] JHA S, WINGJ, etal. Survivability analysis of network specifications [C].Proceedings International Conference, 2000:613-622.

[6] JHA S, WING J. Survivability analysis of network system[C].Proceedings of the 23rd International Conference, 2001:307-317.

[7] DONG S K, KHAJA M S, JONG S P.A framework of survivability model for wireless sensor network [C].Proceedings of the First International Conference on Availability, Reliability and Security, 2006:515-522.

[8] 林闯,汪洋,李泉林.网络安全的随机模型方法与评价技术[J].计算机

学报,2005,28(12):1943-1956. [9] CASEY F, CHEN YI LIANG, etal. Survivability analysis of

distributed systems using attack tree methodology[C].Military Communications Conference, 2005:583-589.

[10] 郭渊博,马建峰.分布式系统中服务可生存性的定量分析[J].同济大

学学报,2002,30(10): 1190-1193.