基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造方法建模＊

閆桂玲

（九江學(xué)院信息科學(xué)與技術(shù)學(xué)院，江西 九江 332005）

1 引言

網(wǎng)構(gòu)軟件（Internet Ware）是一種面向網(wǎng)絡(luò)環(huán)境的新型軟件形態(tài)，其構(gòu)建依賴于對開放、動態(tài)和多變環(huán)境中各網(wǎng)絡(luò)節(jié)點軟件實體之間的有效協(xié)同，因此網(wǎng)絡(luò)節(jié)點之間的故障傳染是網(wǎng)構(gòu)軟件不可信的主要原因[1～3]。

然而，目前的軟件構(gòu)造方法都是基于靜態(tài)可信[4～6]，即：這些方法都是研究軟件制造過程中的可信度，一旦軟件制作完成，在運(yùn)行過程中，軟件的可信度是否會改變就不在研究范圍之內(nèi)。但是，實際上，靜態(tài)可信的方法并不適合網(wǎng)構(gòu)軟件，因為網(wǎng)構(gòu)軟件隨著網(wǎng)絡(luò)節(jié)點在互聯(lián)網(wǎng)中的協(xié)同運(yùn)作，一個節(jié)點的故障也許會導(dǎo)致更多的節(jié)點發(fā)生故障，從而使整個網(wǎng)構(gòu)軟件的可信度發(fā)生變化，而且如何以最小的代價修復(fù)網(wǎng)構(gòu)軟件、如何動態(tài)提高網(wǎng)構(gòu)軟件的可信度目前也沒有研究。

針對以上問題，本文根據(jù)網(wǎng)構(gòu)軟件的開放、動態(tài)和多變的特性，提出了一種動態(tài)可信的概念，即：在網(wǎng)構(gòu)軟件運(yùn)行過程中，隨時根據(jù)軟件執(zhí)行情況、網(wǎng)絡(luò)節(jié)點狀態(tài)等相關(guān)因素，動態(tài)評估網(wǎng)構(gòu)軟件的可信度，并根據(jù)可信度等信息修改網(wǎng)構(gòu)軟件和監(jiān)控參數(shù)，為網(wǎng)構(gòu)軟件提供動態(tài)可信支持，并逐步提高網(wǎng)構(gòu)軟件的可信度。實驗證明，本文方法能夠有效支持網(wǎng)構(gòu)軟件的信任管理及在線改進(jìn)，有助于解決開放環(huán)境下網(wǎng)構(gòu)軟件的可信性問題。

2 基本概念

2.1 網(wǎng)構(gòu)軟件

網(wǎng)構(gòu)軟件從軟件形態(tài)的角度考察Internet環(huán)境對軟件理論、方法和技術(shù)的挑戰(zhàn)，是傳統(tǒng)軟件結(jié)構(gòu)的自然延伸，網(wǎng)構(gòu)軟件具有自主性、演化性、協(xié)同性、多態(tài)性和反應(yīng)性等特征[3]。從網(wǎng)構(gòu)軟件的角度來看，傳統(tǒng)的軟件工程方法學(xué)體系本質(zhì)上是一種靜態(tài)和封閉的框架體系，難以支持由開放、動態(tài)、多變的Internet環(huán)境衍生的網(wǎng)構(gòu)軟件的開發(fā)。

從技術(shù)的角度看，網(wǎng)構(gòu)軟件在Internet上表現(xiàn)為一種與當(dāng)前的信息Web 類似的Software Web。以軟件構(gòu)件等技術(shù)支持的軟件實體將以開放、自主的方式存在于Internet的各個節(jié)點之上，任何一個軟件實體可在開放的環(huán)境下通過某種方式加以發(fā)布，并以各種協(xié)同方式[4]與其他軟件實體進(jìn)行跨網(wǎng)絡(luò)的互連、互通、協(xié)作和聯(lián)盟。

Internet的開放、動態(tài)和多變以及用戶使用方式的個性化要求決定了網(wǎng)構(gòu)軟件的開發(fā)不同于傳統(tǒng)軟件開發(fā)的“一次成型”式。具體表現(xiàn)為，網(wǎng)構(gòu)軟件在發(fā)布之后，能夠感知外部網(wǎng)絡(luò)環(huán)境的動態(tài)變化，并隨著這種變化按照功能指標(biāo)、性能指標(biāo)和可信性指標(biāo)等進(jìn)行靜態(tài)的調(diào)整和動態(tài)的演化，以使系統(tǒng)具有盡可能高的用戶滿意度。而且，由于用戶需求的多樣化和個性化以及投資回收等因素，因此，本文的網(wǎng)構(gòu)軟件構(gòu)造建模平臺是一個有豐富基礎(chǔ)軟件資源但同時又是開放、動態(tài)和多變的框架，更強(qiáng)調(diào)開放環(huán)境下軟件實體間的協(xié)同性。

2.2 可信軟件

一個實體在實現(xiàn)給定目標(biāo)時，其行為與結(jié)果總是可以預(yù)期的。如果即使在運(yùn)行過程中出現(xiàn)一些特殊情況，軟件服務(wù)也總是與用戶的預(yù)期相符，這樣的軟件稱為可信軟件（Trusted-Software）[6，7]。

這里的特殊情況主要分為以下四類：

（1）硬件環(huán)境（計算機(jī)、網(wǎng)絡(luò)）發(fā)生故障；

（2）低層軟件（操作系統(tǒng)、數(shù)據(jù)庫）出現(xiàn)錯誤；

（3）其它軟件（病毒軟件、流氓軟件）對其產(chǎn)生影響；

（4）出現(xiàn)有意（攻擊）、無意（誤操作）的錯誤操作。

可信軟件構(gòu)造技術(shù)是指保證軟件系統(tǒng)的行為總是與預(yù)期相一致的軟件開發(fā)技術(shù)和過程技術(shù)。經(jīng)過多年的研究，目前人們對于造成軟件不可信的原因、機(jī)理已有基本認(rèn)識，并研究出了一些對策，如形式化方法、軟件測試方法、過程管理方法和軟件監(jiān)控（Software Monitoring）方法等。

2.3 軟件監(jiān)控

本文采用軟件監(jiān)控方法作為可信軟件構(gòu)造的支撐技術(shù)。所謂軟件監(jiān)控是指通過對軟件實施有效的監(jiān)控以獲得軟件的運(yùn)行狀態(tài)，并通過將監(jiān)控結(jié)果與預(yù)期行為進(jìn)行比較，從而有效地掌握軟件行為的可信程度，并在發(fā)生問題時準(zhǔn)確分析和定位軟件故障[8]。

不具備可監(jiān)控能力的系統(tǒng)不僅會大幅度增加維護(hù)軟件產(chǎn)品的成本，而且會對系統(tǒng)的可信特性帶來威脅。越來越高的維護(hù)成本和對軟件可信性的要求已使人們充分認(rèn)識到軟件監(jiān)控的重要性，軟件的監(jiān)控能力成為可信研究領(lǐng)域內(nèi)的熱點問題。

3 系統(tǒng)模型

本文在對網(wǎng)構(gòu)軟件進(jìn)行網(wǎng)絡(luò)拓?fù)浣５幕A(chǔ)上構(gòu)造可信網(wǎng)構(gòu)軟件模型，并進(jìn)一步探討基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型。

3.1 網(wǎng)絡(luò)拓?fù)淠Ｐ?/h3>

將網(wǎng)構(gòu)軟件網(wǎng)絡(luò)表示為具有m 個節(jié)點[9，10]、e條邊的加權(quán)有向圖G，記為G＝（V，E），其中V 是節(jié)點集合，V 中的每個元素vi代表網(wǎng)構(gòu)軟件源代碼中的一個函數(shù)，E 是邊集合，E 中的每個元素〈vi，vj〉是一個有序?qū)?，?dāng)且僅當(dāng)vi調(diào)用vj時，〈vi，vj〉∈E，即vi→vj。

在現(xiàn)有的大多數(shù)基于函數(shù)實體的軟件網(wǎng)絡(luò)模型中，節(jié)點間只有“相連”和“不相連”兩種連接方式，對應(yīng)著函數(shù)間的“調(diào)用”和“不調(diào)用”兩種關(guān)系，但這并不能準(zhǔn)確地反映軟件函數(shù)間的調(diào)用關(guān)系，實際上不同函數(shù)間連接的緊密程度也是不同的。因此，本文為每條有向邊設(shè)置一個權(quán)重wij∈[0，∞），用以表征函數(shù)間的調(diào)用頻度。同時，定義一個m×m 的鄰接矩陣[aij]，i，j∈[1，m]，如果在源代碼中，函數(shù)vi調(diào)用函數(shù)vj共wij次，則aij＝wij。同時，節(jié)點集合V 不包括庫函數(shù)。

3.2 可信網(wǎng)構(gòu)軟件模型

漏洞被觸發(fā)后稱之為故障，故障發(fā)生時對軟件系統(tǒng)正常運(yùn)行的影響程度稱之為故障強(qiáng)度（Failure Intensity）。本文采用Fortify Software公司對代碼漏洞的分類方式定義故障強(qiáng)度，記為λ∈[1，8]，等級越高，意味著故障影響到其它函數(shù)的可能性越大。軟件網(wǎng)絡(luò)中每個節(jié)點（函數(shù)）對故障的處理能力稱為節(jié)點容錯能力，記為β。實際測試過程中采用的函數(shù)質(zhì)量評估方法與漏洞分類方法應(yīng)該相一致，因此本文將容錯能力劃分為八個等級，即β∈[1，8]，等級越高表示節(jié)點容錯能力越強(qiáng)，越不易被軟件故障所影響。

網(wǎng)構(gòu)軟件的可信度主要依賴于網(wǎng)絡(luò)節(jié)點的容錯能力，因此本文設(shè)定兩種容錯能力分配方式：（1）隨機(jī)分配，各函數(shù)的容錯能力符合均值為β的泊松分布；（2）優(yōu)先分配，各函數(shù)的容錯能力與它擁有的調(diào)用關(guān)系數(shù)目和權(quán)重和的乘積成正比例關(guān)系，如式（1）所示：

在網(wǎng)構(gòu)軟件系統(tǒng)運(yùn)行的過程中，如果函數(shù)i出現(xiàn)故障，那么該故障可能通過函數(shù)間的調(diào)用或依賴關(guān)系以某一概率傳播至函數(shù)j，而后者容錯能力的強(qiáng)弱決定著該故障能否導(dǎo)致函數(shù)j 失效，繼而影響著調(diào)用和依賴函數(shù)j的其它函數(shù)。

當(dāng)容錯能力為βi 的函數(shù)i 調(diào)用故障強(qiáng)度為λj的函數(shù)j 時，考慮到網(wǎng)構(gòu)軟件的構(gòu)造方法，本文規(guī)定：當(dāng)βi≥λj時，j發(fā)生的故障能否感染函數(shù)i 依賴于兩個函數(shù)的緊密程度，以及故障強(qiáng)度與容錯能力之比的共同作用；當(dāng)βi＜λj時，函數(shù)i是否會受到該故障的影響僅依賴于函數(shù)i 和函數(shù)j 之間調(diào)用關(guān)系的緊密程度。為了區(qū)分這兩種情況，設(shè)定一種區(qū)分系數(shù)δ如式（2）所示：

綜上，節(jié)點i在網(wǎng)構(gòu)軟件中的故障感染概率P如式（3）所示：

其中，Wij＝wij／wmax表示函數(shù)i與函數(shù)j 的調(diào)用關(guān)系在網(wǎng)構(gòu)軟件中發(fā)生的概率。這樣設(shè)計的原因是：函數(shù)被調(diào)用的次數(shù)越多意味著它具有的漏洞越易被觸發(fā)，Wij∈（0，1]，Wij中的wmax表示圖G 的最大權(quán)重。

發(fā)生故障的函數(shù)只有被其它函數(shù)調(diào)用時才有可能將故障傳播出去，因此故障的一次傳播規(guī)則定義如下：遍歷所有已發(fā)生故障的節(jié)點，如果指向故障節(jié)點的有向邊的起始節(jié)點是非故障節(jié)點，則根據(jù)式（3）計算感染概率，并以此概率感染該節(jié)點，直至所有非故障鄰居節(jié)點計算完畢。

3.3 基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型

根據(jù)網(wǎng)構(gòu)軟件的特性，本文設(shè)計了一種基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型TTIWM（the Tectonic model of Trusted Internet Ware based on Monitoring），如圖1所示。

Figure 1 Tectonic model of trusted Internet ware based on monitoring—TTIWM圖1 基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型TTIWM

其基本思想是為原本沒有監(jiān)控能力的網(wǎng)構(gòu)軟件網(wǎng)絡(luò)節(jié)點注入監(jiān)控能力，從而得以在系統(tǒng)運(yùn)行時監(jiān)控網(wǎng)絡(luò)節(jié)點的行為、狀態(tài)，以判斷網(wǎng)絡(luò)節(jié)點是否存在異常，從而提高系統(tǒng)的可維護(hù)性、適應(yīng)性和可用性等可信性質(zhì)。

TTIWM 分為網(wǎng)絡(luò)層、監(jiān)控層和服務(wù)層三個層次，各個層次間的核心線索是數(shù)據(jù)，其功能定義如以下各節(jié)所述。

3.3.1 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層是網(wǎng)構(gòu)軟件實體對外信息交互的通道，這需要一個功能強(qiáng)大的中間件平臺來支持多種協(xié)議間通信鏈接的建立。但是，本模型關(guān)注的重點是：針對大規(guī)模的網(wǎng)絡(luò)事件，通過捕獲模塊對網(wǎng)構(gòu)軟件網(wǎng)絡(luò)節(jié)點的信息進(jìn)行分析，捕獲隨時可能發(fā)生的故障事件，為后續(xù)的信任度量做準(zhǔn)備。

3.3.2 監(jiān)控層

監(jiān)控層是本模型的主要組成部分，目的是對網(wǎng)構(gòu)軟件實體進(jìn)行全面監(jiān)控、信任評估及有效保護(hù)。

該層執(zhí)行過程為：

（1）對捕獲的源代碼進(jìn)行分析，利用代碼表示技術(shù)對網(wǎng)絡(luò)節(jié)點代碼進(jìn)行分析，將其轉(zhuǎn)換為XML的中間形式，并利用XML 解析器將代碼中的類、函數(shù)、變量等信息提取出來。

（2）根據(jù)支撐工具模塊提供的監(jiān)控需求表達(dá)式模板幫助編程人員完成監(jiān)控需求表達(dá)式的描述，將監(jiān)控需求保存為XML需求文檔，為監(jiān)控代碼的生成提供依據(jù)。

（3）根據(jù)監(jiān)控需求表達(dá)式的描述，調(diào)用監(jiān)控代碼生成工具和通用模塊庫中的監(jiān)控代碼模板，生成編織器所需的網(wǎng)構(gòu)軟件監(jiān)控代碼。

（4）從支撐工具模塊中選用合適的監(jiān)控服務(wù)，并調(diào)用監(jiān)控代碼生成模塊選用的編織器，如果原有的網(wǎng)構(gòu)軟件中沒有監(jiān)控代碼，則將監(jiān)控探針和監(jiān)控服務(wù)一起注入到待監(jiān)控的網(wǎng)絡(luò)節(jié)點，使其具備可監(jiān)控的能力；如果原有的網(wǎng)構(gòu)軟件中已經(jīng)有了監(jiān)控代碼，則根據(jù)故障分析修改網(wǎng)絡(luò)節(jié)點中的監(jiān)控探針和監(jiān)控服務(wù)。

3.3.3 服務(wù)層

服務(wù)層體現(xiàn)了本文的一個重要創(chuàng)新點?，F(xiàn)有的軟件構(gòu)造方法都是基于靜態(tài)可信，換句話說，都是研究軟件制造過程中的可信度，一旦軟件制作完成，在運(yùn)行過程中的可信度是否會改變就不在考慮范圍之內(nèi)。而本文針對網(wǎng)構(gòu)軟件的開放、動態(tài)和多變的特性，提出一種動態(tài)可信的概念，即：在網(wǎng)構(gòu)軟件運(yùn)行過程中，隨時根據(jù)軟件執(zhí)行情況、網(wǎng)絡(luò)節(jié)點狀態(tài)等相關(guān)因素，動態(tài)評估網(wǎng)構(gòu)軟件的可信度，并根據(jù)可信度修改網(wǎng)絡(luò)層的捕獲規(guī)則，以此實現(xiàn)動態(tài)調(diào)整監(jiān)控參數(shù)的目的，為網(wǎng)構(gòu)軟件提供動態(tài)可信支持。

除了負(fù)責(zé)維護(hù)與管理具備監(jiān)控能力的可信網(wǎng)構(gòu)軟件實體之外，服務(wù)層還具備以下三個功能：

（1）負(fù)責(zé)網(wǎng)絡(luò)層產(chǎn)生的決策行為的執(zhí)行。利用實體容器為實體提供生存的環(huán)境，維護(hù)實體狀態(tài)，同時通過實體管理模塊提供相應(yīng)的原子指令對它們進(jìn)行管理。本模型提供的原子操作主要有添加、刪除、復(fù)制、攔截等，負(fù)責(zé)完成網(wǎng)絡(luò)節(jié)點的遷移、淘汰及通訊等。

（2）信任的度量。實體管理模塊對網(wǎng)絡(luò)層獲得的故障事件進(jìn)行分類，根據(jù)已有的信任鏈表、度量策略及信任歷史進(jìn)行綜合評估，得出網(wǎng)構(gòu)軟件當(dāng)前的可信度。

（3）數(shù)據(jù)更新。實體容器模塊根據(jù)決策結(jié)果，對相關(guān)的捕獲規(guī)則、信任鏈表、歷史記錄、監(jiān)控代碼和網(wǎng)絡(luò)節(jié)點代碼進(jìn)行更新，形成反饋環(huán)路，使網(wǎng)構(gòu)軟件的可信度穩(wěn)步上升。

4 實驗分析

本節(jié)通過實驗分析了本文模型的性能指標(biāo)。

4.1 實驗環(huán)境

采用移動Aglets系統(tǒng)作為實驗平臺，Aglets是由IBM 公司開發(fā)的基于Java的移動系統(tǒng)。選擇Aglets是因為它的設(shè)計非常簡潔，支持在不同的網(wǎng)絡(luò)主機(jī)平臺之間遷移，并且提供一個上下文環(huán)境來管理Aglet的基本行為。另外，Aglets系統(tǒng)由通信層和運(yùn)行層兩部分構(gòu)成，我們用通信層實現(xiàn)了網(wǎng)構(gòu)軟件網(wǎng)絡(luò)節(jié)點之間的通信，用運(yùn)行層實現(xiàn)了網(wǎng)絡(luò)節(jié)點的創(chuàng)建、發(fā)送和管理等基本功能，在實驗室用三臺計算機(jī)連起來模擬了網(wǎng)構(gòu)軟件的構(gòu)造環(huán)境。

4.2 性能實驗

用P 表示網(wǎng)構(gòu)軟件各個網(wǎng)絡(luò)節(jié)點的平均故障感染概率，用C 表示網(wǎng)構(gòu)軟件的可信度（Degree of Confidence），用T 表示圖1所示模型的循環(huán)次數(shù)（Cycle Times of System），本文通過實驗比較了在幾種不同故障感染率的情況下，系統(tǒng)對可信度的影響，如圖2所示。

從圖2可以看出，本文方法隨著系統(tǒng)循環(huán)次數(shù)的增加，可以有效地提高網(wǎng)構(gòu)軟件的可信度，其中，初始可信度越低的網(wǎng)構(gòu)軟件，其改進(jìn)效果越明顯。

Figure 2 Reliability influence of the system圖2 系統(tǒng)對可信度的影響

5 結(jié)束語

本文根據(jù)網(wǎng)構(gòu)軟件的特性，設(shè)計了一種基于監(jiān)控的可信網(wǎng)構(gòu)軟件構(gòu)造模型，該模型動態(tài)調(diào)整監(jiān)控參數(shù)，為網(wǎng)構(gòu)軟件提供動態(tài)可信支持。實驗證明：該模型能有效提高網(wǎng)構(gòu)軟件的可信度。同時，該模型是一個層次模型，具有以下優(yōu)點：（1）較好的通用性；（2）較好的開放性；（3）各層功能相對獨立；（4）易于實現(xiàn)和維護(hù)；（5）結(jié)構(gòu)上易于分隔。

[1]Poladian V，Sousa P.Dynamic configuration of resource-aware services[C]∥Proc of the 32nd International Conference on Software Engineering，2010：604-613.

[2]Xu F，Lv J，Zheng W.Design of a trust evaluation valuation model in software service coordination[J].Journal of Software，2008，2.（3）：1043-1051.

[3]Beth T.Valuation of trust in open network[C]∥Proc of the European Symposium on Research in Security，2011：7-21.

[4]Ma Zhi-qiang，Yin Gui-sheng，Dong Yu-xin.Trust drive and evolution model based on network structure software[J].Journal of Harbin Engineering University，2010，31（8）：1054-1060.（in Chinese）

[5]Jpsang A.An algebra for assessing trust in certification chains[C]∥Proc of the Network and Distributed Systems Security Symposium，2011：11-20.

[6]Abdul A，Hailes S.A distributed trust model[C]∥Proc of 2007 Workshop on New Security Paradigms，2007：48-60.

[7]Shaw M.Self-healing：Softening precision to avoid brittleness[C]∥Proc of the 8th ACM SIGSOFT Workshop on Self-Healing Systems，2009：111-113.

[8]Li Ren-jie，Zhang Zhu-xi，Jiang Hai-yan，et al.Trusted software structure model research and implementation based on the monitoring[J].Computer Application Research，2009，2.（12）：4585-4588.（in Chinese）

[9]Zhang Guang-quan，Lin Miao，Rong Mei.Embedded real-time software modeling and analysis based on the component[J].Computer Engineering ＆Science，2008，30（12）：137-141.（in Chinese）

[10]Wang Cheng-xiao，Xiao Ming-qing，Gou Xin-yu.Airborne missile remote testing software modeling in grid environment[J].Micro Computer Information，2008，2.（31）：166-171.（in Chinese）

附中文參考文獻(xiàn)：

[4]馬志強(qiáng)，印桂生，董宇欣.面向網(wǎng)構(gòu)軟件的信任驅(qū)動及演化模型[J].哈爾濱工程大學(xué)學(xué)報，2010，31（8）：1054-1060.

[8]李仁杰，張矚熹，江海燕，等.基于監(jiān)控的可信軟件構(gòu)造模型研究與實現(xiàn)[J].計算機(jī)應(yīng)用研究，2009，2.（12）：4585-4588.

[9]張廣泉，林苗，戎玫.基于構(gòu)件的嵌入式實時軟件建模與分析[J].計算機(jī)工程與科學(xué)，2008，30（12）：137-141.

[10]王承孝，肖明清，茍新禹.網(wǎng)格環(huán)境下機(jī)載導(dǎo)彈遠(yuǎn)程測試軟件建模[J].微計算機(jī)信息，2008，2.（31）：166-171.