在MAFTIA项目中，John Lowry[6]设计了一个攻击实验，其中包括攻击和防御两方面的准备。攻击方面包括负责攻击的红组，以及负责收集情报和探测信息的两个辅助小组。防御方面则不采用人工，而是一个带防火墙的自律系统。实验结果收集了攻防两方的数据，并进行分析和比较。研究表明对于攻击者来说，技术水平与成功率有莫大的关系，这一点与Erland Jonsson等人的实验结论一致。而对于防御方来说，大型网络中仅仅依靠IPsec标准来保护信息是很困难的，另一方面配置简易的个人防火墙则对于安全性的提升能起到重大作用。
    上述实验在规模和攻击手段上仍然受到了很多限制，这一点在文献中作者自己也承认并设想了未来的实验方向。他们认为，如果要更精确地研究攻击行为，还需要设计一个更丰富的实验，将各种攻击目标不同、攻击方式不同的实验组放在一起进行比较。通过这两次实验，可以得出攻击者的技术水平在安全性评估中占了重要地位的结论。对于入侵容忍系统来说，发现并修补漏洞将能有效地提高攻击过程中的技术门限，从而使得更多的攻击者停留在学习过程中，而无法进一步探察系统漏洞。另一方面，面对高水平的攻击者，系统在受到未知漏洞攻击以后，是否能通过冗余机制有效地屏蔽损害，进而返回安全的状态则显得尤为重要。

5．总结
    状态转移模型作为入侵容忍系统的安全性分析的一个基本模型，有着不可动摇的价值，后续的大部分研究都是在该模型基础上进行的。为了更精确地评估入侵容忍系统的安全性，需要一个考虑更加周全，计算更加严密的量化标准。MTTSF作为一个简易的评估标准是可行的，但距离实用仍有一定距离。另外，在实际情况中，各个系统所处的网络环境、攻击者的平均水平等因素并没有被考虑进去，所以仅仅用MTTSF来评价安全性是不精确的。而且计算MTTSF值的过程在参数敏感性分析上尚不完全，尤其是攻击成功概率pa这个值对于MTTSF的影响比重过大，还需要考虑攻击环境等多方因素对各个参数进行修正。
    综合各个文献资料来看，未来的研究可以着眼于以下几点。首先，实验数据尚不充足，需要在文献[5,6]的基础上设计一个更能表现攻击行为特性的实验，攻击方完全由人工组成，更精确的数据可以在攻击行为研究和参数敏感性分析等方面提供有力的依据。其次，MTTSF作为仅仅作为一个初步的量化标准，尚有很多不足之处，需要根据不同的应用环境和安全策略进行细化和改进。

参考文献
[1] Dacier M, Deswarte Y, Kaâniche M, Quantitative Assessment of Operational Security: Models and Tools[R], LAAS Research Report 96493, 1996.
[2] Gong F, Katerina G, Wang F, et al, Characterizing intrusion tolerant systems using a state transition model[C], Proceedings of the DARPA Information Survivability Conference and Exposition (DISCEX II), 2001, Vol.2: 211–221.
[3] Madan B B, Katerina G, Vaidyanathan K, Trivedi K S, A method for modeling and quantifying the security attributes of intrusion tolerant systems[J], Performance Evaluation 2004(56): 167-186.
[4] Uemura Toshikazu, Dohi Tadashi, Quantitative Evaluation of Intrusion Tolerant Systems Subject to DoS Attacks Via Semi-Markov Cost Models[J], Emerging Directions in Embedded and Ubiquitous Computing, 2007, Vol.4809:235-245.
[5] Jonsson E, Olovsson T, A quantitative model of the security intrusion process based on attacker behavior[C], IEEE Trans. Software, England, 1997, Vol.23 (4): 235-245.
[6] Lowry J, An initial foray into understanding adversary planning and courses of action[C], Proceedings of the DARPA Information Survivability Conference and Exposition (DISCEX II), 2001, Vol.1: 123–133.
[7] 秦华旺，戴跃伟，王执铨，一种基于Petri net的分布式入侵容忍系统模型研究[J]，系统工程与电子技术，2009，Vol.31(1):208-212.
[8] 殷丽华，方滨兴，入侵容忍系统安全属性分析[J]，计算机学报，2006，Vol.29(8):1505-1512.
[9] 郭世泽，牛冠杰，郑康锋，入侵容忍系统模型构件及量化分析[J]，北京邮电大学学报，2007，Vol.30(1):36-39.

作者简介：黄建华(1963-)，男，博士，副教授，华东理工大学信息科学与工程学院，主研领域：网络与信息安全；杨天扬(1985-)，男，硕士研究生，华东理工大学信息科学与工程学院

(责任编辑：adminadmin2008)