面向SOA系統(tǒng)的攻擊效能評(píng)估技術(shù)研究.pdf

1、隨著軟件結(jié)構(gòu)復(fù)雜性的快速增長(zhǎng)，傳統(tǒng)的開(kāi)發(fā)模式已經(jīng)不能滿足用戶對(duì)處理速度以及易用性的要求，在這種情況下，面向服務(wù)的架構(gòu)SOA(service-orientedarchitecture)應(yīng)運(yùn)而生。由于具有復(fù)用率高、擴(kuò)展性強(qiáng)，松耦合等特點(diǎn)，SOA已逐漸成為了企業(yè)在開(kāi)發(fā)軟件時(shí)重點(diǎn)考慮的架構(gòu)。然而，伴隨著SOA在開(kāi)發(fā)過(guò)程中的應(yīng)用，其安全性問(wèn)題卻日益凸顯，成為了約束SOA發(fā)展的一個(gè)重要原因。
　　為了解決SOA的安全問(wèn)題，必須為SOA系統(tǒng)制定

2、合理的安全策略。對(duì)系統(tǒng)進(jìn)行攻擊效能評(píng)估是一種有效驗(yàn)證SOA系統(tǒng)安全性的方法。通過(guò)攻擊測(cè)試，可以發(fā)現(xiàn)SOA系統(tǒng)中存在的薄弱環(huán)節(jié)，為其安全策略的制訂提供指導(dǎo)。然而，當(dāng)前的攻擊效能評(píng)估中，存在以下明顯問(wèn)題:攻擊測(cè)試方法缺乏針對(duì)性;評(píng)估指標(biāo)選取多采用通用指標(biāo)集;多采用主觀賦權(quán)對(duì)評(píng)估指標(biāo)進(jìn)行權(quán)重確定等。為此，進(jìn)行面向SOA系統(tǒng)的攻擊效能評(píng)估研究意義重大。
　　研究中，通過(guò)對(duì)SOA架構(gòu)及其當(dāng)前核心實(shí)現(xiàn)技術(shù)—Web Service進(jìn)行了分析，立

3、足Web Service攻擊方法中具有代表性的拒絕服務(wù)攻擊方式，引入SOAP泛洪攻擊方法和XML嵌套攻擊方法進(jìn)行攻擊實(shí)現(xiàn)，從而呈現(xiàn)SOA系統(tǒng)受到攻擊時(shí)的狀態(tài)與系統(tǒng)變化。在此基礎(chǔ)上，通過(guò)分析系統(tǒng)受攻擊時(shí)的性能與功能的改變，建立了具有針對(duì)性的效能評(píng)估指標(biāo)集。同時(shí)，通過(guò)分析與對(duì)比主觀賦權(quán)法、客觀賦權(quán)法、主客觀綜合賦權(quán)法的特點(diǎn)和局限性，最終確立了基于層次分析法與熵權(quán)法相結(jié)合的綜合賦權(quán)方式，實(shí)現(xiàn)對(duì)選定的評(píng)估指標(biāo)的綜合賦權(quán)，使賦權(quán)過(guò)程既能體現(xiàn)決策者