(一)技術領域

本發(fā)明涉及增強任務關鍵系統(tǒng)生存性的應急恢復方法，尤其是面向高可生存 性的任務關鍵系統(tǒng)應急重啟恢復方法。

(二)背景技術

作為增強系統(tǒng)生存性最后手段的應急恢復技術，偏重于保障關鍵應用具備持 續(xù)服務的能力，這是增強系統(tǒng)在面對成功入侵和惡意攻擊時的可復原性(可恢復 彈性)能力，做到系統(tǒng)深層次防御的最后一道防線，也是可生存系統(tǒng)采取的最后 階段的積極反應。應急恢復的基本思想是當系統(tǒng)或關鍵服務的生存性能下降到一 定程度時，通過周期性地終止程序的繼續(xù)運行，清除持續(xù)運行系統(tǒng)的內(nèi)部狀態(tài)， 重新啟動并恢復為初始狀態(tài)或“健康的”中間狀態(tài)，使系統(tǒng)或應用服務的生存性 能得到一定程度的恢復，并預防將來可能發(fā)生的更嚴重的失效。

許多研究表明重啟(Reboot?or?Rejuvenation)技術能夠有效消除系統(tǒng)在運 行過程中積累的一些錯誤、失效狀態(tài)，包括那些人為攻擊導致的錯誤、失效，因 此重啟能有效恢復系統(tǒng)或應用服務至初始良好狀態(tài)。但當前對可生存性系統(tǒng)重啟 恢復策略的研究尚不深入，最新資料也只是執(zhí)行到了服務級重啟。Castelli簡 單地將重啟分為兩級：服務級和系統(tǒng)級，但并未給出確定重啟時間間隔和重啟優(yōu) 先級的具體方法。Hong按實際系統(tǒng)資源測量值來確定恢復粒度，當資源消耗的 當前值不能反映導致資源損耗的程度時，這種方法不再適用。Xie雖然采用半馬 爾可夫過程對上文方法進行了優(yōu)化，但其基本思想并未改變。以上研究都有其局 限性，且尚顯粗糙。相對來講，在軟件容錯研究領域對軟件失效后的重啟技術的 研究已進入較成熟的階段。在UC?Berkeley和Stanford大學合作開展的面向恢 復的計算(Recovery-oriented?Computing，RoC)項目的研究中提出了遞歸重啟 (Recursive?Restartability，RR)技術之后，Candea又提出了微重啟 (Microreboot)技術，其思想是預先建立一棵重啟樹，重啟樹上的各節(jié)點是可 以獨立重啟的應用或進程。當執(zhí)行重啟操作時，從重啟樹最底層的節(jié)點開始重啟， 性能不能恢復則上推一級，執(zhí)行更大范圍的重啟。這兩種技術要求軟件的體系結 構是已知的，且軟件在開發(fā)之初即遵循了模塊間松耦合的原則，使得一個模塊的 重啟不會影響其它模塊的正常工作。王慧強提出了一種通用的基于遞歸微重啟技 術的快速自恢復方法，主要是面向系統(tǒng)可用性的提高，同時降低系統(tǒng)的平均恢復 時間。目前，現(xiàn)有重啟恢復的研究還沒有面向可生存性領域的成果出現(xiàn)，本發(fā)明 提出的四級恢復等級與上述研究提到的微重啟、宏重啟存在著本質(zhì)的區(qū)別，因此 本發(fā)明是具有創(chuàng)新性的。

(三)發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種能減少恢復時間，降低恢復成本，增強任務關鍵 系統(tǒng)生存性的基于四級嵌套重啟的任務關鍵系統(tǒng)生存應急恢復方法。

本發(fā)明的目的是這樣實現(xiàn)的：

(1)將重啟層劃分為系統(tǒng)級、服務級、進程級和線程級四個等級；

(2)重啟優(yōu)先級指標參數(shù)為K_s，K_s＝d*Δp*∑，其中，s表示需要應急恢復 的重啟可控對象、d表示s的關鍵等級、Δp表示s的生存態(tài)勢等級；在確定重啟 對象時，遵從以下規(guī)則：a.在同一層，可控對象的K_s越大，重啟優(yōu)先級越高，越 優(yōu)先重啟；b.在不同層，如果某一進程的K_s大于其所屬的應用服務的K_s值，則 該進程和服務分別作為一個重啟對象，且進程優(yōu)先于所屬應用服務執(zhí)行重啟操 作；反之，則該進程不能作為重啟對象，只將服務作為一個重啟對象；如果重新 引導整個系統(tǒng)的K_s值最大，則只以整個系統(tǒng)作為重啟對象，執(zhí)行簡單的周期性 恢復；

(3)用SPN描述了每次應急重啟恢復的具體實施過程，用DFA控制各次 重啟恢復的返回位置。

所述的將重啟層劃分為系統(tǒng)級、服務級、進程級和線程級四個等級的確定重 啟層的級別和不同級別重啟層的恢復策略為：

(a)系統(tǒng)級恢復策略：系統(tǒng)應急重啟恢復時間間隔為η， η_i＝MTBF_i-MTTR_i＝0，1，...)，當η_i時刻系統(tǒng)生存性降至H_min，此時實施系統(tǒng)級 重啟策略；