网络攻击的趋势是攻击技术越来越复杂,攻击行为越来越频繁,这些攻击严重威胁着网络使用者的利益。第一代安全系统依靠密码学、可信的计算基础、认证、防火墙、访问控制和其他的外围防卫来抵御入侵行为。虽然这种方法能够满足部分非常保密的用户的需求,但实施成本非常高,在当前网络环境下,此种方法难以实施。并且,它没有提供防止内部人员非法行为的措施。第二代安全系统涉及到用入侵检测技术来标识普遍存在的防卫漏洞。但尽管采取了众多的防护措施,信息系统仍不可避免地受到攻击。为了在面对攻击的情况下,信息系统仍然能持续地为预期的用户提供及时的服务,需要有效的防护措施,入侵容忍技术被视为第三代安全技术的核心,属于网络安全的可存活性范畴,是一种很有效的保障措施。入侵容忍系统在检测到攻击行为后,应识别已被攻破的系统组件,评估破坏程度,进而触发入侵容忍机制,动态地对软硬件资源进行自我配置来优化性能、功能和安全性,平滑地降低系统的功能和性能,保持尽量多的关键功能模块的正常运行,这在某些应用场合非常必要。本文旨在对入侵容忍技术进行研究,建立了一个基于代码访问控制(Code Access Control)和角色访问控制(Role Based Access Control)的入侵容忍系统体系结构。该系统具有入侵检测,策略重配置管理,服务监控,审计控制等功能,能对入侵行为进行检测,对服务业务进行保护,通过多样化的网络和服务策略来达到系统对入侵的容忍能力作者主要做了以下的工作:1.对入侵容忍系统按照不同标准进行分类,对现有的容忍入侵技术进行分类介绍。2.分析了国内外同类研究的内容和成果,包括:UIUC的ITUA(Intrusion Tolerance by Unpredictable Adaptation)项目、DUKE大学的SITAR(A Scalable Intrusion Tolerant Architecture for Distributed Services)项目、国内的并行RC控制模型等。分析了它们的特点,然后根据入侵容忍系统的需求和恶意代码进入系统的过程,提出对代码访问进行控制,据此进行入侵分析。并归纳出一种新的入侵容忍分析机制——基于证据的代码访问控制(EBCAC)机制,并提出了它的一种形式化解释。讨论了它的工作原理。3.在基于证据的代码访问控制机制的基础上,提出了一种新的入侵容忍体系结构,并对关键技术——容忍触发机制和容错机制的设计进行了进一步的研究。我们还对该系统做了进一步的改进:引入了传统的基于角色的访问控制,考虑在入侵容忍触发机制和错误恢复模块中把角色访问控制和于证据的代码访问控制两者相结合,提出了一种改进的入侵容忍体系结构,并讨论了其中入侵容忍触发模块的初步实现。本文的创新性主要体现为:从代码的角度考虑是否系统发生入侵,而不是像普通的入侵检测技术主要侧重于检测系统状态来考虑是否系统发生入侵;并且提出了一个融合代码访问控制和角色访问控制两种机制和多种安全策略的体系框架。