[发明专利]基于四级嵌套重启的任务关键系统生存应急恢复方法

说明书

(一)技术领域

本发明涉及增强任务关键系统生存性的应急恢复方法，尤其是面向高可生存 性的任务关键系统应急重启恢复方法。

(二)背景技术

作为增强系统生存性最后手段的应急恢复技术，偏重于保障关键应用具备持 续服务的能力，这是增强系统在面对成功入侵和恶意攻击时的可复原性(可恢复 弹性)能力，做到系统深层次防御的最后一道防线，也是可生存系统采取的最后 阶段的积极反应。应急恢复的基本思想是当系统或关键服务的生存性能下降到一 定程度时，通过周期性地终止程序的继续运行，清除持续运行系统的内部状态， 重新启动并恢复为初始状态或“健康的”中间状态，使系统或应用服务的生存性 能得到一定程度的恢复，并预防将来可能发生的更严重的失效。

许多研究表明重启(Reboot or Rejuvenation)技术能够有效消除系统在运 行过程中积累的一些错误、失效状态，包括那些人为攻击导致的错误、失效，因 此重启能有效恢复系统或应用服务至初始良好状态。但当前对可生存性系统重启 恢复策略的研究尚不深入，最新资料也只是执行到了服务级重启。Castelli简 单地将重启分为两级：服务级和系统级，但并未给出确定重启时间间隔和重启优 先级的具体方法。Hong按实际系统资源测量值来确定恢复粒度，当资源消耗的 当前值不能反映导致资源损耗的程度时，这种方法不再适用。Xie虽然采用半马 尔可夫过程对上文方法进行了优化，但其基本思想并未改变。以上研究都有其局 限性，且尚显粗糙。相对来讲，在软件容错研究领域对软件失效后的重启技术的 研究已进入较成熟的阶段。在UC Berkeley和Stanford大学合作开展的面向恢 复的计算(Recovery-oriented Computing，RoC)项目的研究中提出了递归重启 (Recursive Restartability，RR)技术之后，Candea又提出了微重启 (Microreboot)技术，其思想是预先建立一棵重启树，重启树上的各节点是可 以独立重启的应用或进程。当执行重启操作时，从重启树最底层的节点开始重启， 性能不能恢复则上推一级，执行更大范围的重启。这两种技术要求软件的体系结 构是已知的，且软件在开发之初即遵循了模块间松耦合的原则，使得一个模块的 重启不会影响其它模块的正常工作。王慧强提出了一种通用的基于递归微重启技 术的快速自恢复方法，主要是面向系统可用性的提高，同时降低系统的平均恢复 时间。目前，现有重启恢复的研究还没有面向可生存性领域的成果出现，本发明 提出的四级恢复等级与上述研究提到的微重启、宏重启存在着本质的区别，因此 本发明是具有创新性的。

(三)发明内容

本发明的目的在于提供一种能减少恢复时间，降低恢复成本，增强任务关键 系统生存性的基于四级嵌套重启的任务关键系统生存应急恢复方法。

本发明的目的是这样实现的：

(1)将重启层划分为系统级、服务级、进程级和线程级四个等级；

(2)重启优先级指标参数为K_s，K_s＝d*Δp*∑，其中，s表示需要应急恢复 的重启可控对象、d表示s的关键等级、Δp表示s的生存态势等级；在确定重启 对象时，遵从以下规则：a.在同一层，可控对象的K_s越大，重启优先级越高，越 优先重启；b.在不同层，如果某一进程的K_s大于其所属的应用服务的K_s值，则 该进程和服务分别作为一个重启对象，且进程优先于所属应用服务执行重启操 作；反之，则该进程不能作为重启对象，只将服务作为一个重启对象；如果重新 引导整个系统的K_s值最大，则只以整个系统作为重启对象，执行简单的周期性 恢复；

(3)用SPN描述了每次应急重启恢复的具体实施过程，用DFA控制各次 重启恢复的返回位置。

所述的将重启层划分为系统级、服务级、进程级和线程级四个等级的确定重 启层的级别和不同级别重启层的恢复策略为：

(a)系统级恢复策略：系统应急重启恢复时间间隔为η， η_i＝MTBF_i-MTTR_i＝0，1，...)，当η_i时刻系统生存性降至H_min，此时实施系统级 重启策略；