2025-11-11T08:58:08.673655

A New Probabilistic Mobile Byzantine Failure Model for Self-Protecting Systems

Bonomi, Farina, Friedman et al.
Modern distributed systems face growing security threats, as attackers continuously enhance their skills and vulnerabilities span across the entire system stack, from hardware to the application layer. In the system design phase, fault tolerance techniques can be employed to safeguard systems. From a theoretical perspective, an attacker attempting to compromise a system can be abstracted by considering the presence of Byzantine processes in the system. Although this approach enhances the resilience of the distributed system, it introduces certain limitations regarding the accuracy of the model in reflecting real-world scenarios. In this paper, we consider a self-protecting distributed system based on the \emph{Monitoring-Analyse-Plan-Execute over a shared Knowledge} (MAPE-K) architecture, and we propose a new probabilistic Mobile Byzantine Failure (MBF) that can be plugged into the Analysis component. Our new model captures the dynamics of evolving attacks and can be used to drive the self-protection and reconfiguration strategy. We analyze mathematically the time that it takes until the number of Byzantine nodes crosses given thresholds, or for the system to self-recover back into a safe state, depending on the rates of Byzantine infection spreading \emph{vs.} the rate of self-recovery. We also provide simulation results that illustrate the behavior of the system under such assumptions.
academic

نموذج فشل بيزنطي متحرك احتمالي جديد للأنظمة ذاتية الحماية

المعلومات الأساسية

  • معرّف الورقة: 2511.04523
  • العنوان: نموذج فشل بيزنطي متحرك احتمالي جديد للأنظمة ذاتية الحماية
  • المؤلفون: سيلفيا بونومي (جامعة سابينزا)، جيوفاني فارينا (جامعة نيكولو كوسانو)، روي فريدمان (التخنيون)، إيفيتار بي بروكاتشيا (التخنيون)، سيباستيان تيكسويل (جامعة السوربون)
  • التصنيف: cs.DC (الحوسبة الموزعة والمتوازية والعنقودية)
  • تاريخ النشر: 6 نوفمبر 2025 (نسخة أولية على arXiv)
  • رابط الورقة: https://arxiv.org/abs/2511.04523

الملخص

تواجه الأنظمة الموزعة الحديثة تهديدات أمنية متزايدة، حيث يرفع المهاجمون من مهاراتهم والثغرات منتشرة في كامل مكدس النظام من الأجهزة إلى طبقة التطبيق. في مرحلة تصميم النظام، يمكن استخدام تقنيات تحمل الأعطال لحماية النظام. من الناحية النظرية، يمكن تجريد المهاجمين الذين يحاولون اختراق النظام من خلال النظر في وجود عمليات بيزنطية في النظام. بينما تعزز هذه الطريقة مرونة الأنظمة الموزعة، فإنها تقدم بعض القيود في عكس السيناريوهات الحقيقية. تدرس هذه الورقة الأنظمة الموزعة ذاتية الحماية بناءً على معمارية MAPE-K (المراقبة-التحليل-التخطيط-التنفيذ-المعرفة المشتركة)، وتقترح نموذج فشل بيزنطي متحرك احتمالي (MBF) جديد يمكن إدراجه في مكون التحليل. يلتقط النموذج الجديد الخصائص الديناميكية للهجمات المتطورة ويمكن استخدامه لتوجيه استراتيجيات الحماية الذاتية وإعادة التكوين.

الخلفية البحثية والدافع

المشكلة الأساسية

تتمثل المشكلة الأساسية التي تعالجها هذه الدراسة في: كيفية توفير نموذج فشل أكثر دقة وآليات حماية تكيفية للأنظمة الموزعة في بيئة تهديدات ديناميكية.

أهمية المشكلة

  1. تصعيد التهديدات الأمنية: تواجه الأنظمة الموزعة الحديثة هجمات متطورة باستمرار، والنماذج الثابتة التقليدية للأعطال لا يمكنها عكس التهديدات الحقيقية بدقة
  2. زيادة تعقيد النظام: يتزايد حجم وتعقيد التطبيقات الموزعة، مما يتطلب آليات حماية آلية
  3. متطلبات التوفر: يجب أن تحافظ الأنظمة على التوفر العالي مع ضمان الأمان، وتجنب إعادة تشغيل النظام بالكامل غير الضرورية

قيود الطرق الموجودة

  1. نماذج الفشل البيزنطي التقليدية: تفترض عدداً ثابتاً من العقد المعيبة، ولا يمكنها عكس خصائص الانتشار الديناميكي للهجمات
  2. الحدود الثابتة: تستخدم النماذج الموجودة حدود تسامح ثابتة للأعطال، وتفتقر إلى التكيف
  3. نقص القدرة التنبؤية: لا يمكنها التنبؤ بموعد وصول النظام إلى حالة خطرة أو متى يمكنه التعافي الذاتي

الدافع البحثي

تطوير نموذج قادر على:

  • التقاط الخصائص الديناميكية لانتشار الهجمات
  • التنبؤ بالخصائص الزمنية لتغييرات حالة أمان النظام
  • دعم اتخاذ القرارات الذكية (الاستعادة المحلية مقابل إعادة تشغيل النظام بالكامل)

المساهمات الأساسية

  1. اقتراح نموذج فشل بيزنطي متحرك احتمالي جديد: يمكنه التقاط الخصائص الديناميكية لانتشار الهجمات والتعافي من النظام
  2. تصميم معمارية ذاتية الحماية قائمة على MAPE-K: دمج النموذج الاحتمالي في إطار عمل النظام التكيفي
  3. توفير إطار عمل تحليل رياضي: تحليل سلاسل ماركوف للخصائص الزمنية لانتقالات حالة النظام
  4. إنشاء ثلاثة نماذج هجوم: نماذج خارجية وداخلية ومنسقة، تغطي سيناريوهات هجوم واستعادة مختلفة
  5. توفير خوارزميات تنبؤية: قادرة على التنبؤ بالوقت الذي يصل فيه النظام إلى الحد الخطر أو يتعافى إلى حالة آمنة
  6. التحقق من نتائج المحاكاة: التحقق من صحة التحليل النظري من خلال محاكاة واسعة النطاق

شرح الطريقة

تعريف المهمة

المدخلات:

  • لقطة تكوين النظام (الحالة الحالية لـ n عملية)
  • حد مرونة البروتوكول f (عدد عقد بيزنطية يمكن تحملها)
  • احتمالية/معدل الهجوم q واحتمالية/معدل الاستعادة p

المخرجات:

  • الوقت المتوقع للبقاء في حالة آمنة Δsafe
  • الوقت المتوقع للعودة إلى حالة آمنة
  • قرار إعادة التكوين (استعادة محلية مقابل إعادة تشغيل النظام بالكامل)

القيود:

  • افتراض النظام المتزامن (وجود حد زمني)
  • روابط اتصال موثوقة من نقطة إلى نقطة
  • العقد لديها ذاكرة مقاومة للتلاعب وبيئة تنفيذ موثوقة (TEE)

معمارية النموذج

1. معمارية MAPE-K

يستخدم النظام معمارية النظام التكيفي الكلاسيكية:

  • المراقبة (Monitor): جمع معلومات حالة النظام الموزع
  • التحليل (Analyze): استخدام نموذج MBF الاحتمالي لتقييم حالة الأمان
  • التخطيط (Plan): تحديد موعد تفعيل إعادة تكوين النظام
  • التنفيذ (Execute): تنفيذ استراتيجيات إعادة التكوين
  • المعرفة (Knowledge): الحفاظ على حالة النظام والأهداف التكيفية

2. نموذج MBF الاحتمالي

سلسلة ماركوف ذات الوقت المنفصل (DTMC):

  • فضاء الحالة: S = {0, 1, ..., n}، يمثل عدد العقد البيزنطية
  • احتمالات الانتقال:
    • qi: احتمالية الانتقال من الحالة i إلى i+1 (عدوى جديدة)
    • pi: احتمالية الانتقال من الحالة i إلى i-1 (استعادة)
    • ri: احتمالية البقاء في الحالة i (بدون تغيير)

سلسلة ماركوف ذات الوقت المستمر (CTMC): توفير ثلاثة نماذج فرعية:

  1. النموذج الخارجي:
    • qi = q (معدل الهجوم الخارجي ثابت)
    • pi = p (معدل الاستعادة ثابت)
  2. النموذج الداخلي:
    • qi = q × i × (n-i)/n (انتشار داخلي للعقد البيزنطية)
    • pi = p × i (استعادة مستقلة)
  3. النموذج المنسق:
    • qi = q × i (هجوم منسق، تجنب العدوى المتكررة)
    • pi = p × i (استعادة مستقلة)

نقاط الابتكار التقني

1. نمذجة الأعطال الديناميكية

بخلاف نموذج العدد الثابت للأعطال التقليدي، يأخذ هذا النموذج في الاعتبار:

  • الانتشار الاحتمالي للأعطال
  • تطور الحالة المرتبط بالزمن
  • عملية المنافسة بين الهجوم والاستعادة

2. التحليل التنبؤي

من خلال تحليل سلسلة ماركوف توفير:

  • الوقت المتوقع للوصول إلى الحد الخطر
  • الوقت المتوقع للتعافي الذاتي
  • السلوك طويل الأجل لتوزيع الحالة

3. آلية اتخاذ القرار التكيفية

بناءً على النتائج التنبؤية، اختيار ذكي لـ:

  • انتظار الاستعادة الطبيعية (عندما يكون معدل الاستعادة p > معدل الهجوم q)
  • تفعيل إعادة تشغيل النظام بالكامل (عندما يكون الهجوم مهيمناً)

إعداد التجارب

معاملات المحاكاة

  • حجم النظام: n = 200 عقدة
  • حد الأمان: f = n/3 ≈ 66 عقدة
  • خطوات المحاكاة: 1M خطوة لـ DTMC، 100K وحدة زمنية لـ CTMC
  • نطاق المعاملات: p, q ∈ 0, 1
  • عدد التكرارات: متوسط 100 تشغيل لكل نقطة بيانات

مؤشرات التقييم

  1. نسبة التشغيل في حالة جيدة نقية: نسبة التشغيلات التي يبقى فيها النظام في حالة آمنة باستمرار
  2. نسبة قلب الحالة: نسبة التشغيلات التي تنتقل من حالة جيدة إلى حالة سيئة (أو العكس)
  3. وقت القلب الأول: متوسط الوقت الذي يتجاوز فيه النظام حد الأمان لأول مرة
  4. توزيع الحالة: نسبة الوقت الذي يقضيه النظام في كل حالة

التحليل المقارن

  • DTMC مقابل CTMC: التحقق من اتساق نموذج الوقت المستمر
  • نماذج CTMC الثلاثة: الاختلافات السلوكية بين النماذج الخارجية والداخلية والمنسقة
  • نسب p/q مختلفة: تحليل تأثير نسبة معدل الاستعادة والهجوم على سلوك النظام

نتائج التجارب

النتائج الرئيسية

1. التحقق من نموذج DTMC

النظرية 1 (q = p = 1/2): الوقت المتوقع للوصول إلى الحالة cn هو E0τcn = (cn)²

النظرية 2 (p > 1/2): عندما يكون معدل الاستعادة أكبر من معدل الهجوم، يتطلب الوصول إلى حد الفشل وقتاً أسياً: E0τcn ≥ (1/2)(p/q)^(n/3)

النظرية 3 (p < 1/2): عندما يكون معدل الهجوم مهيمناً، يكون وقت الوصول إلى الحد: E0τcn ≥ n/(1-2p) × (1-p/q)^(-1)

2. نتائج محاكاة CTMC

النموذج الخارجي:

  • عندما يكون p > q، يبقى النظام في الغالب في حالات عدوى منخفضة
  • عندما يكون p = q، يكون توزيع الحالة موحداً تقريباً
  • عندما يكون p < q، يميل النظام نحو حالات عدوى عالية

النموذج الداخلي:

  • حتى عندما يكون q > p، قد يستقر النظام في حالة وسيطة
  • تظهر كثافة الاحتلال القصوى في الحالة i التي تحقق p = ((n-i)/n)q
  • على سبيل المثال: عندما يكون p=0.4, q=0.6، يستقر النظام عند i=66 (بالقرب من حد 1/3)

النموذج المنسق:

  • السلوك مشابه للنموذج الخارجي لكن معدلات الانتقال تعتمد على الحالة
  • عندما يكون p > q يتقارب بسرعة إلى حالة آمنة
  • عندما يكون q > p يتطور بسرعة نحو حالة خطرة

التجارب الاستئصالية

تأثير معامل الاستقرار r

عندما يكون r > 0 (وجود احتمالية الحفاظ على الحالة):

  • جميع التنبؤات الزمنية تُضرب بعامل 1/(1-r)
  • يعكس خصائص "الخمول" في النظام
  • لا يغير اتجاهات السلوك طويل الأجل

تحليل حساسية الحد

  • عندما يتغير الحد من 1/4 إلى 1/3، يزداد وقت الوصول بشكل كبير
  • وقت الاستعادة يتناسب طردياً مع عدد العقد السيئة
  • يتحقق من دقة التحليل النظري

الاكتشافات التجريبية

  1. ظاهرة الانتقال الطوري: وجود تحول سلوكي واضح بالقرب من p = q
  2. السلوك المعاكس للحدس في النموذج الداخلي: حتى عندما يكون معدل الهجوم الفردي أعلى من معدل الاستعادة، قد يحافظ النظام على معظم العقد الطبيعية
  3. الحماية الأسية للوقت: عندما يكون p > q، يتمتع النظام بضمان أمان من الدرجة الأسية
  4. هجوم لوغاريتمي الوقت: عندما يكون الهجوم مهيمناً، يتم اختراق النظام في وقت لوغاريتمي

الأعمال ذات الصلة

أبحاث الأنظمة ذاتية الحماية

  • Yuan وآخرون: معمارية ذاتية الحماية ضد التهديدات البرمجية في الشبكات
  • English وآخرون: إجراءات التخفيف بناءً على ارتباط الأحداث
  • Liang وآخرون: إطار عمل ذاتي الحماية لأنظمة الطاقة قائم على البلوكتشين

نماذج الفشل البيزنطي المتحرك

  • نموذج الحركة المقيدة (Buhrman وآخرون): الوكلاء يمكنهم التحرك فقط مع الرسائل
  • نموذج الحركة غير المقيدة (Ostrovsky-Yung وآخرون): الوكلاء يمكنهم التحرك في أوقات محددة
  • اختلافات القدرة على الكشف: من عدم القدرة على الكشف إلى الكشف الكامل

تقنيات استعادة النظام

  • Sousa وآخرون: نموذج تحديث النظام بناءً على افتراضات أسوأ الحالات
  • Castro-Liskov: تحمل الأعطال البيزنطية العملي والاستعادة الاستباقية
  • تقنيات التنوع: ضمان استقلالية الأعطال من خلال الزيادة والتنوع

الخلاصة والمناقشة

الاستنتاجات الرئيسية

  1. فعالية نموذج MBF الاحتمالي: يمكنه التقاط بدقة سلوك النظام في بيئة هجوم ديناميكية
  2. قيمة القدرة التنبؤية: توفير أساس علمي لاتخاذ القرارات في الأنظمة التكيفية
  3. التكامل المتبادل للنماذج الثلاثة: تتطلب سيناريوهات الهجوم المختلفة طرقاً نمذجة مختلفة
  4. قابلية تطبيق تحليل ماركوف: توفير أداة رياضية قوية لتحليل أمان الأنظمة الموزعة

القيود

  1. افتراض الاستقلالية: يفترض استقلالية أعطال العقد، قد توجد ارتباطات في الواقع
  2. تقدير المعاملات: قد يكون تقدير دقيق لـ p و q صعباً في النشر الفعلي
  3. افتراض التزامن: يتطلب أن يستوفي النظام شروط التزامن
  4. تبسيط نموذج الهجوم: قد تكون الهجمات الفعلية أكثر تعقيداً من افتراضات النموذج

الاتجاهات المستقبلية

  1. التحليل الخاص بالبروتوكول: دراسة تأثير نموذج MBF على بروتوكولات BFT المحددة
  2. تكامل التنوع: دمج تقنيات تنوع العقد في النموذج الاحتمالي
  3. تحسين التكلفة: النظر في المقايضات بين متغيرات التكلفة المتعددة في تخطيط التكوين
  4. التحقق من النشر الفعلي: التحقق من دقة النموذج في الأنظمة الحقيقية

التقييم المتعمق

المميزات

  1. مساهمة نظرية كبيرة: أول من يجمع بين انتشار الهجوم الاحتمالي وتحليل ماركوف، مما يوفر منظوراً جديداً لنمذجة التهديدات الديناميكية
  2. تحليل رياضي صارم: توفير إطار عمل نظري كامل وإثباتات رياضية صارمة
  3. قوة عملية عالية: معمارية MAPE-K سهلة الدمج في الأنظمة الموجودة
  4. تحقق من المحاكاة كافٍ: محاكاة واسعة النطاق تتحقق من صحة التحليل النظري
  5. مرونة النموذج: النماذج الثلاثة لـ CTMC تغطي سيناريوهات هجوم مختلفة

أوجه القصور

  1. حساسية المعاملات: يعتمد أداء النموذج بشكل كبير على التقدير الدقيق لـ p و q، لكن الورقة لم تناقش بشكل كافٍ طرق تقدير المعاملات
  2. افتراضات الواقعية: قد لا تنطبق افتراضات الاستقلالية والتزامن على الأنظمة الفعلية
  3. قيود نموذج الهجوم: لم تأخذ في الاعتبار استراتيجيات هجوم أكثر تعقيداً (مثل الهجمات التكيفية)
  4. نقص التحقق الفعلي: نتائج محاكاة فقط، بدون تجارب على أنظمة حقيقية

التأثير

  1. القيمة الأكاديمية: توفير اتجاه بحثي جديد لمجالات أمان الأنظمة الموزعة والأنظمة التكيفية
  2. الآفاق العملية: توفير دعم نظري لتصميم الأمان في الأنظمة الموزعة واسعة النطاق مثل الحوسبة السحابية وإنترنت الأشياء
  3. مساهمة منهجية: تطبيق سلاسل ماركوف في نمذجة أمان الشبكات له معنى استرشادي واسع

السيناريوهات المعمول بها

  1. الأنظمة الموزعة واسعة النطاق: منصات الحوسبة السحابية وأنظمة قواعد البيانات الموزعة
  2. البنية التحتية الحرجة: شبكات الطاقة الكهربائية وأنظمة التحكم في المرور
  3. شبكات البلوكتشين: أنظمة الإجماع التي تتطلب تحمل الأعطال البيزنطية
  4. أنظمة إنترنت الأشياء: شبكات الأجهزة الذكية ذات القدرات الشفائية الذاتية

المراجع

تستشهد الورقة بـ 40 مرجعاً ذا صلة، تغطي:

  • تصميم الأنظمة ذاتية الحماية (Yuan وآخرون، English وآخرون)
  • نظرية الفشل البيزنطي المتحرك (Garay، Ostrovsky-Yung وآخرون)
  • تقنيات استعادة النظام (Castro-Liskov، Sousa وآخرون)
  • أساسيات الاحتمالية (Durrett، Bertsekas-Tsitsiklis)

التقييم الشامل: هذه ورقة بحثية عالية الجودة تقدم مساهمات مهمة في مجال نمذجة أمان الأنظمة الموزعة. بينما لا تزال هناك حاجة لتعزيز التحقق من التطبيقات العملية، فإن إطار العمل النظري وطرق التحليل تتمتع بقيمة أكاديمية وإمكانية تطبيقية مهمة.