2025-11-11T08:58:08.673655

A New Probabilistic Mobile Byzantine Failure Model for Self-Protecting Systems

Bonomi, Farina, Friedman et al.
Modern distributed systems face growing security threats, as attackers continuously enhance their skills and vulnerabilities span across the entire system stack, from hardware to the application layer. In the system design phase, fault tolerance techniques can be employed to safeguard systems. From a theoretical perspective, an attacker attempting to compromise a system can be abstracted by considering the presence of Byzantine processes in the system. Although this approach enhances the resilience of the distributed system, it introduces certain limitations regarding the accuracy of the model in reflecting real-world scenarios. In this paper, we consider a self-protecting distributed system based on the \emph{Monitoring-Analyse-Plan-Execute over a shared Knowledge} (MAPE-K) architecture, and we propose a new probabilistic Mobile Byzantine Failure (MBF) that can be plugged into the Analysis component. Our new model captures the dynamics of evolving attacks and can be used to drive the self-protection and reconfiguration strategy. We analyze mathematically the time that it takes until the number of Byzantine nodes crosses given thresholds, or for the system to self-recover back into a safe state, depending on the rates of Byzantine infection spreading \emph{vs.} the rate of self-recovery. We also provide simulation results that illustrate the behavior of the system under such assumptions.
academic

स्व-सुरक्षा प्रणालियों के लिए एक नया संभाव्य मोबाइल बाइजेंटाइन विफलता मॉडल

बुनियादी जानकारी

  • पेपर ID: 2511.04523
  • शीर्षक: स्व-सुरक्षा प्रणालियों के लिए एक नया संभाव्य मोबाइल बाइजेंटाइन विफलता मॉडल
  • लेखक: सिल्विया बोनोमी (सेपिएंजा विश्वविद्यालय), जियोवन्नी फरीना (निकोलो कुसानो विश्वविद्यालय), रॉय फ्रीडमैन (टेक्नियॉन), एविएटर बी. प्रोकैच्चिया (टेक्नियॉन), सेबास्टिएन टिक्सुइल (सोरबोन विश्वविद्यालय)
  • वर्गीकरण: cs.DC (वितरित, समानांतर और क्लस्टर कंप्यूटिंग)
  • प्रकाशन तिथि: 6 नवंबर 2025 (arXiv प्रीप्रिंट)
  • पेपर लिंक: https://arxiv.org/abs/2511.04523

सारांश

आधुनिक वितरित प्रणालियों को बढ़ते हुए सुरक्षा खतरों का सामना करना पड़ रहा है, जहाँ हमलावर क्षमताएँ बढ़ रही हैं और कमजोरियाँ हार्डवेयर से लेकर एप्लिकेशन परत तक पूरे सिस्टम स्टैक में फैली हुई हैं। प्रणाली डिजाइन चरण में, दोष-सहिष्णु तकनीकों का उपयोग सिस्टम की सुरक्षा के लिए किया जा सकता है। सैद्धांतिक दृष्टिकोण से, सिस्टम में प्रवेश करने का प्रयास करने वाले हमलावरों को प्रणाली में बाइजेंटाइन प्रक्रियाओं की उपस्थिति पर विचार करके अमूर्त किया जा सकता है। यद्यपि यह दृष्टिकोण वितरित प्रणालियों की लचीलापन को बढ़ाता है, लेकिन वास्तविक परिदृश्यों को प्रतिबिंबित करने में कुछ सीमाएँ पेश करता है। यह पेपर MAPE-K (निगरानी-विश्लेषण-योजना-निष्पादन साझा ज्ञान) आर्किटेक्चर पर आधारित स्व-सुरक्षा वितरित प्रणालियों पर विचार करता है और एक नया संभाव्य मोबाइल बाइजेंटाइन विफलता (MBF) मॉडल प्रस्तावित करता है, जो विश्लेषण घटक में प्लग किया जा सकता है। नया मॉडल विकसित हमलों की गतिशील विशेषताओं को पकड़ता है और स्व-सुरक्षा और पुनः कॉन्फ़िगरेशन रणनीतियों को चलाने के लिए उपयोग किया जा सकता है।

अनुसंधान पृष्ठभूमि और प्रेरणा

मूल समस्या

इस अनुसंधान द्वारा समाधान की जाने वाली मूल समस्या यह है: गतिशील खतरे के वातावरण में वितरित प्रणालियों के लिए अधिक सटीक विफलता मॉडल और स्व-अनुकूल सुरक्षा तंत्र कैसे प्रदान किए जाएँ।

समस्या की महत्ता

  1. सुरक्षा खतरों में वृद्धि: आधुनिक वितरित प्रणालियों को लगातार विकसित हमलों का सामना करना पड़ता है, पारंपरिक स्थिर विफलता मॉडल वास्तविक खतरों को सटीक रूप से प्रतिबिंबित नहीं कर सकते
  2. प्रणाली जटिलता में वृद्धि: वितरित अनुप्रयोगों का पैमाना और जटिलता लगातार बढ़ रही है, जिसके लिए स्वचालित सुरक्षा तंत्र की आवश्यकता है
  3. उपलब्धता आवश्यकताएँ: प्रणाली को सुरक्षा सुनिश्चित करते हुए उच्च उपलब्धता बनाए रखनी चाहिए, अनावश्यक पूर्ण-प्रणाली पुनः प्रारंभ से बचना चाहिए

मौजूदा विधियों की सीमाएँ

  1. पारंपरिक बाइजेंटाइन विफलता मॉडल: विफल नोड्स की निश्चित संख्या मान लेते हैं, हमलों की गतिशील प्रसार विशेषताओं को प्रतिबिंबित नहीं कर सकते
  2. स्थिर थ्रेसहोल्ड: मौजूदा मॉडल निश्चित विफलता-सहिष्णु थ्रेसहोल्ड का उपयोग करते हैं, अनुकूलन की कमी है
  3. पूर्वानुमान क्षमता की कमी: यह पूर्वानुमान नहीं लगा सकते कि प्रणाली कब खतरनाक स्थिति तक पहुँचेगी या कब स्वयं को ठीक कर सकेगी

अनुसंधान प्रेरणा

एक ऐसा विकास करना जो सक्षम हो:

  • हमलों की गतिशील प्रसार विशेषताओं को पकड़ने वाला संभाव्य मॉडल
  • प्रणाली सुरक्षा स्थिति परिवर्तन की समय विशेषताओं का पूर्वानुमान
  • बुद्धिमान निर्णय लेने (स्थानीय पुनः प्राप्ति बनाम पूर्ण-प्रणाली पुनः प्रारंभ) का समर्थन करने वाली स्व-अनुकूल ढाँचा

मूल योगदान

  1. नया संभाव्य मोबाइल बाइजेंटाइन विफलता मॉडल प्रस्तावित करना: हमलों के प्रसार और प्रणाली पुनः प्राप्ति की गतिशील विशेषताओं को पकड़ सकता है
  2. MAPE-K आधारित स्व-सुरक्षा आर्किटेक्चर डिजाइन करना: संभाव्य मॉडल को स्व-अनुकूल प्रणाली ढाँचे में एकीकृत करना
  3. गणितीय विश्लेषण ढाँचा प्रदान करना: मार्कोव श्रृंखला विश्लेषण के आधार पर प्रणाली स्थिति संक्रमण की समय विशेषताओं का विश्लेषण
  4. तीन प्रकार के हमले मॉडल स्थापित करना: बाहरी, आंतरिक और समन्वित मॉडल, विभिन्न हमले और पुनः प्राप्ति परिदृश्यों को कवर करते हैं
  5. पूर्वानुमान एल्गोरिदम प्रदान करना: प्रणाली के खतरनाक थ्रेसहोल्ड तक पहुँचने या सुरक्षित स्थिति में वापस आने का समय पूर्वानुमान लगा सकता है
  6. सिमुलेशन परिणामों का सत्यापन: बड़े पैमाने पर सिमुलेशन के माध्यम से सैद्धांतिक विश्लेषण की सटीकता का सत्यापन

विधि विवरण

कार्य परिभाषा

इनपुट:

  • प्रणाली कॉन्फ़िगरेशन स्नैपशॉट (n प्रक्रियाओं की वर्तमान स्थिति)
  • प्रोटोकॉल लचीलापन थ्रेसहोल्ड f (सहन किए जा सकने वाले बाइजेंटाइन नोड्स की संख्या)
  • हमले की संभावना/दर q और पुनः प्राप्ति की संभावना/दर p

आउटपुट:

  • प्रणाली सुरक्षित स्थिति में रहने का अपेक्षित समय Δsafe
  • प्रणाली सुरक्षित स्थिति में वापस आने का अपेक्षित समय
  • पुनः कॉन्फ़िगरेशन निर्णय (स्थानीय पुनः प्राप्ति बनाम पूर्ण-प्रणाली पुनः प्रारंभ)

बाधाएँ:

  • समकालिक प्रणाली धारणा (समय पर ऊपरी सीमा मौजूद है)
  • विश्वसनीय बिंदु-से-बिंदु संचार लिंक
  • नोड्स में छेड़छाड़-प्रतिरोधी मेमोरी और विश्वसनीय निष्पादन वातावरण (TEE)

मॉडल आर्किटेक्चर

1. MAPE-K आर्किटेक्चर

प्रणाली शास्त्रीय स्व-अनुकूल प्रणाली आर्किटेक्चर का उपयोग करती है:

  • निगरानी (Monitor): वितरित प्रणाली की स्थिति जानकारी एकत्र करना
  • विश्लेषण (Analyze): सुरक्षा स्थिति का मूल्यांकन करने के लिए संभाव्य MBF मॉडल का उपयोग
  • योजना (Plan): प्रणाली पुनः कॉन्फ़िगरेशन को कब ट्रिगर करना है यह निर्णय लेना
  • निष्पादन (Execute): पुनः कॉन्फ़िगरेशन रणनीति को लागू करना
  • ज्ञान (Knowledge): प्रणाली स्थिति और अनुकूलन लक्ष्यों को बनाए रखना

2. संभाव्य MBF मॉडल

असतत समय मार्कोव श्रृंखला (DTMC):

  • स्थिति स्पेस: S = {0, 1, ..., n}, बाइजेंटाइन नोड्स की संख्या को दर्शाता है
  • संक्रमण संभावनाएँ:
    • qi: स्थिति i से i+1 में संक्रमण की संभावना (नया संक्रमण)
    • pi: स्थिति i से i-1 में संक्रमण की संभावना (पुनः प्राप्ति)
    • ri: स्थिति i में रहने की संभावना (कोई परिवर्तन नहीं)

सतत समय मार्कोव श्रृंखला (CTMC): तीन उप-मॉडल प्रदान करता है:

  1. बाहरी (External) मॉडल:
    • qi = q (बाहरी हमले की दर स्थिर)
    • pi = p (पुनः प्राप्ति दर स्थिर)
  2. आंतरिक (Internal) मॉडल:
    • qi = q × i × (n-i)/n (बाइजेंटाइन नोड्स द्वारा आंतरिक प्रसार)
    • pi = p × i (स्वतंत्र पुनः प्राप्ति)
  3. समन्वित (Coordinated) मॉडल:
    • qi = q × i (समन्वित हमला, दोहराए जाने से बचना)
    • pi = p × i (स्वतंत्र पुनः प्राप्ति)

तकनीकी नवाचार बिंदु

1. गतिशील विफलता मॉडलिंग

पारंपरिक निश्चित विफलता संख्या मॉडल के विपरीत, यह पेपर मॉडल निम्नलिखित पर विचार करता है:

  • विफलताओं की संभाव्य प्रसार
  • समय-संबंधित स्थिति विकास
  • हमले और पुनः प्राप्ति की प्रतिस्पर्धी प्रक्रिया

2. पूर्वानुमानी विश्लेषण

मार्कोव श्रृंखला विश्लेषण के माध्यम से प्रदान करता है:

  • खतरनाक थ्रेसहोल्ड तक पहुँचने का अपेक्षित समय
  • स्वयं-पुनः प्राप्ति का अपेक्षित समय
  • स्थिति वितरण का दीर्घकालीन व्यवहार

3. स्व-अनुकूल निर्णय तंत्र

पूर्वानुमान परिणामों के आधार पर बुद्धिमानी से चुनाव करता है:

  • प्राकृतिक पुनः प्राप्ति की प्रतीक्षा करना (जब पुनः प्राप्ति दर p > हमले की दर q)
  • पूर्ण-प्रणाली पुनः प्रारंभ को ट्रिगर करना (जब हमला प्रभावशाली हो)

प्रयोगात्मक सेटअप

सिमुलेशन पैरामीटर

  • प्रणाली पैमाना: n = 200 नोड्स
  • सुरक्षा थ्रेसहोल्ड: f = n/3 ≈ 66 नोड्स
  • सिमुलेशन चरण: DTMC के लिए 1M चरण, CTMC के लिए 100K समय इकाइयाँ
  • पैरामीटर रेंज: p, q ∈ 0, 1
  • दोहराव संख्या: प्रत्येक डेटा बिंदु के लिए औसतन 100 रन

मूल्यांकन मेट्रिक्स

  1. शुद्ध अच्छी स्थिति चलाने का प्रतिशत: प्रणाली सुरक्षित स्थिति में रहने वाले रन का प्रतिशत
  2. स्थिति फ्लिप प्रतिशत: अच्छी स्थिति से बुरी स्थिति (या इसके विपरीत) में जाने वाले रन का प्रतिशत
  3. पहली फ्लिप का समय: प्रणाली के सुरक्षा थ्रेसहोल्ड को पहली बार पार करने का औसत समय
  4. स्थिति वितरण: प्रणाली विभिन्न स्थितियों में रहने का समय अनुपात

तुलनात्मक विश्लेषण

  • DTMC बनाम CTMC: सतत समय मॉडल की सुसंगतता का सत्यापन
  • तीन CTMC मॉडल: बाहरी, आंतरिक, समन्वित का व्यवहार अंतर
  • विभिन्न p/q अनुपात: हमले और पुनः प्राप्ति दर अनुपात का प्रणाली व्यवहार पर प्रभाव विश्लेषण

प्रयोगात्मक परिणाम

मुख्य परिणाम

1. DTMC मॉडल सत्यापन

प्रमेय 1 (q = p = 1/2): स्थिति cn तक पहुँचने का अपेक्षित समय E0τcn = (cn)²

प्रमेय 2 (p > 1/2): जब पुनः प्राप्ति दर हमले की दर से अधिक हो, तो विफलता थ्रेसहोल्ड तक पहुँचने में घातीय समय लगता है: E0τcn ≥ (1/2)(p/q)^(n/3)

प्रमेय 3 (p < 1/2): जब हमले की दर प्रभावशाली हो, तो थ्रेसहोल्ड तक पहुँचने का समय: E0τcn ≥ n/(1-2p) × (1-p/q)^(-1)

2. CTMC सिमुलेशन परिणाम

बाहरी मॉडल:

  • जब p > q हो, तो प्रणाली मुख्य रूप से कम संक्रमण स्थिति में रहती है
  • जब p = q हो, तो स्थिति वितरण लगभग समान होता है
  • जब p < q हो, तो प्रणाली उच्च संक्रमण स्थिति की ओर प्रवृत्त होती है

आंतरिक मॉडल:

  • यहाँ तक कि q > p होने पर भी, प्रणाली मध्य स्थिति में स्थिर रह सकती है
  • अधिकतम कब्जा घनत्व उस स्थिति i पर प्रकट होता है जहाँ p = ((n-i)/n)q
  • उदाहरण: p=0.4, q=0.6 होने पर, प्रणाली i=66 (1/3 थ्रेसहोल्ड के पास) पर स्थिर रहती है

समन्वित मॉडल:

  • व्यवहार बाहरी मॉडल के समान है लेकिन संक्रमण दर स्थिति पर निर्भर है
  • p > q होने पर सुरक्षित स्थिति में तेजी से अभिसरण
  • q > p होने पर खतरनाक स्थिति की ओर तेजी से विकास

विलोपन प्रयोग

स्थिरता पैरामीटर r का प्रभाव

जब r > 0 हो (स्थिति रखने की संभावना मौजूद हो):

  • सभी समय पूर्वानुमान 1/(1-r) के कारक से गुणा होते हैं
  • प्रणाली की "जड़ता" विशेषता को दर्शाता है
  • दीर्घकालीन व्यवहार प्रवृत्ति को नहीं बदलता

थ्रेसहोल्ड संवेदनशीलता विश्लेषण

  • थ्रेसहोल्ड 1/4 से 1/3 में बदलने पर, पहुँचने का समय महत्वपूर्ण रूप से बढ़ता है
  • पुनः प्राप्ति समय बुरी स्थिति में नोड्स की संख्या के अनुपात में होता है
  • सैद्धांतिक विश्लेषण की सटीकता को सत्यापित करता है

प्रयोगात्मक निष्कर्ष

  1. चरण परिवर्तन घटना: p = q के पास स्पष्ट व्यवहार परिवर्तन मौजूद है
  2. आंतरिक मॉडल का विरोधाभासी व्यवहार: यहाँ तक कि जब व्यक्तिगत हमले की दर पुनः प्राप्ति दर से अधिक हो, तब भी प्रणाली अधिकांश नोड्स को सामान्य रख सकती है
  3. घातीय समय सुरक्षा: जब p > q हो, तो प्रणाली घातीय स्तर की सुरक्षा प्रदान करती है
  4. लॉगरिदमिक समय हमला: जब हमला प्रभावशाली हो, तो प्रणाली लॉगरिदमिक समय में टूट जाती है

संबंधित कार्य

स्व-सुरक्षा प्रणाली अनुसंधान

  • Yuan et al.: सॉफ्टवेयर नेटवर्क खतरों के लिए स्व-सुरक्षा आर्किटेक्चर
  • English et al.: घटना संबद्धता के आधार पर शमन कार्रवाई
  • Liang et al.: ब्लॉकचेन-आधारित विद्युत प्रणाली स्व-सुरक्षा ढाँचा

मोबाइल बाइजेंटाइन विफलता मॉडल

  • सीमित गतिशीलता मॉडल (Buhrman आदि): एजेंट केवल संदेश के साथ चल सकते हैं
  • असीमित गतिशीलता मॉडल (Ostrovsky-Yung आदि): एजेंट विशिष्ट समय पर चल सकते हैं
  • पहचान क्षमता अंतर: कोई पहचान से पूर्ण पहचान तक विभिन्न धारणाएँ

प्रणाली पुनः प्राप्ति तकनीकें

  • Sousa et al.: सबसे खराब स्थिति धारणा के आधार पर प्रणाली अपडेट मॉडल
  • Castro-Liskov: व्यावहारिक बाइजेंटाइन सहिष्णुता और सक्रिय पुनः प्राप्ति
  • विविधता तकनीकें: अनावश्यकता और विविधता के माध्यम से विफलता स्वतंत्रता सुनिश्चित करना

निष्कर्ष और चर्चा

मुख्य निष्कर्ष

  1. संभाव्य MBF मॉडल की प्रभावशीलता: गतिशील हमले के वातावरण में प्रणाली व्यवहार को सटीक रूप से पकड़ सकता है
  2. पूर्वानुमान क्षमता का मूल्य: स्व-अनुकूल प्रणालियों के लिए वैज्ञानिक निर्णय लेने का आधार प्रदान करता है
  3. तीन मॉडलों की पूरकता: विभिन्न हमले परिदृश्यों के लिए विभिन्न मॉडलिंग विधियों की आवश्यकता है
  4. मार्कोव विश्लेषण की प्रयोज्यता: वितरित प्रणाली सुरक्षा विश्लेषण के लिए शक्तिशाली गणितीय उपकरण प्रदान करता है

सीमाएँ

  1. स्वतंत्रता धारणा: नोड विफलताओं को पारस्परिक रूप से स्वतंत्र मान लेता है, वास्तविकता में सहसंबंध हो सकता है
  2. पैरामीटर अनुमान: p और q का सटीक अनुमान वास्तविक तैनाती में कठिन हो सकता है
  3. समकालिक धारणा: प्रणाली को समकालिकता शर्तों को पूरा करने की आवश्यकता है
  4. हमले मॉडल सरलीकरण: वास्तविक हमले मॉडल धारणा से अधिक जटिल हो सकते हैं

भविष्य की दिशाएँ

  1. प्रोटोकॉल-विशिष्ट विश्लेषण: MBF मॉडल के विशिष्ट BFT प्रोटोकॉल पर प्रभाव का अनुसंधान
  2. विविधता एकीकरण: नोड विविधता तकनीकों को संभाव्य मॉडल में एकीकृत करना
  3. लागत अनुकूलन: कॉन्फ़िगरेशन योजना में कई लागत चर के बीच व्यापार-बंद पर विचार करना
  4. वास्तविक तैनाती सत्यापन: वास्तविक प्रणालियों में मॉडल सटीकता का सत्यापन

गहन मूल्यांकन

शक्तियाँ

  1. सैद्धांतिक योगदान महत्वपूर्ण: पहली बार संभाव्य हमले प्रसार को मार्कोव विश्लेषण के साथ जोड़ा, गतिशील खतरे मॉडलिंग के लिए नई सोच प्रदान की
  2. गणितीय विश्लेषण कठोर: पूर्ण सैद्धांतिक ढाँचा और कठोर गणितीय प्रमाण प्रदान करता है
  3. व्यावहारिकता मजबूत: MAPE-K आर्किटेक्चर मौजूदा प्रणालियों में आसानी से एकीकृत होता है
  4. सिमुलेशन सत्यापन पर्याप्त: बड़े पैमाने पर सिमुलेशन सैद्धांतिक विश्लेषण की सटीकता को सत्यापित करता है
  5. मॉडल लचीलापन: तीन CTMC मॉडल विभिन्न हमले परिदृश्यों को कवर करते हैं

कमियाँ

  1. पैरामीटर संवेदनशीलता: मॉडल प्रदर्शन p और q के सटीक अनुमान पर अत्यधिक निर्भर है, लेकिन पेपर पैरामीटर अनुमान विधियों पर पर्याप्त चर्चा नहीं करता
  2. वास्तविकता धारणाएँ: स्वतंत्रता और समकालिकता धारणाएँ वास्तविक प्रणालियों में मान्य नहीं हो सकती
  3. हमले मॉडल सीमाएँ: अधिक जटिल हमले रणनीतियों पर विचार नहीं करता (जैसे अनुकूली हमले)
  4. वास्तविक सत्यापन की कमी: केवल सिमुलेशन परिणाम हैं, वास्तविक प्रणाली प्रयोगों की कमी है

प्रभाव

  1. शैक्षणिक मूल्य: वितरित प्रणाली सुरक्षा और स्व-अनुकूल प्रणाली क्षेत्र के लिए नई अनुसंधान दिशा प्रदान करता है
  2. व्यावहारिक संभावना: क्लाउड कंप्यूटिंग, IoT आदि बड़े पैमाने पर वितरित प्रणालियों की सुरक्षा डिजाइन के लिए सैद्धांतिक समर्थन प्रदान करता है
  3. पद्धति योगदान: नेटवर्क सुरक्षा मॉडलिंग में मार्कोव श्रृंखला के अनुप्रयोग का व्यापक संदर्भ मूल्य है

लागू परिदृश्य

  1. बड़े पैमाने पर वितरित प्रणालियाँ: क्लाउड कंप्यूटिंग प्लेटफॉर्म, वितरित डेटाबेस प्रणालियाँ
  2. महत्वपूर्ण बुनियादी ढाँचा: विद्युत नेटवर्क, परिवहन नियंत्रण प्रणालियाँ
  3. ब्लॉकचेन नेटवर्क: बाइजेंटाइन सहिष्णु सर्वसम्मति की आवश्यकता वाली प्रणालियाँ
  4. IoT प्रणालियाँ: स्व-चिकित्सा क्षमता वाली स्मार्ट डिवाइस नेटवर्क

संदर्भ

पेपर में 40 संबंधित संदर्भ उद्धृत हैं, जिनमें शामिल हैं:

  • स्व-सुरक्षा प्रणाली डिजाइन (Yuan et al., English et al.)
  • मोबाइल बाइजेंटाइन विफलता सिद्धांत (Garay, Ostrovsky-Yung आदि)
  • प्रणाली पुनः प्राप्ति तकनीकें (Castro-Liskov, Sousa et al.)
  • संभाव्यता सिद्धांत आधार (Durrett, Bertsekas-Tsitsiklis)

समग्र मूल्यांकन: यह वितरित प्रणाली सुरक्षा मॉडलिंग में महत्वपूर्ण योगदान देने वाला एक उच्च गुणवत्ता वाला सैद्धांतिक अनुसंधान पेपर है। यद्यपि वास्तविक अनुप्रयोग सत्यापन के पहलू में अभी और सुधार की गुंजाइश है, लेकिन इसका सैद्धांतिक ढाँचा और विश्लेषण विधि महत्वपूर्ण शैक्षणिक मूल्य और व्यावहारिक संभावना रखते हैं।