發(fā)布時間：2020-11-21 20:37

　　 云計算作為一種新技術,其在過去十年中經歷了十分快速且顯著的發(fā)展,現(xiàn)在已經關系到了每個人的生活。在云計算的研究過程中,研究人員們提出了許多有關云計算的新的概念,比如“多租戶,”,這是網絡中按需訪問的一個可配置計算資源的共享池,它可以以最少的管理工作和更低的成本來快速提供和發(fā)布資源,這也使許多公司和組織將其傳統(tǒng)的數據中心遷移到云中。此外,由于云計算具有諸多突出的特性,比如允許多用戶間共享和外包資源的虛擬化,可擴展性,靈活性,敏捷性以及通過優(yōu)化高效的計算以降低運營復雜性等,這同樣也吸引了許多組織將其數據從傳統(tǒng)數據中心轉移到云中,依靠它來解決多個用戶的訪問需求,并且提高了資源利用率以適應快速變化的業(yè)務需求。然而,在傳統(tǒng)數據中心遷移到云的過程中,我們會遇到各種安全問題,這些問題隨著最新引入的云計算的概念也得到了升級,并且會導致確保云數據中心網絡的安全變得更加困難。事實上,由于云本身的大規(guī)模性,直接訪問云基礎架構的移動設備的出現(xiàn),以及個人和組織數據會實時添加到云等特性,它們都會進一步擴大云的漏洞,使服務可靠性,可用性和性能更容易受到敵手惡意活動的影響。此外,還存在一系列其他的問題,包括當前網絡配置的靜態(tài)性質、云操作與底層轉發(fā)基礎結構的緊密耦合,以及作為主要通信媒介的網絡依賴關系等。而對于云的訪問機制,當前也缺乏一種協(xié)調和彈性的防御機制。這些問題也進一步加劇了云計算會面臨的安全風險,使云更容易被偽裝為合法用戶的敵手訪問。為了解決這些安全問題,研究人員進行了廣泛的研究工作,并且提出了許多不同的防御技術和解決方案,包括內置安全功能的新型硬件,高安全性的網絡協(xié)議,防火墻,入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS),以及昂貴的惡意軟件檢測工具,如防病毒程序和滲透測試工具。雖然多年來這些防御方法在復雜性和規(guī)模上都有顯著的增長,但攻擊者仍然能夠有效地突破基于檢測的安全防御措施,從而給出極具價值的且不對稱的時間來執(zhí)行目標系統(tǒng)的探查工作,以此來研究并確定云數據中心網絡中的潛在漏洞。SDN的發(fā)明使得人們能夠通過(?)轉發(fā)設備的功能(即數據平面)與控制平面分離,以實現(xiàn)動態(tài)和靈活的數據中心網絡。而為建立動態(tài)且主動的安全防御機制,研究人員提出了(?)云計算安全保護機制轉變的新的創(chuàng)新方法�；�于這種全新的SDN方法,研究人員提出一種新型博弈轉換安全防御方法,我們稱之為基于SDN的MTD�；�于SDN的MTD機制對云計算數據中心網絡可利用的方面進行了一些優(yōu)化調整,以增加系統(tǒng)的不確定性、復雜性,并通過向攻擊者提供完全混亂的系統(tǒng)環(huán)境來增加攻擊者攻擊的困難度,從而降低攻擊成功的概率。事實上,基于SDN的MTD安全防御機制通過增加攻擊者的工作負載和成本,可以使攻擊者在試圖攻擊之前,甚至攻擊期間降低攻擊成功的概率,從而使防御者能夠成功防御攻擊。由于存在這些基于SDN的MTD機制的特征,以及有關在SDN支持的云數據中心中驗證基于SDN的A/MTD防御機制的有效性所做的相關工作,這大大推動了研究基于SDN的MTD機制保護云數據中心網絡有效性的需求。為了驗證基于SDN的MTD機制在保護云數據中心網絡安全方面的有效性,我們需要描述攻擊者在攻擊之前必須探索的系統(tǒng)的脆弱性。為此,我們設計了基于SDN的MTD系統(tǒng)框架,該框架使用了運行模型,例如,擁有網絡功能需求的基礎架構邏輯模型和CAG形式的邏輯安全模型,而該模型可能具有一定的系統(tǒng)資源脆弱性,并且可能正在遭受攻擊。這些運行模型能夠通過我們提出的框架來推斷系統(tǒng)當前的狀態(tài)。而通過由模型獲得的反饋信息,云數據中心網絡可以使用SDN的MTD機制來進行調整或配置,以此創(chuàng)建一個能夠減少攻擊可能性的混沌環(huán)境,增加攻擊者攻擊的不確定性和復雜性。為了證實這一點,我們使用本文設計的框架進行了三種不同的仿真實驗,確定基于SDN的MTD機制能夠適應/配置的可用方法,以降低攻擊者的攻擊概率并提高系統(tǒng)的彈性。在第一個實驗中,我們只模擬了通過DRAS連接的有效路徑的攻擊。而在第二個和第三個實驗中,仿真只沿著通過DRAS連接的有效路徑進行攻擊,以及直接在不通過DRAS連接的節(jié)點之間來嘗試攻擊。在第三次攻擊實驗中,我們還模擬了一個唯一的事件驅動攻擊。在每次實驗中,我們進行了 1000次單步攻擊,攻擊時間保持不變(Δt),即每次單步攻擊之間的平均攻擊到達間隔為100。因此,對于基于基本和動態(tài)SDN的MTD機制的1000步單步攻擊,我們假設運行時會使用6個不同的時間間隔(25,50,100,200,300和靜態(tài))。而且在每個實驗中,都包括了未發(fā)生適應的控制情景,以確認擬議的適應機制框架造成的變化。在第一個實驗中,要成功阻止單步攻擊,基于基本SDN的MTD機制必須在平均攻擊到達間隔期間主動調整/刷新遭受攻擊的節(jié)點或發(fā)起攻擊的節(jié)點。在第二個實驗中,為了阻止攻擊,基于基本的SDN的MTD機制必須在平均攻擊到達間隔期間主動適應/刷新路徑上能夠到被攻擊節(jié)點的任意節(jié)點。而在第三個實驗中,為了阻止攻擊,基于動態(tài)SDN的MTD機制必須在平均攻擊到達間隔期間主動和被動地適配/刷新路徑上能夠到被攻擊節(jié)點的任意節(jié)點。第一次和第二次實驗的仿真結果表明,當沒有適應或者適應是靜態(tài)的時,攻擊成功的次數變?yōu)樽畲?在每一輪中進行1000次單步攻擊)。但是,一旦激活了基于基本SDN的MTD機制,攻擊成功的次數就會減少,也就是說,在適配/配置間隔為300的情況下,攻擊成功次數的減少到128次;當間隔變?yōu)?00時,攻擊成功的次數減少到97次;當間隔變?yōu)?00時,成功攻擊次數減少到45次;當間隔變?yōu)?5時,所有針對目標節(jié)點的攻擊都會被消除。與第一次和第二次仿真一樣,第三次實驗的結果表明,當沒有適應或者配置是靜態(tài)時,在互聯(lián)網節(jié)點中通過網絡的任意節(jié)點到目標節(jié)點的完整攻擊成功的次數變?yōu)樽畲?每輪1000次單步攻擊),這與在Internet中破壞規(guī)劃者/登錄節(jié)點的預期概率(68%)是接近的。但是,與第一個和第二個實驗不同的是,在第三個實驗中一旦激活了基于動態(tài)SDN的MTD,攻擊成功的次數就會大大減少,也就是說,在適配/配置間隔為300的情況下,攻擊成功的次數減少到86次;當時間間隔變?yōu)?00時,攻擊成功的次數就會減少到64次;當時間間隔變?yōu)?00時,攻擊成功的次數就會減少到30次;當時間間隔變?yōu)?5時,針對目標節(jié)點的攻擊就會全部被消除。三次仿真的實驗結果表明,當平均攻擊到達間隔/速率變?yōu)?00并且自適應間隔減小時,基于SDN的MTD機制可以成功降低攻擊成功的概率。在仿真實驗中,及時的適應/配置是定義和驗證基于SDN的MTD機制有效性的基礎。因此,實驗結果表明,當適應是靜態(tài)的或在沒有適應的情況下,攻擊成功的次數最多。這是在沒有適應/更新的場景下單步攻擊成功的概率最大的攻擊次數。但是,一旦啟用基于SDN的MTD機制,攻擊成功的次數就會減少。換句話說,隨著適配間隔減小,基于SDN的MTD機制在維護云數據中心網絡安全性方面的有效性就會增加(例如,當適應間隔為25時,幾乎所有針對目標節(jié)點的攻擊都會被消除)。另外,仿真結果表明,即使沒有完備的探測器,云數據中心網絡的安全保護也能夠成功部署。這些結果再次清楚地證明了基于SDN的MTD機制在保護云數據中心網絡安全方面的有效性,并且評估和分析基于SDN的MTD機制框架是保護支持SDN的云數據中心網絡安全的初始步驟。此外,我們計劃繼續(xù)模擬更復雜的系統(tǒng)(節(jié)點和互連),增加攻擊者的復雜性,并且使用運行時模型來集成基于動態(tài)SDN的MTD系統(tǒng)的全部功能。
【學位單位】：北京交通大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP393.0
【文章目錄】：
致謝 ACKNOWLEDGMENTS
摘要
Abstract
List of Acronyms
CHAPTER ONE
    1. Introduction
        1.1. Rationale of the study
        1.2. Methodology
        1.3. Scope of the study
        1.4. Purpose and contribution of our study
        1.5. Organization of this Thesis
CHAPTER TWO
    2. Background and Related works
        2.1. Software Defined Network（SDN）
            2.1.1. SDN Architecture
        2.2. Moving Target Defense （MTD）
        2.3. Software Defined Networking （SDN） -based MTD Mechanism
        2.4. Related works
CHAPTER THREE
    3. System Architecture and Framework
        3.1. System Architecture Overview
        3.2. The Basic SDN-based MTD mechanism Framework
        3.3. Dynamic Resource Allocating System （DRAS）
        3.4. Adaptation Engine
            3.4.1. SDN-based MTD framework-driven adaptation
        3.5. Security Analysis Engine
        3.6. Conservative Attack Graph （CAG）
        3.7. Adaptation/configuration
CHAPTER FOUR
    4. Simulation-based experiments
        4.1. Assumptions on attacker model
        4.2. Assumptions on adaptation methods
        4.3. Adapting methods and attacks
            4.3.1. DRAS supported only attack simulation
            4.3.2. DRAS supported only attack & Outside of DRAS supported attack simulation
CHAPTER FIVE
    5. Simulation Results and Discussion
        5.1. DRAS supported only attack simulation Results
        5.2. DRAS supported only attack & Outside of DRAS supported attack simulation Results
        5.3. Discussion
CHAPTER SIX
    6. Conclusion and Future Works
參考文獻 References
作者簡歷及攻讀碩士 /博士學位期間取得的研究成果Author Profile and Research Achievements Obtained during the Study for A Master’s/Doctoral Degree
學位論文數據集 Dataset for the Master's Thesis

【相似文獻】

相關期刊論文 前10條

1 張凌;李巧玲;文錦軍;楊新章;;面向用戶的數據中心發(fā)展模式探討[J];廣東通信技術;2018年11期

2 本刊訊;;2018數據中心年度峰會盛大開幕[J];電信工程技術與標準化;2018年12期

3 趙吉志;;淺談數據中心綠色分級評估方法[J];科技浪潮;2012年05期

4 ;云操作系統(tǒng) 云數據中心神經系統(tǒng)[J];科技浪潮;2011年S1期

5 ;云操作系統(tǒng) 云數據中心神經系統(tǒng)[J];科技浪潮;2011年03期

6 ;浪潮發(fā)布云海集裝箱數據中心[J];科技浪潮;2011年03期

7 ;浪潮存儲獲“用戶滿意數據中心解決方案”大獎[J];科技浪潮;2009年05期

8 趙吉志;;數據中心效能評估指標簡介[J];科技浪潮;2013年02期

9 ;浪潮推出云海集裝箱數據中心[J];科技浪潮;2011年02期

10 ;浪潮“行業(yè)云”和云數據中心演示引人注目[J];科技浪潮;2011年02期

相關博士學位論文 前10條

1 李翔;云數據中心的溫度建模與節(jié)能調度方法研究[D];浙江大學;2017年

2 顧崇林;云數據中心綠色調度建模與算法設計[D];哈爾濱工業(yè)大學;2018年

3 李德順;可擴展的數據中心網絡結構研究[D];大連理工大學;2017年

4 李耀芳;云數據中心光交換調度與路由算法研究[D];天津大學;2017年

5 王偉;面向邊緣計算的光網絡業(yè)務提供技術研究[D];北京郵電大學;2018年

6 陸元偉;數據中心內硬件資源高效的低延遲傳輸層研究[D];中國科學技術大學;2018年

7 岳猛;面向云計算數據中心的協(xié)同式防御DoS攻擊關鍵技術研究[D];天津大學;2017年

8 鄭嘉琦;數據中心網絡數據平面更新策略研究[D];南京大學;2017年

9 鄧厚;云計算數據中心中的虛機部署優(yōu)化研究[D];中國科學技術大學;2018年

10 于洋;新型數據中心組網架構及關鍵技術研究[D];北京交通大學;2018年

相關碩士學位論文 前10條

1 張萌;空間幾何結構對冷通道封閉型數據中心的熱環(huán)境影響研究[D];南京師范大學;2018年

2 楊力芝;送風結構對地板下送風數據中心熱環(huán)境的影響研究[D];南京師范大學;2018年

3 王莉莉;移動通信數據中心建筑設計策略研究[D];哈爾濱工業(yè)大學;2017年

4 喬李寧;成本與碳排放優(yōu)化的分布式云數據中心能量管理研究[D];哈爾濱工業(yè)大學;2017年

5 吳文彬;基于DVFS的數據中心節(jié)能研究[D];哈爾濱工業(yè)大學;2017年

6 范龍翔;基于服務器多睡眠調度的數據中心節(jié)能算法研究[D];哈爾濱工業(yè)大學;2017年

7 紀景譯;基于虛擬化與動環(huán)資源協(xié)同調度的數據中心節(jié)能優(yōu)化研究[D];西安建筑科技大學;2018年

8 臧韋菲;云數據中心網絡流量管理關鍵技術研究[D];戰(zhàn)略支援部隊信息工程大學;2018年

9 程瑄;數據中心低PUE技術研究[D];華中師范大學;2017年

10 陳凌劍;數據中心網絡中節(jié)能路由算法及無死鎖路由算法的研究[D];哈爾濱工業(yè)大學;2018年

本文編號：2893567