發(fā)布時間：2020-11-21 20:37

　　 云計算作為一種新技術(shù),其在過去十年中經(jīng)歷了十分快速且顯著的發(fā)展,現(xiàn)在已經(jīng)關(guān)系到了每個人的生活。在云計算的研究過程中,研究人員們提出了許多有關(guān)云計算的新的概念,比如“多租戶,”,這是網(wǎng)絡(luò)中按需訪問的一個可配置計算資源的共享池,它可以以最少的管理工作和更低的成本來快速提供和發(fā)布資源,這也使許多公司和組織將其傳統(tǒng)的數(shù)據(jù)中心遷移到云中。此外,由于云計算具有諸多突出的特性,比如允許多用戶間共享和外包資源的虛擬化,可擴展性,靈活性,敏捷性以及通過優(yōu)化高效的計算以降低運營復(fù)雜性等,這同樣也吸引了許多組織將其數(shù)據(jù)從傳統(tǒng)數(shù)據(jù)中心轉(zhuǎn)移到云中,依靠它來解決多個用戶的訪問需求,并且提高了資源利用率以適應(yīng)快速變化的業(yè)務(wù)需求。然而,在傳統(tǒng)數(shù)據(jù)中心遷移到云的過程中,我們會遇到各種安全問題,這些問題隨著最新引入的云計算的概念也得到了升級,并且會導(dǎo)致確保云數(shù)據(jù)中心網(wǎng)絡(luò)的安全變得更加困難。事實上,由于云本身的大規(guī)模性,直接訪問云基礎(chǔ)架構(gòu)的移動設(shè)備的出現(xiàn),以及個人和組織數(shù)據(jù)會實時添加到云等特性,它們都會進一步擴大云的漏洞,使服務(wù)可靠性,可用性和性能更容易受到敵手惡意活動的影響。此外,還存在一系列其他的問題,包括當(dāng)前網(wǎng)絡(luò)配置的靜態(tài)性質(zhì)、云操作與底層轉(zhuǎn)發(fā)基礎(chǔ)結(jié)構(gòu)的緊密耦合,以及作為主要通信媒介的網(wǎng)絡(luò)依賴關(guān)系等。而對于云的訪問機制,當(dāng)前也缺乏一種協(xié)調(diào)和彈性的防御機制。這些問題也進一步加劇了云計算會面臨的安全風(fēng)險,使云更容易被偽裝為合法用戶的敵手訪問。為了解決這些安全問題,研究人員進行了廣泛的研究工作,并且提出了許多不同的防御技術(shù)和解決方案,包括內(nèi)置安全功能的新型硬件,高安全性的網(wǎng)絡(luò)協(xié)議,防火墻,入侵檢測系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS),以及昂貴的惡意軟件檢測工具,如防病毒程序和滲透測試工具。雖然多年來這些防御方法在復(fù)雜性和規(guī)模上都有顯著的增長,但攻擊者仍然能夠有效地突破基于檢測的安全防御措施,從而給出極具價值的且不對稱的時間來執(zhí)行目標(biāo)系統(tǒng)的探查工作,以此來研究并確定云數(shù)據(jù)中心網(wǎng)絡(luò)中的潛在漏洞。SDN的發(fā)明使得人們能夠通過(?)轉(zhuǎn)發(fā)設(shè)備的功能(即數(shù)據(jù)平面)與控制平面分離,以實現(xiàn)動態(tài)和靈活的數(shù)據(jù)中心網(wǎng)絡(luò)。而為建立動態(tài)且主動的安全防御機制,研究人員提出了(?)云計算安全保護機制轉(zhuǎn)變的新的創(chuàng)新方法�；�于這種全新的SDN方法,研究人員提出一種新型博弈轉(zhuǎn)換安全防御方法,我們稱之為基于SDN的MTD�；�于SDN的MTD機制對云計算數(shù)據(jù)中心網(wǎng)絡(luò)可利用的方面進行了一些優(yōu)化調(diào)整,以增加系統(tǒng)的不確定性、復(fù)雜性,并通過向攻擊者提供完全混亂的系統(tǒng)環(huán)境來增加攻擊者攻擊的困難度,從而降低攻擊成功的概率。事實上,基于SDN的MTD安全防御機制通過增加攻擊者的工作負載和成本,可以使攻擊者在試圖攻擊之前,甚至攻擊期間降低攻擊成功的概率,從而使防御者能夠成功防御攻擊。由于存在這些基于SDN的MTD機制的特征,以及有關(guān)在SDN支持的云數(shù)據(jù)中心中驗證基于SDN的A/MTD防御機制的有效性所做的相關(guān)工作,這大大推動了研究基于SDN的MTD機制保護云數(shù)據(jù)中心網(wǎng)絡(luò)有效性的需求。為了驗證基于SDN的MTD機制在保護云數(shù)據(jù)中心網(wǎng)絡(luò)安全方面的有效性,我們需要描述攻擊者在攻擊之前必須探索的系統(tǒng)的脆弱性。為此,我們設(shè)計了基于SDN的MTD系統(tǒng)框架,該框架使用了運行模型,例如,擁有網(wǎng)絡(luò)功能需求的基礎(chǔ)架構(gòu)邏輯模型和CAG形式的邏輯安全模型,而該模型可能具有一定的系統(tǒng)資源脆弱性,并且可能正在遭受攻擊。這些運行模型能夠通過我們提出的框架來推斷系統(tǒng)當(dāng)前的狀態(tài)。而通過由模型獲得的反饋信息,云數(shù)據(jù)中心網(wǎng)絡(luò)可以使用SDN的MTD機制來進行調(diào)整或配置,以此創(chuàng)建一個能夠減少攻擊可能性的混沌環(huán)境,增加攻擊者攻擊的不確定性和復(fù)雜性。為了證實這一點,我們使用本文設(shè)計的框架進行了三種不同的仿真實驗,確定基于SDN的MTD機制能夠適應(yīng)/配置的可用方法,以降低攻擊者的攻擊概率并提高系統(tǒng)的彈性。在第一個實驗中,我們只模擬了通過DRAS連接的有效路徑的攻擊。而在第二個和第三個實驗中,仿真只沿著通過DRAS連接的有效路徑進行攻擊,以及直接在不通過DRAS連接的節(jié)點之間來嘗試攻擊。在第三次攻擊實驗中,我們還模擬了一個唯一的事件驅(qū)動攻擊。在每次實驗中,我們進行了 1000次單步攻擊,攻擊時間保持不變(Δt),即每次單步攻擊之間的平均攻擊到達間隔為100。因此,對于基于基本和動態(tài)SDN的MTD機制的1000步單步攻擊,我們假設(shè)運行時會使用6個不同的時間間隔(25,50,100,200,300和靜態(tài))。而且在每個實驗中,都包括了未發(fā)生適應(yīng)的控制情景,以確認擬議的適應(yīng)機制框架造成的變化。在第一個實驗中,要成功阻止單步攻擊,基于基本SDN的MTD機制必須在平均攻擊到達間隔期間主動調(diào)整/刷新遭受攻擊的節(jié)點或發(fā)起攻擊的節(jié)點。在第二個實驗中,為了阻止攻擊,基于基本的SDN的MTD機制必須在平均攻擊到達間隔期間主動適應(yīng)/刷新路徑上能夠到被攻擊節(jié)點的任意節(jié)點。而在第三個實驗中,為了阻止攻擊,基于動態(tài)SDN的MTD機制必須在平均攻擊到達間隔期間主動和被動地適配/刷新路徑上能夠到被攻擊節(jié)點的任意節(jié)點。第一次和第二次實驗的仿真結(jié)果表明,當(dāng)沒有適應(yīng)或者適應(yīng)是靜態(tài)的時,攻擊成功的次數(shù)變?yōu)樽畲?在每一輪中進行1000次單步攻擊)。但是,一旦激活了基于基本SDN的MTD機制,攻擊成功的次數(shù)就會減少,也就是說,在適配/配置間隔為300的情況下,攻擊成功次數(shù)的減少到128次;當(dāng)間隔變?yōu)?00時,攻擊成功的次數(shù)減少到97次;當(dāng)間隔變?yōu)?00時,成功攻擊次數(shù)減少到45次;當(dāng)間隔變?yōu)?5時,所有針對目標(biāo)節(jié)點的攻擊都會被消除。與第一次和第二次仿真一樣,第三次實驗的結(jié)果表明,當(dāng)沒有適應(yīng)或者配置是靜態(tài)時,在互聯(lián)網(wǎng)節(jié)點中通過網(wǎng)絡(luò)的任意節(jié)點到目標(biāo)節(jié)點的完整攻擊成功的次數(shù)變?yōu)樽畲?每輪1000次單步攻擊),這與在Internet中破壞規(guī)劃者/登錄節(jié)點的預(yù)期概率(68%)是接近的。但是,與第一個和第二個實驗不同的是,在第三個實驗中一旦激活了基于動態(tài)SDN的MTD,攻擊成功的次數(shù)就會大大減少,也就是說,在適配/配置間隔為300的情況下,攻擊成功的次數(shù)減少到86次;當(dāng)時間間隔變?yōu)?00時,攻擊成功的次數(shù)就會減少到64次;當(dāng)時間間隔變?yōu)?00時,攻擊成功的次數(shù)就會減少到30次;當(dāng)時間間隔變?yōu)?5時,針對目標(biāo)節(jié)點的攻擊就會全部被消除。三次仿真的實驗結(jié)果表明,當(dāng)平均攻擊到達間隔/速率變?yōu)?00并且自適應(yīng)間隔減小時,基于SDN的MTD機制可以成功降低攻擊成功的概率。在仿真實驗中,及時的適應(yīng)/配置是定義和驗證基于SDN的MTD機制有效性的基礎(chǔ)。因此,實驗結(jié)果表明,當(dāng)適應(yīng)是靜態(tài)的或在沒有適應(yīng)的情況下,攻擊成功的次數(shù)最多。這是在沒有適應(yīng)/更新的場景下單步攻擊成功的概率最大的攻擊次數(shù)。但是,一旦啟用基于SDN的MTD機制,攻擊成功的次數(shù)就會減少。換句話說,隨著適配間隔減小,基于SDN的MTD機制在維護云數(shù)據(jù)中心網(wǎng)絡(luò)安全性方面的有效性就會增加(例如,當(dāng)適應(yīng)間隔為25時,幾乎所有針對目標(biāo)節(jié)點的攻擊都會被消除)。另外,仿真結(jié)果表明,即使沒有完備的探測器,云數(shù)據(jù)中心網(wǎng)絡(luò)的安全保護也能夠成功部署。這些結(jié)果再次清楚地證明了基于SDN的MTD機制在保護云數(shù)據(jù)中心網(wǎng)絡(luò)安全方面的有效性,并且評估和分析基于SDN的MTD機制框架是保護支持SDN的云數(shù)據(jù)中心網(wǎng)絡(luò)安全的初始步驟。此外,我們計劃繼續(xù)模擬更復(fù)雜的系統(tǒng)(節(jié)點和互連),增加攻擊者的復(fù)雜性,并且使用運行時模型來集成基于動態(tài)SDN的MTD系統(tǒng)的全部功能。
【學(xué)位單位】：北京交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.0
【文章目錄】：
致謝 ACKNOWLEDGMENTS
摘要
Abstract
List of Acronyms
CHAPTER ONE
    1. Introduction
        1.1. Rationale of the study
        1.2. Methodology
        1.3. Scope of the study
        1.4. Purpose and contribution of our study
        1.5. Organization of this Thesis
CHAPTER TWO
    2. Background and Related works
        2.1. Software Defined Network（SDN）
            2.1.1. SDN Architecture
        2.2. Moving Target Defense （MTD）
        2.3. Software Defined Networking （SDN） -based MTD Mechanism
        2.4. Related works
CHAPTER THREE
    3. System Architecture and Framework
        3.1. System Architecture Overview
        3.2. The Basic SDN-based MTD mechanism Framework
        3.3. Dynamic Resource Allocating System （DRAS）
        3.4. Adaptation Engine
            3.4.1. SDN-based MTD framework-driven adaptation
        3.5. Security Analysis Engine
        3.6. Conservative Attack Graph （CAG）
        3.7. Adaptation/configuration
CHAPTER FOUR
    4. Simulation-based experiments
        4.1. Assumptions on attacker model
        4.2. Assumptions on adaptation methods
        4.3. Adapting methods and attacks
            4.3.1. DRAS supported only attack simulation
            4.3.2. DRAS supported only attack & Outside of DRAS supported attack simulation
CHAPTER FIVE
    5. Simulation Results and Discussion
        5.1. DRAS supported only attack simulation Results
        5.2. DRAS supported only attack & Outside of DRAS supported attack simulation Results
        5.3. Discussion
CHAPTER SIX
    6. Conclusion and Future Works
參考文獻 References
作者簡歷及攻讀碩士 /博士學(xué)位期間取得的研究成果Author Profile and Research Achievements Obtained during the Study for A Master’s/Doctoral Degree
學(xué)位論文數(shù)據(jù)集 Dataset for the Master's Thesis

【相似文獻】

相關(guān)期刊論文 前10條

1 張凌;李巧玲;文錦軍;楊新章;;面向用戶的數(shù)據(jù)中心發(fā)展模式探討[J];廣東通信技術(shù);2018年11期

2 本刊訊;;2018數(shù)據(jù)中心年度峰會盛大開幕[J];電信工程技術(shù)與標(biāo)準化;2018年12期

3 趙吉志;;淺談數(shù)據(jù)中心綠色分級評估方法[J];科技浪潮;2012年05期

4 ;云操作系統(tǒng) 云數(shù)據(jù)中心神經(jīng)系統(tǒng)[J];科技浪潮;2011年S1期

5 ;云操作系統(tǒng) 云數(shù)據(jù)中心神經(jīng)系統(tǒng)[J];科技浪潮;2011年03期

6 ;浪潮發(fā)布云海集裝箱數(shù)據(jù)中心[J];科技浪潮;2011年03期

7 ;浪潮存儲獲“用戶滿意數(shù)據(jù)中心解決方案”大獎[J];科技浪潮;2009年05期

8 趙吉志;;數(shù)據(jù)中心效能評估指標(biāo)簡介[J];科技浪潮;2013年02期

9 ;浪潮推出云海集裝箱數(shù)據(jù)中心[J];科技浪潮;2011年02期

10 ;浪潮“行業(yè)云”和云數(shù)據(jù)中心演示引人注目[J];科技浪潮;2011年02期

相關(guān)博士學(xué)位論文 前10條

1 李翔;云數(shù)據(jù)中心的溫度建模與節(jié)能調(diào)度方法研究[D];浙江大學(xué);2017年

2 顧崇林;云數(shù)據(jù)中心綠色調(diào)度建模與算法設(shè)計[D];哈爾濱工業(yè)大學(xué);2018年

3 李德順;可擴展的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)研究[D];大連理工大學(xué);2017年

4 李耀芳;云數(shù)據(jù)中心光交換調(diào)度與路由算法研究[D];天津大學(xué);2017年

5 王偉;面向邊緣計算的光網(wǎng)絡(luò)業(yè)務(wù)提供技術(shù)研究[D];北京郵電大學(xué);2018年

6 陸元偉;數(shù)據(jù)中心內(nèi)硬件資源高效的低延遲傳輸層研究[D];中國科學(xué)技術(shù)大學(xué);2018年

7 岳猛;面向云計算數(shù)據(jù)中心的協(xié)同式防御DoS攻擊關(guān)鍵技術(shù)研究[D];天津大學(xué);2017年

8 鄭嘉琦;數(shù)據(jù)中心網(wǎng)絡(luò)數(shù)據(jù)平面更新策略研究[D];南京大學(xué);2017年

9 鄧厚;云計算數(shù)據(jù)中心中的虛機部署優(yōu)化研究[D];中國科學(xué)技術(shù)大學(xué);2018年

10 于洋;新型數(shù)據(jù)中心組網(wǎng)架構(gòu)及關(guān)鍵技術(shù)研究[D];北京交通大學(xué);2018年

相關(guān)碩士學(xué)位論文 前10條

1 張萌;空間幾何結(jié)構(gòu)對冷通道封閉型數(shù)據(jù)中心的熱環(huán)境影響研究[D];南京師范大學(xué);2018年

2 楊力芝;送風(fēng)結(jié)構(gòu)對地板下送風(fēng)數(shù)據(jù)中心熱環(huán)境的影響研究[D];南京師范大學(xué);2018年

3 王莉莉;移動通信數(shù)據(jù)中心建筑設(shè)計策略研究[D];哈爾濱工業(yè)大學(xué);2017年

4 喬李寧;成本與碳排放優(yōu)化的分布式云數(shù)據(jù)中心能量管理研究[D];哈爾濱工業(yè)大學(xué);2017年

5 吳文彬;基于DVFS的數(shù)據(jù)中心節(jié)能研究[D];哈爾濱工業(yè)大學(xué);2017年

6 范龍翔;基于服務(wù)器多睡眠調(diào)度的數(shù)據(jù)中心節(jié)能算法研究[D];哈爾濱工業(yè)大學(xué);2017年

7 紀景譯;基于虛擬化與動環(huán)資源協(xié)同調(diào)度的數(shù)據(jù)中心節(jié)能優(yōu)化研究[D];西安建筑科技大學(xué);2018年

8 臧韋菲;云數(shù)據(jù)中心網(wǎng)絡(luò)流量管理關(guān)鍵技術(shù)研究[D];戰(zhàn)略支援部隊信息工程大學(xué);2018年

9 程瑄;數(shù)據(jù)中心低PUE技術(shù)研究[D];華中師范大學(xué);2017年

10 陳凌劍;數(shù)據(jù)中心網(wǎng)絡(luò)中節(jié)能路由算法及無死鎖路由算法的研究[D];哈爾濱工業(yè)大學(xué);2018年

本文編號：2893567