云环境下DoS攻防理论与技术研究
本文选题:云计算 + 拒绝服务攻击 ; 参考:《西安电子科技大学》2014年博士论文
【摘要】:安全问题是云计算面临的最严峻的挑战,其中服务可用性是其最基本的要求之一。拒绝服务(Do S)攻击是阻止或拒绝合法使用者存取网络服务器,从而降低系统可用性的一种破坏性攻击方式。在云计算环境下,拒绝服务攻击形式表现出前所未有的多样化和复杂化。针对云计算平台的拒绝服务攻击可能来自云服务器集群外部,也有可能来自内部。较为常见的形式是攻击者利用其所控制的僵尸网络对受害服务器或集群发动分布式拒绝服务攻击,这种攻击可以成倍地提高拒绝服务攻击的威力。甚至在云虚拟服务器之间、虚拟服务器与云用户终端设备之间、虚拟服务器与网络设备或者数据采集设备之间,如果通信或者认证协议设计不当,也极有可能被攻击者加以利用从而发动拒绝服务攻击。因此,在云环境下,研究拒绝服务攻击与防御的关键理论与技术对保障云用户和云服务提供商的安全性具有重要的理论和实践意义。本文的研究工作主要包括以下几个方面:(1)提出一种针对云服务器集群外部分布式拒绝服务攻击与防御的动态博弈论模型。该模型将攻击者和防御者看作是互相博弈的两方,其攻防过程是一个不完全信息的非合作重复博弈。证明在该重复博弈模型中,防御者和攻击者子博弈精炼纳什均衡存在,并据此给出双方的动态最佳策略算法。一方面,防御者的最佳策略算法使得其能够根据当前的网络负载和连接的检测情况动态地调整防火墙策略,从而有效降低入侵检测系统的误报率,进而提高正常用户网络服务的质量;另一方面,攻击者的最佳策略算法能够显著降低僵尸网络中僵尸主机的暴露率,做到以最小代价来进行有效的攻击。此外,通过本模型可以对入侵检测系统的抵御效果进行实时的定量评估,从而分析当前服务器集群的安全态势,为升级和改进云平台的安全防御能力提供依据。(2)提出了一种针对云服务器集群内部的、新的分布式拒绝服务攻击方法,云滴冻结攻击。实验表明,该攻击不仅能够引起严重的云服务器群集内部网络的拥塞,而且能够消耗大量物理服务器的CPU和内存资源。这使得本来能够分配给合法虚拟机的资源被非法耗尽,从而达到拒绝服务攻击的目的。通过对云滴冻结攻击原理的分析,发现如果在云服务器集群内部分布式拒绝服务攻击(如云滴冻结攻击)发生后,进行了不当的虚拟机迁移操作,则可能不仅不能缓解云滴冻结攻击,反而将进一步恶化攻击效果,使得云服务的可用性变得更加脆弱。本文的实验表明,原本为了保证服务可用性而进行的虚拟机迁移操作存在着加剧攻击效果的风险。另外,本文根据云滴冻结攻击的原理,给出了一些防御此类攻击的思路和方法。(3)提出了一种抗密钥耗尽型拒绝服务攻击的组播数据源签名优化模型。在时间要求严格的多播通信场景(如云计算和物联网)中,当系统要求的密钥消耗(或更新)速率大于生成速率会导致密钥耗尽型拒绝服务攻击。本模型基于博弈论和香农信息论的相关知识构建,用来描述在时间要求严格的多播通信场景中安全性与效率之间的关系,从而最大限度地保证系统的可用性。通过对该模型的详细分析,证明了纳时均衡在模型中的存在性,并据此提出了数字签名密钥更新的优化策略。该优化策略是在保证通信消息信息论安全地前提下密钥可被重用次数的最小上界。采用该优化策略进行组播通信能够有效地降低了组播通信过程中密钥的更新和生成频率,这使得对密钥耗尽型拒绝服务攻击的抵御能力得到了显著地提高。利用该模型可以对基于RSA的签名算法(如IEC62351标准和PKCS#1 v2.1规范)、基于MAC的签名算法(如Incomplete-key-set算法和TESLA算法),以及TV-HORS算法的密钥更新策略进行效率优化。
[Abstract]:The security problem is one of the most basic requirements for cloud computing . The denial of service ( Do S ) attack is one of the most basic requirements of cloud computing . The denial of service ( Do S ) attack is one of the most basic requirements to prevent or deny legitimate users access to the network server , thus reducing the system availability . This model is based on game theory and Shannon information theory . This model is based on game theory and Shannon information theory to describe the relationship between security and efficiency in multicast communication scenarios .
【学位授予单位】:西安电子科技大学
【学位级别】:博士
【学位授予年份】:2014
【分类号】:TP393.08
【相似文献】
相关期刊论文 前10条
1 刘键强,王韬;拒绝服务攻击及其应对策略[J];电脑开发与应用;2002年12期
2 蔡淑珍,陈蕾,陆阳;一种基于多点传送树的拒绝服务攻击的安全方案[J];计算机工程与应用;2003年08期
3 木星;傲盾防拒绝服务系统[J];个人电脑;2005年02期
4 朱卫扬;;浅谈拒绝服务攻击与防范[J];扬州教育学院学报;2006年03期
5 张杰;;拒绝服务攻击(上)[J];互联网天地;2006年05期
6 陆伟宙;余顺争;;脉冲式拒绝服务攻击及其防御[J];电信科学;2007年09期
7 孟博;黄伟;王德军;邵飞;;协议抗拒绝服务攻击性自动化证明[J];通信学报;2012年03期
8 周雁;拒绝服务攻击的分析与防范[J];电信技术;2000年06期
9 胡凤云,于春洪;浅谈网络的拒绝服务攻击与其防范[J];教育探索;2002年12期
10 李俊;拒绝服务攻击的分析和研究[J];电脑与信息技术;2002年06期
相关会议论文 前9条
1 ;有效抵抗拒绝服务攻击的隐身屏障-“黑洞”[A];第十九次全国计算机安全学术交流会论文集[C];2004年
2 沈卫超;宋成久;;关于对抗拒绝服务攻击的几个方法[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年
3 解万永;;IPv6过渡期拒绝服务攻击防护[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
4 徐八林;赵元茂;胡素玲;;拒绝服务攻击(DoS)的分析[A];网络安全技术的开发应用学术会议论文集[C];2002年
5 代红伟;魏更宇;黄玮;李忠献;杨义先;;VoIP网络拒绝服务攻击的分析与研究[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(下册)[C];2010年
6 郑康锋;杨义先;钮心忻;邓伟平;王秀娟;;针对VoIP系统的拒绝服务攻击研究[A];2005通信理论与技术新进展——第十届全国青年通信学术会议论文集[C];2005年
7 孙向阳;邓胜兰;;一个基于NS2的拒绝服务攻击与防御模拟系统[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
8 徐俊;杨周生;陶洪强;黄纬;吴燎原;张仁斌;;一种简单高效的包标记方案[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
9 梁兴开;赵泽茂;黄亮;;Web应用中的ReDoS检测方法研究[A];浙江省电子学会2011学术年会论文集[C];2011年
相关重要报纸文章 前10条
1 余兰 阿环 枫叶 刘雪辉;挨骂时应该拒绝服务吗[N];中国改革报;2007年
2 杨蓓蓓;乘客携危险品,沪公交将“拒绝服务”[N];新华每日电讯;2010年
3 公安部情报信息中心 谢华;美国新型金融犯罪频发 如何应对“拒绝服务攻击”[N];人民公安报;2010年
4 中国人寿 王一飞邋北京工商大学 吕轶凡;通盘考虑解决泛拒绝服务攻击[N];中国计算机报;2007年
5 ;对拒绝服务攻击说不![N];中国电脑教育报;2002年
6 启明星辰 吴凡;修正配置错误 阻挡拒绝服务攻击[N];中国计算机报;2009年
7 世导科技提供;当前网络安全弱点小议[N];中国计算机报;2002年
8 一泓;填补网络安全市场空白[N];金融时报;2002年
9 黄发文 徐济仁 陈家松;阻断针对网络的拒绝服务攻击[N];网络世界;2001年
10 ;专心、专注、专业[N];中国计算机报;2007年
相关博士学位论文 前6条
1 王一川;云环境下DoS攻防理论与技术研究[D];西安电子科技大学;2014年
2 董阔;慢速拒绝服务攻击防御方法研究[D];中国科学技术大学;2008年
3 李德全;拒绝服务攻击对策及网络追踪的研究[D];中国科学院研究生院(软件研究所);2004年
4 阎冬;IP网络溯源方法及协作模式相关技术研究[D];北京邮电大学;2012年
5 汤澹;基于TCP流量分布异常的慢速拒绝服务攻击检测方法[D];华中科技大学;2014年
6 金光;基于数据包标记的拒绝服务攻击防御技术研究[D];浙江大学;2008年
相关硕士学位论文 前10条
1 谢珏;分布式拒绝服务攻击模拟系统设计与实现[D];电子科技大学;2014年
2 滕杰;反弹式拒绝服务攻击的研究与对策[D];南京信息工程大学;2006年
3 郝双;对拒绝服务攻击的检测方法研究[D];清华大学;2005年
4 李建国;拒绝服务攻击及网络追踪的研究[D];国防科学技术大学;2006年
5 王海雷;拒绝服务攻击的防御与网络追踪技术研究[D];合肥工业大学;2009年
6 孙培业;交互式拒绝服务攻击和回溯的设计与实现[D];北京交通大学;2008年
7 曾卫;低速率拒绝服务攻击的一种检测方法[D];华中科技大学;2011年
8 张长旺;抗拒绝服务攻击的主动队列管理算法研究[D];国防科学技术大学;2009年
9 刘畅;低速拒绝服务攻击技术研究[D];上海交通大学;2009年
10 殷勤;防御拒绝服务攻击的网络安全机制研究[D];上海交通大学;2006年
,本文编号:1991022
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1991022.html
