云计算作为一种新技术,其在过去十年中经历了十分快速且显著的发展,现在已经关系到了每个人的生活。在云计算的研究过程中,研究人员们提出了许多有关云计算的新的概念,比如“多租户,”,这是网络中按需访问的一个可配置计算资源的共享池,它可以以最少的管理工作和更低的成本来快速提供和发布资源,这也使许多公司和组织将其传统的数据中心迁移到云中。此外,由于云计算具有诸多突出的特性,比如允许多用户间共享和外包资源的虚拟化,可扩展性,灵活性,敏捷性以及通过优化高效的计算以降低运营复杂性等,这同样也吸引了许多组织将其数据从传统数据中心转移到云中,依靠它来解决多个用户的访问需求,并且提高了资源利用率以适应快速变化的业务需求。然而,在传统数据中心迁移到云的过程中,我们会遇到各种安全问题,这些问题随着最新引入的云计算的概念也得到了升级,并且会导致确保云数据中心网络的安全变得更加困难。事实上,由于云本身的大规模性,直接访问云基础架构的移动设备的出现,以及个人和组织数据会实时添加到云等特性,它们都会进一步扩大云的漏洞,使服务可靠性,可用性和性能更容易受到敌手恶意活动的影响。此外,还存在一系列其他的问题,包括当前网络配置的静态性质、云操作与底层转发基础结构的紧密耦合,以及作为主要通信媒介的网络依赖关系等。而对于云的访问机制,当前也缺乏一种协调和弹性的防御机制。这些问题也进一步加剧了云计算会面临的安全风险,使云更容易被伪装为合法用户的敌手访问。为了解决这些安全问题,研究人员进行了广泛的研究工作,并且提出了许多不同的防御技术和解决方案,包括内置安全功能的新型硬件,高安全性的网络协议,防火墙,入侵检测系统(IDS)和入侵防御系统(IPS),以及昂贵的恶意软件检测工具,如防病毒程序和渗透测试工具。虽然多年来这些防御方法在复杂性和规模上都有显著的增长,但攻击者仍然能够有效地突破基于检测的安全防御措施,从而给出极具价值的且不对称的时间来执行目标系统的探查工作,以此来研究并确定云数据中心网络中的潜在漏洞。SDN的发明使得人们能够通过(?)转发设备的功能(即数据平面)与控制平面分离,以实现动态和灵活的数据中心网络。而为建立动态且主动的安全防御机制,研究人员提出了(?)云计算安全保护机制转变的新的创新方法。基于这种全新的SDN方法,研究人员提出一种新型博弈转换安全防御方法,我们称之为基于SDN的MTD。基于SDN的MTD机制对云计算数据中心网络可利用的方面进行了一些优化调整,以增加系统的不确定性、复杂性,并通过向攻击者提供完全混乱的系统环境来增加攻击者攻击的困难度,从而降低攻击成功的概率。事实上,基于SDN的MTD安全防御机制通过增加攻击者的工作负载和成本,可以使攻击者在试图攻击之前,甚至攻击期间降低攻击成功的概率,从而使防御者能够成功防御攻击。由于存在这些基于SDN的MTD机制的特征,以及有关在SDN支持的云数据中心中验证基于SDN的A/MTD防御机制的有效性所做的相关工作,这大大推动了研究基于SDN的MTD机制保护云数据中心网络有效性的需求。为了验证基于SDN的MTD机制在保护云数据中心网络安全方面的有效性,我们需要描述攻击者在攻击之前必须探索的系统的脆弱性。为此,我们设计了基于SDN的MTD系统框架,该框架使用了运行模型,例如,拥有网络功能需求的基础架构逻辑模型和CAG形式的逻辑安全模型,而该模型可能具有一定的系统资源脆弱性,并且可能正在遭受攻击。这些运行模型能够通过我们提出的框架来推断系统当前的状态。而通过由模型获得的反馈信息,云数据中心网络可以使用SDN的MTD机制来进行调整或配置,以此创建一个能够减少攻击可能性的混沌环境,增加攻击者攻击的不确定性和复杂性。为了证实这一点,我们使用本文设计的框架进行了三种不同的仿真实验,确定基于SDN的MTD机制能够适应/配置的可用方法,以降低攻击者的攻击概率并提高系统的弹性。在第一个实验中,我们只模拟了通过DRAS连接的有效路径的攻击。而在第二个和第三个实验中,仿真只沿着通过DRAS连接的有效路径进行攻击,以及直接在不通过DRAS连接的节点之间来尝试攻击。在第三次攻击实验中,我们还模拟了一个唯一的事件驱动攻击。在每次实验中,我们进行了 1000次单步攻击,攻击时间保持不变(Δt),即每次单步攻击之间的平均攻击到达间隔为100。因此,对于基于基本和动态SDN的MTD机制的1000步单步攻击,我们假设运行时会使用6个不同的时间间隔(25,50,100,200,300和静态)。而且在每个实验中,都包括了未发生适应的控制情景,以确认拟议的适应机制框架造成的变化。在第一个实验中,要成功阻止单步攻击,基于基本SDN的MTD机制必须在平均攻击到达间隔期间主动调整/刷新遭受攻击的节点或发起攻击的节点。在第二个实验中,为了阻止攻击,基于基本的SDN的MTD机制必须在平均攻击到达间隔期间主动适应/刷新路径上能够到被攻击节点的任意节点。而在第三个实验中,为了阻止攻击,基于动态SDN的MTD机制必须在平均攻击到达间隔期间主动和被动地适配/刷新路径上能够到被攻击节点的任意节点。第一次和第二次实验的仿真结果表明,当没有适应或者适应是静态的时,攻击成功的次数变为最大(在每一轮中进行1000次单步攻击)。但是,一旦激活了基于基本SDN的MTD机制,攻击成功的次数就会减少,也就是说,在适配/配置间隔为300的情况下,攻击成功次数的减少到128次;当间隔变为200时,攻击成功的次数减少到97次;当间隔变为100时,成功攻击次数减少到45次;当间隔变为25时,所有针对目标节点的攻击都会被消除。与第一次和第二次仿真一样,第三次实验的结果表明,当没有适应或者配置是静态时,在互联网节点中通过网络的任意节点到目标节点的完整攻击成功的次数变为最大(每轮1000次单步攻击),这与在Internet中破坏规划者/登录节点的预期概率(68%)是接近的。但是,与第一个和第二个实验不同的是,在第三个实验中一旦激活了基于动态SDN的MTD,攻击成功的次数就会大大减少,也就是说,在适配/配置间隔为300的情况下,攻击成功的次数减少到86次;当时间间隔变为200时,攻击成功的次数就会减少到64次;当时间间隔变为100时,攻击成功的次数就会减少到30次;当时间间隔变为25时,针对目标节点的攻击就会全部被消除。三次仿真的实验结果表明,当平均攻击到达间隔/速率变为100并且自适应间隔减小时,基于SDN的MTD机制可以成功降低攻击成功的概率。在仿真实验中,及时的适应/配置是定义和验证基于SDN的MTD机制有效性的基础。因此,实验结果表明,当适应是静态的或在没有适应的情况下,攻击成功的次数最多。这是在没有适应/更新的场景下单步攻击成功的概率最大的攻击次数。但是,一旦启用基于SDN的MTD机制,攻击成功的次数就会减少。换句话说,随着适配间隔减小,基于SDN的MTD机制在维护云数据中心网络安全性方面的有效性就会增加(例如,当适应间隔为25时,几乎所有针对目标节点的攻击都会被消除)。另外,仿真结果表明,即使没有完备的探测器,云数据中心网络的安全保护也能够成功部署。这些结果再次清楚地证明了基于SDN的MTD机制在保护云数据中心网络安全方面的有效性,并且评估和分析基于SDN的MTD机制框架是保护支持SDN的云数据中心网络安全的初始步骤。此外,我们计划继续模拟更复杂的系统(节点和互连),增加攻击者的复杂性,并且使用运行时模型来集成基于动态SDN的MTD系统的全部功能。
【学位单位】:北京交通大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP393.0
【文章目录】:致谢 ACKNOWLEDGMENTS
摘要
Abstract
List of Acronyms
CHAPTER ONE
1. Introduction
1.1. Rationale of the study
1.2. Methodology
1.3. Scope of the study
1.4. Purpose and contribution of our study
1.5. Organization of this Thesis
CHAPTER TWO
2. Background and Related works
2.1. Software Defined Network(SDN)
2.1.1. SDN Architecture
2.2. Moving Target Defense (MTD)
2.3. Software Defined Networking (SDN) -based MTD Mechanism
2.4. Related works
CHAPTER THREE
3. System Architecture and Framework
3.1. System Architecture Overview
3.2. The Basic SDN-based MTD mechanism Framework
3.3. Dynamic Resource Allocating System (DRAS)
3.4. Adaptation Engine
3.4.1. SDN-based MTD framework-driven adaptation
3.5. Security Analysis Engine
3.6. Conservative Attack Graph (CAG)
3.7. Adaptation/configuration
CHAPTER FOUR
4. Simulation-based experiments
4.1. Assumptions on attacker model
4.2. Assumptions on adaptation methods
4.3. Adapting methods and attacks
4.3.1. DRAS supported only attack simulation
4.3.2. DRAS supported only attack & Outside of DRAS supported attack simulation
CHAPTER FIVE
5. Simulation Results and Discussion
5.1. DRAS supported only attack simulation Results
5.2. DRAS supported only attack & Outside of DRAS supported attack simulation Results
5.3. Discussion
CHAPTER SIX
6. Conclusion and Future Works
参考文献 References
作者简历及攻读硕士 /博士学位期间取得的研究成果Author Profile and Research Achievements Obtained during the Study for A Master’s/Doctoral Degree
学位论文数据集 Dataset for the Master's Thesis
【相似文献】
相关期刊论文 前10条
1 张凌;李巧玲;文锦军;杨新章;;面向用户的数据中心发展模式探讨[J];广东通信技术;2018年11期
2 本刊讯;;2018数据中心年度峰会盛大开幕[J];电信工程技术与标准化;2018年12期
3 赵吉志;;浅谈数据中心绿色分级评估方法[J];科技浪潮;2012年05期
4 ;云操作系统 云数据中心神经系统[J];科技浪潮;2011年S1期
5 ;云操作系统 云数据中心神经系统[J];科技浪潮;2011年03期
6 ;浪潮发布云海集装箱数据中心[J];科技浪潮;2011年03期
7 ;浪潮存储获“用户满意数据中心解决方案”大奖[J];科技浪潮;2009年05期
8 赵吉志;;数据中心效能评估指标简介[J];科技浪潮;2013年02期
9 ;浪潮推出云海集装箱数据中心[J];科技浪潮;2011年02期
10 ;浪潮“行业云”和云数据中心演示引人注目[J];科技浪潮;2011年02期
相关博士学位论文 前10条
1 李翔;云数据中心的温度建模与节能调度方法研究[D];浙江大学;2017年
2 顾崇林;云数据中心绿色调度建模与算法设计[D];哈尔滨工业大学;2018年
3 李德顺;可扩展的数据中心网络结构研究[D];大连理工大学;2017年
4 李耀芳;云数据中心光交换调度与路由算法研究[D];天津大学;2017年
5 王伟;面向边缘计算的光网络业务提供技术研究[D];北京邮电大学;2018年
6 陆元伟;数据中心内硬件资源高效的低延迟传输层研究[D];中国科学技术大学;2018年
7 岳猛;面向云计算数据中心的协同式防御DoS攻击关键技术研究[D];天津大学;2017年
8 郑嘉琦;数据中心网络数据平面更新策略研究[D];南京大学;2017年
9 邓厚;云计算数据中心中的虚机部署优化研究[D];中国科学技术大学;2018年
10 于洋;新型数据中心组网架构及关键技术研究[D];北京交通大学;2018年
相关硕士学位论文 前10条
1 张萌;空间几何结构对冷通道封闭型数据中心的热环境影响研究[D];南京师范大学;2018年
2 杨力芝;送风结构对地板下送风数据中心热环境的影响研究[D];南京师范大学;2018年
3 王莉莉;移动通信数据中心建筑设计策略研究[D];哈尔滨工业大学;2017年
4 乔李宁;成本与碳排放优化的分布式云数据中心能量管理研究[D];哈尔滨工业大学;2017年
5 吴文彬;基于DVFS的数据中心节能研究[D];哈尔滨工业大学;2017年
6 范龙翔;基于服务器多睡眠调度的数据中心节能算法研究[D];哈尔滨工业大学;2017年
7 纪景译;基于虚拟化与动环资源协同调度的数据中心节能优化研究[D];西安建筑科技大学;2018年
8 臧韦菲;云数据中心网络流量管理关键技术研究[D];战略支援部队信息工程大学;2018年
9 程瑄;数据中心低PUE技术研究[D];华中师范大学;2017年
10 陈凌剑;数据中心网络中节能路由算法及无死锁路由算法的研究[D];哈尔滨工业大学;2018年
本文编号:
2893567
