• 主题
高级搜索  >
历史搜索 清空历史
首页> 中文学位 >通过基于软件定义的网络(SDN)的移动目标防御(MTD)机制保护云数据中心网络
【6h】

通过基于软件定义的网络(SDN)的移动目标防御(MTD)机制保护云数据中心网络

代理获取
页面导航
  • 摘要
  • 著录项
  • 相似文献
  • 相关主题

摘要

云计算作为一种新技术,其在过去十年中经历了十分快速且显著的发展,现在已经关系到了每个人的生活。在云计算的研究过程中,研究人员们提出了许多有关云计算的新的概念,比如“多租户”,这是网络中按需访问的一个可配置计算资源的共享池,它可以以最少的管理工作和更低的成本来快速提供和发布资源,这也使许多公司和组织将其传统的数据中心迁移到云中。此外,由于云计算具有诸多突出的特性,比如允许多用户间共享和外包资源的虚拟化,可扩展性,灵活性,敏捷性以及通过优化高效的计算以降低运营复杂性等,这同样也吸引了许多组织将其数据从传统数据中心转移到云中,依靠它来解决多个用户的访问需求,并且提高了资源利用率以适应快速变化的业务需求。
  然而,在传统数据中心迁移到云的过程中,会遇到各种安全问题,这些问题随着最新引入的云计算的概念也得到了升级,并且会导致确保云数据中心网络的安全变得更加困难。事实上,由于云本身的大规模性,直接访问云基础架构的移动设备的出现,以及个人和组织数据会实时添加到云等特性,它们都会进一步扩大云的漏洞,使服务可靠性,可用性和性能更容易受到敌手恶意活动的影响。
  此外,还存在一系列其他的问题,包括当前网络配置的静态性质、云操作与底层转发基础结构的紧密耦合,以及作为主要通信媒介的网络依赖关系等。而对于云的访问机制,当前也缺乏一种协调和弹性的防御机制。这些问题也进一步加剧了云计算会面临的安全风险,使云更容易被伪装为合法用户的敌手访问。
  为了解决这些安全问题,研究人员进行了广泛的研究工作,并且提出了许多不同的防御技术和解决方案,包括内置安全功能的新型硬件,高安全性的网络协议,防火墙,入侵检测系统(IDS)和入侵防御系统(IPS),以及昂贵的恶意软件检测工具,如防病毒程序和渗透测试工具。虽然多年来这些防御方法在复杂性和规模上都有显著的增长,但攻击者仍然能够有效地突破基于检测的安全防御措施,从而给出极具价值的且不对称的时间来执行目标系统的探查工作,以此来研究并确定云数据中心网络中的潜在漏洞。
  SDN的发明使得人们能够通过将转发设备的功能(即数据平面)与控制平面分离,以实现动态和灵活的数据中心网络。而为建立动态且主动的安全防御机制,研究人员提出了将云计算安全保护机制转变的新的创新方法。基于这种全新的SDN方法,研究人员提出一种新型博弈转换安全防御方法,称之为基于SDN的MTD。基于SDN的MTD机制对云计算数据中心网络可利用的方面进行了一些优化调整,以增加系统的不确定性、复杂性,并通过向攻击者提供完全混乱的系统环境来增加攻击者攻击的困难度,从而降低攻击成功的概率。事实上,基于SDN的MTD安全防御机制通过增加攻击者的工作负载和成本,可以使攻击者在试图攻击之前,甚至攻击期间降低攻击成功的概率,从而使防御者能够成功防御攻击。
  由于存在这些基于SDN的MTD机制的特征,以及有关在SDN支持的云数据中心中验证基于SDN的MTD防御机制的有效性所做的相关工作,这大大推动了研究基于SDN的TD机制保护云数据中心网络有效性的需求。
  为了验证基于SDN的MTD机制在保护云数据中心网络安全方面的有效性,需要描述攻击者在攻击之前必须探索的系统的脆弱性。为此,设计了基于SDN的MTD系统框架,该框架使用了运行模型,例如,拥有网络功能需求的基础架构逻辑模型和CAG形式的逻辑安全模型,而该模型可能具有一定的系统资源脆弱性,并且可能正在遭受攻击。这些运行模型能够通过提出的框架来推断系统当前的状态。而通过由模型获得的反馈信息,云数据中心网络可以使用SDN的MTD机制来进行调整或配置,以此创建一个能够减少攻击可能性的混沌环境,增加攻击者攻击的不确定性和复杂性。
  为了证实这一点,使用本文设计的框架进行了三种不同的仿真实验,确定基于SDN的MTD机制能够适应/配置的可用方法,以降低攻击者的攻击概率并提高系统的弹性。在第一个实验中,只模拟了通过DRAS连接的有效路径的攻击。而在第二个和第三个实验中,仿真只沿着通过DRAS连接的有效路径进行攻击,以及直接在不通过DRAS连接的节点之间来尝试攻击。在第三次攻击实验中,还模拟了一个唯一的事件驱动攻击。
  在每次实验中,进行了1000次单步攻击,攻击时间保持不变(△t),即每次单步攻击之间的平均攻击到达间隔为100。因此,对于基于基本和动态SDN的MTD机制的1000步单步攻击,假设运行时会使用6个不同的时间间隔(25,50,100,200,300和静态)。而且在每个实验中,都包括了未发生适应的控制情景,以确认拟议的适应机制框架造成的变化。在第一个实验中,要成功阻止单步攻击,基于基本SDN的MTD机制必须在平均攻击到达间隔期间主动调整/刷新遭受攻击的节点或发起攻击的节点。在第二个实验中,为了阻止攻击,基于基本的SDN的MTD机制必须在平均攻击到达间隔期间主动适应/刷新路径上能够到被攻击节点的任意节点。而在第三个实验中,为了阻止攻击,基于动态SDN的MTD机制必须在平均攻击到达间隔期间主动和被动地适配/刷新路径上能够到被攻击节点的任意节点。
  第一次和第二次实验的仿真结果表明,当没有适应或者适应是静态的时,攻击成功的次数变为最大(在每一轮中进行1000次单步攻击)。但是,一旦激活了基于基本SDN的MTD机制,攻击成功的次数就会减少,也就是说,在适配/配置间隔为300的情况下,攻击成功次数的减少到128次;当间隔变为200时,攻击成功的次数减少到97次;当间隔变为100时,成功攻击次数减少到45次;当间隔变为25时,所有针对目标节点的攻击都会被消除。
  与第一次和第二次仿真一样,第三次实验的结果表明,当没有适应或者配置是静态时,在互联网节点中通过网络的任意节点到目标节点的完整攻击成功的次数变为最大(每轮1000次单步攻击),这与在Internet中破坏规划者/登录节点的预期概率(68%)是接近的。但是,与第一个和第二个实验不同的是,在第三个实验中一旦激活了基于动态SDN的MTD,攻击成功的次数就会大大减少,也就是说,在适配/配置间隔为300的情况下,攻击成功的次数减少到86次;当时间间隔变为200时,攻击成功的次数就会减少到64次;当时间间隔变为100时,攻击成功的次数就会减少到30次;当时间间隔变为25时,针对目标节点的攻击就会全部被消除。
  三次仿真的实验结果表明,当平均攻击到达间隔/速率变为100并且自适应间隔减小时,基于SDN的MTD机制可以成功降低攻击成功的概率。在仿真实验中,及时的适应/配置是定义和验证基于SDN的MTD机制有效性的基础。因此,实验结果表明,当适应是静态的或在没有适应的情况下,攻击成功的次数最多。这是在没有适应/更新的场景下单步攻击成功的概率最大的攻击次数。但是,一旦启用基于SDN的MTD机制,攻击成功的次数就会减少。换句话说,随着适配间隔减小,基于SDN的MTD机制在维护云数据中心网络安全性方面的有效性就会增加(例如,当适应间隔为25时,几乎所有针对目标节点的攻击都会被消除)。
  另外,仿真结果表明,即使没有完备的探测器,云数据中心网络的安全保护也能够成功部署。这些结果再次清楚地证明了基于SDN的MTD机制在保护云数据中心网络安全方面的有效性,并且评估和分析基于SDN的MTD机制框架是保护支持SDN的云数据中心网络安全的初始步骤。此外,计划继续模拟更复杂的系统(节点和互连),增加攻击者的复杂性,并且使用运行时模型来集成基于动态SDN的MTD系统的全部功能。

著录项

相似文献

  • 中文文献
  • 外文文献
  • 专利
代理获取

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有

  • 客服微信

  • 服务号