云环境下DDoS攻防体系及其关键技术研究

云计算论文 DDoS攻击论文 DDoS攻击防御论文
论文详情
近年来,云计算正逐渐成为IT界主流的计算模式。因为其按需自服务、泛在接入、资源池化、弹性服务和可度量服务的特性,云计算在产业界和学术界备受关注。云计算提供三种服务模型:基础设施即服务、平台即服务和软件即服务。基于此面向服务的体系结构,云服务用户可以灵活地租用云服务满足自身应用需求。云计算的按需资源分配和“即用即付”计费模型,进一步降低了云服务用户的软硬件投入和维护成本。尽管云计算带来了以上诸多便利,安全因素仍然是当前企业和组织将其应用迁移至云平台主要的障碍。在云平台面临的诸多安全漏洞中,DDoS攻击是影响云服务可用性的主要安全威胁。一方面,传统网络中的洪泛式DDoS攻击(如TCP SYN Flood攻击),低速率DDoS攻击(如Shrew攻击)在云平台中依然存在。另一方面,云计算模式引入了诸多云平台特有的DDoS攻击,比如EDoS攻击,带宽饥饿DDoS攻击等。而随着云平台广泛采用软件定义网络作为其云数据中心的基础网络架构,云环境下的DDoS攻击平面进一步增加。因此,研究云环境下的DDoS攻击防御势在必行。针对云环境下现有的DDoS攻击,如EDoS攻击、带宽饥饿DDoS攻击和控制层洪泛式DDoS攻击,研究人员已经提出了各种防御手段。然而,和云平台的攻击平面相比,这些方法还远远不够。目前,该主题相关的研究工作遇到了诸多挑战,主要包括以下几个方面:1)缺乏一个全局的DDoS攻击防御框架,该框架阐述云环境下各层面潜在的DDoS攻击漏洞,并指明如何有效地防御、以及在何处防御这些DDoS攻击;2)作为防御DDoS攻击流量的第一道防线,如何在云服务访问接入点设计云防火墙框架;3)如何防御云数据中心网络数据层潜在的洪泛式以及低速率DDoS攻击;4)如何通过数学模型评估云防火墙的性能和有效性,以及如何定量分析DDoS攻击对云平台各项性能指标的影响?针对以上挑战,本文对云环境下的DDoS攻防及其关键技术开展了相关的研究工作。具体而言,本文的工作主要包括以下几个方面:1)为促进云环境下的DDoS攻防,我们从全局的角度提出了一个云环境下的DDoS攻防体系。该DDoS攻防体系从以下四个层面展开:正常用户、攻击者层面、云服务访问接入点层面、云数据中心网络层面以及云数据中心服务器层面。具体而言,正常用户、攻击者层面是指正常用户、攻击者分别向云数据中心发生服务请求、攻击流量。云服务访问接入点层面是指正常用户的服务请求、攻击者的攻击流量通过互联网到达云服务访问接入点。在该层,作为防御DDoS攻击流量的第一道防线,应布置入侵防御系统和云防火墙。云数据中心网络层面则是指正常用户的服务请求、攻击者的攻击流量经过云服务访问接入点、到达云数据中心网络。在该层,应防御网络层各种DDoS攻击、软件定义网络架构特有的DDoS攻击以及带宽饥饿DDoS攻击。最后,云数据中心服务器层指正常用户的服务请求、攻击者的攻击流量最终到达应用服务器。在该层,应防御应用层DDoS攻击以及EDoS攻击。2)为实现在云服务访问点部署防火墙,作为防御DDoS攻击流量的第一道防线,提出了一种非集中式的云防火墙框架。云服务用户租用该防火墙保护其托管在云数据中心的应用。具体而言,托管其应用的服务器被分为多个集群,云服务提供商根据动态资源分配为每个集群设置一个独立的防火墙,所有的防火墙并行监视网络流量。在该框架中,通过动态资源分配实现资源配置成本最优化,同时满足用户提出的QoS约束。和现有的集中式防火墙框架相比,该框架可以解决单点失效、大规模规则集、不能满足QoS约束等问题。3)为防御云数据中心网络潜在的DDoS攻击,揭露了两种数据中心网络数据层DDoS攻击漏洞,基于这两种漏洞,可以实现数据层洪泛式DDoS攻击和数据层低速率DDoS攻击。具体而言,数据层洪泛式DDoS攻击通过产生大规模流表规则到达攻击目的,低速率DDoS攻击则通过在流表中产生长期存在的流表规则到达攻击目的。为描述数据层洪泛式DDoS攻击特征,将其和控制层洪泛式DDoS攻击对比。然后基于现有的清洗控制层高负载流量的工作提出该攻击的防御手段。数据层低速率DDoS攻击可以躲避现有防御手段的检测,因为其几乎从不向控制层发送高负载流量。因此,我们提出了一种新型的防御手段,可以检测流表中长期存在的流表规则。4)为通过数学模型评估云防火墙的性能和有效性,我们提出了新型的排队论模型:M/Geo/1和M/Geo/m。该模型远比现有的排队模型M/M/1复杂,为得出包经过防火墙的平均响应时间,我们首次提出结合使用Z变换和嵌入式马尔科夫链技术。同时,提出使用随机过程定量分析DDoS攻击对云平台各项性能指标的影响。结果表明,数据层洪泛式DDoS攻击只需很少的攻击资源即可大规模降低系统响应时间,而数据层低速率DDoS攻击则对系统产生长期的影响。
摘要第5-7页
Abduct第7-9页
第一章 绪论第16-31页
    1.1 研究背景与意义第16-24页
        1.1.1 云计算概述第17-20页
        1.1.2 软件定义网络第20-22页
        1.1.3 DDoS攻击第22-24页
    1.2 研究现状与问题分析第24-28页
        1.2.1 研究现状第24-26页
        1.2.2 问题分析第26-28页
    1.3 主要研究内容与创新第28-29页
    1.4 论文组织结构第29-31页
第二章 云环境下DDoS攻防体系及关键技术分析第31-47页
    2.1 引言第31-33页
    2.2 云环境下DDoS攻防体系第33-37页
        2.2.1 云环境下DDoS攻击漏洞第33-35页
        2.2.2 云环境下DDoS防御体系第35-37页
    2.3 云环境下DDoS攻防关键技术与问题分析第37-45页
        2.3.1 云环境下DDoS攻防关键技术分析第37-43页
        2.3.2 云环境下DDoS攻防面临的问题分析第43-45页
    2.4 本章小结第45-47页
第三章 云环境下防火墙框架设计第47-68页
    3.1 引言第47-48页
    3.2 云环境下DDoS防御防火墙框架需求分析第48-50页
    3.3 云环境下防火墙资源配置成本优化第50-53页
        3.3.1 资源配置成本形式化第51-52页
        3.3.2 防火墙服务速率建模第52-53页
    3.4 云环境下防火墙系统稳态性能分析第53-59页
        3.4.1 排队论基础第53-55页
        3.4.2 嵌入式马尔科夫链第55-57页
        3.4.3 M/Geo/1队列系统模型第57-59页
        3.4.4 M/Geo/m队列系统模型第59页
    3.5 实验评估第59-67页
        3.5.1 实验配置第60-61页
        3.5.2 分析模型验证第61-62页
        3.5.3 云防火墙框架个性化参数设置第62-63页
        3.5.4 资源配置成本和性能的权衡关系验证第63-64页
        3.5.5 最优化资源配置方案第64-66页
        3.5.6 相关工作与对比分析第66-67页
    3.6 本章小结第67-68页
第四章 云环境下数据层洪泛式DDoS攻击防御第68-89页
    4.1 引言第68-69页
    4.2 软件定义网络基础知识第69-72页
        4.2.1 软件定义网络数据层基本元素第69-71页
        4.2.2 软件定义网络流处理逻辑第71-72页
        4.2.3 软件定义网络数据层洪泛式DDoS攻击漏洞第72页
    4.3 流表规则洪泛式DDoS攻击问题描述第72-74页
    4.4 流表规则洪泛式DDoS攻击下流表行为分析第74-80页
        4.4.1 流表稳态大小第75-76页
        4.4.2 包缺失率第76-78页
        4.4.3 包经过流表平均匹配时间第78-80页
        4.4.4 最小化攻击速率第80页
    4.5 流表规则洪泛式DDoS攻击防御第80-83页
        4.5.1 流表规则洪泛式DDoS攻击主动防御第81-82页
        4.5.2 流表规则洪泛式DDoS攻击被动防御第82-83页
    4.6 实验评估第83-88页
        4.6.1 实验设置第83-84页
        4.6.2 数据包缺失率和匹配长度第84-85页
        4.6.3 平均响应时间第85-87页
        4.6.4 相关工作与对比分析第87-88页
    4.7 本章小结第88-89页
第五章 云环境下数据层隐蔽式DDoS攻击防御第89-104页
    5.1 引言第89-90页
    5.2 软件定义网络数据层隐蔽式DDoS攻击漏洞第90-93页
        5.2.1 隐蔽式DDoS攻击特征第90-91页
        5.2.2 攻击流组织第91-92页
        5.2.3 流表各项性能指标分析第92-93页
    5.3 云环境下数据层隐蔽式DDoS攻击防御第93-97页
        5.3.1 隐蔽式DDoS攻击检测基础第94-95页
        5.3.2 隐蔽式DDoS攻击检测算法第95-97页
    5.4 实验评估第97-103页
        5.4.1 实验设置第97页
        5.4.2 隐蔽式DDoS攻击效果第97-100页
        5.4.3 隐蔽式DDoS攻击检测第100-101页
        5.4.4 相关工作与对比分析第101-103页
    5.5 本章小结第103-104页
第六章 总结与展望第104-107页
    6.1 工作总结第104-105页
    6.2 研究展望第105-107页
参考文献第107-121页
致谢第121-123页
附录1:攻读博士期间发表及录用文章列表第123-124页
附录2:攻读博士期间获奖情况列表第124-125页
论文购买
论文编号ABS3937965,这篇论文共125页
会员购买按0.30元/页下载,共需支付37.5
不是会员,注册会员
会员更优惠充值送钱
直接购买按0.5元/页下载,共需要支付62.5
只需这篇论文,无需注册!
直接网上支付,方便快捷!
相关论文

点击收藏 | 在线购卡 | 站内搜索 | 网站地图
版权所有 艾博士论文 Copyright(C) All Rights Reserved
版权申明:本文摘要目录由会员***投稿,艾博士论文编辑,如作者需要删除论文目录请通过QQ告知我们,承诺24小时内删除。
联系方式: QQ:277865656