拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

基于GSPN的拟态DNS构造策略研究

网络空间拟态防御系统（Cyberspace Mimic Defense System,CMDS）采用动态异构冗余架构以及多模表决机制将不确定威胁转化为概率可控的事件,从而实现了自主可控、安全可信。为进一步研究拟态构造策略在不同干扰场景下的稳态可用性和感知安全性,本文采用广义随机Petri网（Generalized Stochastic Petri Net,GSPN）建模,分析了不同干扰场景下采用不同拟态构造策略对系统性能和构造成本的影响,实验结果表明拟态防御系统可以根据反馈控制信息对不同干扰场景进行策略替换,从而实现系统的稳定可用性和感知安全性。同时通过反馈控制能有效控制不同服务器解析时延差值,对实际拟态DNS系统部署有重要指导意义。     

面向云应用的拟态云服务架构

针对单执行体的云应用服务缺乏异构性和动态性,难以应对未知漏洞和后门的安全威胁问题,提出一种拟态云服务架构,把云平台向用户提供的应用服务节点构造成基于拟态防御技术的服务包,使应用服务具有拟态构造带来的内生安全特性和鲁棒性,同时讨论了策略调度和裁决机制等两项关键的拟态云服务运行机制。经实验分析表明,拟态云服务具有较好的安全性,可以通过减小执行体的性能差异降低其响应时延。     

云计算环境安全综述

伴随云计算技术的飞速发展,其所面临的安全问题日益凸显,在工业界和学术界引起了广泛的关注.传统的云基础架构中存在较高安全风险,攻击者对虚拟机的非法入侵破坏了云服务或资源的可用性,不可信的云存储环境增大了用户共享、检索私有数据的难度,各类外包计算和云应用需求带来了隐私泄露的风险.该文从云计算环境下安全与隐私保护技术的角度出发,通过介绍云虚拟化安全、云数据安全以及云应用安全的相关研究进展,分析并对比典型方案的特点、适用范围及其在安全防御和隐私保护方面的不同效用,讨论已有工作的局限性,进而指出未来发展趋势和后续研究方向.     

动态异构冗余架构下Web实践及安全性分析

当前网络环境下安全事件频发,攻防双方处于极度失衡状态,对其进行解决刻不容缓.针对目前安全领域内缺乏有效的防御手段的现状,对拟态安全防御技术进行分析、探索、实践.在对现有防御技术探讨的基础上,通过对拟态安全防御中核心思想、架构设计的引入与分析,构建一种动态异构冗余架构下的典型Web服务系统,并在实验中证实该系统的安全稳定性.进一步地,从攻击行为模型和安全防护概率角度出发,对系统的安全性进行分析.仿真结果表明,系统在动态异构冗余架构下能够增强防护能力,这对现网环境下网络安全改造方案具有指导意义,为下一步构造安全稳固的系统提供了理论支撑.     

拟态构造的Web服务器异构性量化方法

拟态构造的Web服务器是一种基于拟态防御原理的新型Web安全防御系统,其利用异构性、动态性、冗余性等特性阻断或扰乱网络攻击,以实现系统安全风险可控.在分析拟态防御技术原理的基础上,论证异构性如何提高拟态构造的Web服务器的安全性,并指出对异构性进行量化的重要性.在借鉴生物多样性的量化方法基础上,将拟态构造的Web服务器的异构性定义为其执行体集的复杂性与差异性,提出了一种适用于量化异构性的量化方法,通过该方法分析了影响拟态构造的Web服务器异构性的因素.在理论上为拟态防御量化评估提供了一种新方法,工程实践上为选择冗余度、构件和执行体提供了指导.实验结果表明,该方法比香浓维纳指数和辛普森指数更适合于量化拟态构造的Web服务器的异构性.     

基于模糊动态阈值机制的能效虚拟机合并决策方法

动态虚拟机合并是云数据中心改善功耗和资源利用率的有效方法,但负载变化使数据中心较难维持服务等级协议SLA和最优能效.针对该问题,提出一种模糊动态阈值方法对虚拟机合并过程进行决策,在动态负载环境下实现最小化的虚拟机迁移量.该算法利用模糊推理系统动态调整主机资源利用阈值,使得超载主机上的虚拟机迁移大幅降低,并可以满足服务等...     

拟态安全信息系统测评方法及技术研究

信息系统在社会中发挥着重要的作用,面临的安全问题日益严重。传统信息安全防御技术主要基于已知攻击方法或漏洞进行防御,无法有效应对未知攻击的威胁,难以全面防护Web系统的安全,基于动态异构冗余架构为拟态安全信息系统提供了本质安全和内生安全。研究了拟态信息系统的架构特征,给出了拟态安全信息系统的测评方法,并对拟态属性的验证方法和技术进行了分析。     

基于混合群智能的节能虚拟机整合方法

数据中心的虚拟机（virtual machine,VM）整合技术是当今云计算领域的一个研究热点.要在保证服务质量（QoS）的前提下尽可能地降低云数据中心的服务器能耗,本质上是一个多目标优化的NP难问题.为了更好地解决该问题,面向异构服务器云环境提出了一种基于差分进化与粒子群优化的混合群智能节能虚拟机整合方法（HSI-VMC）.该方法包括基于峰值效能比的静态阈值超载服务器检测策略（PEBST）、基于迁移价值比的待迁移虚拟机选择策略（MRB）、目标服务器选择策略、混合离散化启发式差分进化粒子群优化虚拟机放置算法（HDH-DEPSO）以及基于负载均值的欠载服务器处理策略（AVG）.其中,PEBST,MRB,AVG策略的结合能够根据服务器的峰值效能比和CPU的负载均值检测出超载和欠载服务器,并选出合适的虚拟机进行迁移,降低负载波动引起的服务水平协议违约率（SLAV）和虚拟机迁移的次数;HDH-DEPSO算法结合DE和PSO的优点,能够搜索出更优的虚拟机放置方案,使服务器尽可能地保持在峰值效能比下运行,降低服务器的能耗开销.基于真实云环境数据集（PlanetLab/Mix/Gan）的一系列实验结果表明：HSI-VMC方法与当前主流的几种节能虚拟机整合方法相比,能够更好地兼顾多个QoS指标,并有效地降低云数据中心的服务器能耗开销.     

基于无干扰理论的虚拟机可信启动研究

云计算作为一种新型高价值计算系统,目前被广泛应用于各行业领域;等保2.0中也提出了对其应用主动免疫可信计算技术进行动态可信验证的要求.云计算模式下,虚拟机作为用户使用云服务的直接载体,其可信启动是虚拟机运行环境可信的基础.但由于虚拟机以进程的形式运行在物理节点上,其启动过程呈现出高动态性,且多虚拟机域间存在非预期干扰等特点;而现有的虚拟机可信启动方案存在虚拟机启动过程的动态防护性不足、缺乏多虚拟域间非预期干扰性排除等问题.针对上述问题,提出一种基于无干扰理论的虚拟机可信启动研究方案.首先,基于无干扰理论,提出了虚拟机进程的运行时可信定理;进一步地,给出了虚拟机可信启动的定义并证明了虚拟机可信启动判定定理.其次,依据虚拟机可信启动判定定理,基于系统调用设计监测控制逻辑,对虚拟机启动过程进行主动动态度量与主动控制.实验结果表明所提方案能够有效排除复杂云环境下多虚拟机间非预期干扰,保证虚拟机启动过程的动态可信性,且性能开销较小.     

一种基于冗余跳变的虚拟机动态迁移方法

在5G核心网虚拟化环境中,虚拟机共用同一物理服务器会带来一系列的安全问题,如发生侧信道攻击、虚拟节点溢出攻击等,造成用户隐私信息泄露。现有基于虚拟机动态迁移的防御方法是一种有效的主动防御技术,但虚拟机频繁迁移导致了迁移资源开销大和迁移安全性低的问题。为此,提出一种基于冗余跳变的虚拟机迁移方法,对不同虚拟机的迁移频率建立评估计算模型,在保证虚拟机隐私信息安全的前提下减小虚拟机迁移频率,对部分虚拟机采用冗余跳变的方法,以应对虚拟机频繁迁移带来的安全风险。实验结果表明,与现有虚拟机动态迁移方法相比,该方法在取得相同安全防护效果的同时,能够缩短平均迁移收敛时间并降低迁移开销。     

基于虚拟化技术的私有云计算平台设计

为提高分布式集群系统的硬件资源利用率,避免闲置设备造成的经济损失,结合虚拟化技术,提出了一种基于多种框架技术的私有云平台实现方案.该方案整合底层硬件资源,实现了对资源的按需分割、动态分配及动态迁移,并针对传统的虚拟机部署方法中的负载不均衡问题,提出了基于动态分配决策的虚拟机部署机制,该策略根据虚拟机资源的特点,结合现有物理节点的负载情况,对虚拟机进行了动态部署.最后设计实现了灵活性强、可扩展性能好的私有云计算服务平台,以石油勘探中的傅里叶有限差分叠前深度偏移为测试用例进行了应用测试,证明了私有云平台的可行性和有效性,并对虚拟机的部署机制进行了测试.实验结果表明,动态分配决策能够在部署大量虚拟机的同时,较好地保持私有云平台的负载平衡.     

基于马尔可夫模型的云系统安全性与性能建模

针对云环境缺乏安全性评估的问题,提出一种评估系统安全性的建模方法,并建立了云环境下的安全性-性能（S-P）关联模型。首先,针对云系统中最重要的组成部分,即虚拟机,建立了评估其安全性的模型,该模型充分反映了安全机制和恶意攻击两个安全因素对虚拟机的影响;随后基于虚拟机与云系统之间的关系,提出评估云系统安全性的指标;其次,提出一种分层建模方法来建立S-P关联模型。利用队列理论对云计算系统的性能进行建模,然后基于贝叶斯理论和相关分析建立了安全性和性能之间的关联关系,并提出评估复杂S-P相关性的新指标。实验结果验证了理论模型的正确性,并揭示了安全因素引起的性能动态变化规律。     

基于OpenFlow的虚拟机流量检测系统的设计与实现

云平台下的虚拟机在物理机内部交互流量,而不通过防火墙等安全组件。针对这类流量无法在网络边界被获取并检测的问题,分析了OpenFlow技术的原理,提出了一种基于OpenFlow技术将虚拟机流量重定向到入侵检测系统进行检测的方案。方案使用OpenFlow虚拟交换机和控制器替代传统交换机,然后基于OpenFlow技术控制流量转发过程,将其导向外部的安全组件进行处理,并构建了由虚拟交换机、控制单元、入侵检测和系统配置管理4个模块组成的流量检测系统。实验结果表明,系统能够在满足虚拟机网络正常使用的前提下,将待监管流量导向入侵检测系统进行处理,而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题,同时能够基于OpenFlow轻松实现流量处理的扩展操作。     

Dynamic forecast scheduling algorithm for virtual machine placement in cloud computing environment

In most cloud computing platforms, the virtual machine quotas are seldom changed once initialized, although the current allocated resources are not efficiently utilized. The average utilization of cloud servers in most datacenters can be improved through virtual machine placement optimization. How to dynamically forecast the resource usage becomes a key problem. This paper proposes a scheduling algorithm called virtual machine dynamic forecast scheduling (VM-DFS) to deploy virtual machines in a cloud computing environment. In this algorithm, through analysis of historical memory consumption, the most suitable physical machine can be selected to place a virtual machine according to future consumption forecast. This paper formalizes the virtual machine placement problem as a bin-packing problem, which can be solved by the first-fit decreasing scheme. Through this method, for specific virtual machine requirements of applications, we can minimize the number of physical machines. The VM-DFS algorithm is verified through the CloudSim simulator. Our experiments are carried out on different numbers of virtual machine requests. Through analysis of the experimental results, we find that VM-DFS can save 17.08 % physical machines on the average, which outperforms most of the state-of-the-art systems.     

云计算下虚拟机部署机制的研究

随着云计算的发展,虚拟化技术重新得到了人们的关注。当前,在用户服务不断增多,待处理量激增的情况下,如何提高云计算下虚拟机部署效率成为了人们研究的热点。对云计算下虚拟机部署的体系结构和部署流程,以及针对虚拟机部署机制的优化策略进行了研究。使用了分布式模板文件存储方法来提高虚拟机部署效率,通过实验验证了该方法的有效性。     

申威架构下的虚拟机访存特征提取方法

虚拟化技术是云服务的重要支柱之一,虚拟化充分扩展了物理资源的灵活性,提升了物理资源的利用率。随着国家信息化水平的发展,云服务器核心技术自主可控、安全高效的要求不断提高。近年来,作为国产服务器的典型代表,申威架构服务器的功能不断完善。提出了申威架构上的虚拟机访存特征提取方法,充分利用了申威架构独特优势,实时测算虚拟机的内存缺失率曲线,并最终计算工作集大小,同时利用热页集机制大幅度减少页面追踪的性能开销。实验结果表明,该方法可以准确计算虚拟机工作集大小,平均误差低于3%,平均性能开销不高于8.3%。本工作为申威虚拟机内存动态分配提供条件,最终目标是提高申威云服务器整体性能和内存利用率。     

基于PABFD-SA算法的虚拟机动态迁移研究

虚拟机动态迁移整合技术是大规模异构云数据中心降低能耗的有效方法。采用指数平滑预测法进行负载检测,然后以最小迁移时间算法（MMT）为原则筛选出待重分配的虚拟机,并就重分配过程中的能耗优化问题设计了一种感知能耗的最佳适配递减和模拟退火组合算法PABFD-SA（Power Aware Best Fit Decreasing-Simulated Annealing）。该算法将BFD算法获取的物理主机序列作为SA算法的初始解,并在搜索过程中加入了保留和更新历史最优解的功能。仿真结果表明,该算法在减少异构云计算系统的总能耗,降低SLA违约方面有一定改善。     

云计算环境下基于多目标优化的虚拟机放置研究

云数据中心的规模日益增长导致其产生的能源消耗及成本呈指数级增长。虚拟机的放置是提高云计算环境服务质量与节约成本的核心。针对传统的虚拟机放置算法存在考虑目标单一化和多目标优化难以找到最优解的问题,提出一种面向能耗、资源利用率、负载均衡的多目标优化虚拟机放置模型。通过改进蚁群算法求解优化模型,利用其信息素正反馈机制和启发式搜索寻找最优解。实验结果表明,该算法综合性能表现良好,符合云环境对高效率低能耗的要求。