论文部分内容阅读
得益于高效的大规模存储和计算能力,云计算得到了业界的广泛关注。通过将传统的物理资源抽象化,云计算可以实现对计算资源的灵活调度,从而向用户提供按需的自助服务,形成一种资源可快速伸缩的计算模式。同时,云计算通过网络来提供服务,用户不再局限于本地的软硬件资源,可以随时随地获得服务,不受时间空间限制。云计算提供了三种服务模型:基础设施即服务、平台即服务和软件即服务。在基础设施层,由于对计算资源的虚拟化,不同用户可以共享底层的物理资源。但是,这种资源共享的模式会带来一些安全隐患,其中虚拟机间的共存攻击引发了深入的研究。针对这一安全威胁,研究人员提出了很多解决方案,然而这些方法有的需要对软硬件进行大规模修改,不利于部署;有的只针对某些特定场景的攻击,不具有普适性;还有的方法则开销过大,难以真正应用。因此,在不影响资源共享的前提下,研究开销合理、易于部署的、能有效防御或减轻共存攻击安全威胁的方法,是保证云环境安全、稳定的重要因素。为实现上述目标,本文对虚拟机间共存攻击的主动防御方法进行相关研究工作。具体来说,本文的主要工作包含以下几个方面:首先,针对云计算技术和共存攻击展开研究,重点介绍了云计算中与共存攻击相关的两种特征——基础设施即服务和虚拟化技术,概述了云环境中的安全风险。然后总结了共存攻击的定义,包括其实现方法、鉴定手段和具体的安全威胁,并从攻击和防御两方面分析了当前国内外针对共存攻击的研究现状,并从中探索导致攻击行为产生的本质原因,为后续研究奠定基础。其次,针对当前云环境中,现有的虚拟机放置策略使得攻击者开销小、实现共存概率高,从而可以快速、大规模发起攻击的问题,从放置策略着手,实现主动防御共存攻击的目的。具体方法是在云环境的不同状态下基于放置策略的各自特点,动态化选择最适合目前情况的放置策略,改变传统虚拟机放置策略单一、静态的缺点,增加攻击者实现与目标共存的难度,从根本上对共存攻击的源头进行防御,相比于静态策略,该方法最少能降低60%共存概率。此外,攻击者利用操作系统存在共同漏洞的特点,可以以极小开销攻陷全部有相同漏洞的虚拟机。针对这一安全威胁,研究多样性的操作系统部署策略。利用操作系统具有多样性的特点,设计交互式的工作流程,为用户提供多样性程度最高的操作系统配置方法,避免了攻击者利用共同漏洞大范围攻陷正常用户虚拟机的情况出现,从而增加攻击者发起共存攻击、窃取目标隐私的成本和时间开销,对于攻击者的攻击效益可以至少降低33.46%。最后,针对云环境下一种特殊的共存攻击形式——DoS攻击进行研究。尽管上述研究在减小攻击者与目标虚拟机共存的概率、增加攻击者的开销上有显著效果,但无法有效防御云平台中的DoS攻击。这种攻击形式同样基于虚拟机间的共存状态发起,但是可以没有明确的目标用户,难以区分攻击者。因此,本文最后的工作是研究如何利用虚拟机迁移技术来预防或缓解DoS攻击,提出了有效可行的虚拟机迁移策略,包括虚拟机的选择、迁移时刻和目的地的选择,与其他策略相比,可以在增加少量开销的前提下,更快速地缓解DoS攻击造成的影响。本文利用主动防御思想解决云环境下的安全问题,丰富了主动防御理论在网络安全领域的应用场景,也为云服务提供商在防御共存攻击、提升服务质量方面提供了方法支撑,具有一定的科研意义和实用价值。