基于多维评价模型及改进蚁群优化算法的云计算资源调度策略

针对云计算环境下资源调度模型未充分考虑资源评价的问题,为更好适应不同节点计算性能和大规模数据环境的处理需求,提出了一种基于多维评价模型的虚拟机资源调度策略;首先,在云计算环境下建立包括网络性能在内的多维资源评价模型,在此基础上提出一种改进的蚁群优化算法实现资源调度策略;然后在云计算仿真平台CloudSim上进行实现。实验结果表明,该算法可以更好适应不同网络性能的计算环境,显著提高了资源调度的性能,同时降低了虚拟机负载均衡离差,满足了云计算环境下的虚拟机资源负载均衡需求。     

云环境下基于性能向量的虚拟机部署算法

针对云计算环境下虚拟机部署问题,提出充分考虑了系统负载均衡的PM-LB虚拟机部署算法。首先,采用性能向量,规范化地描述虚拟基础设施性能状况;然后,通过计算待部署虚拟机和服务器性能向量的相对距离,得到待部署虚拟机的匹配向量;最后,将匹配向量与系统负载向量综合分析,得到虚拟机部署结果。在CloudSim环境下进行了实验仿真,实验结果证明,使用所提算法可获得较好的系统负载均衡效果和较高的资源利用率。     

云环境下一种基于能耗感知的虚拟机部署算法

云计算技术已经越来越得到人们的关注和接受。在保证用户性能的前提下,怎样有效提高服务器资源的利用率,同时又能节约能源已成为一个热门话题。针对云计算环境下虚拟机初次部署问题,提出了一种基于能耗感知的虚拟机部署算法（ PAVMAA）。该算法充分考虑用户对于不同应用的不同需求,从系统整体最优角度考虑,以能耗与利用率之间的最佳组合点为出发点,通过计算虚拟机性能需求期望与服务器空闲性能之间的欧几里得距离来匹配部署虚拟机。通过Cloudsim仿真平台上的实验,结果表明：算法实现简单,能明显降低能量消耗。     

云计算和多维QoS环境中基于蚁群优化算法在虚拟机资源负载均衡问题中的研究

针对云计算环境中虚拟机资源负载均衡问题,并为实现云计算下虚拟机资源负载均衡高效调度以满足用户的QoS需求,提出了一种基于多维QoS实现负载均衡的虚拟机资源调度方法。首先,在云计算环境下建立多维QoS网络环境的数学模型;然后,提出一种基于蚁群算法的优化算法,用于实现云计算环境中虚拟机资源高效调度;最后,在云仿真平台CloudSim上进行仿真实验。实验结果表明,相对于其他资源调度算法,所提算法能高效解决云计算下虚拟机资源调度问题,减少虚拟机资源负载均衡离差,具有更好的性能,能完全满足云计算下和多维QoS环境下虚拟机资源负载均衡的需求。     

面向云计算平台的多层免疫入侵检测模型

为保障云计算环境下的信息安全,提出了一种面向云平台的多层免疫入侵检测模型。针对云环境的体系结构,借鉴生物免疫系统分层防御机理,在用户终端部署非特异性免疫层,采用树突状细胞算法进行入侵行为危险度检测;在数据中心部署特异性免疫层和免疫记忆层,利用改进的动态克隆选择算法对未知和已知入侵行为进行辩识及抵御。实验表明,模型既能抵御入侵行为,又能对整个云计算环境进行实时监控,是一种有效的云计算安全模型。     

一种云计算环境下的虚拟机动态迁移策略

提出一种云计算环境下的虚拟机动态迁移策略DMS-VM(Dynamic Migration Strategy for Virtual Machine) 。首先,假设了一种云计算环境下虚拟机迁移场景,在该场景下多种应用服务请求处于动态变化之中,并且提供的应用服务与虚拟机是一对一绑定的;其次,提出了该场景下的基于多约束的多目标规划模型,并设计遗传算法作为虚拟机的主要迁移策略;最后利用某个企业的大数据中心作为云端测试环境, 对比测试DMS-VM算法与已有的虚拟机迁移算法的性能。实验结果表明,DMS-VM迁移策略能够更好的减少物理主机的使用数量和虚拟机的迁移次数,同时降低数据中心能耗,性能优于已有的迁移策略。     

基于轮换策略的异构云资源分配算法

云计算以其按需索取、按需付费、无需预先投资的优势给用户带来极大的便利,然而静态、单一的云计算环境容易成为网络攻击的目标,给用户带来较大的安全风险。动态的虚拟机部署策略和异构的云基础设施在提升云计算环境安全性的同时会降低资源利用率。提出一种针对虚拟机轮换时的资源分配算法,将不同类型的资源抽象成维度不同的向量,并通过求解装箱问题实现资源分配中的负载平衡,同时为每个虚拟机设定驻留时间,对当前服务器的负载状态进行轮换以提升虚拟机的安全性。实验结果表明,资源动态分配算法在提高虚拟机安全性能的同时,能够减小轮换带来的负载波动。     

KVM虚拟化动态迁移技术的安全防护模型

虚拟机动态迁移技术是在用户不知情的情况下使得虚拟机在不同宿主机之间动态地转移,保证计算任务的完成,具有负载均衡、解除硬件依赖、高效利用资源等优点,但此技术应用过程中会将虚拟机信息和用户信息暴露到网络通信中,其在虚拟化环境下的安全性成为广大用户担心的问题,逐渐成为学术界讨论和研究的热点问题.本文从研究虚拟化机制、虚拟化操作系统源代码出发,以虚拟机动态迁移的安全问题作为突破点,首先分析了虚拟机动态迁移时的内存泄漏安全隐患;其次结合KVM(Kernel-based Virtual Machine)虚拟化技术原理、通信机制、迁移机制,设计并提出一种新的基于混合随机变换编码方式的安全防护模型,该模型在虚拟机动态迁移时的迁出端和迁入端增加数据监控模块和安全模块,保证虚拟机动态迁移时的数据安全;最后通过大量实验,仿真测试了该模型的安全防护能力和对虚拟机运行性能的影响,仿真结果表明,该安全防护模型可以在KVM虚拟化环境下保证虚拟机动态迁移的安全,并实现了虚拟机安全性和动态迁移性能的平衡.     

云计算中负载优化模型及算法研究

云计算环境的动态性和异构性,使得云计算很容易出现负载失衡现象,严重影响了云计算的整体性能和用户体验.论文提出了基于改进遗传算法的负载均衡优化模型,兼顾资源需求动态变化和虚拟机的计算能力,建立相应的资源调度模型,运用改进遗传算法实现资源负载均衡.验证表明,该算法能很好满足云环境下数据中心的使用要求,提高资源利用率和负载均衡度.     

基于虚拟化内存隔离的Rowhammer攻击防护机制

随着虚拟化技术的发展与云计算的流行,虚拟化环境下的安全防护问题一直受到广泛的关注。最近的Rowhammer攻击打破了人们对于硬件的信赖,同时基于Rowhammer攻击的各种攻击方式已经威胁到了虚拟化环境下的虚拟机监视器以及其他虚拟机的安全。目前业界已有的对Rowhammer攻击的防御机制或者局限于修改物理硬件,或者无法很好的部署在虚拟化环境下。本文提出一种方案,该方案实现了一套在虚拟机监视器层面的Rowhammer感知的内存分配机制,能够在虚拟机监视器层面以虚拟机的粒度进行Rowhammer攻击的隔离防护。测试表明,该方案能够在不修改硬件,以及引入较小的性能开销（小于6%的运行时开销和小于0.1%的内存开销）的前提下,成功阻止从虚拟机到虚拟机监视器以及跨虚拟机的Rowhammer攻击。     

基于架构负载感知的虚拟机聚簇部署算法

针对云计算中虚拟机部署问题,提出了一种基于架构负载感知的虚拟机聚簇部署算法。首先计算云数据中心各层架构的负载,并在架构内对主机进行聚簇。虚拟机进行部署时,先按照相应的规则进行虚拟机间的聚簇,并优先选择负载较低的架构进行部署,架构选择后,进行虚拟机簇与主机簇的匹配以选择最优的主机簇进行部署。最后通过CloudSim进行仿真验证,将其与贪婪算法及基于架构负载感知的基本部署算法进行比较,证明了算法在部署时间方面有明显的优越性,并提高了网络资源的利用率。     

基于隔离等级的网络切片部署方法

为了兼顾网络切片的性能隔离需求和安全隔离需求,提出了一种基于隔离等级的网络切片部署方法。该方法首先从性能隔离和安全隔离两方面确定了网络切片实例的隔离等级,在选择合适的位置部署虚拟节点时,不但保证所有网络切片实例均能达到各自的性能水平和安全水平,而且从隔离等级差值入手对虚拟节点共存的条件进行限制;然后利用整数线性规划方法对该问题进行建模,把部署成本最小化作为目标函数;最后使用基于遗传算法改进的粒子群算法求出最终的部署结果。仿真结果表明,该方法具有较低的部署成本和较高的收益开销比,并且能够同时保证性能和安全两方面的需求。     

一种基于干扰估计的虚拟功能服务链创建及部署方法

针对网络功能虚拟化中服务链性能受到负载干扰的问题,提出一种考虑虚拟功能间干扰的虚拟功能服务链部署方法。首先,基于CPU利用率和I/O带宽对虚拟功能干扰度进行估计;然后,构建虚拟功能部署和链路创建模型,从链路速率、节点数量、延迟等角度提出了服务链部署优化目标;最后,以干扰度估计结果为依据,根据模拟退火思想提出一种服务链功能组合和选择方法,并利用部署模型将链路实例化。实验结果表明,和现有方法相比,本文方法能够有效提高服务链的执行性能并满足部署优化目标。     

CyberGuarder: A virtualization security assurance architecture for green cloud computing

As the sizes of IT infrastructure continue to grow, cloud computing is a natural extension of virtualisation technologies that enable scalable management of virtual machines over a plethora of physically connected systems. The so-called virtualisation-based cloud computing paradigm offers a practical approach to green IT/clouds, which emphasise the construction and deployment of scalable, energy-efficient network software applications (NetApp) by virtue of improved utilisation of the underlying resources. The latter is typically achieved through increased sharing of hardware and data in a multi-tenant cloud architecture/environment and, as such, accentuates the critical requirement for enhanced security services as an integrated component of the virtual infrastructure management strategy. This paper analyses the key security challenges faced by contemporary green cloud computing environments, and proposes a virtualisation security assurance architecture, CyberGuarder, which is designed to address several key security problems within the ‘green’ cloud computing context. In particular, CyberGuarder provides three different kinds of services; namely, a virtual machine security service, a virtual network security service and a policy based trust management service. Specifically, the proposed virtual machine security service incorporates a number of new techniques which include (1) a VMM-based integrity measurement approach for NetApp trusted loading, (2) a multi-granularity NetApp isolation mechanism to enable OS user isolation, and (3) a dynamic approach to virtual machine and network isolation for multiple NetApp’s based on energy-efficiency and security requirements. Secondly, a virtual network security service has been developed successfully to provide an adaptive virtual security appliance deployment in a NetApp execution environment, whereby traditional security services such as IDS and firewalls can be encapsulated as VM images and deployed over a virtual security network in accordance with the practical configuration of the virtualised infrastructure. Thirdly, a security service providing policy based trust management is proposed to facilitate access control to the resources pool and a trust federation mechanism to support/optimise task privacy and cost requirements across multiple resource pools. Preliminary studies of these services have been carried out on our iVIC platform, with promising results. As part of our ongoing research in large-scale, energy-efficient/green cloud computing, we are currently developing a virtual laboratory for our campus courses using the virtualisation infrastructure of iVIC, which incorporates the important results and experience of CyberGuarder in a practical context.     

Reliable self‐deployment of distributed cloud applications

Cloud applications consist of a set of interconnected software elements distributed over several virtual machines, themselves hosted on remote physical servers. Most existing solutions for deploying such applications require human intervention to configure parts of the system, do not conform to functional dependencies among elements that must be respected when starting them, and do not handle virtual machine failures that can occur when deploying an application. This paper presents a self‐deployment protocol that was designed to automatically configure a set of software elements to be deployed on different virtual machines. This protocol works in a decentralized way, that is, there is no need for a centralized server. It also starts the software elements in a certain order, respecting important architectural invariants. This protocol supports virtual machine and network failures and always succeeds in deploying an application when faced with a finite number of failures. Designing such highly parallel management protocols is difficult; therefore, formal modeling techniques and verification tools were used for validation purposes. The protocol was implemented in Java and was used to deploy industrial applications. Copyright © 2016 John Wiley & Sons, Ltd.     

基于改进BN模型的网络切片安全部署方法

为了满足5G垂直用户对于网络切片部署时细粒度安全隔离需求,同时兼顾用户的隔离需求和提高资源利用率,提出了一种基于改进BN模型的网络切片安全部署方法。首先提出了一种双层BN模型的网络切片部署架构,基于SBA（service based architecture）设计了虚拟机容器的双层虚拟化架构,将网络切片根据其所属用户的隔离需求分配利益冲突类标签,基于改进的BN模型部署规则确定网络切片的隔离部署策略;然后将该部署方法建立为整数线性规划模型,并将部署成本作为目标函数,通过最小化目标函数实现低成本部署网络切片;最后使用遗传算法对该问题仿真求解。实验结果表明,该安全部署方法在满足网络切片安全隔离需求的前提下降低了部署成本。     

面向网络安全资源池的智能服务链系统设计与分析

传统网络安全架构通过将流量引导经过硬件形式的网络安全功能设备来保障网络安全,该架构由形式固定的硬件组成,导致网络安全区域部署形式单一,可扩展性较差,在面对网络安全事件时无法灵活地做出调整,难以满足未来网络的安全需求。面向网络安全资源池的智能服务链系统基于软件定义网络与网络功能虚拟化技术,能够有效解决上述问题。基于网络功能虚拟化技术新增虚拟形式的网络安全功能网元,结合已有的硬件网元构建虚实结合的网络安全资源池,并基于软件定义网络技术实现对连接网元的交换设备的灵活控制,从而构建可动态调节的网络安全服务链;基于安全日志检测与安全规则专家库实现对网络安全事件的检测与生成对应的响应方案,从而能够在面对网络安全事件时通过集中式控制的方式实现服务链的动态智能调节;对服务链的部署过程进行数学建模并设计了一种启发式的服务链优化编排算法,实现服务链的优化部署。通过搭建原型系统并进行实验,结果表明,所设计系统能够在面对安全事件时在秒级时间内完成安全事件的检测,并能够在分钟级时间内完成对安全服务链的自动调整,所设计的服务链优化部署算法能够将服务链对虚拟安全资源池中资源的占用降低 65%。所设计系统有望运用于园区与数据中心网络出口处的网络安全区域,简化该区域的运维并提高该区域的部署灵活度。     

云计算环境下虚拟机部署策略的优化

针对虚拟机群在云计算平台动态部署过程中现有的部署机制所存在的局限性,提出一种优化的部署模型。首先建立预分块存储的分布式预定制虚拟机全镜像模板库;然后由调度中心依据调度策略选择适当的宿主机,并通过多源并行传输的方式提高部署效率;最后由对应的虚拟机监视器完成实例化任务。实验结果显示,在不同的虚拟机群部署规模下,单台虚拟机的平均部署时间较以往缩短3%～45%。实验结果验证了该模型的有效性。     

基于帕累托优化的网络安全设备部署设计与研究

通过部署网络安全设备可以有效地提高网络的安全性,但由于网络设备种类繁多、功能复杂,如何在整个网络中最优地部署网络安全设备,从而达到安全和开销的平衡,仍是研究人员关注的焦点。将网络安全设备最优部署问题转换为帕累托优化问题,提出分布式约束优化的七元组对网络安全设备部署进行量化赋值,构建基于分支界限算法的部署方案搜索算法,在解空间内对量化的数值进行计算并求出最优解。由于基于分支界限算法的方案搜索算法需要耗费大量时间,在大型网络中运行效率较低,使用基于弧一致优化的数据预处理技术对量化数值进行预处理,实现搜索算法的优化。最后通过仿真实验测试,证明该方法的正确性和有效性。     

一种基于虚拟机的安全监测方法

随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性.