Openstack虚拟化流量平台监控系统

云平台监控系统是有效保障云服务质量的重要环节,本文在Openstack云平台上进行相应的虚拟服务器监控系统设计. 系统结合Openstack的开源性和强大的可扩展性的特点,以Openstack中的网络组件Neutron面对庞大虚拟服务器流量转发时所出现的瓶颈问题为出发点,结合SDN软件定义网络技术及其重要的南向接口协议OpenFlow解决流量瓶颈问题,设计基于Libvirt和sFlow协议的监控系统,负责获取虚拟机群数据流量信息,并且向上层控制模块以及用户反馈最新的平台负载情况,使用控制模块和流表控制流量转发,最终使整个系统平台达到负载均衡.     

基于软件定义网络的云平台入侵防御方案设计与实现

针对传统的入侵防御系统是串联在网络环境中,处理能力有限且易造成网络拥塞的问题,面向云计算应用,设计了一种基于软件定义网络（SDN）的入侵防御方案。首先,在OpenStack平台中集成了SDN控制器。然后,利用控制器的可编程特性,设计了入侵检测和控制器的联动机制,实现了入侵防御功能。联动机制实现原理是在入侵检测系统检测到入侵时把入侵信息传给控制器,控制器下发安全策略到虚拟交换机,达到过滤入侵流量、动态阻止入侵行为的目的。最后,通过实验将所提方案与传统入侵防御方案相比较,对比分析结果表明,相比传统方案能成功检测85%入侵（攻击速率为12000 packet/s）,所提方案的入侵检测效率在90%以上（攻击效率为40000 packet/s）,可以用于提高云环境下入侵防御的检测效率。     

OpenFlow路由机制研究

OpenFlow为软件定义网络提供了一种很好的实现方案,为科研人员研究下一代互联网技术提供了一种途径.OpenFlow对二层交换支持较为成熟,但缺少对三层路由的支持.提出了一种在虚拟机上运行开源路由软件Quagga进行路由计算,利用OpenFlow控制器通过获取虚拟机的路由表来控制OpenFlow交换机数据转发的OpenFlow路由实现机制.     

基于OpenFlow的入侵检测评估模型

针对传统测评方法依赖模拟环境来仿真真实网络流量的现状,提出一种基于OpenFlow的入侵检测评估系统.该系统基于软件定义网络技术（OpenFlow）的入侵检测评估模型,随后对该模型的框架、设置方法、具体工作过程等进行详细阐述,设计了基于该模型的测评系统,该系统利用OpenFlow灵活的网络控制能力为IDS测评搭建真实可控的网络环境,提供入侵检测所需的真实网络流量和攻击数据.最后利用该测评系统对该模型进行试验仿真,实验结果表明传统方法相比,本文提出的基于OpenFlow的入侵检测评估模型在测评效果和准确性上有较好的性能.     

基于Unikernel技术的移动通信网络虚拟可信管理技术研究

虚拟化技术提高了物理资源的利用效率,但是虚拟化技术也面临虚拟机逃逸、跳跃攻击、虚拟机蔓延、隐通道、DMA攻击等安全风险,可信芯片技术可以从源头保证平台可信性,保证虚拟域的安全可信。本方案提出一种基于Unikernel技术的虚拟可信管理服务器构建方案,能够实现虚拟化环境下可信安全管理,不再将虚拟可信管理组件和可信平台模块放在特权域Domain0中,而是将虚拟TPM的管理组件与所需操作系统功能库编译并链接为一个密封的、具有单独地址空间的、专门的虚拟机镜像,直接运行在Hypervisor之上,能够为虚拟域提供可信管理服务。     

基于虚拟机的透明计算设备子系统设计及实现*

为解决在现有透明计算系统中磁盘等设备的虚拟化,需要对操作系统进行修改才能在端计算机上运行的问题,提出透明计算系统中一种基于虚拟机技术的设备子系统。以Intel VT硬件级虚拟支持和Xen虚拟化技术为基础, 在全虚拟化的虚拟机上运行用户操作系统: 通过运行在管理域用户空间中设备模型的虚拟磁盘和网络驱动,将用户域访问磁盘和网络的I/O请求跨网络地重定向到服务器进行处理, 从而实现端计算机上多操作系统的远程运行。在VT硬件平台和Xen虚拟机监控器上实现了原型系统,验证了该方法的可行性。     

基于入侵检测技术和诱骗技术的网络安全

该文介绍了基于诱骗技术的网络入侵检测系统(IDS),它是传统入侵检测系统的延伸。首先讨论了基于网络的入侵检测系统,然后分析了入侵诱骗技术和Honeypot技术,最后讨论了基于诱骗技术的入侵检测系统的设计和实现,特别是重定向模块和诱骗网络的设计和实现。     

网络入侵诱骗技术Honeypot系统的研究与实现

在介绍防火墙技术和入侵检测的基础上,分析了网络入侵诱骗技术Honeypot的3种主要技术：IP欺骗技术、重定向型诱骗、网络动态配置。探讨了通过虚拟机软件模拟网络服务实现诱骗环境的方法及系统设计。基于诱骗技术的网络安全系统是入侵检测的扩充,是网络安全技术中的一个新的研究领域,具有广阔的应用前景。     

SDN网络的路径规划监视机制

为了能够实现基于用户需求的路径规划,并实时对网络路径流量进行监控,向网络管理员提供路径调整依据,文章利用软件定义网络(Software-Defined Networking,SDN)控制与转发分离的特性,设计SDN网络下的路径规划监视机制。通过基于预设路径来生成和下发流表项,实现对网络路径的规划;并依据OpenFlow交换机流表项的匹配次数,动态衡量网络路径流量,实现对路径流量进行实时监控。在基于Mininet与OpenDayLight的实验平台上验证了路径规划的正确性以及路径流量监控的有效性。     

基于入侵诱骗技术的网络安全研究与实现

介绍了基于诱骗技术的网络入侵检测系统(IDS)，它是传统入侵检测系统的延伸。首先讨论了基于网络和基于主机的入侵检测系统，然后分析了入侵诱骗技术和Honeypot技术，最后讨论了基于诱骗技术的入侵检测系统的设计和实现，特别是重定向模块和诱骗网络的设计和实现。     

云计算平台异常行为检测系统的设计与实现

针对传统网络安全设备对云计算平台中虚拟机内部发生的蠕虫病毒、地址解析协议(ARP)广播攻击等异常行为失效的问题,设计了基于VMware的云计算平台下异常行为检测技术架构,提出了云计算下有特征码的蠕虫病毒异常行为检测,和基于突变理论的无特征码的异常行为检测,并针对两种异常行为提出了"侦测-隔离-治愈-恢复"智能处理云安全机制.系统融合云计算下异常行为检测,云计算下事件与防卫管理,和云计算下ARP广播检测三种功能于一体.实验结果表明,系统能实时提供云计算环境下异常行为的采集及分析,每隔5秒自动刷新实时流量资料,且吞吐量可达到640 Gb的处理能力,能够将被保护链路中异常流量所占用带宽降至总拥有带宽的5%以下,解决了云计算下的异常行为检测和防护问题.     

创建软件定义网络中的进程级纵深防御体系结构

云计算因其资源的弹性和可拓展性,在为用户提供各项服务时,相对于传统方式占据了先机。在用户考虑是否转向云计算时,一个极其重要的安全风险是：攻击者可以通过共享的云资源对云用户发起针对虚拟机的高效攻击。虚拟机作为云服务的基本资源,攻击者在攻击或者租用了某虚拟机之后,通过在其中部署恶意软件,并针对云内其他虚拟机发起更大范围的攻击行为,如分布式拒绝服务型攻击。为防止此种情况的发生,提出基于软件定义网络的纵深防御系统,以及时检测可疑虚拟机并控制其发出的流量,抑制来自该虚拟机的攻击行为并减轻因攻击所受到的影响。该系统以完全无代理的非侵入方式检测虚拟机状态,且基于软件定义网络,对同主机内虚拟机间或云主机间的网络流量进行进程级的监控。实验结果表明了该系统的有效性。     

基于OpenFlow的云计算监控架构

云计算中网络的监控任务是一件重要和复杂的工作.在云计算网络中的安全设备不仅要监控外网流量,还要监控内网流量.现有使用SDN和OpenFlow对网络流量监控的研究都基于每种设备仅存在一台的前提,受限于安全设备的数量,性能和效率受到限制.本文在OpenFlow上提出了一种云计算网络流量监控架构和算法,支持多台同类型的设备同时工作,可以在云计算网络中,实现灵活高效的网络流量监控.     

一种基于虚拟机的安全监测方法

随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性.     

A security-aware virtual machine placement in the cloud using hesitant fuzzy decision-making processes

The introduction of cloud computing systems brought with itself a solution for the dynamic scaling of computing resources leveraging various approaches for providing computing power, networking, and storage. On the other hand, it helped decrease the human resource cost by delegating the maintenance cost of infrastructures and platforms to the cloud providers. Nevertheless, the security risks of utilizing shared resources are recognized as one of the major concerns in using cloud computing environments. To be more specific, an intruder can attack a virtual machine and consequently extend his/her attack to other virtual machines that are co-located on the same physical machine. The worst situation is when the hypervisor is compromised in which all the virtual machines assigned to the physical node will be under security risk. To address these issues, we have proposed a security-aware virtual machine placement scheme to reduce the risk of co-location for vulnerable virtual machines. Four attributes are introduced to reduce the aforementioned risk including the vulnerability level of a virtual machine, the importance level of a virtual machine in the given context, the cumulative vulnerability level of a physical machine, and the capacity of a physical machine for the allocation of new virtual machines. Nevertheless, the evaluation of security risks, due to the various vulnerabilities’ nature as well as the different properties of deployment environments is not quite accurate. To manage the precision of security evaluations, it is vital to consider hesitancy factors regarding security evaluations. To consider hesitancy in the proposed method, hesitant fuzzy sets are used. In the proposed method, the priorities of the cloud provider for the allocation of virtual machines are also considered. This will allow the model to assign more weights to attributes that have higher importance for the cloud provider. Eventually, the simulation results for the devised scenarios demonstrate that the proposed method can reduce the overall security risk of the given cloud data center. The results show that the proposed approach can reduce the risk of attacks caused by the co-location of virtual machines up to 41% compared to the existing approaches.

     

云环境下面向拟态防御的反馈控制方法

云环境下的虚拟化技术,给用户带来了一些数据和隐私安全问题。针对云环境中虚拟机单一性、同质性和静态性等问题,文章提出一种云环境下面向拟态防御的反馈控制方法。该方法以云中虚拟机为基础,利用拟态防御技术对虚拟机进行拟态化封装,通过反馈控制架构对其实现闭环负反馈控制,并基于异构虚拟机动态轮换改变执行环境,保证虚拟机系统环境的随机性。实验表明该设计实现了对用户服务的错误容忍、可疑虚拟机检测和动态轮换,增加攻击者利用漏洞攻击的难度。     

基于XEN的虚拟化技术优化

在云计算蓬勃发展这个外因的驱动下,虚拟化技术作为云计算的关键技术平台也正不可逆转地发展着。虚拟化使得一台计算机上能够运行多个虚拟机,虚拟机之间有很强的隔离性,且虚拟机与硬件没有直接的关联。论文从虚拟化出现的原因入手,进而介绍UVP虚拟化平台的架构、特点以及在虚拟化平台中使用的性能优化技术、节能管理技术、安全实现技术以及UVP的增强技术等,使用这些关键技术意义在于提高系统性能、增强安全性、易于后期维护和扩展等。     

基于马尔可夫模型的云系统安全性与性能建模

针对云环境缺乏安全性评估的问题,提出一种评估系统安全性的建模方法,并建立了云环境下的安全性-性能（S-P）关联模型。首先,针对云系统中最重要的组成部分,即虚拟机,建立了评估其安全性的模型,该模型充分反映了安全机制和恶意攻击两个安全因素对虚拟机的影响;随后基于虚拟机与云系统之间的关系,提出评估云系统安全性的指标;其次,提出一种分层建模方法来建立S-P关联模型。利用队列理论对云计算系统的性能进行建模,然后基于贝叶斯理论和相关分析建立了安全性和性能之间的关联关系,并提出评估复杂S-P相关性的新指标。实验结果验证了理论模型的正确性,并揭示了安全因素引起的性能动态变化规律。     

基于I/O前后端模型的密码卡软件虚拟化

密码技术是云计算安全的基础,支持SR-IOV虚拟化的高性能密码卡适用于云密码机,可以为云计算环境提供虚拟化数据加密保护服务,满足安全需求.针对该类密码卡在云密码机使用过程中存在的兼容性不好、扩充性受限、迁移性差以及性价比低等问题,本文提出了基于I/O前后端模型的密码卡软件虚拟化方法,利用共享内存或者VIRTIO作为通信方式,通过设计密码卡前后端驱动或者服务程序,完成多虚拟机与宿主机的高效通信,实现常规密码卡被多虚拟机共享.该方法可以有效地降低云密码机的硬件门槛,具有兼容性好、性能高、易扩展等特点,在信创领域具有广阔的应用前景.     

基于PABFD-SA算法的虚拟机动态迁移研究

虚拟机动态迁移整合技术是大规模异构云数据中心降低能耗的有效方法。采用指数平滑预测法进行负载检测,然后以最小迁移时间算法（MMT）为原则筛选出待重分配的虚拟机,并就重分配过程中的能耗优化问题设计了一种感知能耗的最佳适配递减和模拟退火组合算法PABFD-SA（Power Aware Best Fit Decreasing-Simulated Annealing）。该算法将BFD算法获取的物理主机序列作为SA算法的初始解,并在搜索过程中加入了保留和更新历史最优解的功能。仿真结果表明,该算法在减少异构云计算系统的总能耗,降低SLA违约方面有一定改善。