本文選題：云計算 + 拒絕服務攻擊��； 參考：《西安電子科技大學》2014年博士論文

【摘要】：安全問題是云計算面臨的最嚴峻的挑戰(zhàn),其中服務可用性是其最基本的要求之一。拒絕服務(Do S)攻擊是阻止或拒絕合法使用者存取網(wǎng)絡服務器,從而降低系統(tǒng)可用性的一種破壞性攻擊方式。在云計算環(huán)境下,拒絕服務攻擊形式表現(xiàn)出前所未有的多樣化和復雜化。針對云計算平臺的拒絕服務攻擊可能來自云服務器集群外部,也有可能來自內(nèi)部。較為常見的形式是攻擊者利用其所控制的僵尸網(wǎng)絡對受害服務器或集群發(fā)動分布式拒絕服務攻擊,這種攻擊可以成倍地提高拒絕服務攻擊的威力。甚至在云虛擬服務器之間、虛擬服務器與云用戶終端設備之間、虛擬服務器與網(wǎng)絡設備或者數(shù)據(jù)采集設備之間,如果通信或者認證協(xié)議設計不當,也極有可能被攻擊者加以利用從而發(fā)動拒絕服務攻擊。因此,在云環(huán)境下,研究拒絕服務攻擊與防御的關鍵理論與技術對保障云用戶和云服務提供商的安全性具有重要的理論和實踐意義。本文的研究工作主要包括以下幾個方面:(1)提出一種針對云服務器集群外部分布式拒絕服務攻擊與防御的動態(tài)博弈論模型。該模型將攻擊者和防御者看作是互相博弈的兩方,其攻防過程是一個不完全信息的非合作重復博弈。證明在該重復博弈模型中,防御者和攻擊者子博弈精煉納什均衡存在,并據(jù)此給出雙方的動態(tài)最佳策略算法。一方面,防御者的最佳策略算法使得其能夠根據(jù)當前的網(wǎng)絡負載和連接的檢測情況動態(tài)地調(diào)整防火墻策略,從而有效降低入侵檢測系統(tǒng)的誤報率,進而提高正常用戶網(wǎng)絡服務的質(zhì)量;另一方面,攻擊者的最佳策略算法能夠顯著降低僵尸網(wǎng)絡中僵尸主機的暴露率,做到以最小代價來進行有效的攻擊。此外,通過本模型可以對入侵檢測系統(tǒng)的抵御效果進行實時的定量評估,從而分析當前服務器集群的安全態(tài)勢,為升級和改進云平臺的安全防御能力提供依據(jù)。(2)提出了一種針對云服務器集群內(nèi)部的、新的分布式拒絕服務攻擊方法,云滴凍結攻擊。實驗表明,該攻擊不僅能夠引起嚴重的云服務器群集內(nèi)部網(wǎng)絡的擁塞,而且能夠消耗大量物理服務器的CPU和內(nèi)存資源。這使得本來能夠分配給合法虛擬機的資源被非法耗盡,從而達到拒絕服務攻擊的目的。通過對云滴凍結攻擊原理的分析,發(fā)現(xiàn)如果在云服務器集群內(nèi)部分布式拒絕服務攻擊(如云滴凍結攻擊)發(fā)生后,進行了不當?shù)奶摂M機遷移操作,則可能不僅不能緩解云滴凍結攻擊,反而將進一步惡化攻擊效果,使得云服務的可用性變得更加脆弱。本文的實驗表明,原本為了保證服務可用性而進行的虛擬機遷移操作存在著加劇攻擊效果的風險。另外,本文根據(jù)云滴凍結攻擊的原理,給出了一些防御此類攻擊的思路和方法。(3)提出了一種抗密鑰耗盡型拒絕服務攻擊的組播數(shù)據(jù)源簽名優(yōu)化模型。在時間要求嚴格的多播通信場景(如云計算和物聯(lián)網(wǎng))中,當系統(tǒng)要求的密鑰消耗(或更新)速率大于生成速率會導致密鑰耗盡型拒絕服務攻擊。本模型基于博弈論和香農(nóng)信息論的相關知識構建,用來描述在時間要求嚴格的多播通信場景中安全性與效率之間的關系,從而最大限度地保證系統(tǒng)的可用性。通過對該模型的詳細分析,證明了納時均衡在模型中的存在性,并據(jù)此提出了數(shù)字簽名密鑰更新的優(yōu)化策略。該優(yōu)化策略是在保證通信消息信息論安全地前提下密鑰可被重用次數(shù)的最小上界。采用該優(yōu)化策略進行組播通信能夠有效地降低了組播通信過程中密鑰的更新和生成頻率,這使得對密鑰耗盡型拒絕服務攻擊的抵御能力得到了顯著地提高。利用該模型可以對基于RSA的簽名算法(如IEC62351標準和PKCS#1 v2.1規(guī)范)、基于MAC的簽名算法(如Incomplete-key-set算法和TESLA算法),以及TV-HORS算法的密鑰更新策略進行效率優(yōu)化。
[Abstract]:The security problem is one of the most basic requirements for cloud computing . The denial of service ( Do S ) attack is one of the most basic requirements of cloud computing . The denial of service ( Do S ) attack is one of the most basic requirements to prevent or deny legitimate users access to the network server , thus reducing the system availability . This model is based on game theory and Shannon information theory . This model is based on game theory and Shannon information theory to describe the relationship between security and efficiency in multicast communication scenarios .
【學位授予單位】：西安電子科技大學
【學位級別】：博士
【學位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關期刊論文 前10條

1 劉鍵強,王韜;拒絕服務攻擊及其應對策略[J];電腦開發(fā)與應用;2002年12期

2 蔡淑珍,陳蕾,陸陽;一種基于多點傳送樹的拒絕服務攻擊的安全方案[J];計算機工程與應用;2003年08期

3 木星;傲盾防拒絕服務系統(tǒng)[J];個人電腦;2005年02期

4 朱衛(wèi)揚;;淺談拒絕服務攻擊與防范[J];揚州教育學院學報;2006年03期

5 張杰;;拒絕服務攻擊(上)[J];互聯(lián)網(wǎng)天地;2006年05期

6 陸偉宙;余順爭;;脈沖式拒絕服務攻擊及其防御[J];電信科學;2007年09期

7 孟博;黃偉;王德軍;邵飛;;協(xié)議抗拒絕服務攻擊性自動化證明[J];通信學報;2012年03期

8 周雁;拒絕服務攻擊的分析與防范[J];電信技術;2000年06期

9 胡鳳云,于春洪;淺談網(wǎng)絡的拒絕服務攻擊與其防范[J];教育探索;2002年12期

10 李俊;拒絕服務攻擊的分析和研究[J];電腦與信息技術;2002年06期

相關會議論文 前9條

1 ;有效抵抗拒絕服務攻擊的隱身屏障-“黑洞”[A];第十九次全國計算機安全學術交流會論文集[C];2004年

2 沈衛(wèi)超;宋成久;;關于對抗拒絕服務攻擊的幾個方法[A];第十七次全國計算機安全學術交流會暨電子政務安全研討會論文集[C];2002年

3 解萬永;;IPv6過渡期拒絕服務攻擊防護[A];全國計算機安全學術交流會論文集（第二十三卷）[C];2008年

4 徐八林;趙元茂;胡素玲;;拒絕服務攻擊(DoS)的分析[A];網(wǎng)絡安全技術的開發(fā)應用學術會議論文集[C];2002年

5 代紅偉;魏更宇;黃瑋;李忠獻;楊義先;;VoIP網(wǎng)絡拒絕服務攻擊的分析與研究[A];2010通信理論與技術新發(fā)展——第十五屆全國青年通信學術會議論文集（下冊）[C];2010年

6 鄭康鋒;楊義先;鈕心忻;鄧偉平;王秀娟;;針對VoIP系統(tǒng)的拒絕服務攻擊研究[A];2005通信理論與技術新進展——第十屆全國青年通信學術會議論文集[C];2005年

7 孫向陽;鄧勝蘭;;一個基于NS2的拒絕服務攻擊與防御模擬系統(tǒng)[A];全國計算機安全學術交流會論文集（第二十三卷）[C];2008年

8 徐俊;楊周生;陶洪強;黃緯;吳燎原;張仁斌;;一種簡單高效的包標記方案[A];全國計算機安全學術交流會論文集（第二十四卷）[C];2009年

9 梁興開;趙澤茂;黃亮;;Web應用中的ReDoS檢測方法研究[A];浙江省電子學會2011學術年會論文集[C];2011年

相關重要報紙文章 前10條

1 余蘭 阿環(huán) 楓葉 劉雪輝;挨罵時應該拒絕服務嗎[N];中國改革報;2007年

2 楊蓓蓓;乘客攜危險品,滬公交將“拒絕服務”[N];新華每日電訊;2010年

3 公安部情報信息中心 謝華;美國新型金融犯罪頻發(fā) 如何應對“拒絕服務攻擊”[N];人民公安報;2010年

4 中國人壽 王一飛邋北京工商大學 呂軼凡;通盤考慮解決泛拒絕服務攻擊[N];中國計算機報;2007年

5 ;對拒絕服務攻擊說不！[N];中國電腦教育報;2002年

6 啟明星辰 吳凡;修正配置錯誤 阻擋拒絕服務攻擊[N];中國計算機報;2009年

7 世導科技提供;當前網(wǎng)絡安全弱點小議[N];中國計算機報;2002年

8 一泓;填補網(wǎng)絡安全市場空白[N];金融時報;2002年

9 黃發(fā)文 徐濟仁 陳家松;阻斷針對網(wǎng)絡的拒絕服務攻擊[N];網(wǎng)絡世界;2001年

10 ;專心、專注、專業(yè)[N];中國計算機報;2007年

相關博士學位論文 前6條

1 王一川;云環(huán)境下DoS攻防理論與技術研究[D];西安電子科技大學;2014年

2 董闊;慢速拒絕服務攻擊防御方法研究[D];中國科學技術大學;2008年

3 李德全;拒絕服務攻擊對策及網(wǎng)絡追蹤的研究[D];中國科學院研究生院（軟件研究所）;2004年

4 閻冬;IP網(wǎng)絡溯源方法及協(xié)作模式相關技術研究[D];北京郵電大學;2012年

5 湯澹;基于TCP流量分布異常的慢速拒絕服務攻擊檢測方法[D];華中科技大學;2014年

6 金光;基于數(shù)據(jù)包標記的拒絕服務攻擊防御技術研究[D];浙江大學;2008年

相關碩士學位論文 前10條

1 謝玨;分布式拒絕服務攻擊模擬系統(tǒng)設計與實現(xiàn)[D];電子科技大學;2014年

2 滕杰;反彈式拒絕服務攻擊的研究與對策[D];南京信息工程大學;2006年

3 郝雙;對拒絕服務攻擊的檢測方法研究[D];清華大學;2005年

4 李建國;拒絕服務攻擊及網(wǎng)絡追蹤的研究[D];國防科學技術大學;2006年

5 王海雷;拒絕服務攻擊的防御與網(wǎng)絡追蹤技術研究[D];合肥工業(yè)大學;2009年

6 孫培業(yè);交互式拒絕服務攻擊和回溯的設計與實現(xiàn)[D];北京交通大學;2008年

7 曾衛(wèi);低速率拒絕服務攻擊的一種檢測方法[D];華中科技大學;2011年

8 張長旺;抗拒絕服務攻擊的主動隊列管理算法研究[D];國防科學技術大學;2009年

9 劉暢;低速拒絕服務攻擊技術研究[D];上海交通大學;2009年

10 殷勤;防御拒絕服務攻擊的網(wǎng)絡安全機制研究[D];上海交通大學;2006年

，

本文編號：1991022