本文選題：云計算 + 拒絕服務(wù)攻擊��； 參考：《西安電子科技大學(xué)》2014年博士論文

【摘要】：安全問題是云計算面臨的最嚴(yán)峻的挑戰(zhàn),其中服務(wù)可用性是其最基本的要求之一。拒絕服務(wù)(Do S)攻擊是阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)器,從而降低系統(tǒng)可用性的一種破壞性攻擊方式。在云計算環(huán)境下,拒絕服務(wù)攻擊形式表現(xiàn)出前所未有的多樣化和復(fù)雜化。針對云計算平臺的拒絕服務(wù)攻擊可能來自云服務(wù)器集群外部,也有可能來自內(nèi)部。較為常見的形式是攻擊者利用其所控制的僵尸網(wǎng)絡(luò)對受害服務(wù)器或集群發(fā)動分布式拒絕服務(wù)攻擊,這種攻擊可以成倍地提高拒絕服務(wù)攻擊的威力。甚至在云虛擬服務(wù)器之間、虛擬服務(wù)器與云用戶終端設(shè)備之間、虛擬服務(wù)器與網(wǎng)絡(luò)設(shè)備或者數(shù)據(jù)采集設(shè)備之間,如果通信或者認(rèn)證協(xié)議設(shè)計不當(dāng),也極有可能被攻擊者加以利用從而發(fā)動拒絕服務(wù)攻擊。因此,在云環(huán)境下,研究拒絕服務(wù)攻擊與防御的關(guān)鍵理論與技術(shù)對保障云用戶和云服務(wù)提供商的安全性具有重要的理論和實踐意義。本文的研究工作主要包括以下幾個方面:(1)提出一種針對云服務(wù)器集群外部分布式拒絕服務(wù)攻擊與防御的動態(tài)博弈論模型。該模型將攻擊者和防御者看作是互相博弈的兩方,其攻防過程是一個不完全信息的非合作重復(fù)博弈。證明在該重復(fù)博弈模型中,防御者和攻擊者子博弈精煉納什均衡存在,并據(jù)此給出雙方的動態(tài)最佳策略算法。一方面,防御者的最佳策略算法使得其能夠根據(jù)當(dāng)前的網(wǎng)絡(luò)負(fù)載和連接的檢測情況動態(tài)地調(diào)整防火墻策略,從而有效降低入侵檢測系統(tǒng)的誤報率,進而提高正常用戶網(wǎng)絡(luò)服務(wù)的質(zhì)量;另一方面,攻擊者的最佳策略算法能夠顯著降低僵尸網(wǎng)絡(luò)中僵尸主機的暴露率,做到以最小代價來進行有效的攻擊。此外,通過本模型可以對入侵檢測系統(tǒng)的抵御效果進行實時的定量評估,從而分析當(dāng)前服務(wù)器集群的安全態(tài)勢,為升級和改進云平臺的安全防御能力提供依據(jù)。(2)提出了一種針對云服務(wù)器集群內(nèi)部的、新的分布式拒絕服務(wù)攻擊方法,云滴凍結(jié)攻擊。實驗表明,該攻擊不僅能夠引起嚴(yán)重的云服務(wù)器群集內(nèi)部網(wǎng)絡(luò)的擁塞,而且能夠消耗大量物理服務(wù)器的CPU和內(nèi)存資源。這使得本來能夠分配給合法虛擬機的資源被非法耗盡,從而達到拒絕服務(wù)攻擊的目的。通過對云滴凍結(jié)攻擊原理的分析,發(fā)現(xiàn)如果在云服務(wù)器集群內(nèi)部分布式拒絕服務(wù)攻擊(如云滴凍結(jié)攻擊)發(fā)生后,進行了不當(dāng)?shù)奶摂M機遷移操作,則可能不僅不能緩解云滴凍結(jié)攻擊,反而將進一步惡化攻擊效果,使得云服務(wù)的可用性變得更加脆弱。本文的實驗表明,原本為了保證服務(wù)可用性而進行的虛擬機遷移操作存在著加劇攻擊效果的風(fēng)險。另外,本文根據(jù)云滴凍結(jié)攻擊的原理,給出了一些防御此類攻擊的思路和方法。(3)提出了一種抗密鑰耗盡型拒絕服務(wù)攻擊的組播數(shù)據(jù)源簽名優(yōu)化模型。在時間要求嚴(yán)格的多播通信場景(如云計算和物聯(lián)網(wǎng))中,當(dāng)系統(tǒng)要求的密鑰消耗(或更新)速率大于生成速率會導(dǎo)致密鑰耗盡型拒絕服務(wù)攻擊。本模型基于博弈論和香農(nóng)信息論的相關(guān)知識構(gòu)建,用來描述在時間要求嚴(yán)格的多播通信場景中安全性與效率之間的關(guān)系,從而最大限度地保證系統(tǒng)的可用性。通過對該模型的詳細分析,證明了納時均衡在模型中的存在性,并據(jù)此提出了數(shù)字簽名密鑰更新的優(yōu)化策略。該優(yōu)化策略是在保證通信消息信息論安全地前提下密鑰可被重用次數(shù)的最小上界。采用該優(yōu)化策略進行組播通信能夠有效地降低了組播通信過程中密鑰的更新和生成頻率,這使得對密鑰耗盡型拒絕服務(wù)攻擊的抵御能力得到了顯著地提高。利用該模型可以對基于RSA的簽名算法(如IEC62351標(biāo)準(zhǔn)和PKCS#1 v2.1規(guī)范)、基于MAC的簽名算法(如Incomplete-key-set算法和TESLA算法),以及TV-HORS算法的密鑰更新策略進行效率優(yōu)化。
[Abstract]:The security problem is one of the most basic requirements for cloud computing . The denial of service ( Do S ) attack is one of the most basic requirements of cloud computing . The denial of service ( Do S ) attack is one of the most basic requirements to prevent or deny legitimate users access to the network server , thus reducing the system availability . This model is based on game theory and Shannon information theory . This model is based on game theory and Shannon information theory to describe the relationship between security and efficiency in multicast communication scenarios .
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 劉鍵強,王韜;拒絕服務(wù)攻擊及其應(yīng)對策略[J];電腦開發(fā)與應(yīng)用;2002年12期

2 蔡淑珍,陳蕾,陸陽;一種基于多點傳送樹的拒絕服務(wù)攻擊的安全方案[J];計算機工程與應(yīng)用;2003年08期

3 木星;傲盾防拒絕服務(wù)系統(tǒng)[J];個人電腦;2005年02期

4 朱衛(wèi)揚;;淺談拒絕服務(wù)攻擊與防范[J];揚州教育學(xué)院學(xué)報;2006年03期

5 張杰;;拒絕服務(wù)攻擊(上)[J];互聯(lián)網(wǎng)天地;2006年05期

6 陸偉宙;余順爭;;脈沖式拒絕服務(wù)攻擊及其防御[J];電信科學(xué);2007年09期

7 孟博;黃偉;王德軍;邵飛;;協(xié)議抗拒絕服務(wù)攻擊性自動化證明[J];通信學(xué)報;2012年03期

8 周雁;拒絕服務(wù)攻擊的分析與防范[J];電信技術(shù);2000年06期

9 胡鳳云,于春洪;淺談網(wǎng)絡(luò)的拒絕服務(wù)攻擊與其防范[J];教育探索;2002年12期

10 李俊;拒絕服務(wù)攻擊的分析和研究[J];電腦與信息技術(shù);2002年06期

相關(guān)會議論文 前9條

1 ;有效抵抗拒絕服務(wù)攻擊的隱身屏障-“黑洞”[A];第十九次全國計算機安全學(xué)術(shù)交流會論文集[C];2004年

2 沈衛(wèi)超;宋成久;;關(guān)于對抗拒絕服務(wù)攻擊的幾個方法[A];第十七次全國計算機安全學(xué)術(shù)交流會暨電子政務(wù)安全研討會論文集[C];2002年

3 解萬永;;IPv6過渡期拒絕服務(wù)攻擊防護[A];全國計算機安全學(xué)術(shù)交流會論文集（第二十三卷）[C];2008年

4 徐八林;趙元茂;胡素玲;;拒絕服務(wù)攻擊(DoS)的分析[A];網(wǎng)絡(luò)安全技術(shù)的開發(fā)應(yīng)用學(xué)術(shù)會議論文集[C];2002年

5 代紅偉;魏更宇;黃瑋;李忠獻;楊義先;;VoIP網(wǎng)絡(luò)拒絕服務(wù)攻擊的分析與研究[A];2010通信理論與技術(shù)新發(fā)展——第十五屆全國青年通信學(xué)術(shù)會議論文集（下冊）[C];2010年

6 鄭康鋒;楊義先;鈕心忻;鄧偉平;王秀娟;;針對VoIP系統(tǒng)的拒絕服務(wù)攻擊研究[A];2005通信理論與技術(shù)新進展——第十屆全國青年通信學(xué)術(shù)會議論文集[C];2005年

7 孫向陽;鄧勝蘭;;一個基于NS2的拒絕服務(wù)攻擊與防御模擬系統(tǒng)[A];全國計算機安全學(xué)術(shù)交流會論文集（第二十三卷）[C];2008年

8 徐俊;楊周生;陶洪強;黃緯;吳燎原;張仁斌;;一種簡單高效的包標(biāo)記方案[A];全國計算機安全學(xué)術(shù)交流會論文集（第二十四卷）[C];2009年

9 梁興開;趙澤茂;黃亮;;Web應(yīng)用中的ReDoS檢測方法研究[A];浙江省電子學(xué)會2011學(xué)術(shù)年會論文集[C];2011年

相關(guān)重要報紙文章 前10條

1 余蘭 阿環(huán) 楓葉 劉雪輝;挨罵時應(yīng)該拒絕服務(wù)嗎[N];中國改革報;2007年

2 楊蓓蓓;乘客攜危險品,滬公交將“拒絕服務(wù)”[N];新華每日電訊;2010年

3 公安部情報信息中心 謝華;美國新型金融犯罪頻發(fā) 如何應(yīng)對“拒絕服務(wù)攻擊”[N];人民公安報;2010年

4 中國人壽 王一飛邋北京工商大學(xué) 呂軼凡;通盤考慮解決泛拒絕服務(wù)攻擊[N];中國計算機報;2007年

5 ;對拒絕服務(wù)攻擊說不！[N];中國電腦教育報;2002年

6 啟明星辰 吳凡;修正配置錯誤 阻擋拒絕服務(wù)攻擊[N];中國計算機報;2009年

7 世導(dǎo)科技提供;當(dāng)前網(wǎng)絡(luò)安全弱點小議[N];中國計算機報;2002年

8 一泓;填補網(wǎng)絡(luò)安全市場空白[N];金融時報;2002年

9 黃發(fā)文 徐濟仁 陳家松;阻斷針對網(wǎng)絡(luò)的拒絕服務(wù)攻擊[N];網(wǎng)絡(luò)世界;2001年

10 ;專心、專注、專業(yè)[N];中國計算機報;2007年

相關(guān)博士學(xué)位論文 前6條

1 王一川;云環(huán)境下DoS攻防理論與技術(shù)研究[D];西安電子科技大學(xué);2014年

2 董闊;慢速拒絕服務(wù)攻擊防御方法研究[D];中國科學(xué)技術(shù)大學(xué);2008年

3 李德全;拒絕服務(wù)攻擊對策及網(wǎng)絡(luò)追蹤的研究[D];中國科學(xué)院研究生院（軟件研究所）;2004年

4 閻冬;IP網(wǎng)絡(luò)溯源方法及協(xié)作模式相關(guān)技術(shù)研究[D];北京郵電大學(xué);2012年

5 湯澹;基于TCP流量分布異常的慢速拒絕服務(wù)攻擊檢測方法[D];華中科技大學(xué);2014年

6 金光;基于數(shù)據(jù)包標(biāo)記的拒絕服務(wù)攻擊防御技術(shù)研究[D];浙江大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 謝玨;分布式拒絕服務(wù)攻擊模擬系統(tǒng)設(shè)計與實現(xiàn)[D];電子科技大學(xué);2014年

2 滕杰;反彈式拒絕服務(wù)攻擊的研究與對策[D];南京信息工程大學(xué);2006年

3 郝雙;對拒絕服務(wù)攻擊的檢測方法研究[D];清華大學(xué);2005年

4 李建國;拒絕服務(wù)攻擊及網(wǎng)絡(luò)追蹤的研究[D];國防科學(xué)技術(shù)大學(xué);2006年

5 王海雷;拒絕服務(wù)攻擊的防御與網(wǎng)絡(luò)追蹤技術(shù)研究[D];合肥工業(yè)大學(xué);2009年

6 孫培業(yè);交互式拒絕服務(wù)攻擊和回溯的設(shè)計與實現(xiàn)[D];北京交通大學(xué);2008年

7 曾衛(wèi);低速率拒絕服務(wù)攻擊的一種檢測方法[D];華中科技大學(xué);2011年

8 張長旺;抗拒絕服務(wù)攻擊的主動隊列管理算法研究[D];國防科學(xué)技術(shù)大學(xué);2009年

9 劉暢;低速拒絕服務(wù)攻擊技術(shù)研究[D];上海交通大學(xué);2009年

10 殷勤;防御拒絕服務(wù)攻擊的網(wǎng)絡(luò)安全機制研究[D];上海交通大學(xué);2006年

，

本文編號：1991022