發(fā)布時(shí)間：2020-09-15 11:34

　　 為了滿足大數(shù)據(jù)背景下不斷增長的數(shù)據(jù)應(yīng)用需求,存儲(chǔ)系統(tǒng)正在由傳統(tǒng)的集中式架構(gòu)向分布式架構(gòu)演進(jìn),原有職能任務(wù)被解耦拆分為元數(shù)據(jù)服務(wù)和數(shù)據(jù)服務(wù)兩部分,極大的提升了系統(tǒng)的橫向擴(kuò)展能力、并行服務(wù)能力和容災(zāi)容錯(cuò)能力。然而,在以云數(shù)據(jù)中心為代表的集中化服務(wù)模式下,分布式存儲(chǔ)系統(tǒng)的數(shù)據(jù)安全卻面臨著前所未有的挑戰(zhàn),主要原因有:元數(shù)據(jù)節(jié)點(diǎn)存在單點(diǎn)故障缺陷、數(shù)據(jù)節(jié)點(diǎn)全面布防困難、泛在化的漏洞后門無法徹查、以及開放共享模型加劇了安全隱患。對(duì)此,研究者前期提出了一系列防護(hù)方法,包括:引入傳統(tǒng)防御手段、設(shè)計(jì)新的安全架構(gòu)、開發(fā)自主可控或可信的硬件平臺(tái)、數(shù)據(jù)加密等等,但都存在一定的局限性,尤其是無法有效應(yīng)對(duì)未知漏洞和后門造成的未知威脅。網(wǎng)絡(luò)空間擬態(tài)防御(Cyberspace Mimic Defense,CMD)是國內(nèi)提出的一種主動(dòng)防御理論,針對(duì)當(dāng)前信息系統(tǒng)架構(gòu)普遍存在的靜態(tài)、相似、單一“基因缺陷”,通過引入動(dòng)態(tài)(Dynamicity)、異構(gòu)(Heterogeneity)、冗余(Redundancy)機(jī)制對(duì)其進(jìn)行“擬態(tài)化”改造,使新的系統(tǒng)對(duì)漏洞和后門具備內(nèi)生的抵御能力。近年來,針對(duì)CMD的研究分析和應(yīng)用測(cè)試均取得了很好的效果,從理論和工程層面驗(yàn)證了其有效性和可行性。因此,將CMD的相關(guān)思想和機(jī)制引入到分布式存儲(chǔ)架構(gòu)中,為其提供對(duì)未知漏洞后門的防御能力,能夠彌補(bǔ)現(xiàn)有防護(hù)方法的局限和不足,從而改善當(dāng)前數(shù)據(jù)安全的嚴(yán)峻現(xiàn)狀�；谏鲜隹紤],本文依托國家自然科學(xué)基金創(chuàng)新研究群體項(xiàng)目“網(wǎng)絡(luò)空間擬態(tài)防御基礎(chǔ)理論研究”和面上項(xiàng)目“網(wǎng)絡(luò)空間擬態(tài)安全異構(gòu)冗余機(jī)制研究”,對(duì)分布式存儲(chǔ)系統(tǒng)的擬態(tài)化架構(gòu)與關(guān)鍵技術(shù)展開研究。論文結(jié)合大數(shù)據(jù)Hadoop平臺(tái)中的分布式文件系統(tǒng)(Hadoop Distributed File System,HDFS)實(shí)例,首先提出并實(shí)現(xiàn)了一種基于“要地防御”原則的擬態(tài)化架構(gòu),然后進(jìn)一步探索了該架構(gòu)下調(diào)度機(jī)制的效率與魯棒性、裁決機(jī)制的可信性、以及數(shù)據(jù)副本的差異化放置問題。主要研究成果如下:1.針對(duì)當(dāng)前分布式存儲(chǔ)系統(tǒng)中元數(shù)據(jù)節(jié)點(diǎn)單點(diǎn)故障和數(shù)據(jù)節(jié)點(diǎn)全面布放困難的問題,通過引入擬態(tài)防御的DHR模型(Dynamic Heterogeneous Redundancy)及其相關(guān)安全機(jī)制,從構(gòu)造上增強(qiáng)系統(tǒng)的對(duì)漏洞和后門的防御能力。首先,對(duì)分布式存儲(chǔ)系統(tǒng)面臨的主要威脅和攻擊途徑進(jìn)行分析,定位其“核心的薄弱點(diǎn)”,結(jié)合防護(hù)的代價(jià)與有效性提出一種可行的安全構(gòu)造方法。其次,以大數(shù)據(jù)存儲(chǔ)HDFS為目標(biāo)對(duì)象,設(shè)計(jì)了一種面向元數(shù)據(jù)服務(wù)的擬態(tài)化架構(gòu),該架構(gòu)通過搭建元數(shù)據(jù)服務(wù)DHR結(jié)構(gòu)保護(hù)系統(tǒng)核心信息和功能,通過副本的異構(gòu)化放置保護(hù)用戶數(shù)據(jù)。然后,通過對(duì)系統(tǒng)的安全性分析,從理論上分析了該架構(gòu)的安全增益能力。最后,通過對(duì)原型系統(tǒng)進(jìn)行測(cè)試驗(yàn)證了CMD對(duì)分布式存儲(chǔ)系統(tǒng)安全性上的提升,評(píng)估了其性能開銷影響。2.針對(duì)擬態(tài)化架構(gòu)中的元數(shù)據(jù)服務(wù)DHR結(jié)構(gòu)的調(diào)度機(jī)制,提出了一種基于滑動(dòng)窗口的調(diào)度序列控制方法。首先,我們對(duì)DHR結(jié)構(gòu)的反饋調(diào)度過程進(jìn)行建模描述和問題分析,并給出了對(duì)應(yīng)的威脅模型和關(guān)注的評(píng)價(jià)指標(biāo)。然后,將計(jì)算機(jī)網(wǎng)絡(luò)中的滑動(dòng)窗口機(jī)制引入到調(diào)度序列控制中,通過設(shè)置時(shí)間和異常頻次的驅(qū)動(dòng)事件,觸發(fā)窗口進(jìn)行“滑動(dòng)”動(dòng)作,即更新調(diào)度控制參數(shù),從而通過不斷的調(diào)整適應(yīng),來協(xié)調(diào)應(yīng)對(duì)動(dòng)態(tài)變化的內(nèi)部運(yùn)行狀態(tài)和外部攻擊環(huán)境。最后,通過設(shè)置不同的實(shí)驗(yàn)場(chǎng)景條件,評(píng)估調(diào)度序列控制研究的必要性,本文方法的有效性,及其與現(xiàn)有方法的性能對(duì)比。結(jié)果顯示,本文方法能夠有效解決CMD調(diào)度序列控制中面臨的一系列問題,在面對(duì)復(fù)雜多變的內(nèi)外部情況時(shí)通過自適應(yīng)調(diào)整為DHR結(jié)構(gòu)提供了較好的安全性,運(yùn)轉(zhuǎn)效率以及魯棒性。3.針對(duì)擬態(tài)化架構(gòu)中的元數(shù)據(jù)服務(wù)DHR結(jié)構(gòu)的裁決機(jī)制,分析了基于歷史表現(xiàn)的置信度計(jì)算方法存在的置信度偏移和欺騙問題,提出了一種置信度計(jì)算的修正方法,用于提升裁決機(jī)制的可信度。首先,文章關(guān)注到基于歷史表現(xiàn)的擬態(tài)裁決機(jī)制中,基于單調(diào)統(tǒng)計(jì)的置信度評(píng)價(jià)方式存在的不合理性,通過兩個(gè)簡(jiǎn)單的案例描述分析了置信度偏移現(xiàn)象及其惡意利用的置信度欺騙攻擊。然后,提出了一種基于Logistic函數(shù)的置信度修正方法,該方法考慮外部攻擊在時(shí)間維度上影響力變化,對(duì)不同歷史階段的裁決結(jié)果進(jìn)行分級(jí)處理,并且針對(duì)“過熱”的異常輸出類型進(jìn)行噪聲過濾,提升置信度計(jì)算過程的合理性。實(shí)驗(yàn)評(píng)估表明,該方法能夠有效緩解置信度偏移及基于其的置信度欺騙所造成的危害,提升了擬態(tài)裁決機(jī)制的可信性。4.針對(duì)分布式存儲(chǔ)系統(tǒng)擬態(tài)化架構(gòu)中的數(shù)據(jù)防護(hù)問題,研究了基于異構(gòu)存儲(chǔ)集群的數(shù)據(jù)副本放置方法。首先,對(duì)安全威脅模型與HDFS系統(tǒng)模型進(jìn)行了描述,從安全性和業(yè)務(wù)性能兩個(gè)方面定義了副本放置方法的評(píng)價(jià)指標(biāo)。然后,構(gòu)建了HDFS副本放置問題的規(guī)劃模型,并提出了一種主目標(biāo)貪心的隨機(jī)搜索算法以降低求解的復(fù)雜度。該方法通過對(duì)節(jié)點(diǎn)漏洞與性能上的差異進(jìn)行量化評(píng)分,篩選出目標(biāo)搜索集合,然后根據(jù)實(shí)際需求將副本放置在利于存活的節(jié)點(diǎn)上,從而提升數(shù)據(jù)的完整性與可用性。實(shí)驗(yàn)結(jié)果表明,該方法能夠有效降低攻擊發(fā)生時(shí)的數(shù)據(jù)損壞率,在外部攻擊能力提升或集群異構(gòu)性有限的情況下仍保持較高的安全收益,在面向并行處理任務(wù)時(shí)具有較高的處理性能。
【學(xué)位單位】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位年份】：2019
【中圖分類】：TP333;TP393.08
【部分圖文】：

-網(wǎng)絡(luò)空間擬態(tài)防御（Cyberspace Mimic Defense, CMD）的相關(guān)概念。然手段存在的不足，和引入 CMD 相關(guān)機(jī)制方法所帶來的安全增益。最后，的研究問題、研究內(nèi)容以及論文的結(jié)構(gòu)安排。題背景布式存儲(chǔ)系統(tǒng)簡(jiǎn)介聯(lián)網(wǎng)的誕生與普及推動(dòng)了信息技術(shù)的迅猛發(fā)展，使現(xiàn)代社會(huì)從工業(yè)時(shí)代逐進(jìn)，為人類生活帶來了極大便利。然而，信息技術(shù)的泛在化應(yīng)用也引發(fā)了長，圖 1.1 中的 IDC 統(tǒng)計(jì)數(shù)據(jù)顯示，全球數(shù)據(jù)產(chǎn)生總量在 2010 年剛過 1Z經(jīng)達(dá)到 33ZB，預(yù)計(jì)在 2025 年將突破 175ZB。數(shù)據(jù)爆炸時(shí)代的來臨，一算、大數(shù)據(jù)、人工智能等大批技術(shù)革新，挖掘和利用數(shù)據(jù)的潛在價(jià)值已成界追求的新方向[2]；但與此同時(shí)，數(shù)據(jù)的爆炸式增長也給信息處理技術(shù)帶如何對(duì) 5V 特征[3]的大數(shù)據(jù)進(jìn)行有效的存儲(chǔ)、計(jì)算、傳輸，是新一代信息對(duì)和解決的焦點(diǎn)問題[4]。

戰(zhàn)略支援部隊(duì)信息工程大學(xué)博士學(xué)位論文如圖 1.3(a)所示，當(dāng)攻擊者控制了 Namenode，系統(tǒng)元數(shù)據(jù)信息的私密性將難所有數(shù)據(jù)節(jié)點(diǎn)都存在被非法訪問的隱患；攻擊者還可以通過篡改元數(shù)據(jù)和管理策略統(tǒng)完整性，導(dǎo)致正常用戶的訪問異常；更甚者，直接宕掉主機(jī)上的相關(guān)進(jìn)程造成拒降低系統(tǒng)可用性。

圖 1.4 云平臺(tái)共享模式的安全隱患Hadoop 主張將計(jì)算任務(wù)下發(fā)到存儲(chǔ)本地（或就近）的節(jié)用于存儲(chǔ)數(shù)據(jù)，同時(shí)又開啟了計(jì)算和處理相關(guān)的服務(wù)和存儲(chǔ)邊界難以進(jìn)行嚴(yán)密的區(qū)分，嚴(yán)重制約了權(quán)限管理。Hadoop Cluster 計(jì)算任務(wù)HDFS文件塊優(yōu)先其次最差

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王甜甜;余春雷;;異構(gòu)分布式存儲(chǔ)系統(tǒng)中部分重復(fù)碼的構(gòu)造[J];信息通信;2019年01期

2 黃根華;鐘聲偉;;分布式存儲(chǔ)系統(tǒng)在通信運(yùn)營商云計(jì)算資源池的應(yīng)用研究[J];通訊世界;2017年16期

3 藍(lán)青;;云計(jì)算分布式存儲(chǔ)系統(tǒng)典型運(yùn)維問題的分析[J];通信與信息技術(shù);2017年05期

4 王丹輝;;基于分布式存儲(chǔ)系統(tǒng)的數(shù)據(jù)認(rèn)證和安全保障研究[J];中國電子科學(xué)研究院學(xué)報(bào);2015年06期

5 馮亮;;差異分布式存儲(chǔ)系統(tǒng)資源調(diào)度的優(yōu)化仿真[J];計(jì)算機(jī)仿真;2016年03期

6 董志強(qiáng);;分布式存儲(chǔ)系統(tǒng)文件級(jí)連續(xù)數(shù)據(jù)保護(hù)技術(shù)研究[J];通訊世界;2015年09期

7 梁坤榮;;分布式存儲(chǔ)系統(tǒng)CEPH研究與試用[J];數(shù)碼世界;2017年07期

8 龔利;史楊;;淺析分布式存儲(chǔ)系統(tǒng)的研究及應(yīng)用[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2014年09期

9 徐小龍;鄒勤文;楊庚;;分布式存儲(chǔ)系統(tǒng)中數(shù)據(jù)副本管理機(jī)制[J];計(jì)算機(jī)技術(shù)與發(fā)展;2013年02期

10 馮浩;賈年;;面向海量無線電監(jiān)測(cè)數(shù)據(jù)的分布式存儲(chǔ)系統(tǒng)研究[J];成都工業(yè)學(xué)院學(xué)報(bào);2015年02期

相關(guān)會(huì)議論文 前9條

1 趙輝;何連躍;;基于異構(gòu)分布式存儲(chǔ)系統(tǒng)的動(dòng)態(tài)反饋負(fù)載均衡技術(shù)[A];第15屆全國信息存儲(chǔ)技術(shù)學(xué)術(shù)會(huì)議論文集[C];2008年

2 曲珊;張金鋇;;非對(duì)稱網(wǎng)絡(luò)結(jié)構(gòu)下的分布式存儲(chǔ)系統(tǒng)編碼研究[A];第十九屆中國科協(xié)年會(huì)——分9“互聯(lián)網(wǎng)+”：傳統(tǒng)產(chǎn)業(yè)變革新動(dòng)能論壇論文集[C];2017年

3 張曦;陳渝;王小鴿;張寶鵬;孫云峰;;PA-DCS:一種基于能耗感知的無線傳感器網(wǎng)絡(luò)分布式存儲(chǔ)系統(tǒng)[A];第二屆和諧人機(jī)環(huán)境聯(lián)合學(xué)術(shù)會(huì)議(HHME2006)——第2屆中國普適計(jì)算學(xué)術(shù)會(huì)議(PCC'06)論文集[C];2006年

4 徐琪;程耀東;陳剛;;新型EB級(jí)文件存儲(chǔ)系統(tǒng)EOS的分析與測(cè)試[A];第十八屆全國核電子學(xué)與核探測(cè)技術(shù)學(xué)術(shù)年會(huì)論文集[C];2016年

5 羅香玉;李傳佑;汪蕓;;糾刪碼容錯(cuò)組的布局策略研究[A];第18屆全國多媒體學(xué)術(shù)會(huì)議（NCMT2009）、第5屆全國人機(jī)交互學(xué)術(shù)會(huì)議（CHCI2009）、第5屆全國普適計(jì)算學(xué)術(shù)會(huì)議（PCC2009）論文集[C];2009年

6 武騰;薛磊;鄭東;柳曉光;;P2P持久存儲(chǔ)系統(tǒng)可靠性分析與數(shù)據(jù)維護(hù)優(yōu)化[A];第十一屆保密通信與信息安全現(xiàn)狀研討會(huì)論文集[C];2009年

7 周松;王意潔;;EXPyramid:一種靈活的基于陣列結(jié)構(gòu)的高容錯(cuò)低修復(fù)成本編碼方案[A];2010年第16屆全國信息存儲(chǔ)技術(shù)大會(huì)（IST2010）論文集[C];2010年

8 羅凌燕;李錄兵;李化斌;寧瑩;王俊青;吳秀杰;王登蓮;梁馨嫻;;虛擬化云平臺(tái)在SCADA系統(tǒng)中的應(yīng)用[A];綠色石化·創(chuàng)新集成·效能提升——第十一屆寧夏青年科學(xué)家論壇石化專題論壇論文集[C];2015年

9 羅志明;張大華;王電鋼;常健;;電力分布式云存儲(chǔ)關(guān)鍵技術(shù)研究[A];2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集[C];2013年

相關(guān)重要報(bào)紙文章 前10條

1 記者 魏京華 通訊員 高U喴

本文編號(hào)：2818912