安全管理模型在云計算環(huán)境中的應(yīng)用

白 磊

0 引言

云計算[1]作為一種基于資源虛擬化的新型網(wǎng)絡(luò)計算模型[2]，以數(shù)據(jù)中心為基礎(chǔ)，通過咨詢的服務(wù)方式和可伸縮的計算資源來滿足用戶需求。但是隨著云計算運(yùn)營商的快速發(fā)展，虛擬化技術(shù)在各行各業(yè)中越來越受到關(guān)注，從而使得越來越多的用戶將他們的數(shù)據(jù)和應(yīng)用遷移到虛擬環(huán)境中，基于這種環(huán)境，虛擬機(jī)的數(shù)量也呈現(xiàn)增長的趨勢。與此同時，虛擬機(jī)如何實(shí)現(xiàn)有效、安全地部署和遷移以實(shí)現(xiàn)對數(shù)據(jù)資源的高效利用也已成為虛擬化管理的一個巨大挑戰(zhàn)。比方說，惡意用戶通過租用大量虛擬機(jī)來對云數(shù)據(jù)中心發(fā)起TCPSYN洪水攻擊，而外部環(huán)境卻無法有效辨別攻擊云數(shù)據(jù)中心的虛擬機(jī)，這樣的攻擊顯得更微妙、更難以被快速防御。

為了防御這種攻擊，基于虛擬機(jī)狀態(tài)遷移技術(shù)的虛擬機(jī)集群調(diào)度程序[3]被提出。文獻(xiàn)[4]在KVM虛擬化環(huán)境轉(zhuǎn)換模式中討論了動態(tài)移動的實(shí)現(xiàn)，且分析了動態(tài)遷移的可靠性和安全性。同時，Danev等[5]也在虛擬機(jī)安全遷移的vTPM原理和方法下，以硬件的方式研究該模型，繼而保證數(shù)據(jù)實(shí)時遷移的安全性。但通過對上述方法的深入研究，發(fā)現(xiàn)上述方法不足以保證虛擬環(huán)境的安全性，因此，本文基于對虛擬機(jī)安全模型的有效部署和管理，實(shí)現(xiàn)了一個安全管理關(guān)鍵技術(shù)研究與實(shí)現(xiàn)的動態(tài)遷移。

1 虛擬機(jī)安全管理模型

圖1展示了一種虛擬機(jī)安全管理模型，此模型可以分為四個部分：

（1）多物理服務(wù)器虛擬機(jī)管理系統(tǒng)；

（2）虛擬機(jī)狀態(tài)監(jiān)測系統(tǒng)；

（3）基于AHP實(shí)時遷移虛擬機(jī)技術(shù)部署和調(diào)度方法；

（4）基于CUSUM算法的DDoS攻擊監(jiān)測機(jī)制。

圖1 虛擬機(jī)安全管理模型

結(jié)合圖1可以分析，在用戶通過云數(shù)據(jù)中心獲取數(shù)據(jù)服務(wù)時，為了使多個用戶在相同的物理服務(wù)器上實(shí)現(xiàn)資源共享，需要使虛擬機(jī)實(shí)現(xiàn)安全有效的遷移。虛擬機(jī)遷移指的是一個主機(jī)上運(yùn)行的虛擬機(jī)(源主機(jī))在運(yùn)行時可以將數(shù)據(jù)很便捷地遷移到另一個主機(jī)(目標(biāo)主機(jī))上。但是這種模式下的問題也較突出，例如當(dāng)一個數(shù)據(jù)用戶在很短的時間內(nèi)同時在云環(huán)境中撤回多個虛擬機(jī)時，它將導(dǎo)致物理服務(wù)器之間的負(fù)載變得不平衡。而且只要大量虛擬機(jī)的一些物理服務(wù)器上運(yùn)行的任務(wù)發(fā)生閑置，同樣會導(dǎo)致虛擬機(jī)在向用戶提供服務(wù)的QoS請求過程中發(fā)生物理服務(wù)器負(fù)載不完整。

綜上所述，基于AHP的虛擬機(jī)具體的功能部署和調(diào)度方法包括以下四方面：監(jiān)控物理服務(wù)器狀態(tài)的統(tǒng)計特征；了解虛擬機(jī)資源類型以及訪問特性；了解虛擬機(jī)資源分析的特點(diǎn)；以及在此基礎(chǔ)上對物理服務(wù)器的安全性能進(jìn)行評估，繼而最終找到最適合的物理服務(wù)器部署或遷移以達(dá)到優(yōu)化資源分配的虛擬機(jī)集群。

同樣還有另外一個不可被忽視的問題存在，即TCPSYN洪水攻擊。在TCPSYN洪水攻擊中，又以分布式拒絕服務(wù)攻擊為代表，其使用TCP/IP三路訪問，隱藏在不安全的數(shù)據(jù)庫中，由多個攻擊發(fā)起者向目標(biāo)主機(jī)發(fā)送一個SYN+ACK數(shù)據(jù)包，但是收到SYN+ACK數(shù)據(jù)包后服務(wù)器沒有反應(yīng)，隨后可以攻擊源IP地址并對攻擊發(fā)起人進(jìn)行偽裝，從而導(dǎo)致物理服務(wù)器無法正常為用戶數(shù)據(jù)請求提供服務(wù)，繼而表現(xiàn)出極大的破壞性。因此便對互聯(lián)網(wǎng)的安全性、完整性、可用性構(gòu)成了嚴(yán)重威脅。這時可以了解到基于CUSUM算法的DDoS攻擊檢測機(jī)制[6]，主要特點(diǎn)如下：可進(jìn)行虛擬機(jī)網(wǎng)絡(luò)流量的信息統(tǒng)計，包括SYN+ACK數(shù)據(jù)包和FIN+RST數(shù)據(jù)包：設(shè)計和實(shí)現(xiàn)改進(jìn)的CUSUM算法用于快速檢測惡意的虛擬機(jī)交易。其中，修改后的CUSUM算法從一個正常的TCP連接建立到結(jié)束有一個對稱的關(guān)系，即單個SYN包和一個FIN|RST包配對。當(dāng)洪水攻擊發(fā)生時，SYN和FIN+RST數(shù)據(jù)包中一個數(shù)據(jù)包的數(shù)量將遠(yuǎn)遠(yuǎn)超過另一個，并通過檢測兩者之間的差異來進(jìn)行辨別防御。

2 虛擬機(jī)安全管理的關(guān)鍵技術(shù)

無論是物理服務(wù)器發(fā)生負(fù)載太高、超過預(yù)定閾值的情況，還是發(fā)生低負(fù)荷狀態(tài)的情況，只要這種負(fù)載不平衡狀態(tài)影響到虛擬機(jī)通過QoS操作提供服務(wù)，那么便需要在物理服務(wù)器上進(jìn)行虛擬機(jī)遷移、負(fù)載均衡。

首先，從云數(shù)據(jù)中心的使用中獲取物理服務(wù)器的現(xiàn)有資源，比如稱為N1的公式，同時獲取其他物理服務(wù)器的當(dāng)前資源使用，如公式（2）表示HN。

其中HN+H1＜HP（HP表示使用閾值向量物理資源的虛擬函數(shù)）

基于此，需要對所有物理服務(wù)器的HN性能監(jiān)測數(shù)據(jù)進(jìn)行統(tǒng)計。

對于在物理服務(wù)器上運(yùn)行著的所有虛擬機(jī)，令其運(yùn)行，以實(shí)現(xiàn)數(shù)據(jù)資源的平均分配，然后計算它們的權(quán)重向量，例如以下列出的計算的公式即可用于估算虛擬機(jī)在遷移狀態(tài)下數(shù)據(jù)資源的使用情況。

H3={CPU3,MEM3,BandWid th3}

為了保證物理服務(wù)器在虛擬機(jī)遷移后并不影響其向數(shù)據(jù)用戶提供正常服務(wù)，需要將所需產(chǎn)品的管理服務(wù)器滿足方程，而且代表閾值向量的虛擬機(jī)物理資源用于向量剩余的物理服務(wù)器以及每個虛擬機(jī)，然后根據(jù)公式評估所有的物理服務(wù)器。

HN+H3＜HP

R=Vector*HN1-3

由于該方法在公共介質(zhì)中使用到存儲結(jié)構(gòu)NFS、圖像文件和虛擬機(jī)存儲，因此在虛擬機(jī)部署過程中，可以對虛擬機(jī)映像文件傳輸進(jìn)行忽略。

在TCPSYN洪水攻擊中，以分布式拒絕服務(wù)攻擊為代表，其使用TCP/IP三路訪問，隱藏在不安全的數(shù)據(jù)庫中，故而顯示出針對網(wǎng)絡(luò)安全、完整性、可用性的強(qiáng)大的且難以阻止的破壞，繼而構(gòu)成嚴(yán)重威脅。因此，根據(jù)以上的評估過程，且在KVM的基礎(chǔ)上設(shè)計出DDoS攻擊檢測方法的CUSUM算法，主要特點(diǎn)如下。

（1）對虛擬機(jī)網(wǎng)絡(luò)流量信息進(jìn)行統(tǒng)計分析，包括SYN數(shù)據(jù)包與FIN+RST數(shù)據(jù)包之間的關(guān)系。

（2）設(shè)計和改進(jìn)的CUSUM算法，對TCPSYN洪水攻擊進(jìn)行快速檢測，并對惡意虛擬機(jī)進(jìn)行處理。且此種基于CUSUM算法的改進(jìn)，在從建立到結(jié)束的過程中，SYN數(shù)據(jù)包和FIN|RST數(shù)據(jù)包二者實(shí)現(xiàn)配對。

（3）當(dāng)TCPSYN洪水攻擊發(fā)生時，SYN數(shù)據(jù)包或FIN+RST數(shù)據(jù)包的數(shù)量將遠(yuǎn)遠(yuǎn)大于另一個，通過鑒別此種變化來實(shí)現(xiàn)攻擊檢測。

3 功能測試

測試環(huán)境為Red hat enterprise Linux 4操作系統(tǒng)以及三個物理服務(wù)器。

測試任務(wù)可以擬定為三個物理服務(wù)器通過一個統(tǒng)一的接口為簡單的云計算環(huán)境提供虛擬機(jī)租賃服務(wù)，用戶在云計算環(huán)境中，根據(jù)一個統(tǒng)一的順序應(yīng)用四個虛擬機(jī)，其中涉及到應(yīng)用程序流程的比較以及每個物理服務(wù)器之間資源的負(fù)載消耗。由于虛擬機(jī)應(yīng)用程序的物理資源和時間是動態(tài)平衡過程中導(dǎo)致物理服務(wù)器負(fù)載不平衡的主要瓶頸，而虛擬機(jī)的動態(tài)遷移瓶頸恰好是資源和時間動態(tài)平衡的物理過程，因此，對于資源的消耗，可以使用虛擬機(jī)的數(shù)量進(jìn)行遷移，從而進(jìn)行粗略的量化。

圖2顯示了虛擬機(jī)AHP環(huán)境的層次分析結(jié)果。通過獲取資源特性的虛擬機(jī)計算權(quán)重向量，將資源利用率合并到物理服務(wù)器上，這便是基于權(quán)重向量計算層次分析中的每個物理服務(wù)器的分?jǐn)?shù)。圖2中顯示，對于虛擬機(jī)1，其權(quán)重向量為[0.2，0.6，0.2]，并且是一種利用多個個體的組合所獲得的資源物理服務(wù)器，對物理服務(wù)器進(jìn)行綜合計算后，物理服務(wù)器2的得分為36.122，物理服務(wù)器3的得分為42.288。其中較小的物理服務(wù)器得分表示當(dāng)前的資源物理服務(wù)器可以滿足其余運(yùn)行的虛擬機(jī)1，但是同時也表明部署虛擬機(jī)1是存在一定壓力的，因此選擇物理服務(wù)器2作為最佳物理服務(wù)器。

圖2 虛擬機(jī)AHP層次分析結(jié)果

針對虛擬機(jī)遭受TCPSYN洪水攻擊的情況，基于AHP的虛擬機(jī)層次分析也可以對DDoS攻擊檢測算法進(jìn)行驗證，通過對TCPSYN洪水攻擊進(jìn)行分析了解，可以知道應(yīng)該避免高CPU需求的虛擬機(jī)部署在一個相對稀缺的CPU資源位置，因為物理服務(wù)器上內(nèi)存資源的閑置將導(dǎo)致一個虛擬機(jī)提供的服務(wù)不能滿足QoS請求，這也將導(dǎo)致在相同的物理服務(wù)器上虛擬機(jī)爭奪CPU資源，從而使得虛擬機(jī)物理服務(wù)器更加容易遭到TCPSYN洪水攻擊。綜上所述，基于AHP虛擬機(jī)詳細(xì)功能部署和調(diào)度方法的DDoS攻擊檢測算法可以通過避免高CPU需求的虛擬機(jī)部署在一個相對稀缺的CPU資源位置、了解虛擬機(jī)資源的類型和其訪問特性來對物理服務(wù)器進(jìn)行評估，從而找到最適合的方案來對物理服務(wù)器進(jìn)行安全部署或遷移以達(dá)到優(yōu)化資源安全分配虛擬機(jī)集群的目的。

4 結(jié)論

針對云計算的虛擬機(jī)安全管理需求所提出這種安全管理框架模型，通過討論虛擬機(jī)管理模型研究的功能配置，驗證了利用DDoS攻擊檢測方法來檢測通過租用大量虛擬機(jī)來啟動TCPSYN洪水攻擊的方法是可行的，且可以使虛擬機(jī)有效地部署和動態(tài)遷移。

參考文獻(xiàn)：

［1］Khan A.U.R.，Othman M.，F(xiàn)eng Xia，et al.Con?text-Aware Mobile Cloud Computing and Its Chal?lenges［J］.IEEE Cloud Computing，2015，2（3）：42-49.

［2］ Jain R.Paul S.Network virtualization andsoftwaredefined networking for cloud computing： a survey ［J］.IEEE Communications Magazine，2013，51（11）：24-31.

［3］Wei Z.，Xiaolin G.，Wei H.R.，et al.TCPDDOS attack detection on the host in the KVM virtualmachine environment［C］.2012 IEEE/ACIS 11thInternational Conference on Computer and Information Science.doi：10.1109/icis.2012.105.

［4］ YamunaDevi L.，Aruna P.，Sudha D.D.，et al.Security in Virtual Machine Live Migration forKVM［A］.Yamu?naDevi， 2011 International Conference on Process Au?tomation， Control and Computing （PACC） ［C］.USA：IEEEComputer Society Press，2011：1-6.

［5］ Danev B，Jayaram M R，Karame GO，et al.Enabling?secure VM-vTPM migration in private clouds［A］.Danev，240 the 27th Annual Computer SecurityApplica?tions Conference ［C］.USA： ACM Press， 2011：187-196.

［6］ Fen Y，Yiqun C，Hao H，et al.Detecting DDoSattack?based on compensation non-parameter CUSUM algorithm［J］.Journal on Communications， 2008， 29 （6）：126-132.