论文部分内容阅读
随着信息时代下数据量的快速增长,多域数据中心协同运作已然成为大型企业用户存储数据的最佳选择,为此,多域数据中心的信息安全也成为企业用户最关注的问题。由于每个数据中心域有单独的安全管理系统,容易形成各个数据孤岛,导致管理复杂,因此需要一种针对多域数据中心的安全部署方案,兼顾南北走向和东西走向流量,统一管理多域数据中心的信息安全问题。同时,针对多域数据中心攻击事件频发问题,传统数据中心的安全防御系统有着感知能力不足、隔离性差、安全服务部署不灵活三点问题,因此亟需一种具有实时感知能力的安全服务架构,并能够及时、灵活地调整安全服务策略且在防御攻击的过程中尽量保证合法流量不受干扰。本文在SFC(Service Function Chaining,服务功能链)的基础上结合流量感知技术,设计一种针对多域数据中心、兼顾南北走向和东西走向流量的安全服务架构。通过在数据中心入口处和出口处部署不同粒度的流量感知组件,感知不同类型的合法流量以及可疑的异常流量。感知分类器对合法流量进行细粒度感知分类,利用与控制器交互的被动策略为不同类型的合法流量提供定制化安全服务路径;威胁感知组件对各种攻击流量进行粗粒度感知,利用基于元数据标签的主动策略为不同类型的可疑流量提供定制化清洗策略。对于可疑流量的清洗策略,考虑不同攻击流量的特点,将隐蔽性高、杀伤力强的攻击流量调度到蜜网中进行行为分析或在防火墙中添加规则进行攻击消除。将容易导致网络拥塞的DDoS攻击流量调度到数据中心外的清洗中心域中进行攻击消除,避免攻击流量在数据中心内部消除时对合法流量造成干扰。除此之外,在清洗中心域提出一种针对服务功能链的负载均衡算法,为多域数据中心DDoS消除提供足够的处理能力。通过搭建原型系统,分别模拟目前数据中心最常见合法流量、最难防御的APT攻击以及DDoS攻击,验证所提安全服务架构的可行性。首先通过实验证明本文提出的架构能够灵活地为不同类型流量提供定制化安全服务,其次证明架构能及时地感知到可疑流量且有效地防御隐蔽性强的APT攻击流量,最后证明该架构在消除DDoS攻击的同时能够不干扰合法流量,并与目前典型的DDoS攻击消除策略和未进行负载均衡的基于感知的DDoS攻击消除策略进行实验对比,并讨论了重要参数对算法执行效果的影响。实验证明了基于流量感知的安全服务架构能够兼顾南北走向和东西走向流量,为多域数据中心提供灵活、有效的安全服务。