面向网络测量的安全云服务及效率优化方法

【摘要】：网络测量周期性更新网络流概要数据并计算网络度量指标,为网络管理、网络运营和网络安全等上层决策和应用提供可靠数据支持。软件定义网络和网络功能虚拟化技术的推动,以及云计算可扩展性和方便管理的优势,共同促进了网络应用从监测网络到专业公有云的迁移。网络度量指标刻画网络状态,是网络核心数据;其泄露和滥用导致严重的网络攻击,例如拒绝服务攻击,网络拓扑的操纵和污染等。事实上,云计算的安全威胁是网络测量在公有云上部署的核心瓶颈。保障网络测量服务安全的主要方法是构建硬件辅助隔离执行环境。已有的硬件辅助技术能提供机密性和完整性保障,但仅支持有限的安全内存空间,且不保护访问模式。然而基于访问模式的推理攻击会泄露部分网络度量信息。树状存储的不经意随机访问机是保护数据访问模式的有效方案。该方案在存储数据时对内存需求倍增,导致受限安全内存空间下访问网络流概要数据效率低。同时基于多嵌套循环方案设计的保护代码访问模式的算法时间开销大。针对以上问题,本文分别研究了安全内存空间受限的网络流概要数据压缩方法,保护访问模式的不经意随机访问机优化方法和基于Sketch的安全网络测量服务优化方法。本文主要工作和贡献归纳如下:(1)针对内存需求倍增导致访问网络流概要数据效率低的问题,提出了安全内存空间受限的网络流概要数据压缩方法,设计了相应的流概要数据结构—Slim-Fat Sketch(SF-Sketch)。SF-Sketch 由两个子 Sketch 组成,其中 Fat-Subsketch 负责更新网络流并周期性压缩成Slim-Subsketch用于传输或存储。该方案基于边云协同架构,在向网络测量服务传输本地网络流概要数据前对其进行压缩。针对软路由器,采用数据并行指令和数据预取技术优化压缩效率。对误差界限及SF-Sketch正确率给出了理论值。实验结果表明,当Slim-Subsketch和CM-Sketch保持相同大小时,SF-Sketch的流元素频率相对误差小于1%的占比是CM-Sketch的21.57倍;在保持相同准确性的前提下,Slim-Subsketch的存储空间仅为CM-Sketch的1/16。(2)针对保护数据访问模式的已有不经意随机访问机效率低的问题,提出了保证不经意安全的效率优化方法,设计了高效的不经意随机访问机—Fast ZeroTrace(F-ZeroTrace)。该方案从数据初始化和访问两个方面分别进行改进和优化。在保证安全性的前提下,提高了 F-ZeroTrace的效率;其中F-ZeroTrace的初始化时间复杂度从k log(N)ω(log(N))降低到O(Nlog2(N))(N)是数据块的个数,k是有效数据块的个数)。实验结果表明,当数据块设置64B时,初始化120KB数据仅需要10ms,而ZeroTrace则高达216ms。所提出的内存访问算法的效率比ZeroTrace平均提高了3倍。(3)针对保护代码访问模式的已有多嵌套循环方案效率低的问题,提出了安全网络测量服务框架和保证不经意安全的效率优化方法,设计了高效的安全网络测量服务系统—Fast Oblivious Sketch(FO-Sketch)。对具体功能单独分析,采用加入不经意洗牌原语,数据并行指令和分解问题规模等技术,优化了常规网络测量任务中的所有五个关键功能,使其比基于多嵌套循环的不经意解决方案在整体上快17.3倍。在保持与Elastic Sketch相同级别的准确性和数据包处理吞吐量的同时,FO-Sketch仅需在安全容器中分配约4.5MB的安全内存空间。采用Elastic Sketch推荐的配置和边云协同,相比多嵌套循环方案,在每个测量间隔内重建这些数据减少到 0.6s。本文面向网络测量的安全云服务,提出了安全内存空间受限的网络流概要数据压缩方法,保护访问模式的不经意随机访问机优化方法和基于Sketch的安全网络测量服务优化方法,并最终设计了高效的安全网络测量服务系统—FO-Sketch。对于推动安全网络应用的研发具有一定的理论和实际意义。