论文研究-基于嵌入式马尔可夫链的网络防火墙性能建模与分析.pdf

所需积分/C币:5 2019-07-22 21:56:00 1.61MB .PDF

提出了一种基于嵌入式马尔可夫链的解析排队模型来分析和研究基于一定准则的防火墙在面对正常流量和DoS攻击时的性能。基于这种排队模型,得到了一组关于防火墙特征和性能的指标计算方法,这对防火墙的设计来说具有重要意义。同时还提出了一种易于实现的算法来得到这种马尔可夫链模型的状态概率,对防火墙的状态和性能也作了深入的分析。最后通过实验分析验证了提出的解析模型的有效性。
第5期 马永红,等:基于嵌入式马尔可大链的网络防火墙性能建模与分析 1493· 式(10)得到,是等效的。采用正则化条件p0可以表示为 的数据流,然后确定其平均匹配准则的位置M。总的数据流的 06+22Pn=1 (21 到达率可以表小为 将式(21)的两边同时除以p,可以得到 A (22) 总的数据流的平均匹配准则的位置M可以表示为 M (34) 从式(22)可知,计算p0可以首先计算,而的计算其中:M为数据流的匹配准则位置。 P0.0 只需要知道参数λ、r。在得到0之后,利用式(11)~(20) 可以采用1.I节中的算法信计p,只需要将λ替换为A, 可以将其应用到所有其他状态概率的计算。 将N替换为M+1,其他的输入参数μ、r、K相同。式(22) 在得到状态概率之后,就可以得到防火墙的关键特征和性 31〕就可以计算总的数据流的性能指标。对每一个数据流也 能的庋量。系统的平均吞吐量γ可以表示为 可以计算其性能指标。如对单独的乔吐量y:可以表示为 A: y=∑ (23) (35) 等效的,系统的平均吞吐量y也可以表示为 其中:y为式(22)表示的总的吞吐量。在得到y以后,可以将 y=(1 (24)其用来计算其他的性能指标。CPU的利用率可以表示为 其中:p如式(21)所示;X为平均服务时间,且可以表示为 N-1 每一个数据流的平均数据包延迟W,与总的数据包的延迟W (25 相同 参数γ也可以用有效到达率A=A(1-Px)表示。因此 (37) y=(1-p)/X=A(1-P1as) 其中:P为丢失概率,且可以表示为 每个数据包的丢失率P1,和总的数据包的丢失率P1相等 Po Po +p (27)2模型验证 其中:P=Ak表示流量强度。等效的P也可以表示为 为了验证本文模型的有效性,进行了离散事件的仿真,各 P (28)种假设条件与前面模型中的假设条件一样。仿真的步骤与文 献[7]所描述的一致。本文采用PMⅥLCG作为随机数发生器。 系统中的数据包数量K可以表示为 通过自动化仿真来产生基于不同初始种子的独立复制。在仿 (29)真运行过程中,木文检查了随机数据流的重叠问题以确保这样 利用以上结果,可以得到系统中后续的任务进入队列的平的情况不会发生。具体数据的产生方法如文献[7]所介绍的 均吋间为 样 K 为了验证本文的解析模型,膏本文的分析结果与文献[9 (30) 报道的实际实验结果相比较。佟4所示为实验设置和测试平 因此,队列的平均等待时间可以表示为 台。在文献[9]中报道的测量值包含了防火墙的吞吐量、数据 W=W-x= hp (N-1) (31)包丟失率、CPU利用率数据包延迟。这些测量值是在防火墙 防火墙的另个关键性能指标为CPU的利用率。CPU的 面临两种数据流量的情况下得到的正常流呈和DDoS攻击流 量。整个实验设备如图4所示。 利用率可以表示为 Linux nettle X 其中:y如式(22)所示。 1.2多流量 receiving normal traffic (using ITGSend) switeh receiving normal traffic 在实际应用中,防火墙可能面临多个输入数据包,并且每 个数据包所遵循的准则不一样。这种情况在僵尸网络发起 的DDoS攻击中非常普遍。本节将对这种情况进行建模和分 Dos allack machine (usirg KUTE 析。为了分析的简便,假设每一个数据包只触发一条准则。如 图4实验设置和测试平台 果一个数据包触发了多条准则,则定义为多数据流。在1.1节 为了使正常流呈通过防火墙,采用开源D-TIG2.4.4发生 定义的单流量解析模型也能够用于硏究多流量情况下的防火器⑩。为了产生一个无方向性的数据流,D-TG需要进行配 墙性能。每个数据流的到达率分别为A:1≤≤S},每个数置,以便采用 TGSend agent发送UDP数据流到IGRe。采用 据量触发条特定的准则{R:1≤≤L}。其中S表示输入数NP协议以使得Icnd和r(Rrcy同步。这对策量准确的数 据量的数量,L表示防火墙的规则总数。不同的数据流可能触据包延迟非常必要。为了产生DS流量,本文采用KUTE1。 发相同的准则。 KUTE是开源UDP流量发生器。在实验中,CPU的利用率通过 种解决的方法就是将所冇数据量加在一起得到一个总 sar linux单元进行测量。然而吞吐量、数据包丢失率、双向时 1494 计算机应用研究 第31卷 间通过D-IG测量。本文采用64Bte的最小数据包。 值非常接近;而当攻击流量的目标准则的位置为1000时,分析 将防火墙与 Linux netfilter配置在一起,用 iptables命令产值比实验测呈值略大。这是因为当攻击流量的目标准则的位置 生D-I℃流量准则以及其他10000条准则。通过配置让为1000时,对CPU的处理要求不是很紧急,这样CPU就能处 Linux netfilter接收和允许通过υ-lTG流量,但是丢掉探测数据理其他优先级较低的系统任务,从而增加了CPU利用率的读 包。与冂-TG流量或者普通流量相关的准则在防火墙准则的数。而当较高优先级的任务占用了CPU的大多数处理能力的 起始部分进行标注。D-lG流量被用來进行防火墙性能参数时候,其他低优先级的仨务就不会被处埋。也就是说,在DoS攻 的计算,而其他山 iptables命令的shl脚本产生的没有无链准日标准则的位晋较高时,CPU卞要处理防火墙准则 则,除了MAC地址源以外都具有自己独立的条件。所有这些 图5(a)所示为防火墙在面临KUTE发送的DS攻击时 准则都由UDP进行编码。对源ⅥAC地址使用了一个条件,因TG发送的正常流量的吞吐量降低的情况。图5(b)~(d)所 为源MAC地址消耗的计算资源更多。这是囚为MAC地址是示为相同条件下,数据包丢失、CPU利用率、数据包延迟的变 nelliller需要检测的最后条件之一。 化情况。从图中可以清楚地看到,当Ds攻击的目标位于较 高的位置时,这些性能会有一定程度的降低;而当其攻击的H 3结果分析 标为最底部的准则时,如位于5000和10000处的准则,这些 木章将给出防火墙的各种性能指标的实验和分析结果,包性能会有比较明显的降低;DoS攻古的速率越低,这种性能的 括吞吐量、数据包丢失率CPU利用率数据包延迟。本文给出降低越明显。然而,当攻击的目标位于顶部时,如位于1000 在防火墙面临普通数据流量和DoS攻击流量时的这些指标处的准则,DoS攻击的速率越高,性能的降低越明显 值。除此之外,还给出了分析结果,以便对防火墙动态和行为 为了更进一步了解防火墙的行为和性能.图6给出了防火 有更进一步的理解。对于下面给出的实验结果,本文都进行了墙的春吐量和CPU利用率与接收到的攻击目标准则的位置为 三次实验,最后给出的结果为平均值。对每一次实验,本文记500时接收DS攻击流量的关系。图6所示为防火墙在面 录的结果都是在持续时间为30s以后的结果。 临速率为10KPs的普通IG流量和速率为0~20Kpps的DS <5所示为发生具有不同速率和遵循不同位置准则的攻击流量时的性能分析结果和实验测试结果。图6中给出了单 攻击时的防火墙性能指标。该性能指标是通过使 ITGSend独的Ic和DoS流量以及总的流量所对应的吞叶量和CPU利 产生常规的10Ks的UDP流量而测量得到的。本文通过此用率指标。本文在防火墙处测量了这两个指标,测量结果和图 置使 Linux netfilter准则库中的第一条准则允许这样的流量通5a)中的结果非常接近。单独流量对应的CPU无法测量。 过。本文分別测量了在普通流量和DoS攻击流量情况下防火 如图6所示,在速率为4kp时,防火墙达到了饱和点 墙各种性能指标的下降程度。本文假设Ds攻击流量的日标在这个点,如图6(a)所示KT发送的D攻击的吐量开始 在防火墙准则库中的位置分别为10005000、10000。 趋于平缓,IⅣG普通流量的吞吐量开始下降。除此之外,在这个 10 点,总的流量对应的CPU利用率达到100%,如图6(b)所示 654321 70 46810121416182002 Dos attack rate/Kpps 4161820 6810121416182 870 60 图6防火墙吞吐量和CPU利用率在DS攻击目标 50- 准则位于5000时的变化情况 :0060 4结束语 21i6 Dos attack rate/kpns DoS attack rate/Kpps 本文提出了一种基于 Markov chain的防火墙性能的解析 图5DoS攻击流量对防火增性能指标的影响 模型。从这个模型得到了防火墙在面临Dos攻击流量时关键 图5所小为在10Kps普通流量情况下的实验测量值和指标的计算方式。这对网络工程师和设计者来说都貝有重要 分析结果。关于吞吐量、数据包丢失率、CPU利用率这三个指作用。这种模型不仅能够计算防火墙面临普通流量时的性能 标,实验测量值和分析结果非常接近。但是如图5(d)所小,对指标,还能够计算面临Dos攻击时的性能指标。这些指标包 于数据包延迟,实验测量值和分析结果所得到的曲线形状非常括吞吐量、CPU利用率、数据包丢失率、数据包延迟。通过实验 相似,但是实验测量值更大一些。这主要是因为实验的设置造发现这种模犁的分析结果和实验测试结果非常接近,表明了这 成的,实验测量值是在发送机处测量得到的,这种延迟比Lmx种模型的有效性。 Netfilter防火墙处的延迟更大。实验测得的延迟包含了ⅢTG参考文献 serd发送数据包的延迟、防火墙处的延迟、接收机处的延迟以 [1-ciscoPixfirewallrclcascnotcs[eb/ol].(2004).http://www.cisco 及传输和排队的延迟。 I Xnv/en/US/dx s/se: u rily/pix/pix62rele:st/ru le/pixIm(24 hIrml 对于(PU的利用率,从图5(c)中可以看出,当DnS攻击流2 Linux netfilter/OL1.ht:w. netfilter.org 量的目标准则的位置为500和1000时,实验测量值和分析 (下转第1498页) 1498· 计算机应用研究 第31卷 户隐私分类后的隐私信息进行保护。首先针对不同的属性分类,制[3] ARMBRUST M,FOXA, GRIFFITH R,eal. Above the cloud:a 定相应的属性访问控制策略,并根据不同的业务类型,采取相应的 Berkeley view of cloud computing,UCB/EECS200928[R].Bee ABE属性加密方法,最后使用ABS属性签名方法对加密的数据进 ley University of California at Berkeley 行签名,从而达到用户隐弘属性高级别保护的目的。 [4 WANG Li-zhe, TAO Jie, KUNZE. M, el ul. Scienlific cloud cumul ting: early definition and experience c]// Proc of the 10th Interna 业务使月的情管即模 展屐示模 tional Conference on High Performance Computing and Communica- tions. Washington DC IEEE Computer Society, 2008: 825-830 用户接∏ eb i、HT5+A.x+55H [51 KAUFMAN L. Data security in the world of cloud computing[ J1 EEE Security and Privacy, 2009, 7( MdM数据站果存储」 6」张军,能枫.网终隐私保护技术综述[J」.计算机应用硏究,2005 据挖据平台层 [7] Cloud Security Alliance. Security guidance for critical areas of focus in AR属性 基于AES属性笠 cloudcomputingv2.I[eb/ol].(2011-12-24).Http://www.cloud 匚身份认证」 security alliance. org/guidance/csaguide. v2. 1. pdf 「业务敏感数指 个人基本信息 [8 GODSE. M, MULIK S. An approach for seleeliny stfi ware-is-id-service Weh环境 Saas) product cloud computing[ C ] //Proc of IEEE International 元数名管理 1分在式 [9 LIU Feng, GUO Wei-ping, ZIlAO Zhi-qiong, et al. SaaS integration for Hack HDFS 匚分布式管理 software cloud[C//Proc of the 3rd IEEE International Conference on 图4云环境下电信CRM业务系统隐私保护原型系统框架 Cloud Computing. 2010: 402-409 5结束语 [10] ZHANG Yong, LIU Shi-jun, MENG Xiang-xu. GridSaaS: a grid-enabled and SOA-based Saas application platform C//Proc of IEEE Interna 厶计算的应用几乎涉及了信息管理与服务的各个领域,公 I(nal Conference On Services CaImpuliny. 2009: 521-523 计算中的隐私问题者得不到很好地解决,则将会直接影响到用「11晓飞,云计算环境下的用户隐私问题浅析南昌教育学院学 报,2013,28(2):194-196 户的信息安全和选择云计算的信心。随着电子商务、电子政务、 L 12] SOOD S K. A combined approach to ensure data security in cloud com- 网络教育的兴起与蓬勃发展,人们在网上的活动越来越多,如网 puting J1. Joumal of Network and Computer Applications, 2012 上浏览査询、聊天、购物、学习、收发邮件等。在这些网上活动 35(6):1831-1838 中将涉及到大量的个人隐私信息,虽然网络导致的隐私泄露已[3 CLINFTON C, KANTARCIOGLUGLU M, VAIDYA, I. Defining priva 引起社会各界的广泛关注,社会也采取和制定了许多法规、自律 ey for data mining[ C//Proc of National Science Foundation Workshop 政策和技术等措施来加强对网络隐私的保护,但这些措施的作 on Nexl generation Dala mir Inline. 2002 用非常有限,隐私保护仍然是一个亟待解决的挑战性问题,进一[14]周水庚,李丰,陶宇飞,等.面向数据库应用的隐私保护研究综述 步将深人研究云计算环亮下的用户隐私属于的形式化表示和隐「J.计算机学报,2009,32(5):848-858 私保护原犁系统的开发 [15 WAQAR A, RAZA A, ABBAS Il, et al. A framework for preservation of 参考文献 cloud users data privacy using dynamic reconstruction of metadata [J]. Journal of Network and Computer Applications, 2013, 36 L 1 SU Mu-chun, CIIOL C II. A modified version of the K-means algo (1):235-248. ithm with a distance bascd on cluster symmetry[ J]·" EEE Trans on[16]张坤面向多租户应用的云数据隐私保护机制研究[D].济闵:山 Pattern Analysis and Machine Intelligence, 2001, 23(6): 674- 东大学,202:20-38 [17]兰丽辉,鞠时光,金华,等.数据发布中的隐私保护研究综述[J] [2 DEAN J, GHEMAWAT S MapReduce: simplified data processin 汁算机应用研究,2010,27(8):2823-282 large clusters[J]. Communication of the ACM-50th Anniversary [18] Enterprise privacy authorization language(EPAL 1.2)[EB/OL]. ht- Issue:19582008.2008,51(1):107-113 tp://www.w3.org/submissIon/epal (上接第1494页) [7 LAW A, KELTON W Simulation modeling and analysis[ M]. 2nd ed [3 MELARA A J Performane e analysis of the Limux firewall in H husl [S1.: McGraw-Hill,1991 ID. S 1.: California Polytechnic State University, 2002 [8 LIU AX, GOUDA M G Diverse firewall design[ J. IEEE Trans on [4 Arbor Networks Inc. Worldwide infrastructure security report[EB Parallel and Distributed Systems, 2008, 19(9): 1237-1251 Olj.http://www.arbornctwork3.com/rcport [9 SALAH K, SATTAR K, SQALLI M, ell. A polerlial luw-rale DoS :l- [5] SALAH K. Queueing analysis of network firewalls[ C_//Proc of tack against network firewalls[J]. Security and Communication Networks,2011,4(2):136-146 IEEE Global Telecommunications Conference. 2010.1-5 [101DistributedInternettrafficgeneratorEb/oL1.(2008).http:// [6 SALAH K, QAHTAN A. Implementation and experimental perfor www.grid.unina.it/software/ttc mance evaluation of a hybrid interrupt-handling schemel J]. Intema- [11] ZANDER S, KENNEDY D, ARMITAGE G. KUTE: a high perfor- tional Journal of Computers Communications Control, 2009, 32 Im:ance kernel-ba-pdd UDP Iralfie engine[ EB/OL. .(2005).hllp (1):179-188 caia swin. edu. au/reports/050118A/CALA-TR-050118A pdf

...展开详情
试读 5P 论文研究-基于嵌入式马尔可夫链的网络防火墙性能建模与分析.pdf
img

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐
    论文研究-基于嵌入式马尔可夫链的网络防火墙性能建模与分析.pdf 5积分/C币 立即下载
    1/5
    论文研究-基于嵌入式马尔可夫链的网络防火墙性能建模与分析.pdf第1页
    论文研究-基于嵌入式马尔可夫链的网络防火墙性能建模与分析.pdf第2页

    试读已结束,剩余3页未读...

    5积分/C币 立即下载 >