一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法
【專利摘要】本發(fā)明公開(kāi)了一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法,將云服務(wù)器劃分成集群,從而為云計(jì)算平臺(tái)部署防火墻;根據(jù)服務(wù)器提供的云服務(wù)所處應(yīng)用層的不同,將服務(wù)器進(jìn)行分組,每類應(yīng)用對(duì)應(yīng)一個(gè)組,如果一個(gè)服務(wù)器提供多種服務(wù),選擇主要服務(wù)作為其劃分組別的標(biāo)準(zhǔn);對(duì)于每一種云服務(wù),以成本最小化為約束,托管服務(wù)器按照下面三個(gè)策略之一聚集成集群:策略a,將所有托管服務(wù)器聚集為一個(gè)單一集群對(duì)待;策略b,將所有托管服務(wù)器聚集為多個(gè)集群,其數(shù)目小于服務(wù)器數(shù)目;策略c,將每臺(tái)托管服務(wù)器作為一個(gè)集群;為每一種類型的云服務(wù)分別建立防火墻。給定某一類型的服務(wù),本發(fā)明給出了如何通過(guò)托管服務(wù)器聚類實(shí)現(xiàn)更為經(jīng)濟(jì)的成本支出。
【專利說(shuō)明】一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】,具體涉及一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)
置方法。
【背景技術(shù)】
[0002]云計(jì)算發(fā)展和受接收程度與日俱增,是未來(lái)部署軟件和服務(wù)重要基礎(chǔ)設(shè)施。云服務(wù)提供商提供給用戶按需的、彈性的服務(wù),降低了資本性支出和運(yùn)營(yíng)成本。
[0003]雖然云計(jì)算有著眾多優(yōu)點(diǎn),由于數(shù)據(jù)和業(yè)務(wù)外包給了第三方,由此也產(chǎn)生了云中嚴(yán)重的安全和隱私問(wèn)題。Aviram 等在” Determinating timing channels in computeclouds”中提出由提供者強(qiáng)制的決定執(zhí)行方法,控制VM之間的時(shí)間片通道來(lái)避免跨VM攻擊。Liu等在” A new form of DoS attack in a cloud andits avoidance mechanism,”中提出了一種利用云計(jì)算設(shè)施供給不足的特性的新型DoS攻擊方法。另一類和云相關(guān)的特定攻擊是可持續(xù)發(fā)展經(jīng)濟(jì)拒絕(Economic Denial of Sustanability),由Hoff在,,Cloud computing security:From DDoS attack (distributeddenial of servie) toEDoS(economic denial of sustainability) ”中提出,此攻擊方法利用了云計(jì)算定價(jià)模型的即買即付特點(diǎn)。
[0004]盡管有許多和安全相關(guān)的工作,據(jù)本發(fā)明所知,目前致力于防止云數(shù)據(jù)受到各種攻擊的研究工作并不多,自然對(duì)于云環(huán)境中防火墻的成本開(kāi)銷做定性分析的就更少了。Yu等在” Can We Beat DDoS Attacks in Clouds”中,提出防火墻運(yùn)行成本與VM個(gè)數(shù)和服務(wù)時(shí)間成正比關(guān)系,并在實(shí)驗(yàn)中證明了此假設(shè)。為了保護(hù)云數(shù)據(jù)中心,構(gòu)建防火墻是一個(gè)不錯(cuò)的選擇,傳統(tǒng)防火墻處在抵御惡意流量的第一戰(zhàn)線上。基于首次匹配的語(yǔ)義,防火墻放行或丟棄入站或出站流量。通常,防火墻部署在托管簡(jiǎn)單和有限服務(wù)的局域網(wǎng)環(huán)境下。
[0005]然而,云數(shù)據(jù)中心通常托管著各種各樣類型的異構(gòu)服務(wù),如web服務(wù),新聞服務(wù),電子商務(wù)服務(wù)。不幸的是,所有這些服務(wù)都會(huì)受到許多攻擊,如分布式拒絕服務(wù)攻擊、釣魚(yú)式攻擊等待。服務(wù)的多樣化和攻擊的復(fù)雜性使得傳統(tǒng)的基于數(shù)據(jù)包的防火墻不適用于云平臺(tái)。Yu等在”A general cloud firewall framework with dynamic resource allocation,,中提出了一個(gè)云防火墻的通用框架,框架在傳統(tǒng)數(shù)據(jù)包層防火墻的基礎(chǔ)上,形成一個(gè)事件層檢測(cè)鏈,此外,防火墻所需資源是按照需求動(dòng)態(tài)快速分配的。但是,集中式的防火墻可能受到單點(diǎn)故障的影響,進(jìn)而成為性能瓶頸。
【發(fā)明內(nèi)容】
[0006]發(fā)明目的:為了解決現(xiàn)有技術(shù)的問(wèn)題,本發(fā)明提供一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法。
[0007]本發(fā)明公開(kāi)了一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法,將云服務(wù)器劃分成集群,從而為云計(jì)算平臺(tái)部署防火墻;
[0008]根據(jù)服務(wù)器提供的云服務(wù)所處應(yīng)用層的不同(如Web服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、新聞服務(wù)、郵件服務(wù)等),將服務(wù)器進(jìn)行分組,每類應(yīng)用對(duì)應(yīng)一個(gè)組,如果一個(gè)服務(wù)器提供多種服務(wù),選擇主要服務(wù)作為其劃分組別的標(biāo)準(zhǔn);
[0009]對(duì)于每一種云服務(wù),以成本最小化為約束,托管服務(wù)器按照下面三個(gè)策略之一聚集成集群:
[0010]策略a,將所有托管服務(wù)器聚集為一個(gè)單一集群對(duì)待;
[0011]策略b,將所有托管服務(wù)器聚集為多個(gè)集群,其數(shù)目小于服務(wù)器數(shù)目;
[0012]策略C,將每臺(tái)托管服務(wù)器作為一個(gè)集群;
[0013]為每一種類型的云服務(wù)分別建立防火墻。
[0014]本發(fā)明中,確定防火墻系統(tǒng)平均請(qǐng)求時(shí)間T、平均系統(tǒng)吞吐量Y和CPU使用率U ;
[0015]平均請(qǐng)求時(shí)間T包括排隊(duì)時(shí)間和處理時(shí)間,用余衡量每條請(qǐng)求從發(fā)起到防火墻處理請(qǐng)求結(jié)束的時(shí)間長(zhǎng)短;平均系統(tǒng)吞吐量Y指單位時(shí)間內(nèi),防火墻所處理的請(qǐng)求數(shù)目,用于衡量防火墻處理請(qǐng)求的速度快慢;CPU使用率U是平均系統(tǒng)吞吐量Y和每條服務(wù)的平均處理時(shí)間的乘積,用于衡量防火墻系統(tǒng)自身的開(kāi)銷大小。由于云防火墻需要消耗云數(shù)據(jù)中心的資源,本發(fā)明提出了一個(gè)符合云計(jì)算平臺(tái)即買即付的定價(jià)策略的線性成本模型,Cost=R*P (ECUs)。,其中R是每個(gè)托管服務(wù)虛擬機(jī)實(shí)例處理平均到達(dá)托管服務(wù)器的防火墻的請(qǐng)求的總響應(yīng)時(shí)間,P(ECUs)是給定了數(shù)目的ECU (計(jì)算單元)的每個(gè)實(shí)例的價(jià)格;基于此模型,提出了分別在相同系統(tǒng)吞吐量和相同系統(tǒng)響應(yīng)時(shí)間下,防火墻的構(gòu)建方式及其相應(yīng)成本開(kāi)銷。本發(fā)明給出了最優(yōu)化成本的防火墻構(gòu)建方法。
[0016]在相同系統(tǒng)吞吐量Y的條件下,選擇成本開(kāi)支最小的策略執(zhí)行:
【權(quán)利要求】
1.一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法,其特征在于,將云服務(wù)器劃分成集群,從而為云計(jì)算平臺(tái)部署防火墻; 根據(jù)服務(wù)器提供的云服務(wù)所處應(yīng)用層的不同,將服務(wù)器進(jìn)行分組,每類應(yīng)用對(duì)應(yīng)一個(gè)組; 對(duì)于每一種云服務(wù),以成本最小化為約束,托管服務(wù)器按照下面三個(gè)策略之一聚集成集群,并為每一種類型的云服務(wù)分別建立防火墻: 策略a,將所有托管服務(wù)器聚集為一個(gè)單一集群對(duì)待; 策略b,將所有托管服務(wù)器聚集為多個(gè)集群,其數(shù)目小于服務(wù)器數(shù)目; 策略C,將每臺(tái)托管服務(wù)器作為一個(gè)集群。
2.根據(jù)權(quán)利要求1所述的一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法,其特征在于,確定防火墻系統(tǒng)平均請(qǐng)求時(shí)間T、平均系統(tǒng)吞吐量Y和CPU使用率U ; 平均請(qǐng)求時(shí)間T包括排隊(duì)時(shí)間和處理時(shí)間,用余衡量每條請(qǐng)求從發(fā)起到防火墻處理請(qǐng)求結(jié)束的時(shí)間長(zhǎng)短; 平均系統(tǒng)吞吐量Y指單位時(shí)間內(nèi),防火墻所處理的請(qǐng)求數(shù)目,用于衡量防火墻處理請(qǐng)求的速度快慢; (PU使用率U是平均系統(tǒng)吞吐量Y和每條服務(wù)的平均處理時(shí)間的乘積,用于衡量防火墻系統(tǒng)自身的開(kāi)銷大小。
3.根據(jù)權(quán)利要求2所述的一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法,其特征在于,成本最小化為約束中采用以下公式計(jì)算成本:
Cost=R*P(ECUs), 其中R是每個(gè)托管服務(wù)虛擬機(jī)實(shí)例處理平均到達(dá)托管服務(wù)器的防火墻的請(qǐng)求的總響應(yīng)時(shí)間,P(ECUs)是給定了數(shù)目的ECU (計(jì)算單元)的每個(gè)實(shí)例的價(jià)格; 在相同系統(tǒng)吞吐量Y的條件下,選擇成本開(kāi)支最小的策略執(zhí)行:
4.根據(jù)權(quán)利要求3所述的一種云計(jì)算平臺(tái)中成本最小化的防火墻設(shè)置方法,其特征在于,在相同系統(tǒng)響應(yīng)時(shí)間的條件下,選擇成本開(kāi)支最小的策略執(zhí)行:
【文檔編號(hào)】G06F21/55GK103475672SQ201310461337
【公開(kāi)日】2013年12月25日 申請(qǐng)日期:2013年9月30日 優(yōu)先權(quán)日:2013年9月30日
【發(fā)明者】竇萬(wàn)春, 劉孟, 陶旭 申請(qǐng)人:南京大學(xué)