网络安全课程报告

网络安全课程报告

通过学习网络与计算机安全课程，使我更加深刻的理解网络信息安全的重要性。网络信息安全是保护个人信息的完整性和保密性的重要条件，只有明白了网络信息安全的基础知识，我们才能更加的了解网络信息安全在如今信息化时代的重要性。

计算机的广泛应用把人类带入了一个全新的时代，特别是计算机网络的社会化。已经成为了信息时代的主要推动力。然而，网络是一把双刃剑，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来。

经过老师的讲解学习，对信息安全这个方向有了更多的了解，接触到了一些网络安全方面的知识，譬如网络资源的扫描、网络攻防技术、操作系统安全等，同时还学习了相关软件的使用。同时老师采取了让学生自己研读相关论文并进行讲解的学习交流模式，更大的调动了我们的积极性。

在这对我所学习研读的论文《CloudPolice：Taking Access Control out of the Network》进行一下总结并补充一些没能讲解到位的地方。

CloudPolice这篇文章是针对在云计算环境之下提出来的一种在网络之外的进行访问控制的机制。目前云计算环境不同于现有的企业网络环境，具有对租户、网络架构的多样性、规模很大以及云架构的高动态性等特点，使得我们原有的访问控制技术如VLAN、防火墙等都不再适应云计算网络环境，新的访问控制机制的提出成为了必要。而作者所提出的CloudPolice的访问控制机制也是基于hypervisors，因为hypervisors可软件编程，

从而CloudPolice能提供满足租户各种各样的访问控制策略。

对于上课讲解中遇到的几个问题的补充。首先，在CloudPolice访问空中判断中的condition中有涉及到这样一条判断，state recording the history of past traffic，而我们对于怎么记录过去的流量状态表示疑问，作者的相关解释为，“We refer to conditions that are not based on recorded state bout past traffic as stateless, and the remaining as stateful. The form of the recorded state could be arbitrary”，并指出，文中提出了四种基本状态：(1) Incoming Flows: the number, arrival rate and duration of flows incoming from a given source host/group, (2) Incoming Bytes: the number and rate of received bytes from a given source host/group, (3) Outgoing Flows: the locally initiated flows, (4) Rejected flows: the number of locally rejected TCP connections typically indicating port scanning.

其次，评估应对Dos攻击时，提到了performance isolation（PI），如链路的公平共享，即hypervisor上有N个VMs，所有VMs的速率要被在1/N（使用平分或者其他更复杂的算法来划分），这样就能避免带宽被恶意攻击者占尽。换而言之，这是基于目的端的平分带宽，即一个合法的VM不会通过已验证的流对位于同一台物理机上的VM进行DOS攻击。目前已有的实施PI的方法并不能阻止DOS攻击，因为这种共享带宽是基于源端而不是目的端，则如果攻击者利用任意数量的源端VM来竞争带宽，同样会引起链路的拥塞，对其他VMs造成攻击。

最后对于作者提出的机制的可行性验证。作者正致力于在一个开放的VSwitch上实现一个CloudPolice的原型。主要关注的焦点在于，在hypervisors上实施AC需要满足hypervisors有匹配线路速率的性能要求。特别在以下两个方面，1、维持并作用于每一条流的状态；2、在低时延的要求下安装新状态的能力。针对第一点，表示目前开放式VSwitch

在一个linux桥上一定比例上能实现全速。至于CloudPolice中对每一条流额外的处理将是以后的研究工作。而对于第二点，需要快速创建新流的状态，在流的分组被输入缓存区中丢弃之前。由于自托管的VMs很少，他们期望策略的查询也很少并且状态的创建时延将由策略的复杂性来决定。对于无状态需求的策略，因为只有简单的匹配规则所有不希望有明显的时延。对于文章前面提到的几种基于状态的策略，也期望有低时延，因为这些策略主要涉及到每台托管VM的计数器。

关于这几个问题，由于作者也是在阐述一个原理，而原型的实现也并没完成，所有后续很多应用方面的实现都是接下来需要研究的问题。单一篇文章并不能让我对这个方向有更全面的了解，其中很多不懂得专业术语跟概念都需要以后的学习和了解。

通过这门课程的学习，包括其他同学论文的讲解，让我对网络安全研究方向有了更深的了解，而通过自己读论文讲论文不仅了解了相关技术原理，也在读文献的方法方面学习了更对，这对我今后读文献写论文也很有帮助。