存储区域网中基于识别异常访问请求的安全子系统研究

摘要

如何保护存储区域网系统是构建安全信息系统的关键和基础问题。若使用现有安全技术保护存储区域网系统中的海量数据，会严重降低存储区域网系统的I/O性能。这迫使我们必须研究新型安全策略，由此实现时间和空间开销较小且稳定的安全子系统，用于构建能保持较高I/O性能的存储区域网系统。 人工免疫算法已被证明能高效地识别出系统中的异常信息。我们引入人工免疫的思想，研究和设计基于识别异常访问请求的安全子系统，用于构建安全存储区域网系统，使之既能具有较高的安全性，又能保持较高的I/O性能。 本文利用元数据服务器和智能磁盘具有的并行处理能力，提出了安全功能的分布机制，分别为元数据服务器设计了中心异常访问请求识别模块，以及为各智能磁盘设计了分支异常访问请求识别模块，构建出分布式安全子系统的体系结构。提出了访问请求的主动检查机制，由元数据服务器和智能磁盘自主保护自身的安全。有效地减少了安全子系统保护存储区域网所需的时间和空间开销。 文中所提出的基于约束的检测数生成算法，用数值型检测数代替二进制字符串表示的检测器。该算法有效地解决了生成检测器和检查访问请求时存在的时间和空间开销大、冗余多和分析检测器识别异常信息能力较困难等问题。针对存储区域网系统中访问请求的组成特点，提出了数值型混合匹配算法。该算法提高了识别异常访问请求的准确性，减少了检查访问请求所需的时间和空间开销。基于这些算法实现了中心和分支异常访问请求识别模块，用于保护存储区域网系统，实验表明了其正确性和有效性。 我们提出了自适应匹配阈值选择算法和检测数集快速适应算法，有效地增强了异常访问请求识别模块适应不同运行环境的能力。设计了访问请求检查算法，实现了识别异常访问请求的功能。提出了检测数分发算法，实现检测数在中心和分支异常访问请求识别模块间的合理分布。 针对元数据服务器和智能磁盘之间的关联，引入合作博弈思想，提出了基于合作博弈的优化算法，以此构建中心与各分支异常访问请求识别模块间的合作博弈模型，并定义了异常访问请求识别模块的效用函数，用于减少安全子系统的时间和空间开销。 我们实现了开放式存储区域网模拟平台，模拟存储区域网中访问请求的处理流程。构建了基于识别异常访问请求安全子系统的原型，使用真实数据集测试，结果表明该安全子系统对异常访问请求的识别率较高，所需时间和空间开销较少且稳定。 在开源存储区域网系统—Lustre中，我们实现了基于识别异常访问请求的安全子系统，构建了安全存储区域网原型系统。使用Iozone测试其I/O性能，结果表明该安全存储区域网原型系统I/O性能的损失较小，仅下降了5％～10％左右。

目录

文摘

英文文摘

声明

第一章 引言

1.1存储系统的发展

1.1.1直接存储系统

1.1.2附网存储系统

1.1.3存储区域网系统

1.2安全存储区域网系统研究的现状

1.2.1研究现状

1.2.2主要安全存储技术的比较

1.3研究内容

1.4全文的组织

第二章 安全子系统的体系结构

2.1存储区域网系统的结构

2.2存储区域网系统的安全需求

2.3安全存储区域网系统的功能

2.4基于识别异常访问请求安全子系统的体系结构

2.5小结

第三章 访问请求的主动检查机制

3.1异常访问请求识别模块的结构

3.2主要元素的定义

3.3异常访问请求识别模块的功能需求

3.4研究面向存储区域网系统新型人工免疫算法的思路

3.5小结

第四章 基于约束的检测数生成算法

4.1算法的流程

4.1.1分析自体

4.1.2选择检测数

4.2算法的性能分析

4.3算法的原型系统

第五章 数值型混合匹配算法

5.1组分区分策略

5.2数值型混合匹配算法

5.3算法的性能分析

5.3.1组分区分策略性能的分析

5.3.2数值型匹配策略性能的分析

5.4组分区分策略的原型系统

5.5数值型匹配策略的原型系统

第六章 异常访问请求识别模块

6.1自适应匹配阈值选择算法

6.2检测数集快速适应算法

6.2.1增加正常访问串

6.2.2删除正常访问串

6.2.3检测数集快速适应算法的性能分析

6.3访问请求检查算法

6.4检测数分发算法

6.5异常访问请求识别模块的性能分析

6.5.1误差和漏洞

6.5.2时间和空间开销

6.5.3适应能力

6.6异常访问请求识别模块的原型系统

6.6.1原型系统的实现

6.6.2生成检测数所需时间和空间开销

6.6.3检查访问串所需时间和空间开销

6.7 小结

第七章 检查访问请求所需时间和空间开销的优化算法

7.1合作博弈模型中相关元素的定义

7.2安全优化模块的结构

7.3基于合作博弈的优化算法

7.4基于合作博弈优化算法的原型系统

7.4.1中心异常访问请求识别模块中的匹配阈值较大

7.4.2分支异常访问请求识别模块中的匹配阈值较大

7.4.3性能分析

第八章 基于识别异常访问请求安全子系统的功能测试平台

8.1开放式安全存储区域网模拟平台的结构

8.2开放式安全存储区域网模拟平台的实现

8.2.1开放式模拟平台中通信的实现

8.2.2接收访问请求模块

8.2.3主机模块

8.2.4元数据处理模块

8.2.5智能磁盘模块

8.4开放式模拟平台的运行

8.5基于识别异常访问请求安全子系统功能的测试

第九章 基于识别异常访问请求安全子系统在Lustre中的实现

9.1 Lustre系统概述

9.2元数据服务器模块

9.3智能磁盘模块

9.3.1 OST的工作流程

9.3.2 Client与OST模块之间的通信

9.4客户端模块

9.4.1 Client模块的流程

9.4.2 Llite文件系统

9.5基于识别异常访问请求安全子系统的原型

9.6安全存储区域网的原型系统

第十章 结论

参考文献

致 谢

博士期间发表的论文、获得资助的项目及申报的专利