面向云工作流安全的任務(wù)調(diào)度方法

王亞文 郭云飛 劉文彥 扈紅超 霍樹民 程國(guó)振

(國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 鄭州 450002) (15738321455@163.com)

云計(jì)算是一種以虛擬化技術(shù)為基礎(chǔ)，以網(wǎng)絡(luò)為載體提供基礎(chǔ)架構(gòu)、平臺(tái)、軟件應(yīng)用等服務(wù)為形式，整合大規(guī)模可擴(kuò)展的分布式計(jì)算資源進(jìn)行協(xié)同工作的超級(jí)計(jì)算模式[1].在云計(jì)算模式中，用戶不再需要硬件購(gòu)買和軟件部署，只需要支付一定的費(fèi)用，通過網(wǎng)絡(luò)就可以方便地獲取所需要的計(jì)算和存儲(chǔ)資源.正是由于云服務(wù)成本低廉以及操作簡(jiǎn)單等優(yōu)點(diǎn)，越來越多的大規(guī)模科學(xué)計(jì)算任務(wù)被交付給云計(jì)算來完成.大規(guī)模的科學(xué)計(jì)算任務(wù)由成千上萬個(gè)步驟組成，為了在云計(jì)算分布式系統(tǒng)框架中對(duì)這些步驟進(jìn)行合理的編排、執(zhí)行以及追蹤，云工作流系統(tǒng)被提出.

為充分利用資源，云計(jì)算依托虛擬化技術(shù)，構(gòu)建了多租戶共享共存的運(yùn)營(yíng)模式，這種模式在帶來利潤(rùn)的同時(shí)也引入了極大的安全隱患，比如攻擊者可以合法地租用虛擬機(jī)作為跳板，利用虛擬平臺(tái)漏洞竊取或篡改其他租戶的數(shù)據(jù)或信息等[2].云工作流主要面向的是大規(guī)模的科學(xué)計(jì)算任務(wù)，如高能物理學(xué)、生物信息學(xué)，大氣科學(xué)等[3-4]，耗時(shí)長(zhǎng)，因此攻擊者擁有充足的攻擊時(shí)間，并且對(duì)計(jì)算結(jié)果精確度有較高要求，一旦某一任務(wù)或數(shù)據(jù)被篡改，將直接導(dǎo)致整個(gè)云工作流的運(yùn)行失敗.

針對(duì)云計(jì)算安全問題，文獻(xiàn)[5]提到可以構(gòu)建多樣化的系統(tǒng)環(huán)境，并通過動(dòng)態(tài)的環(huán)境切換來提高系統(tǒng)的入侵容忍能力.但是系統(tǒng)環(huán)境切換時(shí)機(jī)的選擇是一個(gè)難點(diǎn)，當(dāng)一個(gè)任務(wù)正在執(zhí)行時(shí)，強(qiáng)制性地切換執(zhí)行環(huán)境難以保證切換前后任務(wù)狀態(tài)的一致性，會(huì)導(dǎo)致任務(wù)中斷或異常.而云工作流系統(tǒng)其結(jié)構(gòu)分明的多層次任務(wù)劃分方式，為任務(wù)執(zhí)行的環(huán)境切換提供了良好的時(shí)機(jī).因此本文為保障云工作流系統(tǒng)安全，提出一種面向云工作流安全的任務(wù)調(diào)度方法，以提高系統(tǒng)安全性作為任務(wù)調(diào)度的首要目標(biāo)，引入多樣性、動(dòng)態(tài)性的思想，動(dòng)態(tài)變換云工作流任務(wù)執(zhí)行環(huán)境，降低系統(tǒng)漏洞暴露時(shí)間，提高云工作流的安全性.

本文圍繞云工作流安全性進(jìn)行研究，主要貢獻(xiàn)有3個(gè)方面：

1) 目前針對(duì)云工作流的研究主要集中在提高任務(wù)處理效率、改善資源利用率等方面.本文以云工作流安全性作為研究重點(diǎn)，提出利用任務(wù)調(diào)度的方法來提高云工作流安全性.

2) 本文構(gòu)建了多樣化鏡像庫(kù)，并以此為基礎(chǔ)動(dòng)態(tài)部署異構(gòu)任務(wù)執(zhí)行體，然后通過任務(wù)調(diào)度的方式切換任務(wù)執(zhí)行環(huán)境.

3) 為進(jìn)一步提高異構(gòu)系統(tǒng)的安全效益，提出利用系統(tǒng)共存漏洞數(shù)作為衡量執(zhí)行體異構(gòu)程度的依據(jù)，并將量化結(jié)果映射成調(diào)度選擇概率，提高調(diào)度前后任務(wù)執(zhí)行環(huán)境的差異性.

1 相關(guān)工作

近年來針對(duì)云工作流的研究主要集中在任務(wù)調(diào)度方面.例如，文獻(xiàn)[6]利用任務(wù)執(zhí)行代價(jià)和不同節(jié)點(diǎn)之間的接入代價(jià)對(duì)總體任務(wù)調(diào)度代價(jià)進(jìn)行量化，并利用粒子群算法求解最優(yōu)調(diào)度策略，使總體任務(wù)執(zhí)行代價(jià)最小.然而傳統(tǒng)的粒子群優(yōu)化算法易陷入局部極值，對(duì)此文獻(xiàn)[7]改進(jìn)了傳統(tǒng)粒子群算法中單個(gè)粒子的成功值計(jì)算公式，提高了粒子權(quán)重的自適應(yīng)性，并將改進(jìn)后的粒子群算法用于云工作流的任務(wù)調(diào)度.文獻(xiàn)[8]中將資源節(jié)點(diǎn)執(zhí)行任務(wù)的頻度、任務(wù)的等待時(shí)間和執(zhí)行時(shí)間作為評(píng)價(jià)標(biāo)準(zhǔn)構(gòu)建推薦模型，并根據(jù)資源節(jié)點(diǎn)在推薦模型中的優(yōu)先級(jí)來進(jìn)行任務(wù)調(diào)度.除時(shí)間效率優(yōu)化以外，文獻(xiàn)[9-10]設(shè)計(jì)智能任務(wù)調(diào)度算法來改善云工作流的資源利用率，節(jié)約資源消耗.文獻(xiàn)[11]提出了BaRRS(balanced and file reuse-replication scheduling)算法，利用數(shù)據(jù)復(fù)制方法降低任務(wù)在不同節(jié)點(diǎn)調(diào)度時(shí)的數(shù)據(jù)傳輸量，從而提高云工作流任務(wù)調(diào)度的效率.為了降低云工作流在任務(wù)調(diào)度時(shí)的數(shù)據(jù)交互量，文獻(xiàn)[4]對(duì)任務(wù)調(diào)度時(shí)依賴數(shù)據(jù)之間相關(guān)度進(jìn)行測(cè)量，將相關(guān)程度緊密的數(shù)據(jù)盡可能放置在同一數(shù)據(jù)中心中處理.文獻(xiàn)[12]將云工作流看作是數(shù)據(jù)密集型系統(tǒng)，并引入ADAS(adaptive data-aware scheduling strategy)算法，使云工作流能夠?qū)崿F(xiàn)任務(wù)調(diào)度以及數(shù)據(jù)管理的并行化處理，從而提高云工作流的效率.為實(shí)現(xiàn)任務(wù)調(diào)度時(shí)數(shù)據(jù)傳輸?shù)暮侠砘芾恚墨I(xiàn)[13]利用軟件定義網(wǎng)絡(luò)(software-defined networking, SDN)對(duì)云工作流進(jìn)行控制和資源配置.但是，以上文獻(xiàn)皆以提高資源利用率、降低任務(wù)執(zhí)行成本作為任務(wù)調(diào)度的主要目的，缺少安全方面的考慮.

移動(dòng)目標(biāo)防御(moving target defense, MTD)[14-15]的提出為解決云平臺(tái)中的安全問題提供了有效的思路，其思想包括多樣性和動(dòng)態(tài)性等內(nèi)容.多樣性方面，文獻(xiàn)[16]提出利用多樣化的軟件來保證應(yīng)用和服務(wù)的安全性，并以多樣化的Web服務(wù)器為例進(jìn)行實(shí)驗(yàn)驗(yàn)證.文獻(xiàn)[17-19]提出利用操作系統(tǒng)的多樣性可以實(shí)現(xiàn)云系統(tǒng)入侵容忍能力的提升.作者從NVD(national vulnerability database)中收集操作系統(tǒng)漏洞數(shù)據(jù)，并根據(jù)系統(tǒng)之間的共存漏洞數(shù)來衡量系統(tǒng)之間的相似性.動(dòng)態(tài)性方面，文獻(xiàn)[20]提出了基于動(dòng)態(tài)IP地址的MTD策略，該策略對(duì)執(zhí)行體IP地址進(jìn)行周期性輪換，并測(cè)試了在不同輪換速度下的系統(tǒng)安全性.文獻(xiàn)[21]利用公式表征了執(zhí)行體攻擊面與時(shí)間的關(guān)系，并得出執(zhí)行體攻擊面將隨時(shí)間推移而呈現(xiàn)增長(zhǎng)的趨勢(shì)，因此縮短執(zhí)行體生命周期可以有效提高系統(tǒng)整體安全性.

2 云工作流建模及安全性分析

2.1 云工作流建模

本文利用有向無環(huán)圖(directed acyclic graph，DAG)對(duì)工作流進(jìn)行建模[6]，并用G=(V,E)表示.其中,V={T1,T2,…,Tn}表示任務(wù)集合，每一個(gè)任務(wù)Ti需要在計(jì)算資源中被執(zhí)行；E表示任務(wù)之間的數(shù)據(jù)依賴情況，例如用fj k∈E表示由任務(wù)Tj產(chǎn)生并用于任務(wù)Tk執(zhí)行的數(shù)據(jù).

Fig. 1 The example of workflow圖1 工作流舉例

現(xiàn)給出如圖1所示的工作流系統(tǒng)，該系統(tǒng)由9個(gè)任務(wù)構(gòu)成，任務(wù)T2和T3需要在T1完成之后才開始運(yùn)行，任務(wù)T5需要在T2和T3都完成之后才開始運(yùn)行，當(dāng)任務(wù)T9運(yùn)行結(jié)束后，整個(gè)工作流運(yùn)行結(jié)束.本文將具有直接依賴關(guān)系的任務(wù)對(duì)稱為父子任務(wù)，以任務(wù)對(duì)(T2,T5)為例，T2為父任務(wù)，T5為子任務(wù).

2.2 云工作流威脅模型

虛擬機(jī)作為提供對(duì)外計(jì)算服務(wù)的載體，易受到攻擊者的入侵，因此本文主要考慮針對(duì)虛擬機(jī)系統(tǒng)的入侵，暫不考慮針對(duì)Hypervisor以及物理設(shè)施的攻擊.

為構(gòu)建針對(duì)云工作流的威脅模型，結(jié)合實(shí)際情況，對(duì)攻擊者的攻擊行為進(jìn)行建模：

現(xiàn)有m種不同操作系統(tǒng)(OS)的虛擬機(jī)作為候選任務(wù)執(zhí)行體，承擔(dān)計(jì)算任務(wù)，用O1，O2，…，Om表示.攻擊者已知承擔(dān)每個(gè)任務(wù)的執(zhí)行體的操作系統(tǒng)必定是O1，O2，…，Om中的一種，但無法確定是哪一種.在每次進(jìn)行攻擊的時(shí)候，攻擊者需要選擇一種系統(tǒng)配置進(jìn)行攻擊，用Ai表示針對(duì)系統(tǒng)Oi的攻擊策略.如果攻擊者選擇Ak作為攻擊策略，而受到攻擊的執(zhí)行體系統(tǒng)恰好是Ok，則該執(zhí)行體將以概率1被攻擊者攻破.此外因?yàn)楝F(xiàn)在的攻擊者往往以團(tuán)體的形式存在，因此攻擊者可以同時(shí)發(fā)動(dòng)多個(gè)攻擊.以圖1為例，雖然任務(wù)T2和T3同時(shí)進(jìn)行，但攻擊者可以同時(shí)對(duì)它們發(fā)動(dòng)攻擊.

以上述攻擊行為模型為基礎(chǔ)，定義3種攻擊模式：

1) 無記憶隨機(jī)攻擊模式.即每次攻擊從m種攻擊策略中等概率地選擇一種進(jìn)行攻擊.

2) 有記憶隨機(jī)攻擊模式.該模式會(huì)記錄已經(jīng)攻擊過的系統(tǒng)類型，在發(fā)動(dòng)下一次攻擊時(shí)，會(huì)等概率地從未攻擊過的系統(tǒng)中選擇一種進(jìn)行攻擊.

3) 探測(cè)攻擊模式.每次攻擊無論成功與否都能夠獲取攻擊目標(biāo)的系統(tǒng)類型.

2.3 云工作流安全性分析

本節(jié)假設(shè)云工作流系統(tǒng)中的所有任務(wù)都在同一個(gè)執(zhí)行體中進(jìn)行執(zhí)行，并結(jié)合2.2節(jié)威脅模型，分析云工作流安全性.

針對(duì)無記憶隨機(jī)攻擊模式，攻擊者前n次攻擊成功的概率為

(1)

針對(duì)有記憶隨機(jī)攻擊模式，攻擊者前n次攻擊成功的概率為

(2)

針對(duì)探測(cè)攻擊模式，攻擊者前n次攻擊成功的概率為

(3)

假設(shè)m=11，利用式(1)～(3)得到3種攻擊模式的前n次攻擊成功的概率曲線圖，如圖2所示:

Fig. 2 The curve of successful probability of three attack patterns圖2 3種攻擊模式成功概率曲線圖

為了有效應(yīng)對(duì)這3種攻擊模式，可從3個(gè)方面進(jìn)行改進(jìn)來提高云工作流的安全性.

1) 降低攻擊次數(shù)，可將任務(wù)在不同執(zhí)行體間進(jìn)行調(diào)度實(shí)現(xiàn).假設(shè)攻擊者成功發(fā)動(dòng)一次完整攻擊需要的時(shí)間為ta，而被攻擊的執(zhí)行體在tb(tb

2) 降低單次攻擊成功概率，可通過構(gòu)建異構(gòu)執(zhí)行體來實(shí)現(xiàn).假設(shè)在攻擊者每發(fā)動(dòng)一次攻擊之后，被攻擊的執(zhí)行體就等概率地隨機(jī)更換一次系統(tǒng)環(huán)境，可以有效降低有記憶隨機(jī)攻擊模式和探測(cè)攻擊模式的成功概率，有記憶隨機(jī)攻擊模式前n次攻擊成功的概率由式(2)降為式(1)，探測(cè)攻擊模式前n次攻擊成功的概率由式(3)降為式(1).

3) 降低條件攻擊成功次數(shù)，可以通過減小任務(wù)調(diào)度前后執(zhí)行體共同攻擊面大小來實(shí)現(xiàn).上面第1,2方面的分析都是建立在針對(duì)異構(gòu)執(zhí)行體的攻擊成功概率相互獨(dú)立的基礎(chǔ)上，即認(rèn)為p(Ok|At)=0,k≠t.但是事實(shí)上并非如此，在本文中，執(zhí)行體的異構(gòu)性主要體現(xiàn)在操作系統(tǒng)的差異上，但是操作系統(tǒng)之間或多或少都具備一定的相似性，這些相似性就成為了系統(tǒng)間的共同攻擊面，當(dāng)攻擊者針對(duì)共同攻擊面發(fā)動(dòng)攻擊時(shí)，各系統(tǒng)之間被攻破的概率就不再是相互獨(dú)立的.以探測(cè)攻擊為例，假設(shè)攻擊者發(fā)動(dòng)第1次完整攻擊，探測(cè)出被攻擊執(zhí)行體的系統(tǒng)環(huán)境為Oa，然后執(zhí)行體將系統(tǒng)環(huán)境更換為Ob，但是攻擊者會(huì)以為攻擊目標(biāo)系統(tǒng)環(huán)境還是Oa，因此以Aa為攻擊策略發(fā)動(dòng)攻擊，這時(shí)受攻擊的執(zhí)行體被攻破的概率轉(zhuǎn)變?yōu)闂l件攻擊概率p(Ob|Aa).

3 基于異構(gòu)執(zhí)行體的云工作流任務(wù)調(diào)度方法

根據(jù)2.3節(jié)分析內(nèi)容，本節(jié)將3種提高云工作流安全性的解決思路有機(jī)組合，提出基于異構(gòu)執(zhí)行體的云工作流任務(wù)調(diào)度方法，構(gòu)建異構(gòu)執(zhí)行體來保證系統(tǒng)環(huán)境的多樣性，并對(duì)異構(gòu)度進(jìn)行衡量，最后根據(jù)異構(gòu)度量化結(jié)果制定任務(wù)調(diào)度策略.

3.1 異構(gòu)候選執(zhí)行體的構(gòu)建

異構(gòu)執(zhí)行體的構(gòu)建依賴于多樣化的計(jì)算資源池.而多樣化計(jì)算資源池可以通過利用多種版本的操作系統(tǒng)來實(shí)現(xiàn)，比如OpenBSD，NetBSD，F(xiàn)reeBSD，Windows Server 2003，Windows Server 2008，Windows Server 2012，Ubuntu，Debian，Redhat，Solaris，OpenSolaris等.

針對(duì)基于Openstack的云計(jì)算環(huán)境，可將不同版本的系統(tǒng)鏡像通過Glance服務(wù)上傳至鏡像庫(kù)中，然后通過鏡像實(shí)例化來生成異構(gòu)執(zhí)行體.

在本文中，執(zhí)行體的異構(gòu)性體現(xiàn)在操作系統(tǒng)的差異上，因此為便于描述，利用操作系統(tǒng)類型對(duì)執(zhí)行體進(jìn)行表示，即執(zhí)行體Oi表示對(duì)應(yīng)操作系統(tǒng)為Oi的任務(wù)執(zhí)行體.

3.2 執(zhí)行體異構(gòu)度量化

異構(gòu)是相對(duì)而言的，任何系統(tǒng)之間都不可能做到完全異構(gòu)而沒有一點(diǎn)共性，而系統(tǒng)之間的共性一旦被攻擊者利用，那么異構(gòu)執(zhí)行體的防御作用將會(huì)大打折扣.比如當(dāng)攻擊者對(duì)執(zhí)行體Oi和Oj的共同攻擊面f(Oi,Oj)發(fā)動(dòng)攻擊時(shí)，執(zhí)行體Oi和Oj的異構(gòu)性在攻擊者面前就不起作用了，因此執(zhí)行體間的異構(gòu)度與其之間共同攻擊面大小息息相關(guān)，但是如何衡量共同攻擊面大小是一個(gè)難點(diǎn).

本文利用CVE(Common Vulnerability Enumeration)公布的數(shù)據(jù)[22]，記錄了OB(OpenBSD)，NB(NetBSD)，F(xiàn)B(FreeBSD)，W03(Windows Server 2003)，W08(Windows Server 2008)，W12(Windows Server 2012)，U(Ubuntu)，D(Debian)，R(Redhat)，S(Solaris)，OS(OpenSolaris)系統(tǒng)1994—2017年被公開的所有漏洞編號(hào)，并利用Excel統(tǒng)計(jì)出系統(tǒng)之間存在的共同漏洞數(shù)量，統(tǒng)計(jì)結(jié)果如表1所示:

Table 1 The Statistics of the Vulnerabilities in Each OS and the Vulnerabilities Coexisting Between the Different OS表1 各系統(tǒng)漏洞總數(shù)以及系統(tǒng)之間共存漏洞數(shù)統(tǒng)計(jì)

Notes: The bold values indicate the total number of vulnerabilities of the corresponding operating systems.

2個(gè)系統(tǒng)之間共存漏洞數(shù)v(Oi,Oj)越大，表明執(zhí)行體間的共同攻擊面f(Oi,Oj)越大，從而說明執(zhí)行體間異構(gòu)度d(Oi,Oj)越小[5].因此本文提出利用系統(tǒng)之間的共存漏洞數(shù)來量化執(zhí)行體異構(gòu)度.

為了便于量化分析，本文假設(shè)v(Oi,Oj)與f(Oi,Oj)成線性關(guān)系且為正相關(guān)，v(Oi,Oj)與d(Oi,Oj)成線性關(guān)系且為負(fù)相關(guān)，分別如式(4)(5)所示:

f(Oi,Oj)=k1v(Oi,Oj),k1>0，

(4)

d(Oi,Oj)=V1-k2v(Oi,Oj),

(5)

k2>0,V1>k2v(Oi,Oj).

其中,k1，k2，V1均為常數(shù).

3.3 條件攻擊概率表述

由于不同系統(tǒng)之間存在著共同攻擊面，因此不同執(zhí)行體被攻擊者癱瘓的概率也不再是相互獨(dú)立的[5].定義以Aj為攻擊策略攻擊執(zhí)行體Oi的條件攻擊概率為

(6)

其中，符號(hào)f(Oi,Oj)表示執(zhí)行體Oi和Oj之間的共同攻擊面；v(Oi,Oj)表示系統(tǒng)Oi和Oj之間的共存漏洞數(shù)，且v(Oj,Oj)=v(Oj).因此根據(jù)表1統(tǒng)計(jì)結(jié)果可以得到系統(tǒng)間條件攻擊概率.

3.4 異構(gòu)執(zhí)行體選擇概率映射

為了提高云工作流的安全性、降低條件攻擊成功次數(shù)，本文根據(jù)執(zhí)行體的安全性以及執(zhí)行體間異構(gòu)度對(duì)其選擇概率進(jìn)行映射.

用符號(hào)s(Ot)表示執(zhí)行體Ot的安全性，定義執(zhí)行體安全性與系統(tǒng)漏洞數(shù)成線性關(guān)系且為負(fù)相關(guān)：

s(Ot)=V2-k3v(Ot),

(7)

t>0,V2>k3v(Ot)，

其中，v(Ot)表示系統(tǒng)Ot的漏洞數(shù)量，k3和V2為常數(shù).

在云工作流選擇初始執(zhí)行環(huán)境時(shí)，將執(zhí)行體的安全性映射成選擇概率，則執(zhí)行體Oi對(duì)應(yīng)的選擇概率為

(8)

i=1,2,…,m,

k3>0,V2>max[k3v(Ol)],l=1,2,…,m，

在進(jìn)行任務(wù)調(diào)度時(shí)，將執(zhí)行體間異構(gòu)度映射成選擇概率.假設(shè)承載父任務(wù)的執(zhí)行體為Oj，則針對(duì)子任務(wù)執(zhí)行體Ok對(duì)應(yīng)的選擇概率為

(9)

k=1,2,…,m,

k2>0,V1>max[k2v(Oj,Ol)],l=1,2,…,m，

通過這種隨機(jī)化、概率化的方式選擇執(zhí)行體，讓攻擊者難以獲取任務(wù)執(zhí)行環(huán)境先驗(yàn)信息，并且根據(jù)執(zhí)行體間異構(gòu)關(guān)系對(duì)選擇概率進(jìn)行映射，保證調(diào)度前后執(zhí)行體間共同攻擊面最小，降低條件攻擊對(duì)云工作流安全的影響.

3.5 任務(wù)調(diào)度策略實(shí)施流程

因?yàn)樵谌蝿?wù)執(zhí)行過程中切換系統(tǒng)環(huán)境難以保證任務(wù)狀態(tài)一致，因此本文方法僅在云工作流某一父任務(wù)結(jié)束而子任務(wù)還未開始執(zhí)行時(shí)觸發(fā)調(diào)度機(jī)制.其具體流程如圖3所示.

① 當(dāng)控制節(jié)點(diǎn)接收到任務(wù)執(zhí)行請(qǐng)求時(shí)，調(diào)度管理模塊根據(jù)式(8)選擇對(duì)應(yīng)鏡像構(gòu)建初始任務(wù)執(zhí)行體.

② 當(dāng)執(zhí)行體構(gòu)建完畢后，調(diào)度管理模塊通過管理網(wǎng)絡(luò)，將輸入數(shù)據(jù)下發(fā)到對(duì)應(yīng)的執(zhí)行體中執(zhí)行任務(wù).

③ 當(dāng)執(zhí)行體任務(wù)執(zhí)行完畢后，向調(diào)度管理模塊發(fā)送通知，觸發(fā)調(diào)度機(jī)制.

④ 調(diào)度管理模塊利用式(9)選擇子任務(wù)執(zhí)行體鏡像，并進(jìn)行實(shí)例化，待實(shí)例化結(jié)束后，將子任務(wù)執(zhí)行體相關(guān)網(wǎng)絡(luò)信息告知父任務(wù)執(zhí)行體.

⑤ 在獲得子任務(wù)執(zhí)行體網(wǎng)絡(luò)信息后，父任務(wù)執(zhí)行體將任務(wù)依賴數(shù)據(jù)傳輸給對(duì)應(yīng)的子任務(wù)執(zhí)行體.

⑥ 待任務(wù)依賴數(shù)據(jù)傳輸完畢后，父任務(wù)執(zhí)行體自行銷毀,然后重復(fù)③直到云工作流結(jié)束.

Fig. 3 The implementation process of the task scheduling strategy圖3 任務(wù)調(diào)度策略實(shí)施流程

4 實(shí)驗(yàn)分析與討論

實(shí)驗(yàn)部分將分為2部分內(nèi)容：1)利用matlab仿真軟件測(cè)試本文方法在不同攻擊模式下的安全增益；2)利用實(shí)際任務(wù)對(duì)本文改進(jìn)的云工作流系統(tǒng)進(jìn)行性能測(cè)試，統(tǒng)計(jì)任務(wù)執(zhí)行時(shí)間和任務(wù)執(zhí)行費(fèi)用.

4.1 安全增益測(cè)試

此仿真以圖1中的工作流系統(tǒng)為例，9個(gè)任務(wù)執(zhí)行時(shí)間隨機(jī)分配但需滿足所有任務(wù)執(zhí)行時(shí)間總和為90 h，且最長(zhǎng)任務(wù)執(zhí)行時(shí)間不大于最短執(zhí)行時(shí)間的3倍.假設(shè)攻擊者攻破任何系統(tǒng)所需時(shí)間相同，并以所需時(shí)間為變量，參照2.2節(jié)的威脅模型模擬攻擊.內(nèi)容包括測(cè)試任務(wù)調(diào)度帶來的安全增益、測(cè)試異構(gòu)執(zhí)行體帶來的安全增益、測(cè)試基于異構(gòu)度的任務(wù)調(diào)度策略帶來的安全增益以及測(cè)試在攻擊方已知系統(tǒng)防御策略情況下本文系統(tǒng)的防御效果.

4.1.1 任務(wù)調(diào)度安全增益測(cè)試

本節(jié)實(shí)驗(yàn)設(shè)計(jì)2種云工作流系統(tǒng)：1)采用任務(wù)調(diào)度機(jī)制的云工作流，且調(diào)度候選執(zhí)行體采用同質(zhì)化的運(yùn)算環(huán)境；2)不采用任務(wù)調(diào)度的云工作流，所有任務(wù)均在同一執(zhí)行體中完成.為了測(cè)試任務(wù)調(diào)度機(jī)制帶來的安全增益，本節(jié)實(shí)驗(yàn)利用2.2節(jié)介紹的無記憶隨機(jī)攻擊方式(攻擊R)、有記憶隨機(jī)攻擊方式(攻擊M)以及探測(cè)攻擊方式(攻擊D)進(jìn)行攻擊模擬.假設(shè)工作流中任意一個(gè)任務(wù)被攻擊成功即宣告防御失敗，定義防御成功率如下：

rate=1-fN,

(10)

其中,N表示實(shí)驗(yàn)次數(shù)，本文設(shè)N=1 000，f表示防御失敗次數(shù).測(cè)試結(jié)果如圖4所示：

Fig. 4 The test results of security gain brought by task scheduling圖4 任務(wù)調(diào)度安全增益測(cè)試結(jié)果

從圖4可以直觀地看出，隨著攻擊者發(fā)動(dòng)一次完整攻擊所需時(shí)間越短，即在有限時(shí)間內(nèi)，攻擊者發(fā)動(dòng)的完整攻擊次數(shù)越多，系統(tǒng)的防御成功率越低.整體對(duì)比圖中實(shí)線和虛線的分布可以發(fā)現(xiàn)，采用任務(wù)調(diào)度機(jī)制能有效提高系統(tǒng)的安全性.

針對(duì)探測(cè)攻擊模式，采用無調(diào)度機(jī)制的工作流防御成功率始終為0，因?yàn)闊o論云工作流處于何種系統(tǒng)環(huán)境，在云工作流結(jié)束之前，探測(cè)攻擊只需2次攻擊就一定能成功.而采用有調(diào)度機(jī)制的工作流以后，攻擊者發(fā)動(dòng)完整攻擊的次數(shù)變少，只要保證在每個(gè)任務(wù)執(zhí)行階段攻擊者的攻擊次數(shù)小于2次，就有概率保證云工作流順利結(jié)束.

對(duì)比無記憶和有記憶的隨機(jī)攻擊模式曲線，有記憶的攻擊更難防御.因?yàn)閷?duì)于靜態(tài)化的系統(tǒng)環(huán)境，采用有記憶的攻擊可以逐步排除錯(cuò)誤選項(xiàng)，不斷提高攻擊成功率，但無記憶的攻擊則成功率始終不變.

4.1.2 異構(gòu)執(zhí)行體安全增益測(cè)試

本節(jié)實(shí)驗(yàn)依然設(shè)計(jì)2種云工作流系統(tǒng)，2種系統(tǒng)均采用調(diào)度機(jī)制：1)系統(tǒng)的調(diào)度候選執(zhí)行體采用同質(zhì)化的運(yùn)算環(huán)境；2)系統(tǒng)則利用3.1節(jié)提到的11種操作系統(tǒng)構(gòu)建11個(gè)異構(gòu)執(zhí)行體，且所有異構(gòu)執(zhí)行體具有相同的選擇概率.為了測(cè)試異構(gòu)執(zhí)行體帶來的安全增益，本節(jié)實(shí)驗(yàn)依然利用3種不同的攻擊方式進(jìn)行測(cè)試，測(cè)試次數(shù)為1 000次，測(cè)試結(jié)果如圖5所示：

Fig. 5 The test results of security gain brought by heterogeneous executors圖5 異構(gòu)執(zhí)行體安全增益測(cè)試結(jié)果

對(duì)于無記憶攻擊模式，是否采用異構(gòu)的調(diào)度候選執(zhí)行體效果并不明顯.因?yàn)闊o論是否采用異構(gòu)執(zhí)行體，攻擊者每次攻擊的成功率都是111.

對(duì)于有記憶攻擊和探測(cè)攻擊模式，采用異構(gòu)執(zhí)行體的安全增益的防御效果要比采用同構(gòu)執(zhí)行體的效果要略好，在2.3節(jié)我們已經(jīng)分析過，利用異構(gòu)執(zhí)行體可以降低有記憶攻擊和探測(cè)攻擊模式單次攻擊成功率.

4.1.3 基于異構(gòu)度的任務(wù)調(diào)度策略安全增益測(cè)試

本節(jié)實(shí)驗(yàn)依然設(shè)計(jì)2種云工作流系統(tǒng)，2種云工作流均采用異構(gòu)候選執(zhí)行體的調(diào)度機(jī)制，其中一種云工作流根據(jù)執(zhí)行體異構(gòu)度賦予不同的選擇概率，另一種云工作流則賦予不同執(zhí)行體相同的選擇概率.為了測(cè)試基于異構(gòu)度的調(diào)度策略帶來的安全增益，本節(jié)實(shí)驗(yàn)依然利用3種不同的攻擊方式進(jìn)行測(cè)試，測(cè)試次數(shù)為1 000次，測(cè)試結(jié)果如圖6所示:

Fig. 6 The test results of security gain brought by heterogeneity based task scheduling圖6 基于異構(gòu)度的任務(wù)調(diào)度策略安全增益測(cè)試結(jié)果

針對(duì)探測(cè)攻擊模式，和等概率調(diào)度策略相比，本文提出的基于異構(gòu)度的調(diào)度策略能進(jìn)一步提高探測(cè)攻擊下的云工作流安全性能.這是因?yàn)橥ㄟ^基于異構(gòu)度的任務(wù)調(diào)度策略可以保證調(diào)度前后任務(wù)執(zhí)行環(huán)境的差異最大化，從而有效干擾探測(cè)攻擊獲取信息的準(zhǔn)確度.

針對(duì)無記憶和有記憶隨機(jī)攻擊模式，采用基于異構(gòu)度的調(diào)度策略和等概率的調(diào)度策略所帶來的安全增益基本相同，其原因是基于異構(gòu)度的任務(wù)調(diào)度策略主要針對(duì)前后具有依賴性的攻擊方式，而隨機(jī)攻擊模式攻擊前后相互獨(dú)立.

為了更進(jìn)一步分析基于異構(gòu)度的任務(wù)調(diào)度策略能有效防御探測(cè)攻擊的原因，我們統(tǒng)計(jì)了針對(duì)探測(cè)攻擊，當(dāng)攻擊者發(fā)動(dòng)完整攻擊所需時(shí)間為8 h，10 h，12 h且測(cè)試次數(shù)為1 000時(shí)，2種云工作流系統(tǒng)被條件攻擊攻破的次數(shù)，其結(jié)果如圖7所示.從圖7中可以看出：和等概率調(diào)度策略相比，基于異構(gòu)度的任務(wù)調(diào)度策略能有效降低探測(cè)攻擊的條件攻擊成功次數(shù)，從而改善系統(tǒng)在受到探測(cè)攻擊時(shí)的防御效果.

Fig. 7 Comparison of successful conditional attack times圖7 條件攻擊成功次數(shù)對(duì)比

4.1.4 攻擊方已知系統(tǒng)調(diào)度策略的系統(tǒng)安全性測(cè)試

本節(jié)實(shí)驗(yàn)假設(shè)一種攻守雙方極不平衡的場(chǎng)景，即攻擊方不僅能夠發(fā)動(dòng)探測(cè)攻擊，而且已知工作流系統(tǒng)采用基于異構(gòu)度的任務(wù)調(diào)度策略，這樣當(dāng)攻擊者發(fā)現(xiàn)攻擊目標(biāo)進(jìn)行任務(wù)調(diào)度時(shí)，可以根據(jù)系統(tǒng)異構(gòu)度來選擇攻擊策略(用攻擊H表示這種攻擊).針對(duì)此場(chǎng)景，云工作流采用基于異構(gòu)度的任務(wù)調(diào)度策略，依然以攻擊者發(fā)動(dòng)完整攻擊所需時(shí)間為變量，測(cè)試1 000次，統(tǒng)計(jì)防御成功次數(shù)，并將測(cè)試結(jié)果與無記憶、有記憶隨機(jī)攻擊和探測(cè)攻擊作對(duì)比，其結(jié)果如圖8所示:

Fig. 8 Comparison of defensive effect against different attack modes圖8 針對(duì)不同攻擊模式的防御效果對(duì)比

從圖8中不難看出，在4種攻擊模式中，當(dāng)攻擊者采用基于異構(gòu)度的攻擊策略時(shí)，防御效果最差.但只要攻擊者發(fā)動(dòng)完整攻擊所需時(shí)間大于一定閾值，或者說在固定時(shí)間內(nèi)，攻擊者發(fā)動(dòng)完整攻擊的次數(shù)少于一定閾值，依然可以將防御成功率維持在較高的水平上.此外，從整體來說，本文對(duì)探測(cè)攻擊的防御效果最好，因?yàn)閷?duì)于探測(cè)攻擊，相鄰攻擊之間存在著依賴性，而本文采用的調(diào)度方法可以利用攻擊間的依賴性，有針對(duì)性地切換任務(wù)執(zhí)行環(huán)境.但是隨著探測(cè)攻擊時(shí)間的減小，防御效果急劇下降，這是因?yàn)橐坏┨綔y(cè)攻擊能在云工作流中的某個(gè)任務(wù)執(zhí)行階段發(fā)動(dòng)2次攻擊，該工作流就會(huì)以概率1被癱瘓.

4.2 系統(tǒng)性能測(cè)試

此實(shí)驗(yàn)利用實(shí)際任務(wù)(圖像中的目標(biāo)分類)對(duì)改進(jìn)的云工作流系統(tǒng)進(jìn)行性能測(cè)試.為了使該任務(wù)能夠適應(yīng)云工作流系統(tǒng)，我們將其拆分成多個(gè)子任務(wù)，如圖9所示，各子任務(wù)之間只存在數(shù)據(jù)依賴關(guān)系.

Fig. 9 The actual cloud workflow task圖9 實(shí)際的云工作流任務(wù)

根據(jù)子任務(wù)不同運(yùn)算量，分別采用小型、中型和大型虛擬機(jī)進(jìn)行完成，3種虛擬機(jī)的配置情況如表2所示.圖9中虛線框子任務(wù)交付給小型虛擬機(jī)完成，實(shí)線框子任務(wù)交付給中型虛擬機(jī)完成，點(diǎn)線框子任務(wù)交付給大型虛擬機(jī)完成.

4.2.1 任務(wù)執(zhí)行時(shí)間測(cè)試

本節(jié)實(shí)驗(yàn)設(shè)計(jì)2種系統(tǒng)進(jìn)行對(duì)比實(shí)驗(yàn)：1)單執(zhí)行體系統(tǒng)，即整個(gè)目標(biāo)分類任務(wù)只在一個(gè)執(zhí)行體(大型虛擬機(jī))中完成，不進(jìn)行任務(wù)調(diào)度；2)本文改進(jìn)的云工作流系統(tǒng)，即圖9中劃分的每個(gè)子任務(wù)都交付給不同的執(zhí)行體完成.以3種大小的數(shù)據(jù)集作為輸入(50 GB，100 GB，150 GB)，記錄2種系統(tǒng)完成任務(wù)所用時(shí)間，其結(jié)果如表3所示.

Table 2 Configurations of Virtual Machines inDifferent Types表2 不同型號(hào)的虛擬機(jī)配置

Table 3 The Comparison of Task Execution Time表3 任務(wù)執(zhí)行時(shí)間對(duì)比 h

從表3結(jié)果可以看出，和單執(zhí)行體系統(tǒng)相比，改進(jìn)的云工作流系統(tǒng)在任務(wù)執(zhí)行時(shí)間方面并未有明顯的增加.這是由于盡管改進(jìn)的云工作流系統(tǒng)在數(shù)據(jù)傳輸、執(zhí)行體動(dòng)態(tài)生成和銷毀過程中會(huì)帶來一定的時(shí)間開銷，但云工作流可以實(shí)現(xiàn)任務(wù)的并行處理，從而降低花費(fèi)的時(shí)間.

4.2.2 任務(wù)執(zhí)行成本統(tǒng)計(jì)

本節(jié)實(shí)驗(yàn)采用亞馬遜EC2計(jì)價(jià)標(biāo)準(zhǔn)，如表4所示.以計(jì)價(jià)標(biāo)準(zhǔn)為基礎(chǔ)，分別統(tǒng)計(jì)在不同輸入下，單執(zhí)行體系統(tǒng)和本文改進(jìn)的云工作流系統(tǒng)完成任務(wù)所需費(fèi)用，統(tǒng)計(jì)結(jié)果如表5所示.

Table 4 The Pricing Standard of Amazon表4 亞馬遜計(jì)價(jià)標(biāo)準(zhǔn)

Table 5 The Comparison of Task Execution Costs表5 任務(wù)執(zhí)行成本對(duì)比 USD

從表5結(jié)果可以看出，改進(jìn)的云工作流系統(tǒng)會(huì)提高任務(wù)執(zhí)行成本，有2個(gè)原因：1)在任務(wù)調(diào)度期間，父子任務(wù)對(duì)應(yīng)執(zhí)行體必須同時(shí)在線，這就會(huì)產(chǎn)生雙重費(fèi)用；2)一些并行任務(wù)處理需要多個(gè)執(zhí)行體同時(shí)在線，盡管并行任務(wù)處理會(huì)一定程度提高任務(wù)執(zhí)行效率，但任務(wù)執(zhí)行費(fèi)用則會(huì)成倍增加.

5 總 結(jié)

針對(duì)現(xiàn)有云工作流系統(tǒng)安全性低的問題，本文提出一種面向云工作流安全的任務(wù)調(diào)度方法.該方法首先構(gòu)造多樣化的系統(tǒng)鏡像庫(kù)，并以此為基礎(chǔ)動(dòng)態(tài)部署和銷毀異構(gòu)執(zhí)行體，保證任務(wù)執(zhí)行環(huán)境的多樣性.然后通過在異構(gòu)執(zhí)行體間進(jìn)行任務(wù)調(diào)度，降低攻擊者發(fā)動(dòng)有效攻擊的次數(shù)，并且還可實(shí)現(xiàn)任務(wù)執(zhí)行環(huán)境的動(dòng)態(tài)切換，讓攻擊者難以獲取任務(wù)執(zhí)行環(huán)境的先驗(yàn)信息.此外為了進(jìn)一步提高異構(gòu)系統(tǒng)的安全效益，根據(jù)執(zhí)行體系統(tǒng)安全程度以及執(zhí)行體間異構(gòu)程度進(jìn)行選擇概率映射，保證調(diào)度前后任務(wù)執(zhí)行環(huán)境的差異最大化.實(shí)驗(yàn)結(jié)果表明：在一定程度提高任務(wù)執(zhí)行時(shí)間和成本的條件下，本文方法能有效提高云工作流系統(tǒng)的安全性.

[1]Wang Binfeng, Su Jinshu, Chen Lin. Review of the design of data center network for cloud computing[J]. Journal of Computer Research and Development, 2016, 53(9): 2085-2106 (in Chinese)(王斌鋒, 蘇金樹, 陳琳. 云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)綜述[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53(9): 2085-2106)

[2]Khorshed M T, Ali A B M S, Wasimi S A. Trust issues that create threats for cyber attacks in cloud computing[C]Proc of the 17th IEEE Int Conf on Parallel and Distributed System. Piscataway, NJ: IEEE, 2011: 900-905

[3]Zhang Weimin, Liu Cancan, Luo Zhigang. A review on scientific workflows[J]. Journal of National University of Defense Technology, 2011, 33(3): 56-65 (in Chinese)(張衛(wèi)民, 劉燦燦, 駱志剛. 科學(xué)工作流技術(shù)研究綜述[J]. 國(guó)防科技大學(xué)學(xué)報(bào), 2011, 33(3): 56-65)

[4]Liu Shaowei, Kong Lingmei, Ren Kaijun, et al. A two-step data placement and task scheduling strategy for optimizing scientific workflow performance on cloud computing platform[J]. Chinese Journal of Computers, 2011, 34(11): 2121-2130 (in Chinese)(劉少偉, 孔令梅, 任開軍, 等. 云環(huán)境下優(yōu)化科學(xué)工作流執(zhí)行性能的兩階段數(shù)據(jù)放置與任務(wù)調(diào)度策略[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(11): 2121-2130)

[5]Guo Minzhe, Bhattacharya P. Diverse virtual replicas for improving intrusion tolerance in cloud[C]Proc of the 9th Conf on Annual Cyber and Information Security Research. New York: ACM, 2014: 41-44

[6]Pandey S, Wu Linlin, Guru S M, et al. A particle swarm optimization-based heuristic for scheduling workflow applications in cloud computing environments[C]Proc of the 24th IEEE Int Conf on Advanced Information Networking and Applications. Piscataway, NJ: IEEE, 2010: 400-407

[7]Li Xuejun, Xu Jia, Zhu Erzhou, et al. A novel computation method for adaptive inertia weight of task scheduling algorithm[J]. Journal of Computer Research and Development, 2016, 53(9): 1990-1999 (in Chinese)(李學(xué)俊, 徐佳, 朱二周, 等. 任務(wù)調(diào)度算法中新的自適應(yīng)慣性權(quán)重計(jì)算方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53(9): 1990-1999)

[8]Yuan Youwei, Yu Jia, Zheng Hongsheng, et al. Cloud workflow scheduling algorithm based on novelty ranking and multi-quality of service[J]. Journal of Zhejiang University: Engineering Science, 2017, 51(6): 1190-1196 (in Chinese)(袁友偉, 余佳, 鄭宏升, 等. 基于新穎性排名和多服務(wù)質(zhì)量的云工作流調(diào)度算法[J]. 浙江大學(xué)學(xué)報(bào): 工學(xué)版, 2017, 51(6): 1190-1196)

[9]Li Xuejun, Xu Jia, Wang Futian, et al. Energy aware task scheduling algorithm in cloud workflow system[J]. Pattern Recognition and Artificial Intelligence, 2016, 29(9): 790-796 (in Chinese)(李學(xué)俊, 徐佳, 王福田, 等. 云工作流系統(tǒng)中能耗感知的任務(wù)調(diào)度算法[J]. 模式識(shí)別與人工智能, 2016, 29(9): 790-796)

[10]Lee Y C, Han H, Zomaya A Y, et al. Resource-efficient workflow scheduling in clouds[J]. Knowledge-Based Systems, 2015, 80: 153-162

[11]Casas I, Taheri J, Ranjan R, et al. A balanced scheduler with data reuse and replication for scientific workflows in cloud computing systems[J]. Future Generation Computer Systems, 2017, 74: 168-178

[12]Zeng Lingfang, Veeravalli B, Zomaya A Y. An integrated task computation and data management scheduling strategy for workflow applications in cloud environments[J]. Journal of Network and Computer Applications, 2015, 50: 39-48

[13]Aktas M F, Haldeman G, Parashar M. Scheduling and flexible control of bandwidth and in-transit services for end-to-end application workflows[J]. Future Generation Computer Systems, 2016, 56: 284-294

[14]Zhuang Rui, DeLoach S A, Ou Xinming. Towards a theory of moving target defense[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 31-40

[15]Wright M, Venkatesan S, Albanese M, et al. Moving target defense against DDoS attacks: An empirical game-theoretic analysis[C]Proc of the 3rd ACM Workshop on Moving Target Defense. New York: ACM, 2016: 93-104

[16]Thompson M, Mendolla M, Muggler M, et al. Dynamic application rotation environment for moving target defense[C]Proc of the 2nd IEEE Int Conf on Resilience Week. Piscataway, NJ: IEEE, 2016: 17-26

[17]Garcia M, Bessani A, Gashi I, et al. Analysis of operating system diversity for intrusion tolerance[J]. Software- Practice and Experience, 2014, 44(6): 735-770

[18]Thompson M, Evans N, Theel-Joyce A. Effectiveness of OS diversity in a moving target defense platform, DE-AC02-06CH11357[R]. Chicago, Illinois: Argonne National Laboratory, 2015

[19]Garcia M, Bessani A, Gashi I, et al. OS diversity for intrusion tolerance: Myth or reality[C]Proc of the 41st IEEE Int Conf on Dependable Systems & Networks. Piscataway, NJ: IEEE, 2016: 17-26

[20]Al-Shaer E. Moving Target Defense[M]. Berlin: Springer, 2011: 153-159

[21]Peng W, Li F, Huang C T, et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]Proc of IEEE Int Conf on Communication. Piscataway, NJ: IEEE, 2014: 804-809

[22]Common Vulnerability Enumeration. The ultimate security vulnerability datasource[OL]. [2017-04-20]. http:www. cvedetails. com

WangYawen, born in 1990. PhD candidate. His main research interests include cloud computing, intrusion tolerance and cyber security.

GuoYunfei, born in 1963. PhD supervisor and professor. His main research interests include cloud security, telecommunication network security and cyber security (gyf@ndsc.com.cn).

LiuWenyan, born in 1986. PhD, lecturer. His main research interests include cloud computing, software-defined networking and cyber security (lwyndsc@163.com).

HuHongchao, born in 1982. PhD, associate professor. His main research interests include cloud computing, software-defined networking and cyber security (13633833568@139.com).

HuoShumin, born in 1985. PhD, lecturer. His main research interests include cloud computing, software-defined networking and cyber security (huoshumin123@163.com).

ChengGuozhen, born in 1986. PhD, lecturer. His main research interests include cloud computing, software-defined networking and cyber security (chengguozhen1986@163.com).