本文提出了一個全面、創新的框架來建模安全的 IP 位址分配。它包括租戶行為的統計模型(資源分配和潛在配置)、分配政策算法(包括提出的 IP 掃描分段政策)以及對手行為的威脅模型。
作者首先分析了租戶行為,包括靜態和動態資源分配。他們使用傅立葉級數來建模租戶的自動擴展行為,並考慮了地理位置對租戶行為的影響。
接下來,作者建模了租戶在分配 IP 位址時留下的潛在配置。他們假設這種行為可以用泊松過程來建模,並根據分配持續時間的指數分佈來確定潛在配置的持續時間。
作者還定義了一個強大的對手模型,即能夠使用多個雲端帳戶進行 Sybil 攻擊的對手。這種對手可以繞過現有的防禦措施,並大規模分配 IP 位址。
為了應對這種威脅,作者提出了一種新的 IP 位址分配策略,稱為 IP 掃描分段。該策略通過識別表明對手行為的租戶行為模式來保護 IP 位址池。它優先分配給之前分配時間與當前租戶相似的 IP 位址,從而降低對手獲取具有潛在配置的 IP 位址的能力。
作者使用 EIPSIM 模擬器對這些分配策略進行了廣泛的評估。結果表明,與現有技術相比,IP 掃描分段可將對手發現可利用的潛在配置減少 70.1%,並將發現的唯一 IP 位址減少 83.8%。這些結果表明,通過對 IP 位址分配進行原則性分析和實施,可為租戶及其用戶帶來顯著的安全收益。
他の言語に翻訳
原文コンテンツから
arxiv.org
深掘り質問