云计算中基于可用带宽欧氏距离的LDoS攻击检测方法
【技术领域】
[0001] 本发明设及一种计算机网络安全技术,尤其是云计算中针对低速率拒绝服务 (X〇w-rateDenialofService,LDoS)的检测,可W高准确率的检测出攻击。
【背景技术】
[0002] 云计算是目前信息技术的发展趋势,如何保证云计算的安全是亟待解决的关键问 题。云计算平台呈现出许多新的特性,其中一些特性有助于提高云计算的安全性(例如:专 业的安全管理)。但是,云计算平台也表现出一些新的安全隐患,运些安全隐患可能被攻击 者所利用。与传统的网络结构相比,云计算架构同样也会受到拒绝服务攻击的威胁。加之 云计算的高开放性,使得运种攻击的危害性更大。为了产生更佳的攻击效果,攻击者往往倾 向于攻击云数据中屯、或者云服务提供商,一旦成功地发起攻击,将会造成巨大损失。
[0003] 目前,对于传统网络架构中的LDoS攻击研究较多,但尚没有文献对云计算数据中 屯、网络值ataCenter化tworks,DCNs)内部的LDoS攻击做系统化的建模及分析。LDoS攻 击是一种新型的DoS攻击,攻击目标主要是基于TCP协议的端系统。云计算中,不论是DCNs 内部的传输协议,还是DC化对外的数据传输协议,多使用TCP协议。因此,在DCNs内部, LDoS攻击便有机可乘。攻击者可W利用云计算中共享带宽W及虚拟化的漏桐,通过拥塞虚 拟机之间的瓶颈链路达到降低系统服务质量的目的。运种攻击的特点是平均速率低,隐蔽 性强。因此,传统的检测方法难W奏效。DCNs内部LDoS攻击模型化及LDoS攻击检测的研 究,对保护云计算安全有重要的意义。
[0004] 针对云计算的DoS攻击,目前已经有一些研究工作。Jos巧hI化iorek等研究 了一种针对公有云的FRC(化au化lentResourceConsumption)攻击,首先对比传统的洪 水式DoS攻击说明了运种攻击的危害,然后阐述了应对运种攻击的方法,即预防,检测,追 踪和缓解。Ashley化〇证曰等?提出了一种新型的HX-DoS攻击,运种攻击利用云计算 中广泛使用的HTTP和XML的漏桐,降低云计算的服务质量。针对该攻击,还提出了一套 END邸(Pre-Decision,AdvanceDecision,LearningSystem)防御系统,其核屯、是利用包标 记的方法来缓解云平台中的HX-DoS攻击。Bansi化arJoshi等采用一种CTB(CloudTrace Back)和反向神经网络的方法来抵御云计算中的DoS攻击。先用CTB技术追踪攻击源,再使 用反向神经网络技术过滤攻击流,攻击检测率在75%W上。HarkeeratSin曲Bedi等提出 云计算中物理机共享路由队列拥塞可能造成DoS攻击。建立博弈论(Game)模型来防御DoS 攻击,并证明了该方法的可用性。Angelos化Keromytis等提出了一种安全覆盖网,利用其 强大的过滤功能和安全隧道技术,能够有效阻止DoS攻击云计算数据中屯、。韩志杰等主要 研究了云计算平台上对HTTP应用进行拒绝服务攻击的问题。通过对CPU、网络吞吐量等特 征来检测攻击,通过黑白名单的方法过滤攻击流。韩伟等对基于化doop云计算平台的攻击 流进行研究,并结合其自身的屯、跳监测机制,提出了一种全新的基于化doop云节点DoS检 测与自修复防御模型。Lan化anYang等提出基于SOA(ServiceOrientedA;rchitec1:ure) 的追踪方法SBTA(SOA-BasedTracebackApproach),该方法利用W服务为核屯、的架构去跟 踪和查找DoS攻击源。中国民航大学的吴志军等在DoS攻击方面也有一定研究,主要针对 一种低速率的DoS攻击进行研究,并结合云计算的PaaS服务环境进行了DoS攻击检测和防 御技术的探索与实践。 阳0化]上述研究集中在来自云计算外部的DoS攻击。主要是通过已知攻击的模型匹配或 通过统计异常通信量的方式来检测是否发生了DoS攻击。但是,通过改变攻击模式和掩盖 异常的通信量,上述方法就会失效。此外,通过统计异常通信量的方式来发现DoS攻击还有 可能把正常的通信量也过滤掉。另外,基于IP追踪的方法也有一定局限性。由于Internet 是一个跨越若干管理域和管理权限的网络,通过联系最靠近攻击源的网络管理员来阻止攻 击,通常也是非常困难的。
[0006] 在云计算中屯、内部,共享带宽W及虚拟化带来了新的安全漏桐,目前掲示运些漏 桐的相关研究还比较少。因此,对于云计算中屯、内部虚拟机之间的DoS攻击研究相对不足。 但运并不表示攻击不存在,因为缺乏相应的检测机制,就可能造成新型的DoS攻击暗流涌 动。LDoS攻击就是其中一种。在传统网络中,LDoS攻击已经得到广泛研究,但是云计算中 LDoS攻击的研究成果较少。Zhenqian化ng证明了云计算数据中屯、网络的新特征使得一个 租户可W用非常少的流量实施有效的化rew攻击,并讨论了一些对抗策略。但是,并没有系 统的分析LDoS攻击的网络模型,也没有提出有效的检测和抵御方法。
[0007] 在云计算数据中屯、,传统的抑oS(FloodDenialofService)攻击难W奏效。运是 因为云计算数据中屯、通过屯、跳机制管理各虚拟节点,而抑OS攻击发送洪水式的攻击流来 耗尽服务器资源或者完全阻塞链路。所W,当FDoS攻击发生时,屯、跳信息也将被阻断。如 果在一定周期内收不到某虚拟节点的屯、跳信息,那么控制节点就会认为该服务器岩机,从 而启动备用服务器,将服务漂移。因此,抑OS攻击的效果并不明显。
[0008] LDoS攻击是一种更为智能的DoS攻击,W降低服务质量为目的,而不是完全耗尽 端系统资源或完全堵塞链路。其特点是平均攻击速率低,所W留有一定的可用带宽供屯、跳 信息通过。加之现有的机制难W对LDoS攻击进行有效的检测和防御。所W,当LDoS攻击 发生时,控制节点感觉不到攻击的存在,而受害端只能默默的维持较低的服务质量。
[0009] LDoS攻击通过突发式的短脉冲攻击流,周期性的拥塞瓶颈链路,使TCP端频繁的 进入超时重传状态,从而降低系统的服务质量。一个LDoS攻击脉冲序列可W用一个=元组 表示为Aa,R,T),其中L是脉冲长度,代表攻击者持续发包的时间段;R是脉冲幅度,代表 攻击的最高速率,一般大于等于瓶颈链路带宽;T是两个脉冲之间的时间间隔,表示攻击周 期。云计算数据中屯、网络架构与传统数据中屯、网络架构有所不同,运使得云计算数据中屯、 更容易被LDoS攻击。在云计算数据中屯、,共享带宽不足是导致LDoS攻击的重要原因。
[0010] 在云计算基础架构中,路由器和虚拟机构成了一个多层结构的网络模型,底层路 由将流量汇聚后传递到高层。在运种网络架构中,传输路径的数量限制了链路提供给用户 的可用带宽。例如,在图3中,多台虚拟机与Rl相连带来了共享带宽的问题。假设攻击者 控制了处于Rl路由域中的一台虚拟机,虚拟化的漏桐为入侵虚拟机提供了极大的可能性。 攻击者进而可W探测Rl和R4之间存在瓶颈链路。之后,攻击者发送周期性的LDoS攻击流 经过瓶颈链路到达处于另一路由域的接收端。由于共享带宽的限制,LDoS攻击可W轻而易 举的拥塞瓶颈链路。此时,与攻击者处于同一路由域的其他TCP端成为受害端,受害端对云 外部提供的服务质量降低。
【发明内容】
[0011] 本发明中计算同一路由域下所有链路的可用带宽序列的欧氏距离,便可提取出检 测LDoS攻击的依据。
[0012]LDoS攻击对同一路由域下每条链路可用带宽的影响可W按W下方式推导。假定时 间尺度为T,链路1的可用带宽Al(t,t+T)可表示为一定时间尺度下的平均值:
[0014] 其中,Q为链路1的总带宽,M为该链路上TCP发送端总数,听的为第i个TCP发 送端的拥塞窗口,为链路上注入的TCP流量,fMg(x)淑为链路上注入的LDoS /=1 攻击流量。
代表了链路带宽平均利用率。
[00巧]在没有LDoS攻击流量的情况下,即Jptgw曲=0。因具体的业务需求不同,不论是 同一链路上,还是不同链路间,各TCP拥塞窗口没有统一的变化规律。因此,链路间的可用 带宽相似度较低。而在有LDoS攻击流量注入的情况下,假设攻击者不改变攻击速率。尽管 成很小,但受其影响,同一路由域内各链路上的TCP发送端都统一的大幅减小拥塞 窗口。如果攻击效果足够好,可用带宽甚至可能接近链路所能提供的总带宽,可用带宽表现 出较强的相似度。
[0016] 根据W上的模型分析,采用欧氏距离来衡量不同链路可用带宽的相似度。测量所 有链路的可用带宽,将测量结果看作一个随机过程:{B(t),t=nA},其中A是测量时间 间隔。对于每一个时间t,B(t)对应着一个随机变量。B(t)构成一个测量序列,表示该链 路可用带宽的所有测量值。从而,得到第1条链路的可用带宽序列为8,(111),111=1