基于云环境的反射型 DDoS 攻击检测
摘要:
随着软件定义网络、网络功能虚拟化、人工智能等技术的演进发展,云环境部署与应用日趋成熟。分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的新变种反射型 DDoS 因低成本、难追踪等特点得到快速泛滥,云环境中的主机和应用服务面临着反射型 DDoS 攻击威胁。如何检测反射型 DDoS 攻击行为及构建完备的检测防御体系成为研究热点。依据反射型 DDoS 的攻击特征,首先,对最初传统网络的检测防御框架和目前结合云环境的综合性检测体系进行了归纳与整理;其次,系统地分析其中的问题与挑战;最后,进行总结并展望未来的研究方向,为今后进一步的深入研究及实践应用提供参考。
内容目录:
1相关概念
1.1云环境及其相关技术
1.2DDoS
1.3反射型 DDoS
2攻击检测方法
2.1攻击体系
2.2攻击特点
2.3检测方法
2.3.1基于机器学习的攻击检测
2.3.2基于深度学习的攻击检测
2.3.3基于数据包的攻击检测
2.3.4基于 SDN 的检测方案
2.3.5其他检测方法
2.3.6检测方法对比
3结论与展望
3.1结论
3.2未来展望
近年来,伴随云计算与云存储技术的发展,云环境下用户信息井喷式产生,新型云服务不断涌现,网络安全问题变得更为突出。当前云环境面临网络安全威胁和入侵攻击,相关数据显示云平台遭受约三分之二的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,并且呈分布广、增势快、攻击次数增加等特点,恶意攻击行为给云环境造成重大网络安全事故。世界知名信息安全服务商 Arbor.NETworks指出,几乎没有云环境能够避免受到 DDoS 的攻击,攻击者以僵尸网络或反射的方式聚合成大规模流量进行攻击,2016 年,新变种反射型DDoS 攻击使得美国大范围断电,2018 年,黑客使用 DDoS 反射放大攻击入侵 GitHub 平台造成网络瘫痪。反射型 DDoS 攻击以其攻击强、成本低、溯源难等特点成为云环境网络安全防护的新焦点。
针对反射型 DDoS 攻击方式与特点,本文从机器学习、深度学习和软件定义网络(Software Defined Network,SDN)架设等方面着手,总结并归纳反射型 DDoS 攻击的基本原理、检测体系及问题挑战,为今后进一步的深入研究及实践应用提供参考。
1 相关概念
攻击检测的研究主要集中在云环境与 DDoS两方面,需要进行概念分析。
1.1云环境及其相关技术
云环境指从资源池中为用户或系统动态化地提供计算、存储以及其他服务的网络环境。云环境基于云平台、云计算、云存储三大技术组成:云平台技术实现了统一管理与共享信息资源,根据需求可持续、动态调节服务节点,实现资源最大化利用;云计算技术属于分布式计算之一,有着灵活性高,兼容性强和性价比高等优势,为云环境提供强大的算力;云存储技术实现存储资源虚拟化与用户在线存储信息的目的,减少硬件开销。
1.2DDoS
DDoS 即分布式拒绝服务,具有攻击方式简单,追踪困难,影响较广的表征。DDoS 分为流量攻击和资源耗尽攻击两种形式,前者针对网络带宽,后者针对服务器主机,都会带来巨大的危害,是当下最严重的网络安全威胁之一。由于 DDoS 在攻击时能够伪造源 IP 地址,因此具有隐蔽性,从而导致了对其进行检测的困难。
1.3反射型 DDoS 攻击
反射型 DDoS 攻击是 DDoS 新型变种攻击方式,其攻击方式并不是直接攻击目标服务 IP,而是使用互联网的特殊服务开放的服务器,通过伪造被攻击者的 IP 地址,向开放的服务器发送请求数据包,服务器收到后将数倍的回答数据包发给被攻击的 IP,最终形成对目标的 DDoS攻击。因此反射型 DDoS 攻击存在成本低、追踪难、攻击强且所需肉鸡少等特点,极可能对云环境带来巨大安全风险。
2 攻击检测方法
攻击检测体系主要由体系、特点和方法 3部分构成,因此对其进行展开研究。
2.1攻击体系
一个完善的反射型 DDoS 攻击系统主要由主控端、代理攻击端、反射服务器和目标服务器 4部分组成,如图 1 所示。
图 1反射型 DDoS 攻击原理
(1)主控端。攻击者使用的主机。主要对整个攻击过程进行操控,发起对目标服务器的攻击,将相对应的 DDoS 程序传入代理攻击端,等待攻击命令。(2)代理攻击端。攻击者非法入侵并利用的主机即“傀儡”机。代理攻击端通过伪造被攻击者的 IP 地址向反射服务器端发送连接请求包,间接对目标服务器进行攻击,这样的攻击具有隐蔽性和难追踪性。(3)反射服务器。能够收到从代理攻击端发出伪装的数据包。反射服务器也无法识别请求发起源是否具有恶意动机。根据传输控制协 议(Transmission Control Protocol,TCP) 三次握手规则,向目标服务器发送同步序列编号(Synchronize Sequence Numbers,SYN) 和 确 认字符(Acknowledge character,ACK)或复位(Resst,RST)等请求响应的数据包,反射服务器是攻击者真正向目标服务器发送攻击包的平台。(4)目标服务器。攻击者的目标即受害主机。攻击者所发出的请求包 IP 是受害者的地址,反射服务器把响应发给受害主机,攻击者利用TCP/IP 协议缺少认证这一漏洞,不断发送伪装的请求,使得反射服务器回应数据包像洪流一般向服务器涌来,导致受害主机集中处理回应,达到拒绝服务的目的。
2.2攻击特点
根据针对的协议类型和攻击方式的不同,DDoS 有着各类攻击类型,而反射型 DDoS 攻击是一种新的变种,主要存在难以追踪且不需要大量的肉鸡等特点。难以追踪是由于攻击者并不直接攻击目标 IP,而是通过伪造受害者的 IP地址进行攻击。同时,攻击者假装受害者给放大器发包,并通过反射器再反射给受害者,因此不需要大量肉鸡也能造成巨大损失。研究者要针对反射型 DDoS 的特点对其进行检测与防御,尽可能减少对网络安全的威胁程度。
2.3检测方法
对于 DDoS 的检测主要分为机器学习、深度学习、数据包和 SDN 以及其他的方法,现将其展开研究。
2.3.1基于机器学习的攻击检测
机器学习利用多种技术提供了向计算机“学习”数据的能力,而且不需要复杂的编程,许多学者在机器学习的基础上研究出各种检测方法。例如,贾斌 提出基于机器学习与统计分析的检测方法。一是基于相关性特征降维技术。使用主成分分析(Principal Component Analysis,PCA)技术对网络中的多个属性进行降维并分析较低纬度相互关联的特征属性,使用基于多元降 维分析(Multivariate Dimensionality Reduction Analysis,MDRA)算法与马氏距离的实时攻击检测(Real-time Attack Detection,RTAD)方法实现实时检测。二是基于组合分类器的方法。使用基于组合分类器的 DDoS 攻击随机森林分布式 检 测(Random Forest Distribution Detection,RFDD)模型检测算法的随机性,从而对网络流量的属性进行降噪和相关性的消除,实现准确检测的目标。三是基于异构分类器集成学习方法。依据基于奇异值分解(Singular Value Decomposition,SVD) 技 术 和 Rotation Forest 集成策略的异构多分类器集成学习(Heterogeneous Multi-classifier Ensemble Learning,HMEL)检测模型,在检测过程中对网络流量属性特征进行去冗余和消除相关性来提高检测性能。该方法都具有良好的效果,但还存在缺少真实环境与云环境的挑战与问题。而郝冠楠提出基于互信息量决策树方法。其解决了传统的 DDoS 攻击检测系统不适用于云平台的检测问题,该方法计算数据属性互信息量的平均值并进行比较,从而获取最大值并将其作为扩展节点,通过属性对数据进行分割后判断其是否纯净,如果是则结束,反之继续分割,重复前面步骤直到分割完全并且得到完整的决策树,最终通过决策树总结特征与规则校验后进行攻击检测,然而该方法只适用于 linux 系统,并且对于大数据场景的实现还需进一步工作。除该文章外,在大数据或云环境中进行 DDoS 检测已成为研究热点。例如,李博等人提出基于 Apriori 与 K-means算法结合的 DDoS 的检测方法。首先,实时收集网络数据包并获取网络流量;其次,与正常流量的阈值进行比较,若超过阈值则进行检测,并通过 Apriori 算法记录数据;最后,发掘规则最终生成流量特征,利用 K-means 算法判定正常与异常流量表征,最终进行决策与预警。王忠文提出近邻传播与混沌分析结合的检测方法。当面对复杂且庞大的 DDoS 攻击时,根据主机的行为使用近邻传播算法进行聚类,降低检测复杂度,使用二次指数平滑模型解决流量行为相似的问题,实现预测时间序列并获取误差值,最终通过混沌分析完成 DDoS 的攻击检测。卫丹 提出两种方法。一是基于朴素贝叶斯与信息熵的检测。根据云环境中的 DDoS 攻击流量特点进行流量熵计算,通过设置两个阈值并引入朴素贝叶斯算法将正常流量与 DDoS 攻击流量进行分类,进一步判别该 DDoS 攻击流量的规模,从而实现 DDoS 最终的检测。二是词袋模型与 K-means 结合的攻击检测。使用词袋模型对流量进行分析,使用 K-means 算法对聚类进行训练,最终通过关键点直方图对 DDoS攻击流量进行检测。Xu 等人提出基于深度森林的检测方法。在主机上提取反射型 DDoS 威胁特征训练深度森林模型,识别区分网络流中的 IP 类型并检测流量数据包是否异常,实现DDoS 攻击检测与防御。Aamir 等人应用特征工程与机器学习提出 DDoS 攻击检测新思路。使用交叉验证避免在检测 DDoS 攻击时出现数据过拟合和共线性问题。Idhammad 等人使用半监督机器学习方法进行 DDoS 检测。基于网络熵估计、信息增益比、协同聚类和 Exra-Trees算法的半监督机器学习方法,减少检测流量数据的同时,提高检测准确度。
2.3.2基于深度学习的攻击检测
深度学习是机器学习中新的研究方向,是一种基于对数据进行表征学习的方法,许多学者也对该领域有着不同的研究与创新。例如,孟威提出改进的 BP 神经网络检测。将收集到的数据转变为流量向量,获得样本集合进行学习并找出输入与输出关系,构建学习模型来进行检测,最终判断流量异常。王忠文 提出基于深度双向循环网络的检测方案。分析网络流量的数据结构,利用包含数据输入的深度学习模型,依据流量特征与 DDoS 属性对流量数据进行采样检测,甄别具体的攻击类型。刘伉伉提出基于 BP 神经网络的云计算入侵检测模型。由于 BP 神经网络存在训练时间长、全局优化性不高的问题,改进人工蜂群算法对模型进行优化,最终提高模型检测性能。马林进提出了一种基于流量关键点词袋模型(Stream Point Bag of word,SP-BoW)的检测算法。该算法能够径直从二进制流量中获取关键点,降低更新特征集的人工成本,实现对各种拓扑网络的自适应检测异常数据。利用词袋模型算法并将其部署在网络数据输入点处,根据异常数据特征进行训练,实现对云环境的异常数据实时检测。肖向飞 提出改进的卷积神经网络(Convolutional Neural Networks,CNN)方法。在卷积层生成分类中进行特征映射,并求平均值完成分类,在面对数据量大、特征属性复杂的情况下,使用改进循环神经网络(Recurrent Neural Network,RNN)模型将数据集进行切分并在长短期记忆(Long Short-Term Memory,LSTM)网络中进行并行计算、同时工作,最终以较高的训练速度和准确率进行DDoS 的检测。束越婕提出一种在 SDN 网络架构下基于深度学习的 DDoS 攻击检测机制。结合 LSTM 深度学习和支持向量机(Support Vector machines,SVM),提取数据流表特征,输入整理好的时间序列到 LSTM 模型中进行训练,并利用改进的遗传算法进行优化,引入 SVM 算法降低 LSTM 带来的误判率,完成攻击检测。
2.3.3基于数据包的攻击检测
数据包即分块的传输数据,Tsunoda 等人通过确认机制对简单的响应数据包进行检测。该机制通过翻译器对主机发出的请求包进行查看并预测其回应包格式,再将预测信息存储在缓冲器中,最后使用匹配器将预测信息与响应包进行信息匹配,若匹配成功则输出结果,否则就丢掉响应包。该检测方法虽然准确性高,但是会浪费资源和减缓正常连接的响应速度。贺燕等人对Tsunoda 等人提出的检测机制进行改进。在匹配器前增添监视器,用来统计流量,该监视器将预测的回应包数量与实际的进行比较,区分正常和潜在的回应包来判断是否存在反射型 DDoS 攻击,该改进的方式提高了正常响应连接的速度。
2.3.4基于 SDN 的检测方案
SDN 为软件定义网络,是网络虚拟化的一种实现方式,是当前网络领域最热门、最具发展前途的技术之一,很多学者都对其进行了研究。例如,Jili 等人提出在 SDN 架构下基于信息熵的 DDoS 攻击检测。同时利用 SDN 转发器实现对 DDoS 攻击流量的区分,使用过滤方法提供一定保护,实现 DDoS 攻击的检测与保护。何亨等人提出基于 SDN 架构的 DDoS 攻击检测与防御方案——SDCC。利用置信度过滤(Confidence-Based Filtering,CBF)对数据进行分组并计算 CBF 分数,若该分组的分数没有超过阈值,那么将其划为攻击分组,并将分组信息添加到特征库中,通过控制器下发流表进行拦截,最终实现较高效率的 DDoS 检测。Jia 等人 针对由 SDN 控制器破坏造成的 DDoS 攻击,提出基于 SDN 架构的 DDoS 攻击检测方法。该方法结合深度学习模型(LSTM)和支持向量机(SVM),不但可以分类判断时间序列,还能够通过一段时间的流特征达到 DDoS 检测判断的目的。陈莉面对 SDN 架构中的 DDoS 攻击,提出了基于 BP 神经网络的攻击模型。该模型根据 DDoS 的攻击特点和 SDN 架构特征,利用SDN 交换机流表项信息构建特征检测模型,最后在 SDN 仿真环境中进行 DDoS 攻击检测。张吉成 提出基于 SDN 的 DDoS 攻击防御体系。在攻击检测部分,重点在边缘交换机端设置初始检测模块,利用 IP 信息熵与流量数达到快速预警,在控制器端设置相关模块,使用随机森林模型将提取的特征进行输入,最终实现准确检测。贺玉鹏 针对 SDN 中的 DDoS 攻击检测问题,提出新的研究方案。利用交换机的信息熵预先进行正常或异常流量分类,控制器在定位异常的流表信息后,利用优化的 BP 神经网络对提取的特征进行分析检测,从而判断是否发生攻击。柴峥 提出基于 SDN 流表特征的DDoS 检测。该检测方案分为 3 个模块,一是流表收集模块。向交换机发送请求并预处理数据包,将有效信息发送给特征提取模块。二是特征提取模块。对流表特征进行提取并获得 DDoS攻击的特征。三是分类模块。将收集的流量进行分类并记录 DDoS 攻击的交换机 ID,最终判断 DDoS 的攻击位置,实现对 DDoS 攻击的检测。胡艳提出在云环境中基于 SDN 的检测方法。通过置信度过滤的方法过滤攻击包并将攻击包信息储存在攻击流特征库中。利用负载均衡方案迁移交换机,增强控制器抵御 DDoS 攻击的能力。该方法对云环境中的多种 DDoS 攻击类型进行检测和防御,实现最终目标。赵智勇 提出依据新型熵检测与阈值计算,通过仿真实验确定算法的关键参数并引入相关检测模块中实现对 DDoS的异常检测。张之阳针对云数据中心的 DDoS检测,提出基于 SDN 特性与自适应攻击检测阈值调整算法。在降低 SDN 负载的同时快速检测DDoS 攻击。刘涛等人提出 SDN 架构中基于交叉熵的攻击检测模型。利用 SDN 交换机中央处理器(Central Processing Unit,CPU)使用率的初始检测方法预先判断是否发生异常,引入交叉熵原理对出现异常情况的交换机 IP 熵和数据包进行联合检测,定量分析特征相似性的正常与异常流量,通过获取的基于交叉熵的特征实现流量的检测。牛紫薇提出在 SDN 架构下对 DDoS 进行检测。利用随机森林和选择性集成方法相结合的方式进行攻击检测模型的训练,并将其部署在 SDN 架构上,利用在线混合数据采集的方式对攻击检测模型进行检测验证,提高 DDoS 攻击的检测率。
2.3.5其他检测方法
王淼等人提出基于熵度量的 DDoS 攻击检测方法。在分布式架构中进行多个目标检测,通过计算流量熵的变化识别疑似流,使用相对熵进一步确认真实的攻击流,最终达到检测的准确度。该方法兼容性较强,检测精确度较高,并且适用于多个攻击目标的云环境 DDoS 检测。蔡佳义提出由层次分析法(Analytic Hierarchy Process,AHP)和条件熵检测算法组成的 DDoS攻击检测模型,既解决了 AHP 算法数据少、定性因子多等问题,又解决了条件熵检测算法复杂度高、检测实时性弱等问题。结合两者的优点,提高在云环境 DDoS 检测的鲁棒性。Nguyen 等人提出攻击请求与业务感知自适应阈值结合的反射型 DDoS 源端检测。在分析网关流量的基础上,调整收集概率并且引入流量感知的自适应阈值和余量,最终在源端进行反射型 DDoS 攻击请求的检测。代昆玉等人提出网络流量负荷平衡策略与用户身份认证超重相结合的检测方法。首先,对访问云计算中心的用户实行身份认证;其次,针对云数据的传输效率与安全性,引入异常流量的分层处理;最后,将两者进行结合,有效防御云平台中的 DDoS 攻击。王一川等人基于虚拟机内省(Virtual Machine Introspection-based,VMI)和基于网络入侵检测系统的特征提出对云环境内服务器集群 DDoS 的攻击检测模型。当受到 DDoS 攻击时,该模型通过恶意度和虚拟特征库来分辨网络的行为可疑度,并且将两者进行有效函数测试,证实唯一纳什均衡,实现对云环境内部 DDoS 威胁的有效检测。Liu 等人提出利用数据压缩和行为差异测量实现对低速率 DDoS的攻击检测。首先,利用多维概念图结构对流量数据聚合与压缩;其次,使用行为发散测量方法计算概念图的能量比,引入改进的指数加权移动平均法构建正常网络的动态阈值;最后,使用流量冻结机制保证阈值的标准化,以较低的误报率实现检测。Akmak 等人提出基于马氏距离和核算法的在线 DDoS 检测。对每分钟的网络流量的熵和统计特征进行提取并作为检测指标,使用基于熵的内核算法来检测是否为 DDoS 攻击的输入向量。邓娉针对云环境 Web 应用层的 DDoS 攻击,提出可扩展标记语言(Extensible Markup Language,XML) 和 HTTP 层 的 DDoS 攻击 检 测。从 简 单 对 象 访 问 协 议(Simple Object Access Protocol,SOAP)的正常运行中提取数据集的特征值并构建高斯请求模型,设置 Web 服务的网络服务描述语言(Web Services DescriptionLanguage,WSDL)属性对攻击进行初步过滤,对请求的 XML 内容和 HTTP 头部进行检测,与模型数据进行对比后实现对 DDoS 的检测。Yu 等人设计了基于智能人工蜂群算法与流量减少算法。依据异常提取的思路减少数据流量,根据流量特征熵与广义判别因子共同实现对 DDoS 的攻击检测。Cui 等人提出了对 DDoS 的攻击检测,也对后续工作做出了研究。基于认知启发式计算和双地址熵的方法,对交换机的流表特征进行提取,结合 SVM 算法建立攻击模型,能够在 DDoS 攻击前期实现对 DDoS 的实时检测与防御。
2.3.6检测方法对比
对上述不同的检测方法进行归纳总结,对应的优势、劣势和适用场景如表 1 所示。
表 1不同检测方法对比
机器学习能够更好地进行数据分析与挖掘,在模式识别领域中也能够大展身手。其检测方法更适用于较小数据集,由于在训练时不需要依赖较好的硬件条件,所以成本较低。同时,机器学习涉及直接特征工程,容易理解,但是处理特征工程较为复杂。相反,深度学习不需要特征工程,数据可以更好地扩展并进行有效缩放。在不同的领域与应用中,深度学习具有较强的适应性,例如,较容易适应语音识别和自然语言处理等场景,但在训练时,其需要依赖更好的硬件条件。数据包可用于特征提取,根据检测表明该方法实验结果准确度较高且成本较低,但如果使用不当可能造成资源浪费从而影响连接速度。SDN 作为最热门的技术之一,被用于企业网与数据中心领域,具有网络可编程、集中管理、开放性等特点,但也存在着扩展与安全问题。
3
结论与展望
3.1结论
近年来,伴随着网络技术的不断发展,云环境中的安全问题也愈发突出。鉴于 DDoS 攻击手段的多样化和新型化,DDoS 攻击已成为云环境的严重威胁,甚至可能导致大规模的云服务崩溃。本文基于云环境的背景对反射型 DDoS 攻击的检测方法展开相关研究与探索,现面临的挑战如下文所述。(1)模型完善挑战。目前仅对入侵检测模块进行研究,未详细设计研究模型中的其他模块。不断改进模型,保障模型功能的完整性是我们面临的挑战之一。(2)隐蔽性检测挑战。随着攻击方式的隐蔽性增强,在多种 DDoS 攻击场景下,如何有效应对复杂多变的攻击环境、如何解决隐蔽式攻击等成为研究亟需解决的问题。(3)实践应用挑战。模型未在真正的云环境或仿真环境中进行部署实验,检测准确性与效率面临严峻挑战。
3.2未来展望
在今后的研究中,我们将从细粒度着手,设置攻击流量检测级别,探索构建更适合云环境的反射型 DDoS 攻击检测模型,增强模型的检测感知能力,将反射型 DDoS 的攻击问题扼杀在萌芽阶段;在现实或仿真环境中进行实验,提高模型检测的自适应性与检测性能。该模型的构建将提升应对和防御反射型 DDoS 的攻击的能力。
引用本文:朱飑凯 , 李慧敏 , 刘三满 , 等 . 基于云环境的反射型 DDoS 攻击检测 [J]. 信息安全与通信保密 ,2022(2):71-80.
作者简介 >>>
朱飑凯,男,博士,副教授,主要研究方向为无源感知、数据分析、网络安全等;
李慧敏,女,本科在读,主要研究方向为网络安全;
刘三满,女,硕士,教授,主要研究方向为电子数据勘验、信息安全;
宋杰,男,硕 士,讲 师,主要研究方向为网络安全、隐私保护;
郭春,男,学士,助理实验师,主要研究方向为信息安全;
赵菊敏,女,博士,教授,主要研究方向为物联网、信息安全。
选自《信息安全与通信保密》2022年第2期(为便于排版,已省去参考文献)
