摘要:
隨著軟件定義網絡、網絡功能虛擬化、人工智能等技術的演進發展,云環境部署與應用日趨成熟。分布式拒絕服務(Distributed Denial of Service,DDoS)攻擊的新變種反射型 DDoS 因低成本、難追蹤等特點得到快速泛濫,云環境中的主機和應用服務面臨著反射型 DDoS 攻擊威脅。如何檢測反射型 DDoS 攻擊行為及構建完備的檢測防御體系成為研究熱點。依據反射型 DDoS 的攻擊特征,首先,對最初傳統網絡的檢測防御框架和目前結合云環境的綜合性檢測體系進行了歸納與整理;其次,系統地分析其中的問題與挑戰;最后,進行總結并展望未來的研究方向,為今后進一步的深入研究及實踐應用提供參考。
內容目錄:
1相關概念
1.1云環境及其相關技術
1.2DDoS
1.3反射型 DDoS
2攻擊檢測方法
2.1攻擊體系
2.2攻擊特點
2.3檢測方法
2.3.1基于機器學習的攻擊檢測
2.3.2基于深度學習的攻擊檢測
2.3.3基于數據包的攻擊檢測
2.3.4基于 SDN 的檢測方案
2.3.5其他檢測方法
2.3.6檢測方法對比
3結論與展望
3.1結論
3.2未來展望
近年來,伴隨云計算與云存儲技術的發展,云環境下用戶信息井噴式產生,新型云服務不斷涌現,網絡安全問題變得更為突出。當前云環境面臨網絡安全威脅和入侵攻擊,相關數據顯示云平臺遭受約三分之二的分布式拒絕服務(Distributed Denial of Service,DDoS)攻擊,并且呈分布廣、增勢快、攻擊次數增加等特點,惡意攻擊行為給云環境造成重大網絡安全事故。世界知名信息安全服務商 Arbor.NETworks指出,幾乎沒有云環境能夠避免受到 DDoS 的攻擊,攻擊者以僵尸網絡或反射的方式聚合成大規模流量進行攻擊,2016 年,新變種反射型DDoS 攻擊使得美國大范圍斷電,2018 年,黑客使用 DDoS 反射放大攻擊入侵 GitHub 平臺造成網絡癱瘓。反射型 DDoS 攻擊以其攻擊強、成本低、溯源難等特點成為云環境網絡安全防護的新焦點。
針對反射型 DDoS 攻擊方式與特點,本文從機器學習、深度學習和軟件定義網絡(Software Defined Network,SDN)架設等方面著手,總結并歸納反射型 DDoS 攻擊的基本原理、檢測體系及問題挑戰,為今后進一步的深入研究及實踐應用提供參考。
1 相關概念
攻擊檢測的研究主要集中在云環境與 DDoS兩方面,需要進行概念分析。
1.1云環境及其相關技術
云環境指從資源池中為用戶或系統動態化地提供計算、存儲以及其他服務的網絡環境。云環境基于云平臺、云計算、云存儲三大技術組成:云平臺技術實現了統一管理與共享信息資源,根據需求可持續、動態調節服務節點,實現資源最大化利用;云計算技術屬于分布式計算之一,有著靈活性高,兼容性強和性價比高等優勢,為云環境提供強大的算力;云存儲技術實現存儲資源虛擬化與用戶在線存儲信息的目的,減少硬件開銷。
1.2DDoS
DDoS 即分布式拒絕服務,具有攻擊方式簡單,追蹤困難,影響較廣的表征。DDoS 分為流量攻擊和資源耗盡攻擊兩種形式,前者針對網絡帶寬,后者針對服務器主機,都會帶來巨大的危害,是當下最嚴重的網絡安全威脅之一。由于 DDoS 在攻擊時能夠偽造源 IP 地址,因此具有隱蔽性,從而導致了對其進行檢測的困難。
1.3反射型 DDoS 攻擊
反射型 DDoS 攻擊是 DDoS 新型變種攻擊方式,其攻擊方式并不是直接攻擊目標服務 IP,而是使用互聯網的特殊服務開放的服務器,通過偽造被攻擊者的 IP 地址,向開放的服務器發送請求數據包,服務器收到后將數倍的回答數據包發給被攻擊的 IP,最終形成對目標的 DDoS攻擊。因此反射型 DDoS 攻擊存在成本低、追蹤難、攻擊強且所需肉雞少等特點,極可能對云環境帶來巨大安全風險。
2 攻擊檢測方法
攻擊檢測體系主要由體系、特點和方法 3部分構成,因此對其進行展開研究。
2.1攻擊體系
一個完善的反射型 DDoS 攻擊系統主要由主控端、代理攻擊端、反射服務器和目標服務器 4部分組成,如圖 1 所示。
圖 1反射型 DDoS 攻擊原理
(1)主控端。攻擊者使用的主機。主要對整個攻擊過程進行操控,發起對目標服務器的攻擊,將相對應的 DDoS 程序傳入代理攻擊端,等待攻擊命令。(2)代理攻擊端。攻擊者非法入侵并利用的主機即“傀儡”機。代理攻擊端通過偽造被攻擊者的 IP 地址向反射服務器端發送連接請求包,間接對目標服務器進行攻擊,這樣的攻擊具有隱蔽性和難追蹤性。(3)反射服務器。能夠收到從代理攻擊端發出偽裝的數據包。反射服務器也無法識別請求發起源是否具有惡意動機。根據傳輸控制協 議(Transmission Control Protocol,TCP) 三次握手規則,向目標服務器發送同步序列編號(Synchronize Sequence Numbers,SYN) 和 確 認字符(Acknowledge character,ACK)或復位(Resst,RST)等請求響應的數據包,反射服務器是攻擊者真正向目標服務器發送攻擊包的平臺。(4)目標服務器。攻擊者的目標即受害主機。攻擊者所發出的請求包 IP 是受害者的地址,反射服務器把響應發給受害主機,攻擊者利用TCP/IP 協議缺少認證這一漏洞,不斷發送偽裝的請求,使得反射服務器回應數據包像洪流一般向服務器涌來,導致受害主機集中處理回應,達到拒絕服務的目的。
2.2攻擊特點
根據針對的協議類型和攻擊方式的不同,DDoS 有著各類攻擊類型,而反射型 DDoS 攻擊是一種新的變種,主要存在難以追蹤且不需要大量的肉雞等特點。難以追蹤是由于攻擊者并不直接攻擊目標 IP,而是通過偽造受害者的 IP地址進行攻擊。同時,攻擊者假裝受害者給放大器發包,并通過反射器再反射給受害者,因此不需要大量肉雞也能造成巨大損失。研究者要針對反射型 DDoS 的特點對其進行檢測與防御,盡可能減少對網絡安全的威脅程度。
2.3檢測方法
對于 DDoS 的檢測主要分為機器學習、深度學習、數據包和 SDN 以及其他的方法,現將其展開研究。
2.3.1基于機器學習的攻擊檢測
機器學習利用多種技術提供了向計算機“學習”數據的能力,而且不需要復雜的編程,許多學者在機器學習的基礎上研究出各種檢測方法。例如,賈斌 提出基于機器學習與統計分析的檢測方法。一是基于相關性特征降維技術。使用主成分分析(Principal Component Analysis,PCA)技術對網絡中的多個屬性進行降維并分析較低緯度相互關聯的特征屬性,使用基于多元降 維分析(Multivariate Dimensionality Reduction Analysis,MDRA)算法與馬氏距離的實時攻擊檢測(Real-time Attack Detection,RTAD)方法實現實時檢測。二是基于組合分類器的方法。使用基于組合分類器的 DDoS 攻擊隨機森林分布式 檢 測(Random Forest Distribution Detection,RFDD)模型檢測算法的隨機性,從而對網絡流量的屬性進行降噪和相關性的消除,實現準確檢測的目標。三是基于異構分類器集成學習方法。依據基于奇異值分解(Singular Value Decomposition,SVD) 技 術 和 Rotation Forest 集成策略的異構多分類器集成學習(Heterogeneous Multi-classifier Ensemble Learning,HMEL)檢測模型,在檢測過程中對網絡流量屬性特征進行去冗余和消除相關性來提高檢測性能。該方法都具有良好的效果,但還存在缺少真實環境與云環境的挑戰與問題。而郝冠楠提出基于互信息量決策樹方法。其解決了傳統的 DDoS 攻擊檢測系統不適用于云平臺的檢測問題,該方法計算數據屬性互信息量的平均值并進行比較,從而獲取最大值并將其作為擴展節點,通過屬性對數據進行分割后判斷其是否純凈,如果是則結束,反之繼續分割,重復前面步驟直到分割完全并且得到完整的決策樹,最終通過決策樹總結特征與規則校驗后進行攻擊檢測,然而該方法只適用于 linux 系統,并且對于大數據場景的實現還需進一步工作。除該文章外,在大數據或云環境中進行 DDoS 檢測已成為研究熱點。例如,李博等人提出基于 Apriori 與 K-means算法結合的 DDoS 的檢測方法。首先,實時收集網絡數據包并獲取網絡流量;其次,與正常流量的閾值進行比較,若超過閾值則進行檢測,并通過 Apriori 算法記錄數據;最后,發掘規則最終生成流量特征,利用 K-means 算法判定正常與異常流量表征,最終進行決策與預警。王忠文提出近鄰傳播與混沌分析結合的檢測方法。當面對復雜且龐大的 DDoS 攻擊時,根據主機的行為使用近鄰傳播算法進行聚類,降低檢測復雜度,使用二次指數平滑模型解決流量行為相似的問題,實現預測時間序列并獲取誤差值,最終通過混沌分析完成 DDoS 的攻擊檢測。衛丹 提出兩種方法。一是基于樸素貝葉斯與信息熵的檢測。根據云環境中的 DDoS 攻擊流量特點進行流量熵計算,通過設置兩個閾值并引入樸素貝葉斯算法將正常流量與 DDoS 攻擊流量進行分類,進一步判別該 DDoS 攻擊流量的規模,從而實現 DDoS 最終的檢測。二是詞袋模型與 K-means 結合的攻擊檢測。使用詞袋模型對流量進行分析,使用 K-means 算法對聚類進行訓練,最終通過關鍵點直方圖對 DDoS攻擊流量進行檢測。Xu 等人提出基于深度森林的檢測方法。在主機上提取反射型 DDoS 威脅特征訓練深度森林模型,識別區分網絡流中的 IP 類型并檢測流量數據包是否異常,實現DDoS 攻擊檢測與防御。Aamir 等人應用特征工程與機器學習提出 DDoS 攻擊檢測新思路。使用交叉驗證避免在檢測 DDoS 攻擊時出現數據過擬合和共線性問題。Idhammad 等人使用半監督機器學習方法進行 DDoS 檢測。基于網絡熵估計、信息增益比、協同聚類和 Exra-Trees算法的半監督機器學習方法,減少檢測流量數據的同時,提高檢測準確度。
2.3.2基于深度學習的攻擊檢測
深度學習是機器學習中新的研究方向,是一種基于對數據進行表征學習的方法,許多學者也對該領域有著不同的研究與創新。例如,孟威提出改進的 BP 神經網絡檢測。將收集到的數據轉變為流量向量,獲得樣本集合進行學習并找出輸入與輸出關系,構建學習模型來進行檢測,最終判斷流量異常。王忠文 提出基于深度雙向循環網絡的檢測方案。分析網絡流量的數據結構,利用包含數據輸入的深度學習模型,依據流量特征與 DDoS 屬性對流量數據進行采樣檢測,甄別具體的攻擊類型。劉伉伉提出基于 BP 神經網絡的云計算入侵檢測模型。由于 BP 神經網絡存在訓練時間長、全局優化性不高的問題,改進人工蜂群算法對模型進行優化,最終提高模型檢測性能。馬林進提出了一種基于流量關鍵點詞袋模型(Stream Point Bag of word,SP-BoW)的檢測算法。該算法能夠徑直從二進制流量中獲取關鍵點,降低更新特征集的人工成本,實現對各種拓撲網絡的自適應檢測異常數據。利用詞袋模型算法并將其部署在網絡數據輸入點處,根據異常數據特征進行訓練,實現對云環境的異常數據實時檢測。肖向飛 提出改進的卷積神經網絡(Convolutional Neural Networks,CNN)方法。在卷積層生成分類中進行特征映射,并求平均值完成分類,在面對數據量大、特征屬性復雜的情況下,使用改進循環神經網絡(Recurrent Neural Network,RNN)模型將數據集進行切分并在長短期記憶(Long Short-Term Memory,LSTM)網絡中進行并行計算、同時工作,最終以較高的訓練速度和準確率進行DDoS 的檢測。束越婕提出一種在 SDN 網絡架構下基于深度學習的 DDoS 攻擊檢測機制。結合 LSTM 深度學習和支持向量機(Support Vector machines,SVM),提取數據流表特征,輸入整理好的時間序列到 LSTM 模型中進行訓練,并利用改進的遺傳算法進行優化,引入 SVM 算法降低 LSTM 帶來的誤判率,完成攻擊檢測。
2.3.3基于數據包的攻擊檢測
數據包即分塊的傳輸數據,Tsunoda 等人通過確認機制對簡單的響應數據包進行檢測。該機制通過翻譯器對主機發出的請求包進行查看并預測其回應包格式,再將預測信息存儲在緩沖器中,最后使用匹配器將預測信息與響應包進行信息匹配,若匹配成功則輸出結果,否則就丟掉響應包。該檢測方法雖然準確性高,但是會浪費資源和減緩正常連接的響應速度。賀燕等人對Tsunoda 等人提出的檢測機制進行改進。在匹配器前增添監視器,用來統計流量,該監視器將預測的回應包數量與實際的進行比較,區分正常和潛在的回應包來判斷是否存在反射型 DDoS 攻擊,該改進的方式提高了正常響應連接的速度。
2.3.4基于 SDN 的檢測方案
SDN 為軟件定義網絡,是網絡虛擬化的一種實現方式,是當前網絡領域最熱門、最具發展前途的技術之一,很多學者都對其進行了研究。例如,Jili 等人提出在 SDN 架構下基于信息熵的 DDoS 攻擊檢測。同時利用 SDN 轉發器實現對 DDoS 攻擊流量的區分,使用過濾方法提供一定保護,實現 DDoS 攻擊的檢測與保護。何亨等人提出基于 SDN 架構的 DDoS 攻擊檢測與防御方案——SDCC。利用置信度過濾(Confidence-Based Filtering,CBF)對數據進行分組并計算 CBF 分數,若該分組的分數沒有超過閾值,那么將其劃為攻擊分組,并將分組信息添加到特征庫中,通過控制器下發流表進行攔截,最終實現較高效率的 DDoS 檢測。Jia 等人 針對由 SDN 控制器破壞造成的 DDoS 攻擊,提出基于 SDN 架構的 DDoS 攻擊檢測方法。該方法結合深度學習模型(LSTM)和支持向量機(SVM),不但可以分類判斷時間序列,還能夠通過一段時間的流特征達到 DDoS 檢測判斷的目的。陳莉面對 SDN 架構中的 DDoS 攻擊,提出了基于 BP 神經網絡的攻擊模型。該模型根據 DDoS 的攻擊特點和 SDN 架構特征,利用SDN 交換機流表項信息構建特征檢測模型,最后在 SDN 仿真環境中進行 DDoS 攻擊檢測。張吉成 提出基于 SDN 的 DDoS 攻擊防御體系。在攻擊檢測部分,重點在邊緣交換機端設置初始檢測模塊,利用 IP 信息熵與流量數達到快速預警,在控制器端設置相關模塊,使用隨機森林模型將提取的特征進行輸入,最終實現準確檢測。賀玉鵬 針對 SDN 中的 DDoS 攻擊檢測問題,提出新的研究方案。利用交換機的信息熵預先進行正常或異常流量分類,控制器在定位異常的流表信息后,利用優化的 BP 神經網絡對提取的特征進行分析檢測,從而判斷是否發生攻擊。柴崢 提出基于 SDN 流表特征的DDoS 檢測。該檢測方案分為 3 個模塊,一是流表收集模塊。向交換機發送請求并預處理數據包,將有效信息發送給特征提取模塊。二是特征提取模塊。對流表特征進行提取并獲得 DDoS攻擊的特征。三是分類模塊。將收集的流量進行分類并記錄 DDoS 攻擊的交換機 ID,最終判斷 DDoS 的攻擊位置,實現對 DDoS 攻擊的檢測。胡艷提出在云環境中基于 SDN 的檢測方法。通過置信度過濾的方法過濾攻擊包并將攻擊包信息儲存在攻擊流特征庫中。利用負載均衡方案遷移交換機,增強控制器抵御 DDoS 攻擊的能力。該方法對云環境中的多種 DDoS 攻擊類型進行檢測和防御,實現最終目標。趙智勇 提出依據新型熵檢測與閾值計算,通過仿真實驗確定算法的關鍵參數并引入相關檢測模塊中實現對 DDoS的異常檢測。張之陽針對云數據中心的 DDoS檢測,提出基于 SDN 特性與自適應攻擊檢測閾值調整算法。在降低 SDN 負載的同時快速檢測DDoS 攻擊。劉濤等人提出 SDN 架構中基于交叉熵的攻擊檢測模型。利用 SDN 交換機中央處理器(Central Processing Unit,CPU)使用率的初始檢測方法預先判斷是否發生異常,引入交叉熵原理對出現異常情況的交換機 IP 熵和數據包進行聯合檢測,定量分析特征相似性的正常與異常流量,通過獲取的基于交叉熵的特征實現流量的檢測。牛紫薇提出在 SDN 架構下對 DDoS 進行檢測。利用隨機森林和選擇性集成方法相結合的方式進行攻擊檢測模型的訓練,并將其部署在 SDN 架構上,利用在線混合數據采集的方式對攻擊檢測模型進行檢測驗證,提高 DDoS 攻擊的檢測率。
2.3.5其他檢測方法
王淼等人提出基于熵度量的 DDoS 攻擊檢測方法。在分布式架構中進行多個目標檢測,通過計算流量熵的變化識別疑似流,使用相對熵進一步確認真實的攻擊流,最終達到檢測的準確度。該方法兼容性較強,檢測精確度較高,并且適用于多個攻擊目標的云環境 DDoS 檢測。蔡佳義提出由層次分析法(Analytic Hierarchy Process,AHP)和條件熵檢測算法組成的 DDoS攻擊檢測模型,既解決了 AHP 算法數據少、定性因子多等問題,又解決了條件熵檢測算法復雜度高、檢測實時性弱等問題。結合兩者的優點,提高在云環境 DDoS 檢測的魯棒性。Nguyen 等人提出攻擊請求與業務感知自適應閾值結合的反射型 DDoS 源端檢測。在分析網關流量的基礎上,調整收集概率并且引入流量感知的自適應閾值和余量,最終在源端進行反射型 DDoS 攻擊請求的檢測。代昆玉等人提出網絡流量負荷平衡策略與用戶身份認證超重相結合的檢測方法。首先,對訪問云計算中心的用戶實行身份認證;其次,針對云數據的傳輸效率與安全性,引入異常流量的分層處理;最后,將兩者進行結合,有效防御云平臺中的 DDoS 攻擊。王一川等人基于虛擬機內省(Virtual Machine Introspection-based,VMI)和基于網絡入侵檢測系統的特征提出對云環境內服務器集群 DDoS 的攻擊檢測模型。當受到 DDoS 攻擊時,該模型通過惡意度和虛擬特征庫來分辨網絡的行為可疑度,并且將兩者進行有效函數測試,證實唯一納什均衡,實現對云環境內部 DDoS 威脅的有效檢測。Liu 等人提出利用數據壓縮和行為差異測量實現對低速率 DDoS的攻擊檢測。首先,利用多維概念圖結構對流量數據聚合與壓縮;其次,使用行為發散測量方法計算概念圖的能量比,引入改進的指數加權移動平均法構建正常網絡的動態閾值;最后,使用流量凍結機制保證閾值的標準化,以較低的誤報率實現檢測。Akmak 等人提出基于馬氏距離和核算法的在線 DDoS 檢測。對每分鐘的網絡流量的熵和統計特征進行提取并作為檢測指標,使用基于熵的內核算法來檢測是否為 DDoS 攻擊的輸入向量。鄧娉針對云環境 Web 應用層的 DDoS 攻擊,提出可擴展標記語言(Extensible Markup Language,XML) 和 HTTP 層 的 DDoS 攻擊 檢 測。從 簡 單 對 象 訪 問 協 議(Simple Object Access Protocol,SOAP)的正常運行中提取數據集的特征值并構建高斯請求模型,設置 Web 服務的網絡服務描述語言(Web Services DescriptionLanguage,WSDL)屬性對攻擊進行初步過濾,對請求的 XML 內容和 HTTP 頭部進行檢測,與模型數據進行對比后實現對 DDoS 的檢測。Yu 等人設計了基于智能人工蜂群算法與流量減少算法。依據異常提取的思路減少數據流量,根據流量特征熵與廣義判別因子共同實現對 DDoS 的攻擊檢測。Cui 等人提出了對 DDoS 的攻擊檢測,也對后續工作做出了研究。基于認知啟發式計算和雙地址熵的方法,對交換機的流表特征進行提取,結合 SVM 算法建立攻擊模型,能夠在 DDoS 攻擊前期實現對 DDoS 的實時檢測與防御。
2.3.6檢測方法對比
對上述不同的檢測方法進行歸納總結,對應的優勢、劣勢和適用場景如表 1 所示。
表 1不同檢測方法對比
機器學習能夠更好地進行數據分析與挖掘,在模式識別領域中也能夠大展身手。其檢測方法更適用于較小數據集,由于在訓練時不需要依賴較好的硬件條件,所以成本較低。同時,機器學習涉及直接特征工程,容易理解,但是處理特征工程較為復雜。相反,深度學習不需要特征工程,數據可以更好地擴展并進行有效縮放。在不同的領域與應用中,深度學習具有較強的適應性,例如,較容易適應語音識別和自然語言處理等場景,但在訓練時,其需要依賴更好的硬件條件。數據包可用于特征提取,根據檢測表明該方法實驗結果準確度較高且成本較低,但如果使用不當可能造成資源浪費從而影響連接速度。SDN 作為最熱門的技術之一,被用于企業網與數據中心領域,具有網絡可編程、集中管理、開放性等特點,但也存在著擴展與安全問題。
3
結論與展望
3.1結論
近年來,伴隨著網絡技術的不斷發展,云環境中的安全問題也愈發突出。鑒于 DDoS 攻擊手段的多樣化和新型化,DDoS 攻擊已成為云環境的嚴重威脅,甚至可能導致大規模的云服務崩潰。本文基于云環境的背景對反射型 DDoS 攻擊的檢測方法展開相關研究與探索,現面臨的挑戰如下文所述。(1)模型完善挑戰。目前僅對入侵檢測模塊進行研究,未詳細設計研究模型中的其他模塊。不斷改進模型,保障模型功能的完整性是我們面臨的挑戰之一。(2)隱蔽性檢測挑戰。隨著攻擊方式的隱蔽性增強,在多種 DDoS 攻擊場景下,如何有效應對復雜多變的攻擊環境、如何解決隱蔽式攻擊等成為研究亟需解決的問題。(3)實踐應用挑戰。模型未在真正的云環境或仿真環境中進行部署實驗,檢測準確性與效率面臨嚴峻挑戰。
3.2未來展望
在今后的研究中,我們將從細粒度著手,設置攻擊流量檢測級別,探索構建更適合云環境的反射型 DDoS 攻擊檢測模型,增強模型的檢測感知能力,將反射型 DDoS 的攻擊問題扼殺在萌芽階段;在現實或仿真環境中進行實驗,提高模型檢測的自適應性與檢測性能。該模型的構建將提升應對和防御反射型 DDoS 的攻擊的能力。
引用本文:朱颮凱 , 李慧敏 , 劉三滿 , 等 . 基于云環境的反射型 DDoS 攻擊檢測 [J]. 信息安全與通信保密 ,2022(2):71-80.
作者簡介 >>>
朱颮凱,男,博士,副教授,主要研究方向為無源感知、數據分析、網絡安全等;
李慧敏,女,本科在讀,主要研究方向為網絡安全;
劉三滿,女,碩士,教授,主要研究方向為電子數據勘驗、信息安全;
宋杰,男,碩 士,講 師,主要研究方向為網絡安全、隱私保護;
郭春,男,學士,助理實驗師,主要研究方向為信息安全;
趙菊敏,女,博士,教授,主要研究方向為物聯網、信息安全。
選自《信息安全與通信保密》2022年第2期(為便于排版,已省去參考文獻)
