经济拒绝服务(EDoS)是一种针对云环境的网络安全威胁,它利用云的弹性,尤其是自动缩放资源(即自动计费)来增加云用户的账单数量,直到账户破产,最终破坏用户应用程序、系统、网络和其他基础设施的可持续性。传统的安全措施无法应对EDoS,原因有几个:EDoS流量使用IP欺骗技术,除非攻击者使用已知的恶意IP,否则很难用现有的网络分析检测到;由于云可以扩展以容纳额外的流量,因此应用程序和最终用户最初不会受到EDoS攻击,至少在预算用尽之前是这样,因此应用程序性能指标不能用于检测攻击;安全强化技术对EDoS无效,因为流量不会利用任何类型的传统漏洞;即使检测到EDoS攻击,现有的安全工具也无能为力。只有与云成本管理系统建立交互,才能打断云的自动扩容机制。在解决问题之前,我们先来看看各种“oS”的区别:有时会使目标系统崩溃并阻止合法用户访问系统。DoS攻击大致可以分为两种,洪水攻击和崩溃攻击。前者发起大量请求,超出服务器的处理能力,导致服务降级或干脆拒绝通信。后者是指构造恶意请求或数据包,利用目标系统的漏洞使其崩溃或失败。DDoS(DistributedDenialofService)DoS的进化版本,攻击者可以指挥数千台甚至数万台安装了恶意软件——大型僵尸网络的网络设备发起攻击。攻击者还可以通过伪造的P地址发送数据包,使流量看起来合法,使其难以检测、跟踪和阻止。这种类型的攻击也经常被用作烟幕来分散安全团队的注意力并掩盖攻击者的真实入侵活动。EDoS利用云环境(通常是基础设施即服务,IaaS)中的漏洞或漏洞安装恶意软件,然后利用环境中的设备或云资源向目标设备发送伪造的流量包。由于云的速度、可扩展性和弹性,这种“额外”流量会导致云服务扩展,直到受害者的云帐户在财务上变得不可持续。攻击目的与DDoS攻击一样,EDoS旨在破坏业务并造成经济损失,而不会立即为攻击者带来好处。但对于个人网络罪犯来说,这些攻击可能是“武力展示”,或者是对机构的个人报复。对于黑客活动家来说,这可能是表达想法和抗议的一种方式。对于敌对国家支持的黑客组织来说,这将是破坏对手社会经济活动的一种方式。如今,DDoS是一项价值数十亿美元的业务,DoS平台可以作为服务提供,攻击者通过勒索赎金和其他方式赚钱。未来,EDoS将变得普遍,围绕它的商业模式和犯罪生态系统将像之前的地下黑市一样繁荣。解决方案阻止EDoS的主要难点在于攻击检测,一旦发现攻击,可以通过上述云成本管理进行中断。虽然业界已经提出了几种基于人工智能检测EDoS攻击的理论框架,但是这些方法都或多或少存在问题,因此没有得到广泛推广:(1)SVM(支持向量机)和SOM(自组织映射)SVM和SOM是两种能够检测EDoS攻击的机器学习模型。但两者的问题是处理速度较慢,无法处理大规模攻击中的实时数据。(2)FCNN(FullyConnectedNeuralNetwork)FCNN属于深度学习,由于可以使用多个神经层更高效地提取特征,因此性能优于上述两种机器学习算法。但它的问题是准确率比较低,因为EDoS是一个连续的过程,需要进行时间序列分析,而FCNN没有“记忆”能力,即单独分析每个事件或单个数据包的能力。(3)RNN(递归神经网络)和LSTM(长短期记忆)RNN在检测EDoS攻击方面具有较高的成功率,因为??它可以克服FCNN的缺点,即可以分析事件序列。如果再加上LSTM单元能够捕捉最近事件的记忆,并在分析当前事件时将其考虑在内,准确率会更高。然而,RNN模型在处理实时数据时与SVM和SOM一样低效。新的EDoS检测方法两位韩国研究人员VinhQuocTa和MinhoPark在最近的一篇论文中提出了一种新的检测框架,使用在训练和预测阶段都比LSTM更快的并行处理策略。该方法的工作原理如下:LSTM注意力单元用于预测攻击流量序列中的一个单元,以确定其与其他单元的关联强度;注意分数是使用已经广泛使用的Transformer编码解码器模型计算的。但EDoS检测模型仅使用编码模型并行计算输入。保持LSTM模型的准确性,同时显着提升性能;指的是它的一个网络数据包与流量中其他网络数据包的相对分数,这有助于模型“记住”序列中先前单元的历史特征;对于多个特征使用分数来提高计算效率。换句话说,当模型分析数据包时,它会使用所有相关数据包的分数来减少处理时间;能够使用无监督学习策略对零日攻击输出进行分类;并且模型的实时更新使其能够重新训练,并针对攻击的变化微调参数。研究人员在真实的EDoS洪水攻击场景中测试了该框架,发现它能够以足够的性能检测攻击和处理数据。(论文地址:https://www.mdpi.com/2079-9292/10/20/2500/pdf)主要结论云的弹性和灵活性降低了传统DDoS攻击的可能性。然而,攻击者可以用额外的流量轰炸系统,导致资源无限扩大,直到受害者无法承受经济成本。使用传统的安全工具很难检测到EDoS攻击,但仍有一些方法可用于EDoS检测和缓解。重要的是要强调威胁是真实存在的,但对抗它的工具开发缓慢。我希望这篇文章在介绍、采用甚至开发您自己的实用方法来阻止EDoS攻击时有所帮助或有帮助。
