您所在的位置: 首頁(yè) >
新聞資訊 >
威脅情報(bào) >
云安全的新興重大威脅:EDoS
經(jīng)濟(jì)拒絕服務(wù)(EDoS)是一種針對(duì)云環(huán)境的網(wǎng)絡(luò)安全威脅,它利用云的彈性,尤其是自動(dòng)擴(kuò)展資源(意味著自動(dòng)付費(fèi)),來(lái)增加云用戶(hù)的賬單,直至該賬戶(hù)破產(chǎn),最終破壞用戶(hù)的應(yīng)用程序、系統(tǒng)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的可持續(xù)性。
由于以下幾個(gè)原因,傳統(tǒng)的安全措施無(wú)法應(yīng)對(duì)EDoS:
? EDoS流量使用IP欺騙技術(shù),現(xiàn)有的網(wǎng)絡(luò)分析很難檢測(cè),除非攻擊者使用已知的惡意IP;
? 由于云可以擴(kuò)展以滿(mǎn)足額外的流量,應(yīng)用程序和最終用戶(hù)一開(kāi)始不受EDoS攻擊的影響,至少在預(yù)算耗盡之前是這樣,因此應(yīng)用程序性能指標(biāo)無(wú)法用于檢測(cè)攻擊;
? 安全加固技術(shù)對(duì)EDoS無(wú)效,因?yàn)榱髁坎粫?huì)利用傳統(tǒng)意義上的任何類(lèi)型的漏洞;
? 即使檢測(cè)到EDoS攻擊,現(xiàn)有的安全工具也無(wú)能為力。只有建立起一個(gè)與云成本管理系統(tǒng)的交互,才能中斷云的自動(dòng)擴(kuò)展機(jī)制。
在解決問(wèn)題之前,我們先來(lái)看一下各種“oS”之間的區(qū)別:
DoS(拒絕服務(wù))
DoS攻擊中,攻擊者會(huì)發(fā)送虛假請(qǐng)求,占用服務(wù)器處理能力、內(nèi)存和網(wǎng)絡(luò)帶寬等資源,有時(shí)還會(huì)使目標(biāo)系統(tǒng)崩潰,阻止合法用戶(hù)訪(fǎng)問(wèn)系統(tǒng)。DoS攻擊可大致分為兩種,洪水攻擊和崩潰攻擊。前者發(fā)起大量請(qǐng)求,超出服務(wù)器的處理能力,從而導(dǎo)致服務(wù)降級(jí)或干脆拒絕通信。后者是指構(gòu)造惡意的請(qǐng)求或數(shù)據(jù)包,利用目標(biāo)系統(tǒng)中的漏洞導(dǎo)致其崩潰或失效。
DDoS(分布式拒絕服務(wù))
DoS的進(jìn)化版,攻擊者可指揮數(shù)千甚至數(shù)萬(wàn)臺(tái)安裝了惡意軟件的網(wǎng)絡(luò)設(shè)備--大規(guī)模僵尸網(wǎng)絡(luò),發(fā)起攻擊。攻擊者還可通過(guò)欺騙性的P地址發(fā)送數(shù)據(jù)包,使流量看起來(lái)合法,從而難以檢測(cè)、跟蹤和阻止。這種類(lèi)型的攻擊通常還被用作煙幕,分散安全團(tuán)隊(duì)的精力,掩蓋攻擊者真實(shí)的入侵活動(dòng)。
EDoS
利用云環(huán)境(通常是基礎(chǔ)設(shè)施即服務(wù),IaaS)中的脆弱性或漏洞來(lái)安裝惡意軟件,然后使用環(huán)境中的設(shè)備或云資源,向目標(biāo)設(shè)備發(fā)送偽造的流量包。由于云的快速、可擴(kuò)展和彈性,這種“額外”的流量會(huì)導(dǎo)致云服務(wù)的規(guī)模不斷擴(kuò)大,直到受害者的云賬戶(hù)在財(cái)務(wù)上無(wú)法持續(xù)。
攻擊目的
像DDoS攻擊一樣,EDoS旨在擾亂業(yè)務(wù)并造成經(jīng)濟(jì)損失,對(duì)攻擊者沒(méi)有直接好處。但對(duì)于個(gè)人網(wǎng)絡(luò)罪犯來(lái)說(shuō),這些攻擊可能是“武力展示”,或者是對(duì)某個(gè)機(jī)構(gòu)的個(gè)人報(bào)復(fù)。對(duì)于黑客激進(jìn)分子來(lái)說(shuō),則可能是彰顯理念、表示抗議的方式。對(duì)于敵對(duì)國(guó)家支持的黑客組織來(lái)說(shuō),則會(huì)是擾亂對(duì)手社會(huì)經(jīng)濟(jì)活動(dòng)的一種方式。
現(xiàn)如今,DDoS是一項(xiàng)價(jià)值數(shù)十億美元的業(yè)務(wù),DoS平臺(tái)可以作為一項(xiàng)服務(wù)提供,攻擊者通過(guò)索要贖金和其他手段來(lái)謀利。未來(lái),EDoS將變得普遍,圍繞著它的商業(yè)模式和犯罪生態(tài)系統(tǒng)也將和之前的地下網(wǎng)絡(luò)黑市一樣繁榮。
解決方案
阻止EDoS的主要困難是攻擊檢測(cè),一旦發(fā)現(xiàn)攻擊,即可通過(guò)上面提到的云成本管理來(lái)中斷攻擊。雖然業(yè)界已經(jīng)提出了基于人工智能的幾種檢測(cè)EDoS攻擊的理論框架,但這些方法或多或少存在某些問(wèn)題,因此并沒(méi)廣泛的普及開(kāi)來(lái):
1、SVM(支持向量機(jī))和SOM(自組織映射)
SVM和SOM是兩個(gè)能夠檢測(cè)EDoS攻擊的機(jī)器學(xué)習(xí)模型。但兩者的問(wèn)題在于,處理速度較慢,無(wú)法在大規(guī)模攻擊中處理實(shí)時(shí)數(shù)據(jù)。
2、FCNN(全連接神經(jīng)網(wǎng)絡(luò))
FCNN屬于深度學(xué)習(xí),較上述兩種機(jī)器學(xué)習(xí)算法的性能要好,因?yàn)樗梢允褂枚鄠€(gè)神經(jīng)層更有效地提取特征。然而,它的問(wèn)題在于準(zhǔn)確度相對(duì)較低,因?yàn)镋DoS是一個(gè)需要時(shí)間序列分析的持續(xù)過(guò)程,而FCNN沒(méi)有“記憶”能力,即需要分別分析每個(gè)事件或單個(gè)數(shù)據(jù)包的能力。
3、RNN(遞歸神經(jīng)網(wǎng)絡(luò))和LSTM(長(zhǎng)短時(shí)記憶)
RNN檢測(cè)EDoS攻擊的成功率較高,因?yàn)樗梢钥朔﨔CNN的缺點(diǎn),即能夠分析事件序列。如果再加上LSTM單元的能力,則可以捕獲近期事件的記憶,并在分析當(dāng)前事件時(shí)將近期事件考慮在內(nèi),準(zhǔn)確率會(huì)更高。然而,RNN模型在處理實(shí)時(shí)數(shù)據(jù)時(shí)與SVM和SOM一樣,效率低下。
EDoS檢測(cè)新方法
韓國(guó)兩位研究人員Vinh Quoc Ta和Minho Park在最近的一篇論文中提出一種新的檢測(cè)框架,使用并行處理策略,在訓(xùn)練和預(yù)測(cè)階段都比LSTM更快。該方法的工作原理如下:
? 利用LSTM注意單元來(lái)預(yù)測(cè)攻擊流量序列中的一個(gè)單元,以確定它與其他單元的關(guān)聯(lián)強(qiáng)度;
? 利用已經(jīng)得到廣泛使用的Transformer編-解碼模型計(jì)算注意力分?jǐn)?shù)。但EDoS檢測(cè)模型僅使用編碼模型并行計(jì)算輸入。在顯著提高性能的同時(shí),保持LSTM模型的準(zhǔn)確性;
? 參考流量中其一個(gè)網(wǎng)絡(luò)包與其他網(wǎng)絡(luò)包的相對(duì)分?jǐn)?shù),這有助于模型“記住”序列中以前單元的歷史特征;
? 對(duì)多個(gè)特征使用一個(gè)分?jǐn)?shù)來(lái)提高計(jì)算效率。換句話(huà)說(shuō),當(dāng)模型分析一個(gè)數(shù)據(jù)包時(shí),它使用所有相關(guān)數(shù)據(jù)包中的分?jǐn)?shù)來(lái)減少處理時(shí)間;
? 能夠使用無(wú)監(jiān)督學(xué)習(xí)策略對(duì)零日攻擊輸出進(jìn)行分類(lèi);
? 模型的實(shí)時(shí)更新使其能夠根據(jù)實(shí)時(shí)數(shù)據(jù)重新訓(xùn)練,并微調(diào)參數(shù)以適應(yīng)攻擊的變化。
研究人員在真實(shí)的EDoS洪水攻擊場(chǎng)景中測(cè)試了該框架,發(fā)現(xiàn)它能夠以足夠的性能檢測(cè)攻擊和處理數(shù)據(jù)。
(論文地址:https://www.mdpi.com/2079-9292/10/20/2500/pdf)
關(guān)鍵結(jié)論
? 云的彈性和靈活性降低了傳統(tǒng)DDoS攻擊的可能性。然而,攻擊者可以用額外的流量轟炸系統(tǒng),導(dǎo)致資源無(wú)限擴(kuò)大,直到受害者無(wú)法承擔(dān)經(jīng)濟(jì)成本。
? 使用傳統(tǒng)安全工具很難檢測(cè)到EDoS攻擊,但仍有一些方法可用于EDoS的檢測(cè)和緩解。
? 需要強(qiáng)調(diào)的是,威脅真實(shí)存在,但抵御威脅的工具卻進(jìn)展緩慢。
希望在引入、采用,甚至是開(kāi)發(fā)自己的實(shí)用方法來(lái)阻止EDoS攻擊時(shí),本文能提供借鑒或所有幫助。
來(lái)源:數(shù)世咨詢(xún)