云安全的新興重大威脅:EDoS
經濟拒絕服務(EDoS)是一種針對云環境的網絡安全威脅,它利用云的彈性,尤其是自動擴展資源(意味著自動付費),來增加云用戶的賬單,直至該賬戶破產,最終破壞用戶的應用程序、系統、網絡等基礎設施的可持續性。
由于以下幾個原因,傳統的安全措施無法應對EDoS:
- EDoS流量使用IP欺騙技術,現有的網絡分析很難檢測,除非攻擊者使用已知的惡意IP;
- 由于云可以擴展以滿足額外的流量,應用程序和最終用戶一開始不受EDoS攻擊的影響,至少在預算耗盡之前是這樣,因此應用程序性能指標無法用于檢測攻擊;
- 安全加固技術對EDoS無效,因為流量不會利用傳統意義上的任何類型的漏洞;
- 即使檢測到EDoS攻擊,現有的安全工具也無能為力。只有建立起一個與云成本管理系統的交互,才能中斷云的自動擴展機制。
在解決問題之前,我們先來看一下各種“oS”之間的區別:
DoS(拒絕服務)
DoS攻擊中,攻擊者會發送虛假請求,占用服務器處理能力、內存和網絡帶寬等資源,有時還會使目標系統崩潰,阻止合法用戶訪問系統。DoS攻擊可大致分為兩種,洪水攻擊和崩潰攻擊。前者發起大量請求,超出服務器的處理能力,從而導致服務降級或干脆拒絕通信。后者是指構造惡意的請求或數據包,利用目標系統中的漏洞導致其崩潰或失效。
DDoS(分布式拒絕服務)
DoS的進化版,攻擊者可指揮數千甚至數萬臺安裝了惡意軟件的網絡設備--大規模僵尸網絡,發起攻擊。攻擊者還可通過欺騙性的P地址發送數據包,使流量看起來合法,從而難以檢測、跟蹤和阻止。這種類型的攻擊通常還被用作煙幕,分散安全團隊的精力,掩蓋攻擊者真實的入侵活動。
EDoS
利用云環境(通常是基礎設施即服務,IaaS)中的脆弱性或漏洞來安裝惡意軟件,然后使用環境中的設備或云資源,向目標設備發送偽造的流量包。由于云的快速、可擴展和彈性,這種“額外”的流量會導致云服務的規模不斷擴大,直到受害者的云賬戶在財務上無法持續。
攻擊目的
像DDoS攻擊一樣,EDoS旨在擾亂業務并造成經濟損失,對攻擊者沒有直接好處。但對于個人網絡罪犯來說,這些攻擊可能是“武力展示”,或者是對某個機構的個人報復。對于黑客激進分子來說,則可能是彰顯理念、表示抗議的方式。對于敵對國家支持的黑客組織來說,則會是擾亂對手社會經濟活動的一種方式。
現如今,DDoS是一項價值數十億美元的業務,DoS平臺可以作為一項服務提供,攻擊者通過索要贖金和其他手段來謀利。未來,EDoS將變得普遍,圍繞著它的商業模式和犯罪生態系統也將和之前的地下網絡黑市一樣繁榮。
解決方案
阻止EDoS的主要困難是攻擊檢測,一旦發現攻擊,即可通過上面提到的云成本管理來中斷攻擊。雖然業界已經提出了基于人工智能的幾種檢測EDoS攻擊的理論框架,但這些方法或多或少存在某些問題,因此并沒廣泛的普及開來:
(1) SVM(支持向量機)和SOM(自組織映射)
SVM和SOM是兩個能夠檢測EDoS攻擊的機器學習模型。但兩者的問題在于,處理速度較慢,無法在大規模攻擊中處理實時數據。
(2) FCNN(全連接神經網絡)
FCNN屬于深度學習,較上述兩種機器學習算法的性能要好,因為它可以使用多個神經層更有效地提取特征。然而,它的問題在于準確度相對較低,因為EDoS是一個需要時間序列分析的持續過程,而FCNN沒有“記憶”能力,即需要分別分析每個事件或單個數據包的能力。
(3) RNN(遞歸神經網絡)和LSTM(長短時記憶)
RNN檢測EDoS攻擊的成功率較高,因為它可以克服FCNN的缺點,即能夠分析事件序列。如果再加上LSTM單元的能力,則可以捕獲近期事件的記憶,并在分析當前事件時將近期事件考慮在內,準確率會更高。然而,RNN模型在處理實時數據時與SVM和SOM一樣,效率低下。
EDoS檢測新方法
韓國兩位研究人員Vinh Quoc Ta和Minho Park在最近的一篇論文中提出一種新的檢測框架,使用并行處理策略,在訓練和預測階段都比LSTM更快。該方法的工作原理如下:
- 利用LSTM注意單元來預測攻擊流量序列中的一個單元,以確定它與其他單元的關聯強度;
- 利用已經得到廣泛使用的Transformer編-解碼模型計算注意力分數。但EDoS檢測模型僅使用編碼模型并行計算輸入。在顯著提高性能的同時,保持LSTM模型的準確性;
- 參考流量中其一個網絡包與其他網絡包的相對分數,這有助于模型“記住”序列中以前單元的歷史特征;
- 對多個特征使用一個分數來提高計算效率。換句話說,當模型分析一個數據包時,它使用所有相關數據包中的分數來減少處理時間;
- 能夠使用無監督學習策略對零日攻擊輸出進行分類;
- 模型的實時更新使其能夠根據實時數據重新訓練,并微調參數以適應攻擊的變化。
研究人員在真實的EDoS洪水攻擊場景中測試了該框架,發現它能夠以足夠的性能檢測攻擊和處理數據。
(論文地址:https://www.mdpi.com/2079-9292/10/20/2500/pdf)
關鍵結論
- 云的彈性和靈活性降低了傳統DDoS攻擊的可能性。然而,攻擊者可以用額外的流量轟炸系統,導致資源無限擴大,直到受害者無法承擔經濟成本。
- 使用傳統安全工具很難檢測到EDoS攻擊,但仍有一些方法可用于EDoS的檢測和緩解。
- 需要強調的是,威脅真實存在,但抵御威脅的工具卻進展緩慢。
希望在引入、采用,甚至是開發自己的實用方法來阻止EDoS攻擊時,本文能提供借鑒或所有幫助。
