云安全新興“殺手”--EDoS
經(jīng)濟拒絕服務(wù)(EDoS)是一種針對云環(huán)境的網(wǎng)絡(luò)安全威脅����,它利用云的彈性,尤其是自動擴展資源(意味著自動付費)���,來增加云用戶的賬單�����,直至該賬戶破產(chǎn)�����,最終破壞用戶的應(yīng)用程序�、系統(tǒng)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施的可持續(xù)性��。
由于以下幾個原因�,傳統(tǒng)的安全措施無法應(yīng)對EDoS:
EDoS流量使用IP欺騙技術(shù),現(xiàn)有的網(wǎng)絡(luò)分析很難檢測�����,除非攻擊者使用已知的惡意IP���;
由于云可以擴展以滿足額外的流量���,應(yīng)用程序和最終用戶一開始不受EDoS攻擊的影響,至少在預(yù)算耗盡之前是這樣����,因此應(yīng)用程序性能指標(biāo)無法用于檢測攻擊;
安全加固技術(shù)對EDoS無效�,因為流量不會利用傳統(tǒng)意義上的任何類型的漏洞���;
即使檢測到EDoS攻擊,現(xiàn)有的安全工具也無能為力�。只有建立起一個與云成本管理系統(tǒng)的交互,才能中斷云的自動擴展機制��。
在解決問題之前����,我們先來看一下各種“oS”之間的區(qū)別:
DoS(拒絕服務(wù))
DoS攻擊中���,攻擊者會發(fā)送虛假請求����,占用服務(wù)器處理能力�����、內(nèi)存和網(wǎng)絡(luò)帶寬等資源�����,有時還會使目標(biāo)系統(tǒng)崩潰���,阻止合法用戶訪問系統(tǒng)���。DoS攻擊可大致分為兩種��,洪水攻擊和崩潰攻擊��。前者發(fā)起大量請求�,超出服務(wù)器的處理能力����,從而導(dǎo)致服務(wù)降級或干脆拒絕通信。后者是指構(gòu)造惡意的請求或數(shù)據(jù)包�,利用目標(biāo)系統(tǒng)中的漏洞導(dǎo)致其崩潰或失效。
DDoS(分布式拒絕服務(wù))
DoS的進化版����,攻擊者可指揮數(shù)千甚至數(shù)萬臺安裝了惡意軟件的網(wǎng)絡(luò)設(shè)備--大規(guī)模僵尸網(wǎng)絡(luò),發(fā)起攻擊�����。攻擊者還可通過欺騙性的P地址發(fā)送數(shù)據(jù)包����,使流量看起來合法����,從而難以檢測����、跟蹤和阻止。這種類型的攻擊通常還被用作煙幕����,分散安全團隊的精力�,掩蓋攻擊者真實的入侵活動。
EDoS
利用云環(huán)境(通常是基礎(chǔ)設(shè)施即服務(wù)���,IaaS)中的脆弱性或漏洞來安裝惡意軟件����,然后使用環(huán)境中的設(shè)備或云資源���,向目標(biāo)設(shè)備發(fā)送偽造的流量包���。由于云的快速、可擴展和彈性����,這種“額外”的流量會導(dǎo)致云服務(wù)的規(guī)模不斷擴大���,直到受害者的云賬戶在財務(wù)上無法持續(xù)。
攻擊目的
像DDoS攻擊一樣����,EDoS旨在擾亂業(yè)務(wù)并造成經(jīng)濟損失,對攻擊者沒有直接好處�。但對于個人網(wǎng)絡(luò)罪犯來說,這些攻擊可能是“武力展示”��,或者是對某個機構(gòu)的個人報復(fù)�����。對于黑客激進分子來說���,則可能是彰顯理念���、表示抗議的方式。對于敵對國家支持的黑客組織來說�,則會是擾亂對手社會經(jīng)濟活動的一種方式。
現(xiàn)如今,DDoS是一項價值數(shù)十億美元的業(yè)務(wù)�,DoS平臺可以作為一項服務(wù)提供,攻擊者通過索要贖金和其他手段來謀利��。未來�����,EDoS將變得普遍����,圍繞著它的商業(yè)模式和犯罪生態(tài)系統(tǒng)也將和之前的地下網(wǎng)絡(luò)黑市一樣繁榮。
解決方案
阻止EDoS的主要困難是攻擊檢測���,一旦發(fā)現(xiàn)攻擊���,即可通過上面提到的云成本管理來中斷攻擊�。雖然業(yè)界已經(jīng)提出了基于人工智能的幾種檢測EDoS攻擊的理論框架,但這些方法或多或少存在某些問題�,因此并沒廣泛的普及開來:
1、SVM(支持向量機)和SOM(自組織映射)
SVM和SOM是兩個能夠檢測EDoS攻擊的機器學(xué)習(xí)模型�����。但兩者的問題在于�����,處理速度較慢,無法在大規(guī)模攻擊中處理實時數(shù)據(jù)�。
2、FCNN(全連接神經(jīng)網(wǎng)絡(luò))
FCNN屬于深度學(xué)習(xí)���,較上述兩種機器學(xué)習(xí)算法的性能要好���,因為它可以使用多個神經(jīng)層更有效地提取特征。然而���,它的問題在于準(zhǔn)確度相對較低�����,因為EDoS是一個需要時間序列分析的持續(xù)過程�,而FCNN沒有“記憶”能力��,即需要分別分析每個事件或單個數(shù)據(jù)包的能力��。
3����、RNN(遞歸神經(jīng)網(wǎng)絡(luò))和LSTM(長短時記憶)
RNN檢測EDoS攻擊的成功率較高����,因為它可以克服FCNN的缺點�,即能夠分析事件序列。如果再加上LSTM單元的能力����,則可以捕獲近期事件的記憶,并在分析當(dāng)前事件時將近期事件考慮在內(nèi)����,準(zhǔn)確率會更高。然而��,RNN模型在處理實時數(shù)據(jù)時與SVM和SOM一樣�����,效率低下�����。
EDoS檢測新方法
韓國兩位研究人員Vinh Quoc Ta和Minho Park在最近的一篇論文中提出一種新的檢測框架�,使用并行處理策略,在訓(xùn)練和預(yù)測階段都比LSTM更快��。該方法的工作原理如下:
利用LSTM注意單元來預(yù)測攻擊流量序列中的一個單元����,以確定它與其他單元的關(guān)聯(lián)強度;
利用已經(jīng)得到廣泛使用的Transformer編-解碼模型計算注意力分?jǐn)?shù)�。但EDoS檢測模型僅使用編碼模型并行計算輸入。在顯著提高性能的同時���,保持LSTM模型的準(zhǔn)確性����;
參考流量中其一個網(wǎng)絡(luò)包與其他網(wǎng)絡(luò)包的相對分?jǐn)?shù)����,這有助于模型“記住”序列中以前單元的歷史特征;
對多個特征使用一個分?jǐn)?shù)來提高計算效率����。換句話說,當(dāng)模型分析一個數(shù)據(jù)包時��,它使用所有相關(guān)數(shù)據(jù)包中的分?jǐn)?shù)來減少處理時間���;
能夠使用無監(jiān)督學(xué)習(xí)策略對零日攻擊輸出進行分類�����;
模型的實時更新使其能夠根據(jù)實時數(shù)據(jù)重新訓(xùn)練���,并微調(diào)參數(shù)以適應(yīng)攻擊的變化��。
研究人員在真實的EDoS洪水攻擊場景中測試了該框架�����,發(fā)現(xiàn)它能夠以足夠的性能檢測攻擊和處理數(shù)據(jù)����。
關(guān)鍵結(jié)論
云的彈性和靈活性降低了傳統(tǒng)DDoS攻擊的可能性�。然而,攻擊者可以用額外的流量轟炸系統(tǒng)�,導(dǎo)致資源無限擴大,直到受害者無法承擔(dān)經(jīng)濟成本�。
使用傳統(tǒng)安全工具很難檢測到EDoS攻擊,但仍有一些方法可用于EDoS的檢測和緩解��。
需要強調(diào)的是��,威脅真實存在���,但抵御威脅的工具卻進展緩慢�。
(文字來源:數(shù)世咨詢)
