代昆玉，胡濱

云計算環(huán)境下的DDoS攻擊防御技術(shù)研究

代昆玉，胡濱

傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)在云計算環(huán)境下難以抵御DDoS攻擊。針對云計算網(wǎng)絡(luò)流量的行為特征，提出了一種云計算環(huán)境下的基于用戶身份認(rèn)證超載檢測和網(wǎng)絡(luò)流量負(fù)載平衡策略的DDoS攻擊檢測防御模型。該模型對訪問云計算數(shù)據(jù)中心的用戶進行身份認(rèn)證，并通過對異常流量的分層處理來滿足云計算服務(wù)的數(shù)據(jù)傳輸效率與安全性要求。仿真實驗結(jié)果表明，該模型可有效地檢測防御云計算環(huán)境下的DDoS攻擊行為。

云計算；DDoS攻擊防御；流量認(rèn)證；負(fù)載平衡

0 引言

云計算是一種基于互聯(lián)網(wǎng)的服務(wù)，它可使用戶不受時間和地點的限制進入可配置的計算資源共享池（包括服務(wù)器、存儲、應(yīng)用軟件、服務(wù)、網(wǎng)絡(luò)等資源）按需實現(xiàn)對計算資源的在線訪問[1]。云計算作為新興技術(shù)和商業(yè)模式的混合體，由于具有超大規(guī)模、虛擬化、高可靠性、可擴展性好、按需服務(wù)等優(yōu)點，近年來得到迅猛發(fā)展。

根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)分析合作協(xié)會的調(diào)查，互聯(lián)網(wǎng)上每周至少出現(xiàn)約 5000例 DDoS（分布式拒絕服務(wù)）攻擊事件[2]。DDoS 攻擊可以使云計算平臺癱瘓，導(dǎo)致其無法向云用戶提供正常服務(wù)，造成巨大的經(jīng)濟損失和社會影響[3]。在云計算環(huán)境下，DDoS攻擊虛擬服務(wù)器降低云計算服務(wù)的性能以達(dá)到網(wǎng)絡(luò)攻擊目的[4]。由于云計算服務(wù)的數(shù)據(jù)中心 (Data Centre, DC) 存儲著大量的核心數(shù)據(jù)，因此其成為 DDoS攻擊的核心目標(biāo)。

基于傳統(tǒng)互聯(lián)網(wǎng)模式的DDoS攻擊防御方法并不適用于云計算環(huán)境。針對云計算的特點，相關(guān)學(xué)者對云計算環(huán)境下的DDoS攻擊的行為特征進行了初步研究，并提出相應(yīng)的檢測方法和防范技術(shù)。Alireza等人對DDoS的攻擊原理及其在云計算環(huán)境下的行為特征進行了研究[5]。Lee等人提出了一種基于Hadoop的DDoS攻擊檢測方法，該方法在一定條件下可從大規(guī)模的流量中檢測出DDoS攻擊行為[6]。針對云計算環(huán)境下的DDoS攻擊的行為特征，本文提出一種基于用戶身份認(rèn)證超載檢測和網(wǎng)絡(luò)流量負(fù)載平衡策略檢測機制的云計算環(huán)境下DDoS攻擊檢測防御方法。仿真實驗結(jié)果表明，通過在不同層次的身份驗證，該方法可有效檢測并防御云計算環(huán)境中出現(xiàn)的DDoS攻擊行為，保護云計算服務(wù)免受DDoS攻擊。

1 DDoS攻擊檢測防御模型

本文提出的云計算環(huán)境下的DDoS攻擊防御模型包括5個部分，分別是網(wǎng)絡(luò)流量接收模塊（Flow Receive Module, FRM）、網(wǎng)絡(luò)防火墻、認(rèn)證模塊（Authenticity Module, ATM）、限制請求管理模塊（Restrain Request Manager, RRM）和負(fù)載均衡模塊（Load Balance Module, LBM），如圖1所示：

圖1 DDoS攻擊檢測防御模型

上圖中，用戶客戶端發(fā)起的訪問請求數(shù)據(jù)包被送入檢測系統(tǒng)中的FRM模塊。FRM檢測傳入請求的數(shù)據(jù)流量速率，對接收的數(shù)據(jù)流量進行分類。該模塊同時起到識別早期數(shù)據(jù)流量狀態(tài)的預(yù)警功能作用。正常的數(shù)據(jù)流量被識別后送入后繼的網(wǎng)絡(luò)防火墻。通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包送進入ATM模塊，ATM模塊接收到客服端的請求數(shù)據(jù)包后，進一步對輸入的客戶端數(shù)據(jù)包類型進行識別和分類處理。

RRM模塊用于驗證傳入的客戶端請求類型，只有在有新注冊請求時被激活。使用不同用戶分類的 RRM，可優(yōu)化客戶端數(shù)據(jù)包類型的識別和分類速率，在適當(dāng)?shù)臅r間允許合法用戶的新請求。經(jīng)RRM處理后的數(shù)據(jù)進一步到達(dá)LBM模塊。LBM的功能是檢測數(shù)據(jù)流量的過載，其在前面模塊中得到用戶的身份驗證信息，可迅速、高效地處理客服端的各種請求。LBM同時將檢測到的異常用戶信息反饋給系統(tǒng)中的網(wǎng)絡(luò)防火墻，過濾掉出現(xiàn)的異常用戶的非法請求，使系統(tǒng)的負(fù)載達(dá)到均衡。

2 DDoS攻擊檢測防御算法

2.1 網(wǎng)絡(luò)流量接收模塊

系統(tǒng)中的FRM模塊持續(xù)監(jiān)控傳入的客戶端訪問流量并預(yù)測訪問流量的變化趨勢，可用作該DDoS攻擊檢測系統(tǒng)的早期預(yù)警子系統(tǒng)。

為滿足合法用戶正常的訪問需求，該模塊依據(jù)流量過載檢測機制對網(wǎng)絡(luò)的異常流量實現(xiàn)預(yù)警檢測。若傳入被監(jiān)控網(wǎng)絡(luò)的請求流量超過系統(tǒng)預(yù)先設(shè)置的云計算服務(wù)網(wǎng)絡(luò)的帶寬閾值，則把用戶請求送入隊列中排隊等候。隊列限制可由云服務(wù)提供商（Cloud Service Provider，CSP）根據(jù)DC的流量現(xiàn)狀動態(tài)配置。網(wǎng)絡(luò)流量接收模塊的算法如下：

算法1：網(wǎng)絡(luò)流量接收模塊算法

輸出：網(wǎng)絡(luò)流量狀況

1）For每一個時間間隔t；

2）計算輸入請求的流量RTin；

4）否則output (異常輸入流量)；

5）end for.

經(jīng)過FRM模塊處理后的數(shù)據(jù)流量，正常的輸入流量被識別并送入網(wǎng)絡(luò)防火墻，通過防火墻的數(shù)據(jù)流量送入 ATM模塊做下一步的處理。

2.2 認(rèn)證模塊算法

傳入ATM的網(wǎng)絡(luò)數(shù)據(jù)包可分為兩種類型：服務(wù)請求和訪問請求。為了能夠在ATM中動態(tài)的識別各種請求，所傳入的請求類型需在Web服務(wù)器上進行配置。如果請求類型是服務(wù)請求，ATM把該請求直接轉(zhuǎn)發(fā)到LBM。一旦訪問請求被驗證或者服務(wù)請求被批準(zhǔn)，則該請求不會受到太大的干預(yù)或僅作定期監(jiān)測。使用連續(xù)監(jiān)測認(rèn)證請求替換請求流量處理可有效降低系統(tǒng)計算資源的消耗。

訪問請求用于對傳入的請求用戶進行身份驗證，其可進一步分為兩類：已注冊請求、新注冊請求。新注冊請求轉(zhuǎn)發(fā)到RRM做進一步處理。在給定時限閾值內(nèi)，若再次接收到來自相同源主機的已排隊請求，則該服務(wù)請求可歸為DDoS攻擊流量類型；若在給定時間t內(nèi)，相同源主機的已排隊請求次數(shù)超過閾值，則來自該源主機的網(wǎng)絡(luò)數(shù)據(jù)包將一律被視為異常流量并被網(wǎng)絡(luò)防火墻攔截。認(rèn)證模塊算法如下：算法2. 認(rèn)證模塊算法.輸入：通過FRM的請求輸出：認(rèn)證的請求類型

1）For每一個通過FRM的請求；

2）type = RecognizeTypeRe ()；

3）如果type=Racc；

4）如果type=Rnr，則送到RRM中處理；

5）否則, 如果type=Rre, 則IdentifyRe ()；

6）否則, 如果type=Rauth, 則送到LBM中處理；

7）end for.

其中函數(shù)RecognizeTypeRe ()用于識別輸入的請求是新請求還是已注冊請求，函數(shù)IdentifyRe ()用于對已注冊請求進行進一步認(rèn)證，Racc表示訪問請求，Rnr表示在CSP上的新的注冊請求，Rre表示進入DC源的已注冊請求，Rauth表示到達(dá)LBM的認(rèn)證客戶端請求。

2.3 限制請求管理模塊

RRM是ATM功能的延伸，只有在有新注冊請求時被激活。

在用戶對DC的請求繁忙時，為避免出現(xiàn)后續(xù)注冊用戶的無限期等待、DC資源的死鎖等導(dǎo)致DC資源浪費甚至崩潰，將用戶請求被分兩類：新用戶請求和合法老用戶請求，使用不同的隊列緩沖區(qū)存儲這兩類用戶的排隊請求。其中隊列Qnr存放新用戶注冊申請，隊列Qre存放已注冊的老用戶申請。僅當(dāng)網(wǎng)絡(luò)流量異常增大時，已注冊的老用戶申請才需進入Qre隊列，且只需等待較短時間；其它情況下無需進入該隊列，而是直接送入下一環(huán)節(jié)的LBM。

對于新用戶請求，根據(jù)從用戶請求的時間戳返回的IDc (客戶端ID)的初始響應(yīng)值來識別新用戶請求。使用隊列Qnr對新用戶請求進行排隊處理，在系統(tǒng)超時后銷毀IDc的響應(yīng)請求，DC在規(guī)定時間內(nèi)未收到新用戶的IDc，則新注冊請求將被拒絕。在網(wǎng)絡(luò)數(shù)據(jù)流量異常增大時，合法老用戶對DC的新連接請求也需在隊列Qre中排隊等候。在未知用戶請求流量超載的網(wǎng)絡(luò)情況下，使用該RRM可有效緩解DC服務(wù)器的訪問壓力、有利于CSP維持DC網(wǎng)絡(luò)的穩(wěn)定性。其處理算法如下所示，其中IDse表示維持在DC端的會話ID：

算法 3.抑制請求模塊算法

輸入：請求類型，流量條件

輸出：在DC上正常的網(wǎng)絡(luò)性能請求排隊

1）For每一個請求；

2）如果流量條件=異常流量；

3）如果請求類型=Rnr, 則排隊Rnr產(chǎn)生新的IDc并且在Qnr觸發(fā)超時時間；

4）否則，在Qre用IDse排隊IDc；

5）否則，如果流量條件=正常流量并且請求類型=Rnr，則排隊Rnr產(chǎn)生新的IDc并且在Qnr觸發(fā)超時時間；

6）end for.

2.4 負(fù)載均衡模塊

LBM位于網(wǎng)絡(luò)服務(wù)請求過濾的最后一層，其用于識別訪問DC資源請求的過載類型、降低訪問流量以達(dá)到負(fù)載均衡。由于惡意和合法的輸入請求類型相似，故采用流量模式偏離作為特征來區(qū)分傳入請求的合法性。

進入該模塊的流量可以根據(jù)IDc唯一確定，計算和更新。請求流量記錄有助于計算每個傳入IDc的流量率。這個流量率模式有助于鑒別進入的請求者。額定的流量特征由 CSP根據(jù)網(wǎng)絡(luò)帶寬進行配置，其根據(jù)每秒鐘每個請求者發(fā)出的請求進行設(shè)置。因此，它檢測每個獨立的請求者的流量行為更加容易。流量率計算和流量行為的預(yù)測為從每個傳入請求者中區(qū)分過載請求鋪平了道路。LBM算法如下：

算法 4. 負(fù)載均衡模塊算法

輸入：已通過認(rèn)證模塊的請求，IDc

輸出：分類合法流量

1）For每一個進入的請求；

2）如果其IDc在流量行為庫中，則更新流量率；

3）否則, 為其創(chuàng)建一個記錄；

4）如果IDc有一個異常的流量特征，則推遲IDc一定的時間；

5）且通過轉(zhuǎn)發(fā)IDc到防火墻來阻止該請求；

6）end for.

LBM模塊維護流量的行為庫如表1所示：

表1 流量行為庫

流量行為庫中包含了能夠唯一標(biāo)識請求者的客戶端 ID、流量率以及撤銷違反流量率訪問的會話密鑰。

當(dāng)請求者的實際流量率出現(xiàn)異?；虺^額定流量限制閾值，相應(yīng)的請求信息從流量行為庫中移出并被網(wǎng)絡(luò)防火墻攔截，直到會話過期。這種方法可提高異常流量的檢測率，因為它監(jiān)測的流量率揭示了請求者的直接行為，并且當(dāng)請求者企圖過載DC時，流量行為庫阻止并進一步的封鎖相應(yīng)請求，同時報告防火墻來拒絕請求者使用相應(yīng)會話密鑰開始進一步的服務(wù)直到會話過期。在會話結(jié)束后，請求者被送入訪問DC資源的正常流量行為特征的隊列。如果請求者再次犯錯，它們將被死鎖；否則它們被認(rèn)為是合法的請求并轉(zhuǎn)發(fā)到實際的負(fù)載平衡器，并盡快對其響應(yīng)。在該模塊中，保存最優(yōu)會話時間可提高系統(tǒng)性能以及檢測效率。

到達(dá)LBM模塊的網(wǎng)絡(luò)請求被徹底監(jiān)控，LBM根據(jù)它們的流量模式發(fā)現(xiàn)超載的原因和威脅，并通過網(wǎng)絡(luò)防火墻進行攔截。一旦流量通過 LBM，那么請求流量被視為完全合法的流量。通過這種策略可在不破壞網(wǎng)絡(luò)資源的情況下應(yīng)對超載威脅實現(xiàn)對DC資源的保護。

3 仿真實驗及結(jié)果分析

為了驗證在云計算環(huán)境下該模型對 DDoS攻擊檢測防御的有效性，實驗選取了一個典型的云計算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并使用OPNET[7]在云計算環(huán)境對DDoS攻擊檢測進行仿真實驗，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示：

圖2 實驗網(wǎng)絡(luò)環(huán)境結(jié)構(gòu)圖

圖中云計算服務(wù)器的DC請求者包括三個子網(wǎng)，每個子網(wǎng)分別包含100個工作站、100個DDoS攻擊者和200個合法用戶，分別模擬云計算環(huán)境中的DDoS攻擊以及合法的用戶訪問請求。

實驗選用5種常見的DDoS攻擊類型SYN-FLOOD、ICMP-FLOOD、UDP-FLOOD，TNF2K、SMURF進行測試，并使用檢測正確率、誤判率和遺漏率作為檢測模型性能有效性的評價指標(biāo)。為避免攻擊數(shù)據(jù)集合大小不對稱造成實驗偏差，采樣10次交叉驗證法并以10次實驗結(jié)果的平均值作為最終檢測結(jié)果，實驗結(jié)果如表2所示：

表2 不同類型的DDoS攻擊檢測結(jié)果

表 2表明該檢測系統(tǒng)在云計算環(huán)境下可有效檢測不同類型的DDoS攻擊行為。隨著網(wǎng)絡(luò)中的DDoS攻擊時間增長，該系統(tǒng)對DDoS攻擊的檢測正確率隨之增長。

該DDoS攻擊檢測模型是由不同的功能模塊協(xié)同工作。為描述各功能模塊在整個系統(tǒng)中的異常網(wǎng)絡(luò)流量負(fù)載檢測情況，分別統(tǒng)計在DDoS攻擊情況下各功能模塊的異常流量負(fù)載檢測效率，如圖3所示：

圖3 不同模塊的異常流量負(fù)載檢測效率

統(tǒng)計結(jié)果表明，隨著DDoS攻擊時間的增加，系統(tǒng)中云計算 DC的異常流量負(fù)載檢測率維持一個較低的水平，而其它各功能模塊分擔(dān)負(fù)載了網(wǎng)絡(luò)中出現(xiàn)的大部分的異常流量。系統(tǒng)中，前端模塊的異常流量負(fù)載檢測率較高，而后端的LBM模塊的異常流量負(fù)載檢測率較低，這是因為LBM模塊的主要功能是維持一個正常的流量負(fù)載平衡，而不是異常流量的過載檢測。

和傳統(tǒng)的超載檢測方案進行比較，文中提出的負(fù)載均衡檢測模型具有以下優(yōu)點：

1）負(fù)載平衡從第一層開始，在本模型中，傳入的流量在各層被持續(xù)的處理，到達(dá)DC的流量速率更容易被檢測，增加了系統(tǒng)的靈活性，從而更好的服務(wù)于請求者。

2）提出的模型包括ATM模塊，其負(fù)責(zé)驗證大量的數(shù)據(jù)流。在有新的注冊請求到達(dá)時激活 RRM，僅允許注冊請求通過負(fù)載平衡器是安全又快速的。該流量處理的方法適合共有/私有/混合云的配置模型。

3）當(dāng)DDoS攻擊發(fā)生時，在各模塊中對新注冊請求者和已注冊請求者采用單獨的隊列管理提高了可靠性。處于安全考慮，已注冊請求有更高的優(yōu)先權(quán)，而新的請求則降低其優(yōu)先權(quán)，從而提高資源的可用性。

4 總結(jié)

DDoS攻擊是云計算數(shù)據(jù)中心的主要威脅，而傳統(tǒng)的DDoS攻擊檢測方法并不適用于全新的云計算網(wǎng)絡(luò)環(huán)境。本文根據(jù)云計算網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流量的自身特點，提出一種云計算環(huán)境下的用戶身份認(rèn)證的超載檢測和網(wǎng)絡(luò)流量負(fù)載平衡策略的DDoS攻擊檢測防御方法，并以此設(shè)計適用于云計算數(shù)據(jù)中心的DDoS攻擊檢測防御模型。仿真實驗結(jié)果表明，該模型對云計算環(huán)境下的 DDoS攻擊檢測防御具有一定的可用性和實用性。

[1] 陳康, 鄭緯民. 云計算：系統(tǒng)實例與研究現(xiàn)狀[J]. 軟件學(xué)報, 2009, 20(5)：1337-1348.

[2] Zargar T., Josh J.i, and D. Tipper, ＂A Survey of defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks[J],＂ IEEE Communications Surveys & Tutorials, 2013, 99：1-24.

[3] 馮登國, 張敏, 張妍,等. 云計算安全研究 [J]. 軟件學(xué)報 , 2012,22(1)：72-81.

[4] Rashmi V. Deshmukh, Kailas K. Devadkar. “Understanding DDoS Attack & Its Effect In Cloud Environment”[J]；Procedia Computer Science,2015,49, 202-210

[5] Alireza Shameli-Sendi, Makan Pourzandi, Mohamed Fekih-Ahmed et.al.”Taxonomy of Distributed Denial of Service Mitigation Approaches for Cloud Computing”；[J] Journal of Network and Computer Applications, 2015,2：

[6] Lee Y, Lee Y. Detecting DDoS Attacks with Hadoop[C]//.Proceedings of The ACM CoNEXT Student Workshop. ACM,2011：7.

[7] Jeyanthi N. and Ch. N. Iyengar .S. N., “Packet resonance strategy： a spoof attack detection and prevention mechanism in cloud computing environment [J], International Journal of Communication Networks and Information Security, 2012, 4,(3)163-173.

Research of DDoS Attack Defense Method in Cloud Computing Environment

Dai Kunyu, Hu Bin
(College of Computer Science and Technology, Gui Zhou University, Guiyang 550025, China)

For the conventional network defense technologies, it is hard to defend against the DDoS attacks in cloud computing environment. According to the behavior characteristics of the cloud computing network flow, it proposes a model for the detecting and the defending of the DDoS attacks in cloud computing environment based on the overload detection of user identity authentication and the load balancing strategy of network flow. To meet the requirements of data transmission efficiency and the security of cloud computing services, the proposed model authenticates the identity of users who access the data center and hierarchically processe the abnormal network flow. The simulation results have shown that the proposed model can effectively detect and defend the DDoS attacks to the data center in cloud computing environment.

Cloud computing； DDoS attack defense； Flow certification； Load balancing

TP393

A

1007-757X(2016)11-0023-03

2016.05.03）

貴州省科學(xué)技術(shù)基金（黔科合J字[2011]2198號）；貴州大學(xué)青年教師科研基金（貴大自青基合字（2012）018號）

作者信息：代昆玉（1979-），女，貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院，講師，碩士，研究方向：數(shù)據(jù)挖掘，計算機網(wǎng)絡(luò)安全，貴陽，550025

胡 濱（1979-），男，貴州大學(xué)計算機科學(xué)與技術(shù)學(xué)院，副教授，碩士，研究方向：人工智能，計算機網(wǎng)絡(luò)安全，貴陽，550025