云安全的新兴重大威胁：EDoS

经济拒绝服务(EDoS)是一种针对云环境的网络安全威胁，它利用云的弹性，尤其是自动扩展资源(意味着自动付费)，来增加云用户的账单，直至该账户破产，最终破坏用户的应用程序、系统、网络等基础设施的可持续性。

由于以下几个原因，传统的安全措施无法应对EDoS：

• EDoS流量使用IP欺骗技术，现有的网络分析很难检测，除非攻击者使用已知的恶意IP；
• 由于云可以扩展以满足额外的流量，应用程序和最终用户一开始不受EDoS攻击的影响，至少在预算耗尽之前是这样，因此应用程序性能指标无法用于检测攻击；
• 安全加固技术对EDoS无效，因为流量不会利用传统意义上的任何类型的漏洞；
• 即使检测到EDoS攻击，现有的安全工具也无能为力。只有建立起一个与云成本管理系统的交互，才能中断云的自动扩展机制。

在解决问题之前，我们先来看一下各种“oS”之间的区别：

DoS(拒绝服务)

DoS攻击中，攻击者会发送虚假请求，占用服务器处理能力、内存和网络带宽等资源，有时还会使目标系统崩溃，阻止合法用户访问系统。DoS攻击可大致分为两种，洪水攻击和崩溃攻击。前者发起大量请求，超出服务器的处理能力，从而导致服务降级或干脆拒绝通信。后者是指构造恶意的请求或数据包，利用目标系统中的漏洞导致其崩溃或失效。

DDoS(分布式拒绝服务)

DoS的进化版，攻击者可指挥数千甚至数万台安装了恶意软件的网络设备--大规模僵尸网络，发起攻击。攻击者还可通过欺骗性的P地址发送数据包，使流量看起来合法，从而难以检测、跟踪和阻止。这种类型的攻击通常还被用作烟幕，分散安全团队的精力，掩盖攻击者真实的入侵活动。

EDoS

利用云环境(通常是基础设施即服务，IaaS)中的脆弱性或漏洞来安装恶意软件，然后使用环境中的设备或云资源，向目标设备发送伪造的流量包。由于云的快速、可扩展和弹性，这种“额外”的流量会导致云服务的规模不断扩大，直到受害者的云账户在财务上无法持续。

攻击目的

像DDoS攻击一样，EDoS旨在扰乱业务并造成经济损失，对攻击者没有直接好处。但对于个人网络罪犯来说，这些攻击可能是“武力展示”，或者是对某个机构的个人报复。对于黑客激进分子来说，则可能是彰显理念、表示抗议的方式。对于敌对国家支持的黑客组织来说，则会是扰乱对手社会经济活动的一种方式。

现如今，DDoS是一项价值数十亿美元的业务，DoS平台可以作为一项服务提供，攻击者通过索要赎金和其他手段来谋利。未来，EDoS将变得普遍，围绕着它的商业模式和犯罪生态系统也将和之前的地下网络黑市一样繁荣。

解决方案

阻止EDoS的主要困难是攻击检测，一旦发现攻击，即可通过上面提到的云成本管理来中断攻击。虽然业界已经提出了基于人工智能的几种检测EDoS攻击的理论框架，但这些方法或多或少存在某些问题，因此并没广泛的普及开来：

(1) SVM(支持向量机)和SOM(自组织映射)

SVM和SOM是两个能够检测EDoS攻击的机器学习模型。但两者的问题在于，处理速度较慢，无法在大规模攻击中处理实时数据。

(2) FCNN(全连接神经网络)

FCNN属于深度学习，较上述两种机器学习算法的性能要好，因为它可以使用多个神经层更有效地提取特征。然而，它的问题在于准确度相对较低，因为EDoS是一个需要时间序列分析的持续过程，而FCNN没有“记忆”能力，即需要分别分析每个事件或单个数据包的能力。

(3) RNN(递归神经网络)和LSTM(长短时记忆)

RNN检测EDoS攻击的成功率较高，因为它可以克服FCNN的缺点，即能够分析事件序列。如果再加上LSTM单元的能力，则可以捕获近期事件的记忆，并在分析当前事件时将近期事件考虑在内，准确率会更高。然而，RNN模型在处理实时数据时与SVM和SOM一样，效率低下。

EDoS检测新方法

韩国两位研究人员Vinh Quoc Ta和Minho Park在最近的一篇论文中提出一种新的检测框架，使用并行处理策略，在训练和预测阶段都比LSTM更快。该方法的工作原理如下：

• 利用LSTM注意单元来预测攻击流量序列中的一个单元，以确定它与其他单元的关联强度；
• 利用已经得到广泛使用的Transformer编-解码模型计算注意力分数。但EDoS检测模型仅使用编码模型并行计算输入。在显著提高性能的同时，保持LSTM模型的准确性；
• 参考流量中其一个网络包与其他网络包的相对分数，这有助于模型“记住”序列中以前单元的历史特征；
• 对多个特征使用一个分数来提高计算效率。换句话说，当模型分析一个数据包时，它使用所有相关数据包中的分数来减少处理时间；
• 能够使用无监督学习策略对零日攻击输出进行分类;
• 模型的实时更新使其能够根据实时数据重新训练，并微调参数以适应攻击的变化。

研究人员在真实的EDoS洪水攻击场景中测试了该框架，发现它能够以足够的性能检测攻击和处理数据。

(论文地址：https://www.mdpi.com/2079-9292/10/20/2500/pdf)

关键结论

• 云的弹性和灵活性降低了传统DDoS攻击的可能性。然而，攻击者可以用额外的流量轰炸系统，导致资源无限扩大，直到受害者无法承担经济成本。
• 使用传统安全工具很难检测到EDoS攻击，但仍有一些方法可用于EDoS的检测和缓解。
• 需要强调的是，威胁真实存在，但抵御威胁的工具却进展缓慢。

希望在引入、采用，甚至是开发自己的实用方法来阻止EDoS攻击时，本文能提供借鉴或所有帮助。