行业资讯

帮助中心 >  产品文档 >  网络安全 >  云环境下基于生灭过程的DDoS攻击抵御成本最小化

伴随着云计算的发展,越来越多的服务被部署在云环境中。由于云平台的开放性,云服务也面临各种攻击的威胁,分布式拒绝服务攻击(DDoS)便是其中之一。DDoS攻击的目的是耗尽系统的资源,使得系统无法为正常用户提供服务。DDoS攻击与防御本质上是资源的竞争,目前有许多从资源投资和管理角度进行攻击抵御的研究,但这些工作通常假设抵御资源是无限的,没有考虑经济成本。为此,我们通过对云环境下的DDoS攻击进行系统分析,提出了基于生灭过程的系统模型来进行细粒度的资源管理,避免资源投入过剩的问题。由此,云服务用户可以以最小的经济代价进行云服务器的配置,达到抵御DDoS攻击目的。

 

该成果“Minimizing Financial Cost of DDoS Attack Defense in Clouds with Fine-Grained Resource Management”发表于IEEE Transactions on Network Science and Engineering。TNSE主要关注网络科学的理论和应用,以及网络结构和网络行为,影响因子2.49。 

 

背景与动机


随着云计算的迅猛发展,许多的应用迁移到了云环境中,同时也出现了许多针对云环境的攻击,DDoS攻击便是其中主要的一种。近年来,研究人员指出DDoS的攻击和抵御本质是攻击者和抵御者之间资源的竞争,拥有更多资源的一方,便是最后的赢家。在云环境下,云服务提供商和云服务用户是最主要的两个角色。云服务提供商负责维护云平台,拥有着大量的资源,当攻击者对云服务商进行攻击时,因为攻击者所拥有的资源相对服务商的资源更少,所以对云服务商的攻击难以奏效。然而,当攻击者的攻击对象转变为云服务用户时,这些用户在云平台上部署的服务攻击往往更容易被击垮,因为他们的资源有限(往往是在云平台中租赁有限的资源)。此外,云服务提供商往往提供不同类型的资源(如不同的虚拟机)供用户租赁。由于不同类型资源的处理性能差异,对于个人用户而言,如何合理地动态地申请资源,保证资源的有效性,最大化资源性价比,对抵御攻击而言就显得尤为重要。为此,我们从最小化云服务用户的DDoS攻击抵御成本角度出发,对当前主流的云服务资源使用及其配置模型进行了研究,提出了一种细粒度的资源管理机制来抵御DDoS攻击。

 

设计与实现


生灭过程是马尔可夫模型的一种特殊情形,生灭过程种只有两类的状态转换。“生”即状态变量加1,“灭”即状态变量减1,“生”和“灭”之间彼此存在状态的转换。 

1.png


图1. 生灭过程


对于云环境用户而言,他们会根据自身的性能需求而去租赁不同的资源,而对系统影响最大的通常是CPU和内存。主流的云服务提供商也是主要根据这两种资源来对云资源进行定价。因此,我们在构建生灭过程的时候主要以这两种资源为主进行考虑。具体而言,在系统中,CPU被所有未完成的请求共享;当一个新的请求到达系统时,系统会分配一定的内存给它,同时,CPU会处理该请求和系统中其他未完成的请求;当一个请求处理完成后,系统就会收回该请求所占有的内存和CPU。资源的分配和回收分别对应着请求的到达和请求处理的结束。因此,系统可以用生灭过程模型来描述:状态k表示有k个请求正在被系统同时处理;系统状态从k转移到k+1即表示一个新的请求到达;与之对应的,状态k转移到状态k-1则对应了请求处理的结束,状态变换如图1所示。


为了保证系统的服务质量,我们需要保障系统的平均响应时间(即,处理请求的平均耗时)不超过系统预设的阈值。而在系统中,请求处理完成的速率对应着系统的服务率,主要由CPU的性能决定,因此,我们把平均响应时间的要求称为CPU约束。另一方面,由于并行处理的所有请求都需要占用内存空间,为了避免内存耗尽,我们需要保障所有被同时处理的请求所占用的内存空间不超过系统的总内存,我们称之为内存约束。由此,我们可以围绕云服务提供商提供的虚拟机的内存和CPU建立起基于生灭过程的数学模型,从而把如何以最少资源抵御DDoS攻击的问题转变成一个带约束的求解最小化的数学问题:通过恰当地选择虚拟机的类型和数量,在满足CPU约束和内存约束的前提下,使得虚拟机的租赁价格最低。


为此,我们设计了如图2所示的资源管理框架,帮助云用户以最小的经济代价实现DDoS攻击的抵御。该系统主要由三部分组成:请求监控器、生灭过程管理器和工作负载分发器。具体而言,请求监控器主要对请求的速率进行监控;生灭过程管理器负责资源配置策略的生成,它根据请求监控器检测到的系统总请求速率,基于每个虚拟机可以承受的最大负载,计算出最佳的资源配置策略;工作负载分发器负责根据生成的策略,将请求合理地分配到不同的虚拟机上。通过该系统,便可以在最小开销的前提下,实现对攻击的抵御。此外,为了不影响已存在的服务,已经启动运行的虚拟机不会被移除,工作负载器在分发工作的时候会优先分配工作到这些虚拟机上,而多余的工作则通过启动新的虚拟机去进行处理。而当系统总请求速率降低时,多余的虚拟机将会被删除,以减少资源的投入和资源的租赁成本。

  

2.png


图2.资源管理框架


最后,我们通过仿真实验证明了该机制的有效性。实验结果表明,该方案可以通过合理的资源配置,以最低的经济代价实现对DDoS攻击的抵御。

 3.png


图3. 请求速率和服务率对攻击抵御开销的影响

 

具体而言,从图3可以看出,在不同的攻击强度之下,随着攻击强度的提高,抵御攻击所需要花费的成本也会相应的增多。同时,当攻击强度固定时,若虚拟机内存固定,随着虚拟机的服务率的增大,所需的抵御成本是逐渐降低的。由此可见,通过合理配置资源是有望降低总的攻击抵御成本的。

 4.png


图4. 与其他论文方案的对比

 


提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: