[发明专利]云环境下融合信任和学习的DDoS攻击发现方法

说明书

本发明公开了云环境下融合信任和学习的DDoS攻击发现方法，该方法在现有基于机器学习的DDoS检测中引入信任的思想，结合云服务自身的安全认证，融入基于签名和环境因素的信任评估机制过滤合法租户的显然非攻击流量，在无需对加密流量解密的前提下保障合法租户流量中包含的敏感信息。其后，对于其他加密流量和非加密流量，引入流包数中位值、流字节数中位值、对流比、端口增速、源IP增速的五元组流量特征，提出基于Ball‑Tree数据结构的KNN流量分类算法，进一步保障提出方法的检测效率和检测准确率。

技术领域

本发明属于云计算安全技术领域，具体涉及云环境下融合信任和学习的DDoS攻击发现方法。该方法提出了基于信任的流量过滤方法和基于机器学习的DDoS攻击检测这两个关键技术，既可以保证云环境下用户敏感数据得到更好的保护，又可以减轻DDoS攻击对云服务的影响。

背景技术

随着云计算技术的应用和普及,越来越多的DDoS攻击源迁移到了云计算环境中,在大量消耗云计算资源的同时，也影响了云服务的可用性。与传统网络相比，云环境下的DDoS攻击具有以下新的特征：1)云服务的开放性使其更容易被攻击者利用发起DDoS攻击(如EDoS攻击等)，同时云环境下IT资源的集中化使得DDoS攻击规模更大且能造成更大的危害[1]；2)随着云服务模式下用户对通信数据的隐私需求提高，这使得https等加密流量占总流量的比例接近70％，当针对特定端口、协议和服务(如DNS，HTTP，VoIP等)的DDoS攻击通过加密流量发起，其具有一定隐蔽性，更难以检测。因而如何在云环境下发现加密流量DDoS攻击成为有效防御DDoS的重要问题之一。

传统网络的DDoS攻击发现方法可分为误用检测、异常检测以及两者混合检测三类，其中异常检测最为普遍，其通过识别网络中的异常行为来发现是否存在DDOS攻击。近年来,基于SVM向量机、K-近邻、隐马尔可夫、神经网络等多种机器学习算法的检测方案被相继引入，不断提升DDoS检测的效率和准确性。目前，AWS、阿里云等知名云服务商也提供了DDoS攻击处理服务，如阿里云的DDOS高防IP服务通过流量重定向过滤并消化掉攻击流量。然而如果攻击者使用HTTPS等SSL/TLS加密协议传输数据时，云服务商需要先将流量解密后再进行清洗，但如果攻击者使用HTTPS等SSL/TLS加密协议传输数据，检测方则需先将流量解密后再进行清洗，效率较低。

云计算加密流量环境下发现DDoS攻击的最大难点在于如何在不对加密流量进行解密的情况下对流量进行过滤。现有针对加密流量的DDoS检测方案主要是引入第三方检测代理，即为了保护云租户不被外来恶意流量攻击，待防护的https业务需要将证书和解密的私钥交给代理方。然而，在上述机制下，云客户端和服务器的通信内容在代理方是明文，意味着非攻击流量中包含的用户敏感信息仍存在被泄露的风险。

发明内容

针对现有的云环境下加密流量的DDoS攻击检测存在的敏感信息保护不到位和加密流量DDoS攻击检测效率等问题，本发明提出了一种云环境下融合信任和学习的DDoS攻击发现方法。该方法在现有基于机器学习的DDoS检测中引入信任的思想，结合云服务自身的安全认证，融入基于签名和环境因素的信任评估机制过滤掉合法租户的显然非攻击流量，在无需对加密流量解密的前提下保障合法租户流量中包含的敏感信息。其后，对于其他加密流量和非加密流量，根据云环境下攻击流量大的特征改进特征提取方法，增加了端口检测和源IP增速检测，采用改进的KNN算法来对流量进行分类检测，以提升检测的效率和准确率。

在通常的云服务场景下，外来请求都是通过云服务商提供的网关向云服务器转发流量的，不论是加密的流量还是未加密的流量都将通过网关向云服务器发起访问。在这样的场景下，来自外部的攻击者可以很容易对网关发起未加密流量和加密流量的攻击，最终使云服务器宕机，导致云服务不可用。因此，需要对云环境下的DDoS攻击进行有效检测和发现以保障云服务安全。