当前,越来越多的分布式拒绝服务(distributed denial of service,DDoS)攻击的攻击源迁移至云中,给云计算的可控性及整个网络空间的安全带来了严重挑战.然而关于有效控制云中该类攻击源的研究还比较缺乏.为此设计了一种面向可控云计算的D...
详细信息
当前,越来越多的分布式拒绝服务(distributed denial of service,DDoS)攻击的攻击源迁移至云中,给云计算的可控性及整个网络空间的安全带来了严重挑战.然而关于有效控制云中该类攻击源的研究还比较缺乏.为此设计了一种面向可控云计算的DDoS攻击源控制系统pTrace,该系统包括入口流量过滤inFilter和恶意进程溯源mpTrace两部分.其中,inFilter过滤伪造源地址信息的数据包;mpTrace先识别攻击流及其源地址信息,依据源地址信息追溯并管控发送攻击流的恶意进程.在Openstack和Xen环境下实现了pTrace的原型系统,分析及实验表明,inFilter可以有效地防止含有虚假源地址信息的DDoS攻击包流出云外;当攻击流速率约为正常流量的2.5倍时,mpTrace即可正确识别攻击流信息,并可在ms级的时间内正确追溯攻击流量发送进程.该方法有效控制了位于云中的DDoS攻击源,减小了对云内傀儡租户及云外攻击目标的影响.
快速发展的云计算存在严重的滥用风险,给整个网络空间带来了巨大的安全威胁.本文首先深入分析了云上存在的滥用现象及其原因;然后,针对频发的滥用云进行分布式拒绝服务(Distributed Denial of Service,DDOS)攻击以及已有反制方法在云中...
详细信息
快速发展的云计算存在严重的滥用风险,给整个网络空间带来了巨大的安全威胁.本文首先深入分析了云上存在的滥用现象及其原因;然后,针对频发的滥用云进行分布式拒绝服务(Distributed Denial of Service,DDOS)攻击以及已有反制方法在云中受限的问题,提出了一种面向可控云计算的DDOS检测及反制方法,该方法包含数据流监控引擎MonitorEngine和反制引擎CountEngine两部分,MonitorEngine将安全资源分布在整个云计算中心,所需安全资源可随着待检测流量而变化;CountEngine可以作用于同一物理机上的虚拟机,执行细粒度、进程级反制.实验及分析证明,本检测方法对多种DDOS攻击类型有较好的识别作用,细粒度反制方法可以有效地从共享特定资源的多个任务中识别出恶意进程且具有较高的安全性.
暂无评论