CN106357673A - 一种多租户云计算系统DDoS攻击检测方法及系统 - Google Patents

Abstract

本发明公开了一种多租户云计算系统DDoS攻击检测方法及系统。本方法为：在多租户云计算系统的控制节点设置一个检测服务器，在每个计算节点建立一个检测代理；检测代理根据第i时间段采集的流量数据，统计该第i时间段每个虚拟机向不同目的IP地址分别发送的数据包数；检测代理根据统计数据计算各虚拟机的流量熵变化值，如果虚拟机i发给目的IP的流量熵变化值超过设定的流量熵变化阈值，则判定该数据流为可疑DDoS攻击流，并将其发给检测服务器；检测服务器根据数据目的IP地址和租户标识聚集目的地址以及聚集结果在总流量中的占比识别出潜在攻击流量；如果两潜在攻击流的相对熵小于设定阈值，则判定为DDoS攻击流。

Description

一种多租户云计算系统DDoS攻击检测方法及系统

技术领域

本发明属于云计算网络安全领域。具体来说，涉及到一种多租户云计算系统环境下的DDoS攻击检测方法及系统。

背景技术

云计算系统中通过划分租户实现资源的隔离，多租户云计算系统中的虚拟机在实例化阶段被分配给了不同的租户。通过这种方式既实现了租户间共享底层基础设施，又在最大程度上保证一个租户的数据不被其他租户访问。大规模云计算系统部署众多虚拟机，这些虚拟机成为DDoS攻击者的入侵目标。攻击者通过某种方法入侵云内一台虚拟机后，通过网络攻击等其他方法在其他虚拟机中注入攻击程序，这些虚拟机组建成攻击者的僵尸网络，在某一特定时间操纵这些虚拟机针对特定目标发动大流量DDoS攻击，对受害者产生不可预估的破坏。攻击者之所以挑选云内虚拟机组建僵尸网络是因为云系统网络结构和僵尸网络相似，而且云内虚拟机间的保护措施并不强健，在很小的范围内攻击者就可以发现一定数量的脆弱虚拟机。

目前，基于信息熵的DDoS攻击检测方法是一种有效检测手段。如专利申请号为：200810167441.5的发明专利申请，分布式拒绝服务检测方法及网络设备，通过计算单位时间内到达多个数据包的联合熵判断DDoS攻击是否发生。如专利申请号为：201410484936.6的发明专利申请公开了一种基于信息熵的DDoS攻击检测方法，其通过累积和算法对流经检测节点的数据流量检测其变化识别出受到攻击的目的IP地址。又如专利申请号为：201510227895.7的发明专利申请，公开了一种大流量环境下主机网络异常行为检测及分类方法，通过计算主机源/目的端口熵和最大占比识别异常网络行为。

在传统网络中，DDoS攻击检测聚焦于被害目标，当受害主机或网络在某些方面如带宽或性能出现异常，DDoS攻击被检测出来，进而定位攻击源。然而传统网络的DDoS攻击检测难点集中在攻击溯源问题，攻击主机遍布在网络各处，防御者无法获知攻击源网络状态，源地址欺骗技术加大了溯源难度。

发明内容

有鉴于此，本发明提出了一种多租户云计算系统DDoS攻击检测方法，并将该方法在云计算系统中实现。该方法采用易于维护和扩展的分布式检测架构，由检测代理和检测服务器共同实现DDoS检测功能。该方法通过度量可疑攻击流的相关性提高DDoS攻击检测准确率，降低误报率。

在云计算环境中，管理者能够掌握所有网络设备和网络拓扑结构，可以探知DDoS攻击网络，因此本发明对于云环境中的DDoS攻击检测，从攻击源入手最后确定受害者。

本发明的目的是提出一种多租户云计算系统DDoS攻击检测方法，其步骤包括：

1)在多租户云计算系统的控制节点建立一个检测服务器，所述检测服务器分配两个缓存空间，一个数据缓存空间，一个攻击信息缓存空间，启动定时机制，进入等待阶段；

2)在多租户云计算系统的每个计算节点建立一个检测代理，所述检测代理完成本地缓存队列初始化，并设置一个滑动窗口，向所述检测服务器发送一确认消息，比如Hello消息；

3)所述检测服务器在接收到所述检测代理发送的Hello消息后，进入监听阶段，向检测代理发送时间消息和流量采集配置参数；

4)所述检测代理接收时间消息和流量采集配置参数，完成时间同步启动定时机制，根据配置采集参数开始采集交换机上的流量；

5)所述检测代理分析处理采集的流量数据，分不同时间段统计每个虚拟机在连续时间间隔内向不同目的IP地址分别发送的数据包数，分配新的队列空间存储统计数据，追加在本地缓存队列队尾；其中，不同虚拟机的同一时间段的统计数据放在一个队列节点上；

6)所述检测代理根据滑动窗口内的统计数据计算虚拟机目的地址分布流量熵，所述检测代理根据流量熵变化阈值判断虚拟机是否产生可疑DDoS攻击流：

6-1)若虚拟机流量熵变化没有超过熵变阈值，则虚拟机没有产生可疑DDoS攻击流，时间滑动窗口根据如下规则进行移动：

6-1-1)若滑动窗口外缓存队列中有统计数据，则滑动窗口向缓存队列时间增序方向滑动一个时间单位，移出滑动窗口的数据从缓存队列删除，释放队列空间；否则，时间窗不移动；

6-2)若虚拟机流量熵变化超过熵变阈值，则所述检测代理判断造成流量熵大幅度变化的可疑DDoS攻击流，将时间窗内的可疑流统计数据发送给检测服务器，滑动窗口操作如步骤6-1-1)所述；虚拟机i发送给目的IP的虚拟机流量熵变化超过熵变阈值，则虚拟机i发送给该目的IP的数据流为可疑DDoS攻击流。

7)所述检测服务器接收可疑DDoS攻击流统计数据，存储到本地数据缓存空间中；

8)所述检测服务器判断可疑DDoS攻击流的目的地址是否为云内虚拟机地址，如果是云内虚拟机地址，则使用租户标识区分不同租户的虚拟机地址，将具有相同目的地址和租户标识的可疑DDoS攻击流聚合；如果不是云内虚拟机地址，则将具有相同目的地址的可疑DDoS攻击流聚合；如果聚集结果对应的可疑DDoS攻击流占总可疑DDoS攻击流的比例高于设定阈值，则该聚集结果对应的可疑DDoS攻击流判定为潜在攻击流；其中，总流量指的是所有的可疑流。根据如下规则判断潜在攻击流量是否DDoS攻击流：

8-1)如果两个潜在攻击流量的相对熵小于相对熵阈值，则两个可疑流是DDoS攻击流，将攻击流的相关信息存储到攻击信息缓存空间；

8-2)如果一个潜在攻击流量和其他所有潜在攻击流量的相对熵都大于相对熵阈值，则这个可疑流不是DDoS攻击流；

9)所述检测服务器上数据缓存中的某时间段的可疑流相对熵计算完成后，删除数据缓存中的可疑流数据，所述检测服务器产生DDoS攻击警告，生成包括攻击源虚拟机和攻击目标的攻击信息，将攻击信息上报给系统。

所述检测代理使用sflow技术采集虚拟交换机上的流量数据，使用网络设备信息区分虚拟机流量，将目的IP地址相同的数据包视为同一条流，并统计连续的时间间隔为t内一条流的数据包数量。

所述检测代理将每个虚拟机的流统计数据存储在本地时序增加的缓存队列上。

所述检测代理维护一个时间滑窗，时间滑窗内的每个窗格宽度为时间间隔t，时间窗在缓存队列上滑动。时间窗向时序增加方向滑动，滑出时间窗的缓存队列上的数据将被删除，队列空间被释放。

所述检测代理计算每一时间间隔t内虚拟机的流量的目的地址概率分布，根据概率分布计算计算间间隔t内虚拟机的流量熵。只有时间窗内的虚拟机流量熵将被计算。

所述检测代理根据流概率波动判断造成熵变超过阈值的一个或多个可疑流，将可疑流在时间窗内的统计数据发送给检测服务器，附加虚拟机和租户信息。

所述检测服务器判断本地数据缓存空间中是否存在两个以上的可疑流，并按如下规则操作：

a)如果数据缓存空间中在同一时间段内存在两个以上的可疑流，则计算每两个可疑流在相同时间段的时间分布概率，并计算两个分布的相对熵；

b)如果数据缓存空间中一个可疑流统计数据和其他可疑流没有相同时间段，则删除缓存空间中这个可疑流的统计数据。

所述检测服务器发现两条潜在攻击流a和b后，查看潜在攻击流是否在攻击信息缓存空间存在，按如下规则操作：

a)如果两个潜在攻击流a和b在攻击信息缓存空间都不存在，则创建一个新的集合，加入将攻击流a和b的攻击信息；

b)如果两个潜在攻击流a和b在攻击信息缓存空间a存在，b不存在，则将b加入a所在的集合。

所述检测服务器生成的攻击信息包括发送攻击流的虚拟机、租户标识、攻击流攻击时间和统计数据信息。

本发明还提出一种多租户云计算系统DDoS攻击检测系统，包括：检测代理和检测服务器。检测代理包括：流量采集和数据统计模块、缓存队列和时间窗维护模块、虚拟机流量熵计算模块和可疑流数据上报模块。检测服务器包括：缓存空间维护模块、可疑流相对熵计算模块和攻击信息生成模块。

所述流量采集和数据统计模块，用于检测代理采集虚拟机流量，并生成时间间隔t内的流统计数据；

所述缓存队列和时间窗维护模块，用于检测代理维护本地缓存队列，存储流统计数据，实现时间滑窗机制；

所述虚拟机流量熵计算模块，用于检测代理计算虚拟机流量在目的地址上的概率分布和虚拟机流量熵；

所述可疑流数据上报模块，用于检测代理发现可疑流后，将可疑流统计数据发送给检测服务器；

所述缓存空间维护模块，用于检测服务器存储可疑流统计数据和攻击流信息；

所述可疑流相对熵计算模块，用于检测服务器计算可疑流在时序上的概率分布和可疑流之间的相对熵；

所述攻击信息生成模块，用于检测服务器提取缓存空间的攻击流数据，生成攻击信息，并产生攻击警告。

本发明的有益效果

本发明整体采用分布式的检测架构，检测系统可以随云计算系统规模扩大横向灵活扩展；检测代理从源端入手检测发动潜在DDoS攻击流的可疑虚拟机，快速定位可疑攻击源；提取可疑流的统计数据，可疑流在时间维度上的分布体现了流量波动特征；检测服务器通过分析特征间的相似性识别同一DDoS攻击的恶意流量，进而识别攻击源虚拟机，确定受害目标。该方法通过监控云系统中所有虚拟机的网络行为，使用两种熵指标度量网络行为，能够在攻击规模形成之前检测出DDoS攻击，快速产生预警信息以便系统采取应急响应措施。

附图说明

图1为本发明一种多租户云计算系统DDoS攻击检测方法一实施例中检测系统组成以及功能分布示意图。

图2为本发明一种多租户云计算系统DDoS攻击检测方法一实施例中检测系统逻辑执行流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，可以理解的是，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在该技术方案中，计算节点部署检测代理，控制节点部署检测服务器。检测代理计算虚拟机流量熵，通过度量熵变是否超过规定阈值判断是否发生潜在DDoS攻击，收集可疑攻击流统计数据发送给检测服务器。服务器通过度量可疑攻击流之间的相似性，区分DDoS攻击的攻击流，确定攻击源和攻击目标。

首先检测代理采样虚拟交换机上的虚拟机出流量，计算时间周期T内虚拟机流量的地址分布概率，并根据信息熵公式计算虚拟机流量熵，判断熵变量是否超过给定阈值，如果超过给定阈值，则造成熵变的主要流量是可疑攻击流，检测代理将可疑攻击流的统计数据发送给检测服务器。服务器接收可疑攻击流后，存储到本地数据缓存空间中，根据数据目的IP地址和租户标识聚集目的地址相同的可疑流，在总流量中占高比例的聚集结果被认为是潜在攻击流量。根据KL散度公式计算潜在攻击流量之间的相对熵，如果相对熵小于给定阈值，则潜在攻击流量为真实攻击流量，发送流量的虚拟机是攻击机；否则，为合法突发流量。

本发明的技术内容主要包括：检测潜在DDoS攻击可疑攻击流和识别DDoS攻击的真实攻击流。

本发明所述的检测潜在DDoS攻击可疑攻击流在检测代理上实现。检测代理运行在每个计算节点收集虚拟机流量统计数据并检测可疑攻击流。代理从虚拟交换机采样虚拟机发送的流量，为每个虚拟机组织流量特征统计数据，以目的IP地址为基准统计数据包数。代理通过采样数据附加的网络设备信息区分不同虚拟机流量，解决源地址欺骗问题。使用虚拟机流量熵算法将统计数据作为输入检测可疑攻击流，代理提取可疑流监控数据，附加虚拟机信息封装成UDP数据包并通过独立的网络发送给检测服务器，这些数据将被检测服务器进一步处理。

检测代理基于目的地址统计一个时间间隔内虚拟机发送的数据包数。虚拟机出流量的目的地址取值集合为A＝{a₁,a₂…a_m}，相应的数据包统计数据为N＝{n₁,n₂…n_m}，虚拟机流量的目的地址概率分布为：

$p\left(a_i\right)=\frac{n_i}{\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{n}_j}---\left(1\right)$

虚拟机流量熵是目的地址概率分布的信息熵，计算公式为：

$H\left(A\right)=-\underset{i=1}{\overset{m}{\mathrm{\Σ}}}p\left(a_i\right){\log }_{2}p\left(a_i\right)---\left(2\right)$

虚拟机流量熵算法：

输入：N为用于计算的流数，δ₁为检测阈值

输出：可疑流信息

(1)初始化采样周期T＝{t₁,t₂…t_m}，采样频率f，滑动时间窗W＝{w₁,w₂…w_n}；

(2)代理从虚拟交换机采样周期T内的虚拟机出流量，根据目的IP地址统计时间间隔t_i的数据包；

(3)使用公式(1)计算虚拟机流量的地址概率分布，使用公式(2)计算时间周期T内的虚拟机流量熵；

(4)如果时间T_i到时间T_i+1的流量熵减少量超过阈值δ₁，代理输出可疑攻击流信息，将可疑攻击流统计数据发送给检测服务器；

(5)返回步骤(2)。

本发明所述的识别DDoS攻击的真实攻击流在检测服务器上实现。检测服务器从分布式代理接收可疑流统计数据，使用一个综合检测算法识别真正的攻击流量以提高检测准确性。服务器维护两个存储空间，一个用于存储可疑流统计数据，超出时间范围的可疑流数据将被定期删除；另一个用于存储检测输出的攻击相关信息，检测到新的攻击后服务器产生告警信息生成日志，将攻击信息上报给系统。

对一个流，每个时间间隔ti内的数据包数为N＝{n₁,n₂…n_m}，m为时间间隔总数；其时序概率分布为：

$p\left(t_i\right)=\frac{n_i}{\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{n}_j}---\left(3\right)$

两个流的时序概率分布为P和Q，它们的相对熵计算公式为：

$D(P,Q)=\underset{i=1}{\overset{m}{\mathrm{\Σ}}}\left(p\right(t_i)-q(t_i\left)\right){\log }_2\frac{p\left(t_i\right)}{q\left(t_i\right)}---\left(4\right)$

相对熵检测算法：

输入：可疑流统计数据，检测阈值δ₂

输出：DDoS攻击告警信息

(1)初始化缓存空间S₁用于存储可疑流信息，缓存空间S₂用于存储攻击信息；

(2)服务器接收可疑流，将同一时间目的地址相同的流聚合，如果目的地址是云内虚拟机，聚合时使用租户标识信息进行区分；

(3)在总流量中占高比例的流量聚集是潜在攻击流，存储空间S₁中相应的可疑流数据将被进一步计算；

(4)使用公式(3)计算潜在攻击流的时序概率分布，使用公式(4)计算两个潜在攻击流的相对熵；

(5)如果相对熵小于给定阈值δ₂，两个流为攻击流，将攻击信息存储到缓存空间S₂；如果一个流和其他可疑流的相对熵都大于给定阈值δ₂，则为合法流量；

(6)将缓存空间S₂的攻击信息告警给系统；

(7)返回步骤(2)。

如图1所示是本发明一种多租户云计算系统DDoS攻击检测方法一实施例中检测系统组成以及功能分布示意图。将检测代理部署在所有计算节点，检测代理通过监控虚拟机流量熵变化情况发现源端的可疑攻击流量；将检测服务器部署在控制节点，检测服务器通过计算可疑攻击流量的相对熵识别DDoS攻击的真正攻击流。

如图2所示是为本发明一种多租户云计算系统DDoS攻击检测方法一实施例中检测系统逻辑执行流程示意图。检测代理从虚拟交换机采样周期T内的虚拟机出流量，统计不同目的IP地址的数据包数，计算虚拟机流量地址概率分布和虚拟机流量熵，发现可疑攻击流量，提取可疑攻击流量统计数据发送给检测服务器。服务器接收可疑流量存储到缓存空间，计算可疑流量间的相对熵识别真正的DDoS攻击流量，生成攻击信息产生告警发送给系统。

Claims (10)

1.一种多租户云计算系统DDoS攻击检测方法，其步骤为：

1)在多租户云计算系统的控制节点设置一个检测服务器，并启动一定时机制；在多租户云计算系统的每个计算节点建立一个检测代理；

2)所述检测代理完成本地缓存队列初始化，并设置一个在该本地缓存队列上滑动的滑动窗口；然后向所述检测服务器发送一确认消息；

3)所述检测服务器在接收到所述确认消息后，向所述检测代理发送时间消息和流量采集配置参数；

4)所述检测代理根据接收的时间消息完成时间同步启动定时机制，根据流量采集配置参数采集交换机上的流量；

5)所述检测代理根据第i时间段采集的流量数据，统计该第i时间段每个虚拟机向不同目的IP地址分别发送的数据包数，并将统计数据追加在本地缓存队列队尾；

6)所述检测代理根据滑动窗口内的统计数据计算各虚拟机的流量熵变化值，如果虚拟机i发送给目的IP的虚拟机流量熵变化值超过设定的流量熵变化阈值，则判定该目的IP与虚拟机i之间的数据流为可疑DDoS攻击流，并将该可疑DDoS攻击流的统计数据发给所述检测服务器；

7)所述检测服务器判断可疑DDoS攻击流的目的地址是否为云内虚拟机地址，如果是云内虚拟机地址，则使用租户标识区分不同租户的虚拟机地址，将具有相同目的地址和租户标识的可疑DDoS攻击流聚合；如果不是云内虚拟机地址，则将具有相同目的地址的可疑DDoS攻击流聚合；如果聚集结果对应的可疑DDoS攻击流占总可疑DDoS攻击流的比例高于设定阈值，则该聚集结果对应的可疑DDoS攻击流判定为潜在攻击流；如果两潜在攻击流的相对熵小于设定的相对熵阈值，则该两潜在攻击流判定为DDoS攻击流。

2.如权利要求1所述的方法，其特征在于，所述步骤7)中，所述检测服务器将同一时间段内的目的地址为云内虚拟机且目的地址和租户标识相同的、或目的地址不是云内虚拟机且目的地址相同的可疑DDoS攻击流聚集，如果聚集结果对应的可疑DDoS攻击流占总可疑DDoS攻击流的比例高于设定阈值，则将聚集结果对应的可疑DDoS攻击流判定为潜在攻击流。

3.如权利要求1所述的方法，其特征在于，所述检测代理计算所述滑动窗口内的每一时间间隔t内虚拟机的流量的目的地址概率分布，根据概率分布计算计算时间间隔t内虚拟机的流量熵，得到虚拟机的流量熵变化值。

4.如权利要求3所述的方法，其特征在于，根据公式计算所述虚拟机的流量熵H(A)；其中，虚拟机出流量的目的地址取值集合为A＝{a₁,a₂…a_m}，相应的数据包统计数据为N＝{n₁,n₂…n_m}，p(a_i)为目的地址a_i概率分布，m为时间间隔总数。

5.如权利要求1所述的方法，其特征在于，根据公式计算两潜在攻击流的相对熵D(P,Q)；其中，p(t_i)为潜在攻击流P的时间间隔t_i的时序概率分布，q(t_i)为潜在攻击流Q的时间间隔t_i的时序概率分布，m为时间间隔总数。

6.如权利要求1所述的方法，其特征在于，所述检测服务器分配两个缓存空间，一个数据缓存空间，一个攻击信息缓存空间；所述步骤7)中，所述检测服务器将判定出的DDoS攻击流放入该攻击信息缓存空间；所述检测服务器对于两潜在攻击流a、b，首先查看潜在攻击流a、b是否在该攻击信息缓存空间存在，如果两潜在攻击流a、b均不在攻击信息缓存空间，则将两潜在攻击流a、b的攻击信息加入到该攻击信息缓存空间中一新的集合中；如果攻击信息缓存空间存在潜在攻击流a，不存在潜在攻击流b，则将潜在攻击流b加入潜在攻击流a所在的集合。

7.如权利要求1或6所述的方法，其特征在于，所述检测服务器根据DDoS攻击流产生DDoS攻击警告，包括攻击源虚拟机和攻击信息；所述攻击信息包括发送攻击流的虚拟机、租户标识、攻击流攻击时间和统计数据信息。

8.一种多租户云计算系统DDoS攻击检测系统，其特征在于，在多租户云计算系统的控制节点设置一个检测服务器，并启动一定时机制；在多租户云计算系统的每个计算节点建立一个检测代理；其中，检测代理包括：流量采集和数据统计模块、虚拟机流量熵计算模块和可疑流数据上报模块；检测服务器向所述检测代理发送时间消息和流量采集配置参数；

所述流量采集和数据统计模块，用于采集虚拟机流量，并根据第i时间段采集的流量数据，统计该第i时间段每个虚拟机向不同目的IP地址分别发送的数据包数，生成统计数据；

所述虚拟机流量熵计算模块，用于根据统计数据计算虚拟机流量熵；

所述可疑流数据上报模块，用于根据滑动窗口内的统计数据计算各虚拟机的流量熵变化值，如果虚拟机i发送给目的IP的虚拟机流量熵变化值超过设定的流量熵变化阈值，则判定该目的IP与虚拟机i之间的数据流为可疑DDoS攻击流，并将该可疑DDoS攻击流的统计数据发给所述检测服务器；

所述检测服务器判断可疑DDoS攻击流的目的地址是否为云内虚拟机地址，如果是云内虚拟机地址，则使用租户标识区分不同租户的虚拟机地址，将具有相同目的地址和租户标识的可疑DDoS攻击流聚合；如果不是云内虚拟机地址，则将具有相同目的地址的可疑DDoS攻击流聚合；如果聚集结果对应的可疑DDoS攻击流占总可疑DDoS攻击流的比例高于设定阈值，则该聚集结果对应的可疑DDoS攻击流判定为潜在攻击流；如果两潜在攻击流的相对熵小于设定的相对熵阈值，则该两潜在攻击流判定为DDoS攻击流。

9.如权利要求8所述的系统，其特征在于，所述可疑流数据上报模块计算所述滑动窗口内的每一时间间隔t内虚拟机的流量的目的地址概率分布，根据概率分布计算计算时间间隔t内虚拟机的流量熵，得到虚拟机的流量熵变化值。

10.如权利要求9所述的系统，其特征在于，根据公式计算所述虚拟机的流量熵H(A)；其中，虚拟机出流量的目的地址取值集合为A＝{a₁,a₂…a_m}，相应的数据包统计数据为N＝{n₁,n₂…n_m}，p(a_i)为目的地址a_i概率分布，m为时间间隔总数。