CN109862016A - 一种针对云计算自动扩容Yo-Yo攻击的对抗方法 - Google Patents

Abstract

本发明公开了一种针对云计算自动扩容Yo‑Yo攻击的对抗方法。传统的云计算安全防御方法大多需要在云计算环境中部署专门的防御硬件或者对云计算架构进行修改。本方法切合实际，对现有的云系统几乎没有任何大的修改，不需要硬件的支持，在检测时同时考虑服务请求的流量模式以及当前的自动扩容状态，这样对攻击流量进行识别能够使得非攻击的正常batch请求不会被误判为攻击请求，检测精度较高。由于本发明提出的基于可疑服务请求的延迟防御算法中考虑了云用户的QoS约束，在满足服务功能需求的约束下，能够使用较少的网络资源的消耗来打破Yo‑Yo攻击产生的条件，防御攻击的成本较小。

Description

一种针对云计算自动扩容Yo-Yo攻击的对抗方法

技术领域

本发明涉及网络对抗计算领域，具体涉及一种针对云计算自动扩容Yo-Yo攻击的对抗方法。

背景技术

云计算以一种新兴的共享基础架构的方法，提供“资源池”化的网络计算和存储等服务。云计算的按需自服务、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点，允许客户在任何时间和任何位置访问计算资源，并且成本更低，性能更好。因此，云计算已成为用户部署其应用程序和服务的主要计算平台，受到了广大云计算提供商和支持者的推崇。

伴随着云计算的深入应用，云安全问题成为人们极为关注的话题。其中，由于云计算平台的用户、信息资源的高度集中，更容易成为分布式拒绝服务(DDoS)攻击的目标。如图1所示，攻击者可以从云计算环境的多个地方发起各种DDoS攻击，包括以资源为中心的攻击(例如网络带宽，内存和CPU)和以应用为中心的攻击(例如，Web应用程序，数据库服务)。攻击者通过发送大量的伪造报文用于耗尽目标主云服务器资源，从而导致目标服务器负载过高不能为合法用户提供相应的服务甚至瘫痪。目前，各种报道显示云计算中的DDoS事件数量大幅增加，这使其成为对云计算平台最重要和最致命的威胁之一。

目前，云计算提供了一种的自动扩展服务(如，Google云中的autoscaler机制，Microsoft Azure云中的Azure Autoscale以及亚马逊云的EC2的自动扩展)，可以在许多动态请求下提供对资源的弹性访问，被认为是DDoS攻击的最佳防御方案之一。自动扩容机制通过自动扩展云服务器上的资源来适应不可预测的负载变化(即突发流量)，确保服务继续以良好的性能运行。然而，最近的研究中发现，这种自动缩放机制也引入流新的安全威胁，如：Yo-Yo攻击。攻击者试图通过频繁触发自动扩容机制来降低云服务性能并导致云资源浪费。更具体地，攻击者首先发送一连串请求流量以增加云服务器上的相关负载。为避免云服务器过载，云将触发自动扩展机制以扩展底层资源以适应这些请求突发。当检测到自动扩容完成时，攻击者停止发送突发流量并等待自动扩容机制缩放额外多余的资源。然后，攻击者不断的重复上述过程，使得云服务器在自动扩展和缩放间振荡。Yo-Yo攻击的损害是双重的，一方面云服务器在扩展过程中通常处于高负荷状态，这可能导致其服务的流量性能显着下降。另一方面，由于攻击者在扩展过程结束后停止发送突发流量，实际流量负载远低于服务器上的可用资源，这导致计算资源的显着浪费和经济损失。

在目前，已经有一些关于云计算安全攻击的研究。如，检测攻击的有效方法之一是使用入侵检测系统(IDS)，以确保可用的云计算服务。其主要思想是，当云用户的服务请求的流量特征和其他服务请求的流量特征相差较大的时候，则将此服务请求检测为恶意的或者存在网络安全威胁的流。然后，对此流量进行隔离或交由更细致的入侵分析系统做进一步处理。虽然上述方法能够在一定程度上对Yo-Yo攻击进行防护，但会产生大量的警报以及高的误报率。特别的，当良性用户以“batch”模式周期性地发送服务请求到云服务器上，其行为类似于Yo-Yo攻击。IDS很大程度上将这种良性的行为误判为攻击行为。

针对云自动扩容的问题的Yo-Yo攻击的问题，相关研究人员还提出了限制自动扩容的资源量的方法。其思想为通过设置允许扩展的最大虚拟机的数量来避免攻击造成的意外开支。虽然上述方法能够缓解Yo-Yo攻击导致的计算资源浪费和相应的经济损失，但同时也会限制云自动扩容器的工作性能，并可能导致DDoS攻击。同时，系统管理员需要在支付高昂的服务成本(缓慢缩减)或低性能之间需要权衡，然后手动的配置自动扩容系统相关参数(如，扩容的阈值、每次扩容的资源量)，浪费大量的人力资源。

发明内容

针对现有技术中的上述不足，本发明提供的一种针对云计算自动扩容Yo-Yo攻击的对抗方法解决了云自动扩容机制中Yo-Yo攻击的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种针对云计算自动扩容Yo-Yo攻击的对抗方法，包括以下步骤：

S1、检测模块维护所有云用户的信任值列表，并收集自动扩容的统计信息更新信任值列表，通过攻击检测模块根据信任值标记云服务请求的状态；

S2、通过云用户新到的服务请求的状态，利用攻击对抗模块调整云服务器的回复数据包的延迟，降低攻击者正确检测当前自动扩容状态的概率。

进一步地：所述步骤S1的具体步骤为：

S11、对于每一个新的云用户C_i，如果则在集合C中增加用户C_i，并在信任值列表T_list中添加用户C_i对应的信任值T_i；

其中C为云用户集合，C＝(C₁,C₂,C₃,…,C_n)，C_n为云用户，T_list为云用户集合C相应的信任值列表，T_list＝(T₁,T₂,。。。T_n)，T_n为云用户C_n的信任值，T_i＝T(init)，T(init)为用户信任初始值；

S12、监测云服务器自动扩容状态，若当前的云服务器处于扩容状态，进入步骤S13，否则进入步骤S16；

S13、遍历当前云服务器上的所有流量请求，对所有的云用户统计当前服务请求量M，并建立集合<C,M>＝{(C₁,M₁),(C₂,M₂),…,(C_n,M_n)}；

S14、对集合<C,M>中所有的云用户进行服务请求数目排序；

S15、等待云自动服务器扩容完成，并进入云自动扩容缩放过程；

S16、在缩放完成后，遍历集合C中所有的云用户缩放期间的服务请求，对所有的云用户统计当前服务请求量M’，并建立集合<C’,M’>＝{(C’₁,M’₁),(C’₂,M’₂),…,(C’_n,M’_n)}；

S17、当云用户C_j缩放期间的服务请求量M-M’>K时，进入步骤S18，否则进入步骤S19；

K为扩容和缩放阶段可允许的请求量差值；

S18、令C_j对应的信任值T_j减少一个单位，进入步骤S110；

S19、保持C_j对应的信任值T_j不变，进入步骤S110；

S110、在信任值列表T_list中更新云用户C_j的信任值T_j，遍历当前云用户的信任值列表<C,T_list>；

S111、当云用户C_k当前的信任值T_k<T(mid)时，进入步骤S112，否则进入步骤S113；

T(mid)为中间信任阈值；

S112、用户C_k属于可疑用户集合C(suspicious)；

S113、当云用户C_k当前的信任值T_k<T(min)时，进入步骤S114，否则进入步骤S115；

T(min)为最小信任阈值；

S114、用户C_k属于恶意用户集合C(malicious)；

S115、用户C_k属于正常用户集合C(normal)。

进一步地：所述步骤S2的具体步骤为：

S21、当云用户C_j∈C(malicious)时，进入步骤S22，否则进入步骤S23；

S22、丢弃云用户C_j新到的服务请求，结束本方法；

S23、当C_j∈C(suspicious)时，进入步骤S24，否则进入步骤S27。

S24、根据云用户C_j的信任值T_j计算其到k个聚类Clusters＝(S₁,S₂,S₃,…,S_k)的距离，k<＝n，并将云用户C_j归类到距离最小的聚类S_j中；

S25、更新S_j聚类的响应时间的N(μ_j,σ_j)分布；

S26、计算云用户C_j的此服务请求需要修改的响应时延；

S27、根据响应时延得到云用户C_j的此服务请求生成相应的回复数据包和总的RTT值，干扰攻击者。

进一步地：所述步骤S26中响应时延的计算公式为：

δ_a＝μ_i-δ_e

上式中，δ_a为响应时延，μ_i为第i个云用户的样本平均值，δ_e为服务请求中通过用时间戳标记的当前经历的RTT时间。

本发明的有益效果为：

(1)适用范围广。传统的云计算安全防御方法大多需要在云计算环境中部署专门的防御硬件或者对云计算架构进行修改。本方法切合实际，对现有的云系统几乎没有任何大的修改，不需要硬件的支持。仅仅对云服务器中增加相应的软件模块。因此，与传统的攻击防御相比，本方法的适用范围更广。

(2)检测精度高。由于本发明提出基于用户信任值的攻击检测算法，在检测时同时考虑服务请求的流量模式以及当前的自动扩容机制的状态，这样对攻击流量进行识别能够使得非攻击的正常batch请求不会被误判为攻击请求，所以检测精度较高。

(3)攻击防御成本低。由于本发明提出的基于可疑服务请求的延迟防御算法中考虑了云用户的QoS约束，在满足服务功能需求的约束下，能够使用较少的网络资源的消耗来打破Yo-Yo攻击产生的条件，所以防御攻击的成本较小。

附图说明

图1为云计算环境中的DDoS攻击示意图；

图2为Yo-Yo攻击防御机制的整体系统架构图；

图3为本发明总流程图；

图4为本发明步骤S1的流程图；

图5为本发明步骤S3的流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

云计算自动扩容机制：在云计算中，由于资源池有限，动态可扩展性变得更具吸引力和实用性。当分配的资源不足时，将不可避免地影响云服务的性能。同时，资源过度配置导致计算资源空闲，以此引起不必要的资源浪费和相应的经济损失。云平台提供自动扩容机制，如，OpenStack中的Heat，Google Cloud中的autoscaler以及Amazon ElasticCompute Cloud中的自动扩展(Amazon EC2)。云自动扩容机制比较巧妙的实现了云的弹性。在云服务器应用忙时扩展计算能力，在应用闲时收缩计算能力，很好的体现了云计算按需供给、按量计费的宗旨。

Yo-Yo攻击根据云自动扩容机制，对云服务器发动攻击。主要是由两个阶段组成：

1)攻击启动阶段：攻击者发送突发流量来促使云服务器启动自动扩容机制进行资源扩展过程。

2)攻击停止阶段：攻击之停止发送流量并等待自动扩容服务进入资源缩减过程当缩减过程结束时，攻击者再次开始新一轮的Yo-Yo攻击。

由于扩展通常需要几分钟，因此云服务会遭受严重的性能下降。同时，当资源扩展过程结束时，闲置的额外资源会导致显著的经济损失。显然，Yo-Yo攻击造成的伤害部分取决于攻击者识别何时在这两个阶段之间切换的能力。

从Yo-Yo攻击模型中，可以观察到攻击者如果成功发起Yo-Yo攻击，需要以下两个重要条件同时得到满足：1)Yo-Yo攻击流量是周期性的流量，云系统无法从正常流量中识别这些攻击流量；2)攻击者需要通过从云网络收集统计数据来正确推断自动扩展机制的状态，即：攻击者可以推断何时在启动/停止攻击阶段之间切换。因此，本发明要解决的技术问题是提出一种在满足当前云计算服务的QoS前提条件下，找出一种有效防御Yo-Yo攻击的方法。在进行攻击检测的时候，考虑检测攻击需要消耗的服务器资源和带宽资源等相关约束条件下以减少检测时间和少的误判率(将正常流量判别为攻击流)为目标，将恶意的Yo-Yo攻击流从正常的数据流中区分出来的方法。同时，在保证每个正常云用户资源请求中的相关功能的约束条件下，提出一种破坏攻击者确定云计算自动扩容机制状态的条件，来最大限度地减少Yo-Yo攻击带来的性能和资源影响。本发明所要解决的问题：如何在Yo-Yo攻击未产生时，通过主动的方式积极降低攻击者成功推断自动扩展状态的可能性，使得攻击者无法启动对云自动扩容机制的此类攻击。在Yo-Yo攻击产生时，如何在Yo-Yo攻击产生时，对现有云系统几乎没有任何修改的条件下，设想对策可以在准确的、高效率的对攻击进行缓解。

本发明提出了一种基于用户信任值的攻击检测方法以及基于响应延迟的攻击防御方法来减轻云自动扩容机制中的Yo-Yo攻击。本发明受到两个关键见解的启发。首先，相较于偶尔产生突发请求流量的良性用户，Yo-Yo攻击者发起突发请求流并导致自动扩展机制的次数更高频。其次，攻击者在自动扩容的扩容和缩放阶段之间显示出请求负载的巨大差异。因此，本发明使用基于信任值的攻击检测机制，用于判断云用户长时间范围的可信度，以识别Yo-Yo攻击者。此外，通过联合考虑云资源请求模式和自动扩容的实时状态来更新云系统中用户的信任值。同时，Yo-Yo攻击只有在探测数据包的响应时间在扩容和缩放阶段具有某些特征时才会生效。因此，在QoS约束下，本发明对可疑用户的请求注入一定的延迟，以便操纵响应时间并欺骗攻击者。这样的操作可以使得Yo-Yo攻击生效的条件失效，进一步有效防止攻击者发起Yo-Yo攻击。

图2给出了Yo-Yo攻击防御机制的整体系统架构，旨在通过两个主要功能模块(攻击检测模块和攻击防御模块)来检测和防御Yo-Yo攻击。当云用户将相关的请求转发到与本发明中的防御系统(部署在云服务器中)时，攻击检测模块首先确定该请求是否是Yo-Yo攻击。如果标识为恶意，则此请求会直接被丢弃。否则，它将被标记为可疑请求或正常请求，并被转发到自动扩容模块。自动扩容模块将根据当前云服务器的负载状态缓冲和处理此请求。之后，根据本发明提出基于响应延迟的机制，在防御模块中引入一定量的延迟到可疑云用户请求中。最后，生成该请求的回复并将其发送回云用户。

如图3所示，一种针对云计算自动扩容Yo-Yo攻击的对抗方法，包括以下步骤：

S1、检测模块维护所有云用户的信任值列表，并收集自动扩容的统计信息更新信任值列表，通过攻击检测模块根据信任值标记云服务请求的状态；

为了有效地防御Yo-Yo攻击，最基本的任务是准确识别攻击请求并将其从正常攻击请求中删除。因此，攻击检测是对抗Yo-Yo攻击的第一步。在本发明提出的基于用户信任值的Yo-Yo攻击检测方法中，检测模块维护所有云用户的信任值列表，并收集自动扩容的统计信息来更新其列表的信任值(信任值用于评估云网络中用户的良性或异常的可能性)。然后，根据信任值，攻击检测模块将不同的云服务请求标记为恶意、可疑或正常。

首先，通过分析Yo-Yo攻击的特征，Yo-Yo攻击经常触发自动扩容机制，使得云服务器资源反复处于过载和轻载的状态。同时，攻击者在资源扩容阶段发送突发流量，并在资源缩放阶段停止攻击。与良性用户的云服务请求相比，Yo-Yo攻击者的服务请求高频的出现在云服务器过载期间，并且流量差异在扩容和缩放阶段很大。因此，本发明共同考虑云用户的服务请求模式和自动扩容的当前状态，并根据以下两个因素更新云用户的信任值：

·触发云服务器资源自动扩容的频率。

·在自动扩展和缩放过程之间，用户服务请求的流量负载差异。

更具体地，当请求到达时，攻击检测模块首先检查该请求用户是否在信任值列表中，如果没有，则为该用户添加新的条目。另外，在每个云服务器资源自动扩展过程中，攻击检测模块在记录每个云用户的请求负载，<C,M>＝{(C₁,M₁),(C₂,M₂),…,(C_n,M_n)}。在缩放期间，攻击检测模块同样的记录每个云用户的请求负载，<C’,M’>＝{(C’₁,M’₁),(C’₂,M’₂),…,(C’_n,M’_n)}。然后遍历集合中所有的云用户，对比自动缩放过程和扩展过程的负载差异M-M’，如果请求负载减少了K的量，则攻击检测模块降低该用户的信任值。

然后，我们使用云用户信任值列表T_list＝(T₁,T₂,。。。T_n)；将不同的请求标记为恶意，可疑或正常。当新请求到达时，从信任数据库中读取此请求用户的信任值。如果用户的信任值低于中间阈值T(mid)，则系统将该用户视为可疑攻击者，并将来自该用户的所有请求标记为可疑。此外，如果用户的信任值低于最小阈值T(min)，则系统认为该用户是恶意的。对于其他值，系统会使用正常标记来记录自此用户的所有请求，并将它们转发到自动扩展模块进行处理。这些阈值取决于Yo-Yo攻击的强度和自动缩放策略。

如图4所示，步骤S1的具体流程为：

S11、对于每一个新的云用户C_i，如果则在集合C中增加用户C_i，并在信任值列表T_list中添加用户C_i对应的信任值T_i；

其中C为云用户集合，C＝(C₁,C₂,C₃,…,C_n)，C_n为云用户，T_list为云用户集合C相应的信任值列表，T_list＝(T₁,T₂,。。。T_n)，T_n为云用户C_n的信任值，T_i＝T(init)，T(init)为用户信任初始值；

S12、监测云服务器自动扩容状态，若当前的云服务器处于扩容状态，进入步骤S13，否则进入步骤S16；

S13、遍历当前云服务器上的所有流量请求，对所有的云用户统计当前服务请求量M，并建立集合<C,M>＝{(C₁,M₁),(C₂,M₂),…,(C_n,M_n)}；

S14、对集合<C,M>中所有的云用户进行服务请求数目排序；

S15、等待云自动服务器扩容完成，并进入云自动扩容缩放过程；

S16、在缩放完成后，遍历集合C中所有的云用户缩放期间的服务请求，对所有的云用户统计当前服务请求量M’，并建立集合<C’,M’>＝{(C’₁,M’₁),(C’₂,M’₂),…,(C’_n,M’_n)}；

S17、当云用户C_j缩放期间的服务请求量M-M’>K时，进入步骤S18，否则进入步骤S19；

K为扩容和缩放阶段可允许的请求量差值；

S18、令C_j对应的信任值T_j减少一个单位，进入步骤S110；

S19、保持C_j对应的信任值T_j不变，进入步骤S110；

S110、在信任值列表T_list中更新云用户C_j的信任值T_j，遍历当前云用户的信任值列表<C,T_list>；

S111、当云用户C_k当前的信任值T_k<T(mid)时，进入步骤S112，否则进入步骤S113；

T(mid)为中间信任阈值；

S112、用户C_k属于可疑用户集合C(suspicious)；

S113、当云用户C_k当前的信任值T_k<T(min)时，进入步骤S114，否则进入步骤S115；

T(min)为最小信任阈值；

S114、用户C_k属于恶意用户集合C(malicious)；

S115、用户C_k属于正常用户集合C(normal)。

S2、通过云用户新到的服务请求的状态，利用攻击对抗模块调整云服务器的回复数据包的延迟，降低攻击者正确检测当前自动扩容状态的概率。

正如Yo-Yo攻击模型原理描述的那样，攻击者通过发送探测数据包到云服务器，获取探测包的RTT值来估计自动扩容机制的当前状态。通过获取云服务器对探测包的长短响应时间的信息，攻击者可以确定何时在启动和停止Yo-Yo攻击。根据Shannon的完美保密原则，如果客户端与云服务器之间的RTT分布相同，则攻击者从探测包中获得的信息接近零(即，观察到的响应时间一致)。遵循这一原则，本专利制定了基于响应延迟Yo-Yo攻击对策，延迟的引入将显着降低分析收集的攻击相关信息的准确性，从而干扰攻击者的探测技术。

为了控制每条服务请求的响应时间，本发明部署了一个基于响应延迟的攻击对抗模块，用于调整来自云服务器的回复数据包的延迟。首先，我们选择一个云用户作为基准用户，其具有所有云用户中请求响应时间RTT的最大样本均值。本发明假设样本均值是正态分布的，基准用户的样本均值表示为μ_M，第i个云用户的样本平均值是μ_i。然后本发明引入延迟来将第i个云用户的RTT样本平均值移动到接近基准云用户的RTT样本平均值μ_M＝μ_i。由于每个云用户现在具有相同的响应时间平均值，因此攻击者正确检测当前自动扩容状态将显著降低。

但是，这种基于延迟的方法会在正常的服务请求流中引入相当大的延迟，这会显著影响用户的服务质量。为了解决这个问题，本专利引入了增强的方法。为了平衡服务质量和RTT之间的权衡，本发明使用k-means算法将云计算中用户分为k个群。一个群中用户的请求响应具有相近的时间延迟。通过使用k均值聚类，本发明是将云计算中的n个云用户划分为k个聚类Clusters＝(S₁,S₂,S₃,…,S_k)(k<＝n)。聚类的距离采用云用户的信任值作为基准，然后本发明为每个聚类选择一个特征向量，并将该集群内的所有用户整形为具有该特征向量。在本发明中，选择<最大响应时间均值，最大响应时间方差>作为该聚类的特征向量。因此，对于第i个集群，我们操纵所有云用户的请求响应延迟具有N(μ_i,σ_i)的分布。

在基于k-means的方法中，来自不同云用户的服务请求按照用户的信任值被归类成不同的集群，每个集群内的请求响应时间具有相似的分布。因此，基于k-means聚类的方法，对信任值较高的用户请求引入的网络延迟可以显着减少。

当攻击防御模块收到用户请求时，防御模块首先检查是否来自于恶意用户的请求。如果是，它将被直接删除。否则，防御模块将根据其用户的信任值将其归类为不同的集群中。最后，添加δa的响应延迟。防御模块不会处理正常请求。之后，针对此请求生成响应数据包发送回生成它的用户。

如图5所示，步骤S2的具体流程为：

S21、当云用户C_j∈C(malicious)时，进入步骤S22，否则进入步骤S23；

S22、丢弃云用户C_j新到的服务请求，结束本方法；

S23、当C_j∈C(suspicious)时，进入步骤S24，否则进入步骤S27。

S24、根据云用户C_j的信任值T_j计算其到k个聚类Clusters＝(S₁,S₂,S₃,…,S_k)的距离，k<＝n，并将云用户C_j归类到距离最小的聚类S_j中；

S25、更新S_j聚类的响应时间的N(μ_j,σ_j)(正态)分布；

S26、计算云用户C_j的此服务请求需要修改的响应时延；

响应时延的计算公式为：

δ_a＝μ_i-δ_e

上式中，δ_a为响应延时，μ_i为第i个云用户的样本平均值，δ_e为服务请求中通过用时间戳标记的当前经历的RTT时间。

S27、根据响应时延得到云用户C_j的此服务请求生成相应的回复数据包和总的RTT值，干扰攻击者。

该发明技术可以部署在支持自动扩容服务的云计算网络中，以实现安全的云服务资源的自我补充和减少，防止Yo-Yo攻击对云系统性能造成太大的影响。自动扩容机制提供的弹性服务越来越受云平台所需求，而针扩容机制的Yo-Yo攻击将持续成为云计算发展的制约。因此，随着云计算的发展，值得考虑此类的影响，并采用相应的防御措施。该系统可在通用的云服务器上运行，并且任何云平台可随时、直接进行控制功能编程。因此，该系统不局限于个别云服务的提供厂商才能够编程和定义。

不仅如此，自动弹性伸缩(auto-scaling)几乎适合所有集群式部署的网站或者APP，本发明同样适用于这些集群式的部署的网站中类似的Yo-Yo攻击。

云计算提供商运营商可以将本专利所提出的针对自动扩容服务的Yo-Yo攻击防御机制部署在云服务器上，然后云服务器可以通过调度自身带有的集中控制条件收集全网信息，获取网络中所有云用户的服务请求情况，以及当前服务器资源消耗(CPU、存储)以及自动扩容配置参数等信息。通过这些信息该云服务器就可以使用本专利提出的方法进行Yo-Yo攻击的检测和防御。

当有云服务请求到来时，云服务器可以根据本专利技术提供的攻击检测信息，对此请求进行预处理。恶意的攻击请求在最短的时间被服务器丢弃，不会浪费过多的网络资源。然后，对于可疑的、暂未对云计算网络造成影响的服务请求，通过延迟处理的方法，以至于不会造成太高的误操作。同时，云服务器还能采用本专利，识别存在的Yo-Yo攻击用户，并反馈给云提供商进行更细致的处理。

Claims (4)

1.一种针对云计算自动扩容Yo-Yo攻击的对抗方法，其特征在于，包括以下步骤：

S1、检测模块维护所有云用户的信任值列表，并收集自动扩容的统计信息更新信任值列表，通过攻击检测模块根据信任值标记云服务请求的状态；

S2、通过云用户新到的服务请求的状态，利用攻击对抗模块调整云服务器的回复数据包的延迟，降低攻击者正确检测当前自动扩容状态的概率。

2.根据权利要求1所述的针对云计算自动扩容Yo-Yo攻击的对抗方法，其特征在于，所述步骤S1的具体步骤为：

S11、对于每一个新的云用户C_i，如果则在集合C中增加用户C_i，并在信任值列表T_list中添加用户C_i对应的信任值T_i；

其中C为云用户集合，C＝(C₁,C₂,C₃,…,C_n)，C_n为云用户，T_list为云用户集合C相应的信任值列表，T_list＝(T₁,T₂,。。。T_n)，T_n为云用户C_n的信任值，T_i＝T(init)，T(init)为用户信任初始值；

S12、监测云服务器自动扩容状态，若当前的云服务器处于扩容状态，进入步骤S13，否则进入步骤S16；

S13、遍历当前云服务器上的所有流量请求，对所有的云用户统计当前服务请求量M，并建立集合<C,M>＝{(C₁,M₁),(C₂,M₂),…,(C_n,M_n)}；

S14、对集合<C,M>中所有的云用户进行服务请求数目排序；

S15、等待云自动服务器扩容完成，并进入云自动扩容缩放过程；

S16、在缩放完成后，遍历集合C中所有的云用户缩放期间的服务请求，对所有的云用户统计当前服务请求量M’，并建立集合<C’,M’>＝{(C’₁,M’₁),(C’₂,M’₂),…,(C’_n,M’_n)}；

S17、当云用户C_j缩放期间的服务请求量M-M’>K时，进入步骤S18，否则进入步骤S19；

K为扩容和缩放阶段可允许的请求量差值；

S18、令C_j对应的信任值T_j减少一个单位，进入步骤S110；

S19、保持C_j对应的信任值T_j不变，进入步骤S110；

S110、在信任值列表T_list中更新云用户C_j的信任值T_j，遍历当前云用户的信任值列表<C,T_list>；

S111、当云用户C_k当前的信任值T_k<T(mid)时，进入步骤S112，否则进入步骤S113；

T(mid)为中间信任阈值；

S112、用户C_k属于可疑用户集合C(suspicious)；

S113、当云用户C_k当前的信任值T_k<T(min)时，进入步骤S114，否则进入步骤S115；

T(min)为最小信任阈值；

S114、用户C_k属于恶意用户集合C(malicious)；

S115、用户C_k属于正常用户集合C(normal)。

3.根据权利要求1所述的针对云计算自动扩容Yo-Yo攻击的对抗方法，其特征在于，所述步骤S2的具体步骤为：

S21、当云用户C_j∈C(malicious)时，进入步骤S22，否则进入步骤S23；

S22、丢弃云用户C_j新到的服务请求，结束本方法；

S23、当C_j∈C(suspicious)时，进入步骤S24，否则进入步骤S27。

S24、根据云用户C_j的信任值T_j计算其到k个聚类Clusters＝(S₁,S₂,S₃,…,S_k)的距离，k<＝n，并将云用户C_j归类到距离最小的聚类S_j中；

S25、更新S_j聚类的响应时间的N(μ_j,σ_j)分布；

S26、计算云用户C_j的此服务请求需要修改的响应时延；

S27、根据响应时延得到云用户C_j的此服务请求生成相应的回复数据包和总的RTT值，干扰攻击者。

4.根据权利要求3所述的针对云计算自动扩容Yo-Yo攻击的对抗方法，其特征在于，所述步骤S26中响应时延的计算公式为：

δ_a＝μ_i-δ_e

上式中，δ_a为响应时延，μ_i为第i个云用户的样本平均值，δ_e为服务请求中通过用时间戳标记的当前经历的RTT时间。