CN112199668B

CN112199668B - 一种检测容器中应用层消耗CPU的DoS攻击的方法和装置

Info

Publication number: CN112199668B
Application number: CN202010905295.2A
Authority: CN
Inventors: 詹孟奇; 李杨; 范雨琳; 杨慧然; 杨兴华
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2020-09-01
Filing date: 2020-09-01
Publication date: 2024-03-01
Anticipated expiration: 2040-09-01
Also published as: CN112199668A

Abstract

本发明涉及一种检测容器中应用层消耗CPU的DoS攻击的方法和装置。该方法的步骤包括：追踪容器中的UTS namespace的名称、系统调用、以及系统调用对应的进程ID和线程ID；监控请求消耗的CPU时间；将请求消耗的CPU时间与阈值进行比较以判断请求是否为攻击请求。本发明通过监控请求消耗的CPU时间来检测容器中的应用层消耗CPU的DoS攻击，提出了追踪容器中系统调用等相关信息的方法，对容器没有侵入性；通过将请求的生命周期与系统调用相关联来监控请求消耗的CPU时间，不依赖于特定的编程语言和源代码；采用基于Chebyshev不等式设置检测阈值的方法设置合适的阈值，从而降低假阳性率和假阴性率。

Description

一种检测容器中应用层消耗CPU的DoS攻击的方法和装置

技术领域

本发明涉及一种检测容器中应用层消耗CPU的DoS攻击的方法和装置，属于计算机网络安全技术领域。

背景技术

拒绝服务(DoS)攻击是一类旨在降低目标主机服务可用性的攻击，其消耗目标服务的可用资源(如网络带宽、CPU)，导致服务变慢甚至中断。发起DoS攻击的经典方法是向目标应用程序发送大量请求，随着基础设施的改善(如网络带宽的增加)以及基于网络层的防御方法的部署，攻击者已较难采用直接发送的大量请求的方式来发动DoS攻击。近年来，DoS攻击越来越多地利用应用层程序中算法或实现方法的漏洞。攻击使用针对特定应用设计的恶意载荷来攻击目标，而不是依赖于发送大量请求。在类应用层DoS攻击中，几个精心设计的请求即可能消耗大量服务器资源，尤其是CPU资源，这与传统的DoS攻击有本质区别。针对正则表达式的DoS攻击(ReDoS)是一个应用层消耗CPU的例子[Yuju Shen,et al."Rescue:Crafting regular expression dos attacks."Proceedings of the 33rd ACM/IEEEInternational Conference on Automated Software Engineering.2018.]。ReDoS通过利用正则表达式中的算法复杂性来制造仅包含少量字符的恶意载荷，即可导致服务被占用几分钟甚至几个小时。这类DoS攻击的目标是应用层，在网络层缺乏可识别的模式，因此传统的网络层防御机制通常无法检测到这类应用层DoS攻击。

现有的探测检测应用层消耗CPU的DoS攻击的方法有一定的局限性。[Wei Meng,etal."Rampart:protecting web applications from CPU-exhaustion denial-of-serviceattacks."27th USENIX Security Symposium.2018.]只能检测针对由PHP语言编写的Web服务器的攻击。[Henri Maxime Demoulin,et al."Detecting asymmetric application-layer denial-of-service attacks in-flight with Finelame."2019USENIX AnnualTechnical Conference.2019.]需要对程序的源代码进行注释。此外，由于容器提供了一定的隔离性且比虚拟机轻量快速，目前越来越多的服务端程序部署于容器中。因此，检测应用层消耗CPU的DoS攻击的方法应当支持容器，并不应对容器具有侵入性，以避免影响容器的隔离性。[Mohamed Elsabagh,et al."Practical and accurate runtime applicationprotection against DoS attacks."International Symposium on Research inAttacks,Intrusions,and Defenses.Springer,2017.]支持检测针对容器的DoS攻击，但需要在容器内部启动进程。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种检测容器中应用层消耗CPU的DoS攻击的方法和装置。

本发明采用的技术方案如下：

一种检测容器中应用层消耗CPU的DoS攻击的方法，包括以下步骤：

追踪容器中的UTS namespace的名称、系统调用、以及系统调用对应的进程ID和线程ID；

利用系统调用监控请求消耗的CPU时间；

将请求消耗的CPU时间与阈值进行比较，以判断请求是否为攻击请求。

进一步地，基于Linux内核功能eBPF并采用BCC工具追踪容器中的UTS namespace的名称、系统调用、以及系统调用对应的进程ID和线程ID，包括：

使用BCC中的bpf_get_current_task()函数获取指向进程描述符task_struct的指针，在其中的nsproxy字段中获得PID；追踪进程在其PID命名空间中的PID，当发现PID为1的进程时，意味着该进程是新的PID命名空间中的第一个进程，追踪这个进程和其他共享相同PID命名空间的进程，从而将容器进程与其他进程区分开并只追踪容器；

使用BCC中的bpf_get_current_task()函数获取指向进程描述符task_struct的指针，在其中的nsproxy字段中获得UTS namespace的名称，追踪UTS namespace的名称作为容器ID；

使用BCC中的attach_kprobe()函数追踪系统调用，并获取该系统调用的返回值。

进一步地，所述利用系统调用监控请求消耗的CPU时间，包括：将请求的生命周期与系统调用相关联，通过特定的系统调用表示服务器开始/结束处理一个请求；当追踪到表示开始处理请求的系统调用时，开始监控该请求对应的进程消耗的CPU时间；当追踪到表示停止处理请求的系统调用时，停止监控该请求对应的进程消耗的CPU时间。

进一步地，当监控到一个请求消耗的CPU时间大于阈值后，将该请求报告为攻击请求。

进一步地，根据良性请求消耗的CPU时间设定所述阈值。

进一步地，采用以下步骤设置所述阈值：

设t_max为训练集中的请求消耗的最大CPU时间，μ和σ是训练集中CPU时间的平均值和标准差；

基于以下不等式估计CPU时间t与平均值μ之间的偏差的可能性，CPU时间t与均值μ偏离k个标准差的概率P不大于

之后，将t_max与μ+kσ相比较，如果t_max大于μ+kσ，将阈值τ设置为t_max，反之将阈值设置为μ+kσ)。

一种采用上述方法的检测容器中应用层消耗CPU的DoS攻击的装置，包括：

容器追踪模块，用于追踪容器中的UTS namespace的名称，系统调用，以及系统调用对应的进程ID和线程ID；

CPU时间监控模块，用于利用系统调用监控请求消耗的CPU时间；

攻击检测模块，用于将请求消耗的CPU时间与阈值进行比较，以判断请求是否为攻击请求。

与现有技术相比，本发明的积极效果为：

1、提出了一种通过监控请求消耗的CPU时间来检测容器中的应用层消耗CPU的DoS攻击的方法。

2、提出了一种追踪容器中系统调用等相关信息的方法。与现有方法相比，该追踪方法对容器没有侵入性。

3、提出了通过将请求的生命周期与系统调用相关联来监控请求消耗的CPU时间。与现有方法相比，本发明不依赖于特定的编程语言和源代码。

4、提出了基于Chebyshev不等式设置检测阈值的方法。该方法可以设置合适的阈值，从而降低假阳性率和假阴性率。

附图说明

图1是本发明的方法的流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步详细说明。

本发明针对发动DoS攻击的HTTP(S)请求，实时监控并追踪容器中的UTSnamespace的名称(即UTS namespace name)，系统调用(包括系统调用的参数和返回值)，以及系统调用对应的进程ID(PID)和线程ID(TID)。通过特定的系统调用表示服务器开始/结束处理一个请求。当追踪到表示开始处理请求的系统调用时，开始监控该请求对应的进程消耗的CPU时间。当追踪到表示停止处理请求的系统调用时，停止监控该请求对应的进程消耗的CPU时间。在部署该检测方法后，首先收集良性请求消耗的CPU时间以设定阈值。设定阈值后，可用于检测恶意请求。具体而言，当监控到一个请求消耗的CPU时间大于阈值后，将该请求报告为攻击请求。

本发明提出的检测容器中应用层消耗CPU的DoS攻击的方法整体架构如图1所示。包括容器追踪模块、CPU时间监控模块，攻击检测模块。

1、容器追踪模块

容器追踪模块追踪容器中的UTS namespace的名称，系统调用(包括系统调用的参数和返回值)，以及系统调用对应的进程ID(PID)和线程ID(TID)。容器追踪模块基于Linux内核功能eBPF(extended Berkeley Packet Filter)实现。eBPF允许用户定义的字节码(称为eBPF程序)动态地附加到内核和用户空间事件，而无需任何内核修改。BCC是一种开发eBPF程序的工具，允许用户使用python和C代码编写eBPF程序，并提供了一系列接口和函数。本发明基于eBPF采用BCC实现。容器追踪模块不侵入容器仅在主机中运行。

容器本质上是运行在主机上的一组进程。要追踪容器进程，首先需要将容器进程和主机上其他进程进行区分。由于容器的命名空间与主机的命名空间不同，容器启动时其第一个进程PID为1，因此容器追踪模块追踪进程在其PID命名空间中的PID，当发现PID为1的进程时，意味着该进程是新的PID命名空间中的第一个进程。容器追踪模块将会追踪这个进程和其他共享相同PID命名空间的进程，从而将容器进程与其他进程区分开并只追踪容器。具体而言，使用BCC中的bpf_get_current_task()函数获取指向进程描述符task_struct的指针，可以在其中的nsproxy字段中获得PID。

由于可能有多个容器在主机运行，需要唯一的标识各个容器。由于Linux内核中并没有容器ID，容器运行时(例如Docker)通常将UTS namespace的名称设置为容器ID。因此容器追踪模块追踪UTS namespace的名称作为容器ID。具体而言，使用BCC中的bpf_get_current_task()函数获取指向进程描述符task_struct的指针，可以在其中的nsproxy字段中获得UTS namespace的名称。

对于容器中的系统调用，使用BCC中的attach_kprobe()函数附加到想要追踪的系统调用即可实现追踪。同时，使用BCC中的attach_kretprobe()函数附加到想要追踪的系统调用，以获取该系统调用的返回值。

2、CPU时间监控模块

CPU时间监控模块监控请求消耗的CPU时间。本发明将请求的生命周期与系统调用相关联，通过特定的系统调用表示服务器开始/结束处理一个请求。当追踪到表示开始处理请求的系统调用时，开始监控该请求对应的进程消耗的CPU时间。当追踪到表示停止处理请求的系统调用时，停止监控该请求对应的进程消耗的CPU时间。由于系统调用与编程语言无关，因此本发明可以适用于任意编程语言编写的程序。本发明以最常见的HTTP(S)请求为例，分析与HTTP(S)相关的系统调用。HTTP作为应用层协议，其本身不与内核交互(不调用系统调用)，而当数据包通过传输层时，程序将与内核交互。HTTP通常在TCP/IP连接上运行。TCP作为传输层协议，其产生的系统调用可以反映HTTP请求的连接状态。

TCP连接最具代表性的“三次握手”阶段是由客户端上的connect系统调用发起的。accept系统调用由服务器调用，以接受套接字上的连接。如果连接成功，accept返回一个非负整数，该整数是所接受套接字的描述符。服务端处理请求后，close系统调用将套接字标记为closed(套接字描述符作为close的参数)。总之，服务器的应用程序层在accept和close系统调用之间处理请求，因此，本发明监控每个请求对应的进程在accept和close系统调用之间的CPU时间，以检测应用层消耗CPU的DoS攻击。

由于容器被命名空间所隔离，容器中进程的PID和线程的TID仅作用于容器中，而CPU时间监控模块在主机层面运行，因此CPU时间监控模块首先将容器的PID/TID映射到主机中的PID/TID。具体而言，在容器追踪模块追踪到accept系统调用时，CPU时间监控模块调用BCC中的bpf_get_current_pid_tgid()函数，以获取accept系统调用在主机层面的对应的PID/TID，从而将容器中PID/TID映射到主机中的PID/TID。

由于线程是操作系统可以执行调度的最小单位且线程所属的进程的PID是唯一的，一个线程在某个时刻只能处理一个请求，因此CPU时间监控模块使用主机中的PID/TID唯一表示某个时刻正在被处理的请求。当容器追踪模块追踪到accept系统调用时，CPU时间监控模块开始记录该请求消耗的CPU时间。具体而言，CPU时间监控模块追踪内核函数finish_task_switch()。该内核函数在CPU上下文切换时被调用。当追踪到finish_task_switch()时，通过BCC中的bpf_get_current_pid_tgid()函数获得当前的PID/TID，通过BCC中的bpf_ktime_get_ns()获得时间戳，从而记录进程在CPU上的时间戳，得到处理请求消耗的CPU时间。当容器追踪模块追踪到close系统调用时，CPU时间监控模块停止记录CPU时间。

3、攻击检测模块

攻击检测模块检测请求是否攻击请求。由于CPU时间监控模块的输出是请求消耗的CPU时间，因此攻击检测模块将此CPU时间与阈值τ进行比较以得到结果，该结果被转换为一个二进制变量，其中0表示无异常，1表示攻击。阈值τ的选择很重要，过低的阈值会导致大量的误报，过高的阈值会导致大量的漏报。

对于在应用层消耗CPU的DoS攻击，攻击者为了达到拒绝服务的目的，使用的恶意请求应该是破坏性较大的(即恶意请求消耗的CPU时间明显多于合法请求)。否则，攻击者无法达到拒绝服务的目的。因此，较高的阈值是合适的，因为较高的阈值可以降低假阳性率，而不引起假阴性。我们采用以下方法设置阈值。

设t_max为训练集中的请求消耗的最大CPU时间(即已观测到的最耗时的合法请求)。μ和σ是训练集中CPU时间的平均值和标准差。在部署中，服务器处理请求所消耗的CPU时间的分布可能是未知的。因此，本发明基于Chebyshev不等式(等式1)来估计一个CPU时间t与平均值μ之间的偏差的可能性，而无需假设服务器处理请求所消耗的CPU时间的分布。具体而言，CPU时间t与均值μ偏离k个标准差的概率不大于之后，将t_max与μ+kσ相比较，如果t_max大于μ+kσ，将阈值τ设置为t_max，反之将阈值设置为μ+kσ(等式2)。k的取值可以根据实际情况调整。

τ＝max(t_max,μ+kσ) (2)

为了验证本发明的方法并将其与以前的方法进行比较，构建了三个不同的容器作为实验的服务端。使用Docker作为容器运行时。WordPress 3.9.0被用于构建容器一。WordPress是用PHP编写的最流行的内容管理系统之一。容器一中Apache作为WordPress的默认web服务器。Zxcvbn被用于构建容器二。Zxcvbn是由Dropbox开发的密码强度估算器。在容器二中，使用Node.js作为容器二的web服务器，并通过npm导入zxcvbn模块在该容器中构建web，以验证输入的密码的强度。一个python编写的XML解析器被用于构建容器三。这个容器接收上传的XML文件并解析XML文件。Flask被用作容器三的web服务器。

对每个容器实施了不同的应用层消耗CPU的DoS攻击。对于容器一，Wordpress3.9.0中存在一个漏洞(CVE-2014-9034)。造成这个漏洞的原因是Wordpress3.9.0在计算密码哈希值时没有限制密码长度，使得远程攻击者可以使用长密码消耗CPU资源，导致拒绝服务。对于容器二，zxcvbn有一个算法复杂性漏洞，该漏洞由[N.Hauke and D.Renardy,“Denial of service with a fistful of packets:Exploiting algorithmiccomplexity vulnerabilities,”black Hat USA 2019]披露。在计算密码强度时，zxcvbn需要识别密码中的模糊字符。但是，一些特殊字符需要循环多次以遍历所有可能的情况。因此，由精心构造的特殊字符组成的长密码会消耗zxcvbn大量的CPU时间，从而导致严重的拒绝服务。对于容器三，在xml解析过程中有一种典型的消耗CPU的拒绝服务攻击“billionlaughs”[“Billion laughs attack”https://cwe.mitre.org/data/definitions/776.html]。这种攻击基于包含递归数据定义层的恶意XML文档。这种恶意的XML文档会导致解析过程中的指数级资源消耗，从而导致拒绝服务。

每个容器上的实验运行时间为300秒，分为3个阶段。第一个阶段持续200秒，只有合法的请求被发送到容器。在第一阶段，本发明跟踪容器并监控CPU时间以收集数据。攻击检测模块根据收集到的数据设置检测的阈值。第二阶段从200秒开始，持续60秒。在此阶段，发送到容器的数据包含合法请求和恶意请求，本发明执行攻击检测。在最后40秒的第三阶段，攻击停止，只有合法的请求被发送到容器。在实验中，调整了攻击的强度，使攻击不会导致服务器瘫痪，仅降低了向合法用户提供的服务质量。对于阈值，设置了k＝4。在实验中，计算了检测的真阳率(TPR，等式3)，真阴率(TNR，等式4)，F₁值(等式5)。

在每个实验中，首先测量了仅有合法请求时服务器的延迟，将此延迟作为基准性能。容器一、容器二、容器三的基准性能分别为38.5ms,13.1ms,4.5ms.对于每个容器，分别三组攻击，每组攻击采用强度不同的恶意请求，服务器对恶意请求的延迟相比于基准性能的比值表示恶意请求的强度。对于容器一，分别采取了强度为26，130，259的恶意请求实施攻击。对于容器二，分别采取了强度为22，49，85的恶意请求实施攻击。对于容器三，分别采取了强度为5，27，44的恶意请求实施攻击。

对于容器一，检测三组攻击真阳率TPR均为100％。真阴率TNR分别为99.993％,99.995％,99.998％.F₁值分别为99.82％,99.78％,99.91％.对于容器二，检测三组攻击真阳率TPR均为100％。真阴率TNR分别为99.994％,99.996％,99.998％.F₁值分别为99.58％,99.71％,99.82％.对于容器三，检测三组攻击真阳率TPR均为100％。真阴率TNR分别为99.992％,99.996％,99.997％.F₁值分别为99.67％,99.74％,99.79％.实验结果表明，本发明能准确的检测出容器中应用层消耗CPU的DoS攻击。更重要的是，本发明的方法不依赖于特定的编程语言，也无需了解受保护的服务端程序的源代码。此外，本发明的方法在对容器进行追踪时仅在主机层面运行，对容器没有侵入性。

基于同一发明构思，本发明的另一个实施例提供一种电子装置(计算机、服务器、智能手机等)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。

基于同一发明构思，本发明的另一个实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。

以上公开的本发明的具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，本领域的普通技术人员可以理解，在不脱离本发明的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例和附图所公开的内容，本发明的保护范围以权利要求书界定的范围为准。

Claims

1.一种检测容器中应用层消耗CPU的DoS攻击的方法，其特征在于，包括以下步骤：

利用系统调用监控请求消耗的CPU时间；

将请求消耗的CPU时间与阈值进行比较，以判断请求是否为攻击请求；

所述利用系统调用监控请求消耗的CPU时间，包括：将请求的生命周期与系统调用相关联，通过特定的系统调用表示服务器开始/结束处理一个请求；当追踪到表示开始处理请求的系统调用时，开始监控该请求对应的进程消耗的CPU时间；当追踪到表示停止处理请求的系统调用时，停止监控该请求对应的进程消耗的CPU时间；

基于Linux内核功能eBPF并采用BCC工具追踪容器中的UTS namespace的名称、系统调用、以及系统调用对应的进程ID和线程ID，包括：

2.根据权利要求1所述的方法，其特征在于，对容器进行追踪时仅在主机层面运行，对容器没有侵入性。

3.根据权利要求1所述的方法，其特征在于，当监控到一个请求消耗的CPU时间大于阈值后，将该请求报告为攻击请求。

4.根据权利要求1所述的方法，其特征在于，根据良性请求消耗的CPU时间设定所述阈值。

5.根据权利要求4所述的方法，其特征在于，采用以下步骤设置所述阈值：

之后，将t_max与μ+kσ相比较，如果t_max大于μ+kσ，将阈值τ设置为t_max，反之将阈值设置为μ+kσ。

6.一种采用权利要求1～5中任一权利要求所述方法的检测容器中应用层消耗CPU的DoS攻击的装置，其特征在于，包括：

7.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～5中任一权利要求所述方法的指令。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～5中任一权利要求所述的方法。