经济可持续拒绝攻击（EDoS）：云上战斗已打响

什么是EDoS？

经济可持续拒绝（Economic Denial of Sustainability，EDoS）攻击是针对云环境的网络安全威胁。EDoS攻击利用云的弹性，特别是自动扩展功能，夸大云用户的账单，直到账户破产或大规模退出服务。

EDoS攻击利用云的规模经济来破坏或中断支持应用程序、系统和企业网络的云服务和基础设施的可用性。它通常涉及秘密发送虚假请求的远程控制机器人。如果这些请求绕过安全控制，云服务会提供额外的资源并向云用户收费。

传统的事件响应策略无法应对EDoS威胁，原因如下：

EDoS流量使用IP欺骗，很难使用现有的网络分析技术检测到，除非攻击者使用已知的恶意 IP；

应用程序和最终用户最初不受EDoS攻击的影响。云资源会向上扩展以满足额外的流量（至少在预算耗尽之前是这样），因此应用程序性能指标不能用于检测攻击；

系统加固技术对EDoS无效，因为流量不会利用传统意义上的任何类型的漏洞；

即便检测到EDoS攻击，事件响应者也无法使用现有工具做出响应。他们必须建立与云成本管理系统的接口，以便能够禁用自动扩展机制。

DoS vs DDos vs EDoS

让我们来探讨一下更熟悉的“..oS”攻击和新出现的问题——EDoS之间的区别。

DoS

在拒绝服务（Denial of Service，简称DoS）攻击中，攻击者会发送虚假请求以阻止合法用户访问系统，使用服务器处理能力、内存和网络带宽等资源，并在某些情况下使目标系统崩溃。

广义上讲，DoS攻击有两种变体：“洪水”（flood）DoS攻击利用了这样一个事实：当传入请求过多时，服务器缓冲区无法处理数据包，从而导致服务降级或流量被拒绝。而“崩溃”（crash）DoS攻击则会构造破损的数据包或请求，利用目标系统中的漏洞，导致其崩溃或失败。

DDoS

分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是DoS攻击的演进版本。这种类型的攻击通常被攻击者用作烟幕，分散安全团队的精力和注意力，而在后台，攻击者会渗透组织的网络。

DDoS攻击多由大规模僵尸网络造成，这些僵尸网络由攻击者在数千甚至数百万计算系统上安装恶意软件创建而成。这些系统可能小到最终用户设备、物联网（IoT）设备或更大的实体（如服务器或任何其他互联网连接系统）。所有这些设备都被“聚集”到一个机器人网络中，由操作命令和控制（C&C）服务器的攻击者集中控制。

DDoS攻击针对互联网协议体系结构的特定特征。攻击者最常使用的一种技术就是IP欺骗，其中攻击者使用欺诈性的原始IP地址发送数据包，使流量看起来合法，从而使其难以检测、跟踪和阻止。

EDoS

EDoS攻击利用了云环境中的快速可扩展性和弹性，旨在使受害者的云帐户在经济上不可持续，最终导致账户破产或大规模退出服务。

攻击者主要针对基础设施即服务（IaaS）解决方案。EDoS攻击使用DDoS攻击方法的一种常见模式：利用云系统漏洞——例如旧软件版本、不安全的协议以及公开暴露的IP地址——来安装恶意软件。他们会接管设备或云资源，并让其按照自己的指示向目标系统或服务发送虚假流量包。这种额外的流量会导致云服务规模扩大，直到它在经济上变得不可持续。

为什么攻击者使用这种方法来破坏企业

EDoS攻击与早期的DDoS攻击一样，旨在破坏企业业务并造成经济损失。它本身对于攻击者来说没有直接的好处。对于个人网络犯罪分子来说，这些攻击可能是为了“展示武力”，也可能是攻击者对目标组织的个人报复行动；对于黑客主义者来说，这些攻击可能被用来破坏反对黑客主义者事业的组织；对于由民族国家赞助的大型犯罪集团来说，这些攻击可能是破坏目标人群经济活动的一种方式。

时至今日，DDoS已经发展成为一项价值数十亿美元的业务，DoS平台也已经作为服务提供，攻击者可以通过索要赎金和其他方式创收。可以预测，EDoS攻击将变得更加普遍，因此商业模式和犯罪生态系统也可能会围绕它们发展。

EDoS攻击防护建议

事实上，早在10多年前的研究中就曾描述过EDoS攻击的概念。EDoS防护的关键挑战在于检测攻击，因为对于传统的安全工具来说，它看起来与云系统中的常规扩展事件一样。一旦检测到攻击，运营商就可以禁用自动扩展机制，从而结束攻击。

目前，安全人员已经提出了几种理论框架来检测EDoS攻击。但是，这些方法仍存在缺陷，因此没有在广泛使用的安全工具中实施：

支持向量机（Support vector machines，简称SVM）和自组织图（self-organizing maps，简称SOM）——这些是成功检测EDoS攻击的机器学习（ML）模型。但是，它们相对较慢，因此无法在大规模攻击中处理实时数据。

全连接神经网络（Fully connected neural network，简称FCNN）——这种深度学习方法比机器学习算法性能更高，因为它可以使用多个神经层更有效地提取特征。然而，它们的准确性相对较低，因为EDoS是一个需要时间序列分析的持续过程，而FCNN 没有“记忆”能力（它是单独分析每个事件或数据包）。

循环神经网络（Recurrent neural network，简称RNN）和长短期记忆（long short-term memor，简称LSTM）——RNN在检测EDoS方面更成功，因为它可以分析一系列事件。当配备可以捕获最近事件的记忆，并在分析当前事件时将其考虑在内的LSTM单元时，它会更加准确。然而，当应用于实时数据时，RNN模型仍然效率低下。

好消息是，最近安全研究人员Vinh Quoc Ta和Minho Park又提出了一种新方法。他们提出了一个使用并行处理策略的框架，使得训练和预测阶段都比LSTM更快。该方法的工作原理如下：

利用LSTM“注意力”单元通过确定攻击流量序列中的一个单元与其他单元的相关程度来预测它。

利用广泛使用的Transformer Encoder-Decoder模型计算注意力分数。然而，EDoS检测模型仅使用一个编码器模块来并行计算输入。这极大地提高了性能，同时保留了早期LSTM模型的准确性。

考虑一个网络数据包与流量中其他数据包的相对分数，这有助于模型“记住”序列中先前单元的历史特征。

对多个特征使用一个分数来提高计算效率。换句话说，当模型分析一个数据包时，它使用所有相关数据包中的分数来减少处理时间。

能够使用无监督学习策略对0 day攻击输出进行分类。

模型的实时更新使其能够重新训练实时数据并微调参数，以适应攻击的变化。

研究人员在用于执行EDoS操作的真实洪水攻击中测试了该模型，发现它能够以足够的性能检测攻击和处理数据。

结语

云的弹性和灵活性降低了传统DDoS攻击的可能性。然而，攻击者可以用额外的流量轰炸系统，导致系统无限扩展，直到受害者承担不可持续的经济成本。

尽管使用传统安全工具难以检测EDoS攻击，但仍有替代方法可用于实现早期缓解。

需要理解的重要一点是，虽然威胁是真实存在的，但防御它的工具仍在缓慢开发中。本文的目的是帮助您了解最新的威胁形势，采取新的安全方法，甚至是开发您自己的实用方法来阻止EDoS攻击。