代昆玉，胡濱

云計(jì)算環(huán)境下的DDoS攻擊防御技術(shù)研究

代昆玉，胡濱

傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)在云計(jì)算環(huán)境下難以抵御DDoS攻擊。針對(duì)云計(jì)算網(wǎng)絡(luò)流量的行為特征，提出了一種云計(jì)算環(huán)境下的基于用戶身份認(rèn)證超載檢測(cè)和網(wǎng)絡(luò)流量負(fù)載平衡策略的DDoS攻擊檢測(cè)防御模型。該模型對(duì)訪問云計(jì)算數(shù)據(jù)中心的用戶進(jìn)行身份認(rèn)證，并通過對(duì)異常流量的分層處理來滿足云計(jì)算服務(wù)的數(shù)據(jù)傳輸效率與安全性要求。仿真實(shí)驗(yàn)結(jié)果表明，該模型可有效地檢測(cè)防御云計(jì)算環(huán)境下的DDoS攻擊行為。

云計(jì)算；DDoS攻擊防御；流量認(rèn)證；負(fù)載平衡

0 引言

云計(jì)算是一種基于互聯(lián)網(wǎng)的服務(wù)，它可使用戶不受時(shí)間和地點(diǎn)的限制進(jìn)入可配置的計(jì)算資源共享池（包括服務(wù)器、存儲(chǔ)、應(yīng)用軟件、服務(wù)、網(wǎng)絡(luò)等資源）按需實(shí)現(xiàn)對(duì)計(jì)算資源的在線訪問[1]。云計(jì)算作為新興技術(shù)和商業(yè)模式的混合體，由于具有超大規(guī)模、虛擬化、高可靠性、可擴(kuò)展性好、按需服務(wù)等優(yōu)點(diǎn)，近年來得到迅猛發(fā)展。

根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)分析合作協(xié)會(huì)的調(diào)查，互聯(lián)網(wǎng)上每周至少出現(xiàn)約 5000例 DDoS（分布式拒絕服務(wù)）攻擊事件[2]。DDoS 攻擊可以使云計(jì)算平臺(tái)癱瘓，導(dǎo)致其無法向云用戶提供正常服務(wù)，造成巨大的經(jīng)濟(jì)損失和社會(huì)影響[3]。在云計(jì)算環(huán)境下，DDoS攻擊虛擬服務(wù)器降低云計(jì)算服務(wù)的性能以達(dá)到網(wǎng)絡(luò)攻擊目的[4]。由于云計(jì)算服務(wù)的數(shù)據(jù)中心 (Data Centre, DC) 存儲(chǔ)著大量的核心數(shù)據(jù)，因此其成為 DDoS攻擊的核心目標(biāo)。

基于傳統(tǒng)互聯(lián)網(wǎng)模式的DDoS攻擊防御方法并不適用于云計(jì)算環(huán)境。針對(duì)云計(jì)算的特點(diǎn)，相關(guān)學(xué)者對(duì)云計(jì)算環(huán)境下的DDoS攻擊的行為特征進(jìn)行了初步研究，并提出相應(yīng)的檢測(cè)方法和防范技術(shù)。Alireza等人對(duì)DDoS的攻擊原理及其在云計(jì)算環(huán)境下的行為特征進(jìn)行了研究[5]。Lee等人提出了一種基于Hadoop的DDoS攻擊檢測(cè)方法，該方法在一定條件下可從大規(guī)模的流量中檢測(cè)出DDoS攻擊行為[6]。針對(duì)云計(jì)算環(huán)境下的DDoS攻擊的行為特征，本文提出一種基于用戶身份認(rèn)證超載檢測(cè)和網(wǎng)絡(luò)流量負(fù)載平衡策略檢測(cè)機(jī)制的云計(jì)算環(huán)境下DDoS攻擊檢測(cè)防御方法。仿真實(shí)驗(yàn)結(jié)果表明，通過在不同層次的身份驗(yàn)證，該方法可有效檢測(cè)并防御云計(jì)算環(huán)境中出現(xiàn)的DDoS攻擊行為，保護(hù)云計(jì)算服務(wù)免受DDoS攻擊。

1 DDoS攻擊檢測(cè)防御模型

本文提出的云計(jì)算環(huán)境下的DDoS攻擊防御模型包括5個(gè)部分，分別是網(wǎng)絡(luò)流量接收模塊（Flow Receive Module, FRM）、網(wǎng)絡(luò)防火墻、認(rèn)證模塊（Authenticity Module, ATM）、限制請(qǐng)求管理模塊（Restrain Request Manager, RRM）和負(fù)載均衡模塊（Load Balance Module, LBM），如圖1所示：

圖1 DDoS攻擊檢測(cè)防御模型

上圖中，用戶客戶端發(fā)起的訪問請(qǐng)求數(shù)據(jù)包被送入檢測(cè)系統(tǒng)中的FRM模塊。FRM檢測(cè)傳入請(qǐng)求的數(shù)據(jù)流量速率，對(duì)接收的數(shù)據(jù)流量進(jìn)行分類。該模塊同時(shí)起到識(shí)別早期數(shù)據(jù)流量狀態(tài)的預(yù)警功能作用。正常的數(shù)據(jù)流量被識(shí)別后送入后繼的網(wǎng)絡(luò)防火墻。通過網(wǎng)絡(luò)防火墻的數(shù)據(jù)包送進(jìn)入ATM模塊，ATM模塊接收到客服端的請(qǐng)求數(shù)據(jù)包后，進(jìn)一步對(duì)輸入的客戶端數(shù)據(jù)包類型進(jìn)行識(shí)別和分類處理。

RRM模塊用于驗(yàn)證傳入的客戶端請(qǐng)求類型，只有在有新注冊(cè)請(qǐng)求時(shí)被激活。使用不同用戶分類的 RRM，可優(yōu)化客戶端數(shù)據(jù)包類型的識(shí)別和分類速率，在適當(dāng)?shù)臅r(shí)間允許合法用戶的新請(qǐng)求。經(jīng)RRM處理后的數(shù)據(jù)進(jìn)一步到達(dá)LBM模塊。LBM的功能是檢測(cè)數(shù)據(jù)流量的過載，其在前面模塊中得到用戶的身份驗(yàn)證信息，可迅速、高效地處理客服端的各種請(qǐng)求。LBM同時(shí)將檢測(cè)到的異常用戶信息反饋給系統(tǒng)中的網(wǎng)絡(luò)防火墻，過濾掉出現(xiàn)的異常用戶的非法請(qǐng)求，使系統(tǒng)的負(fù)載達(dá)到均衡。

2 DDoS攻擊檢測(cè)防御算法

2.1 網(wǎng)絡(luò)流量接收模塊

系統(tǒng)中的FRM模塊持續(xù)監(jiān)控傳入的客戶端訪問流量并預(yù)測(cè)訪問流量的變化趨勢(shì)，可用作該DDoS攻擊檢測(cè)系統(tǒng)的早期預(yù)警子系統(tǒng)。

為滿足合法用戶正常的訪問需求，該模塊依據(jù)流量過載檢測(cè)機(jī)制對(duì)網(wǎng)絡(luò)的異常流量實(shí)現(xiàn)預(yù)警檢測(cè)。若傳入被監(jiān)控網(wǎng)絡(luò)的請(qǐng)求流量超過系統(tǒng)預(yù)先設(shè)置的云計(jì)算服務(wù)網(wǎng)絡(luò)的帶寬閾值，則把用戶請(qǐng)求送入隊(duì)列中排隊(duì)等候。隊(duì)列限制可由云服務(wù)提供商（Cloud Service Provider，CSP）根據(jù)DC的流量現(xiàn)狀動(dòng)態(tài)配置。網(wǎng)絡(luò)流量接收模塊的算法如下：

算法1：網(wǎng)絡(luò)流量接收模塊算法

輸出：網(wǎng)絡(luò)流量狀況

1）For每一個(gè)時(shí)間間隔t；

2）計(jì)算輸入請(qǐng)求的流量RTin；

4）否則output (異常輸入流量)；

5）end for.

經(jīng)過FRM模塊處理后的數(shù)據(jù)流量，正常的輸入流量被識(shí)別并送入網(wǎng)絡(luò)防火墻，通過防火墻的數(shù)據(jù)流量送入 ATM模塊做下一步的處理。

2.2 認(rèn)證模塊算法

傳入ATM的網(wǎng)絡(luò)數(shù)據(jù)包可分為兩種類型：服務(wù)請(qǐng)求和訪問請(qǐng)求。為了能夠在ATM中動(dòng)態(tài)的識(shí)別各種請(qǐng)求，所傳入的請(qǐng)求類型需在Web服務(wù)器上進(jìn)行配置。如果請(qǐng)求類型是服務(wù)請(qǐng)求，ATM把該請(qǐng)求直接轉(zhuǎn)發(fā)到LBM。一旦訪問請(qǐng)求被驗(yàn)證或者服務(wù)請(qǐng)求被批準(zhǔn)，則該請(qǐng)求不會(huì)受到太大的干預(yù)或僅作定期監(jiān)測(cè)。使用連續(xù)監(jiān)測(cè)認(rèn)證請(qǐng)求替換請(qǐng)求流量處理可有效降低系統(tǒng)計(jì)算資源的消耗。

訪問請(qǐng)求用于對(duì)傳入的請(qǐng)求用戶進(jìn)行身份驗(yàn)證，其可進(jìn)一步分為兩類：已注冊(cè)請(qǐng)求、新注冊(cè)請(qǐng)求。新注冊(cè)請(qǐng)求轉(zhuǎn)發(fā)到RRM做進(jìn)一步處理。在給定時(shí)限閾值內(nèi)，若再次接收到來自相同源主機(jī)的已排隊(duì)請(qǐng)求，則該服務(wù)請(qǐng)求可歸為DDoS攻擊流量類型；若在給定時(shí)間t內(nèi)，相同源主機(jī)的已排隊(duì)請(qǐng)求次數(shù)超過閾值，則來自該源主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包將一律被視為異常流量并被網(wǎng)絡(luò)防火墻攔截。認(rèn)證模塊算法如下：算法2. 認(rèn)證模塊算法.輸入：通過FRM的請(qǐng)求輸出：認(rèn)證的請(qǐng)求類型

1）For每一個(gè)通過FRM的請(qǐng)求；

2）type = RecognizeTypeRe ()；

3）如果type=Racc；

4）如果type=Rnr，則送到RRM中處理；

5）否則, 如果type=Rre, 則IdentifyRe ()；

6）否則, 如果type=Rauth, 則送到LBM中處理；

7）end for.

其中函數(shù)RecognizeTypeRe ()用于識(shí)別輸入的請(qǐng)求是新請(qǐng)求還是已注冊(cè)請(qǐng)求，函數(shù)IdentifyRe ()用于對(duì)已注冊(cè)請(qǐng)求進(jìn)行進(jìn)一步認(rèn)證，Racc表示訪問請(qǐng)求，Rnr表示在CSP上的新的注冊(cè)請(qǐng)求，Rre表示進(jìn)入DC源的已注冊(cè)請(qǐng)求，Rauth表示到達(dá)LBM的認(rèn)證客戶端請(qǐng)求。

2.3 限制請(qǐng)求管理模塊

RRM是ATM功能的延伸，只有在有新注冊(cè)請(qǐng)求時(shí)被激活。

在用戶對(duì)DC的請(qǐng)求繁忙時(shí)，為避免出現(xiàn)后續(xù)注冊(cè)用戶的無限期等待、DC資源的死鎖等導(dǎo)致DC資源浪費(fèi)甚至崩潰，將用戶請(qǐng)求被分兩類：新用戶請(qǐng)求和合法老用戶請(qǐng)求，使用不同的隊(duì)列緩沖區(qū)存儲(chǔ)這兩類用戶的排隊(duì)請(qǐng)求。其中隊(duì)列Qnr存放新用戶注冊(cè)申請(qǐng)，隊(duì)列Qre存放已注冊(cè)的老用戶申請(qǐng)。僅當(dāng)網(wǎng)絡(luò)流量異常增大時(shí)，已注冊(cè)的老用戶申請(qǐng)才需進(jìn)入Qre隊(duì)列，且只需等待較短時(shí)間；其它情況下無需進(jìn)入該隊(duì)列，而是直接送入下一環(huán)節(jié)的LBM。

對(duì)于新用戶請(qǐng)求，根據(jù)從用戶請(qǐng)求的時(shí)間戳返回的IDc (客戶端ID)的初始響應(yīng)值來識(shí)別新用戶請(qǐng)求。使用隊(duì)列Qnr對(duì)新用戶請(qǐng)求進(jìn)行排隊(duì)處理，在系統(tǒng)超時(shí)后銷毀IDc的響應(yīng)請(qǐng)求，DC在規(guī)定時(shí)間內(nèi)未收到新用戶的IDc，則新注冊(cè)請(qǐng)求將被拒絕。在網(wǎng)絡(luò)數(shù)據(jù)流量異常增大時(shí)，合法老用戶對(duì)DC的新連接請(qǐng)求也需在隊(duì)列Qre中排隊(duì)等候。在未知用戶請(qǐng)求流量超載的網(wǎng)絡(luò)情況下，使用該RRM可有效緩解DC服務(wù)器的訪問壓力、有利于CSP維持DC網(wǎng)絡(luò)的穩(wěn)定性。其處理算法如下所示，其中IDse表示維持在DC端的會(huì)話ID：

算法 3.抑制請(qǐng)求模塊算法

輸入：請(qǐng)求類型，流量條件

輸出：在DC上正常的網(wǎng)絡(luò)性能請(qǐng)求排隊(duì)

1）For每一個(gè)請(qǐng)求；

2）如果流量條件=異常流量；

3）如果請(qǐng)求類型=Rnr, 則排隊(duì)Rnr產(chǎn)生新的IDc并且在Qnr觸發(fā)超時(shí)時(shí)間；

4）否則，在Qre用IDse排隊(duì)IDc；

5）否則，如果流量條件=正常流量并且請(qǐng)求類型=Rnr，則排隊(duì)Rnr產(chǎn)生新的IDc并且在Qnr觸發(fā)超時(shí)時(shí)間；

6）end for.

2.4 負(fù)載均衡模塊

LBM位于網(wǎng)絡(luò)服務(wù)請(qǐng)求過濾的最后一層，其用于識(shí)別訪問DC資源請(qǐng)求的過載類型、降低訪問流量以達(dá)到負(fù)載均衡。由于惡意和合法的輸入請(qǐng)求類型相似，故采用流量模式偏離作為特征來區(qū)分傳入請(qǐng)求的合法性。

進(jìn)入該模塊的流量可以根據(jù)IDc唯一確定，計(jì)算和更新。請(qǐng)求流量記錄有助于計(jì)算每個(gè)傳入IDc的流量率。這個(gè)流量率模式有助于鑒別進(jìn)入的請(qǐng)求者。額定的流量特征由 CSP根據(jù)網(wǎng)絡(luò)帶寬進(jìn)行配置，其根據(jù)每秒鐘每個(gè)請(qǐng)求者發(fā)出的請(qǐng)求進(jìn)行設(shè)置。因此，它檢測(cè)每個(gè)獨(dú)立的請(qǐng)求者的流量行為更加容易。流量率計(jì)算和流量行為的預(yù)測(cè)為從每個(gè)傳入請(qǐng)求者中區(qū)分過載請(qǐng)求鋪平了道路。LBM算法如下：

算法 4. 負(fù)載均衡模塊算法

輸入：已通過認(rèn)證模塊的請(qǐng)求，IDc

輸出：分類合法流量

1）For每一個(gè)進(jìn)入的請(qǐng)求；

2）如果其IDc在流量行為庫(kù)中，則更新流量率；

3）否則, 為其創(chuàng)建一個(gè)記錄；

4）如果IDc有一個(gè)異常的流量特征，則推遲IDc一定的時(shí)間；

5）且通過轉(zhuǎn)發(fā)IDc到防火墻來阻止該請(qǐng)求；

6）end for.

LBM模塊維護(hù)流量的行為庫(kù)如表1所示：

表1 流量行為庫(kù)

流量行為庫(kù)中包含了能夠唯一標(biāo)識(shí)請(qǐng)求者的客戶端 ID、流量率以及撤銷違反流量率訪問的會(huì)話密鑰。

當(dāng)請(qǐng)求者的實(shí)際流量率出現(xiàn)異?；虺^額定流量限制閾值，相應(yīng)的請(qǐng)求信息從流量行為庫(kù)中移出并被網(wǎng)絡(luò)防火墻攔截，直到會(huì)話過期。這種方法可提高異常流量的檢測(cè)率，因?yàn)樗O(jiān)測(cè)的流量率揭示了請(qǐng)求者的直接行為，并且當(dāng)請(qǐng)求者企圖過載DC時(shí)，流量行為庫(kù)阻止并進(jìn)一步的封鎖相應(yīng)請(qǐng)求，同時(shí)報(bào)告防火墻來拒絕請(qǐng)求者使用相應(yīng)會(huì)話密鑰開始進(jìn)一步的服務(wù)直到會(huì)話過期。在會(huì)話結(jié)束后，請(qǐng)求者被送入訪問DC資源的正常流量行為特征的隊(duì)列。如果請(qǐng)求者再次犯錯(cuò)，它們將被死鎖；否則它們被認(rèn)為是合法的請(qǐng)求并轉(zhuǎn)發(fā)到實(shí)際的負(fù)載平衡器，并盡快對(duì)其響應(yīng)。在該模塊中，保存最優(yōu)會(huì)話時(shí)間可提高系統(tǒng)性能以及檢測(cè)效率。

到達(dá)LBM模塊的網(wǎng)絡(luò)請(qǐng)求被徹底監(jiān)控，LBM根據(jù)它們的流量模式發(fā)現(xiàn)超載的原因和威脅，并通過網(wǎng)絡(luò)防火墻進(jìn)行攔截。一旦流量通過 LBM，那么請(qǐng)求流量被視為完全合法的流量。通過這種策略可在不破壞網(wǎng)絡(luò)資源的情況下應(yīng)對(duì)超載威脅實(shí)現(xiàn)對(duì)DC資源的保護(hù)。

3 仿真實(shí)驗(yàn)及結(jié)果分析

為了驗(yàn)證在云計(jì)算環(huán)境下該模型對(duì) DDoS攻擊檢測(cè)防御的有效性，實(shí)驗(yàn)選取了一個(gè)典型的云計(jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并使用OPNET[7]在云計(jì)算環(huán)境對(duì)DDoS攻擊檢測(cè)進(jìn)行仿真實(shí)驗(yàn)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示：

圖2 實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境結(jié)構(gòu)圖

圖中云計(jì)算服務(wù)器的DC請(qǐng)求者包括三個(gè)子網(wǎng)，每個(gè)子網(wǎng)分別包含100個(gè)工作站、100個(gè)DDoS攻擊者和200個(gè)合法用戶，分別模擬云計(jì)算環(huán)境中的DDoS攻擊以及合法的用戶訪問請(qǐng)求。

實(shí)驗(yàn)選用5種常見的DDoS攻擊類型SYN-FLOOD、ICMP-FLOOD、UDP-FLOOD，TNF2K、SMURF進(jìn)行測(cè)試，并使用檢測(cè)正確率、誤判率和遺漏率作為檢測(cè)模型性能有效性的評(píng)價(jià)指標(biāo)。為避免攻擊數(shù)據(jù)集合大小不對(duì)稱造成實(shí)驗(yàn)偏差，采樣10次交叉驗(yàn)證法并以10次實(shí)驗(yàn)結(jié)果的平均值作為最終檢測(cè)結(jié)果，實(shí)驗(yàn)結(jié)果如表2所示：

表2 不同類型的DDoS攻擊檢測(cè)結(jié)果

表 2表明該檢測(cè)系統(tǒng)在云計(jì)算環(huán)境下可有效檢測(cè)不同類型的DDoS攻擊行為。隨著網(wǎng)絡(luò)中的DDoS攻擊時(shí)間增長(zhǎng)，該系統(tǒng)對(duì)DDoS攻擊的檢測(cè)正確率隨之增長(zhǎng)。

該DDoS攻擊檢測(cè)模型是由不同的功能模塊協(xié)同工作。為描述各功能模塊在整個(gè)系統(tǒng)中的異常網(wǎng)絡(luò)流量負(fù)載檢測(cè)情況，分別統(tǒng)計(jì)在DDoS攻擊情況下各功能模塊的異常流量負(fù)載檢測(cè)效率，如圖3所示：

圖3 不同模塊的異常流量負(fù)載檢測(cè)效率

統(tǒng)計(jì)結(jié)果表明，隨著DDoS攻擊時(shí)間的增加，系統(tǒng)中云計(jì)算 DC的異常流量負(fù)載檢測(cè)率維持一個(gè)較低的水平，而其它各功能模塊分擔(dān)負(fù)載了網(wǎng)絡(luò)中出現(xiàn)的大部分的異常流量。系統(tǒng)中，前端模塊的異常流量負(fù)載檢測(cè)率較高，而后端的LBM模塊的異常流量負(fù)載檢測(cè)率較低，這是因?yàn)長(zhǎng)BM模塊的主要功能是維持一個(gè)正常的流量負(fù)載平衡，而不是異常流量的過載檢測(cè)。

和傳統(tǒng)的超載檢測(cè)方案進(jìn)行比較，文中提出的負(fù)載均衡檢測(cè)模型具有以下優(yōu)點(diǎn)：

1）負(fù)載平衡從第一層開始，在本模型中，傳入的流量在各層被持續(xù)的處理，到達(dá)DC的流量速率更容易被檢測(cè)，增加了系統(tǒng)的靈活性，從而更好的服務(wù)于請(qǐng)求者。

2）提出的模型包括ATM模塊，其負(fù)責(zé)驗(yàn)證大量的數(shù)據(jù)流。在有新的注冊(cè)請(qǐng)求到達(dá)時(shí)激活 RRM，僅允許注冊(cè)請(qǐng)求通過負(fù)載平衡器是安全又快速的。該流量處理的方法適合共有/私有/混合云的配置模型。

3）當(dāng)DDoS攻擊發(fā)生時(shí)，在各模塊中對(duì)新注冊(cè)請(qǐng)求者和已注冊(cè)請(qǐng)求者采用單獨(dú)的隊(duì)列管理提高了可靠性。處于安全考慮，已注冊(cè)請(qǐng)求有更高的優(yōu)先權(quán)，而新的請(qǐng)求則降低其優(yōu)先權(quán)，從而提高資源的可用性。

4 總結(jié)

DDoS攻擊是云計(jì)算數(shù)據(jù)中心的主要威脅，而傳統(tǒng)的DDoS攻擊檢測(cè)方法并不適用于全新的云計(jì)算網(wǎng)絡(luò)環(huán)境。本文根據(jù)云計(jì)算網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流量的自身特點(diǎn)，提出一種云計(jì)算環(huán)境下的用戶身份認(rèn)證的超載檢測(cè)和網(wǎng)絡(luò)流量負(fù)載平衡策略的DDoS攻擊檢測(cè)防御方法，并以此設(shè)計(jì)適用于云計(jì)算數(shù)據(jù)中心的DDoS攻擊檢測(cè)防御模型。仿真實(shí)驗(yàn)結(jié)果表明，該模型對(duì)云計(jì)算環(huán)境下的 DDoS攻擊檢測(cè)防御具有一定的可用性和實(shí)用性。

[1] 陳康, 鄭緯民. 云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀[J]. 軟件學(xué)報(bào), 2009, 20(5)：1337-1348.

[2] Zargar T., Josh J.i, and D. Tipper, ＂A Survey of defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks[J],＂ IEEE Communications Surveys & Tutorials, 2013, 99：1-24.

[3] 馮登國(guó), 張敏, 張妍,等. 云計(jì)算安全研究 [J]. 軟件學(xué)報(bào) , 2012,22(1)：72-81.

[4] Rashmi V. Deshmukh, Kailas K. Devadkar. “Understanding DDoS Attack & Its Effect In Cloud Environment”[J]；Procedia Computer Science,2015,49, 202-210

[5] Alireza Shameli-Sendi, Makan Pourzandi, Mohamed Fekih-Ahmed et.al.”Taxonomy of Distributed Denial of Service Mitigation Approaches for Cloud Computing”；[J] Journal of Network and Computer Applications, 2015,2：

[6] Lee Y, Lee Y. Detecting DDoS Attacks with Hadoop[C]//.Proceedings of The ACM CoNEXT Student Workshop. ACM,2011：7.

[7] Jeyanthi N. and Ch. N. Iyengar .S. N., “Packet resonance strategy： a spoof attack detection and prevention mechanism in cloud computing environment [J], International Journal of Communication Networks and Information Security, 2012, 4,(3)163-173.

Research of DDoS Attack Defense Method in Cloud Computing Environment

Dai Kunyu, Hu Bin
(College of Computer Science and Technology, Gui Zhou University, Guiyang 550025, China)

For the conventional network defense technologies, it is hard to defend against the DDoS attacks in cloud computing environment. According to the behavior characteristics of the cloud computing network flow, it proposes a model for the detecting and the defending of the DDoS attacks in cloud computing environment based on the overload detection of user identity authentication and the load balancing strategy of network flow. To meet the requirements of data transmission efficiency and the security of cloud computing services, the proposed model authenticates the identity of users who access the data center and hierarchically processe the abnormal network flow. The simulation results have shown that the proposed model can effectively detect and defend the DDoS attacks to the data center in cloud computing environment.

Cloud computing； DDoS attack defense； Flow certification； Load balancing

TP393

A

1007-757X(2016)11-0023-03

2016.05.03）

貴州省科學(xué)技術(shù)基金（黔科合J字[2011]2198號(hào)）；貴州大學(xué)青年教師科研基金（貴大自青基合字（2012）018號(hào)）

作者信息：代昆玉（1979-），女，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，講師，碩士，研究方向：數(shù)據(jù)挖掘，計(jì)算機(jī)網(wǎng)絡(luò)安全，貴陽(yáng)，550025

胡 濱（1979-），男，貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，副教授，碩士，研究方向：人工智能，計(jì)算機(jī)網(wǎng)絡(luò)安全，貴陽(yáng)，550025