新兴的内容网络分发技术已引起国内外研究机构以及IT业界的广泛重视。自2002年以来,SIGCOMM、USENIX、WWW等顶级学术会议开始关注内容分发网络。同时,美国大型电信运营商 AT&T于2002年首个推出CDN流媒体内容分发架构。
2006年,国际电信联盟ITU将CDN纳入IPTV标准化文档体系内。IETF(Internet Engineering Task Force)也制定了多项涉及内容分发网络技术的标准化文档,如 RFC3040、3466、3835以及3866。
国内对内容分发网络研究的关注和相关工作还较少。清华大学尹浩等人与中国最大的内容分发网络提供商建立联合实验室,对 CDN进行了较为长期的研究。2013年,中国国务院发布“宽带中国”战略,加速互联网业务的多元化发展,网络视频、云计算服务、电子商务及金融互联网的进一步发展又将对带宽提出更高要求。
同时,随着移动互联网的兴起,OTT(Over-The-Top)应用中的 IM业务占用大量信令网资源,而OTT TV业务的引入,将会面临海量在线视频,与丰富的终端接入同步出现的多屏融合等新型需求,这就必然要求CDN走向与运营商融合化、专业化以及可定制的前方之路。
ISP建立的CDN主要是为了减少域间交互流量,降低维护与运营成本,且相比于CSP-CDN而言,ISP拥有域内拓扑信息优势,在服务器位置部署,内容复制策略上具有更高的灵活性。
网络上的重复流量与用户访问满足zipf分布是ISP建立属于自身CDN的出发点。虽然CDN的出现降低了网络边缘用户的访问时延,但其增加了网络异构性且影响ISP对流量的控制甚至提升ISP网间结算费用。
在当前Internet上构建一层内容分发覆盖网络对改进互联网性能有着诸多优势:
1)减少链路中的重复流量,缩短传输路径,从而缓解互联网的流量压力;
2)部署多个内容代理服务器,降低源服务器负载;
3)提升内容提供商的服务质量与服务可靠性等。
内容分发网络将Internet用户与Internet资源提供商之间的通讯分割为两个部分:
1)用户与内容分发网络中的内容代理服务器的交互;
2)内容代理服务器与源内容服务器的交互。
这种分离将源服务商面向用户的服务交付与内容分发网络,显著降低源服务商的操作成本、部署难度及管理复杂性,同时催生出巨大的内容分发网络市场。据欧洲知名电子咨询公司 Informa Telecoms & Media发布的内容分发网络市场趋势报告数据显示,2015年,全球内容分发网络市场规模达到50亿美元。
内容分发网络逐步成为互联网数据分发的主流应用之后,研究人员发现可以利用内容分发网络服务防范网络拒绝服务攻击:
首先,CDN可以对源服务端进行隐匿,大量的流量通过CDN的DNS服务器重定向后指向的是CDN部署的内容节点服务器而不是真实源服务器;
其次,CDN可以通过全局负载均衡管理系统自动切换服务节点,分散DDoS攻击流量以减少对服务端的攻击压力;
再次,CDN可以对访问IP与URL进行分析,对恶意连接进行阻断从而保障正常的用户访问服务。
虽然CDN在一定程度上加强了源服务站的安全性,然而由于互联网自身的复杂性、异构性与动态性导致在互联网上的各种网络恶意行为日趋隐蔽,同时群体化网络恶意行为可能在某一时间段内在不同空间中进行交叉融合,形成危害较大的网络攻击,对互联网的基础设施或中心服务节点产生巨大威胁。尤其随着僵尸网络技术的提升,更强的受控性、隐蔽性与融合性使得互联网安全所面临的挑战愈加严峻。
CDN的宗旨在于有效提升互联网用户的网络访问质量,尽可能满足用户在较短的时间内获取网络数据。随着多媒体技术的推进,大数据量的音视频文件分发成为当前互联网流量的重要组成,CDN 的一项重要目的就是更有效利用已有的互联网链路资源,尽量防止或者避免链路过度拥塞所导致的网络数据服务传输效率下降。
然而分布式拒绝服务攻击作为互联网上危害最大且无法避免的威胁,也随着CDN应用的演进而进化。早期的网络层防御机制通常采用包过滤机制及流量限速方式降低DDoS所造成的威胁,诸如路由黑洞等策略需要在网络拓扑中的路由节点上部署规则以阻止潜在的攻击数据包到达目的。
当前诸多研究都试图通过可溯源的机制提高攻击者的风险,然而随着APT攻击的出现,促使依赖于攻击爆发后的被动防御措施向主动发现转变。
早期的 DDoS攻击,例如TCP的SYN泛洪类,HTTP请求泛洪类的拒绝服务攻击主要依靠基于路由层的包过滤策略或在HTTP协议首部中的某些关键字(比如Expires、Last-Modified)赋值以区分攻击与正常服务。
但这些策略并不能有效防范攻击。同时高度混合型攻击已经逐步成为当前网络威胁的主要模式,即融合了僵尸网络、蠕虫、木马、网络钓鱼与社会工程学等。
APT正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
对于ISP的网络管理维护者而言,在城域网或者下辖管控网内部署基于数据层面的检测机制并不具备操作性,同时对于ISP而言,如何维护基础设施的稳定性以及利益最大化是其宗旨,其主要通过流量监测系统以及转发设备控制系统对异常事件进行监视处置。
对于CDN而言,如何尽可能保障用户的访问服务质量,维持各个地域内容服务器的负载均衡,减少链路拥塞所带来的风险是其最关注的研究点。
由于现今网络攻击已是多种复杂技术的混合体,其正是针对互联网上各个网络系统的分治以及信息不对称的弱点进行攻击,当ISP和CDN融合之后,ISP拥有其管辖下的网络拓扑信息以及转发设备的管控手段,而CDN则可以获取域内用户的访问行为,以及应用层级的数据交互情况,从而形成从网络层到应用层的安全行为共享协作。
现今对网络恶意行为的主要研究都仅仅针对于单个孤立的安全事件,如木马、蠕虫、DDoS 、僵尸网络,如有国外学者通过将快速进化的游戏动力学模型耦合为一个慢速的人口动力学模型,并在此基础上提出了一个交互式僵尸网络模型。
另有国外学者提出了一个全面的安全事件管理语义模型,除了描述事件的基本特征外,还对系统的状态、控制对策以及和外部安全模型的连接关系等信息进行了描述。
还有国外学者提出了一种基于游戏理论的用于评估DDOS攻防方法的模型,该模型可以用于研究DDOS的攻击场景,以及用于攻击者和防御者进行多种不确定因素的推理。
总体而言,这些方法或仅仅针对单个攻击进行检测,或采用流量异常监测与DPI技术联动方式对网络异常状态进行捕捉,而从ISP的角度出发,由于维护检测成本代价与海量数据检测的不可实时性,导致细粒度的安全威胁检测手段不可适用,同时仅仅在网络层进行异常挖掘的准确性较为低下。
当ISP与CDN融合之后,则可以在网络层与CDN的业务层上进行协同检测,构建可信化CDN系统,降低其所面临的安全风险。
在如今新的形势之下,CDN网络信息安全再度被业界高度关注。2015年3月30日,在北京召开的第三届“2015亚太CDN峰会”将以“合理建设大数据背景下的流量运营机制”为主题/宗旨,为CDN相关产业链搭建一个交流平台。
责任编辑:饶军
