DDoS攻击检测综述.docx

《DDoS攻击检测综述.docx》由会员分享，可在线阅读，更多相关《DDoS攻击检测综述.docx（5页珍藏版）》请在第一文库网上搜索。

1、DDoS攻击检测综述作者：张兴锐高小明李家兴来源：科学与财富2018年第16期摘要：随着网络业务与用户数不断增多，网络安全问题日益突出。DDoS攻击作为一种严重威胁网络安全的攻击方式，给网络带来了极大的危害。本文对近年的DDC)S攻击检测技术进行了收集比较，分析了各类检测方法的运用场景和其各自的优缺点。最后指出，DDoS攻击防御不仅需要技术上的提升，也需要普通用户提高网络安全意识。关键词：DDOS攻击检测；基于位置检测；时间序列；机器学习1引言随着计算机技术的持续发展，上网的用户数量在不断增多，网络安全也越来越受到重视。分布式拒绝服务(DDoS)攻击是当前非常普遍且严重威胁网络安全的一种攻击方

2、式，给人们和社会经济带来了重大损失。据统计，2000年2月，包括雅虎、CNN、亚马逊、e-Bay、ZDNet等网站均遭受到了DDOS攻击，并致使部分网站瘫痪。2018年2月，著名面向开源及软件项目的托管平台GithUb遭遇了可能是迄今为止最大的DDoS攻击，最高访问量为1.35Tbps1导致其经历了两次间歇性不可访问。多次的攻击事件表明，对DDoS攻击的检测和防御研究具有重要的理论意义和实际研究。2 DDoS攻击简介2.1 分布式拒绝服务攻击拒绝服务攻击(DoS)也称洪水攻击，从广义的角度上讲，任何通过合法方式使目标电脑的网络或系统资源耗尽，从而无法向用户提供正常服务的攻击方式均属于DoS攻击

3、范畴。DDOS攻击是攻击者利用大量傀儡计算机对攻击目标发动大量的正常或非正常请求，从而耗尽目标主机资源，最后使受攻击主机无法正常运行或提供服务。2.2 DDoS攻击分类DDoS攻击大体可分为两类:资源耗尽型攻击和带宽攻击。2.2.1 资源耗尽型攻击资源耗尽型攻击是利用协议和系统漏洞进行攻击。常见的攻击方式包括TCPSYN攻击、PUSHAeK等。下面以SYN为例进行说明：攻击者利用TCP的三次握手机制，向受害主机发送大量的TCP-SYN分组。受害主机收到请求后需要对各个SYN进行ACK应答，但是攻击者常常采用了伪源地址进行攻击，所以受害主机的ACK分组自然得不到应答，受害主机将保持这样的半开状态

4、直到握手完成或者计时器超时为止（一般来说，这个超时设定时间是分钟数量级别的，但随着操作系统的不同而不同，大约在30秒到2分钟），受害主机在未收到请求主机的ACK报文情况下会不断的发送SYN-ACK给伪地址主机直到超时后才会丢弃本次连接。上述过程描述了单个攻击报文到达时，受害主机通常会进行的操作，当大量的攻击报文同时到达时，受害主机就会因为维持了大量的半开连接而导致主机的CPU和内存耗尽进而无法向正常用户提供服务。2.2.2 带宽耗尽型攻击带宽耗尽型攻击又分为直接型洪流攻击和反射性洪流攻击。直接洪流攻击是攻击者向受害主机发送大量的无用数据包（如TCP洪流攻击、UDP风暴攻击和ICMP洪流攻击）从

5、而占用受害主机的大量网络带宽，进而让受害者无法响应合法的数据包。反射攻击是一种间接攻击，攻击者将攻击分组的源地址设置为受害主机的地址，并将这些攻击分组广播到网络中，由于网络中的路由设备并不知道这些分组是经过伪装的攻击分组，它们均将这些分组的响应分组发往受害主机，大量的回应消息会占用受害者的大量带宽，从而使受害主机无法响应正常用户请求。这些网络中的路由器被称为反射节点。3 DDoS检测方法3.1 按照检测位置分类在DDoS检测防护方面，我们根据其部署的位置，分为基于源端网络的检测、基于中间网络检测和基于目的端网络检测。311基于源端网络检测基于源端网络的检测是把DDoS检测算法部署在发出攻击数据

6、包的主机附近。由于大部分DDoS攻击中，攻击者都会通过伪源IP进行攻击，据此，文献利用了PatriCia树的汇聚方法检测DDoS攻击。文献通过检测所有进出本机的数据帧（去掉广播和组播数据帧）相应的源端IP和目的IP,如果两者中没有本机的IP地址，则说明存在伪源IP的数据包，那么该数据帧很有可能是伪造的DDOS攻击流。文献利用布隆过滤器结构对出入不同接口的数量进行简单计算，然后用无参数Cumu1ativeSum方法进行检测。基于源端网络的检测是最为理想的一种检测方法，其优点主要有：1.可在源端一直攻击数据包，有效地降低了因攻击数据流而造成的网络资源浪费。2.由于这类检测方法部署在攻击源网络，所以

7、较容易地追踪攻击源，同时也能够减少对于合法数据流的误丢弃。3.1.1 基于中间网络的检测基于中间网络的DDOS攻击检测是指将攻击DDoS检测算法部署在整个攻击网络的中间部分。文献首先对网络中的路由器以时间At对网络流F进行采样；然后分别计算出源地址、目的地址、目的端口均相同的数据包的时间序列。当时间间隔足够大时，计算自相关系数其中ai为k个I时间内a的序列。a为a的数学期望；伙为自相关系数。当计算得到自相关系数不为。时，可以认为发生了DDoS03.1.2 目的端网络检测基于目的端网络检测技术是把DDoS检测算法部署在被攻击者主机附近C文献提出了一种用于受害机所在网络的DDOS预防方案。该方案表

8、明可在每个可能遭受攻击的服务器的上游路由器中设置流量阈值，将超过阈值的流量包进行丢弃或者路由到其他服务器。文献利用数据包从源端到达目的端所需要的跳数是固定的这一特征，建立一张源地址和跳数相对应的表。由于伪造地址和正常源地址数据包包头中的TT1值是不同的，所以通过查表可以找到经过伪造的数据包。基于目的端网络的检测方法是目前应用最多的攻击检测方法。其优点主要在于：检测算法部署在被攻击一侧，可以容易根据服务器性能异常降低或不正常的高流量等指标确定是否发生了攻击。3.1.3 三种部署位置检测各项指标的比较三种部署位置的比较如下表1：表1三种部署位置各项指标比较3.2 按照检测算法分类3.2.1 基于时

9、间序列的检测传统的检测方法主要有特征匹配、源IP地址追踪和计算TCP包的标志位比率等方法等。但是这类方法没有考虑时间因素与攻击之间的关联。文献利用自回归模型分析网络流量序列的变化，通过比较参考滑动窗口和测试滑动窗口的似然率变化来检测不同时间点的攻击流量。另外，在DDOS网络攻击中，由于流量常在某个时间段内发生突变以至于超过某个限定值，所以阈值检测是一种非常常用的方法，文献提出了一种指数加权移动平均算法EWMA1对网络流量的历史数据分配不同的权值，以表示近期数值影响较远期数值影响更大一些。基本公式为：st=axt+（1-a）St-I1其中St表示第t期的流量平滑值，a表示平滑系数，X表示第I的实

10、际流量观察值。相较于静态阈值检测，文献9提供的方法不需要过多人为干预，灵活性高。提出一种综合反映DDoS攻击特征的IP流特征的检测算法（包括DDoS攻击流的非对称性、突发性、源IP地址分布和目标IP地址集中性），其基本思想在于采用IP流特性观察值来预测未来值，当检测到实际观察值与预测值相差较远就认为发生了DDoS攻击。3.2.2 基于机器学习的检测随着人工智能的火热，机器学习引起了人们的广泛关注。目前将机器学习运用到DDOS检测中已取得不错成果C文献101通过提取网络流量数据包的多个属性（如IP协议字段、数据包的大小），依据这些属性运用贝叶斯分类算法对这些数据包进行分类，在按照抽样数据库中的数

11、据计算每一类数据包的分值，生成一张分值表，接着用这些分值表对正常库和异常库中的数据包进行打分，计算正常流量和异常流量的分值特征：均值和标准差。最后将所得分数映射成09的危险等级。由于支持向量机具有良好的泛化性能，可以有效克服传统学习机的“维数灾难”和“过学习问题，因此可以将SVM运用到DDoS检测中，文献11采用多类支持向量机进行攻击识别，选取了单边连接密度、IP流的平均长度、IP包的流入流出比、IP流长度的燧、协议炳和协议比例6个特征进行学习，并将训练数据分成4类：正常，轻度，中度和重度，从而实现对攻击的分类检测。4结语本文对DDoS近年来常用的DDoS检测方法进行归类整理。虽然这些方法能在

12、一定程度上对DDoS进行检测防范，但是DDoS攻击仍网络安全的难题，伴随着DDoS攻击流量愈发升高（当前DDoS攻击所造成的流量峰值已达到TB级别），对DDOS进行有效防范已是刻不容缓C对DDoS进行防御需要人们的共同努力，既需要普通用户群提高自身安全意识，防止攻击者利用网络漏洞控制主机而变为“傀儡机”，也需要网络管理员进行网络流量监控分析C总之，要对DDoS攻击进行有效防范不仅需要检测方式的不断升级还需要各界人员付诸努力。参考文献1李霞，谢康林，白英彩.基于速率限制的源端网络DDoS防御J.微型电脑应用，2005,21（8）：43-47.钟金.基于源端的DDoS攻击检测与防御技术的研究D.南

13、京师范大学，2006.引王佳佳.基于变点计算的源端DDoS攻击检测方法J泰州职业技术学院学报，2013,13(4)：64-67.4严芬，王佳佳，赵金凤，殷新春.DDoS攻击检测综述J.计算机应用研究，2008(04)：966-969.5 YauDKY,1uiJCS,1iangF,eta1.Defendingagainstdistributeddenia1-of-serviceattackswithmax-minfairserver-ccntricrouterthrott1esJ.IEEE/ACMTransactionsonNetworking,2005,13(1)：29-42.6 Fi1ter

14、ingHC.AnEffectiveDefenseAgainstSpoofedDDoSTraffic(ChengJin,HainingWang1HainingWang,KangG.Shin)J.7李更生.基于时间序列分析的Wcb服务器DDoS攻击检测J.计算机工程与应用,2007,43(7)：135-138.18J赵云成.基于流量突变及数据挖掘的DDOS攻击检测与防范方法研究D.吉林大学,2009.9程杰仁，殷建平，刘运，刘湘辉，蔡志平.基于攻击特征的ARMA预测模型的DDOS攻击检测方法J计算机工程与科学，2010,32(04)：1-4+28.10罗建,2010,40(2)11徐图,报，2008,37李艳梅.基于Bayes分类器的DoS/DDoS攻击防御技术J航空计算技术,：127-129.罗瑜，何大可.多类支持向量机的DDoS攻击检测的方法J.电子科技大学学(2)：274-277.作者简介：张兴锐(1996-),男，汉族，重庆，本科。高小明(1995-),男，汉族，重庆，本科。李家兴(1997-),男，汉族，重庆，本科。