DDoS攻击流量检测方法

检测分类

1）误用检测

误用检测主要是根据已知的攻击特征直接检测入侵行为。首先对异常信息源建模分析提取特征向量，根据特征设计针对性的特征检测算法，若新数据样本检测出相应的特征值，则发布预警或进行反应。

优势:特异性，检测速度快，误报率低，能迅速发现已知的安全威胁。

缺点:须要人为更新特征库，提取特征码，而攻击者能够针对某一特征码进行绕过。

 

 

2）异常检测

异常检测主要是检测偏离正常数据的行为。首先对信息源进行建模分析，建立正常的系统或者网络的基准轮廓。若新数据样本偏离或者超出当前正常模式轮廓，异常检测系统就发布预警或进行反应。因为检测系统是根据正常状况定制描绘出系统或网络的正常轮廓，对于外部攻击，攻击者很难在攻击时不偏离正常轮廓，所以很容易被异常检测系统侦测到；同理，异常检测系统也能够检测来自内部的攻击。另外，异常检测系统还有能力检测之前未知的攻击。

缺点:首先只有对初始系统进行训练，才能建立正常的轮廓模型；其次，调整和维护轮廓模型也较为复杂和耗时，建立错误的轮廓模型可能致使较高的误报率。最后，一些精心构造恶意攻击，可利用异常检测训练系统使其逐渐接受恶意行为，形成漏报。

优势：异常检测旨在发现偏离，而不是具体入侵特征，于是通用性较强，对突发的新型异常事件有很好的预警做用，利于人们宏观防护，目前大部分网络异常流量检测系统均采用异常检测系统

 

异常流量检测算法

1）基于统计学的异常流量检测

基于统计学的异常流量检测，会假设当前网络环境处于一个似稳态的状态中。算法会在前期收集和整理大量正常流量数据，经过对历史流量数据进行统计分析或者数据变换设置初始阈值，而后对当前网络流量数据进行计算，经过与初始阈值进行对比，判断当前网络是否发生异常。若是当前网络流量数据某一统计信息超出相应阈值，则表明出现了异常流量

经常使用的网络流量特征有字节数､分组数､流计数､审计记录数据､审计事件的数量、间隔事件、五元组（协议､源 IP 地址､目的 IP 地址､目的端口以及目的 IP 地址）以及资源消耗事件等。

缺点：1意攻击者可经过逐渐增大恶意流量，来欺骗自适应阈值算法，使其接受恶意流量不发生报警。 2基于统计的方法还须要假定当前网络环境变化状况是一个似稳态的过程，而网络的访问具备突发性，算法还不能很好地应对目前分布式网络精心构造的攻击流量，没法知足低速攻击 LDOS 等异常流量的识别要求。3基于统计方法的异常检测没法应对 0day 漏洞攻击和一些较新颖的攻击

2）基于数据挖掘的异常检测

基于数据挖掘的异常检测，利用数据挖掘技术从海量网络流量中分析挖掘各种流量的特征信息，采用自动或半自动的建模算法，发掘出可以反映当前网络情况的特征参数如相关性（Relationship）、模式（Pattern）或者趋势（Trend）等，从更高的抽象层面揭示数据的潜在隐藏特性，以此来判断网络的异常行为状况。

目前经常使用的如生成概括规则、模糊逻辑、遗传算法、神经网络、深度学习等。

3）基于机器学习的异常检测

异常流量的识别本质上是一个分类问题，该分类问题一般以学习为前提。基于机器学习的异常流量检测，是先前经验的高度抽象与模型的表达，特色在于创建模型。不一样的网络流量特征，如字节数、平均包大小、分组数量、最大分组长度、流持续时间、到达时间间隔等都可以做为建模对象。

贝叶斯网络、聚类、支持向量机、马尔可夫模型等都已经普遍应用。

目前，基于机器学习的异常流量检测还处在发展阶段，综合利用各类聚类、分类、深度学习等算法的优势，扬长避短，提升网络异常流量的识别率，已经成为一种潮流。

 

 

摘自《基于云平台的分布式拒绝服务（DDoS）攻击检测技术研究 》