DDOS概要

DDoS概要

DDoS即分布式拒绝服务，从第一次有记载的攻击到如今,DDoS已经有20多年了，尽管你可能意识到二十年来，随着信息高速公路的建设以及摩尔定律，网络带宽已经出现了极大程度的提升，可是一个简单的事实就是破坏比维护简单的多。更重要的是，在过去的二十年里，咱们对DDoS的防护措施没有根本上的变化，而攻击技术却在不断进步。DDoS防护技术依然集中在流量清洗措施。总体来说，网络安全是一种不对称的对抗，DDoS尤甚。

对于检测来说，挑战在于如何区分DDoS流量和正常的业务流量，这其中的区别一般只能在应用层可见。应用层一般还会对该数据进行加密，这致使试图解析网络流量行为将带来巨大的运算开销，甚至将检测引擎击穿。从DoS到DDoS彷佛也在告诉咱们，应对分布式的网络攻击，分布式防护也多是最终的的去路。

 

这里将DDos分为两种

一、 Volumetric DDoS

二、 Resource Exhaustion Attacks

Volumetric DDoS常常见之于新闻报告，近期报道中就有Github 披露的Memcahced反射攻击，大部分攻击行为依赖于源IP地址欺骗，经过在攻击中使用源IP spoofing 获取放大因子，利用无状态的DDoS攻击达到目的。常见被利用的协议包括DNS、SNMP、NTP等。

Resource Exhaustion Attacks对公众来讲比较少见，直观来讲，当一个网站页面被多人访问时，网站的响应速度就会变慢，资源耗尽攻击利用大量“真实“的请求，消耗服务器资源，使得网站响应迟缓甚至奔溃，达到拒绝服务的目的。比较出名的有CC攻击以及慢速攻击等。资源耗尽攻击在没有抗D设备的状况下可能会形成严重破坏，但因为攻击体积不会达到基于流量的级别，也就不多成为媒体报道的对象。常见的受害协议包括HTTPS以及TCP SYN-Flood。

 

下面主要讲一些常见的DDoS检测思路

一、 用户行为建模

常见的如HMM模型，利用已有的数据对正经常使用户的行为进行建模，合法的用户请求网站都会存在一个序列化的请求，若是这样假设的话，有限状态机也能够做为一种思路。

有限状态机经常使用于地址检查（好比快递的地址自动解析）

二、 信用评估

经过用户的历史访问记录，来检测

两种方法都存在必定问题，用户行为建模须要用户完整的访问会话，这方面数据比较少，可能须要较多的数据清洗，信用评估方式会对新IP的访问持悲观态度

三、 流量检测

检测流量突变，发生变化后检测IP请求速度， IP request length等变化

四、 深度学习

这块没有看到较好的实践

有时间再写几篇论文的思路,若有错误欢迎指正