DDoS攻擊流量檢測方法

檢測分類

1）誤用檢測

誤用檢測主要是根據已知的攻擊特徵直接檢測入侵行爲。首先對異常信息源建模分析提取特徵向量，根據特徵設計針對性的特徵檢測算法，若新數據樣本檢測出相應的特徵值，則發佈預警或進行反應。

優勢:特異性，檢測速度快，誤報率低，能迅速發現已知的安全威脅。

缺點:須要人爲更新特徵庫，提取特徵碼，而攻擊者能夠針對某一特徵碼進行繞過。

 

 

2）異常檢測

異常檢測主要是檢測偏離正常數據的行爲。首先對信息源進行建模分析，建立正常的系統或者網絡的基準輪廓。若新數據樣本偏離或者超出當前正常模式輪廓，異常檢測系統就發佈預警或進行反應。因爲檢測系統是根據正常狀況定製描繪出系統或網絡的正常輪廓，對於外部攻擊，攻擊者很難在攻擊時不偏離正常輪廓，所以很容易被異常檢測系統偵測到；同理，異常檢測系統也能夠檢測來自內部的攻擊。另外，異常檢測系統還有能力檢測之前未知的攻擊。

缺點:首先只有對初始系統進行訓練，才能建立正常的輪廓模型；其次，調整和維護輪廓模型也較爲複雜和耗時，建立錯誤的輪廓模型可能致使較高的誤報率。最後，一些精心構造惡意攻擊，可利用異常檢測訓練系統使其逐漸接受惡意行爲，形成漏報。

優勢：異常檢測旨在發現偏離，而不是具體入侵特徵，於是通用性較強，對突發的新型異常事件有很好的預警做用，利於人們宏觀防護，目前大部分網絡異常流量檢測系統均採用異常檢測系統

 

異常流量檢測算法

1）基於統計學的異常流量檢測

基於統計學的異常流量檢測，會假設當前網絡環境處於一個似穩態的狀態中。算法會在前期收集和整理大量正常流量數據，經過對歷史流量數據進行統計分析或者數據變換設置初始閾值，而後對當前網絡流量數據進行計算，經過與初始閾值進行對比，判斷當前網絡是否發生異常。若是當前網絡流量數據某一統計信息超出相應閾值，則表明出現了異常流量

經常使用的網絡流量特徵有字節數､分組數､流計數､審計記錄數據､審計事件的數量、間隔事件、五元組（協議､源 IP 地址､目的 IP 地址､目的端口以及目的 IP 地址）以及資源消耗事件等。

缺點：1意攻擊者可經過逐漸增大惡意流量，來欺騙自適應閾值算法，使其接受惡意流量不發生報警。 2基於統計的方法還須要假定當前網絡環境變化狀況是一個似穩態的過程，而網絡的訪問具備突發性，算法還不能很好地應對目前分佈式網絡精心構造的攻擊流量，沒法知足低速攻擊 LDOS 等異常流量的識別要求。3基於統計方法的異常檢測沒法應對 0day 漏洞攻擊和一些較新穎的攻擊

2）基於數據挖掘的異常檢測

基於數據挖掘的異常檢測，利用數據挖掘技術從海量網絡流量中分析挖掘各種流量的特徵信息，採用自動或半自動的建模算法，發掘出可以反映當前網絡情況的特徵參數如相關性（Relationship）、模式（Pattern）或者趨勢（Trend）等，從更高的抽象層面揭示數據的潛在隱藏特性，以此來判斷網絡的異常行爲狀況。

目前經常使用的如生成概括規則、模糊邏輯、遺傳算法、神經網絡、深度學習等。

3）基於機器學習的異常檢測

異常流量的識別本質上是一個分類問題，該分類問題一般以學習爲前提。基於機器學習的異常流量檢測，是先前經驗的高度抽象與模型的表達，特色在於創建模型。不一樣的網絡流量特徵，如字節數、平均包大小、分組數量、最大分組長度、流持續時間、到達時間間隔等都可以做爲建模對象。

貝葉斯網絡、聚類、支持向量機、馬爾可夫模型等都已經普遍應用。

目前，基於機器學習的異常流量檢測還處在發展階段，綜合利用各類聚類、分類、深度學習等算法的優勢，揚長避短，提升網絡異常流量的識別率，已經成爲一種潮流。

 

 

摘自《基於雲平臺的分佈式拒絕服務（DDoS）攻擊檢測技術研究 》