聪明文档网
最新最全的文档下载
当前位置:
首页> 正在进行安全检测...
正在进行安全检测...
时间:2023-11-06 10:49:09 下载该word文档
龙源期刊网http://www.qikan.com.cnDDoS攻击检测技术的研究与实现作者:钟淑平来源:《科学与信息化》2018年第25期摘要世界发展到现在,科学技术突飞猛进,不断进步,在应用维度上也得到了切实地拓展,网络空间的出现,极大地改变着人们的生活,当然,网络在给人们带来有利一面的同时,各类安全隐患也随之而出现。特别当网络覆盖面非常大的前提下,国家安全以及集体与个人的利益都可能因为网络空间而遭受到损失。DDoS攻击在网络发展历程中已经非常普遍,也给网络安全带来了重大挑战,需要我们注意。关键词DDoS攻击;检测;技术1DDoS攻击分布式拒绝服务(DistributedDenialofServiceDDoS)攻击主要是利用分布式网络是进行攻击,这种有针对性的攻击模式显然可以影响到服务可用性。对比仅仅利用一台主机来进行拒绝服务攻击,这种分布式网络的攻击模式显然威力更大,波及的范围更大,攻击也更加复杂。1.1DDoS攻击类型DDoS攻击在协议栈中不断上移,攻击从最开始的网络层,逐步发展到应用层,攻击的方法也变得不再单一化。按照相关的评价标准,对DDoS攻击进行分类可以分为如下几种:①按照DDoS攻击能够损耗的资源来分类,分别为消耗系统资源、网络带宽资源以及应用资源的攻击。②从攻击数据包所处的网络层次来划分,分别分为:传输层攻击、网络层攻击以及应用层攻击。③从攻击数据包发送的频率和速度划分:慢速攻击与洪水攻击[1]。2DDoS攻击检测技术DDoS攻击存在着部分特点,一旦攻击开始后,能够按照这些不同的特点来就DDoS攻击实施全方位的检测。解决DDoS攻击的问题,精准、及时的检测是最基础的工作之一。现在,许多国家的学者都开始着手研究其DDoS攻击的检测手段,寄希望于可以精准科学地对DDoS攻击实施检测。这一部分对当前DDoS攻击检测技术给予了全面的总结。DDoS攻击检测方法在种类上有许多,总结来看,重点选择的应该有如下三类:2.1基于统计学的检测方法这种方法所利用的中心想法是统计的运用,这也是最开始应用的一种方法,这种方法主要是对正常情况下流量与攻击状态下的流量实施比较,主要的手段为,经过观察网络出现DDoS攻击后,流量猛增现象时,对比两种不同状态下的流量相关数值,但是,网络正常情况下的流
龙源期刊网http://www.qikan.com.cn量阂值是难以直接得到的,必须要利用统计的方法,经过对比二者的流量值,从而断定DDoS攻击是不是存在的,一般用到的方法有:(1)贝叶斯学习检测方法,这一理论可以理解成:对某件事以前发生的概率进行全面总结,以此来预测出这一件事会否发生。这种方法针对DDoS攻击检测,将检测问题视作为攻击序列多值分类问题,打造出了某一个可以实现自我学习的攻击检测模型,经过前期不断学习和训练,断定目标数据是正常的,还是非正常的。(2)基于请求页面大偏差统计模型的检测方法,这种方法主要的基础上构建起大偏差统计模型,主要检测判断的根本是正常用户一般访问的网站确定为高频网站,因此,通常网页点击率展现出Zipf分布,当攻击开始时,攻击者一般不会去过多地考虑后果,通常会随机任意去请求网页。按照先验概率分布可以实现全面的检测。因为涉及的用户数量多,有着各种不同的爱好,这就造成了部分跟大众行为存在差异的用户能够判断出来,视作为攻击,不过误报率比较高。2.2基于信息化的检测方法近些年,社会信息化的实现,关于网络安全的信息论应用维度得以不断扩展,这是不争的实施,在攻击过程中不断利用信息化概念及延伸理论。通常使用到的方法有:(1)基于动态阂值的检测方法,之前经常用到的以信息墒为基础的DDoS攻击检测的方法主要是对正常与非正常的前提下的IP地址的特点进行对比,正常时,数据包目的IP地址分布的比较多,嫡值较大。当出现了DDoS攻击以后,在网络中,一些IP地址在访问量上会出现莫名的增加,嫡值出现减少。不过,这一方法自身也存在弊端,主要是很难就DDoS攻击与突然发生的正常的网络流量予以清晰的区别,对于这一情况,提出了另外一种在动态阂值基础上的检测手段,不过这一手段难以良好地检测出慢速攻击这种形式。(2)基于信息嫡和支持向量机结合的检测方法,这种方法确定的特点是选择源IP于目的IP、出度与入度、源端口与目标端口、流大小分布等,计算出调整信息嫡值,预处理其组建成的矩阵数据,接着利用SVM来实现攻击检测。这方法选择的特征的主要特点是相对固定的,数量不大,难以跟上DDoS攻击类型的不断变化过程。2.3基于人工智能的检测方法实现DDoS检测技术的发展,主要是精准地分辨出并不正常的攻击行为。用户行为模式并非一成不变的,因为不断变化性,难以确定,通常检测方法的利用,能够描述具体行为,不过,对于任何用户的行为模式很难精准地抽象出,所以,造成了使用频率受到限制的情况出现。一般解决这一问题运用到的方法是:(1)基于决策树的检测方法,这一方法主要是利用到决策树,特别是其利用到入侵检测方面。以决策树来描述出判别函数,利用数的子节点来描述出目标的预测属性值。在决策树的
龙源期刊网http://www.qikan.com.cn打造上,需要把任何的特征值集中在某一个确定的仙童的类别里,从上到下逐步地进行构建。而网络中展示出全新的流量特征值的时候,经过这一特征值进行构建的决策树上的归属类别,判别出DDoS攻击是不是发生了。(2)基于支持向量机的方法,站在狭义角度,DDoS攻击予以检测从根本上可以理解为来判断出行为是否正常与异常;广义角度上,主要可以看成是模式识别研究的问题,模式识别是建立在可以掌握到的信息的基础上,按照有关的规则,将目标样本进行全面的划分,划分进相应的类别中。选择合理科学的参数,实现向量机具本身体现出优异的泛化性能。(3)基于人工神经网络的方法,人工神经网络指的是可以连接的输出与输入单元,主要是连接好众多的神经元可调的连接权值。综合多种算法,譬如遗传算法、粒子群算法等,寻找出总体的最好的极值,接着通过BP神经网络来实现检测。2.4支持向量机在现在,支持向量机可以看作为性能最好,利用度最高的具有监督功能的机器学习算法。它是在20世纪90年代初期由众多国外学者集中设计出的,支持向量机更多的功能是对分类问题、回归问题进行广泛的解决。最为重要的思想是以kerneltrick技术来实现数据的互换,将之前难以分离的低维度的数据集合映射于高维度特征空间里,这也就变成了线性可分的数据集合,进而实现了分类[2]。2.5人工蜂群算法优化支持向量机参数方法在针对DDoS攻击,进行全面检测的时候,可以得到的有关DDoS攻击样本数据并不多,难以得到覆盖任何的有关攻击类别的异常数据样本,所以,数据样本本身就有着各类突出的特点,例如,小样本、高维度、多边性等。在彻底解决非线性、小样本、高维性等问题中,优势非常突出的是支持向量机,所以,更多地运用到检测之中。人工蜂群算法优化支持向量机参数的方法流程图如图1所示:3结束语现在,建立在统计学基础上的检测法非常复杂,难以良好处理高维度数据,而且当实时大流量出现的时候,误判的情况是可能发生的。以信息嫡为基础的检测方法,能否取得理想的成效还是取决于阈值设定,阂值如果出现选择不当的情况,误判也随即发生。DDoS攻击检测技术得以快速发展,还是得益于人工智能技术的出现与普及,因为支持向量机在高维模式、小样本、非线性等的识别问题上有着自身独有的长处,但是,当全方位运用到分类检测问题以后,选择科学的参数能够让支持向量机体现出良好的泛化性能。