Me
Me
文章目录
  1. DDoS攻击检测综述
    1. 结构
    2. Ch1 DDoS攻击的研究现状
    3. Ch2 DDoS攻击检测方法
      1. 2.1 按检测模式分类的检测方法
        1. 2.1.1 基于误用的DDoS检测
        2. 2.1.2 基于异常的DDoS检测
        3. 2.1.3 混合模式DDoS检测
        4. 2.1.4 分析
      2. 2.2 按算法部署位置分类的检测方法
        1. 2.2.1 源端检测
        2. 2.2.2 中间网络检测
        3. 2.2.3 目的端检测
        4. 2.2.4 分析
      3. 2.3 其他检测方法和相关研究
      4. 2.4 DDoS攻击检测系统的体系结构
      5. 3 DDoS攻击检测方法的分析

DDoS攻击检测综述

2017.04.02 Wasdns  热度

DDoS攻击检测综述

结构

Abstract

0.引言

1.DDoS攻击的研究现状

2.DDoS攻击检测方法

  • 2.1 按检测模式分类的检测方法
  • 2.2 按算法部署位置分类的检测方法
  • 2.3 目的端检测
  • 2.4 DDoS攻击检测系统的体系结构

3.DDoS攻击检测方法的分析

4.结束语

Ch1 DDoS攻击的研究现状

DDoS攻击的研究主要在预防、检测、响应追踪三个方面。

第一道防线:攻击预防。在攻击尚未发生时采取措施,阻止攻击者发起DDoS攻击进而危害网络。

eg.提高TCP/IP协议的质量、SYN cookie技术;安全措施加固,如FUD等。

当攻击真的发生时需要进行响应:响应追踪的目的是消除或缓解攻击, 尽量减小攻击对网络造成的危害。

分为:攻击发生时追踪 和 攻击发生后追踪。

攻击发生时追踪:IPSec的动态安全关联追踪法、链路测试法、逐跳追踪法。

攻击发生后追踪:ICMP追踪消息法、分组标记法、数据 包日志记录法。

为了尽快响应攻击, 就需要尽快地检测出攻击的存在。

Ch2 DDoS攻击检测方法

2.1 按检测模式分类的检测方法

2.1.1 基于误用的DDoS检测

基于误用的 DDoS 攻击检测:

事先收集已有 DDoS 攻击的各种特征, 然后将当前网络中数据包的特征和各种攻击特征相互比较, 如果特征匹配则发现 DDoS 攻击。

主要是利用了特征匹配、模型推理、状态转换和专家系统的方法:

  • 特征匹配

主要是利用各种 DDoS 的特征进行检测。只要将 已知攻击的特征输入特征库就可以迅速地检测出攻击是否存在。

  • 模型推理

也是利用 DDoS 攻击的特征进行检测,将已知DDoS的各种特征作为基础建立一个攻击特征库, 对包含这些特征的行为进行监视, 并判断出网络中是否出现已知攻击。

  • 状态转换

将 DDoS 攻击看成被系统监测的一系列系统状态转换和相对应的条件, 攻击事件与系统状态不要求一一对应。

  • 专家系统

将专家关于 DDoS 攻击检测的知识转换成特征库中的特征与规则, 是知识检测中运用最多的一种方法。

2.1.2 基于异常的DDoS检测

基于异常的 DDoS 攻击检测:

指通过监视系统审计记录上系统使用的异常情况, 可以检测出违反安全的事件。

主要包括统计检测、模式预测、人工智能检测、机器学习检测四种方法。

  • 统计检测

当 DDoS 攻击发生时, 网络中会出现流量突增并超过正常工作时极限流量的现象。很多 DDoS 攻击检测手段是用统计的方法计算出网络正常工作时流量的阈值, 然后与当前网络流量进行比较, 如果当前网络流量超过了阈值则说明可能发生了 DDoS 攻击。

  • 模式预测

模式预测就是通过分析攻击发生前必然发生的一些现象来判断是否发生了 DDoS 攻击。

eg.每次攻击发生前夕, 攻击者要解析受害者的主机名, 因此网络中就会出现大量的地址解析请求, 如果解析后发现同一个主机名称出现过多的话, 则可能发生攻击。

  • 人工智能检测

基于人工智能的检测方法主要包括数据挖掘、人工神经网 络和模糊理论等

  • 机器学习检测

使用机器学习的方法实现 DDoS 攻击的检测也是可行的。

2.1.3 混合模式DDoS检测

混合模式 DDoS 攻击检测:

将误用 DDoS 攻击检测和异常 DDoS 攻击检测两种方式混合使用。

2.1.4 分析

基于误用的 DDoS 检测:建立负面行为模型,误报率低, 但存在检测率不高的问题,模型的维护开销较大,攻击特征的提取存在困难。

基于异常的 DDoS 检测是建立正面行为模型, 检测率很高,但误报率也很高。异常检测模型最大的优点是可以检测出未知攻击。

2.2 按算法部署位置分类的检测方法

2.2.1 源端检测

源端 DDoS 攻击检测指的是将检测算法布置在发出攻击数据包的主机所处网络的边界路由器上。将DDoS攻击检测系统部署在源端, 可以使得攻击数据流在进入网络之前被阻止。

2.2.2 中间网络检测

中间网络 DDoS 攻击检测是指将攻击检测算法部署在整个网络上, 包括路由器、交换机或其他网络设备。

2.2.3 目的端检测

目的端 DDoS 攻击检测是指将攻击检测算法部署在被攻击的主机和相关网络设备上。目前应用得最多的攻击检测都是在目的端(即受害端)进行的。

HCF方法:利用数据包从源端到达目的端所需要的跳数是不可改变的,将网络中特定服务器作为目的端,建立一张源地址和跳数相对应的表。

2.2.4 分析

源端检测是最为理想的一种方法,能够在受害端受到攻击之前阻止攻击的发生,将攻击对网络的威胁降到最低。源地址被伪造的数据包很容易在源端检测出来。但是要求所有的网络服务提供商都安装源端检测算法显然不切实际,而且源端攻击包流量小,不易检测。

中间网络检测比源端检测具有更好的可实施性和更低的覆盖要求。但也存在边界网关的修改、路由器的负载、缺乏网间合作等问题。

目的端 DDoS 攻击检测是最容易的,因为目的端的攻击数据流量最大,并且最注重于对 DDoS 的防范。缺点是如果上游网络链接被阻塞的话, 目的端不管做什么也于事无补

2.3 其他检测方法和相关研究

有无线的 DDoS 防御技术,也产生了相关主动检测 DDoS 攻击的技术,如利用蜜罐、蜜网进行 DDoS 攻击特征提取。

2.4 DDoS攻击检测系统的体系结构

1.基于主机(host-based)型:检测系统能够在主机上运行。

2.基于网络(network-based)型:在网络中检测流量。

3.基于移动代理(agent-based)型:检测系统也需要分布式相互协作,要求具有自适应性、可扩展性等。

3 DDoS攻击检测方法的分析

见表2、3.

Chen, 2017.4.2

支持一下
扫一扫,支持Wasdns