DDoS攻击检测研究综述 A Survey of Detection Research on DDoS Attack.pdfVIP

研究与开发 DDoS攻击检测研究综述木 徐川1，杜成1。唐红2 (1重庆邮电大学通信学院重庆400065；2重庆邮电大学计算机学院重庆400065) I圜DD。s攻击作为当前网络安全最严重的威胁之一。近年来随着僵尸网络的盛行，其攻击影响日趋扩 大。因此对DD0s攻击进行检测变得尤为重要。本文按照攻击层次和检测位置的不同，对于不同的 DDos攻击检测方法给出了详细的分类，同时在此基础上对各类检测方法进行分析和性能比较，明 确了各种检测方法的特点和应用范围。最后讨论了当前攻击检测存在的问题及进一步研究的方向。 关键镶分布式拒绝服务攻击；攻击检溅；分层捡测；检潲位置 防、检测、攻击源追踪、响应。其中，重点研究方向是攻击期 1 引言 间的检测技术．其目的是在攻击发生时有效地检测出攻击 拒绝服务(DoS)攻击是指利用网络协议的缺陷或通过的存在。当前DDos攻击的检测方法有很多种，主要分为 各种手段耗尽被攻击对象的资源，以使得被攻击主机或网 3类：基于误用的DDoS检测、基于异常的DDoS检测以 络无法提供正常服务的攻击方式。分布式拒绝服务 及混合式DDoS检测。基于误用的DD0s检测主要是利用 denialof (distributedservice，DD0s)攻击则是在传统的拒绝了特征匹配、模型推理、状态转换和专家系统的方法： 服务攻击基础上产生的分布式大规模攻击方式。它由攻击 基于异常的DDos检测主要包括统计检测、模式预测、 者控制傀儡机向受害者发送大量攻击数据包，使得受害机 人工智能检测、机器学习检测4种方法。混合模式DDOS 无法正常通信。近年来，DDoS攻击技术变得越来越复杂， 攻击检测则是将误用DDos攻击检测和异常DDos攻击 DDoS攻击发生的次数逐渐增多。僵尸网络的不断发展也给 检测两种方式混合使用。基于异常的DD0s检测以及混 攻击检测带来了一定的难度。对网络安全构成严重威胁。因 合式DDos检测是现在应用比较广泛的两类方法，本文 此．DDos攻击检测对网络安全具有很重要的意义和价值。 对这些检测方法进行进一步的归类总结。明确各种检测 方法的特点和应用范围，以便更加有效地进行DDc6攻 2 DDoS攻击检测的研究现状 击检测。 目前，关于DDoS攻击的研究主要可以分为4方面：预 针对DDoS分层攻击，DD0s攻击检测可以分为4类： 链路层检测、网络层检测、传输层检测及应用层检测。按照 ·国家自然科学基金资助项目(No．印873097)，重庆市自然科学 不同的检测位置I”，又可以将DD0s攻击检测分为源端检 基金重点资助项目(No．Csl℃2009BA2089)，重庆市教委科学技 术研究项目(No．Ⅺ100508) 测、中间网络检测、受害端检测和混合式检测。 三j嫂壬三 万方数据 研究与开发 异常，可以此来判断是否发生DDoS攻击。参考文献【9】给 3攻击检测分层分类 出了一种基于相关系数矩阵的异常检测及分析方法，由相 3．1链路层检测 关系数矩阵获得每个单位时间内不同类型的TcP数据包 链路层检测主要指ARP攻击检测。实际中。DDOS攻之间的定量关系，并通过观测数据包之间的相关系数来发