DDOS攻击检测关问题分析.docVIP

DDOS攻击检测相关问题分析 　　摘 要 文章首先针对DDoS攻击检测的主要技术布局展开说明，综合当前的发展状态和趋势，对于目前网络环境中主要的几种攻击检测工作模式进行了深入的分析，而后在此基础之上，进一步结合技术发展步伐，对于未来DDoS攻击检测技术的发展方向做出讨论和推测，对于切实把握DDoS攻击检测技术的发展步伐，提升网络安全水平有着一定的积极价值。 中国论文网 /1/viewhtm　　关键词 DDoS;攻击;检测;技术;发展 　　中图分类号 TP3 文献标识码 A 文章编号 2096-0360（2015）08-0018-02 　　当前信息环境之下，企业对于数据传输的依赖程度与日俱增，与之对应的网络安全问题也成为了当前社会所共同关注的重点。而分布式拒绝服务（DDoS，Distributed Denial of Service）作为网络环境中较为常见的攻击形式，已经成为当前网络安全的重要隐患来源，因此对其展开深入的分析和讨论，对于切实提升整体网络安全水平有着积极 　　价值。 　　1 DDos攻击检测技术浅论 　　从概念的角度看，DDos攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。对于DDos攻击而言，最为常见的攻击方式即利用合理的服务请求来占用过多的服务资源，从而使得正常的用户服务请求无法得到相应。传统的Dos攻击在面向单一主机的时候效果显著，可以迅速影响到主机的运算速度，但是随着网络技术的发展，分布式系统开始得到越来越多的应用，因此单独面向单个主机的攻击从总体上开始变得无效，DDos攻击方式随之登上舞台。从实现的角度看，通常攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，并且在设定时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。控制人员通过网络远程控制代理程序发动攻击，并且利用客户机/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行，其威胁不容忽视。 　　对于DDos攻击而言，其检测方法多样，对于不同的应用环境表现出各自不同的额检测工作特征。依据检测模式进行分类，可以分为基于误用的DDos检测、基于异常的DDos检测以及混合模式DDos检测三种。其中基于误用的DDos检测即指在针对DDos攻击行为特征进行采集和整理的基础之上，以其作为参照对于网络中数据包的特征展开检查，从而发现异常的数据包，确定DDos攻击行为的发生。而基于异常的DDos检测则是通过监视系统审计记录上系统使用的异常情况，对系统中存在的违反安全的时间进行检测。这是当前大多数DDos攻击检测的常见工作方式，此种检测方式的效果在很大程度上依赖于异常判断模型的建立，不同的模型会对传输行为有不同的判断，因此只有面向实际网络工作特征的模型才能行之有效地担负起DDos检测职责。最后对于混合模式DDos检测，则是将基于误用的DDos检测以及基于异常的DDos检测加以结合的检测工作方式，通常使用数据挖掘的方法，由异常检测发现攻击，从发现的攻击中摘录特征放入误用模式特征库中，再利用误用检测的方法来检测DDoS攻击。 　　除此以外，还可以按照算法部署的位置对DDos检测工作模式加以划分，则可以划分为数据源端检测、中间网络检测以及数据目的端检测三种。其中数据源端检测是将DDoS检测算法布置在发出攻击数据包的主机所处网络环境的边界路由器上，此种工作方式可以在攻击流入网络环境之前对其及时发现并且拦截。而中间网络DDoS攻击检测是指将攻击检测算法部署在整个网络上，包括路由器、交换机或其他网络设备。在无法明确攻击来源的情况之下，采用中间网络检测的工作方式能够实现更均衡的检测工作。而数据目的端检测，即将DDoS攻击检测算法部署在攻击端的主机以及相关网络设备上，主要用于重点保护网络环境中相对珍贵的数据节点。 　　2 DDoS攻击检测技术的发展分析 　　在面对企业网络环境展开DDoS攻击检测系统部署的时候，将DDoS检测核心部署在数据传输的哪个位置，能够实现对于攻击的最为有效检测，是当前共同关注的问题。对于数据源端检测控制而言，常见的检测方法包括依据数据包子网地址进行过滤，或者要求客户端在发送数据的时候提交一个发送请求给认真服务器，在认证服务器许可的情况下才能展开数据发送。此种工作方式能够在攻击进入骨干网之前就实现控制，因此对于网络环境内部安全水平的提升有着积极意义，但是同时由于需要边界路由器的配合，而ISP无法从这种控制过程中获益，因此基于数据源端的控制常常无法得到实施，进一步影响到此种策略在面对复杂供给的时候检测效果整体不足。 　　而基于中间骨干网络的检测控制，是面向网络环境中的数据流量展开梳