DDoS攻击检测综述.docVIP

DDoS攻击检测综述 DDoS攻击检测综述 PAGE / NUMPAGES DDoS攻击检测综述 DDoS攻击检测综述 摘 要： 跟着网络业务与用户数不停增加，网络安全问题日趋突出。 DDoS攻击作为一种严重威迫网 络安全的攻击方式，给网络带来了极大的危害。本文 对最近几年的 DDoS攻击检测技术进行了采集比较，剖析 了各种检测方法的运用处景和其各自的优弊端。最后指出， DDoS攻击防守不单需要技术上的提高，也需要一般用户提高网络安全意识。 重点词： DDoS攻击检测；鉴于地点检测；时间序列；机器学习 前言 跟着计算机技术的连续发展，上网的用户数目在 不停增加，网络安全也愈来愈遇到重视。散布式拒绝服务（ DDoS）攻击是目前特别广泛且严重威迫网络安全的一种攻击方式，给人们和社会经济带来了重要损失。据 统计， 2000 年 2 月，包含雅虎、 CNN、亚马逊、 e-Bay、ZDNet 等网站均遭到到了 DDOS攻击，并以致部分网站瘫痪。 2018 年 2 月，有名面向开源及软件项目的托管平台 Github 遭受了可能是迄今为止最大 的 DDoS 攻击，最高接见量为，以致其经历了两次间歇性不行接见。多次的攻击事件表示，对 DDoS攻击的检测和防守研究拥有重要的理论意义和实质研究。 2 DDoS攻击简介 2.1 散布式拒绝服务攻击 拒绝服务攻击（ DoS）也称洪水攻击，从广义的 角度上讲，任何经过合法方式使目标电脑的网络或系 统资源耗尽，从而没法向用户供给正常服务的攻击方 式均属于 DoS攻击范围。DDoS攻击是攻击者利用大批 傀儡计算机对攻击目标发动大批的正常或非正常恳求， 从而耗尽目标主机资源，最后使受攻击主机没法正常 运转或供给服务。 2.2 DDoS攻击分类 DDoS攻击大概可分为两类： 资源耗尽型攻击和带 宽攻击。 2.2.1 资源耗尽型攻击 资源耗尽型攻击是利用协讲和系统破绽进行攻击。 常有的攻击方式包含 TCP SYN攻击、 PUSH ACK等。下 面以 SYN为例进行说明：攻击者利用 TCP的三次握手 体制，向受害主机发送大批的 TCP-SYN分组。受害主机收到恳求后需要对各个 SYN进行 ACK应答，可是攻击者经常采纳了伪源地点进行攻击，所以受害主机的 ACK分组自然得不到应答，受害主机将保持这样的半 开状态直到握手达成或许计时器超时为止 （一般来说，这个超时设准时间是分钟数目级其余，但跟着操作系统的不一样而不一样，大概在 30 秒到 2 分钟），受害主机 在未收到恳求主机的 ACK报文状况下会不停的发送 SYN-ACK给伪地点主机直到超时后才会抛弃本次连结。上述过程描绘了单个攻击报文抵达时，受害主机往常 会进行的操作，当大批的攻击报文同时抵达时，受害 主机就会因为保持了大批的半开连结而以致主机的 CPU和内存耗尽从而没法向正常用户供给服务。 2.2.2 带宽耗尽型攻击 带宽耗尽型攻击又分为直接型大水攻击和反射性大水攻击。 直接大水攻击是攻击者向受害主机发送大批的无用数据包（如 TCP大水攻击、 UDP风暴攻击和 ICMP 大水攻击）从而占用受害主机的大批网络带宽，从而让受害者没法响应合法的数据包。 反射攻击是一种间接攻击，攻击者将攻击分组的源地点设置为受害主机的地点，并将这些攻击分组广播到网络中，因为网络中的路由设施其实不知道这些分组是经过假装的攻击分组，它们均将这些分组的响应分组发往受害主机，大批的回应信息会占用受害者的大批带宽，从而使受害主机没法响应正常用户恳求。 这些网络中的路由器被称为反射 ?点。 3 DDoS检测方法 3.1 依照检测地点分类 在 DDoS检测防备方面，我们依据其部署的地点， 分为鉴于源端网络的检测、鉴于中间网络检测和鉴于 目的端网络检测。 3.1.1 鉴于源端网络检测 鉴于源端网络的检测是把 DDoS检测算法部署在发出攻击数据包的主机邻近。因为大多数 DDoS攻击中，攻击者都会经过伪源 IP 进行攻击，据此，文件 [1] 利用了 Patricia 树的汇聚方法检测 DDoS攻击。文件 [2] 经过检测全部进出本机的数据帧（去掉广播和组播数据帧）相应的源端 IP 和目的 IP，假如二者中没有本机 的 IP 地点，则说明存在伪源 IP 的数据包，那么该数据帧很有可能是假造的 DDoS攻击流。文件 [3]利用布隆过滤器构造对进出不一样接口的数目进行简单计算，而后用无参数 Cumulative Sum方法进行检测。 鉴于源端网络的检测是最为理想的一种检测方法，其长处主要有： 1.可在源端向来攻击数据包，有效地降低了因攻击数据流而造成的网络资源浪费。 2.因为这种检测方法部署在攻击源网络，所以较简单地追踪攻击源，同时也能够减少关于合法数据流的误抛弃。 3.1.2 鉴于中间网络的检测 鉴于中间网络