DDoS攻击流量检测方法

检测分类

1）误用检测

误用检测主要是根据已知的攻击特征直接检测入侵行为。首先对异常信息源建模分析提取特征向量，根据特征设计针对性的特征检测算法，若新数据样本检测出相应的特征值，则发布预警或进行反应。

优点:特异性，检测速度快，误报率低，能迅速发现已知的安全威胁。

缺点:需要人为更新特征库，提取特征码，而攻击者可以针对某一特征码进行绕过。

2）异常检测

异常检测主要是检测偏离正常数据的行为。首先对信息源进行建模分析，创建正常的系统或者网络的基准轮廓。若新数据样本偏离或者超出当前正常模式轮廓，异常检测系统就发布预警或进行反应。由于检测系统是根据正常情况定制描绘出系统或网络的正常轮廓，对于外部攻击，攻击者很难在攻击时不偏离正常轮廓，因此很容易被异常检测系统侦测到；同理，异常检测系统也可以检测来自内部的攻击。另外，异常检测系统还有能力检测以前未知的攻击。

缺点:首先只有对初始系统进行训练，才能创建正常的轮廓模型；其次，调整和维护轮廓模型也较为复杂和耗时，创建错误的轮廓模型可能导致较高的误报率。最后，一些精心构造恶意攻击，可利用异常检测训练系统使其逐渐接受恶意行为，造成漏报。

优点：异常检测旨在发现偏离，而不是具体入侵特征，因而通用性较强，对突发的新型异常事件有很好的预警作用，利于人们宏观防御，目前大部分网络异常流量检测系统均采用异常检测系统

异常流量检测算法

1）基于统计学的异常流量检测

基于统计学的异常流量检测，会假设当前网络环境处于一个似稳态的状态中。算法会在前期收集和整理大量正常流量数据，通过对历史流量数据进行统计分析或者数据变换设置初始阈值，然后对当前网络流量数据进行计算，通过与初始阈值进行对比，判断当前网络是否发生异常。如果当前网络流量数据某一统计信息超出相应阈值，则代表出现了异常流量

常用的网络流量特征有字节数､分组数､流计数､审计记录数据､审计事件的数量、间隔事件、五元组（协议､源 IP 地址､目的 IP 地址､目的端口以及目的 IP 地址）以及资源消耗事件等。

缺点：1意攻击者可通过逐渐增大恶意流量，来欺骗自适应阈值算法，使其接受恶意流量不发生报警。 2基于统计的方法还需要假定当前网络环境变化情况是一个似稳态的过程，而网络的访问具有突发性，算法还不能很好地应对目前分布式网络精心构造的攻击流量，无法满足低速攻击 LDOS 等异常流量的识别要求。3基于统计方法的异常检测无法应对 0day 漏洞攻击和一些较新颖的攻击

2）基于数据挖掘的异常检测

基于数据挖掘的异常检测，利用数据挖掘技术从海量网络流量中分析挖掘各类流量的特征信息，采用自动或半自动的建模算法，发掘出能够反映当前网络状况的特征参数如相关性（Relationship）、模式（Pattern）或者趋势（Trend）等，从更高的抽象层面揭示数据的潜在隐藏特性，以此来判断网络的异常行为情况。

目前常用的如生成归纳规则、模糊逻辑、遗传算法、神经网络、深度学习等。

3）基于机器学习的异常检测

异常流量的识别本质上是一个分类问题，该分类问题通常以学习为前提。基于机器学习的异常流量检测，是先前经验的高度抽象与模型的表达，特点在于建立模型。不同的网络流量特征，如字节数、平均包大小、分组数量、最大分组长度、流持续时间、到达时间间隔等均可以作为建模对象。

贝叶斯网络、聚类、支持向量机、马尔可夫模型等都已经广泛应用。

目前，基于机器学习的异常流量检测还处在发展阶段，综合利用各种聚类、分类、深度学习等算法的优点，扬长避短，提高网络异常流量的识别率，已经成为一种潮流。

摘自《基于云平台的分布式拒绝服务（DDoS）攻击检测技术研究 》