分布式环境下基于机器学习的DDoS 攻击检测的研究与发现

Science and Technology &Innovation ┃科技与创新

2019年第07期

·1·

文章编号：2095－6835（2019）07－0001－02

分布式环境下基于机器学习的DDoS

攻击检测的研究与发现

＊

唐思均

（宜宾职业技术学院，四川宜宾644000）

摘要：随着计算技术的快速发展，分布式拒绝服务（Distriibuted Denital of Service ，DDoS ）攻击已经成为目前

信息网络不稳定的重要原因，由于僵尸网络的盛行，DDoS 已经越来越严重，每次攻击都会产生严重的影响。主要围绕分布式环境下DDoS 攻击原理和DDoS 检测方法进行分析，探讨分布式环境下DDoS 攻击系统设计与实现的有效方式，从而为相关领域提供丰富的理论基础。关键词：分布式环境；机器学习；DDoS ；攻击检测中图分类号：TP393.08文献标识码：A DOI ：10.15913/http://doc.xuehai.netki.kjycx.2019.07.001

1DDoS 攻击原理及攻击工具1.1DDoS 攻击原理的概述

DDoS 攻击通常也被称为分布式拒绝服务攻击，这是一种通过控制网络上的主机产生大量的流量来制造巨大规模数据，流损耗主机网络带宽使主机无法正常工作的攻击方式。DDoS 的攻击方式主要有攻击网络带宽资源和攻击系统

资源两种。由于互联网中路由器、服务机、交换机设备在带宽和数据包解析方面能力有限，因此如果大量的网络数据同时发过来，会导致网络出现堵塞，无法提供正常的服务。DDoS 攻击利用消耗网络带宽的原理，产生大量不必要的数据包，给被攻击的网络设备带来巨大的数据流量，使被攻击的主机无法正常响应。消耗网络资源的DDoS 攻击主要分为直流洪水攻击和反射放大攻击。

其中直流洪水攻击主要是通过控制一定数量的僵尸主机，制造大量的网络数据包，同时发送给被攻击的主机网络，使被攻击的主机因为网络带宽被占满而无法正常运行。通常情况下，直流洪水攻击有ICMP 洪水攻击和UDP 洪水攻击两种。反射放大攻击跟直流洪水攻击相比，原理较为复杂，由于直流洪水攻击的攻击效果并不理想，非常容易被查到攻击源头，而反射放大攻击则完美地解决了直流洪水攻击存在的缺点。反射攻击主要通过路由器、服务器等网络设备产生响应来发动攻击，反射式攻击不仅能够有效地减轻僵尸主机的运行负担，并且攻击源头也不容易被查找。常见的反射式攻击包括ACK 反射攻击和DNS 反射攻击等。1.2DDoS 攻击工具的概述

根据目前数据统计，DDoS 的攻击工具种类很多，最常见的攻击工具有TFN2K 、SynK4、LetDown 、Hyenae 等。其中TFN2K 的最早版本是TFN ，这个程序支持多种攻击方式，经过不断完善，已经成为目前最常见的DDoS 攻击方式。Synk4攻击工具是由C 语言编写的，不仅可以在UNIX 使用，同时还能够与GNU 兼容，在没有保护设备的网络环境中，攻击效果十分明显。LetDown 可以发动非常强大的洪水攻击，可以在TCP 的任何阶段切断网路，攻击方式非常复杂，很多网络入侵检测系统都无法有效地拦截。Hyenae 是一种有效的网络数据伪装包发生器，可以在IPv4和IPv6环境中发动各种形式的DDoS 攻击，并且Hyenae 可以独立运行，不受网络设备的干扰，甚至可以绕过防火墙对主机造成严重的影响。

2DDoS 检测方法

目前，DDoS 的攻击方式越来越复杂，对DDoS 攻击进行检测也变得越来越困难，在过去的几年里，很多网络安全研究者研发了多种检测DDoS 攻击的有效工具，这些检测工具和方法有的是分布式的，有的则是集中式的。DDoS 攻击检测系统主要是通过检测干扰系统服务信号为主机提供网络保护。

2.1基于网络流量的DDoS 检测方法

当主机遭到DDoS 攻击时，被攻击的主机网络中会瞬间出现大量的数据包，网络流量数据会出现明显的异常，因此，基于网络流量的DDoS 检测方法最直接也最有效。基于网络流量的DDoS 检测方法包括基于全网流量变化检测、TCP 数据包变化比例检测、子网流量变化检测三种方式。其中基于全网流量变化的检测是通过对网络中源IP 和目的IP 之间的流量进行检测，根据网络攻击流的相关性，可以建立相应的流量矩阵，最终检测出DDoS 的攻击方式。TCP 数据包变化

——————————————————————————

＊［基金项目］四川省教育厅科研项目“基于分布式拒绝服务攻击（DDoS ）防御技术研究”（项目编号：18ZB0678）

http://doc.xuehai.net. All Rights Reserved.

第1页下一页