日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

摘要：

隨著軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、人工智能等技術(shù)的演進(jìn)發(fā)展，云環(huán)境部署與應(yīng)用日趨成熟。分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊的新變種反射型 DDoS 因低成本、難追蹤等特點(diǎn)得到快速泛濫，云環(huán)境中的主機(jī)和應(yīng)用服務(wù)面臨著反射型 DDoS 攻擊威脅。如何檢測(cè)反射型 DDoS 攻擊行為及構(gòu)建完備的檢測(cè)防御體系成為研究熱點(diǎn)。依據(jù)反射型 DDoS 的攻擊特征，首先，對(duì)最初傳統(tǒng)網(wǎng)絡(luò)的檢測(cè)防御框架和目前結(jié)合云環(huán)境的綜合性檢測(cè)體系進(jìn)行了歸納與整理；其次，系統(tǒng)地分析其中的問(wèn)題與挑戰(zhàn)；最后，進(jìn)行總結(jié)并展望未來(lái)的研究方向，為今后進(jìn)一步的深入研究及實(shí)踐應(yīng)用提供參考。

內(nèi)容目錄：

1相關(guān)概念

1.1云環(huán)境及其相關(guān)技術(shù)

1.2DDoS

1.3反射型 DDoS

2攻擊檢測(cè)方法

2.1攻擊體系

2.2攻擊特點(diǎn)

2.3檢測(cè)方法

2.3.1基于機(jī)器學(xué)習(xí)的攻擊檢測(cè)

2.3.2基于深度學(xué)習(xí)的攻擊檢測(cè)

2.3.3基于數(shù)據(jù)包的攻擊檢測(cè)

2.3.4基于 SDN 的檢測(cè)方案

2.3.5其他檢測(cè)方法

2.3.6檢測(cè)方法對(duì)比

3結(jié)論與展望

3.1結(jié)論

3.2未來(lái)展望

近年來(lái)，伴隨云計(jì)算與云存儲(chǔ)技術(shù)的發(fā)展，云環(huán)境下用戶信息井噴式產(chǎn)生，新型云服務(wù)不斷涌現(xiàn)，網(wǎng)絡(luò)安全問(wèn)題變得更為突出。當(dāng)前云環(huán)境面臨網(wǎng)絡(luò)安全威脅和入侵攻擊，相關(guān)數(shù)據(jù)顯示云平臺(tái)遭受約三分之二的分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，并且呈分布廣、增勢(shì)快、攻擊次數(shù)增加等特點(diǎn)，惡意攻擊行為給云環(huán)境造成重大網(wǎng)絡(luò)安全事故。世界知名信息安全服務(wù)商 Arbor.NETworks指出，幾乎沒(méi)有云環(huán)境能夠避免受到 DDoS 的攻擊，攻擊者以僵尸網(wǎng)絡(luò)或反射的方式聚合成大規(guī)模流量進(jìn)行攻擊，2016 年，新變種反射型DDoS 攻擊使得美國(guó)大范圍斷電，2018 年，黑客使用 DDoS 反射放大攻擊入侵 GitHub 平臺(tái)造成網(wǎng)絡(luò)癱瘓。反射型 DDoS 攻擊以其攻擊強(qiáng)、成本低、溯源難等特點(diǎn)成為云環(huán)境網(wǎng)絡(luò)安全防護(hù)的新焦點(diǎn)。

針對(duì)反射型 DDoS 攻擊方式與特點(diǎn)，本文從機(jī)器學(xué)習(xí)、深度學(xué)習(xí)和軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）架設(shè)等方面著手，總結(jié)并歸納反射型 DDoS 攻擊的基本原理、檢測(cè)體系及問(wèn)題挑戰(zhàn)，為今后進(jìn)一步的深入研究及實(shí)踐應(yīng)用提供參考。

1 相關(guān)概念

攻擊檢測(cè)的研究主要集中在云環(huán)境與 DDoS兩方面，需要進(jìn)行概念分析。

1.1云環(huán)境及其相關(guān)技術(shù)

云環(huán)境指從資源池中為用戶或系統(tǒng)動(dòng)態(tài)化地提供計(jì)算、存儲(chǔ)以及其他服務(wù)的網(wǎng)絡(luò)環(huán)境。云環(huán)境基于云平臺(tái)、云計(jì)算、云存儲(chǔ)三大技術(shù)組成：云平臺(tái)技術(shù)實(shí)現(xiàn)了統(tǒng)一管理與共享信息資源，根據(jù)需求可持續(xù)、動(dòng)態(tài)調(diào)節(jié)服務(wù)節(jié)點(diǎn)，實(shí)現(xiàn)資源最大化利用；云計(jì)算技術(shù)屬于分布式計(jì)算之一，有著靈活性高，兼容性強(qiáng)和性價(jià)比高等優(yōu)勢(shì)，為云環(huán)境提供強(qiáng)大的算力；云存儲(chǔ)技術(shù)實(shí)現(xiàn)存儲(chǔ)資源虛擬化與用戶在線存儲(chǔ)信息的目的，減少硬件開(kāi)銷。

1.2DDoS

DDoS 即分布式拒絕服務(wù)，具有攻擊方式簡(jiǎn)單，追蹤困難，影響較廣的表征。DDoS 分為流量攻擊和資源耗盡攻擊兩種形式，前者針對(duì)網(wǎng)絡(luò)帶寬，后者針對(duì)服務(wù)器主機(jī)，都會(huì)帶來(lái)巨大的危害，是當(dāng)下最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一。由于 DDoS 在攻擊時(shí)能夠偽造源 IP 地址，因此具有隱蔽性，從而導(dǎo)致了對(duì)其進(jìn)行檢測(cè)的困難。

1.3反射型 DDoS 攻擊

反射型 DDoS 攻擊是 DDoS 新型變種攻擊方式，其攻擊方式并不是直接攻擊目標(biāo)服務(wù) IP，而是使用互聯(lián)網(wǎng)的特殊服務(wù)開(kāi)放的服務(wù)器，通過(guò)偽造被攻擊者的 IP 地址，向開(kāi)放的服務(wù)器發(fā)送請(qǐng)求數(shù)據(jù)包，服務(wù)器收到后將數(shù)倍的回答數(shù)據(jù)包發(fā)給被攻擊的 IP，最終形成對(duì)目標(biāo)的 DDoS攻擊。因此反射型 DDoS 攻擊存在成本低、追蹤難、攻擊強(qiáng)且所需肉雞少等特點(diǎn)，極可能對(duì)云環(huán)境帶來(lái)巨大安全風(fēng)險(xiǎn)。

2 攻擊檢測(cè)方法

攻擊檢測(cè)體系主要由體系、特點(diǎn)和方法 3部分構(gòu)成，因此對(duì)其進(jìn)行展開(kāi)研究。

2.1攻擊體系

一個(gè)完善的反射型 DDoS 攻擊系統(tǒng)主要由主控端、代理攻擊端、反射服務(wù)器和目標(biāo)服務(wù)器 4部分組成，如圖 1 所示。

圖 1反射型 DDoS 攻擊原理

（1）主控端。攻擊者使用的主機(jī)。主要對(duì)整個(gè)攻擊過(guò)程進(jìn)行操控，發(fā)起對(duì)目標(biāo)服務(wù)器的攻擊，將相對(duì)應(yīng)的 DDoS 程序傳入代理攻擊端，等待攻擊命令。（2）代理攻擊端。攻擊者非法入侵并利用的主機(jī)即“傀儡”機(jī)。代理攻擊端通過(guò)偽造被攻擊者的 IP 地址向反射服務(wù)器端發(fā)送連接請(qǐng)求包，間接對(duì)目標(biāo)服務(wù)器進(jìn)行攻擊，這樣的攻擊具有隱蔽性和難追蹤性。（3）反射服務(wù)器。能夠收到從代理攻擊端發(fā)出偽裝的數(shù)據(jù)包。反射服務(wù)器也無(wú)法識(shí)別請(qǐng)求發(fā)起源是否具有惡意動(dòng)機(jī)。根據(jù)傳輸控制協(xié) 議（Transmission Control Protocol，TCP） 三次握手規(guī)則，向目標(biāo)服務(wù)器發(fā)送同步序列編號(hào)（Synchronize Sequence Numbers，SYN） 和 確 認(rèn)字符（Acknowledge character，ACK）或復(fù)位（Resst，RST）等請(qǐng)求響應(yīng)的數(shù)據(jù)包，反射服務(wù)器是攻擊者真正向目標(biāo)服務(wù)器發(fā)送攻擊包的平臺(tái)。（4）目標(biāo)服務(wù)器。攻擊者的目標(biāo)即受害主機(jī)。攻擊者所發(fā)出的請(qǐng)求包 IP 是受害者的地址，反射服務(wù)器把響應(yīng)發(fā)給受害主機(jī)，攻擊者利用TCP/IP 協(xié)議缺少認(rèn)證這一漏洞，不斷發(fā)送偽裝的請(qǐng)求，使得反射服務(wù)器回應(yīng)數(shù)據(jù)包像洪流一般向服務(wù)器涌來(lái)，導(dǎo)致受害主機(jī)集中處理回應(yīng)，達(dá)到拒絕服務(wù)的目的。

2.2攻擊特點(diǎn)

根據(jù)針對(duì)的協(xié)議類型和攻擊方式的不同，DDoS 有著各類攻擊類型，而反射型 DDoS 攻擊是一種新的變種，主要存在難以追蹤且不需要大量的肉雞等特點(diǎn)。難以追蹤是由于攻擊者并不直接攻擊目標(biāo) IP，而是通過(guò)偽造受害者的 IP地址進(jìn)行攻擊。同時(shí)，攻擊者假裝受害者給放大器發(fā)包，并通過(guò)反射器再反射給受害者，因此不需要大量肉雞也能造成巨大損失。研究者要針對(duì)反射型 DDoS 的特點(diǎn)對(duì)其進(jìn)行檢測(cè)與防御，盡可能減少對(duì)網(wǎng)絡(luò)安全的威脅程度。

2.3檢測(cè)方法

對(duì)于 DDoS 的檢測(cè)主要分為機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)包和 SDN 以及其他的方法，現(xiàn)將其展開(kāi)研究。

2.3.1基于機(jī)器學(xué)習(xí)的攻擊檢測(cè)

機(jī)器學(xué)習(xí)利用多種技術(shù)提供了向計(jì)算機(jī)“學(xué)習(xí)”數(shù)據(jù)的能力，而且不需要復(fù)雜的編程，許多學(xué)者在機(jī)器學(xué)習(xí)的基礎(chǔ)上研究出各種檢測(cè)方法。例如，賈斌 提出基于機(jī)器學(xué)習(xí)與統(tǒng)計(jì)分析的檢測(cè)方法。一是基于相關(guān)性特征降維技術(shù)。使用主成分分析（Principal Component Analysis，PCA）技術(shù)對(duì)網(wǎng)絡(luò)中的多個(gè)屬性進(jìn)行降維并分析較低緯度相互關(guān)聯(lián)的特征屬性，使用基于多元降 維分析（Multivariate Dimensionality Reduction Analysis，MDRA）算法與馬氏距離的實(shí)時(shí)攻擊檢測(cè)（Real-time Attack Detection，RTAD）方法實(shí)現(xiàn)實(shí)時(shí)檢測(cè)。二是基于組合分類器的方法。使用基于組合分類器的 DDoS 攻擊隨機(jī)森林分布式 檢 測(cè)（Random Forest Distribution Detection，RFDD）模型檢測(cè)算法的隨機(jī)性，從而對(duì)網(wǎng)絡(luò)流量的屬性進(jìn)行降噪和相關(guān)性的消除，實(shí)現(xiàn)準(zhǔn)確檢測(cè)的目標(biāo)。三是基于異構(gòu)分類器集成學(xué)習(xí)方法。依據(jù)基于奇異值分解（Singular Value Decomposition，SVD） 技 術(shù) 和 Rotation Forest 集成策略的異構(gòu)多分類器集成學(xué)習(xí)（Heterogeneous Multi-classifier Ensemble Learning，HMEL）檢測(cè)模型，在檢測(cè)過(guò)程中對(duì)網(wǎng)絡(luò)流量屬性特征進(jìn)行去冗余和消除相關(guān)性來(lái)提高檢測(cè)性能。該方法都具有良好的效果，但還存在缺少真實(shí)環(huán)境與云環(huán)境的挑戰(zhàn)與問(wèn)題。而郝冠楠提出基于互信息量決策樹(shù)方法。其解決了傳統(tǒng)的 DDoS 攻擊檢測(cè)系統(tǒng)不適用于云平臺(tái)的檢測(cè)問(wèn)題，該方法計(jì)算數(shù)據(jù)屬性互信息量的平均值并進(jìn)行比較，從而獲取最大值并將其作為擴(kuò)展節(jié)點(diǎn)，通過(guò)屬性對(duì)數(shù)據(jù)進(jìn)行分割后判斷其是否純凈，如果是則結(jié)束，反之繼續(xù)分割，重復(fù)前面步驟直到分割完全并且得到完整的決策樹(shù)，最終通過(guò)決策樹(shù)總結(jié)特征與規(guī)則校驗(yàn)后進(jìn)行攻擊檢測(cè)，然而該方法只適用于 linux 系統(tǒng)，并且對(duì)于大數(shù)據(jù)場(chǎng)景的實(shí)現(xiàn)還需進(jìn)一步工作。除該文章外，在大數(shù)據(jù)或云環(huán)境中進(jìn)行 DDoS 檢測(cè)已成為研究熱點(diǎn)。例如，李博等人提出基于 Apriori 與 K-means算法結(jié)合的 DDoS 的檢測(cè)方法。首先，實(shí)時(shí)收集網(wǎng)絡(luò)數(shù)據(jù)包并獲取網(wǎng)絡(luò)流量；其次，與正常流量的閾值進(jìn)行比較，若超過(guò)閾值則進(jìn)行檢測(cè)，并通過(guò) Apriori 算法記錄數(shù)據(jù)；最后，發(fā)掘規(guī)則最終生成流量特征，利用 K-means 算法判定正常與異常流量表征，最終進(jìn)行決策與預(yù)警。王忠文提出近鄰傳播與混沌分析結(jié)合的檢測(cè)方法。當(dāng)面對(duì)復(fù)雜且龐大的 DDoS 攻擊時(shí)，根據(jù)主機(jī)的行為使用近鄰傳播算法進(jìn)行聚類，降低檢測(cè)復(fù)雜度，使用二次指數(shù)平滑模型解決流量行為相似的問(wèn)題，實(shí)現(xiàn)預(yù)測(cè)時(shí)間序列并獲取誤差值，最終通過(guò)混沌分析完成 DDoS 的攻擊檢測(cè)。衛(wèi)丹 提出兩種方法。一是基于樸素貝葉斯與信息熵的檢測(cè)。根據(jù)云環(huán)境中的 DDoS 攻擊流量特點(diǎn)進(jìn)行流量熵計(jì)算，通過(guò)設(shè)置兩個(gè)閾值并引入樸素貝葉斯算法將正常流量與 DDoS 攻擊流量進(jìn)行分類，進(jìn)一步判別該 DDoS 攻擊流量的規(guī)模，從而實(shí)現(xiàn) DDoS 最終的檢測(cè)。二是詞袋模型與 K-means 結(jié)合的攻擊檢測(cè)。使用詞袋模型對(duì)流量進(jìn)行分析，使用 K-means 算法對(duì)聚類進(jìn)行訓(xùn)練，最終通過(guò)關(guān)鍵點(diǎn)直方圖對(duì) DDoS攻擊流量進(jìn)行檢測(cè)。Xu 等人提出基于深度森林的檢測(cè)方法。在主機(jī)上提取反射型 DDoS 威脅特征訓(xùn)練深度森林模型，識(shí)別區(qū)分網(wǎng)絡(luò)流中的 IP 類型并檢測(cè)流量數(shù)據(jù)包是否異常，實(shí)現(xiàn)DDoS 攻擊檢測(cè)與防御。Aamir 等人應(yīng)用特征工程與機(jī)器學(xué)習(xí)提出 DDoS 攻擊檢測(cè)新思路。使用交叉驗(yàn)證避免在檢測(cè) DDoS 攻擊時(shí)出現(xiàn)數(shù)據(jù)過(guò)擬合和共線性問(wèn)題。Idhammad 等人使用半監(jiān)督機(jī)器學(xué)習(xí)方法進(jìn)行 DDoS 檢測(cè)。基于網(wǎng)絡(luò)熵估計(jì)、信息增益比、協(xié)同聚類和 Exra-Trees算法的半監(jiān)督機(jī)器學(xué)習(xí)方法，減少檢測(cè)流量數(shù)據(jù)的同時(shí)，提高檢測(cè)準(zhǔn)確度。

2.3.2基于深度學(xué)習(xí)的攻擊檢測(cè)

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)中新的研究方向，是一種基于對(duì)數(shù)據(jù)進(jìn)行表征學(xué)習(xí)的方法，許多學(xué)者也對(duì)該領(lǐng)域有著不同的研究與創(chuàng)新。例如，孟威提出改進(jìn)的 BP 神經(jīng)網(wǎng)絡(luò)檢測(cè)。將收集到的數(shù)據(jù)轉(zhuǎn)變?yōu)榱髁肯蛄浚@得樣本集合進(jìn)行學(xué)習(xí)并找出輸入與輸出關(guān)系，構(gòu)建學(xué)習(xí)模型來(lái)進(jìn)行檢測(cè)，最終判斷流量異常。王忠文 提出基于深度雙向循環(huán)網(wǎng)絡(luò)的檢測(cè)方案。分析網(wǎng)絡(luò)流量的數(shù)據(jù)結(jié)構(gòu)，利用包含數(shù)據(jù)輸入的深度學(xué)習(xí)模型，依據(jù)流量特征與 DDoS 屬性對(duì)流量數(shù)據(jù)進(jìn)行采樣檢測(cè)，甄別具體的攻擊類型。劉伉伉提出基于 BP 神經(jīng)網(wǎng)絡(luò)的云計(jì)算入侵檢測(cè)模型。由于 BP 神經(jīng)網(wǎng)絡(luò)存在訓(xùn)練時(shí)間長(zhǎng)、全局優(yōu)化性不高的問(wèn)題，改進(jìn)人工蜂群算法對(duì)模型進(jìn)行優(yōu)化，最終提高模型檢測(cè)性能。馬林進(jìn)提出了一種基于流量關(guān)鍵點(diǎn)詞袋模型（Stream Point Bag of word，SP-BoW）的檢測(cè)算法。該算法能夠徑直從二進(jìn)制流量中獲取關(guān)鍵點(diǎn)，降低更新特征集的人工成本，實(shí)現(xiàn)對(duì)各種拓?fù)渚W(wǎng)絡(luò)的自適應(yīng)檢測(cè)異常數(shù)據(jù)。利用詞袋模型算法并將其部署在網(wǎng)絡(luò)數(shù)據(jù)輸入點(diǎn)處，根據(jù)異常數(shù)據(jù)特征進(jìn)行訓(xùn)練，實(shí)現(xiàn)對(duì)云環(huán)境的異常數(shù)據(jù)實(shí)時(shí)檢測(cè)。肖向飛 提出改進(jìn)的卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Networks，CNN）方法。在卷積層生成分類中進(jìn)行特征映射，并求平均值完成分類，在面對(duì)數(shù)據(jù)量大、特征屬性復(fù)雜的情況下，使用改進(jìn)循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network，RNN）模型將數(shù)據(jù)集進(jìn)行切分并在長(zhǎng)短期記憶（Long Short-Term Memory，LSTM）網(wǎng)絡(luò)中進(jìn)行并行計(jì)算、同時(shí)工作，最終以較高的訓(xùn)練速度和準(zhǔn)確率進(jìn)行DDoS 的檢測(cè)。束越婕提出一種在 SDN 網(wǎng)絡(luò)架構(gòu)下基于深度學(xué)習(xí)的 DDoS 攻擊檢測(cè)機(jī)制。結(jié)合 LSTM 深度學(xué)習(xí)和支持向量機(jī)（Support Vector machines，SVM），提取數(shù)據(jù)流表特征，輸入整理好的時(shí)間序列到 LSTM 模型中進(jìn)行訓(xùn)練，并利用改進(jìn)的遺傳算法進(jìn)行優(yōu)化，引入 SVM 算法降低 LSTM 帶來(lái)的誤判率，完成攻擊檢測(cè)。

2.3.3基于數(shù)據(jù)包的攻擊檢測(cè)

數(shù)據(jù)包即分塊的傳輸數(shù)據(jù)，Tsunoda 等人通過(guò)確認(rèn)機(jī)制對(duì)簡(jiǎn)單的響應(yīng)數(shù)據(jù)包進(jìn)行檢測(cè)。該機(jī)制通過(guò)翻譯器對(duì)主機(jī)發(fā)出的請(qǐng)求包進(jìn)行查看并預(yù)測(cè)其回應(yīng)包格式，再將預(yù)測(cè)信息存儲(chǔ)在緩沖器中，最后使用匹配器將預(yù)測(cè)信息與響應(yīng)包進(jìn)行信息匹配，若匹配成功則輸出結(jié)果，否則就丟掉響應(yīng)包。該檢測(cè)方法雖然準(zhǔn)確性高，但是會(huì)浪費(fèi)資源和減緩正常連接的響應(yīng)速度。賀燕等人對(duì)Tsunoda 等人提出的檢測(cè)機(jī)制進(jìn)行改進(jìn)。在匹配器前增添監(jiān)視器，用來(lái)統(tǒng)計(jì)流量，該監(jiān)視器將預(yù)測(cè)的回應(yīng)包數(shù)量與實(shí)際的進(jìn)行比較，區(qū)分正常和潛在的回應(yīng)包來(lái)判斷是否存在反射型 DDoS 攻擊，該改進(jìn)的方式提高了正常響應(yīng)連接的速度。

2.3.4基于 SDN 的檢測(cè)方案

SDN 為軟件定義網(wǎng)絡(luò)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式，是當(dāng)前網(wǎng)絡(luò)領(lǐng)域最熱門、最具發(fā)展前途的技術(shù)之一，很多學(xué)者都對(duì)其進(jìn)行了研究。例如，Jili 等人提出在 SDN 架構(gòu)下基于信息熵的 DDoS 攻擊檢測(cè)。同時(shí)利用 SDN 轉(zhuǎn)發(fā)器實(shí)現(xiàn)對(duì) DDoS 攻擊流量的區(qū)分，使用過(guò)濾方法提供一定保護(hù)，實(shí)現(xiàn) DDoS 攻擊的檢測(cè)與保護(hù)。何亨等人提出基于 SDN 架構(gòu)的 DDoS 攻擊檢測(cè)與防御方案——SDCC。利用置信度過(guò)濾（Confidence-Based Filtering，CBF）對(duì)數(shù)據(jù)進(jìn)行分組并計(jì)算 CBF 分?jǐn)?shù)，若該分組的分?jǐn)?shù)沒(méi)有超過(guò)閾值，那么將其劃為攻擊分組，并將分組信息添加到特征庫(kù)中，通過(guò)控制器下發(fā)流表進(jìn)行攔截，最終實(shí)現(xiàn)較高效率的 DDoS 檢測(cè)。Jia 等人 針對(duì)由 SDN 控制器破壞造成的 DDoS 攻擊，提出基于 SDN 架構(gòu)的 DDoS 攻擊檢測(cè)方法。該方法結(jié)合深度學(xué)習(xí)模型（LSTM）和支持向量機(jī)（SVM），不但可以分類判斷時(shí)間序列，還能夠通過(guò)一段時(shí)間的流特征達(dá)到 DDoS 檢測(cè)判斷的目的。陳莉面對(duì) SDN 架構(gòu)中的 DDoS 攻擊，提出了基于 BP 神經(jīng)網(wǎng)絡(luò)的攻擊模型。該模型根據(jù) DDoS 的攻擊特點(diǎn)和 SDN 架構(gòu)特征，利用SDN 交換機(jī)流表項(xiàng)信息構(gòu)建特征檢測(cè)模型，最后在 SDN 仿真環(huán)境中進(jìn)行 DDoS 攻擊檢測(cè)。張吉成 提出基于 SDN 的 DDoS 攻擊防御體系。在攻擊檢測(cè)部分，重點(diǎn)在邊緣交換機(jī)端設(shè)置初始檢測(cè)模塊，利用 IP 信息熵與流量數(shù)達(dá)到快速預(yù)警，在控制器端設(shè)置相關(guān)模塊，使用隨機(jī)森林模型將提取的特征進(jìn)行輸入，最終實(shí)現(xiàn)準(zhǔn)確檢測(cè)。賀玉鵬 針對(duì) SDN 中的 DDoS 攻擊檢測(cè)問(wèn)題，提出新的研究方案。利用交換機(jī)的信息熵預(yù)先進(jìn)行正?；虍惓Ａ髁糠诸?，控制器在定位異常的流表信息后，利用優(yōu)化的 BP 神經(jīng)網(wǎng)絡(luò)對(duì)提取的特征進(jìn)行分析檢測(cè)，從而判斷是否發(fā)生攻擊。柴崢 提出基于 SDN 流表特征的DDoS 檢測(cè)。該檢測(cè)方案分為 3 個(gè)模塊，一是流表收集模塊。向交換機(jī)發(fā)送請(qǐng)求并預(yù)處理數(shù)據(jù)包，將有效信息發(fā)送給特征提取模塊。二是特征提取模塊。對(duì)流表特征進(jìn)行提取并獲得 DDoS攻擊的特征。三是分類模塊。將收集的流量進(jìn)行分類并記錄 DDoS 攻擊的交換機(jī) ID，最終判斷 DDoS 的攻擊位置，實(shí)現(xiàn)對(duì) DDoS 攻擊的檢測(cè)。胡艷提出在云環(huán)境中基于 SDN 的檢測(cè)方法。通過(guò)置信度過(guò)濾的方法過(guò)濾攻擊包并將攻擊包信息儲(chǔ)存在攻擊流特征庫(kù)中。利用負(fù)載均衡方案遷移交換機(jī)，增強(qiáng)控制器抵御 DDoS 攻擊的能力。該方法對(duì)云環(huán)境中的多種 DDoS 攻擊類型進(jìn)行檢測(cè)和防御，實(shí)現(xiàn)最終目標(biāo)。趙智勇 提出依據(jù)新型熵檢測(cè)與閾值計(jì)算，通過(guò)仿真實(shí)驗(yàn)確定算法的關(guān)鍵參數(shù)并引入相關(guān)檢測(cè)模塊中實(shí)現(xiàn)對(duì) DDoS的異常檢測(cè)。張之陽(yáng)針對(duì)云數(shù)據(jù)中心的 DDoS檢測(cè)，提出基于 SDN 特性與自適應(yīng)攻擊檢測(cè)閾值調(diào)整算法。在降低 SDN 負(fù)載的同時(shí)快速檢測(cè)DDoS 攻擊。劉濤等人提出 SDN 架構(gòu)中基于交叉熵的攻擊檢測(cè)模型。利用 SDN 交換機(jī)中央處理器（Central Processing Unit，CPU）使用率的初始檢測(cè)方法預(yù)先判斷是否發(fā)生異常，引入交叉熵原理對(duì)出現(xiàn)異常情況的交換機(jī) IP 熵和數(shù)據(jù)包進(jìn)行聯(lián)合檢測(cè)，定量分析特征相似性的正常與異常流量，通過(guò)獲取的基于交叉熵的特征實(shí)現(xiàn)流量的檢測(cè)。牛紫薇提出在 SDN 架構(gòu)下對(duì) DDoS 進(jìn)行檢測(cè)。利用隨機(jī)森林和選擇性集成方法相結(jié)合的方式進(jìn)行攻擊檢測(cè)模型的訓(xùn)練，并將其部署在 SDN 架構(gòu)上，利用在線混合數(shù)據(jù)采集的方式對(duì)攻擊檢測(cè)模型進(jìn)行檢測(cè)驗(yàn)證，提高 DDoS 攻擊的檢測(cè)率。

2.3.5其他檢測(cè)方法

王淼等人提出基于熵度量的 DDoS 攻擊檢測(cè)方法。在分布式架構(gòu)中進(jìn)行多個(gè)目標(biāo)檢測(cè)，通過(guò)計(jì)算流量熵的變化識(shí)別疑似流，使用相對(duì)熵進(jìn)一步確認(rèn)真實(shí)的攻擊流，最終達(dá)到檢測(cè)的準(zhǔn)確度。該方法兼容性較強(qiáng)，檢測(cè)精確度較高，并且適用于多個(gè)攻擊目標(biāo)的云環(huán)境 DDoS 檢測(cè)。蔡佳義提出由層次分析法（Analytic Hierarchy Process，AHP）和條件熵檢測(cè)算法組成的 DDoS攻擊檢測(cè)模型，既解決了 AHP 算法數(shù)據(jù)少、定性因子多等問(wèn)題，又解決了條件熵檢測(cè)算法復(fù)雜度高、檢測(cè)實(shí)時(shí)性弱等問(wèn)題。結(jié)合兩者的優(yōu)點(diǎn)，提高在云環(huán)境 DDoS 檢測(cè)的魯棒性。Nguyen 等人提出攻擊請(qǐng)求與業(yè)務(wù)感知自適應(yīng)閾值結(jié)合的反射型 DDoS 源端檢測(cè)。在分析網(wǎng)關(guān)流量的基礎(chǔ)上，調(diào)整收集概率并且引入流量感知的自適應(yīng)閾值和余量，最終在源端進(jìn)行反射型 DDoS 攻擊請(qǐng)求的檢測(cè)。代昆玉等人提出網(wǎng)絡(luò)流量負(fù)荷平衡策略與用戶身份認(rèn)證超重相結(jié)合的檢測(cè)方法。首先，對(duì)訪問(wèn)云計(jì)算中心的用戶實(shí)行身份認(rèn)證；其次，針對(duì)云數(shù)據(jù)的傳輸效率與安全性，引入異常流量的分層處理；最后，將兩者進(jìn)行結(jié)合，有效防御云平臺(tái)中的 DDoS 攻擊。王一川等人基于虛擬機(jī)內(nèi)省（Virtual Machine Introspection-based，VMI）和基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的特征提出對(duì)云環(huán)境內(nèi)服務(wù)器集群 DDoS 的攻擊檢測(cè)模型。當(dāng)受到 DDoS 攻擊時(shí)，該模型通過(guò)惡意度和虛擬特征庫(kù)來(lái)分辨網(wǎng)絡(luò)的行為可疑度，并且將兩者進(jìn)行有效函數(shù)測(cè)試，證實(shí)唯一納什均衡，實(shí)現(xiàn)對(duì)云環(huán)境內(nèi)部 DDoS 威脅的有效檢測(cè)。Liu 等人提出利用數(shù)據(jù)壓縮和行為差異測(cè)量實(shí)現(xiàn)對(duì)低速率 DDoS的攻擊檢測(cè)。首先，利用多維概念圖結(jié)構(gòu)對(duì)流量數(shù)據(jù)聚合與壓縮；其次，使用行為發(fā)散測(cè)量方法計(jì)算概念圖的能量比，引入改進(jìn)的指數(shù)加權(quán)移動(dòng)平均法構(gòu)建正常網(wǎng)絡(luò)的動(dòng)態(tài)閾值；最后，使用流量?jī)鼋Y(jié)機(jī)制保證閾值的標(biāo)準(zhǔn)化，以較低的誤報(bào)率實(shí)現(xiàn)檢測(cè)。Akmak 等人提出基于馬氏距離和核算法的在線 DDoS 檢測(cè)。對(duì)每分鐘的網(wǎng)絡(luò)流量的熵和統(tǒng)計(jì)特征進(jìn)行提取并作為檢測(cè)指標(biāo)，使用基于熵的內(nèi)核算法來(lái)檢測(cè)是否為 DDoS 攻擊的輸入向量。鄧娉針對(duì)云環(huán)境 Web 應(yīng)用層的 DDoS 攻擊，提出可擴(kuò)展標(biāo)記語(yǔ)言（Extensible Markup Language，XML） 和 HTTP 層 的 DDoS 攻擊 檢 測(cè)。從 簡(jiǎn) 單 對(duì) 象 訪 問(wèn) 協(xié) 議（Simple Object Access Protocol，SOAP）的正常運(yùn)行中提取數(shù)據(jù)集的特征值并構(gòu)建高斯請(qǐng)求模型，設(shè)置 Web 服務(wù)的網(wǎng)絡(luò)服務(wù)描述語(yǔ)言（Web Services DescriptionLanguage，WSDL）屬性對(duì)攻擊進(jìn)行初步過(guò)濾，對(duì)請(qǐng)求的 XML 內(nèi)容和 HTTP 頭部進(jìn)行檢測(cè)，與模型數(shù)據(jù)進(jìn)行對(duì)比后實(shí)現(xiàn)對(duì) DDoS 的檢測(cè)。Yu 等人設(shè)計(jì)了基于智能人工蜂群算法與流量減少算法。依據(jù)異常提取的思路減少數(shù)據(jù)流量，根據(jù)流量特征熵與廣義判別因子共同實(shí)現(xiàn)對(duì) DDoS 的攻擊檢測(cè)。Cui 等人提出了對(duì) DDoS 的攻擊檢測(cè)，也對(duì)后續(xù)工作做出了研究?；谡J(rèn)知啟發(fā)式計(jì)算和雙地址熵的方法，對(duì)交換機(jī)的流表特征進(jìn)行提取，結(jié)合 SVM 算法建立攻擊模型，能夠在 DDoS 攻擊前期實(shí)現(xiàn)對(duì) DDoS 的實(shí)時(shí)檢測(cè)與防御。

2.3.6檢測(cè)方法對(duì)比

對(duì)上述不同的檢測(cè)方法進(jìn)行歸納總結(jié)，對(duì)應(yīng)的優(yōu)勢(shì)、劣勢(shì)和適用場(chǎng)景如表 1 所示。

表 1不同檢測(cè)方法對(duì)比

機(jī)器學(xué)習(xí)能夠更好地進(jìn)行數(shù)據(jù)分析與挖掘，在模式識(shí)別領(lǐng)域中也能夠大展身手。其檢測(cè)方法更適用于較小數(shù)據(jù)集，由于在訓(xùn)練時(shí)不需要依賴較好的硬件條件，所以成本較低。同時(shí)，機(jī)器學(xué)習(xí)涉及直接特征工程，容易理解，但是處理特征工程較為復(fù)雜。相反，深度學(xué)習(xí)不需要特征工程，數(shù)據(jù)可以更好地?cái)U(kuò)展并進(jìn)行有效縮放。在不同的領(lǐng)域與應(yīng)用中，深度學(xué)習(xí)具有較強(qiáng)的適應(yīng)性，例如，較容易適應(yīng)語(yǔ)音識(shí)別和自然語(yǔ)言處理等場(chǎng)景，但在訓(xùn)練時(shí)，其需要依賴更好的硬件條件。數(shù)據(jù)包可用于特征提取，根據(jù)檢測(cè)表明該方法實(shí)驗(yàn)結(jié)果準(zhǔn)確度較高且成本較低，但如果使用不當(dāng)可能造成資源浪費(fèi)從而影響連接速度。SDN 作為最熱門的技術(shù)之一，被用于企業(yè)網(wǎng)與數(shù)據(jù)中心領(lǐng)域，具有網(wǎng)絡(luò)可編程、集中管理、開(kāi)放性等特點(diǎn)，但也存在著擴(kuò)展與安全問(wèn)題。

3

結(jié)論與展望

3.1結(jié)論

近年來(lái)，伴隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云環(huán)境中的安全問(wèn)題也愈發(fā)突出。鑒于 DDoS 攻擊手段的多樣化和新型化，DDoS 攻擊已成為云環(huán)境的嚴(yán)重威脅，甚至可能導(dǎo)致大規(guī)模的云服務(wù)崩潰。本文基于云環(huán)境的背景對(duì)反射型 DDoS 攻擊的檢測(cè)方法展開(kāi)相關(guān)研究與探索，現(xiàn)面臨的挑戰(zhàn)如下文所述。（1）模型完善挑戰(zhàn)。目前僅對(duì)入侵檢測(cè)模塊進(jìn)行研究，未詳細(xì)設(shè)計(jì)研究模型中的其他模塊。不斷改進(jìn)模型，保障模型功能的完整性是我們面臨的挑戰(zhàn)之一。（2）隱蔽性檢測(cè)挑戰(zhàn)。隨著攻擊方式的隱蔽性增強(qiáng)，在多種 DDoS 攻擊場(chǎng)景下，如何有效應(yīng)對(duì)復(fù)雜多變的攻擊環(huán)境、如何解決隱蔽式攻擊等成為研究亟需解決的問(wèn)題。（3）實(shí)踐應(yīng)用挑戰(zhàn)。模型未在真正的云環(huán)境或仿真環(huán)境中進(jìn)行部署實(shí)驗(yàn)，檢測(cè)準(zhǔn)確性與效率面臨嚴(yán)峻挑戰(zhàn)。

3.2未來(lái)展望

在今后的研究中，我們將從細(xì)粒度著手，設(shè)置攻擊流量檢測(cè)級(jí)別，探索構(gòu)建更適合云環(huán)境的反射型 DDoS 攻擊檢測(cè)模型，增強(qiáng)模型的檢測(cè)感知能力，將反射型 DDoS 的攻擊問(wèn)題扼殺在萌芽階段；在現(xiàn)實(shí)或仿真環(huán)境中進(jìn)行實(shí)驗(yàn)，提高模型檢測(cè)的自適應(yīng)性與檢測(cè)性能。該模型的構(gòu)建將提升應(yīng)對(duì)和防御反射型 DDoS 的攻擊的能力。

引用本文：朱颮凱 , 李慧敏 , 劉三滿 , 等 . 基于云環(huán)境的反射型 DDoS 攻擊檢測(cè) [J]. 信息安全與通信保密 ,2022(2):71-80.

作者簡(jiǎn)介 >>>

朱颮凱，男，博士，副教授，主要研究方向?yàn)闊o(wú)源感知、數(shù)據(jù)分析、網(wǎng)絡(luò)安全等；

李慧敏，女，本科在讀，主要研究方向?yàn)榫W(wǎng)絡(luò)安全；

劉三滿，女，碩士，教授，主要研究方向?yàn)殡娮訑?shù)據(jù)勘驗(yàn)、信息安全；

宋杰，男，碩 士，講 師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、隱私保護(hù)；

郭春，男，學(xué)士，助理實(shí)驗(yàn)師，主要研究方向?yàn)樾畔踩?/p>

趙菊敏，女，博士，教授，主要研究方向?yàn)槲锫?lián)網(wǎng)、信息安全。

選自《信息安全與通信保密》2022年第２期(為便于排版，已省去參考文獻(xiàn)）