DDOS攻击分类包括的种类_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
DDOS攻击分类包括的种类
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
你可能喜欢　　摘 要： 　　针对现有方法仅分析粗粒度的网络流量特征参数，无法在保证检测实时性的前提下识别出拒绝服务（DoS）" />
免费阅读期刊
论文发表、论文指导
周一至周五
9：00&22：00
基于流量行为特征的DoS&DDoS攻击检测与异常流识别
　　摘 要： 中国论文网 /8/view-4462151.htm　　针对现有方法仅分析粗粒度的网络流量特征参数，无法在保证检测实时性的前提下识别出拒绝服务（DoS）和分布式拒绝服务（DDoS）的攻击流这一问题，提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先，通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点；然后，在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析，以找出异常行为对应的目的IP地址；最后，提取出与异常行为相关的流量进行综合分析，以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明，基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击，并且在保证检测实时性的同时，准确地识别出与攻击相关的网络流量。 　　关键词：异常检测；异常流识别；骨干网络；信息熵；流量分析 　　0 引言 　　随着网络的不断规模化和复杂化，网络中拒绝服务（Denial of Service，DoS）攻击和分布式拒绝服务（Distributed Denial of Service， DDoS）攻击的发生频率也越来越高，给网络的正常运行带来了极大的威胁。为了保证网络的高效、安全运行，如何快速、准确地进行DoS&DDoS攻击检测已成为国内外学术界和工业界共同关注的热点问题之一。 　　国内外研究者提出了一系列方法以检测DoS攻击和DDoS攻击。按照数据源的不同，现有DoS攻击和DDoS攻击的检测方法主要可以分为两类：基于包信息的检测方法和基于网络流量行为特征的检测方法。 　　1）基于包信息的检测方法通过分析数据包中的特定信息或是用户日志等，建立判定规则，并根据实际的流量数据和这些规则的匹配关系来检测DoS攻击和DDoS攻击。典型的研究有：文献[1]提出一种基于主机日志分析的统计方法，通过分析主机的日志数据，利用统计理论对正常行为建模，并比较待检测行为与正常行为的偏离来检测网络DoS攻击。文献[2]提出了一种基于数据包包头信息综合分析的异常检测技术，通过分析目的IP地址或端口号在边沿路由器出口流量的关联检测异常。文献[3]利用TCP协议不同的控制报文在交互时呈现出的数学约束关系，提出了一种评价TCP流宏观平衡性的系统测度，并将之应用于异常检测。 　　2）基于网络流量行为特征的检测方法通过分析流量行为特征参数，如各种数据包包头信息（如IP地址、端口号等）聚合后计算得到的统计量，来进行异常检测。典型的研究有：文献[4]提出使用数据包属性的分布描述网络流量行为，通过分析数据包属性分布的变化检测异常。文献[5]利用比例不确定性去确定一些诸如IP地址、端口号等属性的剩余值，提出一种剩余空间方法（Method of Remaining Elements， MRE）来检测异常流量；文献[6]将香农熵进行推广，提出了一种基于非扩展熵的异常检测方法；文献[7]提出基于经验熵的DDoS检测方法；文献[8]将网络流量幅值看作随时间变化的信号，利用小波分析区分出背景流量和异常流量，而后根据异常持续时间和信号频率的不同采用不同的方式来检测攻击；文献[9]使用连续小波变换检测DoS攻击引起的网络流量幅值变化；文献[10]通过对聚合后的网络流量进行小波分析检测DDoS攻击。 　　基于包信息的检测方法能分析出与攻击相关的异常流量，并具有检测准确度高的优点，适用于各种用户网络。然而，由于骨干网络中数据流量巨大，逐包分析将耗费大量时间，因而该类方法应用于骨干网络时无法满足异常检测的实时性要求。基于网络流量行为特征的检测方法检测效率较高，可以做到对DoS攻击和DDoS攻击的实时检测。然而，由于该类方法仅分析粗粒度的网络流量行为特征参数，即分析网络流量聚合后计算得到的各种统计量，而未涉及细粒度的网络流量行为特征参数，即原网络流量各子流上计算得到的统计量，因而无法识别出与攻击相关的异常流量，找出攻击者的确切IP地址，从而对异常流量进行过滤；其次，该类方法的漏检率也普遍较高。 　　针对上述问题，本文提出基于流量行为特征的骨干网络DoS&DDoS攻击检测与异常流识别方法。该方法采用粗、细粒度结合的思想，在粗粒度流量行为特征参数表现出异常的时间点分析细粒度的流量异常行为特征，从而在兼顾检测实时性的同时准确识别出与攻击相关的流量。 　　1 DoS攻击与DDoS攻击 　　DoS攻击是一种通过发送大量数据包使得计算机或网络无法提供正常服务的攻击形式。它可能在短时间内耗尽网络的可用带宽或被攻击对象的系统资源，使得正常的用户请求无法被处理，从而阻碍网络中的正常通信，给被攻击者乃至网络带来巨大的危害。 　　DDoS攻击是一种隐蔽的拒绝服务攻击，攻击中的数据包来自不同的攻击源。与DoS攻击相比，DDoS攻击在单条链路上的流量更小，难以被网络设备检测，因而更易于形成。另一方面，DDoS攻击汇聚后的异常流量总量很大，极具破坏力。DDoS攻击示意图如图1所示。 　　图片 　　图1 DDoS攻击示意图 　　2 攻击检测方法 　　基于流量行为特征的骨干网络DoS&DDoS攻击检测与异常流识别方法使用粗细粒度结合的思想分析与DoS&DDoS攻击相关的流量行为特征参数。该方法通过对骨干网络流量分别进行粗、细粒度的流量行为特征参数分析，既能准确、实时地检测出骨干网络中的DoS&DDoS攻击，又能有效地识别出与攻击相关的网络流量，找出攻击者的确切IP，从而使网络管理者能够在路由器进行设置，过滤掉攻击者发送的流量，防止其对目的主机造成危害。 　　基于流量行为特征的骨干网络DoS&DDoS攻击检测与异常流识别方法包括四个步骤：流量行为特征提取，异常时间点确定，异常目的IP确定以及异常流提取与攻击判定。具体流程如下： 　　1）从网络设备中获取原始数据，并从中提取出流量行为特征；
　　2）对粗粒度的流量行为特征参数进行处理，确定异常行为发生的时间点； 　　3）分析异常行为发生的时间点流量最大的N个目的IP在历史时间窗内所构成子流的细粒度流量参数，判定异常目的IP； 　　4）找出历史时间窗内与异常目的IP对应的源IP并提取出相关异常流，综合分析异常流的行为特征参数在异常时间点的变化，判断引起该异常流的异常行为是否为DoS攻击或者DDoS攻击。 　　2.1 流量行为特征提取 　　首先，从实际的网络设备中获取骨干网络中的Netflow流量数据。由于Netflow数据是二进制流，难以直接进行操作，故需要将其转化为便于程序操作的文本形式，用于之后的检测和判别。得到上述文本后，从中提取与DoS攻击和DDoS攻击相关的流量行为特征。 　　通过对DoS攻击和DDoS攻击的特征进行调查，本文拟提取以下流量行为特征：流数量、包数量、字节数、源IP地址、目的IP地址、源自治域号、目的自治域号和目的端口号。其中，流数量、包数量和字节数从不同层次反映网络中各节点间的数据交换量，由于DoS攻击和DDoS攻击均会在攻击期间发出大量攻击包，因而大部分情况下会使网络中特定节点间的流数量、包数量和字节数上升，故这几项参数可作为判定DoS攻击和DDoS攻击的依据之一；源IP地址和目的IP地址反映网络中数据的流向，根据这两个参数能取得各主机间的流量，并判断攻击者和受害者；源自治域号和目的自治域号反映主机的分布情况，目的端口号反映攻击的性质，它们主要用于区分DoS&DDoS攻击和其他具有相似特征的网络流量异常行为。 　　2.2 异常时间点确定 　　在骨干网络中，如果将各个时间段数据包的统计过程看成是一个随机过程，将数据包中的各个属性看成是一个随机事件，那么引入信息熵的概念，就能表示各个属性分布的集中分散情况[11]。通过将时间分成一系列时间间隔，在每个时间间隔内统计网络的流量信息，属性X在该时间间隔内的信息熵定义如式（1）所示： 　　H（X）=-∑Ni=1（Pi ln Pi）（1） 　　式（1）中：Pi为属性X中某个取值出现的概率，N为属性X中所有可能的取值个数。本文中，使用信息熵作为粗粒度的网络流量行为特征参数。 　　通过对目的IP信息熵进行分析，能够确定异常行为发生的时间点。其算法描述如下： 　　其中a0由带标记的实际骨干网络流量数据训练得到。通过训练发现当a0≥0时，a0的取值越小，异常时间点中包含DoS攻击和DDoS攻击的个数越多。即a0越小，检测的漏检率越低。 　　2.3 异常目的IP确定 　　DoS攻击和DDoS攻击的一个显著特点是，由于出口带宽几乎完全被攻击包占用，或者系统资源被大量无效请求耗尽，被攻击目的IP通常无法正常地响应用户访问。针对DoS攻击和DDoS攻击这一特点，本文提出使用服务率作为检测异常目的IP的流量行为特征。服务率反映目的IP响应用户访问的能力，本文将其定义为 　　Se（t）=ns（t）/nr（t）（2） 　　式（2）中，Se（t）为待检测IP在时间点t的服务率，ns（t）为该IP在时间点t发送的数据包数，nr（t）为该IP在时间点t接收的数据包数。待检测IP的服务率下降越大，该IP遭受DoS攻击或DDoS攻击的可能性越大。 　　DoS攻击和DDoS攻击的另一个特点是，DoS攻击或DDoS攻击发生时，会引起被攻击目的IP对应的子流流量增大。为此，关注流数量、包数量、字节数这三个流量行为特征以检测异常目的IP。流数量为NetFlow流的数量。NetFlow流是具有相同Netflow信息记录的单向数据流。流数量反映了一对源IP地址和目的IP地址间在传输层的流量大小。包数量指同一源IP发给同一目的IP的数据包的个数，反映网络层的流量大小。字节数指同一源IP发给同一目的IP的字节数量，反映物理层的流量大小。DoS攻击或DDoS攻击发生时，通常会引起对应子流的一个或多个上述参数显著上升。 　　将各目的IP对应子流的这四个流量行为特征作为细粒度的网络流量行为特征参数，通过分析异常时间点的细粒度流量行为特征参数，可以确定异常目的IP。本文中，使用参数值变化比率判断细粒度流量行为特征参数是否体现出DoS攻击和DDoS攻击特点。参数值变化比率R定义如下： 　　R=A-Avar（3） 　　Avar=∑ki=1|Ai-|k（4） 　　式（3）中：A为待检测IP在异常时间点的流量行为特征参数值，为待检测IP对应子流的流量行为特征参数值在历史时间窗内各时间点的均值，其中，历史时间窗由该异常时间点及其之前的k个时间点构成。式（4）中，Ai为待检测IP在历史时间窗内各时间点对应子流的流量行为特征参数值。将式（3）、（4）描述的参数值变化比率R分别应用于流数量、包数量、字节数和服务率这四个流量参数，通过使用带标记的实际骨干网络流量数据进行训练，我们确定了如下异常目的IP判定准则：当待检测IP对应子流的流数量、包数量、字节数这三个流量行为特征参数中至少有一个参数在异常时间点呈现出显著上升的变化趋势，且其参数值变化比率R大于给定门限；同时，待检测IP对应子流的服务率在异常时间点呈现出明显下降的变化趋势，且其参数值变化比率R大于给定门限，则判定待检测IP为异常目的IP。上述准则中的相关门限均通过训练得到。另外，式（4）中k值的选取需要保证参数值变化比率对各个流量行为特征参数值突然改变的反映能力。通过使用实际骨干网络流量数据进行训练，发现当k≥5时，参数值变化比率对各个流量行为特征参数值的突然改变具有较好的刻画能力。 　　各异常时间点的异常目的IP检测流程如图2所示。首先，将该异常时间点上各目的IP对应的流量大小进行排序，并提取流量排名前N的目的IP；然后，对于每个筛选出的目的IP，提取出历史时间窗内各时间点包含该目的IP的子流；接着，计算子流的各流量行为特征参数值及其变化比率；最后，根据各目的IP对应流量的流量行为特征参数值变化趋势和变化比率，判定异常目的IP。
　　2.4 异常流提取与攻击判定 　　异常流提取与DoS&DDoS攻击判定算法如下 　　其中，通过检查待检测源IP对应子流中涉及的端口号区分DoS攻击与α攻击。绝大部分α攻击都是对以及5等特定端口进行攻击[12]，而DoS攻击则主要对0、110、113以及1433等端口进行攻击。通过分析检查待检测源IP对应子流中涉及的自治域号区分Flash Crowd与DDoS攻击[12]。Flash Crowd的攻击源在逻辑拓扑上往往集中于一个或几个自治域中，而DDoS攻击的攻击源则不具有该特征。q0和p0是通过使用带标记的实际骨干网络流量数据训练确定。 　　3 仿真结果与分析 　　使用美国Abilence网络[13]Losa汇接点上的流量数据进行仿真实验。Abilene网络使Netflow协议进行流量数据采集，采样率固定为1%。出于隐私和安全考虑，采样流量数据IP地址的后11位二进制值在记录时被隐匿。Abilene网络各汇接点的采样数据每5min被记录一次，每个汇接点每天共有288个流量数据记录文件，即288个采样时间点。Losa汇接点一周流量数据（080113）的目的IP信息熵如图3所示。 　　图片 　　图3 Losa汇接点一周流量数据的目的IP信息熵序列 　　本仿真实验使用了美国Abilence网络[13]Losa汇接点上的1月1日至1月5日的实际流量数据作为训练数据。根据文献[14]中所给方法，标出了训练数据中所有的DoS/DDoS攻击。通过分析在异常时间点计算得到的各参数值和在正常时间点计算得到的各参数值，确定了如下的参数设置。为保证尽可能小的漏检率，将a0的值设为0，即将所有目的IP熵小于前一时刻的时间点作为异常时间点。历史时间窗的宽度设为5个时间点。对于每个异常时间点，筛选出在该时间点上流量排名前100的目的IP。之后，对于每个筛选出的目的IP，提取出在历史时间窗内各时刻包含该目的IP的子流，并统计该子流的流数量、包数量、字节数和服务率四个流量特征。子流上流数量、包数量、字节数和服务率的参数值变化比率门限分别设为2.2， 2.2， 2.2和6。判定为疑似DoS攻击的流数量门限p0为800，判定为疑似DDoS攻击的流数量门限q0为1500。Losa汇接点一周流量数据（080113）的检测结果如表1所示。使用本文方法共检测出21个攻击。 　　为得到基于流量行为特征的DoS&DDoS攻击检测方法的性能指标，根据文献[14]中所给方法，标出了实验数据中所有的DoS/DDoS攻击。分析结果表明，本仿真使用的流量数据中共有23个DoS/DDoS攻击。将该结果与本文提出方法的检测结果进行比较，发现本文方法的漏检率为8.7%，误报率为0%。另外，本仿真实验提取出的与DoS/DDoS攻击相关的网络流量全部正确。 　　为了进一步比较和解释以上检测结果，将它与基于小波的检测方法[9]进行比较。基于小波的检测方法共检测出25个DoS/DDoS攻击，其中15个为真正的攻击。表2列出了三种方法的检测结果。表2的结果表明本文方法的误检率明显低于基于小波的检测方法，因为本文方法在使用粗粒度信息分析以确定异常时间点的基础上，还对细粒度的流量行为特征参数进行分析，进一步确认了DoS/DDoS攻击。在漏检率方面，由于使用了较低的异常时间点判定门限，本文方法也明显低于基于小波的检测方法。 　　需要说明的是，虽然本仿真实验使用离线的Netflow流量数据来进行检测，但本文提出的方法能够满足在线检测的实时性要求。本仿真实验使用的Losa汇接点上一周流量数据，使用主流配置的个人计算机（处理器：奔腾双核2.60GHz，内存：2GB）可以在8h以内完成对DoS/DDoS攻击的检测和异常流的提取。 　　本仿真实验的结果表明，基于流量行为特征的骨干网络DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS/DDoS攻击，并且在保证检测实时性的同时，能准确地提取出与DoS/DDoS攻击相关的网络流量。 　　4 结语 　　本文提出了一种基于流量行为特征的骨干网络DoS&DDoS攻击检测与异常流识别方法。该方法采用粗细粒度结合的思想，在粗粒度流量行为特征参数表现出异常的时间点分析细粒度的流量异常行为表征，从而在兼顾检测实时性的同时能够准确识别出与异常行为相关的流量。仿真实验结果验证了该方法的有效性。 　　参考文献： 　　[1] SMAHA S E. Haystack： An intrusion detection system[C]// Proceedings of IEEE 4th Aerospace Computer Security Applications Conference. Piscataway：IEEE， 1988： 37-44. 　　[2] KIM S S， REDDY A L N. Detecting traffic anomalies at the source through aggregate analysis of packet header data[EB/OL].[].http：//www.ece.tamu.edu/～reddy/papers/skim_net04.pdf.
转载请注明来源。原文地址：
【xzbu】郑重声明：本网站资源、信息来源于网络，完全免费共享，仅供学习和研究使用，版权和著作权归原作者所有，如有不愿意被转载的情况，请通知我们删除已转载的信息。
xzbu发布此信息目的在于传播更多信息，与本网站立场无关。xzbu不保证该信息（包括但不限于文字、数据及图表）准确性、真实性、完整性等。问题现象由于某些服务配置不当，导致服务器被黑客利用进行DDoS攻击。具体表现为机器对外带宽占满；使用抓包工具...您可以通过增加Wordpress插件来防止Pinback被利用，加入如下过滤器：add_filter(‘xmlrpc_methods’, ...
ECS 实例有对外 DDoS 攻击行为，影响云平台网络稳定，所以被安全系统锁定。安全锁定后，表示病毒已经入侵，建议您及时 创建快照 备份磁盘数据。排查 ECS 实例病毒 查看 ECS 实例网络连接状态，分析是否有可疑发送...
根据攻击类型自动对应不同的解封时间之后自动开通，同时安全系统仍然会继续检测，如果攻击仍然存在或者之后又遭到 DDoS 攻击，系统会再次按照同样的规则进行处理。由于这种攻击基本是针对共享 IP 的4层攻击，...
云盾DDoS基础防护控制台支持24小时内的DDoS攻击事件查询，需要更长周期请查看态势感知。问题：我的ECS服务器被20Mb的流量攻击了，云盾DDoS基础防护怎么不防护？云盾DDoS基础防护是公共的DDoS防护服务，不对很小的...
而且，如果有一个共享虚拟主机被DDoS攻击并触发黑洞机制，那么与它共享IP的其他虚拟主机都无法访问。建议对安全在意的用户购买独享虚拟主机或者ECS。地区 独享虚拟主机 华东 1（杭州）5G 华北 1（青岛）5G 华南 1...
云盾 DDoS 基础防护各个地域默认初始黑洞触发阈值如下表所示（单位：bps）：注意： 此黑洞默认阈值适用于阿里云 ECS、SLB、及 EIP 实例。您的 ECS、SLB...攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；...
DDoS高防IP目前支持CNAME接入和A记录接入两种方式...如果您使用的是三线套餐，当某条线路被攻击导致黑洞时，CNAME可以自动调度解析到其他可用的线路上去，避免原本解析到该线路的部分业务受到影响，保证业务的可用性。...
阿里云为用户提供了安全的云环境，可以做到实时阻断黑客攻击行为。由于部分CDN以及安全厂商产品可能具有请求转发行为或者安全扫描需求，转发时因带有源IP请求的攻击行为或者因安全扫描时触发云盾防御均会导致访问...
什么是DDoS攻击：DDoS是英文 Distributed Denial of Service的缩写，意即 分布式拒绝服务，那么什么又是拒绝服务（Denial of Service 呢？凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也...
用户不经意打开此网页时，这些恶意代码会注入到用户的浏览器中并执行，从而使用户受到攻击。一般而言，利用跨站...XSS蠕虫：借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。...
在安全报表页面，单击DDoS攻击防护、CC攻击防护、Web攻击防护查看三种类型的攻击防护日志报表。每个类型的报表支持设置开始和结束时间的查询条件。同时，在DDoS攻击防护报表中，还会展示攻击类型及攻击源IP信息。
关于清洗阿里云服务器默认提供DDoS攻击防御功能。当网络流量超过阈值时，自动对该IP流量进行清洗。清洗是指将流量从原始网络路径中重定向到清洗设备上，通过清洗设备对该IP的流量成分进行正常和异常判断，丢弃异常...
ECS服务器遭到大量DDoS攻击，DDOS攻击的流量超出云盾黑洞阈值之后，ECS服务器进入黑洞，导致服务器无法正常使用。此时，该如何查看进入黑洞的时间以及攻击流量?查看方法注意：目前各个地域的ECS服务器的黑洞阈值可能...
DDoS 攻击不仅影响受害者，也会对整个云网络造成严重影响。而且 DDoS 防御需要成本，其中最大的成本就是带宽费用。带宽是阿里云向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉，...
Flood、CC攻击等三到七层DDoS攻击，可防护的攻击类型请参考下图：DDoS高防IP服务使用专门的高防机房为您提供DDoS防护服务。网络拓扑示意图如下： 左侧是DDoS高防IP防护服务结构，右侧是阿里云提供的免费DDoS防护服务...
阿里云提供的高防IP是对多个公网IP进行DDoS攻击防护服务。高防IP通过流量转发扩展应用系统对外的防护能力，通过高防机房的大带宽储备和DDoS攻击流量清洗能力来提升应用系统的可用性。防护系统SLA 99.99% 清洗防护...
注意：云盾DDoS基础防护提供DDoS攻击防御，默认情况下，当超过每秒180M流量、每秒30,000个报文数、每秒480个HTTP请求 中的任何一项，云盾会自动启动DDoS防御服务。因此，如您需进行云服务器压力测试，可在 云盾管理...
游戏盾专为游戏行业定制，针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。目前，游戏盾尚在部分区域进行灰度测试中，暂未对全网开放，如需定制请联系您的商务经理。游戏盾包含什么内容？游戏盾包含抗D节点...
端口（如您需要 DNS 防护服务请使用云解析产品），提供针对三层到四层的各类DDoS攻击防护，包括SYN flood、ACK flood、UDP flood、ICMP flood等，但无法防护基于七层的攻击，如CC、SQL注入等攻击。本质区别 非网站...
未解决问题？到论坛提问试试吧!
你可能感兴趣