唐思均

?

分布式環(huán)境下基于機(jī)器學(xué)習(xí)的DDoS攻擊檢測的研究與發(fā)現(xiàn)＊

唐思均

（宜賓職業(yè)技術(shù)學(xué)院，四川 宜賓 644000）

隨著計(jì)算技術(shù)的快速發(fā)展，分布式拒絕服務(wù)（Distriibuted Denital of Service，DDoS）攻擊已經(jīng)成為目前信息網(wǎng)絡(luò)不穩(wěn)定的重要原因，由于僵尸網(wǎng)絡(luò)的盛行，DDoS已經(jīng)越來越嚴(yán)重，每次攻擊都會產(chǎn)生嚴(yán)重的影響。主要圍繞分布式環(huán)境下DDoS攻擊原理和DDoS檢測方法進(jìn)行分析，探討分布式環(huán)境下DDoS攻擊系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)的有效方式，從而為相關(guān)領(lǐng)域提供豐富的理論基礎(chǔ)。

分布式環(huán)境；機(jī)器學(xué)習(xí)；DDoS；攻擊檢測

1 DDoS攻擊原理及攻擊工具

1.1 DDoS攻擊原理的概述

DDoS攻擊通常也被稱為分布式拒絕服務(wù)攻擊，這是一種通過控制網(wǎng)絡(luò)上的主機(jī)產(chǎn)生大量的流量來制造巨大規(guī)模數(shù)據(jù)，流損耗主機(jī)網(wǎng)絡(luò)帶寬使主機(jī)無法正常工作的攻擊方式。DDoS的攻擊方式主要有攻擊網(wǎng)絡(luò)帶寬資源和攻擊系統(tǒng)資源兩種。由于互聯(lián)網(wǎng)中路由器、服務(wù)機(jī)、交換機(jī)設(shè)備在帶寬和數(shù)據(jù)包解析方面能力有限，因此如果大量的網(wǎng)絡(luò)數(shù)據(jù)同時發(fā)過來，會導(dǎo)致網(wǎng)絡(luò)出現(xiàn)堵塞，無法提供正常的服務(wù)。DDoS攻擊利用消耗網(wǎng)絡(luò)帶寬的原理，產(chǎn)生大量不必要的數(shù)據(jù)包，給被攻擊的網(wǎng)絡(luò)設(shè)備帶來巨大的數(shù)據(jù)流量，使被攻擊的主機(jī)無法正常響應(yīng)。消耗網(wǎng)絡(luò)資源的DDoS攻擊主要分為直流洪水攻擊和反射放大攻擊。

其中直流洪水攻擊主要是通過控制一定數(shù)量的僵尸主機(jī)，制造大量的網(wǎng)絡(luò)數(shù)據(jù)包，同時發(fā)送給被攻擊的主機(jī)網(wǎng)絡(luò)，使被攻擊的主機(jī)因?yàn)榫W(wǎng)絡(luò)帶寬被占滿而無法正常運(yùn)行。通常情況下，直流洪水攻擊有ICMP洪水攻擊和UDP洪水攻擊兩種。反射放大攻擊跟直流洪水攻擊相比，原理較為復(fù)雜，由于直流洪水攻擊的攻擊效果并不理想，非常容易被查到攻擊源頭，而反射放大攻擊則完美地解決了直流洪水攻擊存在的缺點(diǎn)。反射攻擊主要通過路由器、服務(wù)器等網(wǎng)絡(luò)設(shè)備產(chǎn)生響應(yīng)來發(fā)動攻擊，反射式攻擊不僅能夠有效地減輕僵尸主機(jī)的運(yùn)行負(fù)擔(dān)，并且攻擊源頭也不容易被查找。常見的反射式攻擊包括ACK反射攻擊和DNS反射攻擊等。

1.2 DDoS攻擊工具的概述

根據(jù)目前數(shù)據(jù)統(tǒng)計(jì)，DDoS的攻擊工具種類很多，最常見的攻擊工具有TFN2K、SynK4、LetDown、Hyenae等。其中TFN2K的最早版本是TFN，這個程序支持多種攻擊方式，經(jīng)過不斷完善，已經(jīng)成為目前最常見的DDoS攻擊方式。Synk4攻擊工具是由C語言編寫的，不僅可以在UNIX使用，同時還能夠與GNU兼容，在沒有保護(hù)設(shè)備的網(wǎng)絡(luò)環(huán)境中，攻擊效果十分明顯。LetDown可以發(fā)動非常強(qiáng)大的洪水攻擊，可以在TCP的任何階段切斷網(wǎng)路，攻擊方式非常復(fù)雜，很多網(wǎng)絡(luò)入侵檢測系統(tǒng)都無法有效地?cái)r截。Hyenae是一種有效的網(wǎng)絡(luò)數(shù)據(jù)偽裝包發(fā)生器，可以在IPv4和IPv6環(huán)境中發(fā)動各種形式的DDoS攻擊，并且Hyenae可以獨(dú)立運(yùn)行，不受網(wǎng)絡(luò)設(shè)備的干擾，甚至可以繞過防火墻對主機(jī)造成嚴(yán)重的影響。

2 DDoS檢測方法

目前，DDoS的攻擊方式越來越復(fù)雜，對DDoS攻擊進(jìn)行檢測也變得越來越困難，在過去的幾年里，很多網(wǎng)絡(luò)安全研究者研發(fā)了多種檢測DDoS攻擊的有效工具，這些檢測工具和方法有的是分布式的，有的則是集中式的。DDoS攻擊檢測系統(tǒng)主要是通過檢測干擾系統(tǒng)服務(wù)信號為主機(jī)提供網(wǎng)絡(luò)保護(hù)。

2.1 基于網(wǎng)絡(luò)流量的DDoS檢測方法

當(dāng)主機(jī)遭到DDoS攻擊時，被攻擊的主機(jī)網(wǎng)絡(luò)中會瞬間出現(xiàn)大量的數(shù)據(jù)包，網(wǎng)絡(luò)流量數(shù)據(jù)會出現(xiàn)明顯的異常，因此，基于網(wǎng)絡(luò)流量的DDoS檢測方法最直接也最有效?；诰W(wǎng)絡(luò)流量的DDoS檢測方法包括基于全網(wǎng)流量變化檢測、TCP數(shù)據(jù)包變化比例檢測、子網(wǎng)流量變化檢測三種方式。其中基于全網(wǎng)流量變化的檢測是通過對網(wǎng)絡(luò)中源IP和目的IP之間的流量進(jìn)行檢測，根據(jù)網(wǎng)絡(luò)攻擊流的相關(guān)性，可以建立相應(yīng)的流量矩陣，最終檢測出DDoS的攻擊方式。TCP數(shù)據(jù)包變化比例檢測主要是通過對網(wǎng)絡(luò)環(huán)境中TCP數(shù)據(jù)包的標(biāo)志位比例進(jìn)行檢測，一旦比例發(fā)生明顯的變化，就會檢測出相應(yīng)的DDoS攻擊方式。子網(wǎng)流量變化檢測主要是通過網(wǎng)絡(luò)中流量的變化情況，根據(jù)攻擊原理，檢測出DDoS攻擊方式。

2.2 基于地址變化的DDoS檢測方法

基于地址變化的DDoS檢測方法是由源地址出現(xiàn)速率變化和源地址分布變化兩部分組成。源地址出現(xiàn)速率變化的檢測原理是，主機(jī)在受到DDoS攻擊的時候，由于工具的數(shù)據(jù)包往往跟正常的數(shù)據(jù)包相同，但是被攻擊的網(wǎng)絡(luò)IP地址數(shù)量會急速增加，根據(jù)這個原理，使用機(jī)器學(xué)習(xí)的方式就能夠快速有效地檢測出DDoS的攻擊方式。這種方式對源地址均勻分布的DDoS攻擊檢測效果非常顯著。源地址分布變化的檢測原理是，主機(jī)在正常運(yùn)行的情況下，IP地址分布比較穩(wěn)定，一旦受到DDoS攻擊之后，很多IP地址都是DDoS偽造的，因此，此時IP地址分布會變得非常不穩(wěn)定，根據(jù)這個特點(diǎn)，使用滑動窗口將數(shù)據(jù)包進(jìn)行分類，通過計(jì)算相鄰滑動窗口的系數(shù)，就能夠有效地檢測出DDoS的攻擊方式。

2.3 基于數(shù)據(jù)包頭統(tǒng)計(jì)信息變化的檢測方法

如果主機(jī)受到DDoS攻擊的時候，由于攻擊數(shù)據(jù)包頭部信息很多都是隨機(jī)產(chǎn)生的，因此，數(shù)據(jù)包信息的統(tǒng)計(jì)結(jié)果會發(fā)生明顯的改變。利用相應(yīng)的方法檢驗(yàn)數(shù)據(jù)包頭部的信息，并與正常情況的分布信息情況進(jìn)行比較，可以快速有效地分析出響應(yīng)的DDoS攻擊方式。另外，還可以通過對數(shù)據(jù)包進(jìn)行采樣分析，從而降低計(jì)算的難度，進(jìn)行高效的DDoS檢驗(yàn)。目前常見的DDoS攻擊方式主要是SYN洪水，由于攻擊者在進(jìn)行DDoS攻擊的時候，會發(fā)送大量的SYN數(shù)據(jù)包，但是不會對被攻擊主機(jī)的服務(wù)器做出相應(yīng)的回應(yīng)，因此，能夠快速消耗被攻擊主機(jī)的網(wǎng)絡(luò)寬帶，使其無法正常運(yùn)行。利用被攻擊主機(jī)受到的SYN數(shù)據(jù)包進(jìn)行分析，可以檢測出發(fā)動SYN攻擊的主機(jī)網(wǎng)絡(luò)位置。

3 分布式環(huán)境下DDoS攻擊檢測系統(tǒng)設(shè)計(jì)的有效方式

3.1 進(jìn)行系統(tǒng)框架的設(shè)計(jì)

通常情況下，分布式環(huán)境DDoS攻擊檢測系統(tǒng)由四個部分組成，分別為數(shù)據(jù)采集系統(tǒng)、數(shù)據(jù)處理子系統(tǒng)、HDFS分布式文件系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)。其中數(shù)據(jù)采集子系統(tǒng)負(fù)責(zé)觸發(fā)檢測系統(tǒng)工作并進(jìn)行源數(shù)據(jù)的獲取，提取相關(guān)信息為后續(xù)的工作做準(zhǔn)備。數(shù)據(jù)處理系統(tǒng)負(fù)責(zé)對數(shù)據(jù)進(jìn)行處理加工，其中包括數(shù)據(jù)包分組信息、數(shù)據(jù)特征信息提取和統(tǒng)一歸類操作等。HDFS子系統(tǒng)是對海量的數(shù)據(jù)信息進(jìn)行快速有效的儲存，當(dāng)進(jìn)行數(shù)據(jù)處理的時候，能夠?qū)?shù)據(jù)信息進(jìn)行快速的提取。數(shù)據(jù)分析子系統(tǒng)主要負(fù)責(zé)對數(shù)據(jù)特征進(jìn)行分析，檢測出相應(yīng)的DDoS攻擊方式。

3.2 數(shù)據(jù)采集子系統(tǒng)的設(shè)計(jì)

數(shù)據(jù)采集子系統(tǒng)主要負(fù)責(zé)對數(shù)據(jù)包信息進(jìn)行快速提取，在獲取數(shù)據(jù)包的時候，數(shù)據(jù)采集子系統(tǒng)會根據(jù)相應(yīng)的原理提取其中不同的特征信息，并快速發(fā)送給后面的系統(tǒng)進(jìn)行相應(yīng)的處理和檢測工作。數(shù)據(jù)采集系統(tǒng)另一個重要的功能是能夠快速啟動DDoS攻擊檢測系統(tǒng)。在主機(jī)正常運(yùn)行的情況下，不會對DDoS攻擊進(jìn)行檢測，只有在數(shù)據(jù)采集子系統(tǒng)獲取相應(yīng)的數(shù)據(jù)包之后，才會啟動這一功能。因此，數(shù)據(jù)采集子系統(tǒng)的設(shè)計(jì)對于檢測DDoS有著非常重要的作用。

3.3 HDFS分布式文件系統(tǒng)設(shè)計(jì)

在DDoS檢測系統(tǒng)中，HDFS分布式文件系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)包的儲存工作，數(shù)據(jù)采集系統(tǒng)會將獲取的數(shù)據(jù)包傳送給HDFS分布式文件系統(tǒng)，然后HDFS會以文本的形式進(jìn)行保存。HDFS系統(tǒng)有很多應(yīng)有優(yōu)勢，不僅適應(yīng)各種大數(shù)據(jù)的儲存，同時也能夠在性能較低的主機(jī)上運(yùn)行，并且HDFS系統(tǒng)有著一定的容錯機(jī)制，每份數(shù)據(jù)包信息都會進(jìn)行多份儲存。通常情況下，HDFS系統(tǒng)是由客戶端、Secondary NameNode節(jié)點(diǎn)、NameNode節(jié)點(diǎn)組成，數(shù)據(jù)被獲取之后，系統(tǒng)會自動緩存一定的時間，且每過一定的時間，HDFS客戶端就會將文本文件儲存到HDFS系統(tǒng)中，確保數(shù)據(jù)采集子系統(tǒng)提取的信息能夠進(jìn)行快速有效的存儲。

3.4 數(shù)據(jù)處理子系統(tǒng)

數(shù)據(jù)處理子系統(tǒng)的主要作用是對數(shù)據(jù)進(jìn)行一定的加工處理，主要包括分組、特征信息提取等。通常情況下，數(shù)據(jù)處理子系統(tǒng)都是利用Java語言進(jìn)行編寫，包括數(shù)據(jù)分組和數(shù)據(jù)提取兩個部分。數(shù)據(jù)分組功能是將處理過的信息根據(jù)數(shù)據(jù)特征進(jìn)行快速有效地分組，分組原理跟協(xié)議類型有所不同。數(shù)據(jù)提取是將分組后的數(shù)據(jù)根據(jù)特征進(jìn)行提取，這個功能通常是利用Spark進(jìn)行設(shè)計(jì)，具有較快的反應(yīng)速度和較高的可拓展性。

3.5 數(shù)據(jù)分析子系統(tǒng)的設(shè)計(jì)

數(shù)據(jù)分析子系統(tǒng)的功能主要是對檢測的數(shù)據(jù)進(jìn)行分析，獲得相應(yīng)的DDoS攻擊的IP地址，其中BP神經(jīng)網(wǎng)絡(luò)是數(shù)據(jù)分析子系統(tǒng)的核心。在進(jìn)行大量的樣本分析的過程中，數(shù)據(jù)分析子系統(tǒng)會利用BM-HJ-GSO算法進(jìn)行誤差分析，從而獲取DDoS攻擊的引擎信息，對DDPS攻擊檢測系統(tǒng)輸入相應(yīng)的特征數(shù)據(jù)后，可以對DDoS進(jìn)行全面的檢測，并得出相應(yīng)的分析結(jié)果。在進(jìn)行BM－HJ-GSO計(jì)算的時候，通常需要使用Spark算法，這樣可以快速有效地獲取DDoS的初始值。通過使用BP神經(jīng)網(wǎng)絡(luò)的初始值，可以對DDoS進(jìn)行全方位的檢測工作。在對BP神經(jīng)網(wǎng)絡(luò)進(jìn)行調(diào)試的過程中，需要獲取相應(yīng)的神經(jīng)網(wǎng)絡(luò)模型。將檢測模型的特征信息轉(zhuǎn)化成RDD信息，然后再對DDoS進(jìn)行檢測。

4 結(jié)語

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，為了給用戶的網(wǎng)絡(luò)使用安全提供保障，應(yīng)該完善分布式環(huán)境下基于機(jī)器學(xué)習(xí)的DDoS的檢測技術(shù)，網(wǎng)絡(luò)安全人員需要明確DDoS的攻擊原理和常見的DDoS攻擊工具的特點(diǎn)，設(shè)計(jì)相應(yīng)的DDoS檢測系統(tǒng)，從而快速有效地檢測出DDoS攻擊方式，使用戶的網(wǎng)絡(luò)能夠不受干擾。

［1］譚淼.分布式環(huán)境下基于機(jī)器學(xué)習(xí)的DDoS攻擊檢測的研究與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2018.

［2］賈斌.基于機(jī)器學(xué)習(xí)和統(tǒng)計(jì)分析的DDoS攻擊檢測技術(shù)研究［D］.北京：北京郵電大學(xué)，2017.

［3］劉運(yùn).DDoS Flooding攻擊檢測技術(shù)研究［D］.長沙：國防科學(xué)技術(shù)大學(xué)，2011.

［4］孫永強(qiáng).基于機(jī)器學(xué)習(xí)的分布式拒絕服務(wù)攻擊檢測方法研究［D］.長沙：國防科學(xué)技術(shù)大學(xué)，2006.

唐思均（1980—），男，四川宜賓人，研究生，講師，研究方向?yàn)橛?jì)算機(jī)科學(xué)。

四川省教育廳科研項(xiàng)目“基于分布式拒絕服務(wù)攻擊（DDoS）防御技術(shù)研究”（項(xiàng)目編號：18ZB0678）

2095－6835（2019）07－0001－02

TP393.08

A

10.15913/j.cnki.kjycx.2019.07.001

〔編輯：嚴(yán)麗琴〕