張婷婷，唐 勇，李云天，許云飛，張衛(wèi)豐

（1.炫彩互動(dòng)網(wǎng)絡(luò)科技有限公司 江蘇南京 210019；2.中國銀行信息科技運(yùn)營中心 上海 201210；3.南京郵電大學(xué)計(jì)算機(jī)學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院 江蘇南京 210046）

0 引言

由于應(yīng)用層DDoS 攻擊具有很強(qiáng)的分布性，攻擊者可通過全網(wǎng)搜捕傀儡機(jī)，使用抓捕到的傀儡機(jī)進(jìn)行多次遞歸搜捕其它機(jī)器，依據(jù)應(yīng)用層協(xié)議軟件漏洞等方法攻擊目標(biāo)主機(jī)［1-3］。

現(xiàn)有攻擊檢測(cè)方法無法及時(shí)響應(yīng)攻擊初期的網(wǎng)絡(luò)流量包，只能等待大規(guī)模流量進(jìn)入目標(biāo)主機(jī)后才能進(jìn)行反應(yīng)，然而此時(shí)流量值可能已經(jīng)超出目標(biāo)主機(jī)的承受范圍［4-5］。例如，Github 入侵事件中顯露出該類檢測(cè)系統(tǒng)的弊端，雖然Github 具備較強(qiáng)的DDoS 防御系統(tǒng)，能夠在短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)，但仍然在沖擊下對(duì)網(wǎng)絡(luò)造成了一定程度的影響。

根據(jù)騰訊安全聯(lián)合綠盟科技發(fā)布的《2021 上半年全球DDoS 威脅報(bào)告》顯示，DDoS 攻擊次數(shù)連續(xù)4 年呈高速增長趨勢(shì)，并在國外個(gè)別地區(qū)更為明顯，增長率高達(dá)50%。隨著云計(jì)算、5G、AI 等技術(shù)發(fā)展，100G 以上大流量攻擊呈現(xiàn)高發(fā)態(tài)勢(shì)，僅2021 年上半年攻擊次數(shù)達(dá)2 544 次，同比增長50%以上。

由此可見，將檢測(cè)系統(tǒng)作用在目標(biāo)主機(jī)處，大流量攻擊必然會(huì)造成服務(wù)器宕機(jī)。為此，本文提出一種基于近攻擊源部署的應(yīng)用層DDoS 攻擊檢測(cè)方法。該方法將檢測(cè)節(jié)點(diǎn)前向部署于近攻擊源處，通過定時(shí)和強(qiáng)化學(xué)習(xí)將正常流量進(jìn)行信息融合至目標(biāo)處，在檢測(cè)攻擊的同時(shí)攔截攻擊流量。

1 相關(guān)工作

目前國內(nèi)外針對(duì)應(yīng)用層DDoS 檢測(cè)的方法可以分為基于主機(jī)負(fù)載、數(shù)據(jù)流特征和基于用戶行為3種檢測(cè)方法。

1.1 主機(jī)負(fù)載

該方法通過觀察流量包對(duì)主機(jī)資源的影響確定是否屬于攻擊流量，例如內(nèi)存、帶寬占用情況。景泓斐等［6］根據(jù)應(yīng)用層DDoS 攻擊特點(diǎn)，結(jié)合包速率、URL 信息熵、URL條件熵3 種有效特征，提出一種基于誤差逆向傳播（Back Propagation，BP）神經(jīng)網(wǎng)絡(luò)的應(yīng)用層DDoS 攻擊檢測(cè)算法。然而該算法需要觀測(cè)攻擊流量對(duì)包速率等特征的影響，此時(shí)目標(biāo)主機(jī)已受到攻擊。

1.2 數(shù)據(jù)流特征

該方法通過統(tǒng)計(jì)網(wǎng)絡(luò)流量包特征進(jìn)行相似性檢測(cè)，從而確定應(yīng)用層DDoS 攻擊類型。張斌等［7］提出一種基于偏二叉樹SVM 多分類算法的應(yīng)用層DDoS 檢測(cè)方法。首先，通過Hash 函數(shù)對(duì)多周期內(nèi)不同源IP 地址建立索引，實(shí)時(shí)計(jì)算流量趨勢(shì)及源IP 地址分布差異所需的特征參數(shù)。然后，采用偏二叉樹結(jié)構(gòu)SVM 分類器訓(xùn)練特征參數(shù)。最后，將該方法與傳統(tǒng)SVM、Navie Bayes 進(jìn)行比較，結(jié)果表明所提方法檢測(cè)率更高，誤檢率更低，能有效區(qū)分攻擊的具體類型。然而，該方法也需要在目標(biāo)主機(jī)上進(jìn)行，無法從根本上避免主機(jī)遭受DDoS 攻擊。

1.3 用戶行為檢測(cè)

該方法根據(jù)正常和攻擊用戶訪問行為間的差異進(jìn)行檢測(cè)。劉澤宇等［8］提出一種基于Web 訪問路徑的防御檢測(cè)模型，根據(jù)訪問路徑軌跡、攻擊行為特點(diǎn)和網(wǎng)站鏈接規(guī)則，建立請(qǐng)求路徑、請(qǐng)求分布、路徑循環(huán)、行為時(shí)隙和路徑長度5 種異常檢測(cè)模型。通過計(jì)算合法用戶訪問網(wǎng)站的正常值及具有攻擊行為用戶的實(shí)時(shí)異常值之間的偏離程度，判定網(wǎng)絡(luò)是否遭受應(yīng)用層DDoS 攻擊。

然而，該模型的缺陷是需要觀察用戶行為，即在攻擊主機(jī)后才能進(jìn)行檢測(cè)，因此無法避免主機(jī)遭受DDoS 攻擊。例如，馬蘭等［9］提出一種基于隱半馬爾可夫模型檢測(cè)應(yīng)用層DDoS 攻擊。首先，采用改進(jìn)的前向后向算法，利用HSMM 建立動(dòng)態(tài)異常檢測(cè)模型追蹤正常用戶瀏覽行為。然后，學(xué)習(xí)、預(yù)測(cè)正常用戶行為得出正常檢測(cè)區(qū)間。最后，選取訪問包大小和請(qǐng)求時(shí)間間隔為特征進(jìn)行建模，檢測(cè)異常。

綜上所述，現(xiàn)如今已使用流量特征分析、行為分析、負(fù)載分析等方法檢測(cè)應(yīng)用層遭受的DDoS 攻擊。然而，上述方法均在被攻擊者一端進(jìn)行流量檢測(cè)，即使在較短時(shí)間內(nèi)對(duì)攻擊行為進(jìn)行反應(yīng)，也無法避免地對(duì)網(wǎng)絡(luò)造成一定程度的影響。

2 基于近攻擊源部署的應(yīng)用層DDoS攻擊檢測(cè)方法

為了從根本上防止主機(jī)遭受DDoS 攻擊，本文提出一種基于近攻擊源部署的應(yīng)用層DDoS 攻擊檢測(cè)方法。在近攻擊源處部署檢測(cè)節(jié)點(diǎn)，將流量檢測(cè)工作提前在目標(biāo)主機(jī)之前，避免主機(jī)受到攻擊流量干擾。同時(shí)，提出兩種信息融合機(jī)制實(shí)現(xiàn)檢測(cè)節(jié)點(diǎn)與目標(biāo)主機(jī)的信息通信，使正常流量匯聚于目標(biāo)主機(jī)，攔截攻擊流量。此外，通過節(jié)點(diǎn)、系統(tǒng)兩種評(píng)估指標(biāo)驗(yàn)證系統(tǒng)有效性。

2.1 模型框架

基于近攻擊源部署原則是將檢測(cè)節(jié)點(diǎn)盡可能部署在攻擊源的位置，每個(gè)檢測(cè)節(jié)點(diǎn)負(fù)責(zé)檢測(cè)最近網(wǎng)段攻擊任務(wù)，如果檢測(cè)到攻擊流量或判定此流量超過閾值，則將其劃分為攻擊流量進(jìn)行過濾。同時(shí)，通過信息融合技術(shù)將正常流量引流至目標(biāo)主機(jī)處。具體操作流程如圖1所示。

Fig.1 Detection model based on near attack source deployment圖1 基于近攻擊源部署的檢測(cè)模型

由圖1 可見，近攻擊源并非指部署于黑客所操控的攻擊主機(jī)，而是部署于網(wǎng)絡(luò)入口處的核心骨干網(wǎng)絡(luò)，相較于基于目標(biāo)主機(jī)檢測(cè)而言，檢測(cè)節(jié)點(diǎn)在實(shí)際網(wǎng)絡(luò)中以DDoS清洗節(jié)點(diǎn)方式獨(dú)立存在，并由網(wǎng)絡(luò)設(shè)備保證相應(yīng)流量的路由牽引和回送。

通過該方式，可保證檢測(cè)節(jié)點(diǎn)只接收網(wǎng)段流量，不會(huì)影響正常業(yè)務(wù)系統(tǒng)開銷，但由于檢測(cè)節(jié)點(diǎn)部署在網(wǎng)絡(luò)各處，DDoS 攻擊又具有很強(qiáng)的分布性，在實(shí)際部署中每個(gè)檢測(cè)節(jié)點(diǎn)遇到的攻擊流量占比較少，因此會(huì)導(dǎo)致檢測(cè)節(jié)點(diǎn)模型訓(xùn)練不足，使部分攻擊流量到達(dá)目標(biāo)主機(jī)。為了解決以上問題，本文提出融合定時(shí)信息融合機(jī)制與強(qiáng)化學(xué)習(xí)信息機(jī)制對(duì)模型進(jìn)行改進(jìn)。

2.2 定時(shí)信息融合機(jī)制

定時(shí)融合機(jī)制在每個(gè)檢測(cè)節(jié)點(diǎn)中部署一個(gè)定時(shí)器，當(dāng)達(dá)到時(shí)間閾值時(shí)，向目標(biāo)主機(jī)傳遞檢測(cè)節(jié)點(diǎn)流量包。檢測(cè)系統(tǒng)通過融合節(jié)點(diǎn)與主機(jī)間的信息，利用目標(biāo)主機(jī)進(jìn)行二次檢測(cè)以提高檢測(cè)準(zhǔn)確率，但會(huì)增加系統(tǒng)性能開銷，造成傳遞信息時(shí)間增長。

由于用戶只關(guān)注系統(tǒng)開銷時(shí)間，因此會(huì)降低模型評(píng)估性能。為減少系統(tǒng)開銷，本文流量包只包含經(jīng)過檢測(cè)節(jié)點(diǎn)降維處理后的目標(biāo)IP。定時(shí)融合機(jī)制下的檢測(cè)節(jié)點(diǎn)結(jié)構(gòu)如圖2所示。

Fig.2 Detection node structure under timing information fusion圖2 定時(shí)信息融合下的檢測(cè)節(jié)點(diǎn)結(jié)構(gòu)

由圖2 可見，基于定時(shí)融合檢測(cè)節(jié)點(diǎn)具有以下優(yōu)點(diǎn)：①檢測(cè)節(jié)點(diǎn)發(fā)現(xiàn)攻擊時(shí)，直接丟棄攻擊流量，從攻擊源處阻斷流量到達(dá)目標(biāo)主機(jī)，減少網(wǎng)絡(luò)通信和帶寬成本；②通過數(shù)據(jù)預(yù)處理和特征降維后的數(shù)據(jù)作為信息融合載體，減少傳送信息量，降低通訊代價(jià)；③定時(shí)進(jìn)行信息融合，保證檢測(cè)節(jié)點(diǎn)中漏報(bào)的攻擊流量在匯聚時(shí)均能被目標(biāo)主機(jī)處的檢測(cè)模型識(shí)別。

基于定時(shí)融合檢測(cè)方法的具體工作流程如下：

步驟1：流量備份處理。

步驟2：檢測(cè)節(jié)點(diǎn)模型訓(xùn)練。

步驟3：若目標(biāo)IP 不為目標(biāo)主機(jī)IP 的流量，系統(tǒng)將直接放行；否則進(jìn)行數(shù)據(jù)預(yù)處理、特征降維，將處理后的數(shù)據(jù)輸入檢測(cè)模塊進(jìn)行分類。

步驟4：直接丟棄攻擊流量，并進(jìn)行信息記錄；正常流量包則存儲(chǔ)于信息融合模塊。

步驟5：定時(shí)器達(dá)到時(shí)間閾值，將此時(shí)間段中流量包發(fā)送至目標(biāo)主機(jī)進(jìn)行信息融合。

2.3 強(qiáng)化學(xué)習(xí)信息融合機(jī)制

強(qiáng)化學(xué)習(xí)信息融合機(jī)制提供反饋方法使各檢測(cè)節(jié)點(diǎn)間在處理流量包時(shí)，自行決定是否需要進(jìn)行信息融合。為了使檢測(cè)節(jié)點(diǎn)擁有自主信息融合機(jī)制，在模塊中加入基于支持向量機(jī)置信度的強(qiáng)化學(xué)習(xí)算法（Hingle Loss Function Reinforcement Learning Algorithm For Support Vector Machines，SVMHLEL）進(jìn)行實(shí)現(xiàn)［10-11］。

基于強(qiáng)化學(xué)習(xí)信息融合機(jī)制具體步驟為：

步驟1：流量備份處理，完成模型數(shù)據(jù)預(yù)處理、特征重要度評(píng)估和特征降維。

步驟2：訓(xùn)練SVM 檢測(cè)模型，獲取超平面參數(shù)值w，b。

步驟3：定義SVM 置信度為P(n)(0

步驟4：定義激勵(lì)值rewardA、rewardB、rewardC。其中，rewardA

步驟5：檢測(cè)時(shí)，如果樣本為攻擊流量則將流量進(jìn)行過濾、記錄。如果樣本為正常流量且置信度超出設(shè)定閾值M時(shí)，則作為正常流量放行。如果樣本為正常流量但置信度未超出設(shè)定閾值M時(shí)，將根據(jù)置信度所在節(jié)點(diǎn)區(qū)間進(jìn)行下一步操作。

基于強(qiáng)化學(xué)習(xí)的檢測(cè)節(jié)點(diǎn)結(jié)構(gòu)是在檢測(cè)模塊中，依據(jù)SVMHLEL 算法動(dòng)態(tài)決定節(jié)點(diǎn)是否進(jìn)行信息交融。相較于定時(shí)信息交融，強(qiáng)化學(xué)習(xí)信息交融具有更強(qiáng)的動(dòng)態(tài)適應(yīng)性和更小的通信代價(jià)。檢測(cè)節(jié)點(diǎn)結(jié)構(gòu)如圖3所示。

Fig.3 Detection node structure under reinforcement learning information fusion圖3 強(qiáng)化學(xué)習(xí)信息融合下的檢測(cè)節(jié)點(diǎn)結(jié)構(gòu)

3 實(shí)驗(yàn)分析

3.1 測(cè)試環(huán)境

假設(shè)基于近攻擊源部署的應(yīng)用層DDoS 檢測(cè)系統(tǒng)由3個(gè)檢測(cè)結(jié)點(diǎn)構(gòu)成，通過不同檢測(cè)節(jié)點(diǎn)測(cè)試不同信息融合方式對(duì)系統(tǒng)性能的影響，各檢測(cè)結(jié)點(diǎn)相互獨(dú)立，通過信息融合方法將正常流量匯集至目標(biāo)主機(jī)。檢測(cè)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖4所示。

Fig.4 Application layer DDoS attack detection system architecture based on near attack source deployment圖4 基于近攻擊源部署的應(yīng)用層DDoS攻擊檢測(cè)系統(tǒng)結(jié)構(gòu)

4.2 數(shù)據(jù)集

CSE-CIC-IDS2018 入侵檢測(cè)數(shù)據(jù)集是通信安全機(jī)構(gòu)和加拿大網(wǎng)絡(luò)安全研究所在2018 年整理的網(wǎng)絡(luò)攻擊記錄數(shù)據(jù)集，該數(shù)據(jù)集包含最新的網(wǎng)絡(luò)攻擊案例，滿足現(xiàn)實(shí)網(wǎng)絡(luò)攻擊的所有標(biāo)準(zhǔn)。由于本文主要研究應(yīng)用層DDoS 攻擊，因此對(duì)數(shù)據(jù)集進(jìn)行篩選，將符合要求的數(shù)據(jù)劃分為8類，如表1所示。

Table 1 Labels in CSE-CIC-IDS2018 data-set表1 CSE-CIC-IDS2018 data-set數(shù)據(jù)集標(biāo)簽

由表1 可見，數(shù)據(jù)集數(shù)量過大將影響實(shí)驗(yàn)處理效率，并且正常流量與攻擊流量數(shù)據(jù)不平衡也會(huì)影響模型檢測(cè)率。因此，本文對(duì)數(shù)據(jù)集進(jìn)行篩選，降低正常流量在總流量的占比。同時(shí)，將數(shù)據(jù)集按照9∶1 劃分訓(xùn)練集和測(cè)試集。

根據(jù)CSE-CIC-IDS2018 數(shù)據(jù)集攻擊IP 源的特點(diǎn)，將數(shù)據(jù)集根據(jù)src_ip 特征分為以下3 類：①172.*.*.*～192.*.*.*代表檢測(cè)節(jié)點(diǎn)A 的數(shù)據(jù)集；②18.*.*.*～51.*.*.*代表檢測(cè)節(jié)點(diǎn)B 的數(shù)據(jù)集；③52.*.*.*～171.*.*.*代表檢測(cè)節(jié)點(diǎn)C 的數(shù)據(jù)集。其中，A 為定時(shí)信息融合檢測(cè)節(jié)點(diǎn)，B、C 為強(qiáng)化學(xué)習(xí)信息融合檢測(cè)節(jié)點(diǎn)。各節(jié)點(diǎn)數(shù)據(jù)相互獨(dú)立，分別進(jìn)行模型訓(xùn)練和測(cè)試。目標(biāo)主機(jī)處的檢測(cè)系統(tǒng)則通過CSE-CICIDS2018 攻擊數(shù)據(jù)集和切分后的正常流量數(shù)據(jù)集進(jìn)行模型訓(xùn)練，以確保模型檢測(cè)性能。

4.3 評(píng)估指標(biāo)

本文分別從系統(tǒng)、節(jié)點(diǎn)維度進(jìn)行分析。其中，前者包括系統(tǒng)檢測(cè)率、通信有效率和攔截率；后者包括節(jié)點(diǎn)檢測(cè)率、通信有效率和攔截率。定義系統(tǒng)中的指標(biāo)為：

4.4 測(cè)試流程

在局域網(wǎng)中，通過CSE-CIC-IDS2018 數(shù)據(jù)集對(duì)3 個(gè)目標(biāo)主機(jī)檢測(cè)節(jié)點(diǎn)和近攻擊源檢測(cè)節(jié)點(diǎn)進(jìn)行SVM 的二分類模型訓(xùn)練。由于檢測(cè)節(jié)點(diǎn)間訓(xùn)練樣本數(shù)不同，檢測(cè)節(jié)點(diǎn)檢測(cè)率不同，訓(xùn)練后的檢測(cè)率如圖5所示。

Fig.5 Node detection rate圖5 節(jié)點(diǎn)檢測(cè)率

由圖5 所示，目標(biāo)主機(jī)處檢測(cè)節(jié)點(diǎn)檢測(cè)率較高，而3 個(gè)近攻擊源檢測(cè)節(jié)點(diǎn)的檢測(cè)率較差。因此，本文將檢測(cè)節(jié)點(diǎn)發(fā)送至主機(jī)的正常流量進(jìn)行二次分類。

由于定時(shí)融合機(jī)制在達(dá)到時(shí)間閾值時(shí)，將時(shí)間段所有正常流量發(fā)送至目標(biāo)主機(jī)檢測(cè)節(jié)點(diǎn)。為此，通過拆分測(cè)試數(shù)據(jù)集，檢測(cè)等量數(shù)據(jù)模擬定時(shí)操作，一旦檢測(cè)到攻擊流量，系統(tǒng)將進(jìn)行記錄。在檢測(cè)完成后，將所有正常流量匯聚目標(biāo)主機(jī)處進(jìn)行二次檢測(cè)。本文將測(cè)試集分為5 等分，驗(yàn)證結(jié)果如表2所示。

由表2 可見，通過定時(shí)機(jī)制進(jìn)行信息融合的節(jié)點(diǎn)攔截率與檢測(cè)率一致，證明定時(shí)信息融合方式僅利用檢測(cè)節(jié)點(diǎn)分類結(jié)果作為信息發(fā)送并未提升攔截率?；趶?qiáng)化學(xué)習(xí)信息融合下的檢測(cè)節(jié)點(diǎn)中，檢測(cè)率仍然較差。因此，通過強(qiáng)化學(xué)習(xí)算法進(jìn)行信息融合，對(duì)正常流量進(jìn)行二次檢測(cè)，以確認(rèn)是否進(jìn)行通信。強(qiáng)化學(xué)習(xí)算法的訓(xùn)練結(jié)果如圖6所示（彩圖掃OSID 可見，下同）。

Fig.6 Training results of reinforcement learning圖6 強(qiáng)化學(xué)習(xí)的訓(xùn)練結(jié)果

Table 2 Node detection rate of timing information fusion表2 定時(shí)信息融合的節(jié)點(diǎn)檢測(cè)率 （%）

由圖6 可見，算法激勵(lì)值與置信度呈正相關(guān)，即樣本置信度越高，信息融合可能性越大。由此可知，可設(shè)定合適的信息融合閾值確定需要進(jìn)行融合的樣本。檢測(cè)結(jié)果如表3所示。

Table 3 Node detection rate of reinforcement learning information fusion表3 強(qiáng)化學(xué)習(xí)信息融合的節(jié)點(diǎn)檢測(cè)率 （%）

由表3 可見，基于強(qiáng)化學(xué)習(xí)信息融合的檢測(cè)節(jié)點(diǎn)既提升了攔截率，又能保證較為優(yōu)秀的通信有效率。在實(shí)際系統(tǒng)部署中，能夠降低系統(tǒng)通信代價(jià)。

為了比較兩種方式的性能差異，選用4 種節(jié)點(diǎn)組合方案進(jìn)行檢測(cè)系統(tǒng)性能比較。其中，A 為定時(shí)信息融合機(jī)制節(jié)點(diǎn)，B 為強(qiáng)化學(xué)習(xí)信息融合機(jī)制節(jié)點(diǎn)，測(cè)試結(jié)果如表4所示。

Table 4 System performance comparison of different types of node表4 不同類型節(jié)點(diǎn)的系統(tǒng)性能對(duì)比 （%）

由表4 可知，系統(tǒng)檢測(cè)率與A 節(jié)點(diǎn)數(shù)目呈正相關(guān)性，而與通訊有效率和攔截呈負(fù)相關(guān)性。由于定時(shí)信息交融機(jī)制將所有漏報(bào)攻擊流量交付目標(biāo)主機(jī)時(shí)進(jìn)行二次檢測(cè)，雖然消耗了目標(biāo)主機(jī)部分資源，但提高了系統(tǒng)檢測(cè)率。然而，強(qiáng)化學(xué)習(xí)將置信度低的樣本進(jìn)行攔截，并未進(jìn)行二次檢測(cè)，因此提高了系統(tǒng)通訊的有效率和攔截率。

如果服務(wù)器檢測(cè)時(shí)間和帶寬資源較少，而對(duì)系統(tǒng)檢測(cè)率要求不高的情況下，建議使用以B 節(jié)點(diǎn)為主的系統(tǒng)。反之則適用于以A 節(jié)點(diǎn)為主的檢測(cè)系統(tǒng)。最后，本文將4 種組合節(jié)點(diǎn)總體性能進(jìn)行比較，具體結(jié)果見表5。

Table 5 Overall system performance of different types of node combination表5 不同類型節(jié)點(diǎn)組合的系統(tǒng)總體性能 （%）

綜上所述，基于強(qiáng)化學(xué)習(xí)的信息融合機(jī)制具有更好的系統(tǒng)總體性能，在系統(tǒng)帶寬資源緊張的情況下，仍能保證系統(tǒng)的檢測(cè)效率的攔截率。由于本文實(shí)驗(yàn)是對(duì)實(shí)時(shí)流量進(jìn)行檢測(cè)，如果將流量攔截、分類后，通過信息融合完成路由牽引，將影響正常業(yè)務(wù)的通信效率。

因此，在實(shí)際業(yè)務(wù)場(chǎng)景中，基于近攻擊源部署的應(yīng)用層DDoS 攻擊檢測(cè)系統(tǒng)中的各節(jié)點(diǎn)均可異步進(jìn)行系統(tǒng)檢測(cè)，檢測(cè)流量由流量備份提供，原始流量在經(jīng)過清洗節(jié)點(diǎn)后，便能夠直接參與正常業(yè)務(wù)流程。

此外，基于離線學(xué)習(xí)的機(jī)器學(xué)習(xí)算法在訓(xùn)練時(shí)需要花費(fèi)較多時(shí)間，而在分類檢測(cè)時(shí)時(shí)耗較少，一旦清洗節(jié)點(diǎn)檢測(cè)到異常流量，便能立即通知系統(tǒng)進(jìn)行流量過濾，極大降低了攻擊流量給目標(biāo)主機(jī)帶來的危害。

4 結(jié)語

本文針對(duì)現(xiàn)有應(yīng)用層DDoS 攻擊檢測(cè)方法在檢測(cè)時(shí)易受大流量影響的情況，提出基于近攻擊源部署的應(yīng)用層DDoS 攻擊檢測(cè)方法。首先，將檢測(cè)節(jié)點(diǎn)前向部署于近攻擊源處，并利用兩種信息融合機(jī)制與主機(jī)進(jìn)行通信，建立起能使目標(biāo)主機(jī)免受大流量攻擊的檢測(cè)方法。然后，對(duì)模型進(jìn)行基于近攻擊源檢測(cè)框架建立、信息融合機(jī)制、測(cè)試分析等測(cè)試。實(shí)驗(yàn)表明，該系統(tǒng)具有良好的檢測(cè)效果和攔截率，能及時(shí)檢測(cè)并攔截攻擊流量，減少目標(biāo)主機(jī)的流量負(fù)載。

然而，該系統(tǒng)的檢測(cè)率和攔截率還不足以滿足實(shí)際需求，下一步將持續(xù)優(yōu)化方法性能，以期為解決應(yīng)用層DDoS的大流量攻擊提出新的解決方法。