分布式环境下基于机器学习的DDoS攻击检测的研究与发现＊

唐思均



分布式环境下基于机器学习的DDoS攻击检测的研究与发现＊

唐思均

（宜宾职业技术学院，四川 宜宾 644000）

随着计算技术的快速发展，分布式拒绝服务（Distriibuted Denital of Service，DDoS）攻击已经成为目前信息网络不稳定的重要原因，由于僵尸网络的盛行，DDoS已经越来越严重，每次攻击都会产生严重的影响。主要围绕分布式环境下DDoS攻击原理和DDoS检测方法进行分析，探讨分布式环境下DDoS攻击系统设计与实现的有效方式，从而为相关领域提供丰富的理论基础。

分布式环境；机器学习；DDoS；攻击检测

1 DDoS攻击原理及攻击工具

1.1 DDoS攻击原理的概述

DDoS攻击通常也被称为分布式拒绝服务攻击，这是一种通过控制网络上的主机产生大量的流量来制造巨大规模数据，流损耗主机网络带宽使主机无法正常工作的攻击方式。DDoS的攻击方式主要有攻击网络带宽资源和攻击系统资源两种。由于互联网中路由器、服务机、交换机设备在带宽和数据包解析方面能力有限，因此如果大量的网络数据同时发过来，会导致网络出现堵塞，无法提供正常的服务。DDoS攻击利用消耗网络带宽的原理，产生大量不必要的数据包，给被攻击的网络设备带来巨大的数据流量，使被攻击的主机无法正常响应。消耗网络资源的DDoS攻击主要分为直流洪水攻击和反射放大攻击。

其中直流洪水攻击主要是通过控制一定数量的僵尸主机，制造大量的网络数据包，同时发送给被攻击的主机网络，使被攻击的主机因为网络带宽被占满而无法正常运行。通常情况下，直流洪水攻击有ICMP洪水攻击和UDP洪水攻击两种。反射放大攻击跟直流洪水攻击相比，原理较为复杂，由于直流洪水攻击的攻击效果并不理想，非常容易被查到攻击源头，而反射放大攻击则完美地解决了直流洪水攻击存在的缺点。反射攻击主要通过路由器、服务器等网络设备产生响应来发动攻击，反射式攻击不仅能够有效地减轻僵尸主机的运行负担，并且攻击源头也不容易被查找。常见的反射式攻击包括ACK反射攻击和DNS反射攻击等。

1.2 DDoS攻击工具的概述

根据目前数据统计，DDoS的攻击工具种类很多，最常见的攻击工具有TFN2K、SynK4、LetDown、Hyenae等。其中TFN2K的最早版本是TFN，这个程序支持多种攻击方式，经过不断完善，已经成为目前最常见的DDoS攻击方式。Synk4攻击工具是由C语言编写的，不仅可以在UNIX使用，同时还能够与GNU兼容，在没有保护设备的网络环境中，攻击效果十分明显。LetDown可以发动非常强大的洪水攻击，可以在TCP的任何阶段切断网路，攻击方式非常复杂，很多网络入侵检测系统都无法有效地拦截。Hyenae是一种有效的网络数据伪装包发生器，可以在IPv4和IPv6环境中发动各种形式的DDoS攻击，并且Hyenae可以独立运行，不受网络设备的干扰，甚至可以绕过防火墙对主机造成严重的影响。

2 DDoS检测方法

目前，DDoS的攻击方式越来越复杂，对DDoS攻击进行检测也变得越来越困难，在过去的几年里，很多网络安全研究者研发了多种检测DDoS攻击的有效工具，这些检测工具和方法有的是分布式的，有的则是集中式的。DDoS攻击检测系统主要是通过检测干扰系统服务信号为主机提供网络保护。

2.1 基于网络流量的DDoS检测方法

当主机遭到DDoS攻击时，被攻击的主机网络中会瞬间出现大量的数据包，网络流量数据会出现明显的异常，因此，基于网络流量的DDoS检测方法最直接也最有效。基于网络流量的DDoS检测方法包括基于全网流量变化检测、TCP数据包变化比例检测、子网流量变化检测三种方式。其中基于全网流量变化的检测是通过对网络中源IP和目的IP之间的流量进行检测，根据网络攻击流的相关性，可以建立相应的流量矩阵，最终检测出DDoS的攻击方式。TCP数据包变化比例检测主要是通过对网络环境中TCP数据包的标志位比例进行检测，一旦比例发生明显的变化，就会检测出相应的DDoS攻击方式。子网流量变化检测主要是通过网络中流量的变化情况，根据攻击原理，检测出DDoS攻击方式。

2.2 基于地址变化的DDoS检测方法

基于地址变化的DDoS检测方法是由源地址出现速率变化和源地址分布变化两部分组成。源地址出现速率变化的检测原理是，主机在受到DDoS攻击的时候，由于工具的数据包往往跟正常的数据包相同，但是被攻击的网络IP地址数量会急速增加，根据这个原理，使用机器学习的方式就能够快速有效地检测出DDoS的攻击方式。这种方式对源地址均匀分布的DDoS攻击检测效果非常显著。源地址分布变化的检测原理是，主机在正常运行的情况下，IP地址分布比较稳定，一旦受到DDoS攻击之后，很多IP地址都是DDoS伪造的，因此，此时IP地址分布会变得非常不稳定，根据这个特点，使用滑动窗口将数据包进行分类，通过计算相邻滑动窗口的系数，就能够有效地检测出DDoS的攻击方式。

2.3 基于数据包头统计信息变化的检测方法

如果主机受到DDoS攻击的时候，由于攻击数据包头部信息很多都是随机产生的，因此，数据包信息的统计结果会发生明显的改变。利用相应的方法检验数据包头部的信息，并与正常情况的分布信息情况进行比较，可以快速有效地分析出响应的DDoS攻击方式。另外，还可以通过对数据包进行采样分析，从而降低计算的难度，进行高效的DDoS检验。目前常见的DDoS攻击方式主要是SYN洪水，由于攻击者在进行DDoS攻击的时候，会发送大量的SYN数据包，但是不会对被攻击主机的服务器做出相应的回应，因此，能够快速消耗被攻击主机的网络宽带，使其无法正常运行。利用被攻击主机受到的SYN数据包进行分析，可以检测出发动SYN攻击的主机网络位置。

3 分布式环境下DDoS攻击检测系统设计的有效方式

3.1 进行系统框架的设计

通常情况下，分布式环境DDoS攻击检测系统由四个部分组成，分别为数据采集系统、数据处理子系统、HDFS分布式文件系统和数据分析子系统。其中数据采集子系统负责触发检测系统工作并进行源数据的获取，提取相关信息为后续的工作做准备。数据处理系统负责对数据进行处理加工，其中包括数据包分组信息、数据特征信息提取和统一归类操作等。HDFS子系统是对海量的数据信息进行快速有效的储存，当进行数据处理的时候，能够将数据信息进行快速的提取。数据分析子系统主要负责对数据特征进行分析，检测出相应的DDoS攻击方式。

3.2 数据采集子系统的设计

数据采集子系统主要负责对数据包信息进行快速提取，在获取数据包的时候，数据采集子系统会根据相应的原理提取其中不同的特征信息，并快速发送给后面的系统进行相应的处理和检测工作。数据采集系统另一个重要的功能是能够快速启动DDoS攻击检测系统。在主机正常运行的情况下，不会对DDoS攻击进行检测，只有在数据采集子系统获取相应的数据包之后，才会启动这一功能。因此，数据采集子系统的设计对于检测DDoS有着非常重要的作用。

3.3 HDFS分布式文件系统设计

在DDoS检测系统中，HDFS分布式文件系统主要负责数据包的储存工作，数据采集系统会将获取的数据包传送给HDFS分布式文件系统，然后HDFS会以文本的形式进行保存。HDFS系统有很多应有优势，不仅适应各种大数据的储存，同时也能够在性能较低的主机上运行，并且HDFS系统有着一定的容错机制，每份数据包信息都会进行多份储存。通常情况下，HDFS系统是由客户端、Secondary NameNode节点、NameNode节点组成，数据被获取之后，系统会自动缓存一定的时间，且每过一定的时间，HDFS客户端就会将文本文件储存到HDFS系统中，确保数据采集子系统提取的信息能够进行快速有效的存储。

3.4 数据处理子系统

数据处理子系统的主要作用是对数据进行一定的加工处理，主要包括分组、特征信息提取等。通常情况下，数据处理子系统都是利用Java语言进行编写，包括数据分组和数据提取两个部分。数据分组功能是将处理过的信息根据数据特征进行快速有效地分组，分组原理跟协议类型有所不同。数据提取是将分组后的数据根据特征进行提取，这个功能通常是利用Spark进行设计，具有较快的反应速度和较高的可拓展性。

3.5 数据分析子系统的设计

数据分析子系统的功能主要是对检测的数据进行分析，获得相应的DDoS攻击的IP地址，其中BP神经网络是数据分析子系统的核心。在进行大量的样本分析的过程中，数据分析子系统会利用BM-HJ-GSO算法进行误差分析，从而获取DDoS攻击的引擎信息，对DDPS攻击检测系统输入相应的特征数据后，可以对DDoS进行全面的检测，并得出相应的分析结果。在进行BM－HJ-GSO计算的时候，通常需要使用Spark算法，这样可以快速有效地获取DDoS的初始值。通过使用BP神经网络的初始值，可以对DDoS进行全方位的检测工作。在对BP神经网络进行调试的过程中，需要获取相应的神经网络模型。将检测模型的特征信息转化成RDD信息，然后再对DDoS进行检测。

4 结语

随着计算机技术的快速发展，为了给用户的网络使用安全提供保障，应该完善分布式环境下基于机器学习的DDoS的检测技术，网络安全人员需要明确DDoS的攻击原理和常见的DDoS攻击工具的特点，设计相应的DDoS检测系统，从而快速有效地检测出DDoS攻击方式，使用户的网络能够不受干扰。

［1］谭淼.分布式环境下基于机器学习的DDoS攻击检测的研究与实现［D］.北京：北京邮电大学，2018.

［2］贾斌.基于机器学习和统计分析的DDoS攻击检测技术研究［D］.北京：北京邮电大学，2017.

［3］刘运.DDoS Flooding攻击检测技术研究［D］.长沙：国防科学技术大学，2011.

［4］孙永强.基于机器学习的分布式拒绝服务攻击检测方法研究［D］.长沙：国防科学技术大学，2006.

唐思均（1980—），男，四川宜宾人，研究生，讲师，研究方向为计算机科学。

四川省教育厅科研项目“基于分布式拒绝服务攻击（DDoS）防御技术研究”（项目编号：18ZB0678）

2095－6835（2019）07－0001－02

TP393.08

A

10.15913/j.cnki.kjycx.2019.07.001

〔编辑：严丽琴〕