基于云环境的反射型 DDoS 攻击检测

1相关概念攻击检测的研究主要集中在云环境与DDoS两方面，需要进行概念分析。1.1云环境及其相关技术云环境指从资源池中为用户或系统动态化地提供计算、存储以及其他服务的网络环境。云环境基于云平台、云计算、云存储三大技术组成：云平台技术实现了统一管理与共享信息资源，根据需求可持续、动态调节服务节点，实现资源最大化利用；云计算技术属于分布式计算之一，有着灵活性高，兼容性强和性价比高等优势，为云环境提供强大的算力；云存储技术实现存储资源虚拟化与用户在线存储信息的目的，减少硬件开销。1.2DDoSDDoS即分布式拒绝服务，具有攻击方式简单，追踪困难，影响较广的表征。DDoS分为流量攻击和资源耗尽攻击两种形式，前者针对网络带宽，后者针对服务器主机，都会带来巨大的危害，是当下最严重的网络安全威胁之一。由于DDoS在攻击时能够伪造源IP地址，因此具有隐蔽性，从而导致了对其进行检测的困难。1.3反射型DDoS

攻击反射型DDoS攻击是DDoS新型变种攻击方式，其攻击方式并不是直接攻击目标服务IP，而是使用互联网的特殊服务开放的服务器，通过伪造被攻击者的IP地址，向开放的服务器发送请求数据包，服务器收到后将数倍的回答数据包发给被攻击的IP，最终形成对目标的DDoS攻击。因此反射型DDoS攻击存在成本低、追踪难、攻击强且所需肉鸡少等特点，极可能对云环境带来巨大安全风险。2攻击检测方法攻击检测体系主要由体系、特点和方法3部分构成，因此对其进行展开研究。2.1攻击体系一个完善的反射型DDoS攻击系统主要由主控端、代理攻击端、反射服务器和目标服务器4部分组成，如图1所示。图1反射型DDoS攻击原理（1）主控端。攻击者使用的主机。主要对整个攻击过程进行操控，发起对目标服务器的攻击，将相对应的DDoS程序传入代理攻击端，等待攻击命令。（2）代理攻击端。攻击者非法入侵并利用的主机即“傀儡”机。代理攻击端通过伪造被攻击者的IP地址向反射服务器端发送连接请求包，间接对目标服务器进行攻击，这样的攻击具有隐蔽性和难追踪性。（3）反射服务器。能够收到从代理攻击端发出伪装的数据包。反射服务器也无法识别请求发起源是否具有恶意动机。根据传输控制协议（TransmissionControlProtocol，TCP）三次握手规则，向目标服务器发送同步序列编号（SynchronizeSequenceNumbers，SYN）和确认字符（Acknowledgecharacter，ACK）或复位（Resst，RST）等请求响应的数据包，反射服务器是攻击者真正向目标服务器发送攻击包的平台。（4）目标服务器。攻击者的目标即受害主机。攻击者所发出的请求包IP是受害者的地址，反射服务器把响应发给受害主机，攻击者利用TCP/IP协议缺少认证这一漏洞，不断发送伪装的请求，使得反射服务器回应数据包像洪流一般向服务器涌来，导致受害主机集中处理回应，达到拒绝服务的目的。2.2攻击特点根据针对的协议类型和攻击方式的不同，DDoS有着各类攻击类型，而反射型DDoS攻击是一种新的变种，主要存在难以追踪且不需要大量的肉鸡等特点。难以追踪是由于攻击者并不直接攻击目标IP，而是通过伪造受害者的IP地址进行攻击。同时，攻击者假装受害者给放大器发包，并通过反射器再反射给受害者，因此不需要大量肉鸡也能造成巨大损失。研究者要针对反射型DDoS的特点对其进行检测与防御，尽可能减少对网络安全的威胁程度。2.3检测方法对于DDoS的检测主要分为机器学习、深度学习、数据包和SDN以及其他的方法，现将其展开研究。2.3.1基于机器学习的攻击检测机器学习利用多种技术提供了向计算机“学习”数据的能力，而且不需要复杂的编程，许多学者在机器学习的基础上研究出各种检测方法。例如，贾斌

提出基于机器学习与统计分析的检测方法。一是基于相关性特征降维技术。使用主成分分析（PrincipalComponentAnalysis，PCA）技术对网络中的多个属性进行降维并分析较低纬度相互关联的特征属性，使用基于多元降维分析（MultivariateDimensionalityReductionAnalysis，MDRA）算法与马氏距离的实时攻击检测（Real-timeAttackDetection，RTAD）方法实现实时检测。二是基于组合分类器的方法。使用基于组合分类器的DDoS攻击随机森林分布式检测（RandomForestDistributionDetection，RFDD）模型检测算法的随机性，从而对网络流量的属性进行降噪和相关性的消除，实现准确检测的目标。三是基于异构分类器集成学习方法。依据基于奇异值分解（SingularValueDecomposition，SVD）技术和RotationForest集成策略的异构多分类器集成学习（HeterogeneousMulti-classifierEnsembleLearning，HMEL）检测模型，在检测过程中对网络流量属性特征进行去冗余和消除相关性来提高检测性能。该方法都具有良好的效果，但还存在缺少真实环境与云环境的挑战与问题。而提出基于互信息量决策树方法。其解决了传统的DDoS攻击检测系统不适用于云平台的检测问题，该方法计算数据属性互信息量的平均值并进行比较，从而获取最大值并将其作为扩展节点，通过属性对数据进行分割后判断其是否纯净，如果是则结束，反之继续分割，重复前面步骤直到分割完全并且得到完整的决策树，最终通过决策树总结特征与规则校验后进行攻击检测，然而该方法只适用于Linux系统，并且对于大数据场景的实现还需进一步工作。除该文章外，在大数据或云环境中进行DDoS检测已成为研究热点。例如，提出基于Apriori与K-means算法结合的DDoS的检测方法。首先，实时收集网络数据包并获取网络流量；其次，与正常流量的阈值进行比较，若超过阈值则进行检测，并通过Apriori算法记录数据；最后，发掘规则最终生成流量特征，利用K-means算法判定正常与异常流量表征，最终进行决策与预警。提出近邻传播与混沌分析结合的检测方法。当面对复杂且庞大的DDoS攻击时，根据主机的行为使用近邻传播算法进行聚类，降低检测复杂度，使用二次指数平滑模型解决流量行为相似的问题，实现预测时间序列并获取误差值，最终通过混沌分析完成DDoS的攻击检测。提出两种方法。一是基于朴素贝叶斯与信息熵的检测。根据云环境中的DDoS攻击流量特点进行流量熵计算，通过设置两个阈值并引入朴素贝叶斯算法将正常流量与DDoS攻击流量进行分类，进一步判别该DDoS攻击流量的规模，从而实现DDoS最终的检测。二是词袋模型与K-means结合的攻击检测。使用词袋模型对流量进行分析，使用K-means算法对聚类进行训练，最终通过关键点直方图对DDoS攻击流量进行检测。提出基于深度森林的检测方法。在主机上提取反射型DDoS威胁特征训练深度森林模型，识别区分网络流中的IP类型并检测流量数据包是否异常，实现DDoS攻击检测与防御。应用特征工程与机器学习提出DDoS攻击检测新思路。使用交叉验证避免在检测DDoS攻击时出现数据过拟合和共线性问题。Idhammad等人使用半监督机器学习方法进行DDoS检测。基于网络熵估计、信息增益比、协同聚类和Exra-Trees算法的半监督机器学习方法，减少检测流量数据的同时，提高检测准确度。2.3.2基于深度学习的攻击检测深度学习是机器学习中新的研究方向，是一种基于对数据进行表征学习的方法，许多学者也对该领域有着不同的研究与创新。例如，提出改进的BP神经网络检测。将收集到的数据转变为流量向量，获得样本集合进行学习并找出输入与输出关系，构建学习模型来进行检测，最终判断流量异常。提出基于深度双向循环网络的检测方案。分析网络流量的数据结构，利用包含数据输入的深度学习模型，依据流量特征与DDoS属性对流量数据进行采样检测，甄别具体的攻击类型。刘伉伉提出基于BP神经网络的云计算入侵检测模型。由于BP神经网络存在训练时间长、全局优化性不高的问题，改进人工蜂群算法对模型进行优化，最终提高模型检测性能。马林进提出了一种基于流量关键点词袋模型（StreamPointBagofWord，SP-BoW）的检测算法。该算法能够径直从二进制流量中获取关键点，降低更新特征集的人工成本，实现对各种拓扑网络的自适应检测异常数据。利用词袋模型算法并将其部署在网络数据输入点处，根据异常数据特征进行训练，实现对云环境的异常数据实时检测。提出改进的卷积神经网络（ConvolutionalNeuralNetworks，CNN）方法。在卷积层生成分类中进行特征映射，并求平均值完成分类，在面对数据量大、特征属性复杂的情况下，使用改进循环神经网络（RecurrentNeuralNetwork，RNN）模型将数据集进行切分并在长短期记忆（LongShort-TermMemory，LSTM）网络中进行并行计算、同时工作，最终以较高的训练速度和准确率进行DDoS的检测。束越婕提出一种在SDN网络架构下基于深度学习的DDoS攻击检测机制。结合LSTM深度学习和支持向量机（SupportVectorMachines，SVM），提取数据流表特征，输入整理好的时间序列到LSTM模型中进行训练，并利用改进的遗传算法进行优化，引入SVM算法降低LSTM带来的误判率，完成攻击检测。2.3.3基于数据包的攻击检测数据包即分块的传输数据，通过确认机制对简单的响应数据包进行检测。该机制通过翻译器对主机发出的请求包进行查看并预测其回应包格式，再将预测信息存储在缓冲器中，最后使用匹配器将预测信息与响应包进行信息匹配，若匹配成功则输出结果，否则就丢掉响应包。该检测方法虽然准确性高，但是会浪费资源和减缓正常连接的响应速度。提出的检测机制进行改进。在匹配器前增添监视器，用来统计流量，该监视器将预测的回应包数量与实际的进行比较，区分正常和潜在的回应包来判断是否存在反射型DDoS攻击，该改进的方式提高了正常响应连接的速度。2.3.4基于SDN的检测方案SDN为软件定义网络，是网络虚拟化的一种实现方式，是当前网络领域最热门、最具发展前途的技术之一，很多学者都对其进行了研究。例如，提出在SDN架构下基于信息熵的DDoS攻击检测。同时利用SDN转发器实现对DDoS攻击流量的区分，使用过滤方法提供一定保护，实现DDoS攻击的检测与保护。何亨等人提出基于SDN架构的DDoS攻击检测与防御方案——SDCC。利用置信度过滤（Confidence-BasedFiltering，CBF）对数据进行分组并计算CBF分数，若该分组的分数没有超过阈值，那么将其划为攻击分组，并将分组信息添加到特征库中，通过控制器下发流表进行拦截，最终实现较高效率的DDoS检测。Jia等人

针对由SDN控制器破坏造成的DDoS攻击，提出基于SDN架构的DDoS攻击检测方法。该方法结合深度学习模型（LSTM）和支持向量机（SVM），不但可以分类判断时间序列，还能够通过一段时间的流特征达到DDoS检测判断的目的。陈莉面对SDN架构中的DDoS攻击，提出了基于BP神经网络的攻击模型。该模型根据DDoS的攻击特点和SDN架构特征，利用SDN交换机流表项信息构建特征检测模型，最后在SDN仿真环境中进行DDoS攻击检测。张吉成提出基于SDN的DDoS攻击防御体系。在攻击检测部分，重点在边缘交换机端设置初始检测模块，利用IP信息熵与流量数达到快速预警，在控制器端设置相关模块，使用随机森林模型将提取的特征进行输入，最终实现准确检测。贺玉鹏针对SDN中的DDoS攻击检测问题，提出新的研究方案。利用交换机的信息熵预先进行正常或异常流量分类，控制器在定位异常的流表信息后，利用优化的BP神经网络对提取的特征进行分析检测，从而判断是否发生攻击。柴峥提出基于SDN流表特征的DDoS检测。该检测方案分为3个模块，一是流表收集模块。向交换机发送请求并预处理数据包，将有效信息发送给特征提取模块。二是特征提取模块。对流表特征进行提取并获得DDoS攻击的特征。三是分类模块。将收集的流量进行分类并记录DDoS攻击的交换机ID，最终判断DDoS的攻击位置，实现对DDoS攻击的检测。胡艳提出在云环境中基于SDN的检测方法。通过置信度过滤的方法过滤攻击包并将攻击包信息储存在攻击流特征库中。利用负载均衡方案迁移交换机，增强控制器抵御DDoS攻击的能力。该方法对云环境中的多种DDoS攻击类型进行检测和防御，实现最终目标。赵智勇提出依据新型熵检测与阈值计算，通过仿真实验确定算法的关键参数并引入相关检测模块中实现对DDoS的异常检测。张之阳针对云数据中心的DDoS检测，提出基于SDN特性与自适应攻击检测阈值调整算法。在降低SDN负载的同时快速检测DDoS攻击。刘涛等人提出SDN架构中基于交叉熵的攻击检测模型。利用SDN交换机中央处理器（CentralProcessingUnit，CPU）使用率的初始检测方法预先判断是否发生异常，引入交叉熵原理对出现异常情况的交换机IP熵和数据包进行联合检测，定量分析特征相似性的正常与异常流量，通过获取的基于交叉熵的特征实现流量的检测。牛紫薇提出在SDN架构下对DDoS进行检测。利用随机森林和选择性集成方法相结合的方式进行攻击检测模型的训练，并将其部署在SDN架构上，利用在线混合数据采集的方式对攻击检测模型进行检测验证，提高DDoS攻击的检测率。2.3.5其他检测方法王淼等人提出基于熵度量的DDoS攻击检测方法。在分布式架构中进行多个目标检测，通过计算流量熵的变化识别疑似流，使用相对熵进一步确认真实的攻击流，最终达到检测的准确度。该方法兼容性较强，检测精确度较高，并且适用于多个攻击目标的云环境DDoS检测。蔡佳义提出由层次分析法（AnalyticHierarchyProcess，AHP）和条件熵检测算法组成的DDoS攻击检测模型，既解决了AHP算法数据少、定性因子多等问题，又解决了条件熵检测算法复杂度高、检测实时性弱等问题。结合两者的优点，提高在云环境DDoS检测的鲁棒性。Nguyen等人提出攻击请求与业务感知自适应阈值结合的反射型DDoS源端检测。在分析网关流量的基础上，调整收集概率并且引入流量感知的自适应阈值和余量，最终在源端进行反射型DDoS攻击请求的检测。代昆玉等人提出网络流量负荷平衡策略与用户身份认证超重相结合的检测方法。首先，对访问云计算中心的用户实行身份认证；其次，针对云数据的传输效率与安全性，引入异常流量的分层处理；最后，将两者进行结合，有效防御云平台中的DDoS攻击。王一川等人基于虚拟机内省（VirtualMachineIntrospection-based，VMI）和基于网络入侵检测系统的特征提出对云环境内服务器集群DDoS的攻击检测模型。当受到DDoS攻击时，该模型通过恶意度和虚拟特征库来分辨网络的行为可疑度，并且将两者进行有效函数测试，证实唯一纳什均衡，实现对云环境内部DDoS威胁的有效检测。Liu等人提出利用数据压缩和行为差异测量实现对低速率DDoS的攻击检测。首先，利用多维概念图结构对流量数据聚合与压缩；其次，使用行为发散测量方法计算概念图的能量比，引入改进的指数加权移动平均法构建正常网络的动态阈值；最后，使用流量冻结机制保证阈值的标准化，以较低的误报率实现检测。Akmak等人提出基于马氏距离和核算法的在线DDoS检测。对每分钟的网络流量的熵和统计特征进行提取并作为检测指标，使用基于熵的内核算法来检测是否为DDoS攻击的输入向量。邓娉针对云环境Web应用层的DDoS攻击，提出可扩展标记语言（ExtensibleMarkupLanguage，XML）和HTTP层的DDoS攻击检测。从简单对象访问协议（SimpleObjectAccessProtocol，SOAP）的正常运行中提取数据集的特征值并构建高斯请求模型，设置Web服务的网络服务描述语言（WebServicesDescriptionLanguage，WSDL）属性对攻击进行初步过滤，对请求的XML内容和HTTP头部进行检测，与模型数据进行对比后实现对DDoS的检测。设计了基于智能人工蜂群算法与流量减少算法。依据异常提取的思路减少数据流量，根据流量特征熵与广义判别因子共同实现对DDoS的攻击检测。提出了对DDoS的攻击检测，也对后续工作做出了研究。基于认知启发式计算和双地址熵的方法，对交换机的流表特征进行提取，结合SVM算法建立攻击模型，能够在DDoS攻击前期实现对DDoS的实时检测与防御。2.3.6检测方法对比对上述不同的检测方法进行归纳总结，对应的优势、劣势和适用场景如表1所示。表1不同检测方法对比机器学习能够更好地进行数据分析与挖掘，在模式识别