基于流量行为特征的DoS&DDoS攻击检测与异常流识别

随着网络的不断规模化和复杂化，网络中拒绝服务（Denial of Service，DoS）攻击和分布式拒绝服务（Distributed Denial of Service， DDoS）攻击的发生频率也越来越高，给网络的正常运行带来了极大的威胁。为了保证网络的高效、安全运行，如何快速、准确地进行DoS&DDoS攻击检测已成为国内外学术界和工业界共同关注的热点问题之一。 
　　国内外研究者提出了一系列方法以检测DoS攻击和DDoS攻击。按照数据源的不同，现有DoS攻击和DDoS攻击的检测方法主要可以分为两类：基于包信息的检测方法和基于网络流量行为特征的检测方法。 
　　1）基于包信息的检测方法通过分析数据包中的特定信息或是用户日志等，建立判定规则，并根据实际的流量数据和这些规则的匹配关系来检测DoS攻击和DDoS攻击。典型的研究有：文献[1]提出一种基于主机日志分析的统计方法，通过分析主机的日志数据，利用统计理论对正常行为建模，并比较待检测行为与正常行为的偏离来检测网络DoS攻击。文献[2]提出了一种基于数据包包头信息综合分析的异常检测技术，通过分析目的IP地址或端口号在边沿路由器出口流量的关联检测异常。文献[3]利用TCP协议不同的控制报文在交互时呈现出的数学约束关系，提出了一种评价TCP流宏观平衡性的系统测度，并将之应用于异常检测。 
　　2）基于网络流量行为特征的检测方法通过分析流量行为特征参数，如各种数据包包头信息（如IP地址、端口号等）聚合后计算得到的统计量，来进行异常检测。典型的研究有：文献[4]提出使用数据包属性的分布描述网络流量行为，通过分析数据包属性分布的变化检测异常。文献[5]利用比例不确定性去确定一些诸如IP地址、端口号等属性的剩余值，提出一种剩余空间方法（Method of Remaining Elements， MRE）来检测异常流量；文献[6]将香农熵进行推广，提出了一种基于非扩展熵的异常检测方法；文献[7]提出基于经验熵的DDoS检测方法；文献[8]将网络流量幅值看作随时间变化的信号，利用小波分析区分出背景流量和异常流量，而后根据异常持续时间和信号频率的不同采用不同的方式来检测攻击；文献[9]使用连续小波变换检测DoS攻击引起的网络流量幅值变化；文献[10]通过对聚合后的网络流量进行小波分析检测DDoS攻击。