基于神經(jīng)網(wǎng)絡(luò)的DDOS攻擊檢測

文/曾曉杰

當(dāng)前網(wǎng)絡(luò)病毒樣式百出，嚴(yán)重影響到了我們訪問網(wǎng)絡(luò)的質(zhì)量和安全。特別是系統(tǒng)的某些重要和敏感信息遭到非法用戶的攻擊，讓這些信息受損或者泄漏出去造成無法挽回的經(jīng)濟損失。DDOS攻擊的破壞性很大，并且不容易預(yù)防，所以引起了全世界的關(guān)注。

1 DDOS的攻擊概念

在介紹DDOS攻擊概念前，先為大家介紹一下DOS攻擊，DOS攻擊指的是它有計劃的攻擊一臺計算機或者有計劃的破壞該計算機的網(wǎng)絡(luò)，讓其不能提供正常的服務(wù)。它通常情況下的攻擊目標(biāo)是該計算機的寬帶網(wǎng)絡(luò)和該網(wǎng)絡(luò)的連通性，它們故意破壞資源，讓合法的用戶不能響應(yīng)請求，也讓計算機不能正常處理用戶的合法請求。而DDOS攻擊則是由很多臺計算機合作一起發(fā)動DOS攻擊來攻擊一個或者幾個目標(biāo)，DDOS攻擊相當(dāng)于是DOS攻擊的升級和加強版，DDOS攻擊的攻擊效果要比多個單一的DOS攻擊效果強的多，并且它可以利用那些有漏洞的計算機做成一個攻擊平臺去攻擊其他計算機。DDOS攻擊的目的是對受害者的計算機產(chǎn)生破壞，影響合法用戶的請求，但并不去破壞受害者的系統(tǒng)。所以，一般的常規(guī)安全防御對DDOS攻擊并沒有太大的作用和效果。

DDOS的攻擊原理：一般情況下DDOS具有一個完整的攻擊體系：它是由黑客所用的那臺計算機發(fā)送攻擊命令非法入侵并控制一些計算機，并在這些被控制的計算機中安裝特定的程序用來接收和發(fā)送黑客的攻擊命令，然后向受害者發(fā)送攻擊，讓受害者的主機或者服務(wù)器遭到破壞。

2 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)由多個神經(jīng)元層次組成，它包含了輸入層、隱含層和輸出層，在不同的神經(jīng)元層之間則通過權(quán)連接，層與層之間的節(jié)點則通過全互聯(lián)的方式連接。神經(jīng)網(wǎng)絡(luò)具有建模簡單和容錯性強的優(yōu)點，而且神經(jīng)網(wǎng)絡(luò)技術(shù)還具有相當(dāng)強的攻擊和分析能力，能夠很好的處理各種有效數(shù)據(jù)，在處理數(shù)據(jù)上很適合做網(wǎng)絡(luò)病毒的入侵檢測。

3 基于神經(jīng)網(wǎng)絡(luò)的Ddos攻擊檢測的實現(xiàn)

Ddos攻擊方式通常是通過偽造IP地址，向攻擊目標(biāo)發(fā)送大量的數(shù)據(jù)包，以此來讓目標(biāo)主機的資源及網(wǎng)絡(luò)資源消耗殆盡。雖然Ddos攻擊危害較大，但是用常規(guī)的病毒防御卻檢測不出來，因為它們的數(shù)據(jù)包是正常的數(shù)據(jù)包。Ddos攻擊產(chǎn)生的偽造數(shù)據(jù)包看起來是無規(guī)律發(fā)送，但是可以通過對數(shù)據(jù)包的分析，還是可以得到Ddos攻擊的特征——通過對大量的數(shù)據(jù)流中的數(shù)據(jù)包觀察，更進(jìn)一步的分析，可以通過對數(shù)據(jù)集中協(xié)議標(biāo)識，源端口號，源目的IP地址及目標(biāo)IP地址，客戶端的序列號等多方面結(jié)果與神經(jīng)網(wǎng)絡(luò)閾值進(jìn)行比較，可以得出是否為攻擊數(shù)據(jù)。

圖1為檢測系統(tǒng)模型。

首先，通過Windows的網(wǎng)絡(luò)驅(qū)動器接口規(guī)范，可以用WinPcap函數(shù)庫實現(xiàn)對網(wǎng)絡(luò)上的原始數(shù)據(jù)包的捕獲，然后，通過提取數(shù)據(jù)包包頭信息，得到數(shù)據(jù)包傳輸時間，進(jìn)而通過數(shù)據(jù)集中協(xié)議標(biāo)識，源端口號，客戶端的序列號等的分析，可以對數(shù)據(jù)包進(jìn)行初步處理并解析。再通過對數(shù)據(jù)集的分析來得到較為重要的特征數(shù)據(jù)，將其與數(shù)據(jù)包傳輸時間一一對應(yīng)并保存，雖然沒有對較為重要的源IP地址進(jìn)行處理，但是這就可以大大降低計算任務(wù)，而且源IP地址還不能得到有關(guān)包長度的信息，最關(guān)鍵的是源IP地址是不一定正確的。只要將從數(shù)據(jù)包得到的信息與神經(jīng)網(wǎng)絡(luò)中的的基本組成——神經(jīng)元進(jìn)行邏輯處理，就可以分析出捕獲的數(shù)據(jù)包是正常數(shù)據(jù)還是Ddos攻擊。進(jìn)而進(jìn)行判斷，如若是正常數(shù)據(jù)包，則可以放過，但若是具有Ddos特征的攻擊數(shù)據(jù)流，那我們就可以將其丟棄，并且發(fā)出提示，警示用戶進(jìn)行進(jìn)一步的處理。當(dāng)然，隨著時間的改變，Ddos攻擊也會成長，會出現(xiàn)越來越多的攻擊手段，所以，為了有效的預(yù)防Ddos攻擊，我們應(yīng)該要對Ddos進(jìn)行二次防御。讓Ddos的新型攻擊方式產(chǎn)生的數(shù)據(jù)流來帶動神經(jīng)網(wǎng)絡(luò)中隱藏層的閾值，進(jìn)而來提高我們對Ddos的檢測預(yù)防能力。

通過已知的數(shù)據(jù)包信息，可以作為輸入?yún)?shù)，以此來讓BP神經(jīng)網(wǎng)絡(luò)的兩個經(jīng)過訓(xùn)練后的輸出神經(jīng)元迅速檢測出Ddos攻擊。多種研究表明，隱藏層可以異常高效的檢測出Ddos攻擊的出現(xiàn)。

圖1

4 總結(jié)

本文介紹了DDOS攻擊檢測的攻擊原理以及基于神經(jīng)網(wǎng)絡(luò)的DDOS攻擊入侵檢測的重要作用，它能夠檢測出當(dāng)前受害者機器上的所有類型的DDOS攻擊。在DDOS攻擊入侵檢測中取得了巨大的成就，最后，我想對大家說維護(hù)網(wǎng)絡(luò)安全是我們所有網(wǎng)絡(luò)用戶共同目標(biāo)，擁有一個安全的、良好的網(wǎng)絡(luò)安全環(huán)境是網(wǎng)民的熱切希望，當(dāng)我們自己的計算機不幸成為DDOS攻擊中的一員時，希望大家能夠及時的關(guān)閉自己的計算機，讓計算機處于隔離狀態(tài)，然后殺毒清除我們計算機中的DDOS攻擊程序，不要讓自己的電腦去攻擊其他人的電腦，不要讓他人成為受害者。