基于云環(huán)境的反射型 DDoS 攻擊檢測(cè)

1相關(guān)概念攻擊檢測(cè)的研究主要集中在云環(huán)境與DDoS兩方面，需要進(jìn)行概念分析。1.1云環(huán)境及其相關(guān)技術(shù)云環(huán)境指從資源池中為用戶或系統(tǒng)動(dòng)態(tài)化地提供計(jì)算、存儲(chǔ)以及其他服務(wù)的網(wǎng)絡(luò)環(huán)境。云環(huán)境基于云平臺(tái)、云計(jì)算、云存儲(chǔ)三大技術(shù)組成：云平臺(tái)技術(shù)實(shí)現(xiàn)了統(tǒng)一管理與共享信息資源，根據(jù)需求可持續(xù)、動(dòng)態(tài)調(diào)節(jié)服務(wù)節(jié)點(diǎn)，實(shí)現(xiàn)資源最大化利用；云計(jì)算技術(shù)屬于分布式計(jì)算之一，有著靈活性高，兼容性強(qiáng)和性價(jià)比高等優(yōu)勢(shì)，為云環(huán)境提供強(qiáng)大的算力；云存儲(chǔ)技術(shù)實(shí)現(xiàn)存儲(chǔ)資源虛擬化與用戶在線存儲(chǔ)信息的目的，減少硬件開銷。1.2DDoSDDoS即分布式拒絕服務(wù)，具有攻擊方式簡單，追蹤困難，影響較廣的表征。DDoS分為流量攻擊和資源耗盡攻擊兩種形式，前者針對(duì)網(wǎng)絡(luò)帶寬，后者針對(duì)服務(wù)器主機(jī)，都會(huì)帶來巨大的危害，是當(dāng)下最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一。由于DDoS在攻擊時(shí)能夠偽造源IP地址，因此具有隱蔽性，從而導(dǎo)致了對(duì)其進(jìn)行檢測(cè)的困難。1.3反射型DDoS

攻擊反射型DDoS攻擊是DDoS新型變種攻擊方式，其攻擊方式并不是直接攻擊目標(biāo)服務(wù)IP，而是使用互聯(lián)網(wǎng)的特殊服務(wù)開放的服務(wù)器，通過偽造被攻擊者的IP地址，向開放的服務(wù)器發(fā)送請(qǐng)求數(shù)據(jù)包，服務(wù)器收到后將數(shù)倍的回答數(shù)據(jù)包發(fā)給被攻擊的IP，最終形成對(duì)目標(biāo)的DDoS攻擊。因此反射型DDoS攻擊存在成本低、追蹤難、攻擊強(qiáng)且所需肉雞少等特點(diǎn)，極可能對(duì)云環(huán)境帶來巨大安全風(fēng)險(xiǎn)。2攻擊檢測(cè)方法攻擊檢測(cè)體系主要由體系、特點(diǎn)和方法3部分構(gòu)成，因此對(duì)其進(jìn)行展開研究。2.1攻擊體系一個(gè)完善的反射型DDoS攻擊系統(tǒng)主要由主控端、代理攻擊端、反射服務(wù)器和目標(biāo)服務(wù)器4部分組成，如圖1所示。圖1反射型DDoS攻擊原理（1）主控端。攻擊者使用的主機(jī)。主要對(duì)整個(gè)攻擊過程進(jìn)行操控，發(fā)起對(duì)目標(biāo)服務(wù)器的攻擊，將相對(duì)應(yīng)的DDoS程序傳入代理攻擊端，等待攻擊命令。（2）代理攻擊端。攻擊者非法入侵并利用的主機(jī)即“傀儡”機(jī)。代理攻擊端通過偽造被攻擊者的IP地址向反射服務(wù)器端發(fā)送連接請(qǐng)求包，間接對(duì)目標(biāo)服務(wù)器進(jìn)行攻擊，這樣的攻擊具有隱蔽性和難追蹤性。（3）反射服務(wù)器。能夠收到從代理攻擊端發(fā)出偽裝的數(shù)據(jù)包。反射服務(wù)器也無法識(shí)別請(qǐng)求發(fā)起源是否具有惡意動(dòng)機(jī)。根據(jù)傳輸控制協(xié)議（TransmissionControlProtocol，TCP）三次握手規(guī)則，向目標(biāo)服務(wù)器發(fā)送同步序列編號(hào)（SynchronizeSequenceNumbers，SYN）和確認(rèn)字符（Acknowledgecharacter，ACK）或復(fù)位（Resst，RST）等請(qǐng)求響應(yīng)的數(shù)據(jù)包，反射服務(wù)器是攻擊者真正向目標(biāo)服務(wù)器發(fā)送攻擊包的平臺(tái)。（4）目標(biāo)服務(wù)器。攻擊者的目標(biāo)即受害主機(jī)。攻擊者所發(fā)出的請(qǐng)求包IP是受害者的地址，反射服務(wù)器把響應(yīng)發(fā)給受害主機(jī)，攻擊者利用TCP/IP協(xié)議缺少認(rèn)證這一漏洞，不斷發(fā)送偽裝的請(qǐng)求，使得反射服務(wù)器回應(yīng)數(shù)據(jù)包像洪流一般向服務(wù)器涌來，導(dǎo)致受害主機(jī)集中處理回應(yīng)，達(dá)到拒絕服務(wù)的目的。2.2攻擊特點(diǎn)根據(jù)針對(duì)的協(xié)議類型和攻擊方式的不同，DDoS有著各類攻擊類型，而反射型DDoS攻擊是一種新的變種，主要存在難以追蹤且不需要大量的肉雞等特點(diǎn)。難以追蹤是由于攻擊者并不直接攻擊目標(biāo)IP，而是通過偽造受害者的IP地址進(jìn)行攻擊。同時(shí)，攻擊者假裝受害者給放大器發(fā)包，并通過反射器再反射給受害者，因此不需要大量肉雞也能造成巨大損失。研究者要針對(duì)反射型DDoS的特點(diǎn)對(duì)其進(jìn)行檢測(cè)與防御，盡可能減少對(duì)網(wǎng)絡(luò)安全的威脅程度。2.3檢測(cè)方法對(duì)于DDoS的檢測(cè)主要分為機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、數(shù)據(jù)包和SDN以及其他的方法，現(xiàn)將其展開研究。2.3.1基于機(jī)器學(xué)習(xí)的攻擊檢測(cè)機(jī)器學(xué)習(xí)利用多種技術(shù)提供了向計(jì)算機(jī)“學(xué)習(xí)”數(shù)據(jù)的能力，而且不需要復(fù)雜的編程，許多學(xué)者在機(jī)器學(xué)習(xí)的基礎(chǔ)上研究出各種檢測(cè)方法。例如，賈斌

提出基于機(jī)器學(xué)習(xí)與統(tǒng)計(jì)分析的檢測(cè)方法。一是基于相關(guān)性特征降維技術(shù)。使用主成分分析（PrincipalComponentAnalysis，PCA）技術(shù)對(duì)網(wǎng)絡(luò)中的多個(gè)屬性進(jìn)行降維并分析較低緯度相互關(guān)聯(lián)的特征屬性，使用基于多元降維分析（MultivariateDimensionalityReductionAnalysis，MDRA）算法與馬氏距離的實(shí)時(shí)攻擊檢測(cè)（Real-timeAttackDetection，RTAD）方法實(shí)現(xiàn)實(shí)時(shí)檢測(cè)。二是基于組合分類器的方法。使用基于組合分類器的DDoS攻擊隨機(jī)森林分布式檢測(cè)（RandomForestDistributionDetection，RFDD）模型檢測(cè)算法的隨機(jī)性，從而對(duì)網(wǎng)絡(luò)流量的屬性進(jìn)行降噪和相關(guān)性的消除，實(shí)現(xiàn)準(zhǔn)確檢測(cè)的目標(biāo)。三是基于異構(gòu)分類器集成學(xué)習(xí)方法。依據(jù)基于奇異值分解（SingularValueDecomposition，SVD）技術(shù)和RotationForest集成策略的異構(gòu)多分類器集成學(xué)習(xí)（HeterogeneousMulti-classifierEnsembleLearning，HMEL）檢測(cè)模型，在檢測(cè)過程中對(duì)網(wǎng)絡(luò)流量屬性特征進(jìn)行去冗余和消除相關(guān)性來提高檢測(cè)性能。該方法都具有良好的效果，但還存在缺少真實(shí)環(huán)境與云環(huán)境的挑戰(zhàn)與問題。而提出基于互信息量決策樹方法。其解決了傳統(tǒng)的DDoS攻擊檢測(cè)系統(tǒng)不適用于云平臺(tái)的檢測(cè)問題，該方法計(jì)算數(shù)據(jù)屬性互信息量的平均值并進(jìn)行比較，從而獲取最大值并將其作為擴(kuò)展節(jié)點(diǎn)，通過屬性對(duì)數(shù)據(jù)進(jìn)行分割后判斷其是否純凈，如果是則結(jié)束，反之繼續(xù)分割，重復(fù)前面步驟直到分割完全并且得到完整的決策樹，最終通過決策樹總結(jié)特征與規(guī)則校驗(yàn)后進(jìn)行攻擊檢測(cè)，然而該方法只適用于Linux系統(tǒng)，并且對(duì)于大數(shù)據(jù)場(chǎng)景的實(shí)現(xiàn)還需進(jìn)一步工作。除該文章外，在大數(shù)據(jù)或云環(huán)境中進(jìn)行DDoS檢測(cè)已成為研究熱點(diǎn)。例如，提出基于Apriori與K-means算法結(jié)合的DDoS的檢測(cè)方法。首先，實(shí)時(shí)收集網(wǎng)絡(luò)數(shù)據(jù)包并獲取網(wǎng)絡(luò)流量；其次，與正常流量的閾值進(jìn)行比較，若超過閾值則進(jìn)行檢測(cè)，并通過Apriori算法記錄數(shù)據(jù)；最后，發(fā)掘規(guī)則最終生成流量特征，利用K-means算法判定正常與異常流量表征，最終進(jìn)行決策與預(yù)警。提出近鄰傳播與混沌分析結(jié)合的檢測(cè)方法。當(dāng)面對(duì)復(fù)雜且龐大的DDoS攻擊時(shí)，根據(jù)主機(jī)的行為使用近鄰傳播算法進(jìn)行聚類，降低檢測(cè)復(fù)雜度，使用二次指數(shù)平滑模型解決流量行為相似的問題，實(shí)現(xiàn)預(yù)測(cè)時(shí)間序列并獲取誤差值，最終通過混沌分析完成DDoS的攻擊檢測(cè)。提出兩種方法。一是基于樸素貝葉斯與信息熵的檢測(cè)。根據(jù)云環(huán)境中的DDoS攻擊流量特點(diǎn)進(jìn)行流量熵計(jì)算，通過設(shè)置兩個(gè)閾值并引入樸素貝葉斯算法將正常流量與DDoS攻擊流量進(jìn)行分類，進(jìn)一步判別該DDoS攻擊流量的規(guī)模，從而實(shí)現(xiàn)DDoS最終的檢測(cè)。二是詞袋模型與K-means結(jié)合的攻擊檢測(cè)。使用詞袋模型對(duì)流量進(jìn)行分析，使用K-means算法對(duì)聚類進(jìn)行訓(xùn)練，最終通過關(guān)鍵點(diǎn)直方圖對(duì)DDoS攻擊流量進(jìn)行檢測(cè)。提出基于深度森林的檢測(cè)方法。在主機(jī)上提取反射型DDoS威脅特征訓(xùn)練深度森林模型，識(shí)別區(qū)分網(wǎng)絡(luò)流中的IP類型并檢測(cè)流量數(shù)據(jù)包是否異常，實(shí)現(xiàn)DDoS攻擊檢測(cè)與防御。應(yīng)用特征工程與機(jī)器學(xué)習(xí)提出DDoS攻擊檢測(cè)新思路。使用交叉驗(yàn)證避免在檢測(cè)DDoS攻擊時(shí)出現(xiàn)數(shù)據(jù)過擬合和共線性問題。Idhammad等人使用半監(jiān)督機(jī)器學(xué)習(xí)方法進(jìn)行DDoS檢測(cè)?；诰W(wǎng)絡(luò)熵估計(jì)、信息增益比、協(xié)同聚類和Exra-Trees算法的半監(jiān)督機(jī)器學(xué)習(xí)方法，減少檢測(cè)流量數(shù)據(jù)的同時(shí)，提高檢測(cè)準(zhǔn)確度。2.3.2基于深度學(xué)習(xí)的攻擊檢測(cè)深度學(xué)習(xí)是機(jī)器學(xué)習(xí)中新的研究方向，是一種基于對(duì)數(shù)據(jù)進(jìn)行表征學(xué)習(xí)的方法，許多學(xué)者也對(duì)該領(lǐng)域有著不同的研究與創(chuàng)新。例如，提出改進(jìn)的BP神經(jīng)網(wǎng)絡(luò)檢測(cè)。將收集到的數(shù)據(jù)轉(zhuǎn)變?yōu)榱髁肯蛄?，獲得樣本集合進(jìn)行學(xué)習(xí)并找出輸入與輸出關(guān)系，構(gòu)建學(xué)習(xí)模型來進(jìn)行檢測(cè)，最終判斷流量異常。提出基于深度雙向循環(huán)網(wǎng)絡(luò)的檢測(cè)方案。分析網(wǎng)絡(luò)流量的數(shù)據(jù)結(jié)構(gòu)，利用包含數(shù)據(jù)輸入的深度學(xué)習(xí)模型，依據(jù)流量特征與DDoS屬性對(duì)流量數(shù)據(jù)進(jìn)行采樣檢測(cè)，甄別具體的攻擊類型。劉伉伉提出基于BP神經(jīng)網(wǎng)絡(luò)的云計(jì)算入侵檢測(cè)模型。由于BP神經(jīng)網(wǎng)絡(luò)存在訓(xùn)練時(shí)間長、全局優(yōu)化性不高的問題，改進(jìn)人工蜂群算法對(duì)模型進(jìn)行優(yōu)化，最終提高模型檢測(cè)性能。馬林進(jìn)提出了一種基于流量關(guān)鍵點(diǎn)詞袋模型（StreamPointBagofWord，SP-BoW）的檢測(cè)算法。該算法能夠徑直從二進(jìn)制流量中獲取關(guān)鍵點(diǎn)，降低更新特征集的人工成本，實(shí)現(xiàn)對(duì)各種拓?fù)渚W(wǎng)絡(luò)的自適應(yīng)檢測(cè)異常數(shù)據(jù)。利用詞袋模型算法并將其部署在網(wǎng)絡(luò)數(shù)據(jù)輸入點(diǎn)處，根據(jù)異常數(shù)據(jù)特征進(jìn)行訓(xùn)練，實(shí)現(xiàn)對(duì)云環(huán)境的異常數(shù)據(jù)實(shí)時(shí)檢測(cè)。提出改進(jìn)的卷積神經(jīng)網(wǎng)絡(luò)（ConvolutionalNeuralNetworks，CNN）方法。在卷積層生成分類中進(jìn)行特征映射，并求平均值完成分類，在面對(duì)數(shù)據(jù)量大、特征屬性復(fù)雜的情況下，使用改進(jìn)循環(huán)神經(jīng)網(wǎng)絡(luò)（RecurrentNeuralNetwork，RNN）模型將數(shù)據(jù)集進(jìn)行切分并在長短期記憶（LongShort-TermMemory，LSTM）網(wǎng)絡(luò)中進(jìn)行并行計(jì)算、同時(shí)工作，最終以較高的訓(xùn)練速度和準(zhǔn)確率進(jìn)行DDoS的檢測(cè)。束越婕提出一種在SDN網(wǎng)絡(luò)架構(gòu)下基于深度學(xué)習(xí)的DDoS攻擊檢測(cè)機(jī)制。結(jié)合LSTM深度學(xué)習(xí)和支持向量機(jī)（SupportVectorMachines，SVM），提取數(shù)據(jù)流表特征，輸入整理好的時(shí)間序列到LSTM模型中進(jìn)行訓(xùn)練，并利用改進(jìn)的遺傳算法進(jìn)行優(yōu)化，引入SVM算法降低LSTM帶來的誤判率，完成攻擊檢測(cè)。2.3.3基于數(shù)據(jù)包的攻擊檢測(cè)數(shù)據(jù)包即分塊的傳輸數(shù)據(jù)，通過確認(rèn)機(jī)制對(duì)簡單的響應(yīng)數(shù)據(jù)包進(jìn)行檢測(cè)。該機(jī)制通過翻譯器對(duì)主機(jī)發(fā)出的請(qǐng)求包進(jìn)行查看并預(yù)測(cè)其回應(yīng)包格式，再將預(yù)測(cè)信息存儲(chǔ)在緩沖器中，最后使用匹配器將預(yù)測(cè)信息與響應(yīng)包進(jìn)行信息匹配，若匹配成功則輸出結(jié)果，否則就丟掉響應(yīng)包。該檢測(cè)方法雖然準(zhǔn)確性高，但是會(huì)浪費(fèi)資源和減緩正常連接的響應(yīng)速度。提出的檢測(cè)機(jī)制進(jìn)行改進(jìn)。在匹配器前增添監(jiān)視器，用來統(tǒng)計(jì)流量，該監(jiān)視器將預(yù)測(cè)的回應(yīng)包數(shù)量與實(shí)際的進(jìn)行比較，區(qū)分正常和潛在的回應(yīng)包來判斷是否存在反射型DDoS攻擊，該改進(jìn)的方式提高了正常響應(yīng)連接的速度。2.3.4基于SDN的檢測(cè)方案SDN為軟件定義網(wǎng)絡(luò)，是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式，是當(dāng)前網(wǎng)絡(luò)領(lǐng)域最熱門、最具發(fā)展前途的技術(shù)之一，很多學(xué)者都對(duì)其進(jìn)行了研究。例如，提出在SDN架構(gòu)下基于信息熵的DDoS攻擊檢測(cè)。同時(shí)利用SDN轉(zhuǎn)發(fā)器實(shí)現(xiàn)對(duì)DDoS攻擊流量的區(qū)分，使用過濾方法提供一定保護(hù)，實(shí)現(xiàn)DDoS攻擊的檢測(cè)與保護(hù)。何亨等人提出基于SDN架構(gòu)的DDoS攻擊檢測(cè)與防御方案——SDCC。利用置信度過濾（Confidence-BasedFiltering，CBF）對(duì)數(shù)據(jù)進(jìn)行分組并計(jì)算CBF分?jǐn)?shù)，若該分組的分?jǐn)?shù)沒有超過閾值，那么將其劃為攻擊分組，并將分組信息添加到特征庫中，通過控制器下發(fā)流表進(jìn)行攔截，最終實(shí)現(xiàn)較高效率的DDoS檢測(cè)。Jia等人

針對(duì)由SDN控制器破壞造成的DDoS攻擊，提出基于SDN架構(gòu)的DDoS攻擊檢測(cè)方法。該方法結(jié)合深度學(xué)習(xí)模型（LSTM）和支持向量機(jī)（SVM），不但可以分類判斷時(shí)間序列，還能夠通過一段時(shí)間的流特征達(dá)到DDoS檢測(cè)判斷的目的。陳莉面對(duì)SDN架構(gòu)中的DDoS攻擊，提出了基于BP神經(jīng)網(wǎng)絡(luò)的攻擊模型。該模型根據(jù)DDoS的攻擊特點(diǎn)和SDN架構(gòu)特征，利用SDN交換機(jī)流表項(xiàng)信息構(gòu)建特征檢測(cè)模型，最后在SDN仿真環(huán)境中進(jìn)行DDoS攻擊檢測(cè)。張吉成提出基于SDN的DDoS攻擊防御體系。在攻擊檢測(cè)部分，重點(diǎn)在邊緣交換機(jī)端設(shè)置初始檢測(cè)模塊，利用IP信息熵與流量數(shù)達(dá)到快速預(yù)警，在控制器端設(shè)置相關(guān)模塊，使用隨機(jī)森林模型將提取的特征進(jìn)行輸入，最終實(shí)現(xiàn)準(zhǔn)確檢測(cè)。賀玉鵬針對(duì)SDN中的DDoS攻擊檢測(cè)問題，提出新的研究方案。利用交換機(jī)的信息熵預(yù)先進(jìn)行正常或異常流量分類，控制器在定位異常的流表信息后，利用優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)對(duì)提取的特征進(jìn)行分析檢測(cè)，從而判斷是否發(fā)生攻擊。柴崢提出基于SDN流表特征的DDoS檢測(cè)。該檢測(cè)方案分為3個(gè)模塊，一是流表收集模塊。向交換機(jī)發(fā)送請(qǐng)求并預(yù)處理數(shù)據(jù)包，將有效信息發(fā)送給特征提取模塊。二是特征提取模塊。對(duì)流表特征進(jìn)行提取并獲得DDoS攻擊的特征。三是分類模塊。將收集的流量進(jìn)行分類并記錄DDoS攻擊的交換機(jī)ID，最終判斷DDoS的攻擊位置，實(shí)現(xiàn)對(duì)DDoS攻擊的檢測(cè)。胡艷提出在云環(huán)境中基于SDN的檢測(cè)方法。通過置信度過濾的方法過濾攻擊包并將攻擊包信息儲(chǔ)存在攻擊流特征庫中。利用負(fù)載均衡方案遷移交換機(jī)，增強(qiáng)控制器抵御DDoS攻擊的能力。該方法對(duì)云環(huán)境中的多種DDoS攻擊類型進(jìn)行檢測(cè)和防御，實(shí)現(xiàn)最終目標(biāo)。趙智勇提出依據(jù)新型熵檢測(cè)與閾值計(jì)算，通過仿真實(shí)驗(yàn)確定算法的關(guān)鍵參數(shù)并引入相關(guān)檢測(cè)模塊中實(shí)現(xiàn)對(duì)DDoS的異常檢測(cè)。張之陽針對(duì)云數(shù)據(jù)中心的DDoS檢測(cè)，提出基于SDN特性與自適應(yīng)攻擊檢測(cè)閾值調(diào)整算法。在降低SDN負(fù)載的同時(shí)快速檢測(cè)DDoS攻擊。劉濤等人提出SDN架構(gòu)中基于交叉熵的攻擊檢測(cè)模型。利用SDN交換機(jī)中央處理器（CentralProcessingUnit，CPU）使用率的初始檢測(cè)方法預(yù)先判斷是否發(fā)生異常，引入交叉熵原理對(duì)出現(xiàn)異常情況的交換機(jī)IP熵和數(shù)據(jù)包進(jìn)行聯(lián)合檢測(cè)，定量分析特征相似性的正常與異常流量，通過獲取的基于交叉熵的特征實(shí)現(xiàn)流量的檢測(cè)。牛紫薇提出在SDN架構(gòu)下對(duì)DDoS進(jìn)行檢測(cè)。利用隨機(jī)森林和選擇性集成方法相結(jié)合的方式進(jìn)行攻擊檢測(cè)模型的訓(xùn)練，并將其部署在SDN架構(gòu)上，利用在線混合數(shù)據(jù)采集的方式對(duì)攻擊檢測(cè)模型進(jìn)行檢測(cè)驗(yàn)證，提高DDoS攻擊的檢測(cè)率。2.3.5其他檢測(cè)方法王淼等人提出基于熵度量的DDoS攻擊檢測(cè)方法。在分布式架構(gòu)中進(jìn)行多個(gè)目標(biāo)檢測(cè)，通過計(jì)算流量熵的變化識(shí)別疑似流，使用相對(duì)熵進(jìn)一步確認(rèn)真實(shí)的攻擊流，最終達(dá)到檢測(cè)的準(zhǔn)確度。該方法兼容性較強(qiáng)，檢測(cè)精確度較高，并且適用于多個(gè)攻擊目標(biāo)的云環(huán)境DDoS檢測(cè)。蔡佳義提出由層次分析法（AnalyticHierarchyProcess，AHP）和條件熵檢測(cè)算法組成的DDoS攻擊檢測(cè)模型，既解決了AHP算法數(shù)據(jù)少、定性因子多等問題，又解決了條件熵檢測(cè)算法復(fù)雜度高、檢測(cè)實(shí)時(shí)性弱等問題。結(jié)合兩者的優(yōu)點(diǎn)，提高在云環(huán)境DDoS檢測(cè)的魯棒性。Nguyen等人提出攻擊請(qǐng)求與業(yè)務(wù)感知自適應(yīng)閾值結(jié)合的反射型DDoS源端檢測(cè)。在分析網(wǎng)關(guān)流量的基礎(chǔ)上，調(diào)整收集概率并且引入流量感知的自適應(yīng)閾值和余量，最終在源端進(jìn)行反射型DDoS攻擊請(qǐng)求的檢測(cè)。代昆玉等人提出網(wǎng)絡(luò)流量負(fù)荷平衡策略與用戶身份認(rèn)證超重相結(jié)合的檢測(cè)方法。首先，對(duì)訪問云計(jì)算中心的用戶實(shí)行身份認(rèn)證；其次，針對(duì)云數(shù)據(jù)的傳輸效率與安全性，引入異常流量的分層處理；最后，將兩者進(jìn)行結(jié)合，有效防御云平臺(tái)中的DDoS攻擊。王一川等人基于虛擬機(jī)內(nèi)?。╒irtualMachineIntrospection-based，VMI）和基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的特征提出對(duì)云環(huán)境內(nèi)服務(wù)器集群DDoS的攻擊檢測(cè)模型。當(dāng)受到DDoS攻擊時(shí)，該模型通過惡意度和虛擬特征庫來分辨網(wǎng)絡(luò)的行為可疑度，并且將兩者進(jìn)行有效函數(shù)測(cè)試，證實(shí)唯一納什均衡，實(shí)現(xiàn)對(duì)云環(huán)境內(nèi)部DDoS威脅的有效檢測(cè)。Liu等人提出利用數(shù)據(jù)壓縮和行為差異測(cè)量實(shí)現(xiàn)對(duì)低速率DDoS的攻擊檢測(cè)。首先，利用多維概念圖結(jié)構(gòu)對(duì)流量數(shù)據(jù)聚合與壓縮；其次，使用行為發(fā)散測(cè)量方法計(jì)算概念圖的能量比，引入改進(jìn)的指數(shù)加權(quán)移動(dòng)平均法構(gòu)建正常網(wǎng)絡(luò)的動(dòng)態(tài)閾值；最后，使用流量凍結(jié)機(jī)制保證閾值的標(biāo)準(zhǔn)化，以較低的誤報(bào)率實(shí)現(xiàn)檢測(cè)。Akmak等人提出基于馬氏距離和核算法的在線DDoS檢測(cè)。對(duì)每分鐘的網(wǎng)絡(luò)流量的熵和統(tǒng)計(jì)特征進(jìn)行提取并作為檢測(cè)指標(biāo)，使用基于熵的內(nèi)核算法來檢測(cè)是否為DDoS攻擊的輸入向量。鄧娉針對(duì)云環(huán)境Web應(yīng)用層的DDoS攻擊，提出可擴(kuò)展標(biāo)記語言（ExtensibleMarkupLanguage，XML）和HTTP層的DDoS攻擊檢測(cè)。從簡單對(duì)象訪問協(xié)議（SimpleObjectAccessProtocol，SOAP）的正常運(yùn)行中提取數(shù)據(jù)集的特征值并構(gòu)建高斯請(qǐng)求模型，設(shè)置Web服務(wù)的網(wǎng)絡(luò)服務(wù)描述語言（WebServicesDescriptionLanguage，WSDL）屬性對(duì)攻擊進(jìn)行初步過濾，對(duì)請(qǐng)求的XML內(nèi)容和HTTP頭部進(jìn)行檢測(cè)，與模型數(shù)據(jù)進(jìn)行對(duì)比后實(shí)現(xiàn)對(duì)DDoS的檢測(cè)。設(shè)計(jì)了基于智能人工蜂群算法與流量減少算法。依據(jù)異常提取的思路減少數(shù)據(jù)流量，根據(jù)流量特征熵與廣義判別因子共同實(shí)現(xiàn)對(duì)DDoS的攻擊檢測(cè)。提出了對(duì)DDoS的攻擊檢測(cè)，也對(duì)后續(xù)工作做出了研究。基于認(rèn)知啟發(fā)式計(jì)算和雙地址熵的方法，對(duì)交換機(jī)的流表特征進(jìn)行提取，結(jié)合SVM算法建立攻擊模型，能夠在DDoS攻擊前期實(shí)現(xiàn)對(duì)DDoS的實(shí)時(shí)檢測(cè)與防御。2.3.6檢測(cè)方法對(duì)比對(duì)上述不同的檢測(cè)方法進(jìn)行歸納總結(jié)，對(duì)應(yīng)的優(yōu)勢(shì)、劣勢(shì)和適用場(chǎng)景如表1所示。表1不同檢測(cè)方法對(duì)比機(jī)器學(xué)習(xí)能夠更好地進(jìn)行數(shù)據(jù)分析與挖掘，在模式識(shí)別