檢測分類
1)誤用檢測
誤用檢測主要是根據已知的攻擊特征直接檢測入侵行為。首先對異常信息源建模分析提取特征向量,根據特征設計針對性的特征檢測算法,若新數據樣本檢測出相應的特征值,則發布預警或進行反應。
優點:特異性,檢測速度快,誤報率低,能迅速發現已知的安全威脅。
缺點:需要人為更新特征庫,提取特征碼,而攻擊者可以針對某一特征碼進行繞過。
2)異常檢測
異常檢測主要是檢測偏離正常數據的行為。首先對信息源進行建模分析,創建正常的系統或者網絡的基准輪廓。若新數據樣本偏離或者超出當前正常模式輪廓,異常檢測系統就發布預警或進行反應。由於檢測系統是根據正常情況定制描繪出系統或網絡的正常輪廓,對於外部攻擊,攻擊者很難在攻擊時不偏離正常輪廓,因此很容易被異常檢測系統偵測到;同理,異常檢測系統也可以檢測來自內部的攻擊。另外,異常檢測系統還有能力檢測以前未知的攻擊。
缺點:首先只有對初始系統進行訓練,才能創建正常的輪廓模型;其次,調整和維護輪廓模型也較為復雜和耗時,創建錯誤的輪廓模型可能導致較高的誤報率。最后,一些精心構造惡意攻擊,可利用異常檢測訓練系統使其逐漸接受惡意行為,造成漏報。
優點:異常檢測旨在發現偏離,而不是具體入侵特征,因而通用性較強,對突發的新型異常事件有很好的預警作用,利於人們宏觀防御,目前大部分網絡異常流量檢測系統均采用異常檢測系統
異常流量檢測算法
1)基於統計學的異常流量檢測
基於統計學的異常流量檢測,會假設當前網絡環境處於一個似穩態的狀態中。算法會在前期收集和整理大量正常流量數據,通過對歷史流量數據進行統計分析或者數據變換設置初始閾值,然后對當前網絡流量數據進行計算,通過與初始閾值進行對比,判斷當前網絡是否發生異常。如果當前網絡流量數據某一統計信息超出相應閾值,則代表出現了異常流量
常用的網絡流量特征有字節數、分組數、流計數、審計記錄數據、審計事件的數量、間隔事件、五元組(協議、源 IP 地址、目的 IP 地址、目的端口以及目的 IP 地址)以及資源消耗事件等。
缺點:1意攻擊者可通過逐漸增大惡意流量,來欺騙自適應閾值算法,使其接受惡意流量不發生報警。 2基於統計的方法還需要假定當前網絡環境變化情況是一個似穩態的過程,而網絡的訪問具有突發性,算法還不能很好地應對目前分布式網絡精心構造的攻擊流量,無法滿足低速攻擊 LDOS 等異常流量的識別要求。3基於統計方法的異常檢測無法應對 0day 漏洞攻擊和一些較新穎的攻擊
2)基於數據挖掘的異常檢測
基於數據挖掘的異常檢測,利用數據挖掘技術從海量網絡流量中分析挖掘各類流量的特征信息,采用自動或半自動的建模算法,發掘出能夠反映當前網絡狀況的特征參數如相關性(Relationship)、模式(Pattern)或者趨勢(Trend)等,從更高的抽象層面揭示數據的潛在隱藏特性,以此來判斷網絡的異常行為情況。
目前常用的如生成歸納規則、模糊邏輯、遺傳算法、神經網絡、深度學習等。
3)基於機器學習的異常檢測
異常流量的識別本質上是一個分類問題,該分類問題通常以學習為前提。基於機器學習的異常流量檢測,是先前經驗的高度抽象與模型的表達,特點在於建立模型。不同的網絡流量特征,如字節數、平均包大小、分組數量、最大分組長度、流持續時間、到達時間間隔等均可以作為建模對象。
貝葉斯網絡、聚類、支持向量機、馬爾可夫模型等都已經廣泛應用。
目前,基於機器學習的異常流量檢測還處在發展階段,綜合利用各種聚類、分類、深度學習等算法的優點,揚長避短,提高網絡異常流量的識別率,已經成為一種潮流。
摘自《基於雲平台的分布式拒絕服務(DDoS)攻擊檢測技術研究 》