利用人工神经网络检测已知和未知的DDoS攻击

分布式拒绝服务(DDoS)攻击的关键目标是通过互联网利用受感染的僵尸/代理编译多个系统并形成网络僵尸网络。这种僵尸旨在攻击具有不同类型数据包的特定目标或网络。受感染的系统可以通过攻击者或自行安装的木马程序(如roj/Flood-IM)进行远程控制,程序可以启动数据包泛滥。在此背景下,此文的目的是在实时环境中检测和减轻已知和未知的DDoS攻击。原文中应用人工神经网络(ANN)算法来检测基于特定特征(模式)的DDoS攻击,这些特征将DDoS攻击流量与真正的流量分开。

作者使用了人工神经网络算法来检测TCP、UDP和ICMP DDoS攻击,将真正流量与DDoS攻击进行区分。通过使用现有流行的DDoS工具生成的真实案例和DDoS攻击场景(模式)对算法进行了深入的训练。

ANN的学习过程是通过再现一个网络环境来开始的,该网络环境是现实生活环境的镜像。然后在普通流量通过网络时发起不同的DDoS攻击。作者收集数据集,进行预处理后使用JNNS训练算法。然后将检测机制与Snort-AI集成在一起,在这里针对已知和未知的DDoS攻击进行测试。原文实验显示将ANN反向传播学习与Sigmoid激活函数以及图1和图2中选择的拓扑结构相结合。使得图 1-3可以产生98%的检测精度。与其他相关学习算法和激活函数相比,这是迄今为止最高的检测精度。

图1 ANN TCP拓扑结构

图2 ANN ICMP拓扑结构

图3 ANN UDP拓扑结构

原文解决方案旨在通过从网络中检索数据包并使用经过训练的人工神经网络分析他们的头部信息,持续监控网络的异常行为。但是,在繁忙网络中检索大量数据包需要很高的处理速度并且很昂贵。因此,原文为每个协议引入了单独的数据包阈值。一旦数据包被分离并准备好进行检查,解决方案将模式(变量)管理为ANN代码,以确定检索到的流量(数据包)的合法性。其设计如图4所示,其中每个网络都安装有一个DDoS检测器,该检测器通过加密消息与他人进行通信。

图4 检测、防御和合作机制设计示意图

参考文献:

[1] S. Englehardt, C. Eubank, P. Zimmerman,D. Reisman, and A. Narayanan. OpenWPM: An Automated Platform for Web Privacy Measurement.Manuscript, 2015.

发表评论

电子邮件地址不会被公开。 必填项已用*标注