始于1966年诞生的分布式拒绝服务即DDoS攻击,它自出现后就一直给网络安全带来困扰,特别是随着新技术持续催生,致使DDoS攻击结合新技术演变出多种类型,DDoS攻击作为黑灰产手段之一,让诸多企业和国家遭受巨大损失。
从基于IP源地址数量和分布的变化情况来看,依据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》这份研究报告所显示的内容,对于DDoS而言,为了实现隐藏攻击的目的,攻击者会采取降低攻击速率的举措,从而使得攻击流量速率趋近于正常访问速率,通过这样的方式来加大检测的难度,然而在DDoS展开攻击的过程中间,访问IP数量出现大幅度的增加,这是攻击所具备的一个明显特征。此特征无法被隐藏,基于该特征,若能对IP地址实时监测并判定,就能有效检测DDoS攻击,尤其是攻击源地址分布均匀的那种,以新源地址出现速率作攻击是否发生的依据,经由监测访问流数量变化,达成对Flash Crowd 和DDoS攻击有效区分。
与此同时,依据名为《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究报告所展示的内容,当伪造源地址 DDoS 攻击出现的时候,IP 源地址的流数量熵值以及目标地址流数量熵值都会产生较大的变化,大量的流汇聚起来致使目的地址的熵值大幅下降,而攻击流的均匀性使得源地址熵值会有所增加,借助训练得出的阈值,能够检测 DDoS 攻击。
在没有攻击发生的情况下,针对某一个目标地址进行访问时,其源地址的分布状况是稳定的,并且一般来说呈现出成簇的状态,然而在DDoS攻击发生之际,IP源地址的分布趋向于离散,能够依据IP源地址的这一特性,找到识别DDoS攻击的方法。
由DDoS、蠕虫以及病毒(垃圾)邮件共同构成了影响骨干网安全的3个主要因素,从行为模式方面来看它,们存在着显著的区别,这些区别具体表现为,DDoS呈现出多个地址向着一个IP地址发出及传送数据的情况,蠕虫呈现出一个IP地址向着多个IP地址,借助一个或者多个端口传出数据包的情况,病毒邮件呈现出一个地址,经由25端口向着多个IP地址发送数据包的情况。被称作威胁兴趣关系(threats interestedness relation,简称为 TIR)模型的这三种行为模型,是W Chen与DY Yeung他俩研究得出的。在对于源地址开展监控操作过后,针同样对象进行后续的目的地址监控,再之后进行端口监控,依据这些监控信息构建TIR树,如此这般就能够有效地识别出三种不同类型的攻击。
