在过去,很多防火墙对于DDoS攻击的检测一般是基于一个预先设定的流量阈值,超过一定的阈值,则会产生告警事件,做的细一些的可能会针对不同的流量特征设置不同的告警曲线,这样当某种攻击突然出现的时候,比如SYN flood,此时网络中SYN的报文会超过阈值,说明发生了SYN flood攻击。

但是当网络中的报文速率本身是这条曲线的时候,曲线自身就一直在震荡,在这样的曲线上如何检测异常?如何根据阈值检测攻击?真正的攻击又是哪一个点?

这个攻击几乎肉眼无法分辨。如果不是那个时间点真的出了攻击,也很难从曲线上找出来。要放大了才能看出来。

所有上述的攻击,人的肉眼可以发现出来,基本上都是因为人在观察曲线的时候对于曲线的平滑和不平滑的交界处非常敏感。攻击检测算法第一位的需求是要把人肉眼可以观察出来的波动,锯齿,突刺都检测出来。

除了上面的这些检测方法之外,还有一类,就是从整体上看历史流量情况,然后根据这个时刻的流量峰值来判断。

这种方法对历史流量进行学习,生成业务访问的流量模型,并将业务当前流量和模型作比较,出现明显偏差时就判断为DDoS攻击。这种方法对于流量比较稳定的业务比较有效。但是在我们实际的互联网业务中,发现检测效果非常的低,特别是云计算环境,每天的业务都不一样,因此检测效率较低。

看起来,要实现一个高精度的检测系统,无外乎几个条件:
1、采集目标IP的网络流量
2、对关注的指标进行存储,并描绘成曲线
3、对曲线进行攻击检测,在必要的时候告警通知运维人员

如果要对其进行量化的话则主要是两个指标:
1、误报率:在所有产生的告警中,有多少代表了真正的攻击
2、敏感度:在所有真正的攻击中,有多少被检测系统发现

为了降低误清洗率,我们又进一步的在alibeaver中提出了一种基于流量成分的检测算法,并且结合毫秒级的分光设备,实现了快速的ddos攻击检测。

实际的算法可能有N多的公式、函数和流程,我不是一个理论工作者,这里只用一个简单的例子来说明:
如下可以看到一个HTTP业务的正常情况和受攻击时的入方向流量成分。正常时的抓包:其中在协议层面上,SYN、ack、Fin、Rst、icmp等报文的比例在一定的范围之内。不管流量多大,只要业务不发生变化,其实总的比例都差不多。

而我们观察一次该业务被攻击时候的抓包,可以发现攻击发生的时候,某些成分的比例会急剧上升,也许有人会挑战我,攻击者也可以完全的模拟正常业务的请求来跟服务器进行交互,这样你的检测算法也就没用了,但是事实上是,这样做攻击者需要真正的真实IP,而且真实的交互会更快的暴露自己,虽然也没法做到像正常业务交互那样真实。

结论:这是一个典型的SYNflood攻击。通过对比正常情况和受攻击时的入口流量成分,可以看到攻击发生的时候网络中各个协议的占比发生了明显的变化。

摘自:https://xianzhi.aliyun.com/forum/mobile/read/77.html

转载于:https://www.cnblogs.com/bonelee/p/7080390.html

DDos攻击的一些领域知识——(流量模型针对稳定业务比较有效)不稳定业务采用流量成本的检测算法,攻击发生的时候网络中各个协议的占比发生了明显的变化...相关推荐

  1. 从kill-chain的角度检测APT攻击

    前言 最近一直在考虑如何结合kill chain检测APT攻击.出发点是因为尽管APT是一种特殊.高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测 ...

  2. ip 包流量分析程序_【干货】西门子S7300六大流量异常场景检测

    前言 互联与共享成为工业控制系统新的发展方向,工控系统与企业办公网和互联网逐渐相连,工业控制网络环境越来越开放. 工业控制系统需从设备安全和信息数据安全两方面保障系统稳定运行: 从 ICS 自身结构看 ...

  3. 首页攻略运营篇(1):流量模型与首页指标体系

    本文针对电商app.不同业务类型的app首页设计可能有一定差异,可以跨界类推. 内容框架如下: 一.首页流量模型 要做好首页运营,首先应该了解首页流量模型,也就是流量从哪里来,到哪里去,在首页如何分布 ...

  4. 2022-10-31 网工进阶(三十三) IP组播-流量模型、组播概念、组播报文结构、组播地址与MAC、组播网络架构、组播服务模型、组播数据转发原理(RPF检查、组播分发树、组播协议介绍)

    IP组播概念 流量模型 网络中存在各种各样的业务,从流量模型看一般可以将业务分为两类: 点到点业务:比如FTP,WEB业务,此类业务主要特点是不同的用户有不同的需求,比如用户A需要下载资料A,用户B需 ...

  5. Kubernetes — 网络流量模型

    目录 文章目录 目录 Kubernetes Network 中的 IP 地址类型 Kubernetes 的网络流量模型 同 Pod 内部的 Containers 间的通信(Container 模式) ...

  6. 数据中心两种常用流量模型运用mininet的实现

    为什么80%的码农都做不了架构师?>>>    编者按:在网络性能评估中一个巨大的挑战就是如何生成真实的网络流量,还好可以通过程序来创造人工的网络流量,通过建立测试环境来模拟真实的状 ...

  7. 思博伦Spirent TestCenter _使用iMIX功能配置混合帧长的流量模型 _双极未来

    混合帧长的流量模型更符合真实的应用场景,因此我们在越来越多的测试场景中看到测试例要求加入测试混合帧长,而不仅仅是测试固定帧长的流量. 如何设置混合流量模型: 首先在配置流量的界面选择iMIX,然后选择 ...

  8. MATLAB/Simulink永磁直驱风力发电系统仿真模型 本模型针对定桨距角的永磁直驱风机系统,包含风力机传动部分,整流器控制部分,逆变器控制部分,mppt(爬山搜索法)四大部分

    MATLAB/Simulink永磁直驱风力发电系统仿真模型 (含建模过程与参考文献) 本模型针对定桨距角的永磁直驱风机系统,包含风力机传动部分,整流器控制部分,逆变器控制部分,mppt(爬山搜索法)四 ...

  9. [当人工智能遇上安全] 6.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例

    您或许知道,作者后续分享网络安全的文章会越来越少.但如果您想学习人工智能和安全结合的应用,您就有福利了,作者将重新打造一个<当人工智能遇上安全>系列博客,详细介绍人工智能与安全相关的论文. ...

最新文章

  1. linux网络管理原理,Linux__网络管理(物理层 数据链路层 网络层工作原理)
  2. java 高并发解决方案
  3. IOS UINavigationController use
  4. python如何写日志_【Python】教你如何在python中添加日志
  5. rpm包 卸载php,强制删除rpm包的方法
  6. PHP: to use scptask, you need to install the SSH extension.
  7. 初涉网络流 POJ 1459 Power Network
  8. 从二值检索到层次竞买图——让搜索广告关键词召回焕然新生
  9. VMware安装VMwaretools
  10. mysql 常用命令与备份恢复 整理
  11. pycharm设置开发模板
  12. gzip解压str python_有哪些你不知道的Python小工具
  13. 一个漂亮的Bootstrap查找查询框,带下拉选择按钮
  14. DVWA high暴力破解
  15. RFID EPC Class1 Gen2电子标签笔记
  16. 什么是一级域名和二级域名
  17. 球缺体积和球冠表面积的计算公式及应用
  18. java vscode跳转类定义_快速使用 vscode 进行 Java 编程
  19. 优动漫PAINT动画创作功能介绍
  20. 故障:ID8003 的 bowser 错误日志

热门文章

  1. Nginx之负载均衡(四)
  2. Spring框架入门
  3. 页面加载速度优化的12个建议
  4. python 时间戳 字符串_python time模块 字符串 时间戳互转
  5. oracle数据库的详细安装,Oracle 11g数据库详细安装图文教程
  6. python中cursor属性_Python – AttributeError:’NoneType’对象没有属性’cursor’
  7. 湖北工业大学c语言作业答案,湖北工业大学C语言PPT
  8. mysql报错:Reading table information for completion of table and column names
  9. python【力扣LeetCode算法题库】面试题13- 机器人的运动范围(BFS)
  10. BroadCastReceiver简介