檢測分類
1)誤用檢測
誤用檢測主要是根據已知的攻擊特徵直接檢測入侵行為。首先對異常資訊源建模分析提取特徵向量,根據特徵設計針對性的特徵檢測演算法,若新資料樣本檢測出相應的特徵值,則發布預警或進行反應。
優點:特異性,檢測速度快,誤報率低,能迅速發現已知的安全威脅。
缺點:需要人為更新特徵庫,提取特徵碼,而攻擊者可以針對某一特徵碼進行繞過。
2)異常檢測
異常檢測主要是檢測偏離正常資料的行為。首先對資訊源進行建模分析,建立正常的系統或者網路的基準輪廓。若新資料樣本偏離或者超出當前正常模式輪廓,異常檢測系統就發布預警或進行反應。由於檢測系統是根據正常情況定製描繪出系統或網路的正常輪廓,對於外部攻擊,攻擊者很難在攻擊時不偏離正常輪廓,因此很容易被異常檢測系統偵測到;同理,異常檢測系統也可以檢測來自內部的攻擊。另外,異常檢測系統還有能力檢測以前未知的攻擊。
缺點:首先只有對初始系統進行訓練,才能建立正常的輪廓模型;其次,調整和維護輪廓模型也較為複雜和耗時,建立錯誤的輪廓模型可能導致較高的誤報率。最後,一些精心構造惡意攻擊,可利用異常檢測訓練系統使其逐漸接受惡意行為,造成漏報。
優點:異常檢測旨在發現偏離,而不是具體入侵特徵,因而通用性較強,對突發的新型異常事件有很好的預警作用,利於人們巨集觀防禦,目前大部分網路異常流量檢測系統均採用異常檢測系統
異常流量檢測演算法
1)基於統計學的異常流量檢測
基於統計學的異常流量檢測,會假設當前網路環境處於乙個似穩態的狀態中。演算法會在前期收集和整理大量正常流量資料,通過對歷史流量資料進行統計分析或者資料變換設定初始閾值,然後對當前網路流量資料進行計算,通過與初始閾值進行對比,判斷當前網路是否發生異常。如果當前網路流量資料某一統計資訊超出相應閾值,則代表出現了異常流量
常用的網路流量特徵有位元組數、分組數、流計數、審計記錄資料、審計事件的數量、間隔事件、五元組(協議、源 ip 位址、目的 ip 位址、目的埠以及目的 ip 位址)以及資源消耗事件等。
缺點:1意攻擊者可通過逐漸增大惡意流量,來欺騙自適應閾值演算法,使其接受惡意流量不發生報警。 2基於統計的方法還需要假定當前網路環境變化情況是乙個似穩態的過程,而網路的訪問具有突發性,演算法還不能很好地應對目前分布式網路精心構造的攻擊流量,無法滿足低速攻擊 ldos 等異常流量的識別要求。3基於統計方法的異常檢測無法應對 0day 漏洞攻擊和一些較新穎的攻擊
2)基於資料探勘的異常檢測
基於資料探勘的異常檢測,利用資料探勘技術從海量網路流量中分析挖掘各類流量的特徵資訊,採用自動或半自動的建模演算法,發掘出能夠反映當前網路狀況的特徵引數如相關性(relationship)、模式(pattern)或者趨勢(trend)等,從更高的抽象層面揭示資料的潛在隱藏特性,以此來判斷網路的異常行為情況。
目前常用的如生成歸納規則、模糊邏輯、遺傳演算法、神經網路、深度學習等。
3)基於機器學習的異常檢測
異常流量的識別本質上是乙個分類問題,該分類問題通常以學習為前提。基於機器學習的異常流量檢測,是先前經驗的高度抽象與模型的表達,特點在於建立模型。不同的網路流量特徵,如位元組數、平均包大小、分組數量、最大分組長度、流持續時間、到達時間間隔等均可以作為建模物件。
貝葉斯網路、聚類、支援向量機、馬爾可夫模型等都已經廣泛應用。
目前,基於機器學習的異常流量檢測還處在發展階段,綜合利用各種聚類、分類、深度學習等演算法的優點,揚長避短,提高網路異常流量的識別率,已經成為一種潮流。
摘自《基於雲平台的分布式拒絕服務(ddos)攻擊檢測技術研究 》
Nginx防止DDOS流量攻擊
ddos流量攻擊 頻繁的傳送請求,造成寬頻占用,其他客戶端無法訪問 nginx解決ddos流量攻擊,利用limit req zone限制請求次數 limit conn zone限制連線次數 限制ip的每秒請求次數 limit req zone binary remote addr zone one ...
防 ddos 攻擊的方法
不知道身為網路管理員的你是否遇到過伺服器因為拒絕服務攻擊都癱瘓的情況呢?就網路安全而言目前最讓人擔心和害怕的入侵攻擊就要算是拒絕服務攻擊了。他和傳統的攻擊不同,採取的是 多個客戶端來連線伺服器,造成伺服器無法完成如此多的客戶端連線,從而無法提供服務。一,拒絕服務攻擊的發展 從拒絕服務攻擊誕生到現在已...
防禦DDoS 攻擊的方法
遭受 ddos 攻擊的狀況是讓人很為難的,假設有傑出的 ddos 防護辦法,那麼許多問題就將方便的解決,來看看有哪些常用的有用地辦法可以做好 ddos 防護。ddos 防護的辦法 1 選用高效能的網路裝置 首先要確保網路裝置不能變成瓶頸,因而挑選路由器 交換機 硬體防火牆等裝置的時候要盡量選用知名度...