14、基于多特征融合的分布式拒绝服务攻击检测

基于多特征融合的分布式拒绝服务攻击检测

1. 引言

分布式拒绝服务（DDoS）攻击是互联网面临的主要威胁之一。当前，DDoS攻击呈现出使用真实源IP地址、模拟正常流量发动攻击的趋势，通过大量流量淹没或周期性低速率攻击流量对受害者造成严重破坏。在攻击早期，由于流量波动不明显，很难检测到流量变化。

现有的检测方法存在诸多不足：
- 基于流量不对称性的方法：虽然能检测不对称攻击流量，但正常流量的进出流量有时也高度不成比例，且在边缘网络协作实施成本高、难度大。攻击者还可能使用随机伪造源IP地址或模拟正常流量发送攻击数据包，使源网络难以准确检测攻击流量。
- 基于单一攻击特征的方法：如基于IP地址分布、流量突变检测攻击的方法，容易受到正常背景流量的干扰。
- 集成多特征的方法：同样会受到大量正常背景流量的影响。
- 分布式协作方法：部署系统困难，且检测质量依赖于每个传感器的检测能力。
- 基于正常流量特征建立检测模型的方法：难以构建适用于所有正常流量的稳定模型，攻击者还可能模拟正常流量发动攻击。

因此，检测DDoS攻击是一项具有挑战性的任务，需要新的方法。本文提出了基于正常流量和DDoS攻击多特征的IP流交互算法（IFI），并基于IFI时间序列提出了一种DDoS攻击检测方法（DADF）。

2. IFI算法

正常流量和攻击流量的共同特征是交互，但由于交互目的不同，它们在IP地址和端口上的统计特征存在本质差异。

假设在特定时间段T内的网络流量F可表示为<(t1,s1,sp1,d1,dp1), (t2,s2,sp2,d2,dp2),…, (tn,sn,spn,dn,dpn)&g