70、云服务DDoS攻击检测与交互式系统安全双视角解析

云服务DDoS攻击检测与交互式系统安全双视角解析

云服务DDoS攻击检测模型

在云服务环境中，DDoS攻击严重威胁着网络安全和服务可用性。为了有效检测此类攻击，需要构建一个强大且高效的检测模型。

数据库记录生命周期设置

对于TCP2HC数据库，为确保在重传超时溢出后仍能查询到带有ACK标志的真实TCP数据包，需满足(T1 > RTO + RTT + a)。其中，(RTO)是超时重传定时器的最大时间，(T1)是TCP2HC数据库中每条记录的最大生命周期，(RTT)是TCP端点之间的传输往返时间，(a)是安全可靠边界系数。根据(RTO = RTT + 4 * MDEV)（(MDEV)是RTT的平均偏差，用于衡量RTT抖动），可得(T1 > 2 * RTT + 4 * MDEV)。对于UDP2HC数据库，设置(T2 > RTT + a)，(T2)是UDP2HC数据库中每条记录的最大生命周期。

检查规则

基于新的TCA检查和异常数据包检查分析，提出了入站和出站两类检查规则。

决策组件

• 检测特征选择 ：在正常状态下，异常数据包的累积数量较少且稳定；而当DDoS攻击发生时，异常事件会快速增加。由于检查组件存在少量错误和漏检情况，因此选择异常数据包的累积数量作为决策组件的检测特征。在决策组件中设置数据包数量和异常数据包数量的计数器，(\theta_n)表示在时间段(\Delta t)结束时收集的数据包数量，(\phi_n)表示在时间段(\Delta t)结束时异常数据包的数量。使用以下指标描述不同时间段(\Delta t)内异常数据包