文/曾曉杰

當(dāng)前網(wǎng)絡(luò)病毒樣式百出，嚴(yán)重影響到了我們?cè)L問網(wǎng)絡(luò)的質(zhì)量和安全。特別是系統(tǒng)的某些重要和敏感信息遭到非法用戶的攻擊，讓這些信息受損或者泄漏出去造成無法挽回的經(jīng)濟(jì)損失。DDOS攻擊的破壞性很大，并且不容易預(yù)防，所以引起了全世界的關(guān)注。

1 DDOS的攻擊概念

在介紹DDOS攻擊概念前，先為大家介紹一下DOS攻擊，DOS攻擊指的是它有計(jì)劃的攻擊一臺(tái)計(jì)算機(jī)或者有計(jì)劃的破壞該計(jì)算機(jī)的網(wǎng)絡(luò)，讓其不能提供正常的服務(wù)。它通常情況下的攻擊目標(biāo)是該計(jì)算機(jī)的寬帶網(wǎng)絡(luò)和該網(wǎng)絡(luò)的連通性，它們故意破壞資源，讓合法的用戶不能響應(yīng)請(qǐng)求，也讓計(jì)算機(jī)不能正常處理用戶的合法請(qǐng)求。而DDOS攻擊則是由很多臺(tái)計(jì)算機(jī)合作一起發(fā)動(dòng)DOS攻擊來攻擊一個(gè)或者幾個(gè)目標(biāo)，DDOS攻擊相當(dāng)于是DOS攻擊的升級(jí)和加強(qiáng)版，DDOS攻擊的攻擊效果要比多個(gè)單一的DOS攻擊效果強(qiáng)的多，并且它可以利用那些有漏洞的計(jì)算機(jī)做成一個(gè)攻擊平臺(tái)去攻擊其他計(jì)算機(jī)。DDOS攻擊的目的是對(duì)受害者的計(jì)算機(jī)產(chǎn)生破壞，影響合法用戶的請(qǐng)求，但并不去破壞受害者的系統(tǒng)。所以，一般的常規(guī)安全防御對(duì)DDOS攻擊并沒有太大的作用和效果。

DDOS的攻擊原理：一般情況下DDOS具有一個(gè)完整的攻擊體系：它是由黑客所用的那臺(tái)計(jì)算機(jī)發(fā)送攻擊命令非法入侵并控制一些計(jì)算機(jī)，并在這些被控制的計(jì)算機(jī)中安裝特定的程序用來接收和發(fā)送黑客的攻擊命令，然后向受害者發(fā)送攻擊，讓受害者的主機(jī)或者服務(wù)器遭到破壞。

2 神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)由多個(gè)神經(jīng)元層次組成，它包含了輸入層、隱含層和輸出層，在不同的神經(jīng)元層之間則通過權(quán)連接，層與層之間的節(jié)點(diǎn)則通過全互聯(lián)的方式連接。神經(jīng)網(wǎng)絡(luò)具有建模簡(jiǎn)單和容錯(cuò)性強(qiáng)的優(yōu)點(diǎn)，而且神經(jīng)網(wǎng)絡(luò)技術(shù)還具有相當(dāng)強(qiáng)的攻擊和分析能力，能夠很好的處理各種有效數(shù)據(jù)，在處理數(shù)據(jù)上很適合做網(wǎng)絡(luò)病毒的入侵檢測(cè)。

3 基于神經(jīng)網(wǎng)絡(luò)的Ddos攻擊檢測(cè)的實(shí)現(xiàn)

Ddos攻擊方式通常是通過偽造IP地址，向攻擊目標(biāo)發(fā)送大量的數(shù)據(jù)包，以此來讓目標(biāo)主機(jī)的資源及網(wǎng)絡(luò)資源消耗殆盡。雖然Ddos攻擊危害較大，但是用常規(guī)的病毒防御卻檢測(cè)不出來，因?yàn)樗鼈兊臄?shù)據(jù)包是正常的數(shù)據(jù)包。Ddos攻擊產(chǎn)生的偽造數(shù)據(jù)包看起來是無規(guī)律發(fā)送，但是可以通過對(duì)數(shù)據(jù)包的分析，還是可以得到Ddos攻擊的特征——通過對(duì)大量的數(shù)據(jù)流中的數(shù)據(jù)包觀察，更進(jìn)一步的分析，可以通過對(duì)數(shù)據(jù)集中協(xié)議標(biāo)識(shí)，源端口號(hào)，源目的IP地址及目標(biāo)IP地址，客戶端的序列號(hào)等多方面結(jié)果與神經(jīng)網(wǎng)絡(luò)閾值進(jìn)行比較，可以得出是否為攻擊數(shù)據(jù)。

圖1為檢測(cè)系統(tǒng)模型。

首先，通過Windows的網(wǎng)絡(luò)驅(qū)動(dòng)器接口規(guī)范，可以用WinPcap函數(shù)庫(kù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上的原始數(shù)據(jù)包的捕獲，然后，通過提取數(shù)據(jù)包包頭信息，得到數(shù)據(jù)包傳輸時(shí)間，進(jìn)而通過數(shù)據(jù)集中協(xié)議標(biāo)識(shí)，源端口號(hào)，客戶端的序列號(hào)等的分析，可以對(duì)數(shù)據(jù)包進(jìn)行初步處理并解析。再通過對(duì)數(shù)據(jù)集的分析來得到較為重要的特征數(shù)據(jù)，將其與數(shù)據(jù)包傳輸時(shí)間一一對(duì)應(yīng)并保存，雖然沒有對(duì)較為重要的源IP地址進(jìn)行處理，但是這就可以大大降低計(jì)算任務(wù)，而且源IP地址還不能得到有關(guān)包長(zhǎng)度的信息，最關(guān)鍵的是源IP地址是不一定正確的。只要將從數(shù)據(jù)包得到的信息與神經(jīng)網(wǎng)絡(luò)中的的基本組成——神經(jīng)元進(jìn)行邏輯處理，就可以分析出捕獲的數(shù)據(jù)包是正常數(shù)據(jù)還是Ddos攻擊。進(jìn)而進(jìn)行判斷，如若是正常數(shù)據(jù)包，則可以放過，但若是具有Ddos特征的攻擊數(shù)據(jù)流，那我們就可以將其丟棄，并且發(fā)出提示，警示用戶進(jìn)行進(jìn)一步的處理。當(dāng)然，隨著時(shí)間的改變，Ddos攻擊也會(huì)成長(zhǎng)，會(huì)出現(xiàn)越來越多的攻擊手段，所以，為了有效的預(yù)防Ddos攻擊，我們應(yīng)該要對(duì)Ddos進(jìn)行二次防御。讓Ddos的新型攻擊方式產(chǎn)生的數(shù)據(jù)流來帶動(dòng)神經(jīng)網(wǎng)絡(luò)中隱藏層的閾值，進(jìn)而來提高我們對(duì)Ddos的檢測(cè)預(yù)防能力。

通過已知的數(shù)據(jù)包信息，可以作為輸入?yún)?shù)，以此來讓BP神經(jīng)網(wǎng)絡(luò)的兩個(gè)經(jīng)過訓(xùn)練后的輸出神經(jīng)元迅速檢測(cè)出Ddos攻擊。多種研究表明，隱藏層可以異常高效的檢測(cè)出Ddos攻擊的出現(xiàn)。

圖1

4 總結(jié)

本文介紹了DDOS攻擊檢測(cè)的攻擊原理以及基于神經(jīng)網(wǎng)絡(luò)的DDOS攻擊入侵檢測(cè)的重要作用，它能夠檢測(cè)出當(dāng)前受害者機(jī)器上的所有類型的DDOS攻擊。在DDOS攻擊入侵檢測(cè)中取得了巨大的成就，最后，我想對(duì)大家說維護(hù)網(wǎng)絡(luò)安全是我們所有網(wǎng)絡(luò)用戶共同目標(biāo)，擁有一個(gè)安全的、良好的網(wǎng)絡(luò)安全環(huán)境是網(wǎng)民的熱切希望，當(dāng)我們自己的計(jì)算機(jī)不幸成為DDOS攻擊中的一員時(shí)，希望大家能夠及時(shí)的關(guān)閉自己的計(jì)算機(jī)，讓計(jì)算機(jī)處于隔離狀態(tài)，然后殺毒清除我們計(jì)算機(jī)中的DDOS攻擊程序，不要讓自己的電腦去攻擊其他人的電腦，不要讓他人成為受害者。