@寒
1年前 提问
1个回答
DDoS高速链路实时异常检测包括哪些技术
GQQQy
1年前
DDoS高速链路实时异常检测包括以下技术:
攻击流检测技术:精确过滤攻击流量的前提是对攻击流的准确辨别,随着攻击手段的不断提高,攻击流识别的难度越来越大,简单地依赖包速率、包数等指标识别攻击流具有较大的识别误差,需研究新的攻击流检测方法。另外,随着网络链路带宽的增长,单位时间内产生的网络流量越来越巨大,对检测方法的性能效率要求也越来越高。
流量清洗系统:首先,流量清洗系统应具备高速流量采集功能,能够实时捕获主干路由器分光的流量;此外,流量清洗系统应具有处理各种类型DDoS攻击的能力,能够有效清洗各种类型的攻击流量。如何有效融合多个过滤模块,与流量清洗系统的处理性能紧密相关。当前,越来越多的主干链路(单条)带宽达到了100Gbit/s,如何在对高速链路到来的流量进行清洗的基础上,再以准线速将清洗后的流量转发回去,这对新一代的流量清洗系统提出了极高的要求。
DDoS攻击类型识别技术:当前已有的DDoS检测和过滤往往针对某一具体攻击类型,如Syn flooding等;在DDoS攻击类型识别方面的研究较少。另一方面,如果能确定某个DDoS攻击的具体类型将能更好地采取有针对性的防御措施,甚至从根本上消除导致此类攻击的漏洞源头。
主干大流中无检测目标的DDoS攻击检测:虽然绝大部分的DDoS攻击的目标不是主干网络本身,但随着攻击规模和强度越来越大,攻击对运营商主干网络造成的影响越来越大。对于无安全设备的目标信息系统,由于其本身无法及时向主干网络管理者上报攻击信息,通过检测主干网流量变化发现DDoS攻击是解决此类无固定检测目标DDoS过滤的前提。在检测到DDoS攻击后,通过主干层流量分布变化发现DDoS攻击目标或者说攻击目标的具体定位,是无目标DDoS攻击过滤的另一个重要问题。