哪些技术可以提高DDoS的异常检测防御技术
以下技术可以提高DDoS的异常检测防御技术:
小波变换分析:小波变换能够同时在时域和频域突出信号的局部特性,几乎所有的信号都能根据从原始数据提取出来的某些特征来表现信号。PDoS攻击的检测方法中,使用了一种基于小波分析的两阶段检测方法,实现高精度的检测。首先使用离散小波变换(Discrete Wavelet Transform,DWT)分析路由器中到来的流量与发送的TCP ACK流量的变化。
频谱分析:在LDoS攻击过程中,正常的TCP流和异常的攻击流在传输中呈现出周期性,而周期信号和非周期信号在频率域呈现不同的特性,因此可以利用傅立叶转换在频谱域中检测这些差异。这种方法不仅可以检测出Shrew攻击和传统洪泛式DoS攻击,而且还可以检测出各种周期变化的基于RTO或AIMD机制的LDoS攻击。
统计分析:统计分析需要先建立一个统计模型,比如马尔可夫模型等。如果建立的统计模型与真实数据的实际分布相符合,则异常检测的准确率是很高的。但是在实际的应用中,特别是以高维数据或者数据流为处理对象时,很难建立非常准确的统计模型。这类检测算法检测速度快,但误报率很高。
信息度量分析:信息熵用于判断网络系统的离散和无序程度,对其应用在网络安全领域的检测效果都进行了验证,其检测实时性好,检测精度高。
小信号检测分析:该方法通过构造特征值估算矩阵,对30s时间内(3000个采样点)到达的数据包个数进行统计,则通过特征值估算矩阵可较精确地检测并计算出LDoS攻击的周期值,在NS-2环境中的仿真实验结果表明本方法具有较高的检测率。相对而言,异常检测的方法可以对时间序列变化信息进行更全面细致的分析,因此检测精度比较高。但是,现有的异常检测方法在检测LDoS攻击时,只是从整体上分析信息变化情况,却没有考虑基于RTO和AIMD机制的攻击之间的差别,因而不能更准确地区分攻击方法。如果要检测这两种不同的攻击方式,需要利用时频分析的方法在局部进行更多的分析。一方面,在频率变化上要划分更多层进行分析;另一方面,在时间上要进行信息变化的周期性分析。