基于神经网络的DDOS攻击检测

文/曾晓杰

当前网络病毒样式百出，严重影响到了我们访问网络的质量和安全。特别是系统的某些重要和敏感信息遭到非法用户的攻击，让这些信息受损或者泄漏出去造成无法挽回的经济损失。DDOS攻击的破坏性很大，并且不容易预防，所以引起了全世界的关注。

1 DDOS的攻击概念

在介绍DDOS攻击概念前，先为大家介绍一下DOS攻击，DOS攻击指的是它有计划的攻击一台计算机或者有计划的破坏该计算机的网络，让其不能提供正常的服务。它通常情况下的攻击目标是该计算机的宽带网络和该网络的连通性，它们故意破坏资源，让合法的用户不能响应请求，也让计算机不能正常处理用户的合法请求。而DDOS攻击则是由很多台计算机合作一起发动DOS攻击来攻击一个或者几个目标，DDOS攻击相当于是DOS攻击的升级和加强版，DDOS攻击的攻击效果要比多个单一的DOS攻击效果强的多，并且它可以利用那些有漏洞的计算机做成一个攻击平台去攻击其他计算机。DDOS攻击的目的是对受害者的计算机产生破坏，影响合法用户的请求，但并不去破坏受害者的系统。所以，一般的常规安全防御对DDOS攻击并没有太大的作用和效果。

DDOS的攻击原理：一般情况下DDOS具有一个完整的攻击体系：它是由黑客所用的那台计算机发送攻击命令非法入侵并控制一些计算机，并在这些被控制的计算机中安装特定的程序用来接收和发送黑客的攻击命令，然后向受害者发送攻击，让受害者的主机或者服务器遭到破坏。

2 神经网络

神经网络由多个神经元层次组成，它包含了输入层、隐含层和输出层，在不同的神经元层之间则通过权连接，层与层之间的节点则通过全互联的方式连接。神经网络具有建模简单和容错性强的优点，而且神经网络技术还具有相当强的攻击和分析能力，能够很好的处理各种有效数据，在处理数据上很适合做网络病毒的入侵检测。

3 基于神经网络的Ddos攻击检测的实现

Ddos攻击方式通常是通过伪造IP地址，向攻击目标发送大量的数据包，以此来让目标主机的资源及网络资源消耗殆尽。虽然Ddos攻击危害较大，但是用常规的病毒防御却检测不出来，因为它们的数据包是正常的数据包。Ddos攻击产生的伪造数据包看起来是无规律发送，但是可以通过对数据包的分析，还是可以得到Ddos攻击的特征——通过对大量的数据流中的数据包观察，更进一步的分析，可以通过对数据集中协议标识，源端口号，源目的IP地址及目标IP地址，客户端的序列号等多方面结果与神经网络阈值进行比较，可以得出是否为攻击数据。

图1为检测系统模型。

首先，通过Windows的网络驱动器接口规范，可以用WinPcap函数库实现对网络上的原始数据包的捕获，然后，通过提取数据包包头信息，得到数据包传输时间，进而通过数据集中协议标识，源端口号，客户端的序列号等的分析，可以对数据包进行初步处理并解析。再通过对数据集的分析来得到较为重要的特征数据，将其与数据包传输时间一一对应并保存，虽然没有对较为重要的源IP地址进行处理，但是这就可以大大降低计算任务，而且源IP地址还不能得到有关包长度的信息，最关键的是源IP地址是不一定正确的。只要将从数据包得到的信息与神经网络中的的基本组成——神经元进行逻辑处理，就可以分析出捕获的数据包是正常数据还是Ddos攻击。进而进行判断，如若是正常数据包，则可以放过，但若是具有Ddos特征的攻击数据流，那我们就可以将其丢弃，并且发出提示，警示用户进行进一步的处理。当然，随着时间的改变，Ddos攻击也会成长，会出现越来越多的攻击手段，所以，为了有效的预防Ddos攻击，我们应该要对Ddos进行二次防御。让Ddos的新型攻击方式产生的数据流来带动神经网络中隐藏层的阈值，进而来提高我们对Ddos的检测预防能力。

通过已知的数据包信息，可以作为输入参数，以此来让BP神经网络的两个经过训练后的输出神经元迅速检测出Ddos攻击。多种研究表明，隐藏层可以异常高效的检测出Ddos攻击的出现。

图1

4 总结

本文介绍了DDOS攻击检测的攻击原理以及基于神经网络的DDOS攻击入侵检测的重要作用，它能够检测出当前受害者机器上的所有类型的DDOS攻击。在DDOS攻击入侵检测中取得了巨大的成就，最后，我想对大家说维护网络安全是我们所有网络用户共同目标，拥有一个安全的、良好的网络安全环境是网民的热切希望，当我们自己的计算机不幸成为DDOS攻击中的一员时，希望大家能够及时的关闭自己的计算机，让计算机处于隔离状态，然后杀毒清除我们计算机中的DDOS攻击程序，不要让自己的电脑去攻击其他人的电脑，不要让他人成为受害者。