近日,来自美国、中国和沙特阿拉伯的研究人员演示了如何用AI人工智能算法检测用传统安全工具无法检测的DDoS分布式拒绝服务攻击。

随着联网设备数量呈指数级增长,并且网络攻击方法越来越复杂,查找和过滤针对Web服务器的有害DDoS流量正成为日益严峻的挑战。

根据研究者们发表在开放科学平台Europe PMC上的一篇论文“SDN-OpenFlow环境中基于深度学习的DDoS攻击检测方法”,该方法使用深度学习来确定网络流量是否属于恶意DDoS攻击。

研究人员的发现表明,对于小规模数据,该深度学习方法的性能一般。然而,在大规模数据的情况下,此方法的检测准确性、误报率(FAR)和测试时间都非常出色。与其他攻击检测方法相比,该方法在各个方面都有一定的优势。

该研究成果表明,基于深度学习的DDoS攻击检测方法可以有效地检测攻击状态,为研究攻击检测提供了重要的理论依据。这项工作的重点是软件定义网络(SDN),这是近年来流行的一种网络模式。

SDN提供灵活的虚拟化功能,能够满足云计算、移动网络和物联网(IoT)不断增长的需求。

但是,正如许多研究人员发现的那样,作为SDN控制器与网络设备(如交换机和路由器)之间进行通信的常用协议,SDN和OpenFlow容易受到DDoS攻击。

基于规则的检测失效

检测DDoS流量的经典方法是将传入的网络流量与区分正常流量与攻击流量的预定义规则进行比较。

但是,由于DDoS攻击方法的多样性以及在正常流量和恶意流量之间定义阈值的难度,都导致为DDoS检测设置规则非常困难。

该论文的作者说:“在实践中,正常流量和攻击流量之间没有明显的区别。”他补充说,“人们很难通过分析网络中的海量数据来找到正确的规则。”

通过深度学习抗击DDoS

论文作者建议不要使用人工处理数据,而是使用深度神经网络(DNN)对其进行分析。

DNN采用生物神经网络的仿生工作原理,可以处理大量数据并找到相关的模式,然后将其转换为复杂的数学表示形式。

然后,人们可以使用此模型对新输入的数据进行分类或预测序列中的下一条信息。

对于DDoS检测,研究人员将其视为分类问题。算法的目标是确定0、1比值,判定来自网络中某个节点的传入流量有多大可能是恶意的,正如研究人员所说的那样,“判断OpenFlow流表的特征数据是否为恶意数据”。

通过分析大量数据,训练有素的深度学习模型将能够采集正常和恶意流量的复杂特征,而这些特征过去不会被人类分析师发现。

研究者在包含正常和恶意数据条目的大型数据集上对神经网络进行了训练,然后针对五种不同类型的DDoS攻击进行了测试,其中包括各种流量泛洪攻击和慢速连接HTTP攻击,后一种方法是攻击者发送非常冗长的请求来破坏服务器。

正如大多数深度学习模型的进化类似,开发可靠的DDoS检测模型很大程度上取决于收集足够质量的训练数据。

正如作者所述:

在数据规模较小的情况下,面对洪泛攻击,深度学习模型的相关度(与传统检测方法相比)略有优势,但在其他方面则没有显示出其检测优势,检测性能并不出色。

但是,随着系统规模扩大到更大的数据集,研究人员发现,深度学习模型最终变得比其他已有DDoS检测工具(包括基于其他机器学习算法以及支持向量机SVM和决策树方法的工具)。

需要人工干预

深度学习系统非常擅长处理分类和预测任务,前提是所要处理的数据与训练数据存在统计上的相似性。

但是,一旦遇到前所未见的新情况,深度学习算法的表现就变得难以预测。

该论文的作者说:“尽管在这项研究中取得了一些成就,但仍然存在一些不足。”“这项研究的深度学习模型还需要一定程度的人工调整,并且不能完全智能化。”

目前这篇论文尚未经过同行评审,作者也没有发布代码和数据供行业专家检查,因此很难独立验证其模型的准确性。

但是,使用机器学习算法来应对日益严重的DDoS攻击威胁已成为人们日益关注的领域,并且一些研究项目已经给出了出令人鼓舞的结果。

目前,在人工智能抗D领域,还有的其他值得关注的研究,包括检测网络中受损的IoT设备的简单机器学习模型,以及分析OpenFlow表中是否存在恶意行为的SVM模型。

参考资料

SDN-OpenFlow环境中基于深度学习的DDoS攻击检测方法:

https://europepmc.org/article/ppr/ppr154760

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。