近日，來自美國、中國和沙特阿拉伯的研究人員演示瞭如何用AI人工智能算法檢測用傳統安全工具無法檢測的DDoS分佈式拒絕服務攻擊。

隨着聯網設備數量呈指數級增長，並且網絡攻擊方法越來越複雜，查找和過濾針對Web服務器的有害DDoS流量正成爲日益嚴峻的挑戰。

根據研究者們發表在開放科學平臺Europe PMC上的一篇論文“SDN-OpenFlow環境中基於深度學習的DDoS攻擊檢測方法”，該方法使用深度學習來確定網絡流量是否屬於惡意DDoS攻擊。

研究人員的發現表明，對於小規模數據，該深度學習方法的性能一般。然而，在大規模數據的情況下，此方法的檢測準確性、誤報率（FAR）和測試時間都非常出色。與其他攻擊檢測方法相比，該方法在各個方面都有一定的優勢。

該研究成果表明，基於深度學習的DDoS攻擊檢測方法可以有效地檢測攻擊狀態，爲研究攻擊檢測提供了重要的理論依據。這項工作的重點是軟件定義網絡（SDN），這是近年來流行的一種網絡模式。

SDN提供靈活的虛擬化功能，能夠滿足雲計算、移動網絡和物聯網（IoT）不斷增長的需求。

但是，正如許多研究人員發現的那樣，作爲SDN控制器與網絡設備（如交換機和路由器）之間進行通信的常用協議，SDN和OpenFlow容易受到DDoS攻擊。

基於規則的檢測失效

檢測DDoS流量的經典方法是將傳入的網絡流量與區分正常流量與攻擊流量的預定義規則進行比較。

但是，由於DDoS攻擊方法的多樣性以及在正常流量和惡意流量之間定義閾值的難度，都導致爲DDoS檢測設置規則非常困難。

該論文的作者說：“在實踐中，正常流量和攻擊流量之間沒有明顯的區別。”他補充說，“人們很難通過分析網絡中的海量數據來找到正確的規則。”

通過深度學習抗擊DDoS

論文作者建議不要使用人工處理數據，而是使用深度神經網絡（DNN）對其進行分析。

DNN採用生物神經網絡的仿生工作原理，可以處理大量數據並找到相關的模式，然後將其轉換爲複雜的數學表示形式。

然後，人們可以使用此模型對新輸入的數據進行分類或預測序列中的下一條信息。

對於DDoS檢測，研究人員將其視爲分類問題。算法的目標是確定0、1比值，判定來自網絡中某個節點的傳入流量有多大可能是惡意的，正如研究人員所說的那樣，“判斷OpenFlow流表的特徵數據是否爲惡意數據”。

通過分析大量數據，訓練有素的深度學習模型將能夠採集正常和惡意流量的複雜特徵，而這些特徵過去不會被人類分析師發現。

研究者在包含正常和惡意數據條目的大型數據集上對神經網絡進行了訓練，然後針對五種不同類型的DDoS攻擊進行了測試，其中包括各種流量泛洪攻擊和慢速連接HTTP攻擊，後一種方法是攻擊者發送非常冗長的請求來破壞服務器。

正如大多數深度學習模型的進化類似，開發可靠的DDoS檢測模型很大程度上取決於收集足夠質量的訓練數據。

正如作者所述：

在數據規模較小的情況下，面對洪泛攻擊，深度學習模型的相關度（與傳統檢測方法相比）略有優勢，但在其他方面則沒有顯示出其檢測優勢，檢測性能並不出色。

但是，隨着系統規模擴大到更大的數據集，研究人員發現，深度學習模型最終變得比其他已有DDoS檢測工具（包括基於其他機器學習算法以及支持向量機SVM和決策樹方法的工具）。

需要人工干預

深度學習系統非常擅長處理分類和預測任務，前提是所要處理的數據與訓練數據存在統計上的相似性。

但是，一旦遇到前所未見的新情況，深度學習算法的表現就變得難以預測。

該論文的作者說：“儘管在這項研究中取得了一些成就，但仍然存在一些不足。”“這項研究的深度學習模型還需要一定程度的人工調整，並且不能完全智能化。”

目前這篇論文尚未經過同行評審，作者也沒有發佈代碼和數據供行業專家檢查，因此很難獨立驗證其模型的準確性。

但是，使用機器學習算法來應對日益嚴重的DDoS攻擊威脅已成爲人們日益關注的領域，並且一些研究項目已經給出了出令人鼓舞的結果。

目前，在人工智能抗D領域,還有的其他值得關注的研究，包括檢測網絡中受損的IoT設備的簡單機器學習模型，以及分析OpenFlow表中是否存在惡意行爲的SVM模型。

參考資料

SDN-OpenFlow環境中基於深度學習的DDoS攻擊檢測方法：

https://europepmc.org/article/ppr/ppr154760

聲明：本文來自安全牛，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多信息。如有侵權，請聯繫 [email protected]。