行业新闻与博客

来自美国，中国和沙特阿拉伯的一组研究人员展示了人工智能（AI）算法如何帮助检测其他方法失败的分布式拒绝服务（DDoS）攻击。

随着互联网连接设备的数量呈指数级增长，并且攻击者的方法变得越来越复杂，针对 Web 服务器查找和过滤有害 DDoS 流量正成为日益严峻的挑战。

他们的方法发表在开放科学平台 Europe PMC 上的一篇论文中，该方法使用深度学习来确定来自源的网络流量是正常的还是恶意 DDoS 攻击的一部分。

解释者 什么是 DDoS？完整指南

研究人员的发现表明，在处理大规模数据时，基于深度学习的检测方法可提高速度和准确性，同时降低误报率。

这项工作的重点是软件定义网络（SDN），这是近年来流行的一种网络范例。

SDN 提供了满足云计算的不断增长的需求灵活的虚拟化功能，移动网络和物联网（IOT）。

但是，正如许多研究人员发现的那样，SDN 和 OpenFlow 是常用于使 SDN 控制器与网络设备（如交换机和路由器）之间进行通信的协议，容易受到 DDoS 攻击。

基于规则的检测失败

检测 DDoS 的经典方法是将传入的网络流量与可以将正常流量与攻击流量分开的一组预定义规则进行比较。

但是，由于 DDoS 攻击方案的多样性以及在正常流量和恶意流量之间定义阈值的难度，为 DDoS 检测设置规则非常困难。

该论文的作者说：“在实践中，正常流量和攻击流量之间没有明显的区别。”他补充说，人们实际上不可能分析通过网络运行的海量数据以找到正确的规则。

通过深度学习应对 DDoS

作者建议不要使用人工细读数据，而是使用深度神经网络（DNN）对其进行分析。

DNN 大致模仿其生物学对应物的工作原理，吸收大量数据并找到相关的模式，然后将其转换为复杂的数学表示形式。

然后，他们可以使用此模型对新输入的数据进行分类或预测序列中的下一条信息。

对于 DDoS，研究人员将其视为分类问题。该算法的目标是确定从 0 到 1 的比例，来自网络中某个节点的传入流量有多大可能是恶意的，或者如研究人员所说，“判断 OpenFlow 流表的特征数据是否为恶意数据”。正常与否”。

通过分析大量数据，训练有素的深度学习模型将能够收集安全和恶意流量的复杂特征，而这些特征本来不会被人类分析师发现。

推荐的 第一季度 DDoS 激增是由对政府和冠状病毒信息站点的攻击导致的

在包含正常表和恶意表条目的大型数据集上对神经网络进行了训练，然后对五种不同类型的 DDoS 攻击进行了测试，包括各种流量泛洪攻击和慢速连接 HTTP 攻击，攻击者试图通过这种方式破坏服务器发送非常冗长的请求。

正如大多数深度学习用途一样，开发可靠的 DDoS 检测模型在很大程度上取决于收集足够质量的训练数据。

如作者所述：

在数据规模较小的情况下，面对洪泛攻击，DL 模型的相关度 [与传统检测方法相比] 略有优势，但在其他方面则没有显示出其检测优势。检测性能不出色。

但是，随着系统规模扩大到更大的数据集，研究人员发现，深度学习模型最终比其他已建立的 DDoS 检测工具（包括基于其他机器学习算法（包括支持向量机（SVM）和决策树。

需要人力支持

深度学习系统只要处理与训练示例在统计上相似的数据，就非常擅长处理分类和预测任务。

但是，一旦他们遇到与以前所见不同的新颖情况，它们就会以意想不到的方式表现出来。

该论文的作者说：“尽管在这项研究中取得了一些成就，但仍然存在一些不足。” “这项研究的 DL 模型也需要一定程度的人工调整，并且不能完全智能化。”

这篇论文尚未经过同行评审，并且作者尚未发布代码和数据供行业专家检查，因此很难独立验证其模型的准确性。

但是，使用机器学习算法来应对日益严重的 DDoS 攻击威胁已成为人们日益关注的领域，并且一些项目已经显示出令人鼓舞的结果。

该领域的其他工作包括从检测网络中受损的 IoT 设备的简单机器学习模型到分析 OpenFlow 表中是否存在恶意行为的 SVM 模型。

本文由机器译制