文章出自:http://blog.sina.com.cn/s/blog_599767520100a9z2.html
现有的DDoS 攻击检测方法大多是通过监视目标主机上网络信息流量的突变特性来实现攻击检测的。但这种检测方法存在两个问题: 一是检测的滞后性问题。只有在目标主机的流量发生突变的前提下才能检测出攻击已经发生, 通常, DDoS 攻击在很短时间内可以发送上万个攻击数据包, 可能在攻击还未检测出来之前已经造成网络服务的堵塞或系统崩溃; 二是检测结果的误报率问题。虽然发生DDoS 攻击的明显特征是网络流量的突变, 但流量的突变并不意味着DDoS攻击发生。实际上, 当大量合法用户同时登陆同一站点时也会发生流量突变的现象。
而安易防火墙解决这个问题的基本思想是: 利用DDoS 攻击预攻击阶段短时间内系统目标出现的大量网络连接请求数据包这一特征, 从网络连接次数入手, 检测所有访问者IP 地址并记录它们的连接次数和时间戳, 引入概率分布函数, 利用分布函数动态地描述系统的状况, 依据统计量的特征分布, 动态调节检测阈值的大小, 实现对DDoS 攻击的检测。
系统主要由统计引擎、分析引擎和检测引擎三个部分构成。统计引擎通过对网络数据的统计分析, 建立目标系统正常行为的分布规律和确定检测阈值; 分析引擎将处理后的网络数据与正常分布规律进行比较, 区分出正常数据和异常数据, 正常数据存入历史数据中, 异常数据送入检测引擎进一步分析。偏差分析引擎使得攻击检测的计算量大为减少, 有效节省了计算开销; 攻击检测引擎将检测阈值作为检测标准, 对异常数据进行分析, 以确定是否为攻击行为。
