本發明提供了一種基于機器學習和特征選擇的DRDoS攻擊檢測方法。該方法包括：通過網絡數據采集分析工具定期收集網絡入口的數據包頭信息；根據數據包頭信息中的五元組將收集的數據包劃分為不同的網絡流，提取各個網絡流的流特征建立數據集；使用攻擊原理分析、特征重要性排名和特征分布對所述流特征數據集中的網絡流特征進行特征篩選，得到關鍵特征；利用所述流特征數據集和所述關鍵特征對XGBoost模型進行調參訓練，得到檢測性能指標最好的XGBoost模型；利用訓練好的XGBoost模型對待檢測網絡的入口流量數據進行在線檢測，輸出流量的檢測分類結果。本發明利用XGBoost來學習DRDoS攻擊的行為，可以識別出網絡中的多種類型的DRDoS攻擊，降低網絡中的惡意流量。

技術領域

本發明涉及網絡安全檢測技術領域，尤其涉及一種基于機器學習和特征選擇的DRDoS攻擊檢測方法。

背景技術

隨著互聯網的發展和互聯網環境的復雜化，互聯網面臨的安全形勢也日趨嚴峻。分布式拒絕服務(Distributed Denial of Service,DDoS)攻擊一直是近年來最常見且危害最大的攻擊方式之一。在DDoS攻擊中，分布式反射拒絕服務攻擊(DistributedReflection Denial of Service，DRDoS)也稱反射攻擊、放大攻擊，是一種特殊的具有巨大攻擊力和潛力的攻擊。這種攻擊利用IP欺騙和互聯網上的開放服務器進行反射，向受害者發送大量數據包，這些服務器也被稱為反射器。

DRDoS攻擊的巨大危害就在于攻擊者向某種協議服務器發送的小量請求最終會引發服務器的大量響應。在DRDoS攻擊中，攻擊者的主要意圖是耗盡受害者的帶寬，攻擊者利用了一些UDP協議服務器接受請求而不驗證發送者身份的漏洞，進行IP欺騙來形成危害更大的攻擊。

目前，針對DRDoS攻擊的研究相對DDoS攻擊來說非常少，并且許多研究是針對特定協議的，很難擴展到其它協議進行。有許多方法從DRDoS攻擊的首要因素IP欺騙出發，但是這些方法往往需要服務器和客戶端支持某種協議，這很難做到。在反射器端檢測可以最小化攻擊影響，但是反射器端檢測方法存在兩個缺點：

(1)存在大量潛在的反射器，很難實現部署；

(2)攻擊者發出的非法請求可能與反射器中的合法請求看起來相同，導致誤報率高。

隨著機器學習技術的發展，能夠通過提取網絡流中的特征來分析、檢測和防御DDoS攻擊，從而在大數據環境下以低成本建立模型。目前，許多針對互聯網安全問題的入侵檢測系統已經開始使用機器學習的方法進行。在異常檢測領域有成百上千個流量模型被提出來，如何確定這些模型的參數是一個難以解決的問題。尤其對于包含大量參數的模型，依賴于管理人員手動試探出最優的參數值是極其困難的。而機器學習提供了一種通過黑匣子的方式自動確定模型最佳參數的方法，在異常檢測中得到了廣泛的應用。

特征選擇(Feature Selection)和特征提取(Feature Extraction)是特征工程(Feature Engineering)的兩個重要子內容。其中特征提取是指從數據中找到可以表征目的的屬性，而特征選擇是從候選特征中選出有價值的特征。通過特征選擇可以達到降維、提升模型效果和提升模型性能等效果，對于機器學習，特征選擇是其應用中很重要的一步。特征選擇是一個很重要的數據預處理過程，選擇出重要的特征可以緩解維數災難問題，去除不相關特征可以降低學習任務的難度。

NTP(Network Time Protocol，網絡時鐘協議)放大攻擊利用了NTP協議，NTP是用來使計算機時間同步化的一種協議，可以提供精確到毫秒級的時間同步服。NTP協議使用UDP的123端口對外提供時鐘同步服務。NTP協議包含一個monlist功能，用于監控NTP服務器。攻擊者發送偽造的monlist指令數據包，NTP服務器響應monlist指令后就會返回與其進行過時間同步的最近600個客戶端的IP地址。響應包按照每6個IP進行分割，一個NTP的monlist請求最多會形成100個響應包，實現較高的流量放大效果。