用于检测 DDoS 攻击的基于 AI 的全新工具

ISP 上的 IDS 部署

网络犯罪分子想出了越来越聪明的方法来破坏在线服务、获取敏感数据或瘫痪互联网用户的设备。在过去的几十年里，一种网络攻击变得非常普遍，即所谓的分布式拒绝服务(DDoS)攻击。

这种类型的攻击涉及一系列连接到互联网的设备，这些设备被统称为“僵尸网络”。然后，这组连接设备被用来用“假”流量淹没目标服务器或网站，破坏其运行，使合法用户无法访问。

为了保护他们的网站或服务器免受DDoS攻击，企业和其他用户通常使用防火墙、反恶意软件或传统的入侵检测系统。然而，如今检测这些攻击可能非常具有挑战性，因为它们通常使用生成对抗网络(GANs)进行，机器学习技术可以学习逼真地模拟真实用户的活动和合法用户请求。

因此，许多现有的反恶意软件系统最终无法保护用户免受攻击。

巴黎理工学院、巴黎电信(INFRES)的研究人员最近开发了一种新的计算方法，可以更有效、更可靠地检测DDoS攻击。发表在《计算机与安全》杂志上的一篇论文介绍了这种方法，它基于长短期记忆(LSTM)模型，这是一种循环神经网络(RNN)，可以学习检测事件序列中的长期依赖关系。

“我们的研究论文是基于检测DDoS攻击的问题，这是一种可以对在线服务和网络通信造成重大破坏的网络攻击，”进行这项研究的研究人员之一Ali Mustapha表示。“虽然之前的研究已经探索了使用深度学习算法来检测DDoS攻击，但这些方法仍然容易受到攻击者的攻击，攻击者利用机器学习和深度学习技术来创建能够绕过检测系统的对抗性攻击流量。”

IDS模型体系结构

作为研究的一部分，Mustapha和他的同事们着手设计一种全新的基于机器学习的方法，可以提高DDoS检测系统的弹性。他们提出的方法基于两个独立的模型，可以集成到一个单一的入侵检测系统中。

穆斯塔法解释说:“第一个模型旨在确定传入的网络流量是否具有对抗性，如果被视为欺诈，则将其拦截。”否则，它会被转发到第二个模型，负责识别它是否构成DDoS攻击。根据分析结果，将采用一套相应的规则和警报系统。”

该研究团队提出的DDoS检测工具与过去开发的其他入侵检测系统相比具有许多优势。最值得注意的是，它是强大的，可以检测DDoS攻击的精度很高，它是可适应的，它也可以被定制，以满足特定企业或用户的独特需求。此外，它可以被互联网服务提供商(isp)轻松部署，同时保护他们免受标准和对抗性DDoS攻击。

穆斯塔法解释说:“我们的研究取得了一些值得注意的结果和成就。“最初，我们评估了经过训练以识别标准DDoS攻击的高性能模型，并将其与生成式对抗网络(GANs)生成的对抗性DDoS攻击进行了测试。我们观察到，这些模型在检测这些类型的攻击方面相对无效;然而，我们能够改进我们的方法，并增强其检测这些攻击的准确性超过91%。”

穆斯塔法和他的同事进行的初步测试取得了非常有希望的结果，因为他们的系统还可以检测到更复杂的攻击，这些攻击专门用来欺骗机器学习算法。为了进一步证明他们的工具的潜力，研究人员还进行了一系列实时测试。他们发现，该系统满足实时DDoS攻击检测需求，在有限的时间内提取和分析网络数据包，并且不会造成大量的网络流量延迟。

本文提出的方法可以很快集成到现有的和新开发的安全系统中。此外，它可能会激发用于检测DDoS攻击的类似机器学习技术的发展。

“当我们展望未来的工作时，评估我们的IDS在受到替代模型产生的对抗性攻击时的功效将是至关重要的，”Mustapha补充道。“此外，我们需要探索在线学习算法的实现，使IDS能够在分析新数据时实时不断更新其模型。通过集成增量更新功能，IDS可以保持其检测不断发展的攻击技术的有效性。”