现有的DDoS
攻击检测方法大多是通过监视目标主机上网络信息流量的突变特性来实现攻击检测的。但这种检测方法存在两个问题:
一是检测的滞后性问题。只有在目标主机的流量发生突变的前提下才能检测出攻击已经发生,
通常, DDoS
攻击在很短时间内可以发送上万个攻击数据包,
可能在攻击还未检测出来之前已经造成网络服务的堵塞或系统崩溃;
二是检测结果的误报率问题。虽然发生DDoS
攻击的明显特征是网络流量的突变,
但流量的突变并不意味着DDoS
攻击发生。实际上,
当大量合法用户同时登陆同一站点时也会发生流量突变的现象。
而安易防火墙解决这个问题的基本思想是:
利用DDoS
攻击预攻击阶段短时间内系统目标出现的大量网络连接请求数据包这一特征,
从网络连接次数入手,
检测所有访问者IP
地址并记录它们的连接次数和时间戳,
引入概率分布函数,
利用分布函数动态地描述系统的状况,
依据统计量的特征分布,
动态调节检测阈值的大小,
实现对DDoS
攻击的检测。