分布式拒绝服务(DDoS)攻击仍然是网络犯罪最常见和最具破坏性的形式之一。守卫者传统上专注于一旦这些攻击发生,就会发现它们。新研究表明,提前预测DDoS攻击是可能的,让安全团队在规划防御方面有一个先发的开始。
一項新的研究概述了使用深度學習預測DDoS活動的方法。马来亚大学和马来西亚马六甲大学的研究人员分析了2019年至2021年期间发生的192,525起DDoS攻击。他们的目标是确定过去活动的模式是否可以用来预测即将到来的激增。
该团队专注于新冠肺炎时期,当时许多组织被迫将运营转移到线上。在此期间,DDoS活动急剧增长,攻击规模和持续时间达到了前所未有的水平。在一个例子中,研究人员发现,在2019年至2020年期间,攻击增加了94%,超过每秒1兆比特。
从检测到预测
大多数网络安全工具旨在实时检测攻击。当异常被标记时,损坏可能已经造成了。研究人员提出了一种不同的方法,专注于预测DDoS攻击,而不仅仅是检测它们。
他们的模型使用长短期记忆(LSTM),这是一种深度学习算法,旨在识别顺序数据中的模式。在这种情况下,序列是DDoS活动的时间序列数据。通过在历史攻击数据上训练模型,系统试图预测接下来会发生什么,例如流量激增或攻击持续时间突然增加。
虽然预测并不准确,但该模型显示出有希望的结果。它成功地确定了攻击活动何时可能发生重大激增,即使它并不总是预测激增的确切规模。对于安全团队来说,即使是这种部分的有见之见也可能很有价值。DDoS流量即将增加的警告可以帮助组织在攻击高峰之前分配资源、调整网络配置或准备缓解服务。
具有本地影响的全球数据集
本研究中使用的数据集是从数字攻击地图中抓取的,这是一个可视化全球DDoS活动的项目。数据来自330多家互联网服务提供商,使其成为预测全球DDoS攻击的更全面的公共来源之一。
通过分析这些全球数据,研究人员确定了攻击者操作方式的关键趋势。在整个研究期间,总流量、UDP滥用和IP碎片化攻击是最常见的类型。研究还发现,虽然一些攻击方法已经存在多年,但它们并没有消失。相反,攻击者将旧技术与新战术相结合,创建了更难防御的复杂多向量战役。
这些发现与许多安全团队在地面上看到的结果一致。物联网僵尸网络和“DDoS-for-hire”服务的兴起使攻击者更容易发起各种不可预测的活动。这种战术的多样性是静态防御经常失败的主要原因。
为什么预测对安全团队很重要
该研究强调了捍卫者对DDoS威胁的看法的重要转变。检测和缓解总是必要的,但它们是反应性步骤。预测DDoS攻击提供了上游移动的机会,在威胁发生之前预测威胁。
该技术尚未准备好用于生产。研究人员承认,他们的模型误差率很高,需要进一步完善。然而,这个概念本身正在获得牵引力。随着机器学习模型的改进和数据集变得更加详细,预测可以成为DDoS防御的标准部分。
这项研究还强调了良好数据的价值。准确的预测取决于大型的、最新的数据集。许多现有的公共数据集已经过时或不完整,这限制了当前模型的准确性。安全团队可能需要与服务提供商和威胁情报合作伙伴密切合作,以确保他们能够访问相关的高质量数据。
DDoS预测的未来
虽然这项研究仍处于早期阶段,但它提供了DDoS防御可能走向的一瞥。未来,组织可能会有显示当前攻击流量和未来数小时甚至数天可能的活动的仪表板。这种从反应到预测DDoS攻击的转变可能会对防御者如何为大规模中断做准备产生影响。
目前,这项研究为未来的发展提供了基础。它还让CISO有理由开始与他们的团队对话,讨论预测分析如何帮助他们超越网络安全中最持久的威胁之一。
原文链接地址:https://www.helpnetsecurity.com/2025/09/25/deep-learning-predicting-ddos-attacks/
暂无评论内容