數(shù)字交易通信網(wǎng)絡(luò)DDoS攻擊安全防護方法

摘要：針對通信網(wǎng)絡(luò)分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，文章提出一種針對數(shù)字交易通信網(wǎng)絡(luò)的高效安全防護方法。該方法通過特征提取、流量清洗和多點位負(fù)載均衡，構(gòu)建DDoS攻擊安全防護模型并借助CDN輔助提升防護效果。測試顯示，該方法防護攔截次數(shù)高達(dá)25次以上，顯著提升了防護效率和穩(wěn)定性，為數(shù)字交易通信網(wǎng)絡(luò)提供了更加安全可靠的防護方案。

關(guān)鍵詞：數(shù)字交易；通信網(wǎng)絡(luò)；DDoS攻擊；安全防護；防護方法；通信控制

中圖分類號：TP311""文獻標(biāo)志碼：A

0"引言

在數(shù)字化時代，數(shù)字交易通信網(wǎng)絡(luò)的核心地位日益凸顯。網(wǎng)絡(luò)的普及和技術(shù)的迭代更新雖然極大地便利了人們的生產(chǎn)生活，但存在的網(wǎng)絡(luò)安全問題也愈發(fā)嚴(yán)重。其中，DDoS攻擊已成為網(wǎng)絡(luò)安全的重大威脅。DDoS攻擊通過操縱大量計算機或網(wǎng)絡(luò)節(jié)點，向目標(biāo)系統(tǒng)發(fā)送海量無效或高流量的網(wǎng)絡(luò)請求，致使目標(biāo)系統(tǒng)資源耗盡，無法正常提供服務(wù)。對于數(shù)字交易通信網(wǎng)絡(luò)而言，DDoS攻擊不僅可能造成交易延遲、數(shù)據(jù)丟失，還可能引發(fā)信任危機，對整個網(wǎng)絡(luò)生態(tài)造成深遠(yuǎn)影響。

為應(yīng)對這一挑戰(zhàn)，研究人員設(shè)計了多種防護策略。舒豪等^［1］提出的基于雙向長短期記憶（Bidirectional Long Short-Term Memory， BiLSTM）與自注意力機制的通信網(wǎng)絡(luò)攻擊防護方法，利用BiLSTM和注意力機制，構(gòu)建了一種全面的防護結(jié)構(gòu)，針對點位攻擊實施獨立防護，以強化數(shù)字交易通信網(wǎng)絡(luò)的運行環(huán)境。譚嗣勇^［2］則利用隱馬爾可夫模型設(shè)計了通信網(wǎng)絡(luò)DDoS攻擊防護方法，通過模型訓(xùn)練，建立多層級的防護機制，以滿足不同環(huán)境下的防護需求。

上述方法盡管取得了一定的成效，但仍有改進空間。為此，本文提出了針對數(shù)字交易通信網(wǎng)絡(luò)DDoS攻擊的新安全防護方法并進行了實踐驗證。在真實測試環(huán)境下，本文提取了相關(guān)攻擊特征，設(shè)計了更為靈活多變的防護結(jié)構(gòu)。通過流量清洗技術(shù)，本文識別并過濾掉惡意流量，有效減輕了目標(biāo)系統(tǒng)的壓力。同時，該方法將攻擊流量引入“黑洞”，阻斷其對目標(biāo)系統(tǒng)的侵害，顯著提升了安全防護的效率和準(zhǔn)確性，為構(gòu)筑堅實的網(wǎng)絡(luò)安全防線提供了重要支撐。

1"通信網(wǎng)絡(luò)DDoS攻擊安全防護方法設(shè)計

1.1"DDoS攻擊特征提取

鑒于DDoS攻擊的隨機性較高，傳統(tǒng)的網(wǎng)絡(luò)防護方法難以實現(xiàn)全面控制，導(dǎo)致防護效果不佳。因此，在通信網(wǎng)絡(luò)出現(xiàn)異常情況時，須要專門進行DDoS特征的提取^［4］。DDoS攻擊通常會導(dǎo)致目標(biāo)系統(tǒng)的流量急劇增加，遠(yuǎn)超正常流量水平^［5］，因此，這一過程應(yīng)以流量異常特征為導(dǎo)向，對流量數(shù)據(jù)進行統(tǒng)計分析，準(zhǔn)確識別并標(biāo)定攻擊流量在數(shù)量、速率和分布上的異常區(qū)域和位置，以更有效地應(yīng)對DDoS攻擊，提高網(wǎng)絡(luò)安全防護的效率和準(zhǔn)確性。流量特征異常數(shù)據(jù)采集分析如表1所示。

為了識別DDoS攻擊，本文首先須要提取流量包中的協(xié)議類型和端口號，以辨識與DDoS攻擊相關(guān)的流量模式。然后，通過分析流量包的行為特征，如連接嘗試的頻率和連接建立的成功率等，可以進一步確定DDoS攻擊的存在并據(jù)此計算出DDoS攻擊的特征值。該分析過程有助于本文精確識別并應(yīng)對DDoS攻擊，提升網(wǎng)絡(luò)安全防護的精準(zhǔn)性和效率，如公式（1）所示。

F=κ-∫1+×xQ（1）

公式（1）中：F表示DDoS攻擊特征值，κ表示攻擊區(qū)域，表示端口攻擊異常流量，Q表示防御范圍，x表示特征范圍。結(jié)合當(dāng)前測定，本文將DDoS攻擊特征值設(shè)置為防護引導(dǎo)的標(biāo)準(zhǔn)條件，完成對基礎(chǔ)測試環(huán)境的設(shè)定。

1.2"多點位負(fù)載均衡處理

在DDoS攻擊中，攻擊者通常會針對某個特定節(jié)點或服務(wù)器發(fā)起攻擊，導(dǎo)致其過載或崩潰。多點位負(fù)載均衡處理可以將網(wǎng)絡(luò)流量分散到多個節(jié)點或服務(wù)器上，從而減輕單個節(jié)點或服務(wù)器的壓力，單點負(fù)載值的計算公式如式（2）所示。

W=μ²+∑V=1ζV-δ（2）

公式（2）中：W表示單點負(fù)載值，μ表示動態(tài)運行頻率，ζ表示DDoS攻擊次數(shù)，V表示正交基值，δ表示重復(fù)識別區(qū)域。結(jié)合計算得出的單點負(fù)載值，本文深入分析當(dāng)前數(shù)字交易網(wǎng)絡(luò)的運行狀態(tài)。隨后，實施多點位負(fù)載均衡處理，根據(jù)網(wǎng)絡(luò)流量的實時動態(tài)變化，靈活調(diào)整流量分配策略，以確保各節(jié)點或服務(wù)器之間實現(xiàn)均衡的負(fù)載，從而提升網(wǎng)絡(luò)的穩(wěn)定性和響應(yīng)能力。多點位負(fù)載均衡處理矩陣結(jié)構(gòu)如圖1所示。

結(jié)合圖1所示的設(shè)計，本文按照多點位負(fù)載均衡處理結(jié)構(gòu)進行實踐。這一處理過程不僅是安全防護的有效過渡，更是實踐性的控制策略。在不同的網(wǎng)絡(luò)環(huán)境下，多點位負(fù)載均衡處理結(jié)構(gòu)能夠擴展實際的防護范圍并顯著提升安全等級，從而確保數(shù)字交易網(wǎng)絡(luò)的穩(wěn)定運行。

1.3"數(shù)字交易通信網(wǎng)絡(luò)DDoS攻擊安全防護模型的構(gòu)建

模型的核心在于流量清洗與過濾機制。本文在網(wǎng)絡(luò)入口處部署專業(yè)的流量清洗設(shè)備，這些設(shè)備能夠?qū)崟r分析網(wǎng)絡(luò)流量，精確識別并過濾掉惡意流量。利用深度學(xué)習(xí)技術(shù)，本文準(zhǔn)確判斷流量是否屬于DDoS攻擊，從而有效阻止攻擊流量侵入網(wǎng)絡(luò)內(nèi)部。

隨后，通過設(shè)置多個負(fù)載均衡節(jié)點，本文將網(wǎng)絡(luò)流量均勻分散至各個節(jié)點，確保單一節(jié)點不會因過載而影響整體性能。在當(dāng)前的模型中，本文基于DDoS攻擊的特征建立了相應(yīng)的防護機制，根據(jù)網(wǎng)絡(luò)吞吐量和負(fù)載值的實時變化，自適應(yīng)調(diào)整防護參數(shù)，以優(yōu)化防護效果。

最終，本文輸出完整的防護結(jié)構(gòu)，完成安全防護模型的構(gòu)建，為數(shù)字交易通信網(wǎng)絡(luò)提供全面、高效的安全保障，如圖2所示。

根據(jù)網(wǎng)絡(luò)流量的實時變化進行自適應(yīng)調(diào)整，測定攻擊范圍，攻擊防護輸出表達(dá)式如式（3）所示。

L=ε-（1+）（3）

公式（3）中：L表示攻擊防護輸出結(jié)果，ε表示流量波動均值，表示異常捕捉范圍。

結(jié)合當(dāng)前測定結(jié)果，本文進行了對比分析并在模型中增設(shè)了安全審計和應(yīng)急響應(yīng)機制。本文定期執(zhí)行網(wǎng)絡(luò)安全審計，以識別并修復(fù)潛在的安全漏洞和弱點，從而加固網(wǎng)絡(luò)安全性。同時，本文建立了快速響應(yīng)機制，一旦檢測到DDoS攻擊，便立即啟動應(yīng)急預(yù)案，迅速采取相應(yīng)措施進行處置，以最大程度地降低攻擊對業(yè)務(wù)的影響。這些改進舉措將顯著提升數(shù)字交易通信網(wǎng)絡(luò)的安全防護能力，確保業(yè)務(wù)的穩(wěn)定運行和數(shù)據(jù)的安全。

1.4"CDN輔助抵御實現(xiàn)安全防護

CDN通過部署多個緩存節(jié)點，將內(nèi)容分發(fā)到離用戶最近的節(jié)點上，從而降低了用戶訪問內(nèi)容的延遲。分布式架構(gòu)的應(yīng)用使得CDN有效地分散DDoS攻擊流量，減輕了源服務(wù)器的壓力。當(dāng)攻擊發(fā)生時，攻擊流量會被分散到CDN的各個節(jié)點上，而不會全部集中到源服務(wù)器上，從而保證了源服務(wù)器的穩(wěn)定性和可用性。根據(jù)網(wǎng)絡(luò)流量和攻擊態(tài)勢的實時變化，動態(tài)調(diào)整流量分配策略。

當(dāng)檢測到DDoS攻擊時，CDN可以自動將攻擊流量引導(dǎo)到特定的清洗設(shè)備上，進行過濾和清洗，從而確保正常流量通過。這種智能流量調(diào)度能力使得CDN能夠迅速響應(yīng)DDoS攻擊，降低攻擊對業(yè)務(wù)的影響，構(gòu)建出一個多層次、綜合性的安全防護體系，為數(shù)字交易通信網(wǎng)絡(luò)提供全面的安全保障，確保更快地訪問到所需內(nèi)容，縮短了等待時間和延遲。

2"方法測試

結(jié)合數(shù)字交易的網(wǎng)絡(luò)運行需求以及標(biāo)準(zhǔn)，本文對通信網(wǎng)絡(luò)DDoS攻擊安全防護方法的實際應(yīng)用效果進行分析和驗證，考慮到最終測試結(jié)果的真實與可靠，選定對比的方式展開分析。測試對象設(shè)定為BiLSTM與自注意力機制通信網(wǎng)絡(luò)攻擊防護方法、隱馬爾可夫模型通信網(wǎng)絡(luò)DDoS攻擊防護方法以及此次設(shè)計的數(shù)字化通信網(wǎng)絡(luò)DDoS攻擊防護方法。結(jié)合測試平臺以及標(biāo)準(zhǔn)，本文進行實際應(yīng)用數(shù)據(jù)以及信息的采集，匯總之后以待后續(xù)使用。

針對數(shù)字交易的日常需求，本文對通信網(wǎng)絡(luò)DDoS攻擊安全防護方法測試環(huán)境進行設(shè)定與實踐驗證。首先，明確當(dāng)前通信網(wǎng)絡(luò)的覆蓋范圍，將防護區(qū)域劃分為多個，搭建20個邊緣節(jié)點，確保每個邊緣節(jié)點下轄2個物聯(lián)網(wǎng)設(shè)備，節(jié)點與測試設(shè)備之間須要建立實際的應(yīng)用聯(lián)系，在測試的過程中進行多維控制，形成循環(huán)式的控制結(jié)構(gòu)。此時測試網(wǎng)絡(luò)設(shè)備中提前植入4組Mirai的惡意代碼，轉(zhuǎn)化為指令的形式，導(dǎo)入內(nèi)部控制程序。為進一步強化測試結(jié)果的真實性與可靠性，本文在邊緣節(jié)點上增加關(guān)聯(lián)ubuntu16.04系統(tǒng)，將所有邊緣節(jié)點組成區(qū)塊鏈網(wǎng)絡(luò)，形成基礎(chǔ)的識別防護環(huán)境。此外，核定測試網(wǎng)絡(luò)處于穩(wěn)定的運行狀態(tài)并指定一臺主機作為DDoS的攻擊目標(biāo)。這臺主機的控制參數(shù)和應(yīng)對標(biāo)準(zhǔn)如表2所示。

在攻擊發(fā)生時，監(jiān)測節(jié)點會迅速識別攻擊位置并觸發(fā)預(yù)警系統(tǒng)。通過計算安全預(yù)警響應(yīng)時間，評估網(wǎng)絡(luò)的穩(wěn)定性和安全性。在預(yù)設(shè)的4個防護測試周期內(nèi)，對DDoS攻擊進行標(biāo)定并采取相應(yīng)的防護措施。測試完成后，統(tǒng)計每個周期內(nèi)防護系統(tǒng)成功攔截DDoS攻擊的次數(shù)，結(jié)果如表2所示。

如表3所示，相對于其他方法，本文方法最終得出的防護攔截次數(shù)較高，均可以達(dá)到25次以上，這說明此次設(shè)計的攻擊防護方法針對性更強，更加安全、穩(wěn)定，防護效果得到明顯提升。

3"結(jié)語

針對DDoS攻擊的特性，本文精心設(shè)計了更為靈活、多變的防護結(jié)構(gòu)，旨在從網(wǎng)絡(luò)運行速率、防護范圍、安全程度等多個維度出發(fā)，持續(xù)對防護程序和控制方式進行優(yōu)化與完善。本研究強化了日常攻擊識別與檢測的管控力度，以擴大防護措施的覆蓋范圍，確保數(shù)字交易通信網(wǎng)絡(luò)的安全穩(wěn)定運行。

參考文獻

［1］舒豪，王晨，史崯.基于BiLSTM和注意力機制的入侵檢測［J］.計算機工程與設(shè)計，2020（11）：3042-3046.

［2］譚嗣勇.基于隱馬爾可夫模型的醫(yī)院通信網(wǎng)絡(luò)DDoS攻擊檢測方法［J］.長江信息通信，2024（2）：105-107.

［3］葉彩瑞，徐華，鄧在輝.基于輕量級卷積神經(jīng)網(wǎng)絡(luò)的DDoS攻擊檢測研究［J］.軟件導(dǎo)刊，2024（3）：8-14.

［4］謝麗霞，袁冰迪，楊宏宇，等.基于流量特征重構(gòu)與映射的物聯(lián)網(wǎng)DDoS攻擊單流檢測方法［J］.電信科學(xué)，2024（1）：92-105.

［5］田小芳.基于人工蜂群算法的計算機網(wǎng)絡(luò)DDoS攻擊檢測方法［J］.計算機測量與控制，2023（12）：28-33，41.

（編輯"王雪芬）

Digital transaction communication network DDoS attack security protection method

LIN "Tao

（Hezhou Public Resource Trading Center， Hezhou 542899， China）

Abstract： "This article proposes an efficient security protection method for digital transaction communication networks against DDoS attacks in communication networks. This method constructs a DDoS attack security protection model through feature extraction， traffic cleaning， and multi-point load balancing， and uses CDN to assist in improving the protection effect. Tests have shown that this method protects and intercepts more than 25 times， significantly improving protection efficiency and stability， and providing a more secure and reliable protection solution for digital transaction communication networks.

Key words： digital transaction; communication network; DDoS attack; security protection; protection method; communication control