數(shù)字交易通信網(wǎng)絡DDoS攻擊安全防護方法

摘要：針對通信網(wǎng)絡分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊，文章提出一種針對數(shù)字交易通信網(wǎng)絡的高效安全防護方法。該方法通過特征提取、流量清洗和多點位負載均衡，構建DDoS攻擊安全防護模型并借助CDN輔助提升防護效果。測試顯示，該方法防護攔截次數(shù)高達25次以上，顯著提升了防護效率和穩(wěn)定性，為數(shù)字交易通信網(wǎng)絡提供了更加安全可靠的防護方案。

關鍵詞：數(shù)字交易；通信網(wǎng)絡；DDoS攻擊；安全防護；防護方法；通信控制

中圖分類號：TP311""文獻標志碼：A

0"引言

在數(shù)字化時代，數(shù)字交易通信網(wǎng)絡的核心地位日益凸顯。網(wǎng)絡的普及和技術的迭代更新雖然極大地便利了人們的生產(chǎn)生活，但存在的網(wǎng)絡安全問題也愈發(fā)嚴重。其中，DDoS攻擊已成為網(wǎng)絡安全的重大威脅。DDoS攻擊通過操縱大量計算機或網(wǎng)絡節(jié)點，向目標系統(tǒng)發(fā)送海量無效或高流量的網(wǎng)絡請求，致使目標系統(tǒng)資源耗盡，無法正常提供服務。對于數(shù)字交易通信網(wǎng)絡而言，DDoS攻擊不僅可能造成交易延遲、數(shù)據(jù)丟失，還可能引發(fā)信任危機，對整個網(wǎng)絡生態(tài)造成深遠影響。

為應對這一挑戰(zhàn)，研究人員設計了多種防護策略。舒豪等^［1］提出的基于雙向長短期記憶（Bidirectional Long Short-Term Memory， BiLSTM）與自注意力機制的通信網(wǎng)絡攻擊防護方法，利用BiLSTM和注意力機制，構建了一種全面的防護結構，針對點位攻擊實施獨立防護，以強化數(shù)字交易通信網(wǎng)絡的運行環(huán)境。譚嗣勇^［2］則利用隱馬爾可夫模型設計了通信網(wǎng)絡DDoS攻擊防護方法，通過模型訓練，建立多層級的防護機制，以滿足不同環(huán)境下的防護需求。

上述方法盡管取得了一定的成效，但仍有改進空間。為此，本文提出了針對數(shù)字交易通信網(wǎng)絡DDoS攻擊的新安全防護方法并進行了實踐驗證。在真實測試環(huán)境下，本文提取了相關攻擊特征，設計了更為靈活多變的防護結構。通過流量清洗技術，本文識別并過濾掉惡意流量，有效減輕了目標系統(tǒng)的壓力。同時，該方法將攻擊流量引入“黑洞”，阻斷其對目標系統(tǒng)的侵害，顯著提升了安全防護的效率和準確性，為構筑堅實的網(wǎng)絡安全防線提供了重要支撐。

1"通信網(wǎng)絡DDoS攻擊安全防護方法設計

1.1"DDoS攻擊特征提取

鑒于DDoS攻擊的隨機性較高，傳統(tǒng)的網(wǎng)絡防護方法難以實現(xiàn)全面控制，導致防護效果不佳。因此，在通信網(wǎng)絡出現(xiàn)異常情況時，須要專門進行DDoS特征的提取^［4］。DDoS攻擊通常會導致目標系統(tǒng)的流量急劇增加，遠超正常流量水平^［5］，因此，這一過程應以流量異常特征為導向，對流量數(shù)據(jù)進行統(tǒng)計分析，準確識別并標定攻擊流量在數(shù)量、速率和分布上的異常區(qū)域和位置，以更有效地應對DDoS攻擊，提高網(wǎng)絡安全防護的效率和準確性。流量特征異常數(shù)據(jù)采集分析如表1所示。

為了識別DDoS攻擊，本文首先須要提取流量包中的協(xié)議類型和端口號，以辨識與DDoS攻擊相關的流量模式。然后，通過分析流量包的行為特征，如連接嘗試的頻率和連接建立的成功率等，可以進一步確定DDoS攻擊的存在并據(jù)此計算出DDoS攻擊的特征值。該分析過程有助于本文精確識別并應對DDoS攻擊，提升網(wǎng)絡安全防護的精準性和效率，如公式（1）所示。

F=κ-∫1+×xQ（1）

公式（1）中：F表示DDoS攻擊特征值，κ表示攻擊區(qū)域，表示端口攻擊異常流量，Q表示防御范圍，x表示特征范圍。結合當前測定，本文將DDoS攻擊特征值設置為防護引導的標準條件，完成對基礎測試環(huán)境的設定。

1.2"多點位負載均衡處理

在DDoS攻擊中，攻擊者通常會針對某個特定節(jié)點或服務器發(fā)起攻擊，導致其過載或崩潰。多點位負載均衡處理可以將網(wǎng)絡流量分散到多個節(jié)點或服務器上，從而減輕單個節(jié)點或服務器的壓力，單點負載值的計算公式如式（2）所示。

W=μ²+∑V=1ζV-δ（2）

公式（2）中：W表示單點負載值，μ表示動態(tài)運行頻率，ζ表示DDoS攻擊次數(shù)，V表示正交基值，δ表示重復識別區(qū)域。結合計算得出的單點負載值，本文深入分析當前數(shù)字交易網(wǎng)絡的運行狀態(tài)。隨后，實施多點位負載均衡處理，根據(jù)網(wǎng)絡流量的實時動態(tài)變化，靈活調(diào)整流量分配策略，以確保各節(jié)點或服務器之間實現(xiàn)均衡的負載，從而提升網(wǎng)絡的穩(wěn)定性和響應能力。多點位負載均衡處理矩陣結構如圖1所示。

結合圖1所示的設計，本文按照多點位負載均衡處理結構進行實踐。這一處理過程不僅是安全防護的有效過渡，更是實踐性的控制策略。在不同的網(wǎng)絡環(huán)境下，多點位負載均衡處理結構能夠擴展實際的防護范圍并顯著提升安全等級，從而確保數(shù)字交易網(wǎng)絡的穩(wěn)定運行。

1.3"數(shù)字交易通信網(wǎng)絡DDoS攻擊安全防護模型的構建

模型的核心在于流量清洗與過濾機制。本文在網(wǎng)絡入口處部署專業(yè)的流量清洗設備，這些設備能夠實時分析網(wǎng)絡流量，精確識別并過濾掉惡意流量。利用深度學習技術，本文準確判斷流量是否屬于DDoS攻擊，從而有效阻止攻擊流量侵入網(wǎng)絡內(nèi)部。

隨后，通過設置多個負載均衡節(jié)點，本文將網(wǎng)絡流量均勻分散至各個節(jié)點，確保單一節(jié)點不會因過載而影響整體性能。在當前的模型中，本文基于DDoS攻擊的特征建立了相應的防護機制，根據(jù)網(wǎng)絡吞吐量和負載值的實時變化，自適應調(diào)整防護參數(shù)，以優(yōu)化防護效果。

最終，本文輸出完整的防護結構，完成安全防護模型的構建，為數(shù)字交易通信網(wǎng)絡提供全面、高效的安全保障，如圖2所示。

根據(jù)網(wǎng)絡流量的實時變化進行自適應調(diào)整，測定攻擊范圍，攻擊防護輸出表達式如式（3）所示。

L=ε-（1+）（3）

公式（3）中：L表示攻擊防護輸出結果，ε表示流量波動均值，表示異常捕捉范圍。

結合當前測定結果，本文進行了對比分析并在模型中增設了安全審計和應急響應機制。本文定期執(zhí)行網(wǎng)絡安全審計，以識別并修復潛在的安全漏洞和弱點，從而加固網(wǎng)絡安全性。同時，本文建立了快速響應機制，一旦檢測到DDoS攻擊，便立即啟動應急預案，迅速采取相應措施進行處置，以最大程度地降低攻擊對業(yè)務的影響。這些改進舉措將顯著提升數(shù)字交易通信網(wǎng)絡的安全防護能力，確保業(yè)務的穩(wěn)定運行和數(shù)據(jù)的安全。

1.4"CDN輔助抵御實現(xiàn)安全防護

CDN通過部署多個緩存節(jié)點，將內(nèi)容分發(fā)到離用戶最近的節(jié)點上，從而降低了用戶訪問內(nèi)容的延遲。分布式架構的應用使得CDN有效地分散DDoS攻擊流量，減輕了源服務器的壓力。當攻擊發(fā)生時，攻擊流量會被分散到CDN的各個節(jié)點上，而不會全部集中到源服務器上，從而保證了源服務器的穩(wěn)定性和可用性。根據(jù)網(wǎng)絡流量和攻擊態(tài)勢的實時變化，動態(tài)調(diào)整流量分配策略。

當檢測到DDoS攻擊時，CDN可以自動將攻擊流量引導到特定的清洗設備上，進行過濾和清洗，從而確保正常流量通過。這種智能流量調(diào)度能力使得CDN能夠迅速響應DDoS攻擊，降低攻擊對業(yè)務的影響，構建出一個多層次、綜合性的安全防護體系，為數(shù)字交易通信網(wǎng)絡提供全面的安全保障，確保更快地訪問到所需內(nèi)容，縮短了等待時間和延遲。

2"方法測試

結合數(shù)字交易的網(wǎng)絡運行需求以及標準，本文對通信網(wǎng)絡DDoS攻擊安全防護方法的實際應用效果進行分析和驗證，考慮到最終測試結果的真實與可靠，選定對比的方式展開分析。測試對象設定為BiLSTM與自注意力機制通信網(wǎng)絡攻擊防護方法、隱馬爾可夫模型通信網(wǎng)絡DDoS攻擊防護方法以及此次設計的數(shù)字化通信網(wǎng)絡DDoS攻擊防護方法。結合測試平臺以及標準，本文進行實際應用數(shù)據(jù)以及信息的采集，匯總之后以待后續(xù)使用。

針對數(shù)字交易的日常需求，本文對通信網(wǎng)絡DDoS攻擊安全防護方法測試環(huán)境進行設定與實踐驗證。首先，明確當前通信網(wǎng)絡的覆蓋范圍，將防護區(qū)域劃分為多個，搭建20個邊緣節(jié)點，確保每個邊緣節(jié)點下轄2個物聯(lián)網(wǎng)設備，節(jié)點與測試設備之間須要建立實際的應用聯(lián)系，在測試的過程中進行多維控制，形成循環(huán)式的控制結構。此時測試網(wǎng)絡設備中提前植入4組Mirai的惡意代碼，轉化為指令的形式，導入內(nèi)部控制程序。為進一步強化測試結果的真實性與可靠性，本文在邊緣節(jié)點上增加關聯(lián)ubuntu16.04系統(tǒng)，將所有邊緣節(jié)點組成區(qū)塊鏈網(wǎng)絡，形成基礎的識別防護環(huán)境。此外，核定測試網(wǎng)絡處于穩(wěn)定的運行狀態(tài)并指定一臺主機作為DDoS的攻擊目標。這臺主機的控制參數(shù)和應對標準如表2所示。

在攻擊發(fā)生時，監(jiān)測節(jié)點會迅速識別攻擊位置并觸發(fā)預警系統(tǒng)。通過計算安全預警響應時間，評估網(wǎng)絡的穩(wěn)定性和安全性。在預設的4個防護測試周期內(nèi)，對DDoS攻擊進行標定并采取相應的防護措施。測試完成后，統(tǒng)計每個周期內(nèi)防護系統(tǒng)成功攔截DDoS攻擊的次數(shù)，結果如表2所示。

如表3所示，相對于其他方法，本文方法最終得出的防護攔截次數(shù)較高，均可以達到25次以上，這說明此次設計的攻擊防護方法針對性更強，更加安全、穩(wěn)定，防護效果得到明顯提升。

3"結語

針對DDoS攻擊的特性，本文精心設計了更為靈活、多變的防護結構，旨在從網(wǎng)絡運行速率、防護范圍、安全程度等多個維度出發(fā)，持續(xù)對防護程序和控制方式進行優(yōu)化與完善。本研究強化了日常攻擊識別與檢測的管控力度，以擴大防護措施的覆蓋范圍，確保數(shù)字交易通信網(wǎng)絡的安全穩(wěn)定運行。

參考文獻

［1］舒豪，王晨，史崯.基于BiLSTM和注意力機制的入侵檢測［J］.計算機工程與設計，2020（11）：3042-3046.

［2］譚嗣勇.基于隱馬爾可夫模型的醫(yī)院通信網(wǎng)絡DDoS攻擊檢測方法［J］.長江信息通信，2024（2）：105-107.

［3］葉彩瑞，徐華，鄧在輝.基于輕量級卷積神經(jīng)網(wǎng)絡的DDoS攻擊檢測研究［J］.軟件導刊，2024（3）：8-14.

［4］謝麗霞，袁冰迪，楊宏宇，等.基于流量特征重構與映射的物聯(lián)網(wǎng)DDoS攻擊單流檢測方法［J］.電信科學，2024（1）：92-105.

［5］田小芳.基于人工蜂群算法的計算機網(wǎng)絡DDoS攻擊檢測方法［J］.計算機測量與控制，2023（12）：28-33，41.

（編輯"王雪芬）

Digital transaction communication network DDoS attack security protection method

LIN "Tao

（Hezhou Public Resource Trading Center， Hezhou 542899， China）

Abstract： "This article proposes an efficient security protection method for digital transaction communication networks against DDoS attacks in communication networks. This method constructs a DDoS attack security protection model through feature extraction， traffic cleaning， and multi-point load balancing， and uses CDN to assist in improving the protection effect. Tests have shown that this method protects and intercepts more than 25 times， significantly improving protection efficiency and stability， and providing a more secure and reliable protection solution for digital transaction communication networks.

Key words： digital transaction; communication network; DDoS attack; security protection; protection method; communication control