基于用戶行為的應(yīng)用層DDoS攻擊檢測研究.pdf

1、頻發(fā)的分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)對互聯(lián)網(wǎng)的安全性和穩(wěn)定性造成了巨大的危害。近年來，隨著低層檢測防御措施的加強(qiáng)，DDoS攻擊者逐漸將攻擊方向向應(yīng)用層轉(zhuǎn)移。應(yīng)用層DDoS攻擊利用高層協(xié)議復(fù)雜性所帶來的漏洞，擁有與合法流量的高相似性，與傳統(tǒng)的DDoS攻擊相比，其隱蔽性更強(qiáng)、攻擊效果更佳，已成為當(dāng)前Web服務(wù)提供者急需解決的安全問題。然而，現(xiàn)有的基于網(wǎng)絡(luò)層或應(yīng)用層的檢測技術(shù)多以數(shù)據(jù)

2、包與流量特征為主，已經(jīng)無法有效地解決類型繁多與訪問復(fù)雜的應(yīng)用層安全問題。
　　 針對當(dāng)前大多數(shù)網(wǎng)站所面臨的應(yīng)用層DDoS攻擊，本文以“用戶行為”為切入點，研究了應(yīng)用層低速率DDoS攻擊和突發(fā)流量背景下的應(yīng)用層DDoS攻擊檢測方法。主要的工作包括以下幾個方面:
　　 1.針對近年來一種新型DDoS攻擊——應(yīng)用層低速率DDoS攻擊，本文提出了一種基于序列可信度的檢測方法。該算法主要分為兩個部分:
　　 (1)用戶點擊

3、行為識別。在用戶訪問網(wǎng)站過程中，瀏覽器會自動產(chǎn)生大量的HTTP請求，服務(wù)器端難以從得到的請求中準(zhǔn)確識別出用戶點擊行為。為此，本文提出了一種基于隱半馬爾可夫模型的用戶點擊行為識別方法，并運(yùn)用K-means聚類算法描述不同網(wǎng)站所采用的網(wǎng)站架構(gòu)與內(nèi)嵌對象的差異性，提高算法的適用性。
　　 (2)攻擊序列檢測。在識別用戶點擊行為的基礎(chǔ)上，通過分析用戶點擊序列中點擊頁面的順序及類型，給出了序列概率可信度和序列類型可信度的概念，利用這兩個屬

4、性值構(gòu)造序列可信度模型，利用此模型，區(qū)分正常序列和攻擊序列。
　　 2.目前突發(fā)流下的DDoS攻擊逐漸凸顯，其隱蔽性更強(qiáng)，對檢測算法的性能要求更高。為此，本文提出了一種基于皮爾遜相關(guān)系數(shù)的突發(fā)流下的應(yīng)用層DDoS攻擊實時檢測方法。該方法通過分析用戶訪問特性，提出用戶活躍度指標(biāo)，并使用皮爾遜相關(guān)系數(shù)衡量用戶在不同觀測時段之間用戶活躍度的相似度，根據(jù)其相似度快速識別攻擊發(fā)生時段。
　　 最后，通過實際采集網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行仿真實驗