基于用戶行為的應(yīng)用層DDoS攻擊檢測(cè)研究.pdf

1、頻發(fā)的分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)對(duì)互聯(lián)網(wǎng)的安全性和穩(wěn)定性造成了巨大的危害。近年來(lái)，隨著低層檢測(cè)防御措施的加強(qiáng)，DDoS攻擊者逐漸將攻擊方向向應(yīng)用層轉(zhuǎn)移。應(yīng)用層DDoS攻擊利用高層協(xié)議復(fù)雜性所帶來(lái)的漏洞，擁有與合法流量的高相似性，與傳統(tǒng)的DDoS攻擊相比，其隱蔽性更強(qiáng)、攻擊效果更佳，已成為當(dāng)前Web服務(wù)提供者急需解決的安全問(wèn)題。然而，現(xiàn)有的基于網(wǎng)絡(luò)層或應(yīng)用層的檢測(cè)技術(shù)多以數(shù)據(jù)

2、包與流量特征為主，已經(jīng)無(wú)法有效地解決類型繁多與訪問(wèn)復(fù)雜的應(yīng)用層安全問(wèn)題。
　　 針對(duì)當(dāng)前大多數(shù)網(wǎng)站所面臨的應(yīng)用層DDoS攻擊，本文以“用戶行為”為切入點(diǎn)，研究了應(yīng)用層低速率DDoS攻擊和突發(fā)流量背景下的應(yīng)用層DDoS攻擊檢測(cè)方法。主要的工作包括以下幾個(gè)方面:
　　 1.針對(duì)近年來(lái)一種新型DDoS攻擊——應(yīng)用層低速率DDoS攻擊，本文提出了一種基于序列可信度的檢測(cè)方法。該算法主要分為兩個(gè)部分:
　　 (1)用戶點(diǎn)擊

3、行為識(shí)別。在用戶訪問(wèn)網(wǎng)站過(guò)程中，瀏覽器會(huì)自動(dòng)產(chǎn)生大量的HTTP請(qǐng)求，服務(wù)器端難以從得到的請(qǐng)求中準(zhǔn)確識(shí)別出用戶點(diǎn)擊行為。為此，本文提出了一種基于隱半馬爾可夫模型的用戶點(diǎn)擊行為識(shí)別方法，并運(yùn)用K-means聚類算法描述不同網(wǎng)站所采用的網(wǎng)站架構(gòu)與內(nèi)嵌對(duì)象的差異性，提高算法的適用性。
　　 (2)攻擊序列檢測(cè)。在識(shí)別用戶點(diǎn)擊行為的基礎(chǔ)上，通過(guò)分析用戶點(diǎn)擊序列中點(diǎn)擊頁(yè)面的順序及類型，給出了序列概率可信度和序列類型可信度的概念，利用這兩個(gè)屬

4、性值構(gòu)造序列可信度模型，利用此模型，區(qū)分正常序列和攻擊序列。
　　 2.目前突發(fā)流下的DDoS攻擊逐漸凸顯，其隱蔽性更強(qiáng)，對(duì)檢測(cè)算法的性能要求更高。為此，本文提出了一種基于皮爾遜相關(guān)系數(shù)的突發(fā)流下的應(yīng)用層DDoS攻擊實(shí)時(shí)檢測(cè)方法。該方法通過(guò)分析用戶訪問(wèn)特性，提出用戶活躍度指標(biāo)，并使用皮爾遜相關(guān)系數(shù)衡量用戶在不同觀測(cè)時(shí)段之間用戶活躍度的相似度，根據(jù)其相似度快速識(shí)別攻擊發(fā)生時(shí)段。
　　 最后，通過(guò)實(shí)際采集網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行仿真實(shí)驗(yàn)