基于報文節(jié)奏的Web DDoS防御技術(shù).pdf

1、互聯(lián)網(wǎng)已成為我們?nèi)粘Ｉ?、工作和學習的重要組成部分，但我們在享受網(wǎng)絡(luò)帶來的便利的同時，也必須忍受網(wǎng)絡(luò)惡意行為給我們帶來的不便甚至損失?；ヂ?lián)網(wǎng)在設(shè)計之初，并沒有過多考慮安全性的問題。隨著網(wǎng)絡(luò)發(fā)展與普及，各類攻擊和破壞手段層出不窮，網(wǎng)絡(luò)安全問題已經(jīng)引起政府機構(gòu)、研究人員甚至普通用戶的高度重視。
　　 分布式拒絕服務(wù)攻擊（Distributed Denial of Service-DDoS）以消耗被攻擊目標的計算資源來阻止其為合法用戶

2、提供服務(wù)，是常見的網(wǎng)絡(luò)攻擊手段。由于其原理簡單、工具成熟且容易獲取、易于掩飾作案痕跡、破壞性大而被攻擊者廣泛使用，成為近年來對互聯(lián)網(wǎng)最具危脅的攻擊方式之一，給網(wǎng)絡(luò)業(yè)務(wù)帶來不可估量的損失。DDoS攻擊檢測和防御是網(wǎng)絡(luò)安全體系中的重要一環(huán)，也是當前網(wǎng)絡(luò)安全領(lǐng)域的研究前沿。許多研究人員針對DDoS攻擊展開了深入研究，并取得顯著成果。但是，網(wǎng)絡(luò)對抗是雙向的，隨著防御能力的提高，DDoS的攻擊手法也在不斷進化，從最初的TCP/SYN泛洪，到當前的

3、應用層攻擊，破壞與防御、攻擊與反制的對抗一直在激烈進行。
　　 在應用層Web DDoS中，攻擊者以合法用戶的身份，向服務(wù)端提交惡意HTTP請求，試圖耗盡服務(wù)端的計算資源，使其無法正常對外提供服務(wù)。Web DDoS防御的重點在于及時地區(qū)分合法與非法流量并準確地定位攻擊端。
　　 本文從攻擊用戶與合法用戶在應用層行為特征上的不同入手，利用報文到達時間間隔和報文長度計算用戶端HTTP訪問流的“節(jié)奏”特征，提出了基于報文節(jié)奏特

4、征的Web DDoS攻擊流量過濾方法。文章首先分析總結(jié)了各類Web DDoS攻擊模式下的攻擊流節(jié)奏特征，指出了攻擊流與合法訪問流在節(jié)奏上的不同之處;其次在利用報文節(jié)奏刻畫單客戶端行為特征的基礎(chǔ)上，針對客戶群體的訪問行為，提出了節(jié)奏矩陣的概念，利用節(jié)奏矩陣來刻畫用戶群體訪問行為的特征;最后提出和實現(xiàn)了基于節(jié)奏速度矩陣的Web DDoS攻擊流量過濾與攻擊端定位算法，能夠準確而快速地對Web DDoS攻擊作出反應，及時過濾攻擊流量并定位Web

5、 DDoS攻擊端。同時，為了驗證方法的有效性，我們還設(shè)計了DDoS攻擊仿真程序，并以公開的網(wǎng)絡(luò)數(shù)據(jù)集為基礎(chǔ)，構(gòu)造了不同類型的DDoS攻擊流量對算法進行檢驗。
　　 實驗證明，本算法可有效工作于文中提到的各類Web DDoS攻擊模式下，攻擊流量識別準確率為100％，攻擊源定位最大誤報率為1.5％。本文解決問題的思路雖然是從應用層行為特征入手，但在算法中僅用到了網(wǎng)絡(luò)層要素，與同類算法相比，本算法不關(guān)心應用層負載內(nèi)容，易于實施，算法時