基于聚類分析的應(yīng)用層DDoS檢測(cè)方法研究.pdf

1、當(dāng)今世界，計(jì)算機(jī)網(wǎng)絡(luò)迅速發(fā)展，信息化和互聯(lián)網(wǎng)+的大規(guī)模應(yīng)用，使得移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)已經(jīng)深入到了人們生活的方方面面。與此同時(shí)，網(wǎng)絡(luò)安全威脅也是層出不窮，越來(lái)越復(fù)雜,越來(lái)越難以檢測(cè)。其中分布式拒絕服務(wù)攻擊（distributed denial of service,DDoS）就是一個(gè)影響互聯(lián)網(wǎng)安全的重大威脅。傳統(tǒng)的DDoS，主要發(fā)生在網(wǎng)絡(luò)層和傳輸層，它已經(jīng)可以被日趨成熟的網(wǎng)絡(luò)安全產(chǎn)品有效防御，而如今計(jì)算機(jī)工作模式越來(lái)越多的通過(guò)Web進(jìn)行交互，使

2、得DDoS向應(yīng)用層發(fā)展。應(yīng)用層DDoS破壞性強(qiáng)，攻擊方式更加隱蔽，而且在流量特征上幾乎與正常應(yīng)用無(wú)異。因此，成為了最嚴(yán)重的網(wǎng)絡(luò)威脅之一。
　　首先，本文分析和總結(jié)了網(wǎng)絡(luò)層DDoS和應(yīng)用層DDoS的攻擊原理，歸納了兩者在攻擊特性上的差異性。針對(duì)傳統(tǒng)檢測(cè)方法無(wú)法檢測(cè)應(yīng)用層DDoS的問(wèn)題，本文分析了應(yīng)用層DDoS攻擊行為特征，從正常用戶和攻擊用戶在Web訪問(wèn)行為的差異方面入手。根據(jù)請(qǐng)求訪問(wèn)的興趣點(diǎn)、訪問(wèn)時(shí)間、點(diǎn)擊量以及頁(yè)面跳轉(zhuǎn)序列這四個(gè)

3、方面上存在的明顯差異，利用三個(gè)向量和一個(gè)矩陣對(duì)用戶Web訪問(wèn)行為進(jìn)行建模，定義不同用戶訪問(wèn)行為之間的相似度。
　　其次，本文設(shè)計(jì)了一種基于粒子群優(yōu)化的聚類算法的應(yīng)用層DDoS攻擊檢測(cè)模型，對(duì)上述訪問(wèn)行為進(jìn)行聚類分析，達(dá)到檢測(cè)DDoS攻擊的目的。該模型先對(duì)網(wǎng)絡(luò)Web日志預(yù)處理，計(jì)算出會(huì)話之間的相似度函數(shù)，然后將數(shù)據(jù)輸入基于粒子群優(yōu)化的K-means算法聚類模塊，進(jìn)行聚類分析。并將實(shí)驗(yàn)結(jié)果與基于遺傳算法優(yōu)化的K-means算法和基于蟻

4、群算法優(yōu)化的K-means算法相比較。實(shí)驗(yàn)結(jié)果表明，本文采用的PSOK-means算法可以有效地對(duì)用戶訪問(wèn)行為進(jìn)行聚類分析，并能快速甄別出應(yīng)用層DDoS攻擊，相比GAK-means算法和ACOK-means，在檢測(cè)效果、收斂速度上有著較為明顯的優(yōu)勢(shì)。
　　在驗(yàn)證PSOK-means實(shí)用性的實(shí)驗(yàn)中，發(fā)現(xiàn)該算法存在概率性地出現(xiàn)檢測(cè)效果不佳的問(wèn)題，分析其原因是PSOK-means算法會(huì)概率性地陷入局部最優(yōu)，無(wú)法進(jìn)行更好地全局尋優(yōu)，致使檢