基于用戶行為的應用層DDoS攻擊檢測研究.pdf

1、頻發(fā)的分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)對互聯(lián)網的安全性和穩(wěn)定性造成了巨大的危害。近年來，隨著低層檢測防御措施的加強，DDoS攻擊者逐漸將攻擊方向向應用層轉移。應用層DDoS攻擊利用高層協(xié)議復雜性所帶來的漏洞，擁有與合法流量的高相似性，與傳統(tǒng)的DDoS攻擊相比，其隱蔽性更強、攻擊效果更佳，已成為當前Web服務提供者急需解決的安全問題。然而，現(xiàn)有的基于網絡層或應用層的檢測技術多以數(shù)據

2、包與流量特征為主，已經無法有效地解決類型繁多與訪問復雜的應用層安全問題。
　　 針對當前大多數(shù)網站所面臨的應用層DDoS攻擊，本文以“用戶行為”為切入點，研究了應用層低速率DDoS攻擊和突發(fā)流量背景下的應用層DDoS攻擊檢測方法。主要的工作包括以下幾個方面:
　　 1.針對近年來一種新型DDoS攻擊——應用層低速率DDoS攻擊，本文提出了一種基于序列可信度的檢測方法。該算法主要分為兩個部分:
　　 (1)用戶點擊

3、行為識別。在用戶訪問網站過程中，瀏覽器會自動產生大量的HTTP請求，服務器端難以從得到的請求中準確識別出用戶點擊行為。為此，本文提出了一種基于隱半馬爾可夫模型的用戶點擊行為識別方法，并運用K-means聚類算法描述不同網站所采用的網站架構與內嵌對象的差異性，提高算法的適用性。
　　 (2)攻擊序列檢測。在識別用戶點擊行為的基礎上，通過分析用戶點擊序列中點擊頁面的順序及類型，給出了序列概率可信度和序列類型可信度的概念，利用這兩個屬

4、性值構造序列可信度模型，利用此模型，區(qū)分正常序列和攻擊序列。
　　 2.目前突發(fā)流下的DDoS攻擊逐漸凸顯，其隱蔽性更強，對檢測算法的性能要求更高。為此，本文提出了一種基于皮爾遜相關系數(shù)的突發(fā)流下的應用層DDoS攻擊實時檢測方法。該方法通過分析用戶訪問特性，提出用戶活躍度指標，并使用皮爾遜相關系數(shù)衡量用戶在不同觀測時段之間用戶活躍度的相似度，根據其相似度快速識別攻擊發(fā)生時段。
　　 最后，通過實際采集網絡數(shù)據進行仿真實驗