基于網(wǎng)絡(luò)行為分析的DDoS攻擊檢測(cè)技術(shù)研究.pdf

1、隨著近些年互聯(lián)網(wǎng)的迅速發(fā)展，包括Web服務(wù)在內(nèi)的應(yīng)用層服務(wù)和應(yīng)用程序越來(lái)越多的被開(kāi)發(fā)和使用。應(yīng)用層的安全問(wèn)題日益突出，其安全重要性也愈加顯得重要?；赪eb服務(wù)器的網(wǎng)絡(luò)攻擊行為發(fā)生頻繁，分布式拒絕服務(wù)攻擊(DDoS)是其中最難以防御且破壞性最大的攻擊行為之一。DDoS是一種通過(guò)消耗目標(biāo)資源來(lái)阻止用戶正常訪問(wèn)目標(biāo)服務(wù)的網(wǎng)絡(luò)攻擊形式，它對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的可用性構(gòu)成極大的威脅，同傳統(tǒng)的 DDoS相比，基于應(yīng)用層的 DDoS攻擊隱藏效果更好，破

2、壞力更強(qiáng)。DDoS攻擊檢測(cè)是整個(gè)安全防范體系的重要一環(huán)，通過(guò)快速、準(zhǔn)確地檢測(cè)和識(shí)別攻擊，為安全防御提供有效支撐?，F(xiàn)有的大多數(shù) DDoS檢測(cè)方法難以區(qū)分攻擊者的攻擊行為和突發(fā)的大流量正常請(qǐng)求行為，基于網(wǎng)絡(luò)行為分析的檢測(cè)方法對(duì)于攻擊者的異常行為能夠較好的辨識(shí)，因此基于網(wǎng)絡(luò)行為分析的 DDoS檢測(cè)方法的研究顯得很有必要。
　　本文根據(jù)攻擊者對(duì)Web服務(wù)器發(fā)起DDoS攻擊時(shí)選取URL的不同方式，把針對(duì)應(yīng)用層Web服務(wù)的DDoS攻擊分為固定

3、URL攻擊，隨機(jī)URL攻擊和遍歷URL爬蟲(chóng)模式攻擊三種類型，并對(duì)每一類攻擊時(shí) URL的請(qǐng)求率進(jìn)行分析，把請(qǐng)求的URL作為離散隨機(jī)變量，得出攻擊時(shí)的URL請(qǐng)求熵并與正常情況下URL請(qǐng)求熵進(jìn)行對(duì)比，以此找出 DDoS攻擊時(shí)的行為差異。在此基礎(chǔ)上對(duì)檢測(cè)結(jié)果進(jìn)一步分析優(yōu)化，提出一種基于URL聯(lián)合信息熵向量的DDoS攻擊檢測(cè)方法，檢測(cè)方法將URL請(qǐng)求熵和頁(yè)面停留時(shí)間熵進(jìn)行向量結(jié)合，通過(guò)仿真表明該方法能夠有效的區(qū)分 DDoS攻擊和正常突發(fā)大流量 F