应用层DDOS攻击检测技术研究
- 格式:doc
- 大小:182.50 KB
- 文档页数:4
下载文档原格式
合集下载
《基于深度学习的DDoS攻击检测方法研究》
《基于深度学习的DDoS攻击检测方法研究》篇一一、引言随着互联网技术的飞速发展,分布式拒绝服务攻击(DDoS)已成为网络安全的重大威胁。
DDoS攻击通过大量无效流量淹没目标服务器,导致其无法正常处理合法请求,从而造成网络服务中断或性能下降。
因此,对DDoS攻击进行及时、准确的检测与防御至关重要。
近年来,深度学习技术以其强大的特征提取和分类能力,在安全领域得到广泛应用。
本文基于深度学习技术,研究DDoS攻击的检测方法,以提高网络防御的效率和准确性。
二、DDoS攻击概述DDoS攻击是一种网络攻击方式,其特点是利用大量来自多台受感染的主机向目标发送大量的请求,使得目标服务器的带宽、内存和CPU资源等资源被耗尽,从而无法正常处理合法请求。
DDoS攻击的检测与防御对于保障网络安全具有重要意义。
三、传统DDoS攻击检测方法传统的DDoS攻击检测方法主要包括基于流量的检测、基于协议的检测和基于行为的检测等。
这些方法主要依赖于特征匹配和阈值设定,对特定类型的DDoS攻击具有较好的效果。
然而,随着DDoS攻击的复杂性不断提高,传统的检测方法面临许多挑战,如高误报率、低检测率等问题。
四、基于深度学习的DDoS攻击检测方法针对传统方法的不足,本文提出基于深度学习的DDoS攻击检测方法。
该方法通过训练深度神经网络模型,自动学习流量数据的特征和模式,从而实现对DDoS攻击的准确检测。
(一)数据集构建首先,需要构建一个包含正常流量和DDoS攻击流量的数据集。
数据集应包括不同类型、不同规模的DDoS攻击流量以及各种网络环境下的正常流量。
通过数据集的构建,为后续的模型训练提供基础。
(二)特征提取与模型设计在深度学习模型中,特征提取是关键的一步。
本文采用卷积神经网络(CNN)和循环神经网络(RNN)等模型进行特征提取。
这些模型能够自动从原始流量数据中提取出有效的特征信息,如包大小、包到达间隔等。
在特征提取的基础上,设计合适的神经网络结构进行分类模型的训练。
《基于深度学习的DDoS攻击检测方法研究》
《基于深度学习的DDoS攻击检测方法研究》篇一一、引言随着互联网技术的飞速发展,分布式拒绝服务攻击(DDoS)已成为网络安全的重大威胁。
DDoS攻击利用大量分布式网络资源对目标服务器发起攻击,通过消耗其服务资源导致服务不可用。
因此,为了有效防范DDoS攻击,并提高网络安全,研究人员需要不断地开发更为高效、精准的检测方法。
近年来,基于深度学习的DDoS攻击检测方法因其出色的性能和广泛的应用前景,成为了研究的热点。
本文将深入探讨基于深度学习的DDoS攻击检测方法。
二、DDoS攻击概述DDoS攻击是网络攻击中的一种,其主要目的是使目标服务器过载,导致其无法处理正常的用户请求。
这种攻击通常涉及大量分布式网络资源,如计算机、手机等设备。
攻击者通过控制这些设备向目标服务器发送大量无效或合法的请求,从而消耗其服务资源,导致其无法正常工作。
DDoS攻击不仅影响企业网络环境,也威胁到个人的信息安全和隐私保护。
三、传统DDoS攻击检测方法的局限性传统的DDoS攻击检测方法主要依赖于静态阈值和规则匹配。
然而,这些方法往往存在误报率高、漏报率高、无法应对复杂多变的攻击模式等问题。
随着网络环境的日益复杂化,传统检测方法已难以满足DDoS攻击检测的需求。
因此,寻找新的检测方法是网络安全领域的迫切需求。
四、深度学习在DDoS攻击检测中的应用深度学习作为人工智能的重要分支,已广泛应用于计算机视觉、语音识别等领域。
在网络安全领域,深度学习也展现出了强大的应用潜力。
基于深度学习的DDoS攻击检测方法通过训练深度神经网络模型来识别和检测DDoS攻击。
这种方法能够从大量网络数据中自动提取特征,从而实现对复杂多变的DDoS攻击的有效检测。
此外,深度学习还具有低误报率、高精度等优点,能够有效提高网络安全性能。
五、基于深度学习的DDoS攻击检测方法研究基于深度学习的DDoS攻击检测方法主要包括数据预处理、模型构建、模型训练和模型评估等步骤。
基于请求关键词的应用层DDoS攻击检测方法
( 广 东 外语 外贸 大学 思科信 息 学院 广 州 5 1 0 0 0 6 )
摘 要 目前应 用层 D Do S攻击严重危害互联 网的安 全 。现有 的检测 方法 只针对 某种特定 的应 用层 D D o S攻击 , 而
不能识别应用层上其 它的 DD o S攻击。为 了能快速有效 地识 别 出多种 应用层 D D o S攻 击, 提 出一种基 于请 求关键词
Ab s t r a c t To d a y, t h e a p p l i c a io t n qa y e r DDo S a t t a c k s ma y c a u s e g r it h a r m t O t h e s e c u r i t y o f t h e I n t e r n e t . Ex i s t i n g d e —
t e c t i o n me t h o d s l a c k t h e v e r s a t i l i t y , L e ., a n a p p r o a c h o n l y f o c u s e s o n o n e p a r t i c u l a r a p p l i c a t i o n - l a y e r DDo S a t t a c k I n
q u e s t k e y wo r d s p e r u n i t t i me . Th e n , t h e h i d d e n ma r k o v mo d e l i s u s e d t o d e t e c t a p p l i c a t i o n - l a y e r DDo S a t t a c k s . Th e e x -
云计算环境下应用层DDOS攻击特点及防范研究
广 东技 术师 范学 院学报 ( 自然 科学 )
2 0 1 3年 第 1 2期
J o u n r a l o f G u a n g d o n g P o l y t e c h n i c N o r m a l U n i v e r s i t y
: 1 2 0
类和特 点做 了相关 分析 . 对正 常用 户访 问和 应用 层 D D O S攻 击 的行 为特征 进 行 比较 分析 。 对应 用层 D D O S攻 击依
据 特 点进 行 分类 并设计相 应 的检 测算 法 , 分 多种 类多阶段对 其进行 检测 . 设 计相 关 实验 , 实验 表明算 法可 以较好 的 发 现和 防御应 用层 D D O S攻 击 的发 生 .
的异 常度 来 防御 应 用 层 DD O S攻 击 | l J .
K u ma r等 提 出 了一 种 基 于 “ P u z z l e ” 的 方 法 来 防
御应 用 层 D DO S攻 击 .其 基 本 思 想 是 在 应 用 层 交 互 过程 中 . 随机 向用 户 提 出一 些 简 单 的问 题 , 通 过 应 答 来 判 断 是 正 常 用 户还 是 攻 击 .此 方 法 最 大 的 问题 是
会 对 正 常 用 户 的 合 法 访 问造 成 干 扰 .影 响 正 常 用 户 的使 用 . 并耗 费一定 的服务时 间和资源 , 因此 , 这 并 不 是 一 种 实用 的抗 应 用 层 D DO S攻 击 的 方法 [ ] .
网 络 安 全 的 主要 威 胁 . 在 云计 算 的环 境 下 . 该 如 何 有 效 快 速 的发 现 、预 警 应用 层 D DO S攻 击 并 对 其 作 出
D D O S攻 击 的方 法 在 不 断地 更 新 . DD O S攻 击 的
2 0 1 3年 第 1 2期
J o u n r a l o f G u a n g d o n g P o l y t e c h n i c N o r m a l U n i v e r s i t y
: 1 2 0
类和特 点做 了相关 分析 . 对正 常用 户访 问和 应用 层 D D O S攻 击 的行 为特征 进 行 比较 分析 。 对应 用层 D D O S攻 击依
据 特 点进 行 分类 并设计相 应 的检 测算 法 , 分 多种 类多阶段对 其进行 检测 . 设 计相 关 实验 , 实验 表明算 法可 以较好 的 发 现和 防御应 用层 D D O S攻 击 的发 生 .
的异 常度 来 防御 应 用 层 DD O S攻 击 | l J .
K u ma r等 提 出 了一 种 基 于 “ P u z z l e ” 的 方 法 来 防
御应 用 层 D DO S攻 击 .其 基 本 思 想 是 在 应 用 层 交 互 过程 中 . 随机 向用 户 提 出一 些 简 单 的问 题 , 通 过 应 答 来 判 断 是 正 常 用 户还 是 攻 击 .此 方 法 最 大 的 问题 是
会 对 正 常 用 户 的 合 法 访 问造 成 干 扰 .影 响 正 常 用 户 的使 用 . 并耗 费一定 的服务时 间和资源 , 因此 , 这 并 不 是 一 种 实用 的抗 应 用 层 D DO S攻 击 的 方法 [ ] .
网 络 安 全 的 主要 威 胁 . 在 云计 算 的环 境 下 . 该 如 何 有 效 快 速 的发 现 、预 警 应用 层 D DO S攻 击 并 对 其 作 出
D D O S攻 击 的方 法 在 不 断地 更 新 . DD O S攻 击 的
《基于深度学习的DDoS攻击检测方法研究》范文
《基于深度学习的DDoS攻击检测方法研究》篇一一、引言随着互联网的普及,DDoS(Distributed Denial of Service)攻击逐渐成为网络环境中一项严重的问题。
其核心特点在于,利用多台主机分散向特定目标发送大量的网络请求,导致目标服务器无法正常处理请求,从而造成服务中断或服务质量下降。
传统的DDoS攻击检测方法往往依赖于规则匹配和流量统计,但这些方法在面对复杂多变的攻击模式时,往往显得捉襟见肘。
近年来,深度学习技术在处理复杂的网络攻击模式方面取得了显著的进展。
因此,基于深度学习的DDoS攻击检测方法成为当前研究的热点。
二、DDoS攻击与深度学习概述DDoS攻击是网络攻击者经常使用的手段之一,它通过大规模的请求攻击来使目标服务器过载,从而无法正常处理合法的请求。
而深度学习是一种机器学习方法,它通过模拟人脑神经网络的工作方式,从大量数据中自动提取特征并进行学习。
在DDoS 攻击检测中,深度学习可以有效地从海量的网络流量数据中提取出与攻击相关的特征,从而实现对DDoS攻击的准确检测。
三、基于深度学习的DDoS攻击检测方法1. 数据集的构建深度学习需要大量的数据进行训练。
在DDoS攻击检测中,需要构建一个包含正常流量和各种类型DDoS攻击流量的数据集。
这个数据集应该包含丰富的网络流量信息,如时间序列、包大小、连接信息等。
此外,数据集应该根据实际攻击情况定期更新,以保证模型的实时性和有效性。
2. 模型的选择与训练在深度学习中,有许多种模型可以用于DDoS攻击检测。
常见的有卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)等。
这些模型可以根据具体的应用场景进行选择和调整。
在模型训练过程中,需要使用大量的标注数据进行训练和优化,以提高模型的准确性和泛化能力。
3. 特征提取与分类在模型训练完成后,需要从网络流量中提取出与DDoS攻击相关的特征。
这些特征可能包括流量大小、连接数、包大小分布等。
DDOS攻击的检测方法与对策
DDOS攻击的检测方法与对策随着互联网的发展,网络安全问题逐渐引起人们的关注。
其中,DDoS(分布式拒绝服务)攻击是一种常见的网络攻击方式,它能够使网站、服务器或网络服务瘫痪。
为了保护网络安全,研究人员开发了各种方法来检测和对抗DDoS攻击。
本文将介绍一些常见的DDoS攻击检测方法和对策。
首先,我们先了解一下DDoS攻击的基本原理。
DDoS攻击是指通过使用大量的计算机或设备向目标服务器发送大量的请求,从而使服务器资源耗尽,无法正常对外提供服务。
攻击者通常利用僵尸网络(botnet)或利用漏洞感染大量的互联网设备,将它们组织起来发起攻击。
因此,检测和对抗DDoS攻击需要识别大量的异常流量和威胁设备。
一种常见的DDoS攻击检测方法是基于流量分析。
该方法通过监测网络流量,统计流量的源IP地址、目标IP地址和协议等信息,利用机器学习算法或规则引擎判断是否存在异常流量。
异常流量通常表现为相同源IP地址或相同目标IP地址的大量请求。
一旦异常流量被检测到,系统可以采取各种对策,如封锁攻击源IP、限制流量或增加系统资源。
另一种常见的DDoS攻击检测方法是基于行为分析。
该方法通过分析网络设备的行为和模式,识别潜在的攻击活动。
例如,当设备突然增加了网络连接数、流量或请求时,就可能发生DDoS攻击。
此外,还可以利用异常检测算法来检测异常行为,如负载异常、数据包异常或频率异常。
基于行为分析的方法可以提前预警和识别DDoS攻击,从而采取相应的对策。
除了流量和行为分析,还可以使用一些其他的检测方法来对抗DDoS攻击。
例如,基于信誉系统的方法可以根据设备的信誉评级判断是否存在攻击行为。
信誉评级可以根据设备的历史行为、安全性和信任度等指标计算得出。
使用这种方法可以识别可疑的设备并阻止它们发起攻击。
此外,还可以利用服务进行DDoS攻击检测。
例如,通过在网络中布置分布式检测节点,这些节点会监测并报告网络流量的异常行为。
通过分析来自不同节点的报告,可以检测并确认DDoS攻击,并采取相应的对策。
基于网络流量分析的DDoS攻击检测技术研究
基于网络流量分析的DDoS攻击检测技术研究一、背景介绍随着网络的普及和发展,网络攻击已成为每个人都需要关注的问题。
其中最常见的一种攻击方式是DDoS攻击(分布式拒绝服务攻击),即通过向目标网站或服务器发送大量请求,使其服务能力降低或瘫痪,导致网络服务瘫痪,严重影响生产和生活秩序。
二、DDoS攻击原理DDoS攻击的原理是利用大量的计算机或设备协同攻击同一目标,从而使目标服务器的网络带宽、CPU、内存等资源达到饱和,进而无法正常处理网络请求,导致拒绝服务。
随着技术的发展,攻击手段日益复杂,各种攻击手法层出不穷,如SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、DNS Flood等。
三、DDoS攻击检测技术为保障网络服务的安全稳定,研究和发展DDoS攻击检测技术变得至关重要。
目前,主要的DDoS攻击检测技术主要包括:1、网络流量分析网络流量分析是常用的DDoS攻击检测方法之一,可以实时分析网络流量,依据相关统计学特征和规则进行异常检测。
此外,可以通过监控网络流量的状态,及时发现并抵御DDoS攻击。
2、机器学习方法机器学习方法是一种基于数据的自动学习和优化算法,可以识别各种攻击方式,如DDoS攻击、恶意软件攻击等。
通过正常流量的学习,能够识别异常流量和DDoS攻击流量。
3、深度学习方法深度学习方法是机器学习算法的一种,能够自动学习和识别网络攻击流量和正常流量。
通过建立深度神经网络模型,可以从大量的数据中学习网络攻击的特征和规律,不断优化模型,提高检测准确率和效率。
四、基于网络流量分析的DDoS攻击检测技术网络流量分析是DDoS攻击检测技术中应用最为广泛的一种技术手段。
网络流量分析主要分为统计学方法和基于规则的方法。
1、统计学方法统计学方法是通过对流量特征进行分析,对正常流量进行学习建模,并对异常流量进行识别和检测。
常用的统计学方法有自相关函数、互相关函数、延时相关函数、总变差函数等。
基于流量分析的App—DDoS攻击检测
a t t a c k s b a s e d o n l f o w a n a l y s i s ) , 将应 用层的行 为异常检 测映射为 网络层 的流量异 常检 测 , 最大限度 地保 证 了合法 用 户 的优 先正常访 问。 实验证 明 , D F M - F A既不依赖 于 系统 日志 , 同时又能检 测到 F T I 1 P 、 D N S 等 多种 A p p — D D o S 攻 击。
Ab s t r a c t : Ai mi n g a t t h e s h o r t c o mi n g s o f c u r r e n t me t h o d s wh i c h h i g h l y d e p e n d o n s y s t e m l o g s a n d f a i l t o d e t e c t a t t a c k s a g a i n s t
Ke y w o r d s :A p p — D D o S ( a p p l i c a t i o n — l a y e r d i s t r i b u t e d d e n i a l o f s e r v i c e )a t t a c k ;D F M— F A;K a l m a n i f l t e i r n g ;i n f o r ma t i o n e n —
t r o py
在众 多的网络攻 击 中, 分布 式拒绝 服务 ( d i s t i r b u t e d d e n i a l o f s e r v i c e , D D o S ) 攻击是 一种 极具 破坏 力 的攻击 方式 , 其病 毒 与黑客技术 的结 合 , 已成 为影 响 网络安 全 的头 号 问题 。近 年来 , 随着 网络协议栈低层 防御技术 的不断完善 , D D o S攻击 出 现 了向应用层 发展的趋势 。A p p — D D o S攻击利用正 常的协议和 服 务器 连接 传输 数据 , 是一 种与 高层 服务相结 合 的攻 击手 段 ,
应用层DDOS攻击检测技术研究
If r a in S c r t 信 息 安 全 ・ 机 n o m t o e u iy・ 计算
应 用层 DDOS攻 击检 测技 术研 究
熊 俊
( 南 警 察 学 院 湖 南 长 沙 4 0 3 ) 湖 1 18
【 摘
要 】 着检测 底层 D o 随 D S攻 击 的技 术不 断成熟 和完 善 , 用层 D o 应 D S攻 击越 来越 多。 由于应 用层 协议 的 复杂
c mpe i ftea piainly rp tc l p l t n ly rDDo t c smoed srcie a d moe s bl ee t o lxt o p l t e ro o,a pi i a e y h c o a o a c o S at k r e t t , n r u t t d tc.Thsp p rsu isten r l a u v eo i a e tde h oma
【Ky od D o ;pl tnae cs rgao a t tn ew r s】 D Sap i yr lt i ;nm ld e i i ol ;u n a c a ye c o
0 引言
根 据 世 界 著 名 网 络 安 全 公 司 Aro t rs在 b rNe wok 21 0 1年发 布 的安全 报告 显示 . 布式 拒绝 服务 攻击 是运 分 营 商 、服 务 提供 商 以及 密切 依 赖 网 络 的企 业 最 大 的威 胁 国内 的网 络安全 公 司—— 绿 盟 科 技 2 1 年 发 布 的 01 网 络安 全 回顾 指 出 , 目前 网络攻 击 者逐 渐将 目标 聚 集到 实施 破 坏 和信 息窃取 上 来 , 实施 破坏 的 主要途 径 就是 而 针 对 网络 空 间发 动 DD S攻 击 。国 家互 联 网应 急 中心 o C E NC RT在 2 1 布的安 全态 势综 述 中指 出 , Do 0 1发 D S攻 击 仍 然呈 频 率 高 、 模 大 等特 点 , 国 日均 发 生 流 量 大 规 我
应 用层 DDOS攻 击检 测技 术研 究
熊 俊
( 南 警 察 学 院 湖 南 长 沙 4 0 3 ) 湖 1 18
【 摘
要 】 着检测 底层 D o 随 D S攻 击 的技 术不 断成熟 和完 善 , 用层 D o 应 D S攻 击越 来越 多。 由于应 用层 协议 的 复杂
c mpe i ftea piainly rp tc l p l t n ly rDDo t c smoed srcie a d moe s bl ee t o lxt o p l t e ro o,a pi i a e y h c o a o a c o S at k r e t t , n r u t t d tc.Thsp p rsu isten r l a u v eo i a e tde h oma
【Ky od D o ;pl tnae cs rgao a t tn ew r s】 D Sap i yr lt i ;nm ld e i i ol ;u n a c a ye c o
0 引言
根 据 世 界 著 名 网 络 安 全 公 司 Aro t rs在 b rNe wok 21 0 1年发 布 的安全 报告 显示 . 布式 拒绝 服务 攻击 是运 分 营 商 、服 务 提供 商 以及 密切 依 赖 网 络 的企 业 最 大 的威 胁 国内 的网 络安全 公 司—— 绿 盟 科 技 2 1 年 发 布 的 01 网 络安 全 回顾 指 出 , 目前 网络攻 击 者逐 渐将 目标 聚 集到 实施 破 坏 和信 息窃取 上 来 , 实施 破坏 的 主要途 径 就是 而 针 对 网络 空 间发 动 DD S攻 击 。国 家互 联 网应 急 中心 o C E NC RT在 2 1 布的安 全态 势综 述 中指 出 , Do 0 1发 D S攻 击 仍 然呈 频 率 高 、 模 大 等特 点 , 国 日均 发 生 流 量 大 规 我
基于网络流量特征的DDoS攻击检测技术研究
基于网络流量特征的DDoS攻击检测技术研究一、攻击与网络流量特征的关系DDoS攻击是一种高度破坏性的网络攻击方式,通过在目标系统上创建大量虚假请求,导致目标系统无法提供正常服务。
因此,DDoS攻击的检测对于网络安全至关重要。
在这种攻击中,攻击者通常使用控制节点掌控大量的僵尸主机,向目标系统发送海量的访问请求。
这样,目标系统就会受到过载,无法正常响应请求。
因此,网络流量特征的分析对于检测DDoS攻击至关重要。
一般来说,DDoS攻击的网络流量具有如下特征:1. 高流量峰值:DDoS攻击会向目标系统发送大量的请求,导致网络流量瞬间爆发,形成高流量峰值。
2. 随机分布:攻击者通常会选择欺骗措施来躲避检测。
因此,攻击流量通常表现为随机分布,难以预测。
3. 多源攻击:攻击者通常会使用多个攻击源,向目标系统发送海量的请求。
因此,网络流量通常来自多个不同的IP地址。
4. 攻击时间:攻击者通常会在特定的时间段进行攻击,例如在网站高峰期或者特定活动期间。
基于这些特征,可以使用不同的算法来检测DDoS攻击。
下面将介绍一些常见的算法。
二、DDoS攻击检测算法1. 基于特征的检测算法:这种算法旨在识别攻击流量的显著特征。
例如,可以通过监视网络流量,检测高流量峰值以及IP地址的随机性分布,从而识别DDoS攻击。
这些特征可以用于构建多种模型,例如支持向量机、朴素贝叶斯和神经网络等。
2. 基于行为的检测算法:这种算法旨在捕捉攻击者的行为模式。
例如,可以监测大量的重复请求、异常的流量分布和不正常的访问频率等。
这些特征可以用于构建行为模型,从而检测异常流量。
3. 基于流量分析的检测算法:这种算法旨在检测网络流量的分布情况。
例如,可以分析网络流量的转发模式、包的大小分布和不同流量的分布规律等。
这些特征可以用于构建流量分析模型,进而检测异常流量。
三、DDoS攻击检测技术的应用DDoS攻击检测技术已经被广泛应用于各个领域,包括金融、电商、游戏和政府等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用层DDOS攻击检测技术研究熊俊(湖南警察学院湖南长沙410138)【摘要】随着检测底层DDoS攻击的技术不断成熟和完善,应用层DDoS攻击越来越多。
由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。
通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征,采用固定时间窗口内的请求时间间隔以及页面作为特征。
通过正常用户和僵尸程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。
【关键词】DDOS;应用层;聚类;异常检测Xiong Jun(Hunan Police Academy HunanChangsha410138)0引言根据世界著名网络安全公司ArborNetworks在2011年发布的安全报告显示,分布式拒绝服务攻击是运营商、服务提供商以及密切依赖网络的企业最大的威胁。
国内的网络安全公司—绿盟科技2011年发布的网络安全回顾指出,目前网络攻击者逐渐将目标聚集到实施破坏和信息窃取上来,而实施破坏的主要途径就是针对网络空间发动DDoS攻击。
国家互联网应急中心CNCERT在2011发布的安全态势综述中指出,DDoS攻击仍然呈频率高、规模大等特点,我国日均发生流量大于1G的DDoS攻击事件达365起。
大多数攻击针对网站如政府网站、游戏服务器以及DNS服务器,造成受害者损失大量收入,对DNS服务器的攻击会导致大片地区互联网用户不能使用网络服务,典型案例如2009年暴风事件,导致江西、河北等9个省市大量用户遭遇上网故障。
安全公司卡巴斯基发布的2011下半年安全监控报告中指出,http类型的DDoS攻击占据了所有的DDoS攻击类型的80%,可见应用层DDoS危害之大。
DDoS攻击最早开始于1996年,2002年开始在国内出现,2003年便初具规模。
DDoS攻击发展趋势为从低层协议向高层协议发展,传统DDoS攻击利用协议漏洞或者洪水攻击等对受害者发起攻击,如网络层Nuke攻击利用发送畸形的ICMP数据包使得受害者当机,网络层泪滴攻击利用发送重叠的IP分片使得目标主机TCP/IP协议栈崩溃而拒绝服务。
UDPFlood、TCPFlood等传输层的洪水攻击利用发送超出受害者服务能力的大量数据包,消耗掉受害者的网络带宽、CPU处理能力、内存、网络连接等有限的资源从而使受害者主机拒绝服务。
随着广大学者、安全公司对传统的DDoS攻击进行深入的研究,目前低层的DDoS攻击检测已趋成熟,并且有很多的专门检测DDoS攻击的产品,能较有效地检测这些低层的攻击。
网络攻击者为了躲避检测,并让DDoS攻击具有更大的破坏力,逐渐将攻击转移到应用层。
应用层DDoS攻击和传统的低层DDoS攻击有较大不同,首先,应用层DDoS攻击数据包在数据包格式上和正常用户的数据包格式完全相同,没有畸形包、异常的字段值,这使得从特征匹配的检测算法宣告失效,因为攻击包和正常包在格式上是相同的。
其次,应用层DDoS攻击由于和服务器要建立TCP连接,因此采用的都是真实IP地址。
另外,由于应用层协议更加复杂,如http协议,一条请求语句可能会耗费服务器大量的数据库查找操作,耗费大量资源,因此,应用层DDoS攻击可以只利用很低速率的攻击流,就耗尽受害者主机,使得主机宕机,而防火墙等安全产品却根本检测不到攻击,典型攻击如近几年盛行的CC攻击。
这些新特性使得应用层的DDoS攻击危害更大,且更加难以检测。
学者和网络安全公司针对应用层的DDoS攻击已经有了一些研究,但尚无比较有效、成熟的检测方法。
1应用层流量特征1.1正常用户访问特征正常用户访问网站一般为如下过程,首先进入网站主页,然后在主页浏览一段时间,阅读相关的内容,发现感兴趣的内容,点击链接,进入下一个页面。
然后阅读下一个页面,并在该页面驻留一段时间。
阅读完该页面后,用户可以直接关闭该页面,或者点击相关链接继续访问其他页面,或者是回退到前一页面或者返回到主页。
>请求时间间隔的研究由于不同的用户感兴趣的内容不一样,因此不同的用户在一段时间如10分钟内浏览过的页面也不同,另外,不同用户由于阅读习惯、关注点不同,导致不同的用户在不同的页面上停留的时间不同。
文献[8]中有如图1直观的展示。
对网站记录日志文件,包括EPA-HTTP日志(一个访问量较大的网站1995年8月29日全天的日志记录)、SDSC-HTTP(另一个网站在1995年8月22日全天的访问记录日志)、NASA(美国国家宇航局在弗罗里达的数据空间网站的2个月的日志记录)、ClarkNet-HTTP(一个网站的1995年8月的2个星期的记录文件)进行分析,重点研究了会话的请求间隔时间分布以及时间窗口时间内访问的页面分布。
图2是EPA数据包中一个时段的请求间隔分布,具有典型代表性,时间窗口内一共有62个http会话,横坐标轴为秒,可以看出来,请求间隔时间分布较分散,从0到300s。
>请求页面的研究各个用户由于感兴趣的内容不容,因此浏览的页面也不同。
但同时网站上有的内容属于热点内容,是公众都关心的,访问的频率更高,如网站主页,特定的消息。
对日志文件的分析验证了这一结论,图3是其中的一张图,横坐标是网页编号,在半个小时时间窗口内被访问的页面,竖坐标为被访问的次数。
从中可以看出来,有的页面被访问的频率很高,剩下被访问的页面的频率大致相同。
1.2应用层DDOS攻击特征根据应用层DDoS攻击的原理,可以总结出DDoS攻击具有的特征。
DDoS攻击会话的请求频率较高,即请求间隔较小。
这是因为为了达到使受害者拒绝服务攻击的目的,攻击者必须达到一定的服务请求速率才能将主机的资源消耗尽。
攻击程序为了易于编写,往往将请求间隔设为固定值。
文献[5]指出,应用层的DDoS攻击程序Mydoom蠕虫在发送DDoS攻击时,每秒发送64个GET请求。
变种的攻击可能会不采用固定时间间隔,而是经过一个随机时间间隔,但仍然是较小,并且各个攻击会话表现出共性。
DDoS攻击请求往往是请求单一页面,卡巴斯基安全报告中指出,请求同一网页的攻击占据所有的http攻击类型的55%。
另外攻击程序也可以对网站进行遍历或者随机爬取。
2应用层DDOS攻击检测方法2.1现有的DDOS攻击检测技术文献[4]提出一种防御方案,要求访问者回答一些问题以此来判断用户是正常用户还是僵尸程序,它的主要思想是僵尸程序为了隐蔽一般代码较少,没有足够的能力回答出服务器提出的问题,比如识别图片中的验证码,回答常识性问题,而正常用户却可以轻松完成这些验证工作。
服务器将那些不能正确回答问题的用户判定为僵尸程序,不为其提供服务,从而到达防御的目的。
但是这种方法也有很明显的弊端,首先,这会使得正常用户,网站的绝大多数用户感到很厌烦,因为要输入很多的验证码。
其次,这也会影响搜索引擎的检索,因为搜索引擎的爬虫本质上也是机器程序,同样不能够回答出这些问题,使得网站页面不能被正确检索,对网站不利。
再次,当机器程序进行改进后,可以回答验证问题,则该方法就失效。
文献[5]对用户的访问行为进行建模,利用马尔可夫链来模拟用户所请求页面的模式,对每个会话记录访问其各个页面跳转概率,然后归纳出大多数用户的访问模式,将流与大多数用户的访问模式的偏离作为流的异常程度。
但是,这种方法要求非常大的计算量,以及存储空间,尤其是稍具规模的网站就拥有上万的页面,像新浪这样的大型网站甚至是上亿级页面,这使得该算法不能够在线检测攻击,不适宜来检测应用层DDoS攻击。
文献[6]根据单位时间内请求页面的熵来检测攻击,主要假设如下,正常用户访问网站时,由于各自感兴趣的内容不同,较均匀的访问网站的各个页面,即请求比较分散,熵值较大。
而攻击程序往往是在开始攻击之前就设定了一个固定的页面,攻击时,所有的僵尸程序反复频繁的请求同一页面,打破了页面的均匀分布,熵值变小。
该方法有以下不足,当攻击流是低速率攻击时,熵值变化不大,不能检测出攻击,另外,由于网络流具有突发性,可能会将正常用户访问误判为攻击。
最后,该方法假设攻击程序只请求同一页面,但是攻击程序可以遍历整个网站或者随机爬取页面,当是后面这两种形式时,即使攻击发生也不会是的熵值增大很多,相反可能会使熵值变小,因为请求页面更分散。
文献[7]提出了一种根据单位时间内平均每个会话的服务器请求次数ANRC的波动情况来检测攻击的方法,该检测方法认为正常情况下访问服务器的ANRC较稳定,可以用一阶线性模型进行预测,当实际观测值明显高于预测值时,则认为是可能发生了DDoS攻击,并对访问频率较高的IP进行验证,判断是否是僵尸程序。
这种方法存在一些缺陷,首先,当DDoS攻击流较小,即发生了低速率DDoS攻击时,ANRC的值并不会显著上升,因为攻击流量被大背景流淹没,因而漏检。
其次,验证同样面临着挑战,随着攻击程序的能力增强,一旦能够回答验证问题即宣告该检测算法失效。
2.2本文使用的检测算法通过以上的数据分析,正常会话的请求间隔以及请求页面具有相似性,攻击会话的请求间隔和请求页面具有很强的相似性,而两者之间的相似性较小。
从而得出本文的检测算法,根据会话的请求间隔和请求页面作为相似性的度量,利用数据挖掘中基于谱图理论的谱聚类算法,对会话进行聚类,从而将正常会话聚成若干簇,攻击会话聚成一个簇(如果有攻击),从而实现应用层DDoS攻击检测本文来源于/。
检测过程:(1)时间窗口设为2分钟,将时间窗口内的访问服务器的每个IP作为一个会话,提取出每个会话的在时间窗口内每次请求页面的时间,请求的页面,每个时间窗纪录50条,没有的纪录置为0。
distance1= 1(2) 计算各个会话间的相似性矩阵。
相似性的度量 包括两个部分 ,一是间隔分布的相似性 ,二是 请 求 页 面 的相似性,两者之和占总相似性的。
A) 时间间隔相似性如下, 先将各会话的后一个请求时间减去前一个得到请求间隔,然后按照从大到小排 序,对应项相减得到绝对值之和,然后处理两个会话中纪 录中较少纪录数的纪录 L。
于),并且簇中的元素个数也较少,则判定该簇是攻击会 话簇,及判定攻击发生。
反之,则判定为没有攻击发生。
3 结论本文 提 出 的 基 于 谱 聚 类 的应 用 层 DDoS 攻 击 检 测 能够较好的检测出攻击 ,并且误检率也较低 ,具 有 较 好 的性能。
经过实验,算法检测时间也较短,能够在攻击 2 分钟内检测到。
检测算法还需要进一步进行完善,如自 L 50Σ| ai-bi | i = 0动确定聚类个数,这是一个较难的问题。
另外 CC 攻击 的变速率的攻击形式还有待检验,是接下来可以继续研b 为会话 a,b 的第 i 个请求间隔值。
B) 请求页面相似性的计算。