基于聚類分析的應用層DDoS檢測方法研究.pdf

1、當今世界，計算機網絡迅速發(fā)展，信息化和互聯(lián)網+的大規(guī)模應用，使得移動互聯(lián)網網絡已經深入到了人們生活的方方面面。與此同時，網絡安全威脅也是層出不窮，越來越復雜,越來越難以檢測。其中分布式拒絕服務攻擊（distributed denial of service,DDoS）就是一個影響互聯(lián)網安全的重大威脅。傳統(tǒng)的DDoS，主要發(fā)生在網絡層和傳輸層，它已經可以被日趨成熟的網絡安全產品有效防御，而如今計算機工作模式越來越多的通過Web進行交互，使

2、得DDoS向應用層發(fā)展。應用層DDoS破壞性強，攻擊方式更加隱蔽，而且在流量特征上幾乎與正常應用無異。因此，成為了最嚴重的網絡威脅之一。
　　首先，本文分析和總結了網絡層DDoS和應用層DDoS的攻擊原理，歸納了兩者在攻擊特性上的差異性。針對傳統(tǒng)檢測方法無法檢測應用層DDoS的問題，本文分析了應用層DDoS攻擊行為特征，從正常用戶和攻擊用戶在Web訪問行為的差異方面入手。根據請求訪問的興趣點、訪問時間、點擊量以及頁面跳轉序列這四個

3、方面上存在的明顯差異，利用三個向量和一個矩陣對用戶Web訪問行為進行建模，定義不同用戶訪問行為之間的相似度。
　　其次，本文設計了一種基于粒子群優(yōu)化的聚類算法的應用層DDoS攻擊檢測模型，對上述訪問行為進行聚類分析，達到檢測DDoS攻擊的目的。該模型先對網絡Web日志預處理，計算出會話之間的相似度函數，然后將數據輸入基于粒子群優(yōu)化的K-means算法聚類模塊，進行聚類分析。并將實驗結果與基于遺傳算法優(yōu)化的K-means算法和基于蟻

4、群算法優(yōu)化的K-means算法相比較。實驗結果表明，本文采用的PSOK-means算法可以有效地對用戶訪問行為進行聚類分析，并能快速甄別出應用層DDoS攻擊，相比GAK-means算法和ACOK-means，在檢測效果、收斂速度上有著較為明顯的優(yōu)勢。
　　在驗證PSOK-means實用性的實驗中，發(fā)現該算法存在概率性地出現檢測效果不佳的問題，分析其原因是PSOK-means算法會概率性地陷入局部最優(yōu)，無法進行更好地全局尋優(yōu)，致使檢