基于用戶(hù)行為分析的應(yīng)用層DDoS攻擊檢測(cè)方法.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展，基于Web開(kāi)發(fā)的應(yīng)用程序越來(lái)越多，Web服務(wù)器的安全就愈加顯得重要。然而，由于Web應(yīng)用自身的巨大價(jià)值和應(yīng)用層協(xié)議的漏洞等因素導(dǎo)致應(yīng)用層DDoS攻擊事件發(fā)生頻繁。應(yīng)用層DDoS攻擊采用應(yīng)用層正常的訪問(wèn)數(shù)據(jù)來(lái)發(fā)動(dòng)攻擊，同傳統(tǒng)的DDoS攻擊相比，隱蔽性更強(qiáng)、攻擊效果更佳、檢測(cè)更難?，F(xiàn)有的異常檢測(cè)方法很難區(qū)分是攻擊者的異常請(qǐng)求還是突發(fā)流背景下正常用戶(hù)的合法請(qǐng)求，因此，對(duì)突發(fā)流背景下的應(yīng)用層DDoS攻擊檢測(cè)的研究顯得十分必要。

2、
　　 目前，眾多的學(xué)者和一些公司提出了多種應(yīng)用層DDOS攻擊檢測(cè)方法，這些方法有其優(yōu)點(diǎn)、也有其局限性。本文主要針對(duì)突發(fā)流背景下的應(yīng)用層DDoS攻擊進(jìn)行檢測(cè)。通過(guò)分析正常用戶(hù)與攻擊者訪問(wèn)Web行為差異，提出了一個(gè)檢測(cè)指標(biāo)ANRC(單位時(shí)間內(nèi)用戶(hù)的平均請(qǐng)求次數(shù))，它能有效區(qū)別突發(fā)流與應(yīng)用層DDoS攻擊流，本文推理分析并通過(guò)實(shí)驗(yàn)驗(yàn)證了ANRC的平穩(wěn)性，使用自回歸模型和卡爾曼濾波預(yù)測(cè)ANRC值，通過(guò)判斷實(shí)測(cè)值與預(yù)測(cè)值的差值是否超過(guò)閥值

3、進(jìn)行異常檢測(cè)。
　　 但ANRC僅能判斷某個(gè)時(shí)間段內(nèi)出現(xiàn)的IP中存在攻擊者，而無(wú)法確定攻擊源，為了進(jìn)一步定位異常源，本文對(duì)用戶(hù)的請(qǐng)求次數(shù)進(jìn)行高頻統(tǒng)計(jì)，然后計(jì)算衡量相鄰時(shí)間段用戶(hù)請(qǐng)求次數(shù)相似度的皮爾遜相關(guān)系數(shù)，根據(jù)相關(guān)系數(shù)的變化來(lái)定位攻擊源。
　　 本文還設(shè)計(jì)了一種高效的應(yīng)用層拒絕服務(wù)檢測(cè)系統(tǒng)，首先通過(guò)前端感應(yīng)器進(jìn)行異常檢測(cè)，它的時(shí)間復(fù)雜度與空間復(fù)雜度都為常數(shù)，效率高、實(shí)時(shí)性強(qiáng)。當(dāng)感知有異常后，啟動(dòng)攻擊源定位模塊對(duì)用戶(hù)信息