基于節(jié)奏矩陣的AL-DDoS攻擊檢測技術研究.pdf

1、近二十年來，分布式拒絕服務攻擊(DDoS)一直是網(wǎng)絡安全的一個關鍵威脅。第一次DDoS攻擊出現(xiàn)于1995到1996年間，它通過SYN標識的TCP包洪泛來淹沒網(wǎng)絡設備和服務器的網(wǎng)絡通信并嚴重影響正常網(wǎng)絡服務。拒絕服務攻擊的樣式和種類在近幾年發(fā)生了很大的變化。在SYN洪泛、ICMP和UDP洪流等許多傳統(tǒng)攻擊方式依然盛行的同時，越來越多的應用層的DDoS攻擊流量被發(fā)現(xiàn)，如HTTP、HTTPS和DNS等服務的請求指令洪泛模式。本文中，統(tǒng)稱這類D

2、DoS攻擊為應用層拒絕服務攻擊，并采用了與文獻相同的縮寫AL-DDoS。
　　當前現(xiàn)狀是黑客發(fā)起攻擊的門檻越來越低，各種應用層的DDoS攻擊工具都可以從網(wǎng)絡上下載使用，用于發(fā)動攻擊的代理可以免費獲取，僵尸網(wǎng)絡像商品一樣被出租，有不良企圖的人能夠對任意一個網(wǎng)站發(fā)起攻擊。兩份最近的DDoS攻擊安全分析報告揭示了一個現(xiàn)象:近年來網(wǎng)絡中的大部分DDoS攻擊的連續(xù)攻擊時間在縮短（如，超過90％的DDoS攻擊持續(xù)不到30分鐘），然而攻擊的重復

3、頻率在增加，同時向高容量和高速率的趨勢發(fā)展。因此，要阻止一次分布式拒絕服務攻擊，檢測必須在攻擊的表現(xiàn)階段內(nèi)完成，即攻擊發(fā)起至其達到某個足以對正常的網(wǎng)絡服務造成影響的閾值之前的時間段。同時攻擊響應也必須快速實施才能真正達到有效預防DDoS攻擊的效果。
　　為了實現(xiàn)DDoS攻擊的快速檢測方法，借鑒了這兩篇文章的思路，他們通過提取節(jié)奏模式來表達音樂短片段的各類特性。從網(wǎng)絡層選擇數(shù)據(jù)特征（即，IP包大小和流中連續(xù)包的到達時間間隔），而沒有

4、使用IP地址以及其他一些可能表露用戶信息的特征。通過對兩個特征進行線性變換，可以構建節(jié)奏矩陣以準確表達網(wǎng)絡流量片段的統(tǒng)計特征。得益于數(shù)據(jù)特征都是來自網(wǎng)絡層，節(jié)奏矩陣不會泄露用戶敏感信息，而且，它不僅能通過IP包的大小信息來描繪一定時間內(nèi)用戶訪問熱點內(nèi)容的相對分布，也能根據(jù)包的時間間隔來統(tǒng)計用戶訪問服務器的方式。此外，觀察發(fā)現(xiàn):基于同一服務的相同類型流量構建的節(jié)奏矩陣之間具有高相似度，而不同類型流量構建的節(jié)奏矩陣間則保持較低的相似度。因此

5、，結合在線學習方法——直推式置信機k-近鄰算法(Transductive Confidence Machinesfor K-Nearest Neighbors TCM-KNN)，可以在邊界路由器設備上動態(tài)檢測出經(jīng)過的惡意流量。實驗結果表明，當流量中的大部分數(shù)據(jù)由DDoS攻擊產(chǎn)生時，的方法能以很高的精度檢測出來。
　　本研究論文的主要貢獻有:
　　基于網(wǎng)絡層特征定義了一個組合特征（本文稱之為節(jié)奏矩陣），能精準描述網(wǎng)絡流量的統(tǒng)計

6、特征，能有效地區(qū)分DDoS攻擊流量和正常流量。
　　改進了一款在線學習方法，使其結合節(jié)奏矩陣以達到對應用層拒絕服務攻擊的實時檢測。改進后的方法使得的系統(tǒng)適應性更強，也顯著降低了檢測系統(tǒng)的誤報率且沒有造成檢測時間的顯著延長。
　　基于真實的網(wǎng)絡數(shù)據(jù)集設計了一系列實驗，通過檢測三種模式的AL-DDoS攻擊來評估所提出的方法的有效性。
　　兩個著名的公開數(shù)據(jù)集被改造，并用于驗證的檢測方法在網(wǎng)絡合法流量瞬間擁塞(本文稱之為Fl