基于報(bào)文節(jié)奏的Web DDoS防御技術(shù).pdf

1、互聯(lián)網(wǎng)已成為我們?nèi)粘Ｉ?、工作和學(xué)習(xí)的重要組成部分，但我們?cè)谙硎芫W(wǎng)絡(luò)帶來的便利的同時(shí)，也必須忍受網(wǎng)絡(luò)惡意行為給我們帶來的不便甚至損失?；ヂ?lián)網(wǎng)在設(shè)計(jì)之初，并沒有過多考慮安全性的問題。隨著網(wǎng)絡(luò)發(fā)展與普及，各類攻擊和破壞手段層出不窮，網(wǎng)絡(luò)安全問題已經(jīng)引起政府機(jī)構(gòu)、研究人員甚至普通用戶的高度重視。
　　 分布式拒絕服務(wù)攻擊（Distributed Denial of Service-DDoS）以消耗被攻擊目標(biāo)的計(jì)算資源來阻止其為合法用戶

2、提供服務(wù)，是常見的網(wǎng)絡(luò)攻擊手段。由于其原理簡單、工具成熟且容易獲取、易于掩飾作案痕跡、破壞性大而被攻擊者廣泛使用，成為近年來對(duì)互聯(lián)網(wǎng)最具危脅的攻擊方式之一，給網(wǎng)絡(luò)業(yè)務(wù)帶來不可估量的損失。DDoS攻擊檢測和防御是網(wǎng)絡(luò)安全體系中的重要一環(huán)，也是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究前沿。許多研究人員針對(duì)DDoS攻擊展開了深入研究，并取得顯著成果。但是，網(wǎng)絡(luò)對(duì)抗是雙向的，隨著防御能力的提高，DDoS的攻擊手法也在不斷進(jìn)化，從最初的TCP/SYN泛洪，到當(dāng)前的

3、應(yīng)用層攻擊，破壞與防御、攻擊與反制的對(duì)抗一直在激烈進(jìn)行。
　　 在應(yīng)用層Web DDoS中，攻擊者以合法用戶的身份，向服務(wù)端提交惡意HTTP請(qǐng)求，試圖耗盡服務(wù)端的計(jì)算資源，使其無法正常對(duì)外提供服務(wù)。Web DDoS防御的重點(diǎn)在于及時(shí)地區(qū)分合法與非法流量并準(zhǔn)確地定位攻擊端。
　　 本文從攻擊用戶與合法用戶在應(yīng)用層行為特征上的不同入手，利用報(bào)文到達(dá)時(shí)間間隔和報(bào)文長度計(jì)算用戶端HTTP訪問流的“節(jié)奏”特征，提出了基于報(bào)文節(jié)奏特

4、征的Web DDoS攻擊流量過濾方法。文章首先分析總結(jié)了各類Web DDoS攻擊模式下的攻擊流節(jié)奏特征，指出了攻擊流與合法訪問流在節(jié)奏上的不同之處;其次在利用報(bào)文節(jié)奏刻畫單客戶端行為特征的基礎(chǔ)上，針對(duì)客戶群體的訪問行為，提出了節(jié)奏矩陣的概念，利用節(jié)奏矩陣來刻畫用戶群體訪問行為的特征;最后提出和實(shí)現(xiàn)了基于節(jié)奏速度矩陣的Web DDoS攻擊流量過濾與攻擊端定位算法，能夠準(zhǔn)確而快速地對(duì)Web DDoS攻擊作出反應(yīng)，及時(shí)過濾攻擊流量并定位Web

5、 DDoS攻擊端。同時(shí)，為了驗(yàn)證方法的有效性，我們還設(shè)計(jì)了DDoS攻擊仿真程序，并以公開的網(wǎng)絡(luò)數(shù)據(jù)集為基礎(chǔ)，構(gòu)造了不同類型的DDoS攻擊流量對(duì)算法進(jìn)行檢驗(yàn)。
　　 實(shí)驗(yàn)證明，本算法可有效工作于文中提到的各類Web DDoS攻擊模式下，攻擊流量識(shí)別準(zhǔn)確率為100％，攻擊源定位最大誤報(bào)率為1.5％。本文解決問題的思路雖然是從應(yīng)用層行為特征入手，但在算法中僅用到了網(wǎng)絡(luò)層要素，與同類算法相比，本算法不關(guān)心應(yīng)用層負(fù)載內(nèi)容，易于實(shí)施，算法時(shí)