基于用戶行為分析的應(yīng)用層DDoS攻擊檢測方法.pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展，基于Web開發(fā)的應(yīng)用程序越來越多，Web服務(wù)器的安全就愈加顯得重要。然而，由于Web應(yīng)用自身的巨大價(jià)值和應(yīng)用層協(xié)議的漏洞等因素導(dǎo)致應(yīng)用層DDoS攻擊事件發(fā)生頻繁。應(yīng)用層DDoS攻擊采用應(yīng)用層正常的訪問數(shù)據(jù)來發(fā)動攻擊，同傳統(tǒng)的DDoS攻擊相比，隱蔽性更強(qiáng)、攻擊效果更佳、檢測更難?，F(xiàn)有的異常檢測方法很難區(qū)分是攻擊者的異常請求還是突發(fā)流背景下正常用戶的合法請求，因此，對突發(fā)流背景下的應(yīng)用層DDoS攻擊檢測的研究顯得十分必要。

2、
　　 目前，眾多的學(xué)者和一些公司提出了多種應(yīng)用層DDOS攻擊檢測方法，這些方法有其優(yōu)點(diǎn)、也有其局限性。本文主要針對突發(fā)流背景下的應(yīng)用層DDoS攻擊進(jìn)行檢測。通過分析正常用戶與攻擊者訪問Web行為差異，提出了一個(gè)檢測指標(biāo)ANRC(單位時(shí)間內(nèi)用戶的平均請求次數(shù))，它能有效區(qū)別突發(fā)流與應(yīng)用層DDoS攻擊流，本文推理分析并通過實(shí)驗(yàn)驗(yàn)證了ANRC的平穩(wěn)性，使用自回歸模型和卡爾曼濾波預(yù)測ANRC值，通過判斷實(shí)測值與預(yù)測值的差值是否超過閥值

3、進(jìn)行異常檢測。
　　 但ANRC僅能判斷某個(gè)時(shí)間段內(nèi)出現(xiàn)的IP中存在攻擊者，而無法確定攻擊源，為了進(jìn)一步定位異常源，本文對用戶的請求次數(shù)進(jìn)行高頻統(tǒng)計(jì)，然后計(jì)算衡量相鄰時(shí)間段用戶請求次數(shù)相似度的皮爾遜相關(guān)系數(shù)，根據(jù)相關(guān)系數(shù)的變化來定位攻擊源。
　　 本文還設(shè)計(jì)了一種高效的應(yīng)用層拒絕服務(wù)檢測系統(tǒng)，首先通過前端感應(yīng)器進(jìn)行異常檢測，它的時(shí)間復(fù)雜度與空間復(fù)雜度都為常數(shù)，效率高、實(shí)時(shí)性強(qiáng)。當(dāng)感知有異常后，啟動攻擊源定位模塊對用戶信息