基于应用层的DDoS攻击检测方法研究

发布时间：2019-06-02 21:32

【摘要】：自互联网诞生以来,分布式拒绝服务攻击(distributed denial of service,DDo S)就一直是影响互联网安全的一个重大威胁。传统的DDo S攻击主要发生OSI七层互联网络协议中的网络层和传输层,并且已经被日益成熟的网络安全产品如防火墙或入侵检测技术防御,然而近些年计算模式的变化使得更多的服务通过Web进行交互,这加速了DDo S攻击方式向应用层发展。应用层DDo S攻击由于其攻击破坏性更强,攻击手段更隐蔽,与正常用户表现出的流量特征无明显区别,成为了黑客们的主要攻击手段。本文首先针对各方面DDo S攻击的原理进行了研究,传统的DDo S攻击主要是利用了网络协议TCP/IP的设计漏洞进行攻击,这需要大量僵尸主机同时对目标服务器建立大量的半开通链接,使得链接数目超过服务器所能承受的缓冲区的大小,这样服务器就无法再继续为其他用户提供服务从而达到目的。本文研究内容的重点是应用层DDo S攻击。首先列举了常见的应用层DDo S攻击方法,然后分析了应用层DDo S攻击是建立在完整的TCP/IP链接上的一种DDo S攻击,这是与传统攻击的本质区别。接着又分析了基于HTTP协议Get请求,提出了本文的研究思路。另外,由于应用层攻击的非对称特性,攻击者大都选择请求较为耗费服务器资源的链接,这样就能非常小的代价迅速的使Web服务器资源消耗殆尽或者宕机。根据以上研究成果,本文提出了一种基于信息熵聚类的应用层DDo S攻击检测模型。该模型首先对数据集进行预处理,计算请求序列的请求信息熵矩阵作为相似矩阵,然后通过MEAP(multi-exemplar affinity propagation,MEAP)算法对相似矩阵进行训练得到各个聚类中心,再对进入检测系统的请求序列与每个聚类中心和超聚类中心计算欧氏距离,设定阈值判定是否为攻击类型,最后通过窗口机制不定期对各个聚类中心进行更新,从而保证一段时间内的聚类中心的正确性。实验结果表明,本文的检测方法能够有效的对未知数据进行聚类,且快速判别是否为攻击数据,实现在线准实时检测。在信息熵的基础上,本文接着研究了一种基于用户浏览行为的应用层DDo S攻击检测模型。该模型对用户请求序列计算其信息熵,使用AR模型进行训练,并使用卡尔曼滤波器进行平滑处理,根据实验确定阈值验证是否为攻击请求。通过实验表明,改检测模型具有良好的检测效果。
[Abstract]:......
【学位授予单位】：江南大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08

【参考文献】