基于用户访问行为的HTTP-Get Flood攻击检测方法.pdfVIP

第 12卷 第 1期 北华大学学报(自然科学版) V01．12No．1 2011年 2月 JOURNALOFBEIHUAUNIVERSITY(NaturalScience) Feb．2011 文章编号：1009-4822(2011)O1-0120-05 基于用户访问行为的H1_rP—GetFlood攻击检测方法 李 敏 (1．东北电力大学信息工程学院，吉林 吉林 132012；2．北华大学信息技术学院，吉林 吉林 132013) 摘要：提出用多分支的隐马尔可夫模型来分析 Web页面访 问行为 ，以区分正常数据和异常数据，并提出一种 HrrP-GetFlood攻击检测方法． 关键词：应用层；分布式拒绝服务攻击；用户行为；隐马尔可夫模型 中图分类号：TP393．08 文献标志码：A HTTP-GetFloodAttackDetectionM ethodBased onUserAccessBehavior LIMin ， (J．InformationEngineeringCollegeofNortheastDianliUniversity，Jilin132012，China； 2．InformationTechnologyCollegeofBeihuaUniversity，Jilin132013，hCina) Abstract：Thispaperpresentsmulti-chain Markovmodelto analyze thevisited behaviorofWeb pages，to distinguishbetweennormaldataandabnomr al data．andaHTTP—GetFloodattackdetectionmethodisproposed． Keywords：applicationlayer；DDoS；userbehavior；HMM 1 引 言 分布式拒绝服务攻击(DistributedDenialofService，DDoS)已成为当今网络安全领域一个重要的威胁． DDoS攻击的发生通常没有任何先兆，并且攻击者只付出极少的代价就可以使 目标服务器的资源耗尽．鉴 于此，已有很多学者提出了各种防御机制．例如，基于统计的方法，根据正常分组与攻击分组的数据，在分 组头信息或流特性等方面存在一定统计差异，因此可以实现对于DDoS攻击的检测和防御． 从近年来的发展趋势看，DDoS已经从原来的低层逐渐向应用层发展，2005年 CVElJ(Common VulnerabilitiesandExposure)的报告指出：超过25％的安全问题是由基于Web的攻击造成的，比传统的 DDoS洪泛攻击更加有效且更具隐蔽性．这种基于应用层的DDoS攻击，通常以高层服务器资源为 目标，占 用其磁带带宽、数据库带宽、进程和 sockets等资源 ，因此被称为是应用层洪泛攻击 (Applicationlayer Flooding)[22．文献 [34]指出：随着互联网上Web应用的复杂度不断增加、网络带宽的不断增长，服务器资 源(例如CPU和 I／O带宽)将成为网络中的主要瓶颈．由于应用层的计算量比网络层大得多，因此攻击者 只需要使用少量流量的攻击请求就足以耗尽 目标服务器的CPU资源，导致服务器无法处理正常合法的 收稿 日期：2010—10-23 作者简介：李 敏 (1981一)，女，助教，硕士研究生，主要从事网络安全、数据挖掘研究 笙 塑 奎 篁!茎王旦 ：竺!!!堕童 型 鲨 兰 Web请求．另一方面，基于低层的DDoS攻击在一定程度上依赖于低层协议或操作系统，而应用层攻击不 存在这种依赖 ，这使得它可以通过合法的网络链接和请求达到DDoS攻击的 目的． 应用层 DDoS攻击的具体实现有带宽耗尽型(如H1TrP—Flooding)和主机资源耗尽型两种不同的方式， 其中著名的H1TrP．GetFlood攻击就是主机资源耗