应用层DDOS攻击检测技术研究.docVIP

应用层?DDOS?攻击检测技术研究 熊???俊 (湖南警察学院???湖南长沙???410138) 【?摘???要?】随着检测底层?DDoS?攻击的技术不断成熟和完善，应用层?DDoS?攻击越来越多。由于应用层协议的复杂 性，应用层?DDoS?攻击更具隐蔽性和破坏性，检测难度更大。通过研究正常用户访问的网络流量特征和应用层 DDoS?攻击的流量特征，采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表 现出不同的特点，对会话进行聚类分析，从而检测出攻击，经过实验，表明本检测算法具有较好的检测性能。 【?关键词?】DDOS；应用层；聚类；异常检测 Xiong??Jun (Hunan?Police?Academy???HunanChangsha??410138)  0???引言 根?据?世?界?著?名?网?络?安?全?公?司??Ａｒｂｏｒ??Ｎｅｔｗｏｒｋｓ??在 ２０１１?年发布的安全报告显示，分布式拒绝服务攻击是运 营商、??服务提供商以及密切依赖网络的企业最大的威 胁。??国内的网络安全公司—绿盟科技?２０１１?年发布的 网络安全回顾指出，目前网络攻击者逐渐将目标聚集到 实施破坏和信息窃取上来，而实施破坏的主要途径就是 针?对网?络?空?间?发?动?ＤＤｏＳ?攻?击?。??国?家互?联?网?应?急?中?心 ＣＮＣＥＲＴ?在?２０１１?发布的安全态势综述中指出，ＤＤｏＳ?攻 击仍然呈频率高?、规模大等特点?，我国日均?发?生?流?量大 于?１Ｇ?的?ＤＤｏＳ?攻击事件达?３６５?起。??大多数攻击针对网 站如政府网站、游戏服务器以及?ＤＮＳ?服务器，造成受害 者损失大量收入，??对?ＤＮＳ?服务器的攻击会导致大片地  区互联网用户不能使用网络服务，??典型案例如?２００９?年 暴风事件，导致江西、河北等?９?个省市大?量?用?户?遭?遇?上 网故障。??安全公司卡巴斯基发布的?２０１１?下半年安全监 控?报?告?中?指?出?，ｈｔｔｐ?类?型?的??ＤＤｏＳ?攻?击?占?据?了?所?有?的 ＤＤｏＳ?攻击类型的?８０％，可见应用层?ＤＤｏＳ?危害之大。 ＤＤｏＳ?攻?击?最?早?开?始?于?１９９６?年?，２００２?年?开?始?在?国 内出现，２００３?年便初具规模。??ＤＤｏＳ?攻击发展趋势为从 低层协议向高层协议发展，传统?ＤＤｏＳ?攻击利用协议漏 洞或者洪水攻击等对受害者发起攻击，??如网络层?Ｎｕｋｅ 攻击利用发送畸形的?ＩＣＭＰ?数据包使得受害者当机，网 络?层?泪?滴?攻?击?利?用?发?送?重?叠?的?ＩＰ?分?片?使?得?目?标?主?机 ＴＣＰ／ＩＰ?协议栈崩溃而拒绝服务。??ＵＤＰ?Ｆｌｏｏｄ、ＴＣＰ?Ｆｌｏｏｄ 等传输层的洪水攻击利用发送超出受害者服务能力的 大量数据包，消耗掉受害者的网络带宽、ＣＰＵ?处理能力、  内存、网络连接等有限的资源从而使受害者主机拒绝服 务。??随着广大学者、安全公司对传统的?ＤＤｏＳ?攻击进行 深入的研究，??目前低层的?ＤＤｏＳ?攻击检测已趋成熟，并 且有很多的专门检测?ＤＤｏＳ?攻击的产品，能较有效地检 测这些低层的攻击?。??网络攻击者为了躲避检测?，??并让 ＤＤｏＳ?攻击具有更大的破坏力，??逐渐将攻击转移到应用 层。 应?用?层?ＤＤｏＳ?攻?击?和?传?统?的?低?层??ＤＤｏＳ?攻?击?有?较 大不同，首?先?，应用?层?ＤＤｏＳ?攻?击?数?据?包?在?数?据包?格?式 上和正常用户的数据包格式完全相同，??没有畸形包、异 常的字段值，??这使得从特征匹配的检测算法宣告失效?， 因为攻击包和正常包在格式上是相同的。??其次，应用层 ＤＤｏＳ?攻击由于和服务器要建立?ＴＣＰ?连接，因此采用的 都是真实?ＩＰ?地址。??另外，由于应用层协议更加复杂，如 ｈｔｔｐ?协议，一条请求语句可能会耗费服务器大量的数据 库查找操作，耗费大量资源，因此，应用层?ＤＤｏＳ?攻击可 以只利用很低速率的攻击流?，就耗尽受害者主?机?，使?得 主机宕机，??而防火墙等安全产品却根本检测不到攻击?， 典型攻击如近几年盛行的?ＣＣ?攻击。??这些新特性使得应 用层的?ＤＤｏＳ?攻击危害更大，且更加难以检测。??学者和 网络安?全?公?司?针?对?应?用?层?的?ＤＤｏＳ?攻?击?已?经?有?了?一?些 研究，但尚无比较有效、成熟的检测方法。 1???应用层流量特征 1.1??正常用户访问特征 正常用户访问网站一般为如下过程，首先进入网站 主页，然后在主页浏览一段时间，阅读相关的内容，发现 感兴趣的内容，点击链接，进入下一个页面。?然后阅读下 一个页面，并在该页面驻留一段时间。?阅读完该页面后，