应用层DDOS攻击检测技术探究.docVIP

应用层DDOS攻击检测技术探究【 摘 要 】 随着检测底层DDoS攻击的技术不断成熟和完善，应用层DDoS攻击越来越多。由于应用层协议的复杂性，应用层DDoS攻击更具隐蔽性和破坏性，检测难度更大。通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征，采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表现出不同的特点，对会话进行聚类分析，从而检测出攻击，经过实验，表明本检测算法具有较好的检测性能。 【 关键词 】 DDOS；应用层；聚类；异常检测 Research on Application Layer DDoS Attack Detection Xiong Jun (Hunan Police Academy HunanChangsha 410138) 【 Abstract 】 With the maturity of the low-level detection of DDoS attacks, DDoS attacks gradually transferred to the application layer. Because of the complexity of the application layer protocol, application layer DDoS attacks more destructive, and more subtle to detect. This paper studies the normal user? traffic characteristics of accessing the web server and traffic characteristics of the DDoS attacks flow. Take the time interval between two requests and the web pages visited as a feature. normal user session and bots attack sessions showed different characteristics, we propose a spactral clustering based dection method, to find out DDoS attacks. The experimental results show that the detection algorithm has better detection performance. 【 Keywords 】 DDoS; application layer; clustering; anomaly detection 0 引言 根据世界著名网络安全公司Arbor Networks 在2011年发布的安全报告显示，分布式拒绝服务攻击是运营商、服务提供商以及密切依赖网络的企业最大的威胁。国内的网络安全公司——绿盟科技2011年发布的网络安全回顾指出，目前网络攻击者逐渐将目标聚集到实施破坏和信息窃取上来，而实施破坏的主要途径就是针对网络空间发动DDoS攻击。国家互联网应急中心CNCERT在2011发布的安全态势综述中指出，DDoS攻击仍然呈频率高、规模大等特点，我国日均发生流量大于1G的DDoS攻击事件达365起。大多数攻击针对网站如政府网站、游戏服务器以及DNS 服务器，造成受害者损失大量收入，对DNS服务器的攻击会导致大片地区互联网用户不能使用网络服务，典型案例如2009年暴风事件，导致江西、河北等9个省市大量用户遭遇上网故障。安全公司卡巴斯基发布的2011下半年安全监控报告中指出，http类型的DDoS攻击占据了所有的DDoS攻击类型的80%，可见应用层DDoS危害之大。 DDoS攻击最早开始于1996年，2002年开始在国内出现，2003年便初具规模。DDoS攻击发展趋势为从低层协议向高层协议发展，传统DDoS攻击利用协议漏洞或者洪水攻击等对受害者发起攻击，如网络层 Nuke攻击利用发送畸形的 ICMP 数据包使得受害者当机，网络层泪滴攻击利用发送重叠的IP分片使得目标主机TCP/IP 协议栈崩溃而拒绝服务。UDP Flood、TCP Flood 等传输层的洪水攻击利用发送超出受害者服务能力的大量数据包，消耗掉受害者的网络带宽、CPU 处理能力、内存、网络连接等有限的资源从而使受害者主机拒绝服务。随着广大学者、安全公司对传统的DDoS攻击进行深入的研究，目前低层的 DDoS攻击检测已趋成熟，并且有很多的专门检测DDoS攻击的产品，能较有效地检测这些低层的攻击。网络攻击者为了躲避检测，并让DDoS攻击具有更大的