基于时间序列分析应用层DDoS攻击检测.docVIP

基于时间序列分析应用层DDoS攻击检测 　　摘 要：根据正常用户和攻击者在访问行为上的差异，提出一种基于IP请求熵（SRE）时间序列分析的应用层分布式拒绝服务（DDoS）攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归（AAR）模型，获得描述当前用户访问行为特征的多维参数向量，并使用支持向量机（SVM）对参数向量进行分类来识别攻击。仿真实验表明，该方法能够准确区分正常流量和DDoS攻击流量，适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。 　　关键词： 　　应用层；分布式拒绝服务攻击；时间序列；自适应自回归模型；支持向量机 　　中图分类号： TP393.08 　　文献标志码：A 　　0 引言 　　传统的分布式拒绝服务（Distributed Denial of Service，DDoS）攻击一般都是基于网络层的，这类攻击利用低层协议漏洞，通过傀儡机向目标主机发送大量无用分组或建立半开放TCP连接，造成目标主机资源的耗尽。近年来，随着网络协议低层防御技术的不断完善，出现了一种基于应用层的DDoS攻击。这种攻击利用正常的协议和服务器连接来传输数据，从协议特征上与合法客户完全相同，它带来的危害要比网络层DDoS攻击大得多。针对应用层DDoS攻击检测与防御，Xie等[1-2]提出了利用半隐马尔可夫模型来描述用户浏览网页的行为，并依据此计算实时流量与正常流量的偏差度；然而，在实际应用中该模型的参数难以确定。Oikonom等[3]从动态请求、访问内容的选择和可视化角度建模，刻画出一个站点各页面间跳转的概率图，但对于大型网站而言，很难完成这个构建工作。Chen等[4]提出了一种使用Heimdall结构的图灵测试方法，但这种方法大大增加了骨干路由器的计算负担，并且对服务器、路由器和客户端均需进行修改。Choi等[5]提出的一种DDoS防御模型，通过CC服务器信息、边界路由器信息、骨干网信息等多种信息的融合检测DDoS攻击，但未对多种信息的融合方法作详细介绍。 　　本文对应用层DDoS攻击进行了分析，提出了IP请求熵（IP Service Request Entropy，SRE）的概念和一种基于SRE时间序列分析的应用层DDoS攻击检测方法。它的基本思想是通过SRE时间序列来描述用户访问行为的特征，从异常访问行为会引发SRE异常变化这一典型特征入手，利用自适应自回归（Adaptive AutoRegressive，AAR）模型计算SRE时间序列的多维参数向量，再用经过样本训练的支持向量机（Support Vector Machine，SVM）进行攻击检测。 　　1 应用层DDoS攻击特性分析 　　应用层DDoS攻击一般分为两类[6-7]：带宽耗尽型攻击和主机资源耗尽型攻击。带宽耗尽型攻击（又称为HTTP洪泛）是指攻击者以远高于正常情况的速率向目标Web服务器发送大量的HTTP请求，以此来占用目标网络的带宽，使正常用户无法进行Web访问。主机资源耗尽型攻击是指攻击者不断访问服务器上高耗资源的内容，如密码验证，数据库查询，或返回图像、视频等大文件。这种攻击不需要很高的攻击速率就可以迅速耗尽主机的资源，而且更具有隐蔽性。此外，应用层DDoS攻击导致访问流量大幅度的增加与突发流（Flash Crowd）[8]极为相似，应用层DDoS攻击的检测研究还应包含如何区分这两者。 　　以用户对Web服务器提出访问请求为例，正常用户与攻击者在访问行为的统计特性（点击速度、请求对象、浏览时间等）方面有很大差别。也就是说，在一段时间内，正常用户向Web服务器提出的服务请求次数是有限的；而攻击者利用攻击程序高频率地请求页面，当达到一定的速率就能将主机或网络的资源耗尽，例如，Mydoom蠕虫在进行应用层DDoS攻击时，每秒能发送64个GET请求。因此，应用层DDoS攻击的最基本特征是：单位时间内有大量相同IP地址向Web服务器提出服务请求。当攻击发生时，访问Web服务器的访问请求特征肯定会发生明显变化。 　　2 基于SRE时间序列分析的检测方法 　　从上述定义可以看出，当应用层DDoS攻击发生时，单位时间内攻击者请求服务的次数急剧加大，且攻击者的IP地址相对集中，这种情况下，SRE会异常减小，而且攻击流速越大，SRE越小。另一方面，当有突发事件发生而形成突发流时，如视频点播、现场直播，海量的正常用户同时访问某一网站，此时正常用户的IP地址更趋向于分散，单位时间内每一个IP地址请求服务的概率就越小，而SRE就越大。因此，可以通过SRE的变化来检测访问请求随机分布特性的变化，研究SRE时间序列的特性能够作为应用层DDoS攻击的检测依据。 　　2.2 SRE时间序列建模 　　自适应自回归（AAR）模型[9]是一