欢迎来到天天文库
浏览记录
ID:33867969
大小:95.44 KB
页数:4页
时间:2019-03-01
《应用层ddos攻击检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、应用层DDOS攻击检测技术研究熊俊(湖南警察学院湖南长沙410138)【摘要】随着检测底层DDoS攻击的技术不断成熟和完善,应用层DDoS攻击越来越多。由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。通过硏究正常用户访问的网络流量特征和应用层DDoS攻击的流吊••特征,采用固定时间窗口内的请求时间间隔以及贝面作为特征。通过正常用户和僵厂程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。[关键词】DDOS:应用层:聚类异常检测X
2、iongJun(HunanPoliceAcademyHunanChangsha410138)0引言根据世界著名网络安全公司ArborNetworks在2011年发布的安全报告显示,分布式拒绝服务攻击是运营商、服务提供商以及密切依赖网络的企业最人的威胁。国内的网络安全公司——绿盟科技2011年发布的网络安全冋顾指出,目前网络攻击者逐渐将目标聚集到实施破坏和信息窃取上來,而实施破坏的主要途径就是针对网络空间发动DDoS攻击。国家互联网应急中心CNCERT在2011发布的安全态势综述屮指岀,DDoS攻击仍然呈频率高
3、、规模大等特点,我国日均发生流最大于1G的DDoS攻击事件达365起。大多数攻击针对网站如政府网站、游戏服务器以及DNS服务器,造成受害者损失大量收入,对DNS服务器的攻击会导致大片地区互联网用户不能使用网络服务,典型案例如2009年暴风事件,导致江西、河北等9个省市大量用户遭遇上网故障c安全公司卡巴斯基发布的2011下半年安全监控报告中指出,http类型的DDoS攻击占据了所有的DDoS攻击类型的80%可见应用层DDoS危害之大。DDoS攻击最早开始于1996年,2002年开始在国内出现,2003年便初具规
4、模。DDoS攻击发展超势为从低层协议向高层协议发展,传统DDoS攻击利用协议漏洞或者洪水攻击等对受害者发起攻击,如网络层Nuke攻击利用发送畸形的ICMP数据包使得受害者当机,网络层泪滴攻击利用发送重叠的IP分片使得口标主机TCP/IP协议栈崩溃而拒绝服务。UDPFlood、TCPFlood等传输层的洪水攻击利用发送超出受害者服务能力的人量数据包,消耗掉受害者的网络带宽、CPU处理能力、内存、网络连接等有限的资源从而使受害者主机拒绝服务。随着广大学者、安全公司对传统的DDoS攻di进行深入的研児目前低煤的DD
5、oS攻击检测己趋成熟,并且有很多的专门检测DDoS攻击的产品,能较有效地检测这些低层的攻击。网络攻击者为了躲避检测,并让DDoS攻击具有更大的破坏力,逐渐将攻击转移到应用层。应用层DDoS攻击和传统的低层DDoS攻击有较大不同,首先,应用层DDoS攻击数据包在数据包格式上和正常用户的数据包格式完全相同,没有畸形包、界常的字段值,这使得从特征匹配的检测算法宣告失效,因为攻击包和正常包在格式上是相同的。其次,应用层DDoS攻击山于和服务器耍建立TCP连接,因此采用的都是真实IP地址。另外,由于应用层协议更加复杂,
6、如http协议,…条请求语句可能会耗费服务器大量的数据库査找操作,耗费大量资源,因此,应用层DDoS攻击可以只利用很低速率的攻击流,就耗尽受害者主机,使得主机宕机,而防火墙等安全产品却根本检测不到攻击,典型攻击如近几年盛行的CC攻击。这些新特性使得应用层的DDoS攻击危害更大,且更加难以检测。学者和网络安全公司针对应用层的DDoS攻击已经有了一些研究,但尚无比较有效、成熟的检测方法。1应用层流量特征1.1正常用户访问特征正常用户访问网站一般为如下过程,首先进入网站主页,然后在主页浏览一段时间,阅读相关的内容,
7、发现感兴趣的内容,点击链接,进入下一个页面。然后阅读下一个页ifii,并在该页面驻留一段时间。阅读完该页面后,用户可以直接关闭该页面,或者点击相关链接继续访问其他页面,或者是回退到前一页而或者返回到主页。>请求时间间隔的研究山于不同的用户感兴趣的内容不一样,因此不同的用户在一段时间如io分钟内浏览过的页面也不同,另外,不同用户由于阅读习惯、关注点不同,导致不同的用户在不同的页面上停留的时间不同。文献[8]屮有如图1直观的展示。对网站记录H志文件,包括EPA-HTTP日志(一个访问量较大的网站1995年8月29
8、日全天的日志记录)、SDSC-HTTP(另-个网站在1995年8月22日全天的访问记录日志)、NASA(美国国家宁航局在弗罗里达请求间隔示童图■1‘♦be圈2谓求间PI分布S3谓茨页面分布的数据空间网站的2个月的日志记录).ClarkNct-HTTP0个网站的1995年8月的2个星期的记录文件)进行分析,重点研究了会话的请求间隔时间分布以及时间窗口时间内访问的页面分布。图2是EPA数据包中一个时段的
此文档下载收益归作者所有