返回
基于时间序列研究应用层ddos攻击检测

基于时间序列研究应用层ddos攻击检测

ID:5241363

大小:33.00 KB

页数:9页

时间:2017-12-06

基于时间序列研究应用层ddos攻击检测_第1页
基于时间序列研究应用层ddos攻击检测_第2页
基于时间序列研究应用层ddos攻击检测_第3页
基于时间序列研究应用层ddos攻击检测_第4页
基于时间序列研究应用层ddos攻击检测_第5页
资源描述:

《基于时间序列研究应用层ddos攻击检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于时间序列研究应用层DDoS攻击检测  摘要:根据正常用户和攻击者在访问行为上的差异,提出一种基于IP请求熵(SRE)时间序列分析的应用层分布式拒绝服务(DDoS)攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归(AAR)模型,获得描述当前用户访问行为特征的多维参数向量,并使用支持向量机(SVM)对参数向量进行分类来识别攻击。仿真实验表明,该方法能够准确区分正常流量和DDoS攻击流量,适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。关键词:应用层;分布式拒绝服务攻击;时间序列;自适应自回归模型;支持向量机中图分类号:TP393.08

2、文献标志码:A0引言传统的分布式拒绝服务(DistributedDenialof9Service,DDoS)攻击一般都是基于网络层的,这类攻击利用低层协议漏洞,通过傀儡机向目标主机发送大量无用分组或建立半开放TCP连接,造成目标主机资源的耗尽。近年来,随着网络协议低层防御技术的不断完善,出现了一种基于应用层的DDoS攻击。这种攻击利用正常的协议和服务器连接来传输数据,从协议特征上与合法客户完全相同,它带来的危害要比网络层DDoS攻击大得多。针对应用层DDoS攻击检测与防御,Xie等[1-2]提出了利用半隐马尔可夫模型来描述用户浏览网页的行为,并依据此计算实时流量与正常流

3、量的偏差度;然而,在实际应用中该模型的参数难以确定。Oikonom等[3]从动态请求、访问内容的选择和可视化角度建模,刻画出一个站点各页面间跳转的概率图,但对于大型网站而言,很难完成这个构建工作。Chen等[4]提出了一种使用Heimdall结构的图灵测试方法,但这种方法大大增加了骨干路由器的计算负担,并且对服务器、路由器和客户端均需进行修改。Choi等[5]提出的一种DDoS防御模型,通过C&C服务器信息、边界路由器信息、骨干网信息等多种信息的融合检测DDoS攻击,但未对多种信息的融合方法作详细介绍。本文对应用层DDoS攻击进行了分析,提出了IP请求熵(IPServi

4、ceRequestEntropy,SRE)的概念和一种基于SRE时间序列分析的应用层DDoS攻击检测方法。它的基本思想是通过SRE时间序列来描述用户访问行为的特征,从异常访问行为会引发SRE异常变化这一典型特征入手,利用自适应自回归(AdaptiveAutoRegressive,AAR)模型计算SRE时间序列的多维参数向量,再用经过样本训练的支持向量机(SupportVectorMachine,SVM)进行攻击检测。91应用层DDoS攻击特性分析应用层DDoS攻击一般分为两类[6-7]:带宽耗尽型攻击和主机资源耗尽型攻击。带宽耗尽型攻击(又称为HTTP洪泛)是指攻击者以

5、远高于正常情况的速率向目标Web服务器发送大量的HTTP请求,以此来占用目标网络的带宽,使正常用户无法进行Web访问。主机资源耗尽型攻击是指攻击者不断访问服务器上高耗资源的内容,如密码验证,数据库查询,或返回图像、视频等大文件。这种攻击不需要很高的攻击速率就可以迅速耗尽主机的资源,而且更具有隐蔽性。此外,应用层DDoS攻击导致访问流量大幅度的增加与突发流(FlashCrowd)[8]极为相似,应用层DDoS攻击的检测研究还应包含如何区分这两者。以用户对Web服务器提出访问请求为例,正常用户与攻击者在访问行为的统计特性(点击速度、请求对象、浏览时间等)方面有很大差别。也就

6、是说,在一段时间内,正常用户向Web服务器提出的服务请求次数是有限的;而攻击者利用攻击程序高频率地请求页面,当达到一定的速率就能将主机或网络的资源耗尽,例如,Mydoom蠕虫在进行应用层DDoS攻击时,每秒能发送64个GET请求。因此,应用层DDoS攻击的最基本特征是:单位时间内有大量相同IP地址向Web服务器提出服务请求。当攻击发生时,访问Web服务器的访问请求特征肯定会发生明显变化。92基于SRE时间序列分析的检测方法从上述定义可以看出,当应用层DDoS攻击发生时,单位时间内攻击者请求服务的次数急剧加大,且攻击者的IP地址相对集中,这种情况下,SRE会异常减小,而且

7、攻击流速越大,SRE越小。另一方面,当有突发事件发生而形成突发流时,如视频点播、现场直播,海量的正常用户同时访问某一网站,此时正常用户的IP地址更趋向于分散,单位时间内每一个IP地址请求服务的概率就越小,而SRE就越大。因此,可以通过SRE的变化来检测访问请求随机分布特性的变化,研究SRE时间序列的特性能够作为应用层DDoS攻击的检测依据。2.2SRE时间序列建模自适应自回归(AAR)模型[9]是一种时间序列分析模型,它较之传统的时间序列分析模型,具有突出的自适应性,模型的权系数是时间的函数,可以动态跟踪时间序列的变化。2.4使用SVM分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。