应用层DDOS攻击检测技术研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇应用层DDOS攻击检测技术研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 随着检测底层DDoS攻击的技术不断成熟和完善,应用层ddos攻击越来越多。由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征,采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。
【 关键词 】 DDOS;应用层;聚类;异常检测
Research on Application Layer DDoS Attack Detection
Xiong Jun
(Hunan Police Academy HunanChangsha 410138)
【 Abstract 】 With the maturity of the low-level detection of DDoS attacks, DDoS attacks gradually transferred to the application layer. Because of the complexity of the application layer protocol, application layer DDoS attacks more destructive, and more subtle to detect. This paper studies the normal user’ traffic characteristics of accessing the web server and traffic characteristics of the DDoS attacks flow. Take the time interval between two requests and the web pages visited as a feature. normal user session and bots attack sessions showed different characteristics, we propose a spactral clustering based dection method, to find out DDoS attacks. The experimental results show that the detection algorithm has better detection performance.
【 Keywords 】 DDoS; application layer; clustering; anomaly detection
0 引言
根据世界著名网络安全公司Arbor Networks 在2011年的安全报告显示,分布式拒绝服务攻击是运营商、服务提供商以及密切依赖网络的企业最大的威胁。国内的网络安全公司——绿盟科技2011年的网络安全回顾指出,目前网络攻击者逐渐将目标聚集到实施破坏和信息窃取上来,而实施破坏的主要途径就是针对网络空间发动DDoS攻击。国家互联网应急中心CNCERT在2011的安全态势综述中指出,DDoS攻击仍然呈频率高、规模大等特点,我国日均发生流量大于1G的DDoS攻击事件达365起。大多数攻击针对网站如政府网站、游戏服务器以及DNS 服务器,造成受害者损失大量收入,对DNS服务器的攻击会导致大片地区互联网用户不能使用网络服务,典型案例如2009年暴风事件,导致江西、河北等9个省市大量用户遭遇上网故障。安全公司卡巴斯基的2011下半年安全监控报告中指出,http类型的DDoS攻击占据了所有的DDoS攻击类型的80%,可见应用层DDoS危害之大。
DDoS攻击最早开始于1996年,2002年开始在国内出现,2003年便初具规模。DDoS攻击发展趋势为从低层协议向高层协议发展,传统DDoS攻击利用协议漏洞或者洪水攻击等对受害者发起攻击,如网络层 Nuke攻击利用发送畸形的 ICMP 数据包使得受害者当机,网络层泪滴攻击利用发送重叠的IP分片使得目标主机TCP/IP 协议栈崩溃而拒绝服务。UDP Flood、TCP Flood 等传输层的洪水攻击利用发送超出受害者服务能力的大量数据包,消耗掉受害者的网络带宽、CPU 处理能力、内存、网络连接等有限的资源从而使受害者主机拒绝服务。随着广大学者、安全公司对传统的DDoS攻击进行深入的研究,目前低层的 DDoS攻击检测已趋成熟,并且有很多的专门检测DDoS攻击的产品,能较有效地检测这些低层的攻击。网络攻击者为了躲避检测,并让DDoS攻击具有更大的破坏力,逐渐将攻击转移到应用层。
应用层DDoS攻击和传统的低层 DDoS攻击有较大不同,首先,应用层DDoS攻击数据包在数据包格式上和正常用户的数据包格式完全相同,没有畸形包、异常的字段值,这使得从特征匹配的检测算法宣告失效,因为攻击包和正常包在格式上是相同的。其次,应用层DDoS攻击由于和服务器要建立TCP连接,因此采用的都是真实IP地址。另外,由于应用层协议更加复杂,如http 协议,一条请求语句可能会耗费服务器大量的数据库查找操作,耗费大量资源,因此,应用层DDoS攻击可以只利用很低速率的攻击流,就耗尽受害者主机,使得主机宕机,而防火墙等安全产品却根本检测不到攻击,典型攻击如近几年盛行的CC攻击。这些新特性使得应用层的 DDoS攻击危害更大,且更加难以检测。学者和网络安全公司针对应用层的DDoS攻击已经有了一些研究,但尚无比较有效、成熟的检测方法。
1 应用层流量特征
1.1 正常用户访问特征
正常用户访问网站一般为如下过程,首先进入网站主页,然后在主页浏览一段时间,阅读相关的内容,发现感兴趣的内容,点击链接,进入下一个页面。然后阅读下一个页面,并在该页面驻留一段时间。阅读完该页面后,用户可以直接关闭该页面,或者点击相关链接继续访问其他页面,或者是回退到前一页面或者返回到主页。