应用层DDOS攻击检测技术研究 熊俊 (湖南警察学院湖南长沙410138) 【摘要】随着检测底层DDoS攻击的技术不断成熟和完善，应用层DDoS攻击越来越多。由于应用层协议的复杂 性，应用层DDoS攻击更具隐蔽性和破坏性，检测难度更大。通过研究正常用户访问的网络流量特征和应用层 DDoS攻击的流量特征，采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表 现出不同的特点，对会话进行聚类分析，从而检测出攻击，经过实验，表明本检测算法具有较好的检测性能。 【关键词】DDOS；应用层；聚类；异常检测 XiongJun (HunanPoliceAcademyHunanChangsha410138) 0引言 根据世界著名网络安全公司ＡｒｂｏｒＮｅｔｗｏｒｋｓ在 ２０１１年发布的安全报告显示，分布式拒绝服务攻击是运 营商、服务提供商以及密切依赖网络的企业最大的威 胁。国内的网络安全公司—绿盟科技２０１１年发布的 网络安全回顾指出，目前网络攻击者逐渐将目标聚集到 实施破坏和信息窃取上来，而实施破坏的主要途径就是 针对网络空间发动ＤＤｏＳ攻击。国家互联网应急中心 ＣＮＣＥＲＴ在２０１１发布的安全态势综述中指出，ＤＤｏＳ攻 击仍然呈频率高、规模大等特点，我国日均发生流量大 于１Ｇ的ＤＤｏＳ攻击事件达３６５起。大多数攻击针对网 站如政府网站、游戏服务器以及ＤＮＳ服务器，造成受害 者损失大量收入，对ＤＮＳ服务器的攻击会导致大片地  区互联网用户不能使用网络服务，典型案例如２００９年 暴风事件，导致江西、河北等９个省市大量用户遭遇上 网故障。安全公司卡巴斯基发布的２０１１下半年安全监 控报告中指出，ｈｔｔｐ类型的ＤＤｏＳ攻击占据了所有的 ＤＤｏＳ攻击类型的８０％，可见应用层ＤＤｏＳ危害之大。 ＤＤｏＳ攻击最早开始于１９９６年，２００２年开始在国 内出现，２００３年便初具规模。ＤＤｏＳ攻击发展趋势为从 低层协议向高层协议发展，传统ＤＤｏＳ攻击利用协议漏 洞或者洪水攻击等对受害者发起攻击，如网络层Ｎｕｋｅ 攻击利用发送畸形的ＩＣＭＰ数据包使得受害者当机，网 络层泪滴攻击利用发送重叠的ＩＰ分片使得目标主机 ＴＣＰ／ＩＰ协议栈崩溃而拒绝服务。ＵＤＰＦｌｏｏｄ、ＴＣＰＦｌｏｏｄ 等传输层的洪水攻击利用发送超出受害者服务能力的 大量数据包，消耗掉受害者的网络带宽、ＣＰＵ处理能力、 内存、网络连接等有限的资源从而使受害者主机拒绝服 务。随着广大学者、安全公司对传统的ＤＤｏＳ攻击进行 深入的研究，目前低层的ＤＤｏＳ攻击检测已趋成熟，并 且有很多的专门检测ＤＤｏＳ攻击的产品，能较有效地检 测这些低层的攻击。网络攻击者为了躲避检测，并让 ＤＤｏＳ攻击具有更大的破坏力，逐渐将攻击转移到应用 层。 应用层ＤＤｏＳ攻击和传统的低层ＤＤｏＳ攻击有较 大不同，首先，应用层ＤＤｏＳ攻击数据包在数据包格式 上和正常用户的数据包格式完全相同，没有畸形包、异 常的字段值，这使得从特征匹配的检测算法宣告失效， 因为攻击包和正常包在格式上是相同的。其次，应用层 ＤＤｏＳ攻击由于和服务器要建立ＴＣＰ连接，因此采用的 都是真实ＩＰ地址。另外，由于应用层协议更加复杂，如 ｈｔｔｐ协议，一条请求语句可能会耗费服务器大量的数据 库查找操作，耗费大量资源，因此，应用层ＤＤｏＳ攻击可 以只利用很低速率的攻击流，就耗尽受害者主机，使得 主机宕机，而防火墙等安全产品却根本检测不到攻击， 典型攻击如近几年盛行的ＣＣ攻击。这些新特性使得应 用层的ＤＤｏＳ攻击危害更大，且更加难以检测。学者和 网络安全公司针对应用层的ＤＤｏＳ攻击已经有了一些 研究，但尚无比较有效、成熟的检测方法。 1应用层流量特征 1.1正常用户访问特征 正常用户访问网站一般为如下过程，首先进入网站 主页，然后在主页浏览一段时间，阅读相关的内容，发现 感兴趣的内容，点击链接，进入下一个页面。然后阅读下 一个页面，并在该页面驻留一段时间。阅读完该页面后， 用户可以直接关闭该页面，或者点击相关链接继续访问 其他页面，或者是回退到前一页面或者返回到主页。 >请求时间间隔的研究 由于不同的用户感兴趣的内容不一样，因此不同的 用户在一段时间如１０分钟内浏览过的页面也不同，另 外，不同用户由于阅读习惯、关注点不同，导致不同的用 户在不同的页面上停留的时间不同。文献［８］中有如图１ 直观的展示。 对网站记录日志文件，包括ＥＰＡ－ＨＴＴＰ日志（一个 访问量较大的网站１９９５年８月２９日全天的日志记 录）、ＳＤＳＣ－ＨＴＴＰ（另一个网站在１９９５年８月２２日全天 的访问记录日志）、ＮＡＳＡ（美国国家宇航局在弗罗里达 的数据空间网站的２个月的日志记录）、ＣｌａｒｋＮｅｔ－ＨＴＴＰ （一