http://www.paper.edu.cn 应用层分布式拒绝服务攻击检测模型1 谢逸,余顺争 中山大学电子与通信工程系,广东广州(510275) E-mail（xieyicn@163.com） 摘要：随着攻击者所拥有的网络资源与技术的不断增长,分布式拒绝服务(Distributed DenialofService,DDoS)攻击对现代网络安全形成了新的挑战.传统的DDoS攻击是基于网 络层的,但是,从近几年的发展趋势来看,DDoS攻击已经逐渐向高层发展,其攻击效果比 传统基于低层的DDoS攻击更加有效而且更具隐蔽性.本文将研究这种利用合法的应用层 HTTP请求发动的DDoS攻击检测.由于应用层DDoS攻击可以视为一种异常的用户访问行 为,我们将从用户浏览行为的角度实现攻击检测.与已有工作不同,我们将使用隐半马尔可 夫(Hiddensemi-MarkovModel,HsMM)来描述Web用户的浏览行为特征,并使用该模型实现 攻击检测.基于实际网络流的试验表明该模型可以有效测量Web用户的访问行为正常度并 实现应用层的DDoS攻击检测. 关键词：应用层,分布式拒绝服务,异常检测,隐半马尔科夫模型 中图分类号：TP3 1.引言 分布式拒绝服务(DistributedDenialofService,DDoS)攻击是现有网络安全问题中的一个 严重威胁[1].DDoS攻击可以在没有任何先兆的情况下轻易地耗尽攻击目标的计算资源和通 信资源.由于DDoS攻击的严重性,许多学者提出了基于统计的防御机制[2]-[5]来实现DDoS 攻击的检测与防御. 传统基于统计的方法主要利用了分组头信息的属性,例如:IP地址,TTL(time-to-live)和 协议类型等.通过测量到达分组头信息的属性,把那些被认为异常的分组抛弃,从而实现攻 击防御.这一类方法通常隐含了一个前提条件:正常分组与攻击分组在分组头信息存在某些 统计上的差异.因此,在DDoS攻击期间,可以基于这些统计特性检测处异常流,并通过过滤 器把最可能是非法的分组丢弃,从而实现保护目标网络和服务器的目的. 传统上的DDoS攻击通常发生在网络层,例如:SYN/ACK洪泛攻击,UDP洪泛攻击和 ICMP洪泛攻击等.然而,随着低层防御措施的加强,攻击者逐渐把其攻击策略向应用层迁 移.为了躲避检测,攻击者从原来单纯的带宽洪泛攻击改变为模拟网络中的突发流(flash crowds),或模仿合法Web用户的浏览行为.这些基于应用层的攻击以高层服务器资源作为 攻击目标,例如:sockets,磁盘带宽,数据库带宽和进程等.由于这一类DDoS攻击是基于应 用层的,本文称它为应用层DDoS攻击(ApplicationlayerDDoS,App-DDoS).文献[6][7]指出 随着互联网上Web应用的复杂度不断地增加与网络带宽的不断增长,服务器资源(例如: 1本课题得到高等学校博士学科点专项科研基金(项目编号：20040558043)资助. -1- http://www.paper.edu.cn CPU和I/O带宽)将成为网络中的主要瓶颈.由于一个高层的Web请求所能实现的计算复杂 度远比一个低层分组要大得多,因此,对于应用层攻击,低流量的攻击请求就足够耗尽目标 的CPU资源,使其无法正常处理其它合法的Web请求.可见,App-DDoS攻击所产生的影响 和攻击效果远大于传统的DDoS攻击.另一方面,与基于低层的DDoS攻击不同,App-DDoS 攻击并不依赖于不完善的低层协议或操作系统.它们通过合法的网络链接和请求来实现 DDoS攻击的效果.2004年的蠕虫病毒“Mydoom”就是一种典型的App-DDoS攻击(http:// www.us-cert.gov/cas/techalerts/TA04028A.htm). 由于恶意请求与合法请求的差异仅在于本身的目的而不在于请求的内容,因此现有的 检测系统无法区分出攻击者发出的攻击请求与正常用户的Web请求.而且,由于攻击请求 可能来自于不同地理位置的合法计算机,假设攻击者使用虚假IP地址是不合适的,因此传 统使用IP地址前缀的检测方法难以实现有效的过滤.基于密码的方案可以非常有效地阻断 App-DDoS攻击源,但是密码的验证需要建立一个新的连接并允许一些未经过鉴权的用户直 接访问服务器的socket缓存和工作进程,这很容易促使攻击者针对鉴权机制发动另一次攻击. 因此App-DDoS的防御是现代网络安全中的一个新挑战. 由于基于高层的App-DDoS攻击信号可以认为是一种异常的Web用户行为,因此本文 将从用户行为的角度实现App-DDoS的攻击检测.为此,我们将设计一种新的模型用于描述 Web用户的访问行为特征.在过去十年中,有许多关于Web用户行为