InformationSecurity·信息安全·计算机计算机·信息安全·InformationSecurity 应用层DDOS攻击检测技术研究 熊俊 (湖南警察学院湖南长沙410138) 【摘要】随着检测底层DDoS攻击的技术不断成熟和完善，应用层DDoS攻击越来越多。由于应用层协议的复杂 性，应用层DDoS攻击更具隐蔽性和破坏性，检测难度更大。通过研究正常用户访问的网络流量特征和应用层 DDoS攻击的流量特征，采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表 现出不同的特点，对会话进行聚类分析，从而检测出攻击，经过实验，表明本检测算法具有较好的检测性能。 【关键词】DDOS；应用层；聚类；异常检测 ResearchonApplicationLayerDDoSAttackDetection XiongJun (HunanPoliceAcademyHunanChangsha410138) 【Abstract】Withthematurityofthelow-leveldetectionofDDoSattacks,DDoSattacksgraduallytransferredtotheapplicationlayer.Becauseofthe complexityoftheapplicationlayerprotocol,applicationlayerDDoSattacksmoredestructive,andmoresubtletodetect.Thispaperstudiesthenormal user’trafficcharacteristicsofaccessingthewebserverandtrafficcharacteristicsoftheDDoSattacksflow.Takethetimeintervalbetweentworequests andthewebpagesvisitedasafeature.normalusersessionandbotsattacksessionsshoweddifferentcharacteristics,weproposeaspactralclustering baseddectionmethod,tofindoutDDoSattacks.Theexperimentalresultsshowthatthedetectionalgorithmhasbetterdetectionperformance. 【Keywords】DDoS;applicationlayer;clustering;anomalydetection 区互联网用户不能使用网络服务典型案例如2009年 0引言， 暴风事件，导致江西、河北等9个省市大量用户遭遇上 根据世界著名网络安全公司ArborNetworks在 网故障。安全公司卡巴斯基发布的2011下半年安全监 2011年发布的安全报告显示，分布式拒绝服务攻击是运 控报告中指出，http类型的DDoS攻击占据了所有的 营商、服务提供商以及密切依赖网络的企业最大的威 DDoS攻击类型的80%，可见应用层DDoS危害之大。 胁。国内的网络安全公司———绿盟科技2011年发布的 DDoS攻击最早开始于1996年，2002年开始在国 网络安全回顾指出，目前网络攻击者逐渐将目标聚集到 内出现，2003年便初具规模。DDoS攻击发展趋势为从 实施破坏和信息窃取上来，而实施破坏的主要途径就是 低层协议向高层协议发展，传统DDoS攻击利用协议漏 针对网络空间发动DDoS攻击国家互联网应急中心 。洞或者洪水攻击等对受害者发起攻击，如网络层Nuke CNCERT在2011发布的安全态势综述中指出DDoS攻 ，攻击利用发送畸形的ICMP数据包使得受害者当机，网 击仍然呈频率高、规模大等特点，我国日均发生流量大络层泪滴攻击利用发送重叠的IP分片使得目标主机 于的攻击事件达起大多数攻击针对网 1GDDoS365。TCP/IP协议栈崩溃而拒绝服务。UDPFlood、TCPFlood 站如政府网站、游戏服务器以及DNS服务器，造成受害等传输层的洪水攻击利用发送超出受害者服务能力的 者损失大量收入，对DNS服务器的攻击会导致大片地大量数据包，消耗掉受害者的网络带宽、CPU处理能力、 ··522012年9月·www.infosting.org InformationSecurity·信息安全·计算机计算机·信息安全·InformationSecurity 内存、网络连接等有限的资源从而使受害者主机拒绝服 务。随着广大学者、安全公司对传统的DDoS攻击进行 深入的研究，目前低层的DDoS攻击检测已趋成熟，并 且有很多的专门检测DDo