基于时间序列分析的应用层DDoS攻击检测摘要：根据正常用户和攻击者在访问行为上的差异提出一种基于IP请求熵（SRE）时间序列分析的应用层分布式拒绝服务（DDoS）攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归（AAR）模型获得描述当前用户访问行为特征的多维参数向量并使用支持向量机（SVM）对参数向量进行分类来识别攻击。仿真实验表明该方法能够准确区分正常流量和DDoS攻击流量适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。关键词：应用层；分布式拒绝服务攻击；时间序列；自适应自回归模型；支持向量机中图分类号：TP393.08文献标志码：A0引言传统的分布式拒绝服务（DistributedDenialofServiceDDoS）攻击一般都是基于网络层的这类攻击利用低层协议漏洞通过傀儡机向目标主机发送大量无用分组或建立半开放TCP连接造成目标主机资源的耗尽。近年来随着网络协议低层防御技术的不断完善出现了一种基于应用层的DDoS攻击。这种攻击利用正常的协议和服务器连接来传输数据从协议特征上与合法客户完全相同它带来的危害要比网络层DDoS攻击大得多。针对应用层DDoS攻击检测与防御Xie等[1-2]提出了利用半隐马尔可夫模型来描述用户浏览网页的行为并依据此计算实时流量与正常流量的偏差度；然而在实际应用中该模型的参数难以确定。Oikonom等[3]从动态请求、访问内容的选择和可视化角度建模刻画出一个站点各页面间跳转的概率图但对于大型网站而言很难完成这个构建工作。Chen等[4]提出了一种使用Heimdall结构的图灵测试方法但这种方法大大增加了骨干路由器的计算负担并且对服务器、路由器和客户端均需进行修改。Choi等[5]提出的一种DDoS防御模型通过C&C服务器信息、边界路由器信息、骨干网信息等多种信息的融合检测DDoS攻击但未对多种信息的融合方法作详细介绍。本文对应用层DDoS攻击进行了分析提出了IP请求熵（IPServiceRequestEntropySRE）的概念和一种基于SRE时间序列分析的应用层DDoS攻击检测方法。它的基本思想是通过SRE时间序列来描述用户访问行为的特征从异常访问行为会引发SRE异常变化这一典型特征入手利用自适应自回归（AdaptiveAutoRegressiveAAR）模型计算SRE时间序列的多维参数向量再用经过样本训练的支持向量机（SupportVectorMachineSVM）进行攻击检测。1应用层DDoS攻击特性分析应用层DDoS攻击一般分为两类[6-7]：带宽耗尽型攻击和主机资源耗尽型攻击。带宽耗尽型攻击（又称为HTTP洪泛）是指攻击者以远高于正常情况的速率向目标Web服务器发送大量的HTTP请求以此来占用目标网络的带宽使正常用户无法进行Web访问。主机资源耗尽型攻击是指攻击者不断访问服务器上高耗资源的内容如密码验证数据库查询或返回图像、视频等大文件。这种攻击不需要很高的攻击速率就可以迅速耗尽主机的资源而且更具有隐蔽性。此外应用层DDoS攻击导致访问流量大幅度的增加与突发流（FlashCrowd）[8]极为相似应用层DDoS攻击的检测研究还应包含如何区分这两者。以用户对Web服务器提出访问请求为例正常用户与攻击者在访问行为的统计特性（点击速度、请求对象、浏览时间等）方面有很大差别。也就是说在一段时间内正常用户向Web服务器提出的服务请求次数是有限的；而攻击者利用攻击程序高频率地请求页面当达到一定的速率就能将主机或网络的资源耗尽例如Mydoom蠕虫在进行应用层DDoS攻击时每秒能发送64个GET请求。因此应用层DDoS攻击的最基本特征是：单位时间内有大量相同IP地址向Web服务器提出服务请求。当攻击发生时访问Web服务器的访问请求特征肯定会发生明显变化。2基于SRE时间序列分析的检测方法从上述定义可以看出当应用层DDoS攻击发生时单位时间内攻击者请求服务的次数急剧加大且攻击者的IP地址相对集中这种情况下SRE会异常减小而且攻击流速越大SRE越小。另一方面当有突发事件发生而形成突发流时如视频点播、现场直播海量的正常用户同时访问某一网站此时正常用户的IP地址更趋向于分散单位时间内每一个IP地址请求服务的概率就越小而SRE就越大。因此可以通过SRE的变化来检测访问请求随机分布特性的变化研究SRE时间序列的特性能够作为应用层DDoS攻击的检测依据。2.2SRE时间序列建模自适应自回归（AAR）模型[9]是一种时间序列分析模型它较之传统的时间序列分析模型具有突出的自适应性模型的权