應用層DDoS攻擊檢測與防御研究

摘 要：當今世界計算機網絡發展迅猛，信息化進程進一步加速，信息網絡已經在全球范圍內普及，逐漸融入人們的生活當中。然而，隨著網絡技術的不斷發展，網絡安全風險也日益增大。并且網絡安全的攻擊較以前更加復雜，很難進行有效的檢測和防御。網絡層DDoS攻擊和應用層DDoS攻擊是目前存在的主要DDoS攻擊類型。由于網絡技術的突飛猛進，目前已經找到防御網絡層DDoS攻擊的有效解決辦法，因此應用層DDoS攻擊成為最大的網絡安全威脅。這是一種極具破壞力的新型的網絡攻擊，如何進行應用層DDoS攻擊檢測與有效防御已成為備受矚目的焦點問題。文章擬對此問題進行探討和研究，以期為相關理論研究和實踐提供些許借鑒。

關鍵詞：應用層DDoS；攻擊；檢測；防御

上世紀90年代DDoS攻擊陸續開始出現，到現在已經達到一定的規模，不僅如此，網絡攻擊的力度還在不斷加強，攻擊的方式也逐漸變得多樣化。從最初的低層協議逐漸向高層協議發展，這是DDoS攻擊發展的基本趨勢。針對低層的DDoS攻擊目前已經有了比較完善有效的解決方案。為了逃避攻擊檢測，網絡攻擊者制造出破壞性更加強大的DDoS攻擊，網絡攻擊者逐步將應用層作為DDoS攻擊的新目標。為了有效地減小網絡攻擊造成的危害，對應用層DDoS攻擊檢測與防御研究也日益廣泛地開展起來，尋求應用層DDoS攻擊檢測與防御的有效方法，積極抵御網絡攻擊以最大限度地降低網絡攻擊造成的危害已經勢在必行。應用層DDoS攻擊檢測與防御成為不容忽視的焦點問題，對這一問題展開研究和探討具有極其重要的意義。

1 應用層DDoS攻擊的特征

應用層DDoS攻擊具有極其鮮明的特征。與低層DDoS攻擊相比較而言，應用層DDoS攻擊截然不同。主要表現在以下幾個方面：

其一，應用層DDoS攻擊的數據包有著與正常用戶的數據包一模一樣的格式，根本就不存在畸形包，字段值也不存在異樣，這樣一來，使用從特征匹配的檢測算法來檢測攻擊就不具備有效性。其二，應用層DDoS攻擊采用的也是真實的IP地址，因為進行應用層DDoS攻擊，需要采用服務器將TCP連接建立起來。其三，應用層有著更為復雜的協議，例如http協議，如果發出某一條命令很有可能需要進行許多數據庫搜索步驟，會使很多資源被使用掉。所以，應用層DDoS攻擊能夠僅僅使用極低速率的攻擊流，就可以使受到攻擊的主機宕機。事實上，常用的防火墻等網絡安全防護產品難以檢測出這種攻擊。應用層DDoS攻擊所具有的特性加大了其攻擊性，對其進行檢測更是難度極大。

2 應用層DDoS攻擊檢測的算法

計算機正常的會話請求間隔與請求頁面是具有一定相似性的，應用層DDoS攻擊會話的請求間隔與請求頁面相似性相當強，而二者之間具有較小的相似性。因而對應用層DDoS攻擊進行檢測的算法，可以依照會話的請求間隔和請求頁面當作是相似性的衡量標準，對會話進行聚類分析，在進行分析時恰當地采用譜聚類算法，這種聚類算法是以數據挖掘中的圖譜理論為基礎的。分析后將正常的會話聚成許多簇，如果存在攻擊會話，就將攻擊會話聚成一個簇，從而使應用層DDoS攻擊的檢測得以順利實施。

具體來講，應用層DDoS攻擊檢測步驟可以分為以下幾步：第一步，將時間窗口設置為時長2分鐘，時間窗口當中的訪問服務器的不同IP可以作為不同的會話，記錄下不同會話在時間窗口當中對應的請求頁面時間，請求的頁面，每一個時間窗有50條紀錄，如果在時間窗當中沒有紀錄，則標記為“0”。第二步，將不同會話之間的相似矩陣計算出來。應分別從兩個不同的方面來度量會話間的相似性，一方面是間隔分布的相似性，另一方面則是請求頁面的相似性。第三步就是應用譜聚類算法進行聚類分析。采用這三個步驟就可以完成對應用層DDoS攻擊的檢測，來判斷是否受到應用層DDoS攻擊。

3 基于訪問行為的應用層DDoS攻擊防御

在計算機科學當中有著網絡分層模型理論，在這一理論中指出，將網絡節點需完成的數據進行發送或者是進行轉發，有的則是進行打包或者是進行拆包，對信息的加載或者是拆出予以有效地控制，這些工作需要通過各種不同模塊來操作，這些模塊包括硬件模塊和軟件模塊等。通過這些模塊所做的工作，能夠使較為復雜的問題更加簡化。如使網絡之間的互相連接或者是往來通信這些復雜的程序更加簡化易行。

根據網絡分層模型的理論來進行分析，信息流應該在與其相對應的不同層次得以處理。目前出現了許多新型的更加難以防御的網絡攻擊行為，如作為一種層次較高的網絡攻擊行為，App-DDoS是很難被檢測出來的。如果還像以往那樣只是單純地從服務器IP分組來進行判斷或者是通過TCP連接來對這種行為進行檢測，那么很難得出正確的結論。另一方面，如果單獨對不同HTTP請求是否正常進行判斷，那么也不能準確地對應用層DDoS攻擊進行有效的防御。要想對這種網絡攻擊行為進行有效的檢測和防御，必須要采用先進的手段。有效的App-DDoS攻擊檢測和防御系統應在相應的層次建立起來，這樣才可以得到更多的相關有效的信息，以便從這些信息中獲得最為有用的信息，從而更加有效地防御應用層DDoS攻擊。

4 結束語

隨著信息科技和網絡技術的迅猛發展，多樣性的DDoS攻擊對網絡系統造成的破壞性越來越大。雖然路由器和防火墻等可以在網絡的邊界發揮一些檢測作用，也可以對這些網絡攻擊行為發揮少許的防御功能，能夠在一定程度上降低DDoS攻擊行為的侵害，但是，由于DDoS攻擊，特別是應用層DDoS攻擊手段十分獨特，所以對其進行檢測和防御難度相當之大。許多業內人士就應用層DDoS攻擊的檢測和防御問題進行了深入的研究，以尋求更加科學有效的解決方案。但是，隨著相關研究的不斷深入，應用層DDoS攻擊方式也在不斷地發生變化，攻擊力度不斷地加強，攻擊所用的工具也在進一步升級，因此，對應用層DDoS攻擊檢測和防御的研究還要長期不懈地開展，以便隨之應對各種各樣不斷變化升級的網絡攻擊方式，維護網絡安全。

參考文獻

[1]王風宇，曹首峰，肖軍，等.一種基于Web群體外聯行為的應用層DDoS檢測方法[J].軟件學報，2013（6）.

[2]趙國峰，喻守成，文晟.基于用戶行為分析的應用層DDoS攻擊檢測方法[J].計算機應用研究，2011，28（2）：717-719.

[3]楊新宇，楊樹森，李娟.基于非線性預處理網絡流量預測方法的泛洪型DDoS攻擊檢測算法[J].計算機學報，2011（2）.

[4]魏冰，徐震.基于驗證機制的應用層DDoS攻擊防御方法[J].計算機工程與設計，2012，31（2）：231-238.

[5]李靜軒，周文成，文義晟.基于用戶行為分析的應用層DDoS攻擊檢測方法[J].計算機應用研究，2014（6）.