基于Web行為軌跡的應用層DDoS攻擊防御模型

劉澤宇，夏 陽，張義龍，任 遠

(中國礦業大學 計算機科學與技術學院，江蘇 徐州 221116)

(*通信作者電子郵箱yxia@cumt.edu.cn)

基于Web行為軌跡的應用層DDoS攻擊防御模型

劉澤宇*，夏 陽，張義龍，任 遠

(中國礦業大學 計算機科學與技術學院，江蘇 徐州 221116)

(*通信作者電子郵箱yxia@cumt.edu.cn)

為了有效防御應用層分布式拒絕服務攻擊(DDoS)，定義了一種搭建在Web應用服務器上的基于Web行為軌跡的防御模型。把用戶的訪問行為抽象為Web行為軌跡，根據攻擊請求的生成方式與用戶訪問Web頁面的行為特征，定義了四種異常因素，分別為訪問依賴異常、行為速率異常、軌跡重復異常、軌跡偏離異常。采用行為軌跡化簡算法簡化行為軌跡的計算，然后計算用戶正常訪問網站時和攻擊訪問時產生的異常因素的偏離值，來檢測針對Web網站的分布式拒絕服務攻擊，在檢測出某用戶產生攻擊請求時，防御模型禁止該用戶訪問來防御DDoS。實驗采用真實數據當作訓練集，在模擬不同種類攻擊請求下，防御模型短時間識別出攻擊并且采取防御機制抵制。實驗結果表明，Web行為軌跡的防御模型能夠有效防御針對Web網站的分布式拒絕服務攻擊。

分布式拒絕服務攻擊；應用層；Web行為軌跡；攻擊防御

0 引言

分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)，是指利用目標系統網絡服務功能缺陷，直接消耗其系統資源，使得該目標系統無法提供正常的服務。

在網絡協議低層，DDoS最明顯的特征是流量出現異常，通過分析流量檢測DDoS是常見的方法[1]；對于應用層的DDoS，文獻[2]通過分析主干網絡的用戶訪問行為，利用訪問者產生的外聯行為來檢測應用層DDoS，該方法有效區分Flash Crowd[3]和攻擊行為。在產生Flash Crowd[3]時，外聯節點的客戶端數量與客戶端總數的比值穩定，而DDoS時外聯節點與客戶端總數會出現較大的變化，通過非參數的累積控制圖(CUmulative SUM, CUSUM)計算外聯節點與客戶端總數比值的對數似然統計量偏移，能夠有效區分突發訪問與應用層DDoS。該方法對于Web應用服務器而言，主干層的網絡數據不易獲取。

文獻[4]提出了一種基于用戶忠實度的應用層DDoS防御模型，該模型使用Cookie來標記不同用戶的忠實度，根據用戶的行為來評定用戶忠實度，過濾忠實度低的用戶訪問，實現了應用層攻擊防御。

文獻[5]通過分析應用層DDoS的單個用戶平均請求次數(Average Number of Request per Client, ANRC)的變化規律，提出一種自回歸的模型的檢測算法。使用卡爾曼濾波算法預測正常用戶的平均訪問速率，當實際值和預測值的差超過閾值時，則判定為DDoS。

文獻[6]分析Web DDoS會話特征與正戶訪問會話的特征，將Web DDoS分為五類，根據DDoS與正常訪問行為不同，并提出訪問行為異常屬性和session異常度模型。根據頁面轉移異常度、內嵌對象請求數異常度、Thinking Time異常度、URL長度異常度、Main page請求數異常度、請求循環次數異常度計算平均異常度，通過平均異常度的值來判斷是否為合法請求。

針對Web的DDoS，Park等[7]通過在客戶端檢測用戶的鼠標點擊行為來區分正常用戶訪問和攻擊腳本，此類方法仍然受客戶端限制；Paul等[8]提出一種多項式分布模型，先對應用程序流量進行分組，通過對流量的分組與分流來識別和抵抗DDoS。文獻[9]使用隱馬爾可夫模型來描述正常用戶的訪問行為，在線測量Web用戶訪問行為相對于正常訪問模型的偏離度，根據偏離度大小判斷惡意攻擊序列。該方法的訓練數據和計算過程繁瑣，且不能完全涵蓋所有喜好習慣不同的用戶的訪問特征。Rajesh[10]提出一種訪問矩陣來識別正常用戶訪問和DDoS，該方法主要適用于熱門網站的服務器。

運用部署在主干網絡的外聯行為來檢測應用層DDoS檢測方法[2]，難度較大，適用場景限制太多；文獻[4]所描述的用戶忠實度的檢測方法會受到客戶端的限制和影響，容易被反制；基于ANRC的變化規律的自回歸的模型的檢測算法無法有效區分Flash Crowd和DDoS訪問[5]；文獻[6]在獲取頁面轉移異常時需要根據用戶訪問頁面的內容對頁面分類，忽視了網站頁面的本身鏈接關系，而網站頁面的鏈接關系更能直接影響用戶的session的訪問行為，并且，在獲取Thinking Time異常度時，容易受到小概率正常用戶行為干擾，而此類行為對Thinking Time異常度影響大。

針對上述不足，本文主要通過分析Web網站的結構特點以及用戶訪問行為特點，提出一種基于Web行為軌跡的攻擊防御模型(Application-layer DDoS defense model based on Web Behavior Trajectory, WBT)。該防御模型可以部署在Web服務器和應用服務器之間，檢測模塊把檢測結果反饋給局域網防火墻、主機防火墻、Web服務器等軟硬件安全設施，該防御模型不依賴于主干網絡；該防御模型所有的檢測數據不依賴客戶端，不受客戶端環境的影響；通過計算用戶的訪問依賴異常、行為速率異常、軌跡重復異常、軌跡偏離異常，能夠有效區分DDoS與Flash Crowd；在分析用戶訪問行為時充分考慮頁面的鏈接結構、在計算時合理排除小概率事件對結果的干擾，能夠有效地防御對Web網站的DDoS。

1 Web行為軌跡

1.1 Web行為軌跡的表示

用戶瀏覽網站的過程被定義為Web行為軌跡，Web行為軌跡可表示為四元組W(V,E,S,T)。

V是節點集合，表示網站所有用戶通過URL訪問的HTTP請求。這些節點包含六個屬性，對于任意節點vi∈V，v包含(id,userid,url_id,time,refer_id,count)六個屬性。id表示訪問節點的唯一標識符；userid表示用戶的標識符；url_id表示用戶訪問的HTTP請求URL的唯一標識符；refer_id表示訪問該節點的來源節點的id，根據refer_id可以計算refer_url；count是一個整數，用來表示當前會話用戶第幾次訪問Web服務器。由于網站的訪問規則是確定的，提供外部用戶直接訪問的URL是確定的，網站中能夠合法訪問的節點集合用V0表示，稱為固有點集。

圖1 行為軌跡節點示意圖

S是邊的空間權值集合，對于任意邊ei=(vi,vj)，設S(ei)=sij，則稱sij為ei上的空間權值。空間權值是節點vi,vj的最短路徑。a,b,c,d,e,f,g,h,i,j是訪問軌跡里的節點元素，即a,b,c,d,e,f,g,h,i,j∈V；a能直接訪問b,c,d，即對于訪問軌跡中邊中的三個元素e1=(a,b),e2=(a,c),e3=(a,d)它們的空間權值關系為S(e1)=S(e2)=S(e3)=1；a到e的最短路徑為2，即e4=(a,e)，S(e4)=2。當用戶刷新頁面時，這條邊的空間權值為0，即e5=(a,a)，S(e5)=0。

T是時間權值的集合，對于任意邊ei=(vi,vi+1)，設ei=(vi,vi+1)，則稱tij為ei上的時間權值。時間權值表示用戶訪問一個頁面到另一個頁面的思考時間。

1.2 Web行為軌跡分析

用W(V,E,S,T)表示用戶在瀏覽網站的Web行為軌跡，W具備以下幾點特征。

1)對于任意ei=(vi,vj)∈E0，sij的取值大部分為1。用戶在瀏覽網頁時，主要通過頁面鏈接跳轉直接訪問不同頁面，當出現ei=(vi,vj)∈E，sij>1所占頻率增高時，說明用戶的訪問行為出現異常。

2)在行為軌跡圖W中，用戶不用循環請求一個或者一組頁面，當行為軌跡中出現大量重復訪問序列，說明存在攻擊行為。

3)ei=(vi,vi+1)，t(ei)=t，在用戶瀏覽Web時，用戶瀏覽一個節點到瀏覽另一個節點，需要一定的思考時間，思考時間與ei是相關的，T(ei)表示歷史用戶訪問。攻擊者為了達到攻擊效果，往往會選擇高速率的請求頻率，此時，導致行為軌跡圖中邊的時間權值會非常小，出現行為速率異常。

4)在用戶訪問的節點中，用戶幾乎不會單獨訪問一個單獨的通過非開放URL訪問的資源，并且用戶不會經常訪問不存在的URL，即V?V0，當存在大量的訪問的url節點a∈V∩a?V0時，表明用戶的Web行為軌跡出現異常，說明可能在采用某種隨機URL的程序在進行攻擊行為，出現軌跡偏離異常。

1.3 獲取節點參數

對于用戶訪問Web應用服務器的行為軌跡中的每個訪問節點(id,userid,url_id,time,refer_id,count)，其中參數url_id、refer_id可以直接根據訪問記錄和HTTP。對于訪問節點id，采用自增的整數或者隨機的大整數來標識，userid通過Cookie與session或者重寫url進行會話跟蹤，一次會話的過程中userid相同，訪問時間間隔time根據refer_id和userid來獲取，count元素根據已知userid進行累加獲取。

1.4 Web行為軌跡的化簡

對于Web應用網站來說，URL的路徑命名復雜，將每個URL對應一個url_id，這里采用文獻[11]在軟件行為軌跡中的化簡方法，在定義一個網站的行為軌跡模型前，進行以下化簡操作。

Web先驅元集。對于任意的訪問節點v∈V0，則稱{u|u∈V0∧〈u,v〉∈E0∧u≠v}為v的先驅元集，記作Γ-(v)。

Web后繼元集。對于任意的訪問節點v∈V0，則稱{u|u∈V0∧〈v,u〉∈E0∧u≠v}為v的后繼元集，記作Γ+(v)。

化簡Web行為軌跡針對URL和refer_id的對應關系。首先，合并等價URL。對于網站而言，如果任意兩個URL訪問的是同一資源，那么這兩個節對應的url_id相同。

合并等價節點，如果兩個節點的前驅元集和后繼元集相等，那么這兩個節點等價。如果一個訪問節點的vi,vj∈V0且Γ+(vi) =Γ+(vj)∧Γ-(vi) =Γ-(vj)，那么節點vi等價于節點vj。

2 WBT模型

2.1 部署結構

如圖2所示，WBT模型主要部署在應用服務器和Web服務器之間，WBT模型對于應用服務器是透明的，需要在Web服務器保證sessionId在會話中不會變化。對于非法用戶的攔截，在應用層采用黑名單機制，在傳輸層采用防火墻策略。在識別出攻擊訪問行為之后，根據會話信息記錄的客戶端的IP、主機名、瀏覽器、設備標識等特征，將非法用戶記錄在黑名單中，并在局域網防火墻執行相應的攔截規則，在一定時間內限制符合此類特征的用戶再次訪問。當出現誤判時，可讓用戶可通過輸入驗證碼等安全方式主動移除黑名單。該防御模型核心的部分為檢測模塊，計算用戶的訪問行為是否為攻擊行為。

圖2 防御模型部署

2.2 防御機制

如圖3所示，在用戶被判定為非法用戶時，將用戶信息記錄在blacklist，通過防火墻規則或者Web服務器的黑名單機制限制，在一段時間內不允許該用戶再次訪問網站；當超過一定時間后，將用戶自動從blacklist中移除，提供用戶主動delist的網頁入口，防止出現誤判的現象，采取驗證碼等安全機制驗證用戶的真實性。

3 基于行為軌跡的異常因素及計算

在WBT模型中，最核心的部分為DDoS檢測，在檢測過程中，主要涉及訪問依賴異常、軌跡重復異常、行為速率異常、軌跡偏離異常的計算。

3.1 訪問依賴異常

在用戶的一次行為軌跡圖中，如果存在大量的ei=(vi,vj)∈E，sij>1，將ei出現的頻率定義為訪問依賴異常，記作Pdep：

(1)

在給定的Web應用網站，節點的鏈接關系是已知的。每個頁面的節點v的數據結構是一個有向圖，圖中的節點表示URL，節點之間的有向邊表示了相鄰節點之間的可達性，如圖4所示。

圖3 用戶狀態轉換

圖4 頁面相鄰示意圖

圖4是某個網站每個URL的可達性的示意圖。頁面之間的相鄰性是確定的，當用戶訪問a，正常的訪問模式能夠訪問的只有b、c，當訪問a后訪問了g，說明可能出現了訪問異常，對于用戶訪問的集合W元素V、E，如果一個節點vi∈V0，那么vi可達相鄰節點的集合記作vi.acc。通過遍歷用戶的邊集，來確定依賴異常的點，依賴異常點集為：

Vdim={vj|ei=(vi,vj)∈E,vi∈V0,vj?vi.acc}

(2)

則對于用戶的第i次訪問，訪問依賴異常：

(3)

3.2 軌跡重復異常

在行為軌跡圖W中，對于用戶訪問的節點a∈V，利用一個六元組(id,uid,url,time,refer_id,count)表示，重復軌跡表示兩個相同軌跡之間是沒有其他軌跡行為，用戶的重復軌跡出現的次數c，重復的長度為l，n、d，其中d>1,n>1，n和d為給定的常數，軌跡相似異常為Psim，對于用戶的第i次訪問，軌跡重復異常：

(4)

求重復軌跡的次數抽象成求一個序列中連續出現次數最多的子序列。用戶訪問的節點的URL以后綴樹的形式表現出來。

abcabcabcde.substr[0]

bcabcabcde...substr[1]

cabcabcde.....substr[2]

abcabcde......substr[3]

bcabcde.......substr[4]

cabcde..........substr[5]

abcde...........substr[6]

bcde..............substr[7]

判定條件是substr[i].substr(0,j-i)==substr[j].substr(0,j-i)，通過上述的計算方法，得出若干個連續出現的子序列之后，本文取出重復度最高的子序列來計算軌跡重復異常。

3.3 行為速率異常

當網站出現峰值訪問時，對于網站而言，HTTP請求速率增加，但對于單個用戶而言，訪問的速率變化不大，并且一次請求的速率跟網站的內容通常是相關的，利用一個Key-Value數據庫存儲訪問軌跡與估計速率的映射關系，訪問停留時間代表訪問速率。用戶訪問的速率跟訪問節點的內容具有相關性。

對于網站的固有邊集E0，對應的正常時間權值集合T，攻擊者通常采用高頻率的HTTP請求，來達到攻擊效果，在時間權值集合T(ei)中，把集合中的元素從小到大排序，得到排序好的集合Tsort(ei)，用戶在瀏覽網頁的時候的請求速率不可能太快，將Tsort(ei)的中值記為t(ei0)，t(ei)用戶訪問軌跡ei的真實停留時間間隔，q為給定的常數。第i次訪問產生的行為速率異常：

(5)

圖5為MusicMachines-HTTP[12]的時間權值分布散點圖，在檢測行為速率異常中，在JSP頁面和ASP中默認session分別為30min和20min，如果用戶長時間停留在某一頁面，雖然此類節點產生概率相對較少，但對于平均值的影響非常大，當使用均值檢測時，如果有異常存在此類節點，檢測的靈敏度將大幅度降低，所以在檢測的過程中取訪問歷史時間的中值。

圖5 時間權值分布

3.4 軌跡偏離異常

在一個確定的網站中，頁面的結構是確定的，即每個頁面對應的資源是確定的，每個資源所在的頁面也是確定的。如圖6所示，在某網站中，圖片A只出現在頁面1與頁面2中，如果某一用戶訪問了圖片A，則此用戶很有可能訪問了頁面1的URL頁面2的URL。如果在用戶的某次訪問中，出現大量的圖片A的HTTP請求，而沒有出現頁面1或者頁面2的請求地址，說明此次訪問存在異常。

圖6 頁面結構示意圖

在一次行為軌跡中，假如圖片A的節點為vA，單獨出現的次數是i，圖片A的URL訪問異常為：

Pderailed=i/|E|

(6)

一個網站的URL也是確定的，如果用戶的某次訪問中存在大量的不存在的URL，則用戶訪問的軌跡偏離了正常的軌跡，用戶某次訪問不存在的URL的次數是j，則軌跡偏離異常度為：

Pnonexistent=j/|E|

(7)

用戶第i次訪問時，軌跡偏離異常：

zi=Pderailed+Pnonexistent

(8)

3.5 基于行為軌跡的異常計算

Web服務器功能的差異性導致了正常訪問產生的異常度不一致，檢測過程中，四種異常所占的權值不同。

假設用戶在第i次訪問時的訪問依賴異常、軌跡重復、行為速率、軌跡偏離分別為wi、xi、yi、zi，根據以上公式，可以計算出在第i次的異常因素為：

Pi=ftotal(wi,xi,yi,zi)

(9)

根據網站的性質不同，正常用戶在訪問過程中產生的異常因素Pi的計算方式也不同，即依賴異常、軌跡重復、行為速率、軌跡偏離的異常的統計的權重不同，那么有：

Pi=awi+bxi+cyi+dzi

(10)

其中常數a,b,c,d的取值取決于網站的內容和結構。μ(w)、σ(w)、μ(x)、σ(x)、μ(y)、σ(y)、μ(z)、σ(z)分別表示四種異常值的平均值和方差。當異常值超過平均值方差時則報警。

4 實驗評估

4.1 搭建WBT模型

模擬實驗采用MusicMachines-HTTP從1996年12月29日00:00:00到1997-09-23 23:45:01日志數據作為訓練集，總共包含4 143條session，采用1997年09月21日 23:59:14到1997年09月23日23:45:01日志數據作為模擬測試數據，實驗對象為machines主機上的數據，先計算訓練數據集四種異常平均值μ(w)、μ(x)、μ(y)、μ(z)和四種方差σ2(w)、σ2(x)、σ2(y)、σ2(z)。實驗過程中，把machines下的所有訪問看作是一臺應用服務器或者一個服務器集群。先把日志數據存儲在數據庫表中，對其進行化簡處理，通過日志數據的URL的referer關系得出網站的鏈接結構。根據鏈結構以及URL生成一個模擬的machines網站。將SingleFlood、SessionFlood、Multi-URLFlood、Random-URL、Forged-URL分別記為A、B、C、D、E，通過模擬A、B、C、D、E五種攻擊行為對網站進行訪問，觀察其四種異常值，當超出任意異常值平均值一個方差的值時，則判定為攻擊行為。

WBT模型搭建在Linux操作系統上，采用Nginx當作Web服務器，Tomcat當作應用服務器，Nginx記錄的日志為原始的訪問日志，作為檢測分析的數據源為日志數據，采用Nginx的動態黑名單和局域網防火墻機制限制非法訪問，在判定為非法訪問時，則產生報警。

4.2 數據預處理

對于referer不屬于machines的URL，統一用“others“標記，不含有referer的訪問referer采用符號“-”標記。處理之后，總共包含352個不同的referer，計算訓練集中的訪問依賴異常、軌跡重復異常、行為速率異常、軌跡偏離異常，其中訓練集的每個異常因素概率密度函數分布如圖7所示。

其中，均值和方差分別為：

4.3 實驗結果

在攻擊頻率較高時，五類攻擊請求均表現為行為速率異常，在使用正常速率攻擊時，對于A類攻擊，表現出為訪問依賴異常、軌跡重復異常；對于B類攻擊，在session長度較短時，主要表現為訪問依賴異常，在session長度較長時，偏離網站原有鏈接關系的訪問節點較少，主要表現為軌跡重復異常；對于C類攻擊，由于是組合的URL，并且重復多次請求，主要表現為訪問依賴、軌跡偏離異常、軌跡重復異常；對于D類攻擊，采用隨機單個URL進行攻擊，主要表現為訪問依賴異常、軌跡偏離異常；對于E類攻擊，由于URL是偽造的，所以在訪問過程中，出現大量的HTTP狀態碼為404的錯誤，主要表現為軌跡偏離異常。如表1所示，為防御模型在該五種攻擊行為時的檢測性能。

圖7 異常概率密度函數

表1 攻擊類型與檢測性能

Tab.1Attacktypeanddetectionperformance

攻擊類型不同頻率時報警時間/s1001010．1A0．10．34．146B0．11．212．7113C0．10．48．187D0．10．15．662E0．10．23．257

在A、B、C、D、E五種類型的攻擊模式下，四種異常值與訪問次數的關系如圖8～11所示。

圖8 訪問依賴異常

如圖8所示，A類攻擊產生訪問依賴異常值為在初始狀態1；而在B類攻擊模式下，由于B類攻擊截取了一段正常session進行反復訪問，訪問依賴異常值維持在一個較小的值；C類攻擊選取的URL組合沒有考慮連接關系，維持在一個較大的值；Random-URL攻擊和Forged-URL攻擊的訪問依賴值在初始狀態就為1。

如圖9所示，A類軌跡重復異常值為1；B類攻擊在剛開始，處于一個較小的值，當第二次Flood完成時，行為軌跡模型識別出攻擊模式，軌跡重復異常值達到最大。C類的軌跡重復異出現了較大的抖動，在攻擊啟動時，不會出現重復，當第二次Multi-URL訪問完時，軌跡重復異常值達到最大并且超過閾值；D類由于攻擊路徑的隨機性，導致軌跡重復異常值穩定在一個較小的值；E類攻擊通過偽造隨機的超長URL，軌跡重復異常值穩定在0左右。

圖10為真實測試數據模擬的B類和C類攻擊時計算行為速率異常值。與頁面的內容與訪問速率相關的A、D、E類攻擊模式的異常值在檢測開始后迅速達到最大值。B類攻擊的異常值穩定在一個較小的值，在行為速率異常值不明顯；而在Multi-URLFlood的訪問速率異常值最后穩定在0.24，超出閾值。

圖9 軌跡重復異常

圖10 行為速率異常

如圖11所示，A類攻擊被攻擊行為被認為軌跡偏離異常值為0；B類攻擊在軌跡偏離異常值中穩定在一個較小的值；C類攻擊由于在訪問過程中存在跳動的情況，軌跡偏離處于一個較大的穩定值，超出檢測閾值；D、E由于攻擊的隨機性，軌跡偏離異常值維持在最大。

圖11 軌跡偏離異常

4.4 性能分析

對于高頻率的WebDDoS行為，由于文獻[2]涉及的方法需要收集與計算網站和主干網絡的數據，而WBT模型只需讀取網站自身產生的數據，所以本文的防御效率要優于文獻[2]所描述的方法；由于文獻[6]在計算ThinkingTime異常值和Mainpage請求數異常值時采用均值，在實驗中針對初始頻率低、頻率逐漸增加的攻擊行為時，WBT防御模型的檢測效率優于文獻[6]的session異常模型，并且誤判率低。

4.5 相關工作比較

文獻[6]與本文有幾點不同。首先，在session異常模型中，通過訓練數據計算頁面是否屬于同一話題，從而確定頁面轉移異常，而Web行為軌跡的訪問依賴異常的根據是Web服務器的相互鏈接的關系；通過Web行為軌跡化簡過程可以有效降低計算復雜度。其次，session異常模型的ThinkingTime異常值將所有頁面的跳轉時間統一計算，而Web行為軌跡模型考慮到頁面內容與跳轉時間相關，在每次HTTP請求時，根據訪問邊查找對應跳轉時間，檢測過程中對請求頻率更加敏感。文獻[4]基于用戶忠實度的應用層DDoS防御模型，過度依賴于Cookie機制，而本文描述的行為軌跡模型部署在服務器端，檢測方法不受客戶端影響。

5 結語

本文針對Web網站的結構以及應用層DDoS的攻擊特點，定義了一個Web行為軌跡W(V,E,S,T)，在此檢測模型的基礎上搭建WBT模型來防御應用層DDoS。通過統計正常訪問的歷史信息已經頁面的鏈接關系，定義固有邊集E0，空間權值S，邊時間權值集合T(ei)。通過行為軌跡化簡方法，簡化計算模型，增加防御性能。

在用戶每次發起HTTP請求到達服務器后，根據用戶產生的節點vi∈V的信息計算訪問依賴異常、軌跡重復異常、行為速率異常、軌跡偏離異常；計算異常值偏離均值的差，從而判斷此用戶訪問是否為DDoS行為。由于網站的功能不一致，確定四種異常值對總體異常權值比的參數a、b、c、d的取值策略仍需完善。

)

[1] 羅華,胡光岷,姚興苗.基于網絡全局流量異常特征的DDoS攻擊檢測[J].計算機應用,2007,27(2):314-317.(LUOH,HUGM,YAOXM.DDoSattackdetectionbasedonglobalnetworkpropertiesofnetworktrafficanomaly[J].JournalofComputerApplications, 2007, 27(2): 314-317.)

[2] 王風宇,曹首峰,肖軍,等.一種基于Web群體外聯行為的應用層DDoS檢測方法[J].軟件學報,2013,24(6):1263-1273.(WANGFY,CAOSF,XIAOJ,etal.MethodofdetectingapplicationlayerDDoSbasedontheout-linkingbehaviorcommunity[J].JournalofSoftware, 2013,24(6): 1263-1273.)

[3]CHENX,HEIDEMANNJ.Flashcrowdmitigationviaadaptiveadmissioncontrolbasedonapplication-levelobservations[J].ACMTransactionsonInternetTechnology, 2005, 5(3): 532-569.

[4] 孫未,張亞平.基于用戶忠實度的應用層DDoS防御模型[J].計算機工程與設計,2015,36(1):93-97.(SUNW,ZHANGYP.ApplicationlayerDDoSdefensemodelbasedonuserloyalty[J].ComputerEngineeringandDesign, 2015, 36(1): 93-97.)

[5] 趙國鋒,喻守成,文晟.基于用戶行為分析的應用層DDoS攻擊檢測方法[J].計算機應用研究,2011,28(2):717-719.(ZHAOGF,YUSC,WENS.Detectingapplication-layerDDoSattackbasedonanalysisofusers’behaviors[J].ApplicationResearchofComputers, 2011,28(2):717-719.)

[6] 肖軍,云曉春,張永錚.基于會話異常度模型的應用層分布式拒絕服務攻擊過濾[J].計算機學報,2010,33(9):1713-1724.(XIAOJ,YUNXC,ZHANGYZ.Defendagainstapplication-layerdistributeddenial-of-serviceattacksbasedonsessionsuspicionprobabilitymodel[J].ChineseJournalofComputers, 2010, 33(9): 1713-1724.)

[7]PARKK,PAIV,LEEK,CALOS.SecuringWebservicebyautomaticrobotdetection[C]//ProceedingsoftheAnnualConferenceonUSENIX’ 06AnnualTechnicalConference.Berkeley,CA:USENIXAssociation, 2006: 23-28.

[8]PAULV,PRASADHK,SANKARANARAYANAN.Application:DDoSattacksresistanceschemeusingpolynomialdistributionmodel[C]//Proceedingsofthe2013ThirdInternationalConferenceonAdvancesinComputingandCommunications.Washington,DC:IEEEComputerSociety, 2013: 304-307.

[9]EMMERIKMV.Staticsingleassignmentfordecompilation[D].Brisbane:UniversityofQueensland, 2007.

[10]RAJESHS.ProtectionfromapplicationlayerDDoSattacksforpopularWebsites[J].InternationalJournalofComputer&ElectricalEngineering, 2013, 5(6): 555-558.

[11] 田俊峰,韓金娥,杜瑞忠,等.基于軟件行為軌跡的可信性評價模型[J].計算機研究與發展,2012,49(7):1514-1524.(TIANJF,HANJE,DURZ,etal.Creditabilityevaluationmodelbasedonsoftwarebehaviortrace[J].JournalofComputerResearchandDevelopment, 2012, 49(7): 1514-1524.)

[12]Musicmachines-HTTP[EB/OL].[2016-04-10].http://www.cs.washington.edu/research/adaptive/download.html.

LIU Zeyu, born in 1992, M.S.candidate.His research interests include network security, electronic commerce.

XIA Yang, born in 1962, Ph.D., professor.His research interests include network computing, Web application, electronic commerce technology.

ZHANG Yilong, born in 1991, M.S.candidate.His research interests include network security, machine learning.

REN Yuan, born in 1989, M.S.candidate.His research interests include network security, artificial intelligence.

Application-layer DDoS defense model based on Web behavior trajectory

LIU Zeyu*, XIA Yang, ZHANG Yilong, REN Yuan

(CollegeofComputerScienceandTechnology,ChinaUniversityofMiningandTechnology,XuzhouJiangsu221116,China)

To defense application-layer Distributed Denial of Service (DDoS) built on the normal network layer, a defense model based on Web behavior trajectory in the Web application server was constructed.User’s access behavior was abstracted into Web behavior trajectory, and according to the generation approach about attack request as well as behavior characteristics of user access to Web pages, four kinds of suspicion were defined, including access dependency suspicion, behavior rate suspicion, trajectory similarity suspicion, and trajectory deviation suspicion.The deviation values between normal sessions and attack sessions were calculated to detect the application-layer DDoS to a specific website.The defense model prohibited the user access from DDoS when detecting the attack request generated by the user.In the experiment, real data was acted as the training set.Then, through simulating different kinds of attack request, the defense model could identify the attack request and take the defense mechanism against the attack.The experimental results demonstrate that the model can detect and defense the application-layer DDoS to a specific website.

Distributed Denial of Service (DDoS); application-layer; Web behavior trajectory; attack defence

2016-07-26;

2016-08-08。

劉澤宇(1992—)，男，湖北咸寧人，碩士研究生，主要研究方向：網絡安全、電子商務； 夏陽(1962—)，男，江蘇徐州人，教授，博士，主要研究方向：網絡計算、Web應用、電子商務； 張義龍(1991—)，男，河北邢臺人，碩士研究生，主要研究方向：網絡安全、機器學習； 任遠(1989—)，男，江蘇徐州人，碩士研究生，主要研究方向：網絡安全、人工智能。

1001-9081(2017)01-0128-06

10.11772/j.issn.1001-9081.2017.01.0128

TP393.08; TP309.2

A