HTTP洪泛攻擊檢測(cè)機(jī)制與算法研究.pdf

1、隨著 Web服務(wù)不斷得到普及，它的安全受到學(xué)術(shù)界和工業(yè)界的高度關(guān)注。HTTP洪泛攻擊是一類新的分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service），它通過(guò)模擬正常用戶瀏覽網(wǎng)頁(yè)行為往目標(biāo)網(wǎng)站發(fā)送大量HTTP GET請(qǐng)求，以消耗目標(biāo)網(wǎng)站服務(wù)器的CPU、內(nèi)存等資源，造成Web服務(wù)癱瘓，正常用戶訪問中斷。HTTP洪泛攻擊給Web服務(wù)生存性帶來(lái)了嚴(yán)峻的挑戰(zhàn)，是目前Web服務(wù)面臨的一個(gè)重要安全問題。由于具有隱蔽

2、性高、攻擊力強(qiáng)等特點(diǎn)，HTTP洪泛攻擊檢測(cè)較為困難，目前尚缺乏有效的檢測(cè)和防御方法。一方面，相比于帶寬洪泛型DDoS攻擊，HTTP洪泛攻擊流量較小，通常不會(huì)造成受害服務(wù)節(jié)點(diǎn)相關(guān)的網(wǎng)絡(luò)鏈路流量異常；另一方面，相比于TCP/SYN型DDoS攻擊，HTTP洪泛攻擊會(huì)話具有與正常用戶極為相似的TCP協(xié)議統(tǒng)計(jì)特征（例如，不同類型TCP協(xié)議包的統(tǒng)計(jì)分布），不會(huì)造成服務(wù)端 TCP協(xié)議包統(tǒng)計(jì)特征異常。HTTP洪泛攻擊能夠有效地規(guī)避現(xiàn)有檢測(cè)方法，被越來(lái)越

3、多地用于實(shí)施攻擊。目前關(guān)于 HTTP洪泛攻擊的相關(guān)研究工作較少，多數(shù)還存在檢測(cè)性能不高、算法過(guò)于復(fù)雜、穩(wěn)定性差等問題，HTTP洪泛攻擊問題仍然是一個(gè)開放性問題。本論文圍繞 HTTP洪泛攻擊檢測(cè)核心問題，借助統(tǒng)計(jì)學(xué)習(xí)領(lǐng)域研究方法，從Web用戶訪問行為特征量化、檢測(cè)機(jī)制設(shè)計(jì)、檢測(cè)機(jī)制魯棒性三個(gè)方面深入研究HTTP洪泛攻擊檢測(cè)機(jī)制與算法。
　　本論文首先從Web用戶訪問行為特征入手，圍繞用戶訪問主題流行度、訪問邏輯關(guān)聯(lián)度兩個(gè)網(wǎng)頁(yè)語(yǔ)義特征

4、，提出了基于大偏差統(tǒng)計(jì)的Web訪問行為網(wǎng)頁(yè)語(yǔ)義特征量化分析方法，有效地量化分析不同Web用戶在訪問主題流行度、訪問邏輯關(guān)聯(lián)度兩個(gè)網(wǎng)頁(yè)語(yǔ)義特征方面的差異，為后續(xù)研究奠定基礎(chǔ)。其次，圍繞用戶訪問主題流行度，設(shè)計(jì)了新的 HTTP洪泛攻擊檢測(cè)機(jī)制與算法，采用多種不同類型HTTP洪泛攻擊模型進(jìn)行驗(yàn)證。最后，圍繞基于正常用戶訪問行為的HTTP檢測(cè)機(jī)制可靠性，分析了訓(xùn)練數(shù)據(jù)集中網(wǎng)頁(yè)抓取行為日志對(duì)它們的影響；以用戶訪問主題流行度為核心，本論文進(jìn)一步提出

5、一種可容忍訓(xùn)練數(shù)據(jù)集中噪聲的的 HTTP洪泛攻擊檢測(cè)機(jī)制與算法。
　　具體地，本論文從如下幾個(gè)方面展開研究：
　　1.基于網(wǎng)頁(yè)語(yǔ)義的Web用戶訪問行為特征及量化方法研究
　　Web用戶訪問行為特征及量化方法研究是檢測(cè) HTTP洪泛攻擊的基礎(chǔ)，它刻畫了不同Web訪問用戶之間的行為差異，是有效識(shí)別HTTP洪泛攻擊的關(guān)鍵?，F(xiàn)有檢測(cè)機(jī)制中采用的一些訪問請(qǐng)求間隔、訪問速率等典型Web訪問行為特征容易被一些攻擊者模仿，導(dǎo)致檢測(cè)機(jī)制

6、失效，亟需研究新的Web訪問行為特征用于檢測(cè)HTTP洪泛攻擊。結(jié)合現(xiàn)有Web訪問行為研究基礎(chǔ)，本論文圍繞Web用戶訪問主題流行度、訪問邏輯關(guān)聯(lián)度兩個(gè)網(wǎng)頁(yè)語(yǔ)義特征，研究可有效量化Web用戶行為差異的方法，采用大偏差統(tǒng)計(jì)量化分析Web用戶在訪問主題流行度、訪問邏輯關(guān)聯(lián)度方面的差異，建立基于大偏差統(tǒng)計(jì)的Web用戶網(wǎng)頁(yè)語(yǔ)義行為特征量化框架，初步分析正常用戶會(huì)話跟一些常見 HTTP洪泛攻擊在網(wǎng)頁(yè)語(yǔ)義特征方面的區(qū)別，為后續(xù)HTTP洪泛攻擊檢測(cè)奠定基

7、礎(chǔ)。
　　2.基于用戶訪問主題流行度的HTTP洪泛攻擊檢測(cè)機(jī)制與算法研究
　　圍繞用戶訪問主題流行度特征，設(shè)計(jì)可檢測(cè)多種不同類型 HTTP洪泛攻擊的檢測(cè)機(jī)制與算法。全局網(wǎng)頁(yè)點(diǎn)擊率是Web用戶訪問主題流行度量化的基礎(chǔ)，它衡量了不同網(wǎng)頁(yè)主題最新流行趨勢(shì)。受網(wǎng)頁(yè)內(nèi)容通常動(dòng)態(tài)變化、檢測(cè)模型的滯后性等因素影響，全局網(wǎng)頁(yè)點(diǎn)擊率分布呈動(dòng)態(tài)變化。如何準(zhǔn)確實(shí)時(shí)估算全局網(wǎng)頁(yè)點(diǎn)擊率分布是量化用戶訪問主題流行度的關(guān)鍵，也是 HTTP洪泛攻擊檢測(cè)方法

8、需要解決的一個(gè)重要問題。針對(duì)上述問題，本論文研究可動(dòng)態(tài)估算全局網(wǎng)頁(yè)點(diǎn)擊率分布的方法，提出運(yùn)用指數(shù)加權(quán)移動(dòng)平均統(tǒng)計(jì)方法（EWMA，Exponential Weighted Moving Average）設(shè)計(jì)可動(dòng)態(tài)估算全局網(wǎng)頁(yè)點(diǎn)擊率的算法，結(jié)合網(wǎng)站歷史全局網(wǎng)頁(yè)點(diǎn)擊率分布、當(dāng)前用戶訪問請(qǐng)求目標(biāo)，動(dòng)態(tài)更新當(dāng)前全局網(wǎng)頁(yè)點(diǎn)擊率分布，進(jìn)一步對(duì)該更新算法修正，反向消減惡意攻擊者對(duì)網(wǎng)站全局點(diǎn)擊率分布的影響。
　　3. HTTP洪泛攻擊檢測(cè)機(jī)制魯棒性

9、研究
　　訓(xùn)練數(shù)據(jù)的準(zhǔn)確性是基于正常用戶訪問行為檢測(cè)方法需要考慮的重要問題，是影響檢測(cè)性能的關(guān)鍵因素。Web訪問日志是 HTTP洪泛攻擊檢測(cè)機(jī)制的主要數(shù)據(jù)源，其中通常包含有網(wǎng)頁(yè)抓取行為日志。經(jīng)過(guò)分析，發(fā)現(xiàn)網(wǎng)頁(yè)抓取行為跟正常用戶訪問行為的差異性造成建立的檢測(cè)基準(zhǔn)不準(zhǔn)確，嚴(yán)重影響檢測(cè)性能。本論文以Web用戶訪問主題流行度、訪問會(huì)話長(zhǎng)度為主要特征，分析正常用戶訪問行為的關(guān)聯(lián)特征分布，由此建立可容忍網(wǎng)頁(yè)抓取行為的HTTP洪泛攻擊檢測(cè)機(jī)制。