應(yīng)用層HTTP攻擊檢測關(guān)鍵技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施的改善與低層檢測防御系統(tǒng)性能的加強，傳統(tǒng)基于網(wǎng)絡(luò)層與傳輸層的網(wǎng)絡(luò)攻擊呈現(xiàn)出向應(yīng)用層遷移的趨勢；Web應(yīng)用本身所蘊含的價值因素以及由于應(yīng)用層協(xié)議復(fù)雜性所帶來的各種層出不窮的漏洞也誘使攻擊者把目標轉(zhuǎn)向應(yīng)用層；由于其特殊性，作為Web應(yīng)用載體的HTTP協(xié)議也常常被攻擊者用于實施網(wǎng)絡(luò)攻擊。然而，現(xiàn)有的網(wǎng)絡(luò)安全設(shè)施卻仍然停留在基于網(wǎng)絡(luò)層或傳輸層的防火墻技術(shù)，事實表明，單純依靠這一類以分組檢測與過濾為主的技術(shù)無法有效應(yīng)對類型繁雜的應(yīng)

2、用層安全問題。多層的網(wǎng)絡(luò)體系結(jié)構(gòu)需要多層次的安全防御系統(tǒng)，為此，本文首次研究了三種新型的應(yīng)用層HTTP攻擊及其檢測方法，它們包括：應(yīng)用層常速率分布式拒絕服務(wù)攻擊檢測、突發(fā)流下的應(yīng)用層分布式拒絕服務(wù)攻擊檢測以及基于proxy-to-server的HTTP攻擊檢測。與傳統(tǒng)基于分組頭部信息統(tǒng)計檢測的方法不同，本文的檢測方案建立在應(yīng)用層之上，從高層“用戶行為”或Web流行為的角度實現(xiàn)不同攻擊場景下的HTTP異常檢測。我們首次把在統(tǒng)計上具有廣泛適

3、用性、在檢測與估計算法上具有高度有效性的隱半馬爾科夫模型應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，利用它描述Web用戶的瀏覽行為、突發(fā)流下HTTP重訪率的時空分布特性及proxy-to-server Web流行為的隨機變化過程，應(yīng)用魯棒高效的主成分分析與獨立分量分析實現(xiàn)高維數(shù)據(jù)空間的壓縮與獨立化處理。用觀測序列相對于給定模型的或然概率來度量用戶請求序列、突發(fā)性Web流及代理行為的正常程度，并賦予相應(yīng)優(yōu)先級進行排隊服務(wù)和流量控制。通過實際采集的數(shù)據(jù)進行仿真試驗