摘要:针对基于流量特征的应用层DDoS检测方法侧重于检测持续型应用层DDoS攻击,而忽略检测上升型与脉冲型应用层 DDoS 攻击的问题,提出一种综合检测多类型应用层 DDoS 攻击的方法。首先通过 Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现HTTP GET数的快速统计功能,以支持对刻画数据规模、流量趋势及源 IP 地址分布差异所需特征参数的实时计算;然后采用偏二叉树结构组合SVM分类器分层训练特征参数,并结合遍历与反馈学习的方法,提出基于偏二叉树SVM多分类算法的应用层DDoS检测方法,快速区分出非突发正常流量、突发正常流量及多类型App-DDoS流量。实验表明,所提算法通过划分检测类型、逐层训练检测模型,与传统基于SVM、Navie Bayes的检测方法相比,具有更高的检测率与更低的误检率,且能有效区分出具体攻击类型。
关键词: 应用层DDoS攻击 ; HTTPGET统计模型 ; 流量特征参数 ; SVM多分类器
分布式拒绝服务(DDoS,distributed denial of service)攻击通过控制僵尸主机发送大量数据分组,耗尽被攻击目标网络或系统资源,影响其正常工作,已成为网络安全的主要威胁之一。
当前,针对网络层、传输层DDoS攻击的检测防御技术不断完善,应用层DDoS(App-DDoS, application layer DDoS)攻击成为研究的热点。App-DDoS 攻击与服务器建立正常的连接,发送访问请求,在网络层与传输层表现正常,数据分组中TCP 3次握手及请求内容均不存在异常,与正常用户集中访问(flash crowd)造成的表象极为相似&