【摘要】：隨著近些年互聯(lián)網(wǎng)的迅速發(fā)展,包括Web服務(wù)在內(nèi)的應(yīng)用層服務(wù)和應(yīng)用程序越來越多的被開發(fā)和使用。應(yīng)用層的安全問題日益突出,其安全重要性也愈加顯得重要�；赪eb服務(wù)器的網(wǎng)絡(luò)攻擊行為發(fā)生頻繁,分布式拒絕服務(wù)攻擊(DDoS)是其中最難以防御且破壞性最大的攻擊行為之一。DDoS是一種通過消耗目標資源來阻止用戶正常訪問目標服務(wù)的網(wǎng)絡(luò)攻擊形式,它對網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的可用性構(gòu)成極大的威脅,同傳統(tǒng)的DDoS相比,基于應(yīng)用層的DDoS攻擊隱藏效果更好,破壞力更強。DDoS攻擊檢測是整個安全防范體系的重要一環(huán),通過快速、準確地檢測和識別攻擊,為安全防御提供有效支撐。現(xiàn)有的大多數(shù)DDoS檢測方法難以區(qū)分攻擊者的攻擊行為和突發(fā)的大流量正常請求行為,基于網(wǎng)絡(luò)行為分析的檢測方法對于攻擊者的異常行為能夠較好的辨識,因此基于網(wǎng)絡(luò)行為分析的DDoS檢測方法的研究顯得很有必要。本文根據(jù)攻擊者對Web服務(wù)器發(fā)起DDoS攻擊時選取URL的不同方式,把針對應(yīng)用層Web服務(wù)的DDoS攻擊分為固定URL攻擊,隨機URL攻擊和遍歷URL爬蟲模式攻擊三種類型,并對每一類攻擊時URL的請求率進行分析,把請求的URL作為離散隨機變量,得出攻擊時的URL請求熵并與正常情況下URL請求熵進行對比,以此找出DDoS攻擊時的行為差異。在此基礎(chǔ)上對檢測結(jié)果進一步分析優(yōu)化,提出一種基于URL聯(lián)合信息熵向量的DDoS攻擊檢測方法,檢測方法將URL請求熵和頁面停留時間熵進行向量結(jié)合,通過仿真表明該方法能夠有效的區(qū)分DDoS攻擊和正常突發(fā)大流量Flash Crowd訪問情況。最后,通過對目前主流DDoS攻擊工具的研究分析,基于實驗室的面向服務(wù)架構(gòu)下的Web系統(tǒng),利用模擬實驗對檢測方法做了可行性和檢測效能的驗證測試,實驗結(jié)果表明基于網(wǎng)絡(luò)行為分析的聯(lián)合信息熵向量檢測方法對DDoS檢測能夠明顯的減少誤檢率。
[Abstract]:With the rapid development of the Internet in recent years, more and more application-level services and applications, including Web services, have been developed and used. The security problem of application layer is becoming more and more prominent, and its security importance is becoming more and more important. Network attacks based on Web server occur frequently. Distributed denial of service attack (DDoS) is one of the most difficult and destructive attacks. DDoS is a network attack that prevents users from accessing the target service by consuming target resources. It poses a great threat to the availability of network and network services. Compared with traditional DDoS, DDoS attack based on application layer has better hiding effect and stronger destructive power. DDoS attack detection is an important part of the whole security prevention system. Accurate detection and identification of attacks to provide effective support for security defense. Most of the existing DDoS detection methods are difficult to distinguish the attacker's attack behavior from the burst large traffic normal request behavior. The detection method based on network behavior analysis can better identify the attacker's abnormal behavior. Therefore, it is necessary to study the DDoS detection method based on network behavior analysis. According to the different ways of selecting URL when attackers launch DDoS attack on Web server, this paper divides the DDoS attack against application layer Web service into three types: fixed URL attack, random URL attack and traversing URL crawler mode attack. The request rate of URL in each attack is analyzed, the URL of the request is regarded as a discrete random variable, the URL request entropy of the attack is obtained and compared with the normal URL request entropy, so as to find out the difference of the behavior of the DDoS attack. On this basis, the detection results are further analyzed and optimized, and a DDoS attack detection method based on the URL joint information entropy vector is proposed. The detection method combines the URL request entropy with the page residence time entropy vector. Simulation results show that the proposed method can effectively distinguish DDoS attacks from normal burst large traffic Flash Crowd access. Finally, through the research and analysis of the current mainstream DDoS attack tools, based on the Web system based on the service-oriented architecture of the laboratory, the feasibility and effectiveness of the detection method are tested by simulation experiments. The experimental results show that the joint information entropy vector detection method based on network behavior analysis can significantly reduce the false detection rate for DDoS detection.
【學(xué)位授予單位】：沈陽理工大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前10條

1 代昆玉;胡濱;雷浩;;基于網(wǎng)絡(luò)流量的應(yīng)用層DDoS攻擊檢測方法研究[J];微型電腦應(yīng)用;2014年09期

2 譚前進;趙前程;;Web系統(tǒng)安全威脅研究[J];洛陽師范學(xué)院學(xué)報;2014年02期

3 謝柏林;蔣盛益;張倩生;;基于請求關(guān)鍵詞的應(yīng)用層DDoS攻擊檢測方法[J];計算機科學(xué);2013年07期

4 王鵬;;互聯(lián)網(wǎng)防御DOS/DDOS攻擊策略研究[J];郵電設(shè)計技術(shù);2012年10期

5 熊俊;;應(yīng)用層DDOS攻擊檢測技術(shù)研究[J];信息安全與技術(shù);2012年09期

6 曾凡鋒;夏雪峰;王景中;;基于網(wǎng)絡(luò)行為的防火墻設(shè)計與實現(xiàn)[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2012年02期

7 李麗娟;李少東;;自適應(yīng)聚類算法在DDoS攻擊檢測中的應(yīng)用[J];計算機工程與應(yīng)用;2012年02期

8 張紋華;賈智平;李新;;利用蟻群聚類檢測應(yīng)用層DDoS攻擊的方法[J];計算機工程與應(yīng)用;2011年14期

9 趙國鋒;喻守成;文晟;;基于用戶行為分析的應(yīng)用層DDoS攻擊檢測方法[J];計算機應(yīng)用研究;2011年02期

10 趙慧明;劉衛(wèi)國;;基于信息熵聚類的DDoS檢測算法[J];計算機系統(tǒng)應(yīng)用;2010年12期

相關(guān)會議論文 前1條

1 王春暉;;論攻防實驗室對等保測評人員的技能提升[A];第二屆全國信息安全等級保護技術(shù)大會會議論文集[C];2013年

相關(guān)博士學(xué)位論文 前2條

1 徐川;應(yīng)用層DDoS攻擊檢測算法研究及實現(xiàn)[D];重慶大學(xué);2012年

2 羅光春;入侵檢測若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

相關(guān)碩士學(xué)位論文 前10條

1 任瑋;P2P僵尸網(wǎng)絡(luò)檢測及傳播模型研究[D];中北大學(xué);2016年

2 劉恒馳;面向服務(wù)架構(gòu)的網(wǎng)絡(luò)系統(tǒng)異常行為檢測技術(shù)研究[D];沈陽理工大學(xué);2016年

3 孫劍;基于應(yīng)用層的DDoS攻擊檢測方法研究[D];江南大學(xué);2015年

4 王功聰;基于內(nèi)容的網(wǎng)絡(luò)行為分析[D];北方工業(yè)大學(xué);2014年

5 張志源;Web服務(wù)器的DDoS攻擊檢測方法研究[D];鄭州大學(xué);2014年

6 黃宸;Web服務(wù)DDoS攻擊的防御技術(shù)研究[D];北京郵電大學(xué);2013年

7 馮海濤;基于模糊聚類算法的DDoS攻擊檢測方法的研究與實現(xiàn)[D];西南交通大學(xué);2013年

8 余雙成;DDoS攻擊檢測技術(shù)研究[D];北京郵電大學(xué);2013年

9 徐琳;應(yīng)用層DDoS攻擊防御與檢測方法[D];上海交通大學(xué);2013年

10 韓寶昌;計算機犯罪取證證據(jù)分析的研究[D];大連交通大學(xué);2012年

，

本文編號：2386375