【摘要】：隨著近些年互聯(lián)網(wǎng)的迅速發(fā)展,包括Web服務(wù)在內(nèi)的應(yīng)用層服務(wù)和應(yīng)用程序越來越多的被開發(fā)和使用。應(yīng)用層的安全問題日益突出,其安全重要性也愈加顯得重要�；赪eb服務(wù)器的網(wǎng)絡(luò)攻擊行為發(fā)生頻繁,分布式拒絕服務(wù)攻擊(DDoS)是其中最難以防御且破壞性最大的攻擊行為之一。DDoS是一種通過消耗目標(biāo)資源來阻止用戶正常訪問目標(biāo)服務(wù)的網(wǎng)絡(luò)攻擊形式,它對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的可用性構(gòu)成極大的威脅,同傳統(tǒng)的DDoS相比,基于應(yīng)用層的DDoS攻擊隱藏效果更好,破壞力更強(qiáng)。DDoS攻擊檢測(cè)是整個(gè)安全防范體系的重要一環(huán),通過快速、準(zhǔn)確地檢測(cè)和識(shí)別攻擊,為安全防御提供有效支撐。現(xiàn)有的大多數(shù)DDoS檢測(cè)方法難以區(qū)分攻擊者的攻擊行為和突發(fā)的大流量正常請(qǐng)求行為,基于網(wǎng)絡(luò)行為分析的檢測(cè)方法對(duì)于攻擊者的異常行為能夠較好的辨識(shí),因此基于網(wǎng)絡(luò)行為分析的DDoS檢測(cè)方法的研究顯得很有必要。本文根據(jù)攻擊者對(duì)Web服務(wù)器發(fā)起DDoS攻擊時(shí)選取URL的不同方式,把針對(duì)應(yīng)用層Web服務(wù)的DDoS攻擊分為固定URL攻擊,隨機(jī)URL攻擊和遍歷URL爬蟲模式攻擊三種類型,并對(duì)每一類攻擊時(shí)URL的請(qǐng)求率進(jìn)行分析,把請(qǐng)求的URL作為離散隨機(jī)變量,得出攻擊時(shí)的URL請(qǐng)求熵并與正常情況下URL請(qǐng)求熵進(jìn)行對(duì)比,以此找出DDoS攻擊時(shí)的行為差異。在此基礎(chǔ)上對(duì)檢測(cè)結(jié)果進(jìn)一步分析優(yōu)化,提出一種基于URL聯(lián)合信息熵向量的DDoS攻擊檢測(cè)方法,檢測(cè)方法將URL請(qǐng)求熵和頁面停留時(shí)間熵進(jìn)行向量結(jié)合,通過仿真表明該方法能夠有效的區(qū)分DDoS攻擊和正常突發(fā)大流量Flash Crowd訪問情況。最后,通過對(duì)目前主流DDoS攻擊工具的研究分析,基于實(shí)驗(yàn)室的面向服務(wù)架構(gòu)下的Web系統(tǒng),利用模擬實(shí)驗(yàn)對(duì)檢測(cè)方法做了可行性和檢測(cè)效能的驗(yàn)證測(cè)試,實(shí)驗(yàn)結(jié)果表明基于網(wǎng)絡(luò)行為分析的聯(lián)合信息熵向量檢測(cè)方法對(duì)DDoS檢測(cè)能夠明顯的減少誤檢率。
[Abstract]:With the rapid development of the Internet in recent years, more and more application-level services and applications, including Web services, have been developed and used. The security problem of application layer is becoming more and more prominent, and its security importance is becoming more and more important. Network attacks based on Web server occur frequently. Distributed denial of service attack (DDoS) is one of the most difficult and destructive attacks. DDoS is a network attack that prevents users from accessing the target service by consuming target resources. It poses a great threat to the availability of network and network services. Compared with traditional DDoS, DDoS attack based on application layer has better hiding effect and stronger destructive power. DDoS attack detection is an important part of the whole security prevention system. Accurate detection and identification of attacks to provide effective support for security defense. Most of the existing DDoS detection methods are difficult to distinguish the attacker's attack behavior from the burst large traffic normal request behavior. The detection method based on network behavior analysis can better identify the attacker's abnormal behavior. Therefore, it is necessary to study the DDoS detection method based on network behavior analysis. According to the different ways of selecting URL when attackers launch DDoS attack on Web server, this paper divides the DDoS attack against application layer Web service into three types: fixed URL attack, random URL attack and traversing URL crawler mode attack. The request rate of URL in each attack is analyzed, the URL of the request is regarded as a discrete random variable, the URL request entropy of the attack is obtained and compared with the normal URL request entropy, so as to find out the difference of the behavior of the DDoS attack. On this basis, the detection results are further analyzed and optimized, and a DDoS attack detection method based on the URL joint information entropy vector is proposed. The detection method combines the URL request entropy with the page residence time entropy vector. Simulation results show that the proposed method can effectively distinguish DDoS attacks from normal burst large traffic Flash Crowd access. Finally, through the research and analysis of the current mainstream DDoS attack tools, based on the Web system based on the service-oriented architecture of the laboratory, the feasibility and effectiveness of the detection method are tested by simulation experiments. The experimental results show that the joint information entropy vector detection method based on network behavior analysis can significantly reduce the false detection rate for DDoS detection.
【學(xué)位授予單位】：沈陽理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 代昆玉;胡濱;雷浩;;基于網(wǎng)絡(luò)流量的應(yīng)用層DDoS攻擊檢測(cè)方法研究[J];微型電腦應(yīng)用;2014年09期

2 譚前進(jìn);趙前程;;Web系統(tǒng)安全威脅研究[J];洛陽師范學(xué)院學(xué)報(bào);2014年02期

3 謝柏林;蔣盛益;張倩生;;基于請(qǐng)求關(guān)鍵詞的應(yīng)用層DDoS攻擊檢測(cè)方法[J];計(jì)算機(jī)科學(xué);2013年07期

4 王鵬;;互聯(lián)網(wǎng)防御DOS/DDOS攻擊策略研究[J];郵電設(shè)計(jì)技術(shù);2012年10期

5 熊俊;;應(yīng)用層DDOS攻擊檢測(cè)技術(shù)研究[J];信息安全與技術(shù);2012年09期

6 曾凡鋒;夏雪峰;王景中;;基于網(wǎng)絡(luò)行為的防火墻設(shè)計(jì)與實(shí)現(xiàn)[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2012年02期

7 李麗娟;李少東;;自適應(yīng)聚類算法在DDoS攻擊檢測(cè)中的應(yīng)用[J];計(jì)算機(jī)工程與應(yīng)用;2012年02期

8 張紋華;賈智平;李新;;利用蟻群聚類檢測(cè)應(yīng)用層DDoS攻擊的方法[J];計(jì)算機(jī)工程與應(yīng)用;2011年14期

9 趙國(guó)鋒;喻守成;文晟;;基于用戶行為分析的應(yīng)用層DDoS攻擊檢測(cè)方法[J];計(jì)算機(jī)應(yīng)用研究;2011年02期

10 趙慧明;劉衛(wèi)國(guó);;基于信息熵聚類的DDoS檢測(cè)算法[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2010年12期

相關(guān)會(huì)議論文 前1條

1 王春暉;;論攻防實(shí)驗(yàn)室對(duì)等保測(cè)評(píng)人員的技能提升[A];第二屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)會(huì)議論文集[C];2013年

相關(guān)博士學(xué)位論文 前2條

1 徐川;應(yīng)用層DDoS攻擊檢測(cè)算法研究及實(shí)現(xiàn)[D];重慶大學(xué);2012年

2 羅光春;入侵檢測(cè)若干關(guān)鍵技術(shù)與DDoS攻擊研究[D];電子科技大學(xué);2003年

相關(guān)碩士學(xué)位論文 前10條

1 任瑋;P2P僵尸網(wǎng)絡(luò)檢測(cè)及傳播模型研究[D];中北大學(xué);2016年

2 劉恒馳;面向服務(wù)架構(gòu)的網(wǎng)絡(luò)系統(tǒng)異常行為檢測(cè)技術(shù)研究[D];沈陽理工大學(xué);2016年

3 孫劍;基于應(yīng)用層的DDoS攻擊檢測(cè)方法研究[D];江南大學(xué);2015年

4 王功聰;基于內(nèi)容的網(wǎng)絡(luò)行為分析[D];北方工業(yè)大學(xué);2014年

5 張志源;Web服務(wù)器的DDoS攻擊檢測(cè)方法研究[D];鄭州大學(xué);2014年

6 黃宸;Web服務(wù)DDoS攻擊的防御技術(shù)研究[D];北京郵電大學(xué);2013年

7 馮海濤;基于模糊聚類算法的DDoS攻擊檢測(cè)方法的研究與實(shí)現(xiàn)[D];西南交通大學(xué);2013年

8 余雙成;DDoS攻擊檢測(cè)技術(shù)研究[D];北京郵電大學(xué);2013年

9 徐琳;應(yīng)用層DDoS攻擊防御與檢測(cè)方法[D];上海交通大學(xué);2013年

10 韓寶昌;計(jì)算機(jī)犯罪取證證據(jù)分析的研究[D];大連交通大學(xué);2012年

，

本文編號(hào)：2386375