摘 要：當(dāng)今世界計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展迅猛，信息化進(jìn)程進(jìn)一步加速，信息網(wǎng)絡(luò)已經(jīng)在全球范圍內(nèi)普及，逐漸融入人們的生活當(dāng)中。然而，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也日益增大。并且網(wǎng)絡(luò)安全的攻擊較以前更加復(fù)雜，很難進(jìn)行有效的檢測(cè)和防御。網(wǎng)絡(luò)層DDoS攻擊和應(yīng)用層DDoS攻擊是目前存在的主要DDoS攻擊類型。由于網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，目前已經(jīng)找到防御網(wǎng)絡(luò)層DDoS攻擊的有效解決辦法，因此應(yīng)用層DDoS攻擊成為最大的網(wǎng)絡(luò)安全威脅。這是一種極具破壞力的新型的網(wǎng)絡(luò)攻擊，如何進(jìn)行應(yīng)用層DDoS攻擊檢測(cè)與有效防御已成為備受矚目的焦點(diǎn)問題。文章擬對(duì)此問題進(jìn)行探討和研究，以期為相關(guān)理論研究和實(shí)踐提供些許借鑒。

關(guān)鍵詞：應(yīng)用層DDoS；攻擊；檢測(cè)；防御

上世紀(jì)90年代DDoS攻擊陸續(xù)開始出現(xiàn)，到現(xiàn)在已經(jīng)達(dá)到一定的規(guī)模，不僅如此，網(wǎng)絡(luò)攻擊的力度還在不斷加強(qiáng)，攻擊的方式也逐漸變得多樣化。從最初的低層協(xié)議逐漸向高層協(xié)議發(fā)展，這是DDoS攻擊發(fā)展的基本趨勢(shì)。針對(duì)低層的DDoS攻擊目前已經(jīng)有了比較完善有效的解決方案。為了逃避攻擊檢測(cè)，網(wǎng)絡(luò)攻擊者制造出破壞性更加強(qiáng)大的DDoS攻擊，網(wǎng)絡(luò)攻擊者逐步將應(yīng)用層作為DDoS攻擊的新目標(biāo)。為了有效地減小網(wǎng)絡(luò)攻擊造成的危害，對(duì)應(yīng)用層DDoS攻擊檢測(cè)與防御研究也日益廣泛地開展起來，尋求應(yīng)用層DDoS攻擊檢測(cè)與防御的有效方法，積極抵御網(wǎng)絡(luò)攻擊以最大限度地降低網(wǎng)絡(luò)攻擊造成的危害已經(jīng)勢(shì)在必行。應(yīng)用層DDoS攻擊檢測(cè)與防御成為不容忽視的焦點(diǎn)問題，對(duì)這一問題展開研究和探討具有極其重要的意義。

1 應(yīng)用層DDoS攻擊的特征

應(yīng)用層DDoS攻擊具有極其鮮明的特征。與低層DDoS攻擊相比較而言，應(yīng)用層DDoS攻擊截然不同。主要表現(xiàn)在以下幾個(gè)方面：

其一，應(yīng)用層DDoS攻擊的數(shù)據(jù)包有著與正常用戶的數(shù)據(jù)包一模一樣的格式，根本就不存在畸形包，字段值也不存在異樣，這樣一來，使用從特征匹配的檢測(cè)算法來檢測(cè)攻擊就不具備有效性。其二，應(yīng)用層DDoS攻擊采用的也是真實(shí)的IP地址，因?yàn)檫M(jìn)行應(yīng)用層DDoS攻擊，需要采用服務(wù)器將TCP連接建立起來。其三，應(yīng)用層有著更為復(fù)雜的協(xié)議，例如http協(xié)議，如果發(fā)出某一條命令很有可能需要進(jìn)行許多數(shù)據(jù)庫搜索步驟，會(huì)使很多資源被使用掉。所以，應(yīng)用層DDoS攻擊能夠僅僅使用極低速率的攻擊流，就可以使受到攻擊的主機(jī)宕機(jī)。事實(shí)上，常用的防火墻等網(wǎng)絡(luò)安全防護(hù)產(chǎn)品難以檢測(cè)出這種攻擊。應(yīng)用層DDoS攻擊所具有的特性加大了其攻擊性，對(duì)其進(jìn)行檢測(cè)更是難度極大。

2 應(yīng)用層DDoS攻擊檢測(cè)的算法

計(jì)算機(jī)正常的會(huì)話請(qǐng)求間隔與請(qǐng)求頁面是具有一定相似性的，應(yīng)用層DDoS攻擊會(huì)話的請(qǐng)求間隔與請(qǐng)求頁面相似性相當(dāng)強(qiáng)，而二者之間具有較小的相似性。因而對(duì)應(yīng)用層DDoS攻擊進(jìn)行檢測(cè)的算法，可以依照會(huì)話的請(qǐng)求間隔和請(qǐng)求頁面當(dāng)作是相似性的衡量標(biāo)準(zhǔn)，對(duì)會(huì)話進(jìn)行聚類分析，在進(jìn)行分析時(shí)恰當(dāng)?shù)夭捎米V聚類算法，這種聚類算法是以數(shù)據(jù)挖掘中的圖譜理論為基礎(chǔ)的。分析后將正常的會(huì)話聚成許多簇，如果存在攻擊會(huì)話，就將攻擊會(huì)話聚成一個(gè)簇，從而使應(yīng)用層DDoS攻擊的檢測(cè)得以順利實(shí)施。

具體來講，應(yīng)用層DDoS攻擊檢測(cè)步驟可以分為以下幾步：第一步，將時(shí)間窗口設(shè)置為時(shí)長(zhǎng)2分鐘，時(shí)間窗口當(dāng)中的訪問服務(wù)器的不同IP可以作為不同的會(huì)話，記錄下不同會(huì)話在時(shí)間窗口當(dāng)中對(duì)應(yīng)的請(qǐng)求頁面時(shí)間，請(qǐng)求的頁面，每一個(gè)時(shí)間窗有50條紀(jì)錄，如果在時(shí)間窗當(dāng)中沒有紀(jì)錄，則標(biāo)記為“0”。第二步，將不同會(huì)話之間的相似矩陣計(jì)算出來。應(yīng)分別從兩個(gè)不同的方面來度量會(huì)話間的相似性，一方面是間隔分布的相似性，另一方面則是請(qǐng)求頁面的相似性。第三步就是應(yīng)用譜聚類算法進(jìn)行聚類分析。采用這三個(gè)步驟就可以完成對(duì)應(yīng)用層DDoS攻擊的檢測(cè)，來判斷是否受到應(yīng)用層DDoS攻擊。

3 基于訪問行為的應(yīng)用層DDoS攻擊防御

在計(jì)算機(jī)科學(xué)當(dāng)中有著網(wǎng)絡(luò)分層模型理論，在這一理論中指出，將網(wǎng)絡(luò)節(jié)點(diǎn)需完成的數(shù)據(jù)進(jìn)行發(fā)送或者是進(jìn)行轉(zhuǎn)發(fā)，有的則是進(jìn)行打包或者是進(jìn)行拆包，對(duì)信息的加載或者是拆出予以有效地控制，這些工作需要通過各種不同模塊來操作，這些模塊包括硬件模塊和軟件模塊等。通過這些模塊所做的工作，能夠使較為復(fù)雜的問題更加簡(jiǎn)化。如使網(wǎng)絡(luò)之間的互相連接或者是往來通信這些復(fù)雜的程序更加簡(jiǎn)化易行。

根據(jù)網(wǎng)絡(luò)分層模型的理論來進(jìn)行分析，信息流應(yīng)該在與其相對(duì)應(yīng)的不同層次得以處理。目前出現(xiàn)了許多新型的更加難以防御的網(wǎng)絡(luò)攻擊行為，如作為一種層次較高的網(wǎng)絡(luò)攻擊行為，App-DDoS是很難被檢測(cè)出來的。如果還像以往那樣只是單純地從服務(wù)器IP分組來進(jìn)行判斷或者是通過TCP連接來對(duì)這種行為進(jìn)行檢測(cè)，那么很難得出正確的結(jié)論。另一方面，如果單獨(dú)對(duì)不同HTTP請(qǐng)求是否正常進(jìn)行判斷，那么也不能準(zhǔn)確地對(duì)應(yīng)用層DDoS攻擊進(jìn)行有效的防御。要想對(duì)這種網(wǎng)絡(luò)攻擊行為進(jìn)行有效的檢測(cè)和防御，必須要采用先進(jìn)的手段。有效的App-DDoS攻擊檢測(cè)和防御系統(tǒng)應(yīng)在相應(yīng)的層次建立起來，這樣才可以得到更多的相關(guān)有效的信息，以便從這些信息中獲得最為有用的信息，從而更加有效地防御應(yīng)用層DDoS攻擊。

4 結(jié)束語

隨著信息科技和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，多樣性的DDoS攻擊對(duì)網(wǎng)絡(luò)系統(tǒng)造成的破壞性越來越大。雖然路由器和防火墻等可以在網(wǎng)絡(luò)的邊界發(fā)揮一些檢測(cè)作用，也可以對(duì)這些網(wǎng)絡(luò)攻擊行為發(fā)揮少許的防御功能，能夠在一定程度上降低DDoS攻擊行為的侵害，但是，由于DDoS攻擊，特別是應(yīng)用層DDoS攻擊手段十分獨(dú)特，所以對(duì)其進(jìn)行檢測(cè)和防御難度相當(dāng)之大。許多業(yè)內(nèi)人士就應(yīng)用層DDoS攻擊的檢測(cè)和防御問題進(jìn)行了深入的研究，以尋求更加科學(xué)有效的解決方案。但是，隨著相關(guān)研究的不斷深入，應(yīng)用層DDoS攻擊方式也在不斷地發(fā)生變化，攻擊力度不斷地加強(qiáng)，攻擊所用的工具也在進(jìn)一步升級(jí)，因此，對(duì)應(yīng)用層DDoS攻擊檢測(cè)和防御的研究還要長(zhǎng)期不懈地開展，以便隨之應(yīng)對(duì)各種各樣不斷變化升級(jí)的網(wǎng)絡(luò)攻擊方式，維護(hù)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]王風(fēng)宇，曹首峰，肖軍，等.一種基于Web群體外聯(lián)行為的應(yīng)用層DDoS檢測(cè)方法[J].軟件學(xué)報(bào)，2013（6）.

[2]趙國(guó)峰，喻守成，文晟.基于用戶行為分析的應(yīng)用層DDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用研究，2011，28（2）：717-719.

[3]楊新宇，楊樹森，李娟.基于非線性預(yù)處理網(wǎng)絡(luò)流量預(yù)測(cè)方法的泛洪型DDoS攻擊檢測(cè)算法[J].計(jì)算機(jī)學(xué)報(bào)，2011（2）.

[4]魏冰，徐震.基于驗(yàn)證機(jī)制的應(yīng)用層DDoS攻擊防御方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2012，31（2）：231-238.

[5]李靜軒，周文成，文義晟.基于用戶行為分析的應(yīng)用層DDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用研究，2014（6）.