馬蘭 崔博花 劉軒 岳猛 吳志軍

摘 要：針對廣域信息管理（SWIM）系統(tǒng)受到應(yīng)用層分布式拒絕服務(wù)（DDoS）攻擊的問題，提出了一種基于隱半馬爾可夫模型（HSMM）的SWIM應(yīng)用層DDoS攻擊的檢測方法。首先采用改進(jìn)后的前向后向算法，利用HSMM建立動態(tài)異常檢測模型動態(tài)地追蹤正常SWIM用戶的瀏覽行為;然后通過學(xué)習(xí)和預(yù)測正常SWIM用戶行為得出正常檢測區(qū)間;最后選取訪問包的大小和請求時間間隔為特征進(jìn)行建模最后提取請求時間間隔和請求對象為特征模型此處是否應(yīng)該為建模，因其與3.1節(jié)中的“最終選取訪問包的大小和請求時間間隔為特征進(jìn)行建模”的表述不一致？是否需要統(tǒng)一？請明確。若改動中文摘要中的表述，英文摘要處亦作相應(yīng)修改，用被動句式來表達(dá)。，并訓(xùn)練模型進(jìn)行異常檢測。實(shí)驗(yàn)結(jié)果表明，所提方法在攻擊1和攻擊2情況下檢測率分別為99.95%和91.89%，與快速前向后向算法構(gòu)建的HSMM相比，檢測率提升了0.9%。測試結(jié)果表明所提方法可以有效地檢測SWIM系統(tǒng)應(yīng)用層DDoS攻擊。

關(guān)鍵詞：廣域信息管理系統(tǒng);應(yīng)用層分布式拒絕服務(wù);隱半馬爾可夫模型;SWIM用戶行為;安全性分析

Abstract： Aiming at the problem that System Wide Information Management （SWIM） system is affected by Distributed Denial of Service （DDoS） attacks in the application layer， a detection approach of SWIM application layer DDoS attack based on Hidden Semi-Markov Model （HSMM） was proposed. Firstly， an improved forward-backward algorithm was adopted， and HSMM was used to establish dynamic anomaly detection model to dynamically track the browsing behaviors of normal SWIM users. Then， normal detection interval was obtained by learning and predicting normal SWIM user behaviors. Finally， access packet size and request time interval request object為與3.1節(jié)中的描述保持一致，request object是否應(yīng)該為access packet sizewere extracted as feature modelas features for modelingas feature model是否應(yīng)該為as features for modeling？請明確， and the model was trained to realize anomaly detection. The experimental results show that the detection rate of the proposed approach is 99.95% and 91.89% in the case of attack 1 and attack 2 respectively. Compared with the HSMM constructed by fast forward-backward algorithm， the detection rate is improved by 0.9%. It can be seen that the proposed approach can effectively detect the application layer DDoS attacks of SWIM system.

Key words： System Wide Information Management （SWIM）; application-layer Distributed Denial of Service （DDoS）; Hidden Semi-Markov Model （HSMM）; SWIM user behavior; security analysis

0 引言

隨著民航業(yè)務(wù)的迅速發(fā)展，以及信息智能化，實(shí)現(xiàn)民航“互聯(lián)網(wǎng)+”的信息化發(fā)展戰(zhàn)略，保障航空交通管理的各個單位的信息互通，民航廣域信息管理（System Wide Information Management， SWIM）便因此誕生。它的提出為構(gòu)建新一代空中交通管理（Air Traffic Management， ATM）信息化管理系統(tǒng)奠定了基礎(chǔ)，以搭建高效、靈活、統(tǒng)一的數(shù)據(jù)交互平臺為最終目標(biāo)[1]。SWIM是信息化整合的下一代空中交通管理的核心，它是一個高度集成的大規(guī)模網(wǎng)絡(luò)系統(tǒng)[2]。

SWIM為民航建立高效、靈活、統(tǒng)一的數(shù)據(jù)交互平臺提供了可能[3]，但是SWIM系統(tǒng)同樣會面臨著各種網(wǎng)絡(luò)攻擊的威脅，SWIM系統(tǒng)正常實(shí)時地為航空公司、空管局、機(jī)場等SWIM用戶提供服務(wù)顯得尤為關(guān)鍵。其中SWIM系統(tǒng)面臨最常見的一種安全隱患就是分布式拒絕服務(wù)（Distributed Denial of Service， DDoS）攻擊。Web服務(wù)器常常成為攻擊者攻擊對象，如損耗SWIM系統(tǒng)的CPU、內(nèi)存、帶寬等資源。DDoS攻擊可以產(chǎn)生大量的攻擊流量，超過SWIM網(wǎng)絡(luò)的承受范圍，導(dǎo)致SWIM網(wǎng)絡(luò)性能大幅度下降，影響SWIM系統(tǒng)為用戶提供服務(wù)，因此，保障SWIM系統(tǒng)的正常運(yùn)行，基于SWIM系統(tǒng)針對應(yīng)用層DDoS攻擊的檢測方法的研究具有重要的理論意義和應(yīng)用價值。

SWIM作為未來新一代民航管理系統(tǒng)，國內(nèi)外的專家針對SWIM系統(tǒng)安全方面作出了許多研究。如中國民航大學(xué)的吳志軍教授對SWIM系統(tǒng)進(jìn)行了較多的研究，提出一種用于SWIM的支持屬性撤銷的訪問控制方案，保證SWIM系統(tǒng)的信息安全;以及通過對Diameter/EAP-MD5協(xié)議的改進(jìn)，提出了一種SWIM用戶身份認(rèn)證的方法[4-5]。Smith[6]就怎么提高SWIM系統(tǒng)服務(wù)質(zhì)量提出了一種用訪問控制的方法，來解決流量擁堵問題。美國專家Stephens[7]基于SWIM網(wǎng)絡(luò)構(gòu)建了一個系統(tǒng)安全服務(wù)框架，而就SWIM系統(tǒng)應(yīng)用層DDoS攻擊還沒有相關(guān)專家進(jìn)行研究分析。

由于SWIM系統(tǒng)沒有統(tǒng)一標(biāo)準(zhǔn)，處于研究的階段，目前還沒有專家基于SWIM系統(tǒng)研究應(yīng)用層DDoS攻擊的檢測方法。本文主要借鑒普通網(wǎng)絡(luò)應(yīng)用層DDoS攻擊檢測方法，通過對現(xiàn)有方法的改進(jìn)，結(jié)合SWIM系統(tǒng)進(jìn)行初步的嘗試，提出了一種基于SWIM系統(tǒng)的應(yīng)用層DDoS攻擊的檢測方法。利用改進(jìn)后的隱半馬爾可夫模型（Hidden Semi-Markov Model， HSMM）建立了一個動態(tài)異常檢測模型，動態(tài)地追蹤正常用戶的瀏覽行為，通過學(xué)習(xí)和預(yù)測正常用戶的行為得出正常用戶檢測區(qū)間。

1 SWIM系統(tǒng)安全分析

SWIM作為未來民航的信息管理系統(tǒng)，可以便捷地獲取基于網(wǎng)絡(luò)的各種服務(wù)，通過把所有的民航信息標(biāo)準(zhǔn)化，轉(zhuǎn)化為以數(shù)據(jù)和服務(wù)為中心，構(gòu)建一個虛擬的信息池，為SWIM系統(tǒng)的服務(wù)提供者以及服務(wù)請求者提供了統(tǒng)一的通信平臺。SWIM系統(tǒng)在傳輸模式方面發(fā)生了較大的改變，不再是以往的數(shù)據(jù)直連、網(wǎng)關(guān)中介和報(bào)文傳輸三種接口傳輸方式，而是通過廣域信息平臺以發(fā)布/訂閱和請求/響應(yīng)為傳輸方式，如圖1所示。

通過虛化服務(wù)，使架構(gòu)具有較強(qiáng)的低耦合度，形成了以SWIM系統(tǒng)為核心的共享架構(gòu)，降低了通信成本，增強(qiáng)了接口管理能力，有利于空管系統(tǒng)之間的通信，提高了信息的利用率[8]。由圖1的右圖可以看出，SWIM系統(tǒng)的發(fā)布/訂閱和請求/響應(yīng)兩種數(shù)據(jù)交換模式是相互獨(dú)立的。Web服務(wù)利用請求/響應(yīng)的通信方式，Java消息服務(wù)利用發(fā)布/訂閱的通信方式，這兩種通信方式都可以分布安裝，不受技術(shù)和數(shù)據(jù)不同的約束達(dá)到低耦合性;并把Web服務(wù)歸一化并進(jìn)行打包實(shí)現(xiàn)獨(dú)立性，同時可以根據(jù)實(shí)際SWIM需求動態(tài)的捆綁，實(shí)現(xiàn)SWIM數(shù)據(jù)的信息共享。兩種傳輸方式應(yīng)用在不同的場合，相互補(bǔ)充，共同為SWIM系統(tǒng)提供服務(wù)。

在SWIM系統(tǒng)中基于Web服務(wù)實(shí)現(xiàn)面向服務(wù)的體系結(jié)構(gòu)（Service Oriented Architecture， SOA），航空數(shù)據(jù)以可擴(kuò)展置標(biāo)語言（Extensible Markup Language， XML）形式進(jìn)行數(shù)據(jù)的交換，并使用統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議（Universal Description Discovery and Integration， UDDI）來進(jìn)行Web服務(wù)的注冊和搜索，從而實(shí)現(xiàn)SWIM系統(tǒng)的松耦合性。SWIM系統(tǒng)中的Web服務(wù)通過超文本傳輸協(xié)議（Hyper Text Transfer Protocol， HTTP）來調(diào)用它，一般是一個網(wǎng)絡(luò)服務(wù)描述語言（Web Services Description Language， WSDL）文檔，SWIM用戶可以閱讀WSDL文檔來使用這個Web服務(wù)。在飛機(jī)飛行的整個過程中需要SWIM系統(tǒng)的信息時，請求者發(fā)出HTTP請求到SWIM Web服務(wù)器。Web服務(wù)器收到SWIM用戶的請求后，再轉(zhuǎn)發(fā)給Web服務(wù)請求處理器，然后請求處理器對請求進(jìn)行分析，找到SWIM用戶需要的Web服務(wù)，并反饋給Web服務(wù)器。SWIM Web服務(wù)器得到響應(yīng)后，再通過HTTP響應(yīng)的方式把它送回到SWIM用戶。SWIM Web服務(wù)流程如圖2所示。

SWIM系統(tǒng)中存在海量的數(shù)據(jù)，涉及空管、機(jī)場以及航空公司等各個部門的重要數(shù)據(jù)，各種數(shù)據(jù)的通信都要基于Web服務(wù)器的請求/響應(yīng)機(jī)制，因此，SWIM Web服務(wù)很容易成為應(yīng)用層DDoS攻擊的目標(biāo)。應(yīng)用層DDoS攻擊是一種利用高層協(xié)議實(shí)現(xiàn)的面向Web服務(wù)的新型攻擊方式，它可以用低速率的請求、少量的攻擊節(jié)點(diǎn)來穿透基于底層協(xié)議的檢測系統(tǒng)，達(dá)到攻擊的目的。

在SWIM系統(tǒng)中信息的傳輸模式有兩種：發(fā)布/訂閱和請求/響應(yīng)。它們均是基于Web的應(yīng)用通過開放的TCP端口為航空用戶提供服務(wù)，容易遭受應(yīng)用層DDoS攻擊。下面本文以SWIM的請求/響應(yīng)傳輸模式為例，研究針對SWIM系統(tǒng)應(yīng)用層的DDoS攻擊的檢測方法。

2 SWIM系統(tǒng)應(yīng)用層DDoS攻擊檢測方法

飛機(jī)從等候滑行、起飛爬升、航跡中和下降落地各個階段，航空公司、機(jī)場、空管局等單位的SWIM用戶，他們使用SWIM系統(tǒng)的過程是由許多的HTTP請求/響應(yīng)構(gòu)成的。用戶的請求頻率、請求時間間隔、請求的對象以及請求數(shù)據(jù)包的大小等，隱藏著SWIM用戶的訪問行為，因此，對SWIM用戶的訪問行為進(jìn)行建模，通過模型來得到正常用戶的行為，從而與正常的行為對比來檢測應(yīng)用層DDoS攻擊。

2.1 SWIM用戶行為

SWIM用戶的訪問過程用戶行為如圖3所示。為了便于描述，圖3中只列出了部分參考參量并簡化了用戶的訪問過程。其中，參數(shù)d為SWIM用戶狀態(tài)的停留時間，ε為SWIM用戶的請求時間間隔，O為SWIM用戶訪問行為的觀測序列，S為SWIM用戶行為的各個狀態(tài)。

SWIM用戶發(fā)出HTTP請求后到達(dá)Web服務(wù)器，該請求包括源地址、訪問時間、訪問對象以及訪問包的大小等信息，并記錄在Web服務(wù)器的日志中，因此，日志文件中隱藏著SWIM用戶的行為;但是在實(shí)際情況下，日志文件并不能很好地反映SWIM用戶的行為，首先日志記錄通常并不全是SWIM用戶點(diǎn)擊所產(chǎn)生的，也有可能是SWIM終端自動發(fā)出的對內(nèi)部鏈接對象的請求;其次，SWIM用戶的響應(yīng)有可能來自SWIM網(wǎng)絡(luò)中的各級代理服務(wù)器以及SWIM用戶瀏覽器的緩存，因此SWIM用戶的HTTP請求可能不全部到達(dá)SWIM Web服務(wù)器，而且SWIM Web服務(wù)器不清楚有多少請求在高速緩存中，因此由于SWIM終端以及中間各級代理緩存情況不同，即使完全相同的SWIM用戶行為，日志文件記錄的HTTP請求序列也會存在區(qū)別，所以描繪SWIM用戶的全部行為比較困難。從SWIM Web服務(wù)器的日志中可以研究SWIM用戶的行為。當(dāng)用戶在使用SWIM系統(tǒng)的時候，他的狀態(tài)停留時間有一定的隨機(jī)性，所以選擇隱半馬爾可夫模型來描繪SWIM用戶的訪問行為。

2.2 隱半馬爾可夫模型

在研究利用隱半馬爾可夫模型分析SWIM用戶行為中，采用了復(fù)旦大學(xué)的張純信教授和同濟(jì)大學(xué)唐克雙教授等[9-10]復(fù)旦大學(xué)的Fuh等[9]和同濟(jì)大學(xué)的Tang等[10]文獻(xiàn)9的作者確認(rèn)是復(fù)旦大學(xué)的Cheng-Der Fuh（中文名字：張純信）;文獻(xiàn)10的作者是同濟(jì)大學(xué)的唐克雙教授等。標(biāo)記方法是否改為：復(fù)旦大學(xué)的Cheng-Der Fuh等[9]和同濟(jì)大學(xué)的唐克雙教授等[10]提出的快速前向后向算法，該算法只選了一個觀測量來建立隱半馬爾可夫模型，為了提高檢測的精度，本方法在該算法的基礎(chǔ)上擴(kuò)展為兩個觀測量來構(gòu)建隱半馬爾可夫模型。在建立模型的過程會用到的很多變量，定義變量如表1所示，對各個參量的含義進(jìn)行了詳細(xì)說明。

隱半馬爾可夫模型的各個參數(shù)：λ=（{amτ}，{πm}，{bm（vk）}，{bm（r）}，{pm（d）}）。隱半馬爾可夫模型的各個參數(shù)的估計(jì)公式如下，具體推導(dǎo)過程參考了復(fù)旦大學(xué)的張純信教授和同濟(jì)大學(xué)唐克雙教授[9-10]復(fù)旦大學(xué)的Fuh等[9]和同濟(jì)大學(xué)的Tang等[10]文獻(xiàn)9的作者的不是唐，是否是指代錯誤，請作相應(yīng)修改。注意文獻(xiàn)的依次引用順序的成果。

在模型中使用對數(shù)或然概率和作為度量值， 。其中，F(xiàn)為總的訓(xùn)練集序列的個數(shù)，而οTf1為第f個觀測序列，通過訓(xùn)練得到正常SWIM用戶的正常度量值。

2.3 攻擊檢測流程

基于構(gòu)建的隱半馬爾可夫模型，進(jìn)行SWIM用戶行為的異常檢測，SWIM系統(tǒng)中的檢流程如圖4所示。

首先是采集SWIM用戶的HTTP請求數(shù)據(jù)，通過預(yù)處理SWIM用戶請求序列提取觀測特征，通過得到的觀測序列訓(xùn)練模型，確定隱半馬爾可夫模型的參數(shù)。當(dāng)用戶訪問SWIM系統(tǒng)時，請求數(shù)據(jù)經(jīng)過預(yù)處理生成觀測值，然后通過隱半馬爾可夫模型計(jì)算或然概率和，計(jì)算用戶的偏離度（用戶行為偏離正常度量值的大小，通過和正常度量值的均值作差求得，該數(shù)值為一個正數(shù)，當(dāng)求出是負(fù)數(shù)時取絕對值），如果在正常的范圍內(nèi)，加入到訓(xùn)練數(shù)據(jù)集并更新模型的參數(shù)，否則判斷為異常訪問行為。

3 實(shí)驗(yàn)及結(jié)果分析

本文實(shí)驗(yàn)所使用的數(shù)據(jù)是在民航實(shí)際運(yùn)行信息系統(tǒng)中采集得到的。為了便于對數(shù)據(jù)進(jìn)行實(shí)驗(yàn)分析，首先將采集得到的數(shù)據(jù)包進(jìn)行預(yù)處理，通過C語言編程把SWIM用戶和請求訪問對象映射為唯一的ID。從采集的數(shù)據(jù)集中抽取兩組SWIM用戶請求數(shù)據(jù)，每組大約9000個，分別為數(shù)據(jù)集1、數(shù)據(jù)集2。利用NS2平臺仿真模擬了Web服務(wù)器和60個攻擊節(jié)點(diǎn)，根據(jù)應(yīng)用層DDoS攻擊的原理模擬了泛洪攻擊和隨機(jī)高負(fù)載攻擊，然后采集攻擊數(shù)據(jù)，分別記為攻擊數(shù)據(jù)集1和攻擊數(shù)據(jù)集2。

3.1 特征分析

由于SWIM系統(tǒng)的特殊性，SWIM系統(tǒng)中各個用戶的權(quán)限區(qū)別度比較大，關(guān)注的信息區(qū)別度也比較大，如表2所示，為民航系統(tǒng)各個部門的數(shù)據(jù)信息。模型建立好后，在特征選取方面進(jìn)行了分析，分別對用戶訪問對象和請求時間間隔以及用戶訪問包的大小和請求時間間隔兩個特征對進(jìn)行了分析。

提取的數(shù)據(jù)經(jīng)過預(yù)處理之后，分別提取特征（兩組：數(shù)據(jù)包大小和請求時間間隔、訪問對象和請求時間間隔），經(jīng)過模型訓(xùn)練后求出對數(shù)的或然概率及其分布，如圖5～6所示。

從圖5可以看出，當(dāng)選取訪問對象和請求時間間隔為特征時，數(shù)據(jù)集1和數(shù)據(jù)集2通過模型訓(xùn)練出來的結(jié)果分布偏差比較大，而選取訪問的包的大小和請求時間間隔為特征訓(xùn)練的結(jié)果分布情況基本一致，所以最終選取訪問包的大小和請求時間間隔為特征進(jìn)行建模回復(fù)：這是正確的！第一個問題按照這個說法更正！將中文摘要中的用法更換為這個。

3.2 模型應(yīng)用

首先使用數(shù)據(jù)集1訓(xùn)練建立的模型，求出隱半馬爾可夫模型，然后計(jì)算數(shù)據(jù)集2、攻擊數(shù)據(jù)集1和攻擊數(shù)據(jù)集2的對數(shù)或然概率和分布，如圖7所示。

由圖7可知：最左邊的曲線為泛洪攻擊（攻擊1），可以看出該曲線比較尖銳，因?yàn)楣粽甙l(fā)出高頻率的請求，所以求出的對數(shù)的或然概率和分布會比較聚集;最右邊的曲線為隨機(jī)發(fā)出的高負(fù)載攻擊（攻擊2），與正常的SWIM用戶訪問行為相比，此訪問行為缺乏目的性，所以發(fā)出的請求是隨機(jī)的，所以求出的對數(shù)或然概率和會比正常的SWIM用戶的大，分布在了最右邊，也不會同泛洪攻擊那樣尖銳。從圖7中可以看出，對于泛洪攻擊和高負(fù)載攻擊，建立的模型可以很好地檢測出這兩種攻擊。

為了進(jìn)一步分析建立的模型的性能，對模型訓(xùn)練結(jié)果的檢測率（Detection Ratio， DR）和誤報(bào)率（False Positive Ratio， FPR）進(jìn)行了分析。通過對該指標(biāo)的分析得出最佳檢測門限。由圖8可以看出，泛洪攻擊和隨機(jī)高負(fù)載攻擊分別位于正常SWIM用戶行為的兩側(cè)，當(dāng)區(qū)左端間取1.7747時，攻擊1泛洪攻擊的檢測率為99.95%，誤報(bào)率為5.76%，當(dāng)區(qū)間右端取13.0071時;攻擊2隨機(jī)高負(fù)載攻擊的檢測率為91.89%，誤報(bào)率為9.91%。綜合檢測率為95.92%，誤報(bào)率為7.84%，正常用戶檢測區(qū)間取為（1.7747，13.0071）?？梢钥闯鏊媚Ｐ蛯﹄S機(jī)高負(fù)載攻擊的檢測率較低，主要是因?yàn)楦哓?fù)載攻擊發(fā)出的請求對系統(tǒng)資源的消耗比較大，而在SWIM系統(tǒng)中每天進(jìn)行著海量數(shù)據(jù)的通信與交互，兩者存在著一定的相似性。

由表3可以看出隨著S的取值越來越大，檢測率越來越高，誤報(bào)率越來越低;但是隨著S的變大，檢測率和誤報(bào)率的變化趨于平穩(wěn)，并且狀態(tài)數(shù)越多，模型的計(jì)算復(fù)雜度也越高，所以綜合考慮計(jì)算復(fù)雜度和檢測性能，狀態(tài)數(shù)的選取大概在30左右。

當(dāng)狀態(tài)數(shù)取30且為泛洪攻擊時，對度量值M取不同值進(jìn)行分析，如圖9所示。

通過表4看出：當(dāng)在區(qū)間（1.65，1.85）時，取不同的M值增大，誤報(bào)率遞增，但變化不是很大;檢測率呈遞增趨勢，變化比較大。當(dāng)M取值為1.7747時，在保證檢測率的同時有較低的誤報(bào)率，是最理想的取值。當(dāng)在區(qū)間（12.5，14）時，取不同的M值，對檢測率和誤報(bào)率的影響程度差不多，檢測率和誤報(bào)率都呈遞減趨勢;當(dāng)M取值為13.0071時，在保證檢測率的同時有較低的誤報(bào)率，是最理想的取值。通過以上M值對檢測性能的影響分析可知，理想檢測區(qū)間為（1.7747，13.0071）。

當(dāng)狀態(tài)數(shù)取30且為高負(fù)載攻擊時，對度量值M取不同的值進(jìn)行分析，如圖10所示。

中山大學(xué)的謝逸等[11]使用了快速前向后向算法構(gòu)建了隱半馬爾可夫模型，分析了單一大型網(wǎng)站的異常行為。該成果提取了請求時間間隔和請求對象為特征，并對訓(xùn)練模型進(jìn)行了異常檢測。這里，將本文研究方法與謝逸等[11]的研究成果進(jìn)行了比較，結(jié)果如表5所示。

通過表5可以看出，本文構(gòu)建的SWIM應(yīng)用層DDoS攻擊檢測模型在檢測率和誤報(bào)率方面和謝逸等[11]的研究成果相比，對于攻擊1的檢測率較高，虛警率較高，而攻擊2的檢測率和虛警率都較差。這主要是由SWIM系統(tǒng)的特點(diǎn)決定的，SWIM系統(tǒng)的用戶權(quán)限非常明確，不同等級不同部門所能訪問的信息有所區(qū)別，并且關(guān)注的信息也有所不同，例如雷達(dá)管制員，每天主要關(guān)注是監(jiān)視信息，而對其他SWIM信息關(guān)注的可能就比較少，并且大量的活躍用戶在訪問行為上區(qū)別度比較大，難以準(zhǔn)確描繪出所有SWIM用戶的行為，所以本文選取了更通用的特征，以請求時間間隔和請求包大小為特征建立SWIM應(yīng)用層DDoS攻擊動態(tài)檢測模型。SWIM用戶并不像普通網(wǎng)絡(luò)用戶一樣，有時會向Web服務(wù)器發(fā)出高頻率的請求，所以對于攻擊1的檢測性能會好一些，而謝逸等[11]的研究成果使用的數(shù)據(jù)是1998年世界杯數(shù)據(jù)集，是以請求時間間隔和請求對象為特征構(gòu)建單一大型網(wǎng)站的用戶訪問行為，用戶行為權(quán)限是一樣的，可以瀏覽網(wǎng)站上的所有信息，并且單一網(wǎng)站上的大部分網(wǎng)絡(luò)用戶主要是關(guān)注世界杯網(wǎng)站的熱點(diǎn)信息，用戶的行為具有較高的相似度，所以在綜合性能方面比本文結(jié)果好。

4 結(jié)語

本文主要結(jié)合SWIM系統(tǒng)進(jìn)行了初步的嘗試，分析了SWIM系統(tǒng)可能存在的安全隱患，基于請求/響應(yīng)的角度分析SWIM系統(tǒng)中的Web服務(wù)器可能存在的攻擊，并以應(yīng)用層DDoS攻擊為切入點(diǎn)，提出了一個基于SWIM用戶行為的動態(tài)檢測模型，通過學(xué)習(xí)和預(yù)測正常SWIM用戶行為得出最佳檢測區(qū)間。從實(shí)驗(yàn)結(jié)果上看建立的模型檢測性能較好，可以應(yīng)用于SWIM系統(tǒng)的應(yīng)用層DDoS攻擊的檢測。下一步工作將進(jìn)一步提高檢測率、降低誤報(bào)率，并將該檢測模型嵌入到SWIM Web防火墻中，進(jìn)一步驗(yàn)證該算法的有效性。對今后SWIM系統(tǒng)的安全保護(hù)具有借鑒意義。

參考文獻(xiàn) （References）

[1] MESEROLE J S， MOORE J W. What is System Wide Information Management （SWIM）[J]. Aerospace and Electronic Systems Magazine， 2007， 22（5）：13-19.

[2] 李琴，黃海清，陳強(qiáng).空管新技術(shù)-SWIM[J].數(shù)字通信世界，2010（5）：50-53.（LI Q， HUANG H Q， CHEN Q. Air traffic control technology-SWIM[J]. Digital Communication World， 2010（5）： 50-53.）

[3] MOALLEMI M， CASTRO-PENA C A， TOWHIDNEJAD M， et al. Information security in the aircraft access to system wide information management infrastructure[C]// ICNS 2016： Proceedings of the 2016 Integrated Communications Navigation and Surveillance. Piscataway， NJ： IEEE， 2016： 1A3-1-1A3-7.

[4] WU Z J， CUI Z H， WANG C Y， et al. Access control scheme with attribute revocation for SWIM[J]. China Universities of Posts and Telecommunications， 2017， 24（6）： 49-54.

[5] 吳志軍，趙婷，雷縉.基于改進(jìn)的Diameter/EAP-MD5的SWIM認(rèn)證方法[J].通信學(xué)報(bào)，2014，35（8）：1-7.（WU Z J， ZHAO T， LEI J. SWIM authentication method based on improved Diameter/EAP-MD5[J]. Journal on Communications， 2014， 35（8）：1-7.）

[6] SMITH T. Quality of service requirements for System Wide Information Management （SWIM）[C]// Proceedings of the 24th Digital Avionics Systems Conference. Piscataway， NJ： IEEE， 2005： 1.A.2-1.1-8.

[7] STEPHENS B. System-Wide Information Management （SWIM） demonstration security architecture[C]//Proceedings of the 2nd Digital Avionics Systems Conference. Piscataway， NJ： IEEE， 2006： 1-12.

[8] 羅喜伶，王珺珺.民航廣域信息管理技術(shù)[M].北京：電子工業(yè)出版社，2017：55-56.（LUO X L， WANG J J. Civil Aviation Wide Area Information Management Technology[M]. Beijing： Publishing House of Electronics Industry， 2017： 55-56.）

[9] FUH C-D， TARTAKOVSKY A G. Asymptotic Bayesian theory of quickest change detection for hidden Markov models [J]. IEEE Transactions on Information Theory， 2019， 65（1）： 511-529.

[10] TANG K S， ZHU S F， XU Y Q， et al. Modeling drivers dynamic decision-making behavior during the phase transition period： an analytical approach based on hidden Markov model theory [J]. IEEE Transactions on Intelligent Transportation Systems， 2016， 17（1）： 206-214.

[11] 謝逸，余順爭.基于Web用戶瀏覽行為的統(tǒng)計(jì)異常檢測[J].軟件學(xué)報(bào)，2007，18（4）：967-977.（XIE Y， YU S Z. Statistical anomaly detection based on Web user browsing behavior[J]. Journal of Software， 2007， 18（4）： 967-977.）

[12] QI M， LU S T. Overview of system wide information management and security analysis [C]// ISADS 2017： Proceeding of the 13th International Symposium on Autonomous Decentralized System. Piscataway， NJ： IEEE， 2017： 191-194.

[13] 趙汨龍，羅喜伶，王忠波.基于SOA的民航廣域信息管理架構(gòu)的研究與設(shè)計(jì)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2016，26（2）：95-100.（ZHAO M L， LUO X L， WANG Z B. Research and design of civil aviation wide area information management architecture based on SOA[J]. Computer Technology and Development， 2016， 26（2）： 95-100.）

[14] TSAI W T， PAUL R， WANG Y M， et al. Extending WSDL to facilitate Web services testing[C]// Proceedings of the 7th IEEE International Symposium on High Assurance Systems Engineering. Piscataway， NJ： IEEE， 2002： 171-172.

[15] 尚波濤，祝躍飛，陳嘉勇.一種應(yīng)用層分布式拒絕服務(wù)攻擊快速檢測方法[J].信息工程大學(xué)學(xué)報(bào)，2012，13（5）：601-609.（SHANG B T， ZHU Y F， CHEN J Y. Method for quickly detecting application layer distributed denial of service attack[J]. Journal of Information Engineering University， 2012， 13（5）： 601-609.）