基于用戶忠實度的應用層DDoS防御模型

孫 未，張亞平

（天津大學 軟件學院，天津300072）

0 引 言

近年來，分布式拒絕服務攻擊 （distributed denial－ofservice attack，DDoS）已經成為目前互聯網最重要的威脅之一［1］。攻擊者通過控制大量傀儡機，向攻擊目標發送大量請求，消耗其CPU、內存、帶寬等計算資源，目的是阻止其為正常用戶提供服務。

早期的傳統DDoS攻擊通常利用網絡層的協議漏洞來發起攻擊，耗盡網絡帶寬和目標主機資源，如常見的SYN flooding、UDP flooding、TCP flooding 和ICMP flooding。許多科研人員對其進行了大量的研究［2－4］，并取得了很好的效果。攻擊者為了達到更好的攻擊效果，開始越來越多得選擇了應用層DDoS攻擊。

App－DDoS攻擊與傳統的網絡層DDoS有很大的不同。其會建立正常的TCP連接，發出的服務請求也都是合法請求，在內容上與正常用戶的請求完全相同。因此之前針對網絡層DDoS攻擊的檢測防御方法對App－DDoS不再有效。針對App－DDoS攻擊的防御方法還需要進行更多的研究。

1 相關研究

文獻 ［5］提出了基于驗證機制的攻擊防御方法，在客戶端和服務器的通信過程中嵌入驗證碼，來識別合法請求，過濾惡意攻擊。該算法對通信雙方透明并具有較低的資源消耗。

文獻 ［6］將應用層DDoS攻擊分為request flooding攻擊、asymmetric攻擊和repeated one－shot攻擊。基于這3種攻擊，提出來一種Session 可疑度計算模型，根據Session建立速度、請求速率和請求消耗來計算Session 可疑度，最后依據Session可疑度大小進行請求轉發。

文獻 ［7］提出了一種應對突發流下應用層DDoS的防御方法。用一個訪問矩陣 （access matrix）來描述正常用戶的訪問模式，該訪問矩陣的參數包括HTTP request rate，HTTP session rate和server documents。然后根據每個會話的行為特征跟訪問矩陣的差異大小得到可疑分數，并據此決定是否允許繼續訪問。

文獻 ［8］使用隱馬爾科夫模型來描述正常用戶的訪問行為，在線測量Web用戶訪問行為相對于正常訪問模型的偏離度，根據偏離度大小判斷惡意攻擊序列。該方法訓練數據和計算過程繁瑣，且不能完全涵蓋所有喜好習慣不同的用戶的訪問特征。

文獻 ［9］提出了基于卡爾曼濾波和信息熵的聯合檢測模型DFM－FA，文中依據App－DDoS攻擊發生時與突發流表現不同的網絡流量的異常變化，將應用層的行為異常映射到網絡層的流量異常，使檢測模型不依賴于系統日志，在系統日志不易獲得的情況下也可以進行攻擊檢測。

文獻 ［10］提出了一種白名單緩解攻擊的方法。與大部分防御策略里將異常用戶加入黑名單的方法不同，白名單過濾方法旨在保證在受到攻擊的時候，被加入白名單的重要的合法用戶不會受到影響，以此來削弱DDoS 攻擊。但是在很多情況下，IP是會經常改變的，文中用將一個網段的IP都加入白名單的方法來避免這個問題，但也導致要維護一個很大的表，這會消耗很多資源。

文獻 ［11］提出ConnectionScore方法，服務器在受到攻擊的時候，會根據每個連接的多個行為特征 （request rate and download rate、arrival distribution rate of users、browsing behavior等）進行打分，結合歷史記錄，得分低的用戶會被剝奪資源。

本文提出了一種基于用戶忠實度的ULDM （user loyalty defense model）防御模型。該模型使用用戶忠實度作為標準來檢測攻擊。用戶忠實度要根據用戶長時間的綜合表現來評估，包括歷史行為表現、當前行為表現和訪問頻率。攻擊者無法改變其歷史行為記錄，無法輕易逃避檢測。因此，在App－DDoS攻擊的檢測中，用忠實度作為評價標準是更有效的。

2 用戶行為分析

2.1 App－DDoS攻擊分類

App－DDoS攻擊主要通過大量傀儡機不斷訪問目標主機，以消耗其各種資源，使其不能再為合法用戶提供服務。為了達到攻擊效果，App－DDoS 攻擊一般會通過以下方式［12］：

（1）請求洪泛攻擊。這種攻擊通過大量傀儡機快速發出大量合法請求來占用目標服務器資源和網絡帶寬，使得正常用戶無法得到服務。

（2）高消耗請求攻擊。這種攻擊通過不斷請求高消耗資源的內容，比如數據庫查詢、密碼驗證等來消耗服務器資源。這樣就可以只通過少量傀儡機發送低速率的攻擊請求就能達到消耗目標服務器資源的目的。這種方式的攻擊比請求洪泛攻擊更有破壞力，更難以檢測。

2.2 行為特征分析

請求速率分析：洪泛攻擊中攻擊者通過攻擊程序不斷發出高頻率請求來達到將目標主機資源消耗殆盡的目的。而正常用戶由于不同的興趣和閱讀習慣，會在不同的頁面上駐留不同的時間。因此，洪范攻擊用戶在會話中的平均請求速率會跟正常用戶有很大差異。

負載比例分析：對服務器來說，不同的請求的負載大小是不同的。正常用戶在訪問網站的過程中會根據各自不同的興趣，訪問不同的頁面。攻擊者為了逃避請求速率的檢測同時為了達到攻擊效果，在訪問中都會選擇低速率訪問高負載的請求。因此高消耗攻擊中，攻擊用戶在會話中的高負載請求比例會比正常用戶高很多。

如果攻擊者為了逃避檢測而在訪問速率和請求負載比例上都模擬正常用戶進行訪問，就必須使用大量的傀儡機才能達到攻擊效果，這就大大增加了攻擊的開銷。因此，攻擊者勢必要通過高負載比例或高請求速率來達到攻擊目的。

3 ULDM 模型

ULDM 模型通過用戶的忠實度來判斷用戶是否為忠實用戶，并以此為標準來檢測異常。對網站的訪問頻率較高，并且在多次訪問過程中沒有攻擊行為的用戶就具有較高的忠實度，相反，如果用戶很少訪問該網站或者在訪問過程中被檢測到有攻擊行為，則該用戶對該網站具有較低的忠實度，如果忠實度值低于閾值，則判斷其為攻擊用戶。

ULDM 模型如圖1所示，主要包括身份管理模塊、短期黑名單過濾模塊、忠實度計算模塊和調度模塊。其中，模型的核心為忠實度計算模塊，其又分為特征檢測、訪問頻率計算和忠實度計算3個子模塊。

圖1 ULDM 模型

3.1 身份管理

由于代理、動態IP、局域網共享同一公網IP出口等情況的存在，用IP地址來標識用戶很難保證其唯一性和準確性。而要想獲得一個用戶的長時間的行為表現，就需要能唯一確定用戶的身份。

本文使用cookie來唯一標識用戶。身份管理過程如圖2所示，在用戶第一次訪問網站時，服務器會為新用戶分配一個唯一的身份ID，并用cookie將身份ID 寫入用戶的主機，并將用戶加入數據庫中的忠實用戶表。用戶身份ID由兩組數字組成：一組是隨機生成的一組數字，另一組是用戶第一次訪問該網站時的時間戳。忠實用戶表用于管理用戶忠實度信息。在用戶再次發出請求時會攜帶他特有的身份ID，服務器端便可確認其身份。此處ID 表示的不是用戶本身，而是終端設備。如果該客戶端在長期訪問中沒有表現異常，則說明其沒有成為攻擊者的傀儡機，相反，如果該客戶端忠實度低于閾值，則認為其已經是被攻擊者控制的傀儡機。

Cookie文件是一種很小的文本文件，由服務端將其保存在客戶端，并在該客戶端對服務器端進行訪問的時候將該文本文件發回給服務器。這項技術已經被廣泛的應用，大多數操作系統和瀏覽器都默認允許使用cookie。因此，本文使用cookie將用戶的身份ID 保存在客戶端以進行用戶身份管理。

圖2 身份管理過程

3.2 忠實度計算

評估用戶的忠實度應該包含兩方面：用戶行為忠實度和訪問頻率忠實度。行為忠實度又包括歷史行為忠實度和當前行為忠實度。忠實度的取值范圍為 ［0，100］。用戶忠實度低于閾值時會被認定為不忠實用戶而被加入短期黑名單，在一段時間內不能再對網站進行訪問。用戶在第一次訪問網站時，訪問頻率忠實度會很低。且由于新用戶沒有不良記錄，歷史行為忠實度初始值設為35。如果一直表現良好，則忠實度會不斷上升，成為高忠實度用戶

式中：Li——用戶i的最終忠實度，LBi——用戶i的行為忠實度，LFi——用戶的訪問頻率忠實度。LBi∈（0，50］，LFi∈ （0 ，50］ 。

3.2.1 訪問頻率忠實度計算

訪問頻率忠實度是用戶忠實度中很重要的一個方面，用戶對網站訪問頻率反映了用戶對網站的喜愛程度。用戶對網站的訪問頻率越高，越能說明用戶是該網站的忠實用戶。但是，遠期的訪問無法反映用戶當前對網站的喜愛程度。因此，我們只統計最近一段時間內的訪問頻率。本文設定一個滑動時間窗口T （本文中取T 為20天），隨著時間推移，訪問次數減去過期的訪問記錄數，加上新的訪問記錄數。時間窗口TF固定不變，我們用固定時間窗口TF里的訪問頻率來計算用戶訪問頻率忠實度。這樣保證了當用戶長時間不訪問時，其時間窗口內的訪問頻率會隨著時間減小，訪問頻率忠實度也會逐漸衰減。用戶只有通過長期較高頻率的訪問才能得到較高的訪問頻率忠實度。因此，攻擊用戶想通過多次低價值的訪問來騙取訪問頻率忠實度的目的難以實現。

對訪問頻率忠實度的計算應該滿足：①訪問頻率越高，用戶訪問頻率忠實度越大，即單調遞增；②為了更好地防止攻擊用戶騙取訪問頻率忠實度，訪問頻率忠實度在訪問頻率較低時應緩慢上升，且應該有上限。因此，我們使用一個S型函數sigmoid函數來計算用戶的訪問頻率忠實度

式中：Ci、Fi——用戶i在滑動時間窗口TF內的訪問次數和訪問頻率，γ——訪問頻率忠實度上界，此處為50，α——傾斜系數，控制訪問頻率忠實度的增長率，定為0.8，β——平移距離，定為1.5。訪問頻率忠實度變化曲線如圖3所示。

圖3 訪問頻率忠實度變化曲線

3.2.2 行為忠實度計算

行為忠實度描述了用戶在長期訪問網站過程中在行為表現上的友好程度。行為忠實度包括當前行為忠實度和歷史行為忠實度。當前行為忠實度描述了用戶在當前會話中在行為表現上的友好程度。如果用戶訪問過程中被檢測到有攻擊行為，則被視為不友好，此次會話的當前行為忠實度較低。歷史忠實度描述了用戶在之前的訪問過程中在行為表現上的友好程度，是用戶大量歷史行為表現不斷累積的結果。因此，歷史訪問行為對于評定一個用戶的行為表現有很重要的意義。必須對長期以來的歷史行為表現和當前行為表現進行綜合評估，才能得到更可信的行為忠實度。

同時還應考慮到，當用戶長期不訪問網站時，其歷史行為忠實度對其行為忠實度的評估價值會減小。因此，隨著訪問間隔的增長，歷史行為忠實度在行為忠實度計算中的比重應該逐漸減小。用戶只有通過大量的正常訪問才能使行為忠實度達到較高忠實度。此外，如果用戶在訪問過程中被判定為有攻擊行為，則應該受到對其不忠實行為的懲罰。該懲罰的力度應遠遠大于行為忠實度增長的速度，以防止攻擊者進行忠實度欺騙。

攻擊用戶被加入黑名單后，也有可能通過丟棄自己身份ID 的方式來換得新用戶的身份來重新訪問，但新用戶的忠實度偏低，如果行為異常，則很快會被重新加入黑名單

式中：LHBi——用戶i 的歷史行為忠實度，取值范圍為（0.50］，LCBi——用戶當前行為忠實度，取值范圍為 （0，50］。f（Δt）——歷史行為忠實度在行為忠實度中所占的比重，Δt——用戶當前訪問與上次訪問的時間間隔，a——區間 （0，1）中的一個常數，決定f（Δt）的變化速度，文中定為0.9。A——設定的時間間隔為0時歷史行為忠實度的比重，也就是歷史行為忠實度的最大比重，本文中設為0.6。P——需要接受的不忠實行為懲罰，文中設為5忠實度值。Flag——根據是否發生攻擊產生的標記值，flag ∈｛0，1｝。如果用戶在訪問過程中沒有攻擊行為，則flag＝0，行為忠實度由歷史行為忠實度和當前行為忠實度加權相加得到。相反，如果用戶被檢測出有攻擊行為，則flag＝1，則要在之前基礎上減去P忠實度值的懲罰。

（1）正常用戶行為特征訓練：通過第2節對正常用戶和攻擊用戶在行為特征上的分析可知，正常用戶在平均請求頻率和負載比例上與洪泛攻擊和高負載攻擊有很大的差異。因此我們可以統計分析正常用戶的行為特征，將統計結果作為正常行為的標準。

會話平均請求速率訓練步驟：

步驟1 在無攻擊情況下，分析大量正常用戶的訪問記錄，得到所有會話的平均請求速率。

步驟2 分析得到的所有會話平均請求速率，在（0，Vmax］中找到一個合適的值Vst，使得（0，Vst］可以包含90%的會話請求速率。以Vst 作為正常用戶平均訪問速率的標準值。

會話請求負載比例訓練步驟：

步驟1 對服務請求進行分類，將請求按消耗資源大小分為高負載請求和低負載請求。

步驟2 在無攻擊情況下，分析大量正常用戶的訪問記錄，得到所有會話的請求負載比例。

步驟3 分析得到的所有會話負載比例，在（0，Lmax］中找到一個合適的值Lst，使得（0，Lst］可以包含90%的會話負載比例。以Lst作為正常用戶會話負載比例的標準值。

（2）行為忠實度計算：在用戶訪問過程中，每隔一個時間段tB（設為5s），特征檢測模塊會計算一次用戶從會話開始到當前時間段內的平均請求速率和負載比例

式中：nik——用戶i 在第k 個時間段tB中的請求數量，mik——用戶i在第k個時間段tB中的高負載請求數量。Vij和Lij——用戶i在從該會話開始到第j 個tB時間段之間的平均請求速率和負載比例。

然后將得到的請求速率和負載比例與訓練得到的正常用戶的特征數據進行比對，計算用戶在請求速率和負載比例上的偏離程度

給用戶平均請求速率和負載比例的偏離程度設定閾值dVT和dLT。當DVi≥dVT或者DLi≥dVL時，則判斷該會話存在攻擊行為，斷開會話連接并將flag 值設為1。在會話結束時，計算該用戶在該會話中的當前行為忠實度值

式中：B——用戶行為特征都在正常范圍內時的當前行為忠實度，此處為50，b—— （0，1）區間內的常數，本文中定為0.6。

3.3 請求調度

當一個會話請求到達ULDM 時，首先進行身份認證和黑名單過濾。如果請求通過，便進入忠實度計算模塊計算用戶當前行為忠實度、訪問頻率忠實度，并結合數據庫中保存的歷史行為忠實度計算得到該用戶的最終忠實度并據此判斷該用戶是否為忠實用戶。若忠實度小于閾值，則為不忠實用戶，直接將其加入短期黑名單，使其在一段時間內不能再對網站進行訪問。相反，如果忠實度大于閾值，則可繼續對網站進行訪問。

短期黑名單的設置也符合現實中的忠實度規律，如果用戶在一段時間未對網站進行訪問，那么就像之前分析的歷史忠實度會衰減一樣，不忠實程度也是逐漸減小的。因此在一段時間后，黑名單中用戶應該可以以新用戶身份再次對網站進行訪問。

4 實驗結果與分析

在模擬實驗中，使用一臺3.4GHz雙核Inteli7－2600處理器的主機來模擬Web服務器和數據庫服務器。在服務器上運行著新聞網站，用MySQL 來實現數據庫服務。具體實驗分為4個部分：

（1）模擬忠實用戶：給10臺主機各分配一個忠實度較高的UserID。然后讓具有不同興趣和習慣的10個人在1個小時內多次對網站進行訪問。將上述實驗過程重復20次，每次重新分配新的較高忠實度UserID。

（2）模擬新用戶：給10臺主機各分配一個只具有初始忠實度的UserID。然后讓具有不同興趣和習慣的10個人在1個小時內多次對網站進行訪問。將上述實驗過程重復20次，每次重新分配新的只具有初始忠實度的UserID。

（3）模擬請求洪泛攻擊：用另外5臺主機充當攻擊用戶。傀儡機很多情況下為新用戶，因此作為新用戶進行訪問。在每臺主機上用程序模擬10個用戶快速發送請求給服務端。將上述實驗重復6次。

（4）模擬高消耗請求攻擊：用另外5臺主機充當攻擊用戶。在每臺主機上用程序模擬10個用戶以正常速率向服務端不斷發送高消耗請求。將上述實驗重復6次。

實驗結果見表1、表2。忠實度高的用戶在正常訪問過程中被判定為攻擊用戶的情況幾乎不會發生。忠實度較低的新用戶在正常訪問過程中有一定概率會被判定為攻擊用戶，但概率較低。而同樣作為新用戶的攻擊用戶，由于忠實度較低，且行為異常，被判定為攻擊用戶的概率很高。

表1 正常用戶判定結果

表2 攻擊用戶判定結果

5 結束語

本文針對應用層DDoS攻擊，提出了一種基于用戶忠實度的ULDM 防御模型。該模型結合用戶長期的歷史表現，對用戶長期與網站交互過程中的行為進行評估，得出該用戶對網站的忠實度。通過用戶忠實度可以更準確地區分正常用戶和攻擊用戶。實驗結果表明，該防御模型能很好保證正常用戶，尤其是高忠實度用戶在攻擊發生時可以正常對網站進行訪問。與此同時，攻擊用戶也會因其異常行為表現而被評估為低忠實度，從而被檢測為攻擊用戶。

［1］ZHANG Yongzheng，XIAO Jun，YUN Xiaochun，et al.DDoS attack detection and control methods ［J］.Journal of Software，2012，23 （8）：2058－2072 （in Chinese）.［張永錚，肖軍，云曉春，等.DDoS攻擊檢測和控制方法 ［J］.軟件學報，2012，23 （8）：2058－2072.］

［2］Beitollahi H，Deconinck G.Analyzing well－known countermeasures against distributed denial of service attacks ［J］.Computer Communications，2012，35 （11）：1312－1332.

［3］Ehrlich W K，Futamura K，Liu D.An entropy based method to detect spoofed denial of service （dos）attacks ［M］／／Telecommunications Modeling，Policy，and Technology.USA：Springer，2008：101－122.

［4］Yu S，Zhou W，Doss R，et al.Traceback of DDoS attacks using entropy variations［J］.IEEE Transactions on Parallel and Distributed Systems，2011，22 （3）：412－425.

［5］WEI Bing，XU Zhen.Defense application layer DDoS attacks based authentication mechanism ［J］.Computer Engineering and Design，2010，31 （2）：231－234 （in Chinese）. ［魏 冰，徐震.基于驗證機制的應用層DDoS攻擊防御方法 ［J］.計算機工程與設計，2010，31 （2）：231－234.］

［6］Ranjan S，Swaminathan R，Uysal M，et al.DDoS－shield：DDoS－resilient scheduling to counter application layer attacks［J］.IEEE／ACM Transactions on Networking，2009，17（1）：26－39.

［7］Devi S R，Yogesh P.An effective approach to counter application layer DDoS attacks［C］／／Third International Conference on Computing Communication ＆ Networking Technologies.IEEE，2012：1－4.

［8］Xie Yi，Yu Shun Zheng.A large－scale hidden semi－Markov model for anomaly detection on user browsing behaviors ［J］.IEEE／ACM Transactions on Networking，2009，17 （1）：54－65.

［9］LI Jinling，WANG Binqiang，ZHANG Zhen.Attack detection of App－DDoS based on traffic analysis ［J］.Application Research of Computers，2013，30 （2）：487－490 （in Chinese）.［李錦玲，汪斌強，張震.基于流量分析的App－DDoS攻擊檢測 ［J］.計算機應用研究，2013，30 （2）：487－490.］

［10］Yoon M K.Using whitelisting to mitigate DDoS attacks on critical internet sites ［J］.IEEE Communications Magazine，2010，48 （7）：110－115. binary translator based on godson CPU ［J］.Computer Engineering，2009，35 （7）：280－282 （in Chinese）. ［蔡嵩松，劉奇，王劍，等.基于龍芯處理器的二進制翻譯器優化 ［J］.計算機工程，2009，35 （7）：280－282.］

［3］ZHANG Ji，LI Ningbo.Key technology research of simulator based on binary translation ［J］.Computer Engineering，2010，36 （16）：246－248 （in Chinese）.［張激，李寧波.基于二進制翻譯的仿真器關鍵技術研究 ［J］.計算機工程，2010，36（16）：246－248.］

［4］Wondracek G，Comparetti PM，Kruegel C，et al.Automatic network protocol analysis［C］／／Proceedings of the 15th Annual Network and Distributed System Security Symposium，2008.

［5］Wang Z，Jiang X，Cui W，et al.ReFormat：Automatic reverse engineering of encrypted messages［C］／／Proceedings of the European Symposium on Research in Computer Security，2009.

［6］FANG Xia，YIN Qing，JIANG Liehui，et al.Register parameter recovery method based on dataflow analysis ［J］.Computer Engineering，2009，35 （22）：62－64 （in Chinese）. ［方霞，尹青，蔣烈輝，等.基于數據流分析的寄存器參數恢復方法 ［J］.計算機工程，2009，35 （22）：62－64.］

［7］ZHANG Youwei，LIU Xiaochun，WANG Yonghong.Study of recognition algorithm for program section ［J］.Computer Engineering，2009，35 （5）：72－73 （in Chinese）. ［張有為，劉小春，汪永紅.程序段識別算法研究 ［J］.計算機工程，2009，35 （5）：72－73.］

［8］Mike Van Emmerik.Static single assignment for decompilation［M］.USA：The University of Queensland School of Information Technology and Electrical Engineering，2007.

［9］WEN Yanhua，TANG Daguo，QI Fengbin.Register mapping and register function cutting out implementation in binary translation ［J］.Journal of Software，2009，20 （zk）：1－7 （in Chinese）.［文延華，唐大國，漆鋒濱.二進制翻譯中的寄存器映射與剪裁的實現 ［J］.軟件學報，2009，20 （zk）：1－7.］［10］LIAO Yin，SUN Guangzhong，JIANG Haitao，et al.All registers direct mapping method in dynamic binary translation［J］.Computer Applications and Software，2011，28 （11）：21－24 （in Chinese）. ［廖銀，孫廣中，姜海濤，等.動態二進制翻譯中全寄存器直接映射方法 ［J］.計算機應用與軟件，2011，28 （11）：21－24.］

［11］ WANG Ronghua，MENG Jianyi，CHEN Zhijian，et al.Condition code optimization in dynamic binary translation ［J］.Journal of Zhejiang University（Engineering Science），2014，48 （1）：124－129 （in Chinese）.［王榮華，孟建熠，陳志堅，等.動態二進翻譯中的標志位優化算法 ［J］.浙江大學學報（工學版），2014，48 （1）：124－129.］

［12］TANG Feng，WU Chenggang，FENG Xiaobing，et al.Ef－LA algorithm based on dynamic feedback ［J］.Journal of Software，2007，18 （7）：1603－1611 （in Chinese）. ［唐鋒，武成崗，馮曉兵，等.基于動態反饋的標志位線性分析算法［J］.軟件學報，2007，18 （7）：1603－1611.］