基于Web訪問路徑的應用層DDoS攻擊防御檢測模型

任皓　許向陽　馬金龍　張志浩

摘 要：為了提高防御應用層分布式拒絕服務攻擊的有效性、時效性和準確性，對應用層DDoS攻擊的演化、模式，以及攻擊者的攻擊路徑和攻擊行為進行深入研究。提出一種基于Web訪問路徑的防御檢測模型，根據訪問路徑軌跡、攻擊行為特點和網站鏈接規則，建立請求路徑、請求分布、路徑循環、行為時隙和路徑長度5種異常檢測模型。通過計算合法用戶訪問網站時的正常值以及具有攻擊行為用戶的實時異常值偏離程度，可判定是否遭到應用層DDoS攻擊。防御模塊依據用戶非法值大小選取最佳防御策略，抵御應用層DDoS攻擊，實現網站數據安全與計算機安全。實驗采用真實日志數據進行訓練，向實驗網站發動5種不同類型的應用層DDoS攻擊。結果表明，防御檢測模型能在短時間內準確辨別具有攻擊行為的用戶，并聯合防御模塊抵抗針對Web服務器的DDoS攻擊，能夠實現實時檢測、實時防御，有效降低誤報率。所提出的檢測模型可以對路徑長度進行監控，提升了異常判定的準確性和可靠性， 有效提高了Web網站防御DDoS攻擊的能力。

關鍵詞：數據安全與計算機安全;應用層;分布式拒絕服務;訪問路徑;異常檢測;攻擊行為

中圖分類號：TP393.08 文獻標志碼：A

doi：10.7535/hbkd.2019yx05006

Application-layer DDoS attack defense detection

model based on Web access path

REN Hao1， XU Xiangyang1， MA Jinlong1， ZHANG Zhihao2

（1. School of Information Science and Engineering， Hebei University of Science and Technology， Shijiazhuang， Hebei 050018， China; 2. School of Electrical and Control Engineering， North China Institute of Aerospace Engineering， Langfang， Hebei 065000， China）

Abstract：In order to improve the effectiveness and timeliness of defense against distributed denial of service （DDoS） attacks in application layer， the evolution and mode of application-layer DDoS attacks， as well as the attack path and behavior of attackers are explored in depth. A defense detection model based on Web access path is proposed， according to access path trajectory， attack behavior characteristics and website link rules， five anomaly detection models including request path， request distribution， path loop， behavior slot and path length are established. By calculating the normal value of legitimate users accessing websites and the deviation degree of real-time outliers of users with aggressive behavior， it can determine whether it is attacked by application-layer DDoS. In order to improve the accuracy of detection， the defense module chooses the best defense strategy according to the size of user's illegal value， resists application-layer DDoS attacks， and achieves website data security and computer security. The experiment is trained with real log data， launch five different types of application-layer DDoS attacks on experimental website， the result show that the defense detection model can accurately identify users with aggressive behavior in a short time， it combines with defense module to defend the application-layer DDoS to a specific website， realizes real-time detection and real-time defense， and the false alarm rate is significantly reduced.

Keywords：data security and computer security; application layer; distributed denial of service; access path; anomaly detection; attack behaviors

在當代網絡中，分布式拒絕服務（distributed denial of service，DDoS）攻擊依然能夠產生強大的威脅并給許多國家帶來嚴重影響，它利用目標系統網絡服務功能缺陷，以為合法用戶提供服務作為槍靶，直接消耗受害者的服務器資源，最終導致服務器癱瘓[1-3]。

應用層面的DDoS攻擊向受害服務器發送大量合法數據包，但入站流量不足以使受害服務器的帶寬飽和，且出站流量亦可實現[4]，

由于大量用戶同時訪問站點是一種合法行為，因而應用層DDoS攻擊與突發訪問相似，辨別它們有一定的難度。隨著Web應用重要性的不斷提高，其安全風險與日俱增，目標主機或服務器遭受應用層DDoS攻擊往往會產生一定的網絡攻擊行為，即存在防御檢測的切入點[5-6]。為了檢測應用層DDoS攻擊，國內外專家提出了一系列防御檢測策略。李錦玲等[7]將應用層檢測映射到網絡流量層面，使用卡爾曼濾波算法檢測單位時間內每個用戶的字節數，當檢測出異常時，該源端口熵值超出預設值，則判定為DDoS攻擊。ZHAO等[8]為了識別DDoS攻擊，構造聯合熵向量的映射矩陣，對熵向量坐標判別圖中邊界和熵向量所處區域進行判別，能夠有效區分應用層DDoS攻擊的類別。王風宇等[9]對主干網中用戶訪問行為剖析，用戶產生的外聯行為特點為區分突發訪問和攻擊行為提供了有效辨別依據，但場景條件苛刻，檢測難度大?？邓闪值萚10]利用通信中套接字的參數進行檢測，分別計算出源地址、源端口號、目的端口號和標識符字段（PRS）各自變量的熵值，在統計時隙內，統計各個變量的熵值并進行分析，能夠得出有效區分和判定網絡協議層面DDoS與應用層面DDoS的方法。

關于Web DDoS檢測，孫未等[11]提出為每個Web訪問用戶設定忠實度，根據用戶行為忠實度和訪問頻次忠實度進行聯合判定，將忠實度低于閾值的用戶過濾，從而實現應用層DDoS防御。KEDJAR等[12]提出了一種混合模型，解決了Web服務安全訪問控制問題，然而，該模型缺乏靈活性，某些固定的閾值必須由管理員進行配置。KANDULA等[13]提出攻擊由程序生成，不具有人類智能型，當網絡資源消耗超出預設閾值時，產生簡單問題并進行驗證連接是否為攻擊源，該方法能夠有效區分攻擊源與正常用戶，且會損失自身資源，并對正常用戶體驗和訪問造成影響。肖軍等[14]分析DDoS與正常訪問行為的不同，提出行為異常度屬性和Session異常度模型，依據平均異常度的值來判斷是否為合法請求，該方法忽視網站鏈接規則和Session訪問行為的影響。劉澤宇等[15]分析Web用戶訪問行為，提出4種方式檢測應用層DDoS攻擊異常屬性，若用戶異常值超出異常值均值或方差值時，則判定為遭受應用層DDoS攻擊，但未對用戶會話長度進行檢測，容易導致DDoS繞過該檢測模型進行攻擊。

針對上述不足，本文主要針對網站結構鏈接性特點、行為概率分布特點和Web用戶訪問路徑特點，提出一種基于Web訪問路徑的DDoS攻擊防御模型（UAP）。該模型部署在Web服務器與應用服務器的中間地帶，路徑節點數據依次傳入檢測模塊內，對請求路徑、請求分布、路徑循環、行為時隙和路徑長度執行異常檢測，檢測結果能夠準確辨別DDoS攻擊和正常用戶突發流訪問。防御模塊根據檢測結果做出有效防御，依據用戶非法值選取最佳防御策略，避免小概率事件的發生。該防御模型不受客戶端環境差異性影響，不依賴主干網絡，采用自身數據作為檢測基礎，有效減少了數據收集時間。對網站鏈接規則和節點信息分布以及路徑特性都進行充分的考慮，有效提高了Web網站DDoS攻擊的防御能力。

1 模型結構

UAP模型是由訪問路徑檢測模塊和防火墻過濾轉發組成的防御檢測模型，如圖1所示。用戶訪問請求經過防火墻過濾后傳送至Web服務器，用于異常用戶過濾的黑名單過濾機制架設在應用層，防火墻策略部署在傳輸層。異常檢測與應用服務器接受請求并行執行，路徑數據實時傳送至檢測模型進行異常判定，判定結果發送到防火墻。若判定結果為用戶異常，根據路徑數據中的客戶端IP，SessionId和會話信息中的瀏覽器標識符等特征，將異常用戶加入到黑名單中，并為其累加非法值，根據非法值大小部署最佳防御策略。在預設時間范圍內，防火墻對黑名單用戶發起的請求進行濾除。當出現誤判時，可通過輸入正確驗證信息等安全措施，從黑名單內移除，并清除上次非法值的累加。

該模型的核心部分為異常檢測模型，對用戶的一次訪問行為進行異常檢測，并對用戶路徑生命周期內的同種異常檢測值作全局判定，只要有一種異常檢測超出正常范圍則可判定為異常用戶。異常判定具有全面性和準確性，可做到訪問與檢測并行執行，實現實時檢測、實時防御部署。同時，可以有效降低防御模塊的誤報率。

1.1 用戶路徑

網站是指在因特網上根據一定規則，用于展示特定內容的相關網頁的集合[16]。每個網站中包含許多網頁，頁面由若干個嵌入對象組成，若將頁面和嵌入對象看作是網站的內嵌對象，一個網站就由無數個內嵌對象編制成一張大型網絡[17]。將每個頁面和嵌入對象看作網絡的節點，網絡中所有節點的集合記為p;相鄰頁面間的鏈接則作為連接節點的邊，記為l;若邊的形成不包含網絡圖中的任意邊，則為非法邊，反之為合法邊，記為lr。節點和邊構成了一張網絡圖，由網絡圖中一系列邊和節點組成的用戶路徑，記為L。

1.2 基本參數

每個節點pi都擁有6個屬性值（Id，SessionId，ObjectId，Time，ReferId，Count），Id表示該節點的唯一標識符，采用自增的整數設定;SessionId表示用戶訪問網站建立一個會話的唯一標識符;ObjectId表示網站內部所包含頁面節點和所有內嵌對象節點的唯一標識符;Time表示用戶訪問節點的時刻;ReferId表示用戶訪問節點的來源節點的標識符;Count表示訪問用戶一次會話內訪問Web服務的次數[15]。每個屬性值都能反映路徑信息。

空間權值S是指網絡圖中任意兩節點之間最短路徑。對于任意邊l=（pj，pk），設S（l）=sjk，則sjk為l上的空間權值。例如節點元素a，b，c，即a，b，c∈p;a可以訪問相鄰節點元素b和c，則邊為l1=（a，b）和l2=（a，c），它們的空間權值S（l1）=S（l2）=1。

時間權值t是指用戶離開節點前所駐留的時間。對于任意節點pj，pk，設t（pj，pk）=tjk，則tjk為節點pj上的時間權值。

請求次數G是指網絡模型中任意節點被合法請求次數。對于任意節點pi，設G（pi）=gi，則gi為節點pi上的請求次數。

1.3 路徑分析

用戶路徑在網絡圖中具有以下5種特征。

1）依據節點間鏈接原則，路徑中任意相鄰兩節點間的連接，即lr=l=（pj，pk），S（l）=1。當用戶破壞鏈接規則時，當前節點的下一跳節點[18]不屬于該點的鄰接節點，即lr≠l=（pj，pk），S（d）>1。

2）對訓練集中節點請求次數進行統計，得出節點請求頻次與節點次數位序之間滿足Zipf分布[19]，如圖2所示。Zipf定律反映的是規模與位序之間的一種冪律關系，大約20%的節點請求總數占全部節點請求總數的80%，由此可看出訪問發生在少數節點上。因頁面之間的興趣關聯性，用戶路徑上節點興趣相似[20]，故用戶路徑G（pi）的軌跡應趨于穩定。若攻擊發生，惡意程序無法按照興趣關聯性智能訪問網站節點，與真實用戶路徑相差較大，導致用戶路徑G（pi）的軌跡有較大波動。

3） 用戶對新頁面有新鮮感，故用戶不會反復循環請求一個或多個頁面。當用戶路徑在網絡圖中出現路徑閉環時，說明存在攻擊行為。

4） 用戶在節點的駐留時間ti表明用戶對節點內容的思考和關注度，節點pi與駐留時間ti是相關的。攻擊者為了能夠提高攻擊力度，往往會銳減節點駐留時間，由此造成節點的時間權值出現較小值，導致出現行為時隙異常。

5） 路徑分析對路徑信息的有效性需求較高，為了避免攻擊者使用相對攻擊模式繞過路徑分析，需要對路徑的有效長度加以檢測，避免檢測方法受到挾制。

1.4 數據預處理與采集

Web日志是指客戶端與Web服務器交互信息過程中產生的日志，客戶端提交服務請求過程中，可能會途經代理服務器和防火墻，最后到Web應用服務器[21]。為了更高效地利用訓練集的日志數據，需要對日志中的錯誤數據和重復記錄進行處理，例如非成功請求（主要是指出現403，404等狀態碼的請求）;將頁面加載內嵌對象請求也看作一個單獨請求的網頁頁面請求，對于用戶的請求是沒有意義的，應予以刪除。

將處理后的日志數據進行采集識別處理，對相同IP的用戶數據進行歸類，按時間大小排序。根據設定的Session失效時間為每個用戶計算響應的SessionId，一次會話過程中的SessionId相同，頁面駐留時間Time根據一次會話中前后ObjectId請求時間差值來獲取。

1.5 基于Web用戶的路徑異常檢測

UAP模型的核心檢測模塊為訪問路徑異常檢測，檢測模塊分為請求路徑異常、請求分布異常、路徑循環異常、行為時隙異常和路徑長度異常5個方面。

1.5.1 請求路徑異常

在任意用戶的訪問路徑中，若存在大量的子路徑d=（pj，pk），S（d）>1，則訪問路徑出現請求路徑異常，記為frpa。

在給定的網站中，每個節點所擁有的鄰接節點集合padj是依據網站頁面間鏈接原則選定的，即pi的鄰接節點集合為piadj。邊的有向性由節點指向其鄰接節點，如圖3所示節點鏈接關系，節點a，b，c，e，h∈p，節點a的鄰接節點為b，c，節點e為b的鄰接節點。當a下一跳節點為b時，構成一條子路徑，d=（a，b），S（d）=1，屬于正常訪問。在節點a訪問節點e的路徑中，未出現中間節點b，則可能出現非法訪問，該路徑中節點a請求路徑異常。用戶每次訪問下一跳節點時，遍歷當前節點的鄰接節點集合，若出現異常，請求路徑異常點集合：

Pabn={pi|S（pi，pi+1）>1， pi∈p，pi+1piadj}，（1）

由此得出用戶第i次訪問的請求路徑異常值：

frpa=[SX（]Pabn[]|L|[SX）]。（2）

1.5.2 請求分布異常

因攻擊程序節點的選取不具備智能化，若任意用戶在訪問路徑中的路徑行為概率均值波動較大，呈現出異常趨勢，則訪問路徑出現請求分布異常，記為fred。

網站內每一個節點的gi與位序呈現Zipf分布，按照節點的請求次數從大到小進行排序，將節點按照gi大小劃分為M類，相同類的節點gi是相等的，其分類結果為

A={a1，a2，…，aM}，（3）

NUM={n1，n2，…，nM}，（4）

式中：A表示劃分為M類;ni表示在ai類中所包含pi的個數。由于符合Zipf分布，依據Zipf二八原則可以分為兩大類，當滿足：

∑[DD（]n[]i=1[DD）]aini=0.8×∑[DD（]M[]i=1[DD）]aini，（5）

可劃分為高頻E類和低頻F類：

E={a1，a2，…，an}，（6）

F={an，an+1，…，aM}。（7）

用戶點擊第m個類的節點行為概率為

OP=a×amnm/∑[DD（]M[]m=1[DD）]amnm，（8）

式中a參數的引入將高頻類和低頻類之間的界限劃分得更明確。由此得出用戶第i次訪問的請求分布異常值：

fred=∑[DD（]i[]n=1[DD）]OPn/|L|。（9）

1.5.3 路徑循環異常

在任意用戶的訪問路徑中，如果訪問路徑中的子路徑片段重復出現，并呈現路徑閉環形態，則訪問路徑出現路徑循環異常，記為fpci。

定義訪問路徑中子路徑循環的次數為c，子路徑的長度|d|，第i次訪問的節點所處子路徑的位置為d′，例如Session的訪問路徑為b，a，w，e，r，c，a，w，e，r，a，由此可知d={a，w，e，r}，|d|=4，|D|=10，循環次數為2，路徑末尾節點的位置標識d′=1。對于用戶第i次訪問的路徑循環異常值：

1.5.4 行為時隙異常

在任意用戶的訪問路徑中，如果用戶訪問時隙與訪問節點的時間權值集合的中值差異較大，則訪問路徑出現行為時隙異常，記為fbet。

每個節點對于用戶的吸引程度不同，節點駐留時間也會有所差異，因節點提供的內容不變，故節點駐留時間的差異性較小。對用戶行為時隙進行監控，用戶訪問節點的實際駐留時間為該節點時間權值ti，即節點時間權值集合Ti。用戶往往會按照興趣或內容相關度尋找下一個節點，駐留時間不會太短[21]，將節點時間權值集合按照數值大小依次排序，以tim表示節點Ti的中位數。用戶一次訪問路徑中的行為時隙異常節點集合為

訪問路徑中，用戶第i次訪問的行為時隙異常值：

1.5.5 路徑長度異常

為了避免攻擊者在路徑較短時丟棄當前會話，會對以上4種異常檢測算法產生抑制效果，提出路徑長度異常，記為fple。

采用訓練集對全局會話長度進行統計，計算其均值[AKL^]n和方差[AKσ^]n。但現實中均值與方差都會隨時間的變化而變化[22]，文中使用切比雪夫不等式構造自適應偏移變量。

首先設置兩者初始值：

1.6 路徑異常度

用戶路徑的異常包含請求路徑異常frpa，請求分布異常fred，路徑循環異常fpci，行為時隙異常fbet和路徑長度異常fple。基于上述5種異常檢測，在檢測過程中，為前4個異常值各分配一個權重，對應的權重分別為ε，λ，φ，γ，滿足：

ε+λ+φ+γ=1。（19）

網站結構和內容影響異常值的分布，制約著各異常權重的大小，可根據各異常分布占比大小確定各異常權重值，異常檢測中各異常值占比越大，異常情況越明顯，賦予其對應比例的權重值。例如，就此實驗網站而言，對日志數據集進行異常檢測，計算各異常值大小，并統計超出正常范圍的異常值數量，以及其中各異常所占的比例，若請求路徑異常占比為60%，請求分布異常、路徑循環異常、行為時隙異常占比均為10%，則令ε=0.6，λ=φ=γ=0.1。在異常檢測中，因路徑長度易被挾制，容易繞過異常檢測對網站進行侵害，故對路徑長度異常檢測判定賦予“一票否決”屬性。當檢測到用戶路徑長度出現異常時，要求該用戶再次發送請求進行信息驗證，驗證失敗則限制訪問。

根據以上異常檢測，可以計算得出用戶路徑中第i次訪問異常度為

Ffin=εfrpa+λfred+φfpci+γfbet。（20）

當用戶被判定為異常用戶時，異常度則累加到用戶的非法值里，依據用戶非法值大小實施相應措施，防御應用層DDoS攻擊。

2 實驗仿真

2.1 模型搭建

UAP模型運行在Ubuntu 16.04系統下，采用Iptables作為包過濾防火墻，Web服務器使用NGINX實現，Tomcat當作應用服務器。使用Forged-URL Flood，Random-URL Flood，Single-URL Flood，Multi-URL Flood和Session Flood 5類應用層DDoS攻擊訪問Web服務器，分別記為A，B，C，D，E 5類攻擊。對Web服務器產生的路徑數據進行異常檢測，當訪問路徑任意異常值超出對應均值一個方差范圍時，則判定用戶為異常用戶。檢測結果交由防火墻作防御規則調整，當異常用戶訪問時，限制其訪問。

模擬實驗采用blog-http真實數據從2013-09-18 T 06：49：18到2013-09-18 T 22：14：51作為訓練集，進行異常檢測模型訓練。采用2013-09-18 T 22：16：47到2013-09-19 T 06：26：36的真實日志數據作為驗證數據集檢測模型的有效性。依據數據集的來源和請求頁面的映射關系建設模擬網站，根據網站結構為每個異常值分配權重ε=0.08，λ=0.42，φ=0.28和γ=0.22，通過訓練集計算異常檢測的均值和方差，即

2.2 實驗結果

5種應用層DDoS攻擊的異常值和異常度隨路徑變化的關系如圖4所示。

如圖4 a）可知，由于A類和B類兩種攻擊在路徑節點的選擇上具有很強的隨機性，而A類攻擊使用偽造的超長URL進行攻擊，使請求路徑異常值穩定在最大值，即frpa=1。C類攻擊對單個節點持續訪問，異常值逐漸增大，隨著時間推移異常值趨于最大值。D類攻擊中攻擊路徑中節點的連接出現非法銜接時，軌跡出現抖動，抖動最大值逐漸增大，直到軌跡穩定并超出正常范圍。E類攻擊始終處于較小值，由于路徑選取歷史記錄里真實用戶的訪問片段，導致截取路徑的重復使用出現軌跡抖動。

圖4 b） 中A類攻擊請求分布異常值fred=1。B類攻擊的節點選取隨機性高，高頻節點所占比例低選取性低，異常值始終較大。C類攻擊對單一節點持續訪問次數超過正常用戶單一節點訪問次數最大值時，異常值持續增加，逐漸趨于最大值。D類攻擊異常值軌跡出現小幅抖動，最終穩定在較大值。E類攻擊由于真實用戶路徑中個別節點的頻次較低，軌跡出現較大峰值但仍小于閾值，隨后持續走低。

由圖4 c）可知，D類和E類攻擊都是對路徑的重復使用，當路徑第1次形成一個閉環時，異常值逐漸持續增大，趨于較大值。A類攻擊和B類攻擊的路徑循環異常值為0，C類攻擊的路徑循環異常值fpci=1。

如圖4 d）所示，A類、B類和C類攻擊行為時隙較小，異常值上升較快，趨于最大值。D類攻擊由于路徑和攻擊時隙固定，攻擊反復執行，其中單一節點時隙異常判斷值較小，軌跡出現上下波動，異常值穩定在閾值以上。E類攻擊由于截取正常用戶訪問片段，訪問時隙處于正常時隙，異常值處于較低值。

如圖4 e）所示，根據所分配的權重，對用戶的4種異常檢測值做綜合性異常判定，A類、B類、C類和D類異常判定所需的路徑長度較短，E類攻擊需要較長路徑才能做出準確判定。將用戶的綜合性判定值作為防御策略部署的依據。

攻擊時隙選取為正常間隔時間，可以得到如下結論。

1）A類攻擊針對的是網絡圖中的非法節點，主要表現為請求路徑、請求分布異常。

2）B類攻擊忽視網站鏈接規則和興趣的關聯性，隨機訪問節點，故請求路徑異常和請求分布異常尤為突出。

3）C類攻擊對單一節點持續請求，偏離正常用戶瀏覽路徑，出現零長度路徑，主要表現為請求分布異常和路徑循環異常。

4）D類攻擊對多個固定節點循環請求，若節點選擇符合鏈接規則和興趣匹配，則表現為循環路徑異常;不符合時，則表現為請求路徑異常和請求分布異常。

5）E類攻擊使用真實Session路徑的截取片段，截取片段較短時，表現為請求路徑異常和路徑循環異常，片段較長時，表現為路徑循環異常。

6）若攻擊時隙較短，則均表現為行為時隙異常。

5種應用層DDoS攻擊訪問路徑檢測性能如表1所示。A類、B類和C類攻擊的檢測判定時間很快，異常行為因素突出，隨著路徑的增長異常值增長最快。D類攻擊時隙較小時，檢測效率高，時隙增大時，異常行為種類減少，也能得到較快判定。E類攻擊片段為正常用戶歷史截取片段，檢測較有難度，但是對于UAP檢測模型來說，對E類攻擊的檢測效率相對較高。

最后，分析判定誤差隨請求數的變化關系（與文獻[14]工作相比較）如圖5所示，與文獻[14]中的SSM方法相比，本文提出的UAP模型誤報率有明顯降低，隨著請求數的增加，誤報率穩定值也低于SSM方法。因UAP模型中建立了網站規則檢測和路徑長度范圍內異常綜合判定模塊，提高了檢測準確性，防御模塊具有信息驗證功能，使得誤報率大幅降低。

2.3 性能分析

對于數據的來源，文獻[9]采用收集計算網站和主干網絡的數據作為檢測的依據，而UAP模型采用網站自身產生的數據，在數據讀取和處理時間上優于文獻[9]所描述的方法，由于數據來源簡便，因此適用范圍更廣泛。對于關鍵值的存取，文獻[11]提出以用戶忠實度判定用戶異常，使用Cookie存儲用戶忠實度，而Cookie存在一個安全性問題，被攔截后原樣轉發Cookie可以達到挾制目的，本文中用戶非法值存儲于服務端，直接由服務端布置相應防御策略，不受客戶端影響，可靠性高。對于異常的檢測，文獻[15]只針對網站結構和訪問時間間隔進行檢測，當挾持較短路徑長度發起會話攻擊時，幾乎完全避開了攻擊檢測。本文提出的UAP模型除上述兩方面外，還增加了網站內容對用戶行為產生的影響和自適應的路徑長度異常檢測，封堵了檢測算法對路徑長度依賴的漏洞，提高了異常檢測的全面性。

3 結 語

針對網站結構，將行為概率分布特點、攻擊行為特征和訪問路徑異常特征與Web訪問路徑相結合，建立異常檢測模型，能綜合判定路徑長度范圍內的異常值。將異常檢測模型架設在應用服務器和Web服務器之間，能有效減少路徑信息采集時間。配合過濾轉發防火墻防御模塊完成UAP模型的搭設，實現實時檢測、實時防御應用層DDoS攻擊，并有效降低誤報率。通過統計網站正常用戶歷史訪問信息中的節點駐留時間、節點訪問頻次和固有鏈接關系，定義網站固有節點pi、合法邊lr、空間權值S、時間權值t和請求頻次G。檢測模型對路徑長度的有效監控，提升了異常判定的準確性和可靠性。

服務器會對用戶的每次訪問請求進行記錄，通過對記錄信息的提取和處理，按照用戶訪問時間的先后順序，將數據進行組合形成路徑信息，并傳入異常檢測模塊進行計算。計算異常值是否超過正常范圍，從而判定用戶是否為異常用戶。同時非法值會記入用戶的歷史記錄，為防御部署提供理論選擇。由于各網站結構功能不同，異常檢測所分配的權重值以及各參數值取值仍需進一步完善。為了能夠與分布式框架相匹配，與分布式應用程序協調運作的策略需進一步研究。

參考文獻/References：

[1]SHAFIEIAN S， ZULKERNINE M， HAQUE A. CloudZombie： Launching and detecting slow-read distributed denial of service attacks from the cloud[C]// 2015 IEEE International Conference on Computer and Information Technology. Liverpool： IEEE， 2015： 1733-1740.

[2]XIE Yinglian， YU Fang， KE Qifa， et al. Innocent by association： Early recognition of legitimate users[C]// Proceedings of the 2012 Acm Conference on Computer and Communications Security. New York： ACM， 2012： 353-364.

[3]鄒存強.基于ISP網絡的DDoS攻擊防御的研究及應用[D].北京：北京郵電大學，2010.

ZOU Cunqiang. Research and Application of Defense of DDoS Attacks Based on ISP Network[D]. Beijing：Beijing University of Posts and Telecommunications， 2010.

[4]BEITOLLAHI H， DECONINCK G. ConnectionScore： A statistical technique to resist application-layer DDoS attacks[J]. Journal of Ambient Intelligence and Humanized Computing， 2014， 5（3）： 425-442.

[5]趙洋， 單娟， 宋超.復雜網絡中的病毒傳播機制研究[J].河北科技大學學報，2011，32（3）：252-255.

ZHAO Yang， SHAN Juan， SONG Chao. Virus propagation mechanism of complex network[J]. Journal of Hebei University of Science and Technology， 2011， 32（3）：252-255.

[6]齊林， 王靜云， 蔡凌云.SQL注入攻擊檢測與防御研究[J].河北科技大學學報，2012，33（6）：530-533.

QI Lin， WANG Jingyun， CAI Lingyun. Detection of SQL injection attacks and the defense[J]. Journal of Hebei University of Science and Technology， 2012， 33（6）：530-533.

[7]李錦玲， 汪斌強， 張震.基于流量分析的App-DDoS攻擊檢測[J].計算機應用研究，2013，30（2）：487-490.

LI Jinling， WANG Binqiang， ZHANG Zhen. Detecting App-DDoS attacks based on flow analysis[J]. Application Research of Computers， 2013， 30（2）： 487-490.

[8]ZHAO Yuntao， ZHANG Wenbo， FENG Yongxin， et al. A classification detection algorithm based on joint entropy vector against application-layer DDoS attack[J]. Security and Communication Networks， 2018：9463653.

[9]王風宇， 曹首峰， 肖軍， 等.一種基于Web群體外聯行為的應用層DDoS檢測方法[J].軟件學報，2013，24（6）： 1263-1273.

WANG Fengyu， CAO Shoufeng， XIAO Jun， et al. Method of detecting application-layer DDoS based on the out-linking behavior of Web community[J].Journal of Software， 2013，24（6）： 1263-1273.

[10]康松林， 詹煜， 樊曉平， 等.基于蛋白質相互作用網絡的DDoS攻擊檢測[J].小型微型計算機系統，2015， 36（6）： 1283-1290.

KANG Songlin， ZHAN Yu， FAN Xiaoping， et al. DDoS detection which bases on protein interaction networks[J]. Journal of Chinese Computer Systems， 2015， 36（6）： 1283-1290.

[11]孫未， 張亞平.基于用戶忠實度的應用層DDoS防御模型[J].計算機工程與設計，2015，36（1）： 93-97.

SUN Wei， ZHANG Yaping. Application layer DDoS defense model based on user loyalty[J]. Computer Engineering and Design， 2015，36（1）： 93-97.

[12]KEDJAR S， TARI A. The hybrid model for web services security access control and information flow control[C]// 8th International Conference for Internet Technology and Secured Transactions. London： IEEE， 2013： 6750190.

[13]KANDULA S， KATABI D， JACOB M， et al. Botz-4-sale： Surviving organized DDoS attacks that mimic flash crowds[C]//Proceedings of the 2nd Conference on Symposium on Networked Systems Design and Implementation.[S.l.]：[s.n.]， 2005： 287-300.

[14]肖軍， 云曉春， 張永錚.基于會話異常度模型的應用層分布式拒絕服務攻擊過濾[J].計算機學報，2010， 33（9）： 1713-1724.

XIAO Jun， YUN Xiaochun， ZHANG Yongzheng. Defend against application-layer distributed denial-of-service attacks based on session suspicion probability model[J]. Chinese Journal of Computers， 2010， 33（9）： 1713-1724.

[15]劉澤宇， 夏陽， 張義龍， 等.基于Web行為軌跡的應用層DDoS攻擊防御模型[J].計算機應用，2017，37（1）： 128-133.

LIU Zeyu， XIA Yang， ZHANG Yilong， et al. Application-layer DDoS defense model based on Web behavior trajectory[J]. Journal of Computer Applications， 2017，37（1）： 128-133.

[16]龔浩.西南地區民族中學校園網內容建設及影響因素研究[D].重慶：西南大學，2010.

[17]STOCCO A， LEOTTA M， RICCA F， et al. Clustering-aided page object generation for Web testing[C]// Proceedings of the 16th International Conference on Web Engineering. Switzerland： Springer International Publishing， 2016： 132-151.

[18]岳永哲， 趙戰民.網絡通信信息傳輸效率控制仿真研究[J].計算機仿真，2017， 34（10）： 269-272.

YUE Yongzhe， ZHAO Zhanmin. Simulation research on information transmission efficiency control of network communication[J]. Computer Simulation， 2017， 34（10）： 269-272.

[19]陳迪， 張鵬， 楊潔艷， 等.在線地圖服務日志的大數據分析[J].小型微型計算機系統，2015， 36（1）： 33-38.

CHEN Di， ZHANG Peng， YANG Jieyan， et al. Big data analysis of? Web map service log[J]. Journal of Chinese Computer Systems， 2015， 36（1）： 33-38.

[20]李珊， 劉繼超， 邵芬紅.Web日志與瀏覽行為結合下的用戶瀏覽興趣數據挖掘分析[J].現代電子技術，2017， 40（5）： 22-25.

LI Shan， LIU Jichao， SHAO Fenhong. Analysis of user's browsing interest data mining combining Web log with user's browsing behavior[J]. Modern Electronics Technique， 2017， 40（5）： 22-25.

[21]張璽， 張學玲， 張洪欣.基于Web日志的數據預處理方法研究[J].濱州學院學報，2014，30（6）： 98-104.

ZHANG Xi， ZHANG Xueling， ZHANG Hongxin. Research on data preparation based on Web log[J]. Journal of Binzhou University， 2014，30（6）： 98-104.

[22]何濤.基于SIP協議的攻擊呼叫檢測關鍵技術研究[D].鄭州：解放軍信息工程大學，2011.

HE Tao. Research on Key Technology of Attacking Call Detection Based on SIP[D]. Zhengzhou： The PLA Information Engineering University， 2011.