基于用户忠实度的App-DDoS防御模型

摘要

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是当前互联网面临的最严重的安全问题之一。近些年，随着Web服务的不断涌现，DDoS攻击开始从传统的传输层和网络层转向应用层，且应用层 DDoS（Application DDoS，App-DDoS）攻击发生的愈发频繁，造成的影响越来越大。
　　App-DDoS攻击中攻击者发出的攻击请求都是合法请求，并且在底层表现合法。因此传统DDoS攻击的防御方法不能有效防御App-DDoS攻击。在应用层，客户端可以通过发送少量报文就可以使服务器进行大量计算，从而消耗其各种资源。因此App-DDoS攻击有更强的攻击性。综上所述，寻找有效的App-DDoS防御方法更加迫切。
　　App-DDoS攻击中，攻击者与正常用户最主要的不同在于访问目的。为了达到消耗服务器资源的目的，攻击者便会在行为特征表现上和正常用户在有很大的区别。因此本文将通过分析用户的行为特征来对App-DDoS进行攻击检测。
　　针对应用层DDoS攻击的特点，本文首先提取了请求速率和负载请求比例两个用户行为特征来对用户行为进行检测。其次，本文提出了忠实度的概念，作为对用户行为特征表现的综合评估，并提出了有效的忠实度评估方法。忠实度的评估不仅要考量用户访问过程中的行为表现，还要结合用户的历史行为表现。因此可以对用户行为进行更准确的评估。忠实度计算还通过低初始值和慢增快减两种机制来保证攻击用户往往拥有较低忠实度值，正常用户拥有较高忠实度值，可以有效提高攻击检测率，降低误报率。再次，为了更好地统计用户的历史行为，本文提出了基于客户端的检测和过滤方式。在该方法中，使用Cookie技术来标识客户端，将检测攻击用户转化为评估一台主机是否为攻击主机。该方法使得攻击者无法轻易丢弃旧身份，可以更好地统计该主机的历史行为表现。最后，针对App-DDoS攻击，本文实现了一种基于用户忠实度的ULDM（User Loyalty Defense Model）防御模型。该模型通过忠实度计算来评估主机用户是否为攻击主机。实验表明，该防御模型可以有效检测和过滤App-DDoS攻击，并具有较高的检测率和较低的误报率。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景和意义

1.2 国内外研究现状

1.3 本文研究内容

1.4 本文研究工作和主要贡献

1.5 本文的组织结构

第二章 DDoS攻击原理及防御策略

2.1 DDoS攻击的概念及原理

2.2 传统DDoS攻击

2.3 App-DDoS攻击

第三章 ULDM防御模型理论分析

3.1 模型的提出

3.2 用户忠实度计算

3.3 用户身份管理

3.4 惩罚机制与调度机制

第四章 防御模型的设计和实现

4.1 ULDM防御模型

4.2 数据库设计

4.3 身份管理

4.4 行为特征检测模块

4.5 忠实度计算

第五章 实验分析

5.1 实验环境

5.2 正常用户行为特征训练

5.2 模拟实验

5.3 结果分析

第六章 总结和展望

6.1 总结

6.2 展望

参考文献

发表论文和参加科研情况说明

致谢