导读:本文包含了应用层攻击论文开题报告文献综述及选题提纲参考文献,主要关键词:数据安全与计算机安全,应用层,分布式拒绝服务,访问路径
应用层攻击论文文献综述
任皓,许向阳,马金龙,张志浩[1](2019)在《基于Web访问路径的应用层DDoS攻击防御检测模型》一文中研究指出为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。(本文来源于《河北科技大学学报》期刊2019年05期)
林欢[2](2019)在《基于访问节奏矩阵的应用层DDoS攻击检测算法》一文中研究指出自DDoS攻击被发现以来,这种具有巨大破坏力的网络攻击方式一直饱受关注,成为了广大网络安全领域企业和科研人员的主要研究内容。随着时代的发展与技术的进步,近年来DDoS攻击的样式和种类都发生了很大的变化。现存的DDos攻击方式,除了 SYN洪泛、ICMP和UDP洪泛等许多传统攻击方式,各种各样的应用层DDoS攻击流量出现在网络上,随之带来了各种崭新的攻击模式,如HTTP、HTTPS和DNS等服务的请求指令洪泛模式。在此,我们将这类形式的DDoS攻击统称为应用层DDoS攻击(应用层分布式拒绝服务攻击)。随着网络应用的普及与发展,现存的DDOS攻击主要有两个特点:一是由于虚拟市场上也出现了一大批操作简单且收费极低甚至免费的应用层DDoS攻击产生工具导致攻击者们发起网络攻击的门槛越来越低;二是由于网络用户的不断增加以及网民们对于安全问题的不够重视,越来越多的僵尸网络以及傀儡机出现,甚至出现了用来进行金钱交易达到谋利目的出租僵尸机。由于这些生产工具的简易型以及大众对于攻击带来的伤害具有盲目性,许多不法分子看到了商机,有目的的人可以简单的发起一次攻击,攻击对象可能是一个人,也可能是一家公司甚至一个政府机构。由于我们没有办法杜绝不法分子的出现以及网络上攻击工具的传播,所以高效准确的应用层DDoS攻击检测系统就变得非常具有其必要性。DDoS攻击大致可以分为叁个阶段:产生,传播,攻击。我们无法杜绝攻击的产生,也无法在其传播过程中进行阻挡。因此,服务器不可能免除遭受DDoS攻击的可能性,我们能做的就是在攻击一开始的时候就必须准确的检测到攻击,随即根据攻击模式采取相对应的防护措施,以最大的可能性将攻击者带来的恶意影响控制到最小。由于针对应用层的不同协议产生的DDoS攻击具有各自不同的攻击特性与攻击模式,因此我们的算法在设计时选择了针对应用层HTTP协议的洪泛攻击作为我们的主要研究对象。我们采用的攻击检测方法使用访问节奏矩阵作为流化模型,定义了异常度作为检测DDoS攻击的重要参数,并在检测到攻击后对攻击主机IP进行识别。对应于我们的流量数据中,我们提取分组包的相应特征,如:分组包的大小以及分组包的间隔到达时间。通过对以上两个特征进行线性变换,将我们重新定义的数据流中相邻的叁个分组包特征进行整合,整合后得到一对特征值。我们将得到的每对特征值对应到我们初始化的矩阵中,并将该矩阵定义为访问节奏矩阵。每个访问节奏矩阵对应一个数据窗口,记录了该数据窗口内数据流量的表现特征。因此,我们对每个访问节奏矩阵定义一个异常度。异常度的定义基于正常状态下的访问节奏矩阵,异常度代表了每个访问节奏矩阵与正常访问节奏矩阵之间的差异性。我们对使用没有发生DDoS攻击的流量构造的访问节奏矩阵进行了异常度的统计计算,并根据统计结果定义了矩阵的异常度的阈值。一旦某个数据窗口生成的访问节奏矩阵的异常度超出阈值,我们认为该数据窗口内发生了应用层DDoS攻击。检测到攻击后,我们的算法还可以对之后的数据窗口内的访问主机的IP进行识别,可以对攻击主机IP进行标记。(本文来源于《山东大学》期刊2019-05-20)
喻志彬,马程,李思其,王淼[3](2019)在《基于Web应用层的DDoS攻击模型研究》一文中研究指出随着云计算及物联网技术的快速发展,不安全的网络空间资源呈指数级增长,分布式拒绝服务攻击(DDoS)逐渐成为威胁计算机网络安全的最主要因素之一。在攻击与防御的过程中,DDoS攻击的发展趋势正由传统的单线攻击发展为平台攻击。当前对Web应用层攻击的研究主要集中于传统CC攻击、变异的CC攻击、HTTP慢速攻击及基于HTML5的WebSocket新特性攻击等领域。文章在现有研究的基础上,对两类基于Web应用层的DDo S攻击模型进行了深入的分析,一类是基于API的DDo S攻击模型,另一类是基于Web后门的DDo S攻击模型。两种模型均是基于Web特性的新型攻击方式,具有比较典型的特征。对此类攻击模型的研究,有助于网络安全研究人员提出相应的防御方法,提高Web服务端抗DDoS攻击的能力。(本文来源于《信息网络安全》期刊2019年05期)
马兰,崔博花,刘轩,岳猛,吴志军[4](2019)在《基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法》一文中研究指出针对广域信息管理(SWIM)系统受到应用层分布式拒绝服务(DDoS)攻击的问题,提出了一种基于隐半马尔可夫模型(HSMM)的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法,利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为;然后通过学习和预测正常SWIM用户行为得出正常检测区间;最后选取访问包的大小和请求时间间隔为特征进行建模,并训练模型进行异常检测。实验结果表明,所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%,与快速前向后向算法构建的HSMM相比,检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。(本文来源于《计算机应用》期刊2019年07期)
张宇[5](2018)在《应用层DDoS攻击检测研究》一文中研究指出随着当代网络信息技术的高速发展,以及经济利益的驱使,导致一些网络黑客发动攻击来达到自己的目的。其中,针对应用层协议(如HTTP、DNS等)而发起的攻击首当其冲。为了保护正常用户的合法利益以及网络环境的净化,针对网络安全的研究刻不容缓。本文主要针对HTTP协议以及DNS协议的DDoS攻击分别提出了一种检测方法。本文首先对相关背景知识进行了研究和概括,包括分析了HTTP协议和DNS协议的特点,以及针对HTTP协议和DNS协议的DDoS攻击原理和特征并分别阐述了针对两种协议的典型DDoS攻击,同时对现有的针对上述两种协议的DDoS攻击检测方法进行研究分类,总结各自的优点和不足之处。现有的针对HTTP协议的DDoS攻击检测方法普遍存在精度低、复杂度高、难以区分Flash Event等不足之处,本文提出了基于新型信息论的应用层DDoS攻击检测方法,利用一套新的信息理论指标-熵和-差异度量来检测应用层DDoS攻击和突发流事件。所提出的度量指标对于网络流量中的微小变化高度敏感,且与现有的主要使用的广义熵和广义信息差异度量相比,该方法效果更好。实验结果表明,该方法具有高度的敏感性和收敛性,能够高效的检测出DDoS攻击并区分突发流。对于针对DNS协议的DDoS攻击检测方法所存在的使用特征单一、实时性较差等不足之处,本文提出了一种DNS放大攻击的检测与过滤方法,分析并选取发生DNS放大攻击时的特征,以单位时间内的数据量作为计算项,通过K-means++算法进行聚类分析,判断是否发生攻击;并通过HOP-count信息,过滤流向受害者的攻击流量。通过实验表明,该方法能够有效检测出DNS放大攻击,具有准确度高、实时性强的特点;且能够有效地过滤非法流量,降低受害者的受损程度。(本文来源于《南京邮电大学》期刊2018-11-14)
刘东,张骏温,张艳,成梦曼[6](2018)在《基于改进的Adaboost算法在应用层DDoS攻击检测中的应用》一文中研究指出文中提出了一种用于应用层DDoS攻击检测的基于C4.5决策树的Adaboost改进算法。为了避免Adaboost算法过度关注噪声样本,引进了一个权重阈值,当权重大于阈值时将该样本从训练样本中剔除。在单位时间内从Web应用服务器的日志文件中提取每个ip请求服务器的总次数、请求大小、请求URL的熵值、返回状态码的熵值、请求相同页面的次数、请求相同页面所占比例,并将这6个特征值作为请求特征用于本文算法进行训练,以建立应用层DDoS检测的模型。通过十折交叉验证的方式将所提算法与传统Adaboost算法和C4.5进行了对比,发现所提算法有较高的检测率。(本文来源于《中国计算机用户协会网络应用分会2018年第二十二届网络新技术与应用年会论文集》期刊2018-11-08)
米军奉[7](2018)在《基于Spark的应用层DDoS攻击检测》一文中研究指出分布式拒绝服务(DDo S)因其技术门槛低、破坏性强,已然成为当代互联网安全最严重的威胁之一。而随着DDo S攻击检测技术研究的不断深入,基于传输层或网络层的传统DDo S已难以产生较好的攻击效果,同时互联网服务高速向Web端发展,加快了DDo S攻击向应用层转变的脚步。应用层DDo S攻击通常利用真实IP并且单次请求均为合法请求,可完美避开网络防护系统,这为网络安全防御工作提出了更高的要求。本文首先就应用层DDo S攻击检测技术做了大量调研发现,目前的针对应用层DDo S攻击的检测方法大多需要进行提前建模或者对历史数据进行大量收集,这些检测方法虽然拥有不错的检测准确率,但实施步骤复杂、工程量普遍较大并且一般不具备检测的实时性和检测方法的普适性。为此,本文深入分析应用层DDo S的攻击原理及特征,发现其本质是利用大量相同IP的僵尸网络节点在短时间内向目标服务器发起高频请求。为了验证这一说法,本文就正常用户与DDo S攻击者在访问行为上进行特异性比较分析,发现应用层DDo S在攻击期间有两个明显的行为特征:一是请求IP地址分布较为固定;二是请求频率远高于其他正常时间段。所以,本文以时间维度并利用统计学分析,提出了利用IP请求熵来形式化描述这两个特异性行为,并以此作为判断应用层DDo S攻击的关键特征。在IP请求熵的基础上,采用双时间线预测模型对IP请求熵进行预测,将预测结果与该时刻的实际值进行比较得到偏移量,最后将偏移量与所选时间序列的叁倍标准差进行比较,来判断是否受到应用层DDo S攻击。其中,双时间线指既考虑与预测点时间相邻的历史数据(横时间线),又考虑预测点的不同周期内的对应时刻历史数据(纵时间线)。在双时间线预测模型中,先分别使用ARIMA预测模型和二次指数平滑预测模型对横、纵时间线进行预测;然后将二者的预测结果加权求和,得到最终预测结果,实验表明该模型下的预测效果优于传统的预测模型。在检测方法的整体设计方面,本文利用了Spark的分布式日志获取和实时计算能力快速获得IP请求熵,为IP请求熵时间序列的构建提供了先验条件,同时利用Spark时间切片机制对IP请求熵时间序列数据集进行动态更新,形成了具备一定实时性和普适性的应用层DDo S检测方法。最后,通过实验对所提出的检测方法进行测试,结果表明该检测方法具有良好的检出率和实时性。(本文来源于《四川师范大学》期刊2018-06-07)
焦嘉慧[8](2018)在《基于HTTP的应用层DDoS攻击检测研究》一文中研究指出随着互联网的发展,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)逐渐成为网络安全的一大威胁。DDoS攻击通过控制大量受控主机协同地向目标服务器发送海量类似正常请求的数据包,瞬时间耗尽目标网络的带宽和目标系统的资源,使得目标服务器拒绝服务。近年来,最盛行的DDoS攻击是基于HTTP(HyperText Transfer Protocol,超文本传输协议)的应用层攻击。它利用应用层协议对Web服务发起攻击,在流量特征、数据包特征等方面与正常流基本无差别,因此,相比其他DDoS攻击更难检测。由于操作简单、成本低、攻击效果好,它逐渐成为利用率最高的攻击之一。目前,学术界已有大量检测DDoS攻击的文献。方法大致分为两类:统计和机器学习。对于基于HTTP的应用层DDoS攻击,本文提出了一种统计与机器学习相结合的实时检测方法,并设计了分为数据统计、初步检测、深度检测和清洗防御4个阶段的检测流程。初步检测阶段使用信息熵检测攻击窗口;深度检测阶段对每个攻击窗口中的数据划分样本,并使用机器学习模型分类,标记可疑客户端。本文为两个不同类型的检测阶段选择了不同的样本标准和特征,极大地提高了检测精度。除此之外,本文还提供了有效的清洗策略。该方法一方面减少了直接使用机器学习分类算法进行检测所产生的巨大计算开销,另一方面提高了仅基于统计的检测系统的适应性、扩展性和准确性。本文使用模拟数据集和云平台数据集验证了该检测方法的可靠性和实用性。本文在初步检测阶段比较了2种信息熵方法;在深度检测阶段比较了3种机器学习二分类算法,并分析了各二分类算法在实时检测中的表现。实验表明,香农熵优于Renyi熵,随机森林和决策树更适用于实时检测。在两个数据集上,该方法都取得了高于98.5%的攻击检测率和低于0.5%的攻击误报率。(本文来源于《南开大学》期刊2018-05-01)
刘自豪[9](2018)在《应用层DDoS攻击检测与评估关键技术研究》一文中研究指出分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种有效的扰乱毁瘫手段,往往对网络信息系统安全造成重大威胁。根据攻击所发起的网络层次不同,可分为网络层DDoS攻击、传输层DDoS攻击及应用层DDoS攻击(Application Layer DDoS,App-DDoS)。App-DDoS攻击由于隐蔽性强及与正常用户集中访问表象极为相似的特性,能够有效绕过不断完善的网络与传输层级防御手段,成为目前研究的重点与难点。本文围绕目前App-DDoS攻击检测与评估方法中存在的检测类型单一、检测算法训练过程繁琐、检测算法训练结果更新困难及评估方法主观性强等问题,展开深入研究,主要工作和创新点如下:1、针对基于流量特征的App-DDoS攻击检测方法侧重于检测持续型App-DDoS攻击,而忽略检测上升型与脉冲型App-DDoS攻击的问题,提出一种综合检测多类型App-DDoS攻击的方法,实现在网络关键节点基于流量的App-DDoS攻击检测。首先通过Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现对HTTP GET数的快速统计,以支持对刻画数据规模、流量趋势及源IP地址分布差异所需特征参数的实时计算;然后将支持向量机(Support Vector Machine,SVM)分类器以偏二叉树结构进行组织,用于分层训练特征参数,并结合遍历与反馈学习,提出基于偏二叉树SVM多分类(Partial Binary Tree Based SVM Algorithm,PBT-SVM)算法的App-DDoS攻击检测方法,快速区分出非突发正常流量、突发正常流量及多类型App-DDoS攻击流量。实验表明,所提方法通过划分检测类型、逐层训练检测模型,与传统基于SVM、Navie Bayes的检测方法相比,具有更高检测率与更低误检率,且能有效区分出具体攻击类型。2、针对基于用户行为的App-DDoS攻击检测算法中样本训练过程繁琐以及类簇更新困难两个难点,提出一种基于改进近邻传播聚类算法(Improved Affinity Propagation,IAP)的App-DDoS攻击自学习检测方法,实现在被攻击终端基于日志的App-DDoS攻击检测。首先对近邻传播聚类算法改进优化:在利用少量先验知识对数据集进行预分类的基础上,结合同类簇合并机制解决样本大小敏感问题,同时引入异类簇清除机制排除特殊类簇对检测结果所造成的干扰;其次给出用户行为属性表征用户行为特征,利用IAP算法实现用户行为有效聚类,提高检测精度;然后引入Silhouette指标实时监控类簇质量,设计类簇自学习更新机制,进一步降低误检率、提高检测率,并支持检测类簇的动态抗解析。实验结果表明,与传统近邻传播聚类、K均值主成分分析算法相比,所提方法具有较高的运行效率和较好的检测性能,并具有一定的自主优化能力。3、针对基于层次分析法的App-DDoS攻击态势评估方法中评估指标选取困难与评估方法主观性较强问题,提出一种基于D-S证据理论的层次化App-DDoS攻击态势评估方法。首先引入基于历史数据的使用率-消耗度转换函数,实现主机、网络资源的使用率指标向消耗度指标的转换,并结合服务质量指标综合刻画App-DDoS攻击影响评估对象的因素;其次依据D-S证据理论分析当前各评估指标相互间的关系,进而由指标值推理得到设备遭受App-DDoS攻击的程度,避免了通过主观赋权方法评估设备威胁度的问题;然后将服务重要度与位置关键度相结合确定设备重要性,并采用层次分析的思想将设备重要性与设备威胁度相聚合,实现针对App-DDoS攻击的网络安全态势评估。实验结果表明,所提方法将D-S证据理论与层次分析法有机结合,支持对App-DDoS攻击态势进行合理评估。4、针对App-DDoS攻击检测与评估由于数据量膨胀而带来的实时处理难题,引入分布式流处理平台Storm,基于所提App-DDoS攻击检测方法及层次化App-DDoS攻击态势评估方法,设计一种App-DDoS攻击检测与评估系统方案,主要包括离线训练、在线检测与评估等环节。其中,离线训练环节采用具有分布式特性的多Spout机制,支持多类型、多时段流量统计与用户行为特征的同时训练,提高训练效率;在线检测与评估环节采用循环队列与定时发送缓存数据的方法,基于具有流处理特性的SlotBasedExtract机制提取流量统计特征、用户行为及评估指标,降低检测延迟。实验结果表明,基于Storm平台实现App-DDoS攻击检测与评估方法具有实时性强、适应性好的特点。(本文来源于《战略支援部队信息工程大学》期刊2018-04-20)
邓诗琪[10](2018)在《应用层慢速HTTP拒绝服务攻击检测及防御方法研究》一文中研究指出近几年出现的慢速HTTP拒绝服务攻击(Slow HTTP Denial of Service,SHDoS)是针对应用层的慢速拒绝服务攻击(Low-rate Denial of Service,LDoS)的变种攻击。然而,现有针对网络层和传输层LDoS攻击的基于TCP流量统计特征和最大熵估计法等常见检测方法在检测SHDoS攻击时误报率较高,检测性能较差,数据包签名法不适用于针对SHDoS攻击的检测。因此,针对SHDoS攻击的检测及防御技术研究意义较大,实用价值较高。本文以应用层SHDoS攻击为主要研究对象,在现有研究基础上作出部分改进,提出了能够有效对SHDoS攻击进行检测和防御的算法和模型,并对上述算法和模型进行了验证。具体研究工作如下:(1)针对现有基于傅里叶变换频谱分析的检测算法(下文简称DFT算法)不能反映攻击类非平稳信号局部区域上的特征、缺少时间信息,误报率较高等问题,提出了基于短时傅里叶变换(Short-Time Fourier Transform,STFT)频谱分析的检测算法,记为RTFA算法。算法以一定采样率和规则从Web服务器HTTP请求日志中提取客户端行为作为信号序列,并以该信号序列的STFT频谱中时频幅值和之比作为检测特征。SHDoS攻击持续期间,其STFT频谱频段边缘处时间前期与时间中期时频幅值和之比(Ratio of Time-Frequency Amplitude in Frequency-Band,RTFA-F)相对稳定,不随攻击速率变化而产生差异,且明显高于正常负载下计算所得RTFA-F值。仿真结果表明,采用该特征的实验值作为检测阈值,能够成功检测SHDoS攻击。并且,在攻击过程中,其STFT频谱中时间后期与总时间时频幅值和之比(Ratio of Time-Frequency Amplitude in Time-Domain,RTFA-T)有一定差异,各值相对稳定。实验证明,通过采用该特征的实验数据值作为另一检测阈值,可以进一步对SHDoS各子类型攻击进行有效鉴别,且检测率较高。(2)针对RTFA算法在日志转换及处理、检测结果计算上较为耗时,算法时延性较高,不适于在高实时要求场景中应用等问题,在现有基于TCP持久连接时长的检测算法(下文简称TC算法)的基础上,结合SHDoS攻击在应用层独有的特征,提出了基于HTTP请求检查的SHDoS攻击检测算法,记为RC算法。实验结果表明RC算法能够实时地对SHDoS各子类型攻击进行检测,但其检测率低于RTFA算法(最高相差12.40%)。(3)针对现有防御方法需手动配置、参数阈值不易控制等问题,提出了基于SDN架构的流量控制防御模型(下文简称SDN-FC模型)。其主要思想为,将SHDoS攻击的防御算法(下文简称SHDoS-DA)部署在SDN架构的中央控制器中,当SHDoS-DA被Web服务器告知收到疑似攻击请求时,即部署在Web服务器上的检测算法检测到SHDoS攻击时,SDN中央控制器允许SHDoS-DA在申请更新流动法则后阻塞后续即将到来的来自疑似请求的流量。仿真和分析结果表明,该防御模型能够有效抵御多点SHDoS攻击。(本文来源于《北京邮电大学》期刊2018-03-09)
应用层攻击论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
自DDoS攻击被发现以来,这种具有巨大破坏力的网络攻击方式一直饱受关注,成为了广大网络安全领域企业和科研人员的主要研究内容。随着时代的发展与技术的进步,近年来DDoS攻击的样式和种类都发生了很大的变化。现存的DDos攻击方式,除了 SYN洪泛、ICMP和UDP洪泛等许多传统攻击方式,各种各样的应用层DDoS攻击流量出现在网络上,随之带来了各种崭新的攻击模式,如HTTP、HTTPS和DNS等服务的请求指令洪泛模式。在此,我们将这类形式的DDoS攻击统称为应用层DDoS攻击(应用层分布式拒绝服务攻击)。随着网络应用的普及与发展,现存的DDOS攻击主要有两个特点:一是由于虚拟市场上也出现了一大批操作简单且收费极低甚至免费的应用层DDoS攻击产生工具导致攻击者们发起网络攻击的门槛越来越低;二是由于网络用户的不断增加以及网民们对于安全问题的不够重视,越来越多的僵尸网络以及傀儡机出现,甚至出现了用来进行金钱交易达到谋利目的出租僵尸机。由于这些生产工具的简易型以及大众对于攻击带来的伤害具有盲目性,许多不法分子看到了商机,有目的的人可以简单的发起一次攻击,攻击对象可能是一个人,也可能是一家公司甚至一个政府机构。由于我们没有办法杜绝不法分子的出现以及网络上攻击工具的传播,所以高效准确的应用层DDoS攻击检测系统就变得非常具有其必要性。DDoS攻击大致可以分为叁个阶段:产生,传播,攻击。我们无法杜绝攻击的产生,也无法在其传播过程中进行阻挡。因此,服务器不可能免除遭受DDoS攻击的可能性,我们能做的就是在攻击一开始的时候就必须准确的检测到攻击,随即根据攻击模式采取相对应的防护措施,以最大的可能性将攻击者带来的恶意影响控制到最小。由于针对应用层的不同协议产生的DDoS攻击具有各自不同的攻击特性与攻击模式,因此我们的算法在设计时选择了针对应用层HTTP协议的洪泛攻击作为我们的主要研究对象。我们采用的攻击检测方法使用访问节奏矩阵作为流化模型,定义了异常度作为检测DDoS攻击的重要参数,并在检测到攻击后对攻击主机IP进行识别。对应于我们的流量数据中,我们提取分组包的相应特征,如:分组包的大小以及分组包的间隔到达时间。通过对以上两个特征进行线性变换,将我们重新定义的数据流中相邻的叁个分组包特征进行整合,整合后得到一对特征值。我们将得到的每对特征值对应到我们初始化的矩阵中,并将该矩阵定义为访问节奏矩阵。每个访问节奏矩阵对应一个数据窗口,记录了该数据窗口内数据流量的表现特征。因此,我们对每个访问节奏矩阵定义一个异常度。异常度的定义基于正常状态下的访问节奏矩阵,异常度代表了每个访问节奏矩阵与正常访问节奏矩阵之间的差异性。我们对使用没有发生DDoS攻击的流量构造的访问节奏矩阵进行了异常度的统计计算,并根据统计结果定义了矩阵的异常度的阈值。一旦某个数据窗口生成的访问节奏矩阵的异常度超出阈值,我们认为该数据窗口内发生了应用层DDoS攻击。检测到攻击后,我们的算法还可以对之后的数据窗口内的访问主机的IP进行识别,可以对攻击主机IP进行标记。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
应用层攻击论文参考文献
[1].任皓,许向阳,马金龙,张志浩.基于Web访问路径的应用层DDoS攻击防御检测模型[J].河北科技大学学报.2019
[2].林欢.基于访问节奏矩阵的应用层DDoS攻击检测算法[D].山东大学.2019
[3].喻志彬,马程,李思其,王淼.基于Web应用层的DDoS攻击模型研究[J].信息网络安全.2019
[4].马兰,崔博花,刘轩,岳猛,吴志军.基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法[J].计算机应用.2019
[5].张宇.应用层DDoS攻击检测研究[D].南京邮电大学.2018
[6].刘东,张骏温,张艳,成梦曼.基于改进的Adaboost算法在应用层DDoS攻击检测中的应用[C].中国计算机用户协会网络应用分会2018年第二十二届网络新技术与应用年会论文集.2018
[7].米军奉.基于Spark的应用层DDoS攻击检测[D].四川师范大学.2018
[8].焦嘉慧.基于HTTP的应用层DDoS攻击检测研究[D].南开大学.2018
[9].刘自豪.应用层DDoS攻击检测与评估关键技术研究[D].战略支援部队信息工程大学.2018
[10].邓诗琪.应用层慢速HTTP拒绝服务攻击检测及防御方法研究[D].北京邮电大学.2018
标签:数据安全与计算机安全; 应用层; 分布式拒绝服务; 访问路径;