任皓　許向陽　馬金龍　張志浩

摘 要：為了提高防御應(yīng)用層分布式拒絕服務(wù)攻擊的有效性、時效性和準確性，對應(yīng)用層DDoS攻擊的演化、模式，以及攻擊者的攻擊路徑和攻擊行為進行深入研究。提出一種基于Web訪問路徑的防御檢測模型，根據(jù)訪問路徑軌跡、攻擊行為特點和網(wǎng)站鏈接規(guī)則，建立請求路徑、請求分布、路徑循環(huán)、行為時隙和路徑長度5種異常檢測模型。通過計算合法用戶訪問網(wǎng)站時的正常值以及具有攻擊行為用戶的實時異常值偏離程度，可判定是否遭到應(yīng)用層DDoS攻擊。防御模塊依據(jù)用戶非法值大小選取最佳防御策略，抵御應(yīng)用層DDoS攻擊，實現(xiàn)網(wǎng)站數(shù)據(jù)安全與計算機安全。實驗采用真實日志數(shù)據(jù)進行訓練，向?qū)嶒灳W(wǎng)站發(fā)動5種不同類型的應(yīng)用層DDoS攻擊。結(jié)果表明，防御檢測模型能在短時間內(nèi)準確辨別具有攻擊行為的用戶，并聯(lián)合防御模塊抵抗針對Web服務(wù)器的DDoS攻擊，能夠?qū)崿F(xiàn)實時檢測、實時防御，有效降低誤報率。所提出的檢測模型可以對路徑長度進行監(jiān)控，提升了異常判定的準確性和可靠性， 有效提高了Web網(wǎng)站防御DDoS攻擊的能力。

關(guān)鍵詞：數(shù)據(jù)安全與計算機安全;應(yīng)用層;分布式拒絕服務(wù);訪問路徑;異常檢測;攻擊行為

中圖分類號：TP393.08 文獻標志碼：A

doi：10.7535/hbkd.2019yx05006

Application-layer DDoS attack defense detection

model based on Web access path

REN Hao1， XU Xiangyang1， MA Jinlong1， ZHANG Zhihao2

（1. School of Information Science and Engineering， Hebei University of Science and Technology， Shijiazhuang， Hebei 050018， China; 2. School of Electrical and Control Engineering， North China Institute of Aerospace Engineering， Langfang， Hebei 065000， China）

Abstract：In order to improve the effectiveness and timeliness of defense against distributed denial of service （DDoS） attacks in application layer， the evolution and mode of application-layer DDoS attacks， as well as the attack path and behavior of attackers are explored in depth. A defense detection model based on Web access path is proposed， according to access path trajectory， attack behavior characteristics and website link rules， five anomaly detection models including request path， request distribution， path loop， behavior slot and path length are established. By calculating the normal value of legitimate users accessing websites and the deviation degree of real-time outliers of users with aggressive behavior， it can determine whether it is attacked by application-layer DDoS. In order to improve the accuracy of detection， the defense module chooses the best defense strategy according to the size of user's illegal value， resists application-layer DDoS attacks， and achieves website data security and computer security. The experiment is trained with real log data， launch five different types of application-layer DDoS attacks on experimental website， the result show that the defense detection model can accurately identify users with aggressive behavior in a short time， it combines with defense module to defend the application-layer DDoS to a specific website， realizes real-time detection and real-time defense， and the false alarm rate is significantly reduced.

Keywords：data security and computer security; application layer; distributed denial of service; access path; anomaly detection; attack behaviors

在當代網(wǎng)絡(luò)中，分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊依然能夠產(chǎn)生強大的威脅并給許多國家?guī)韲乐赜绊?，它利用目標系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷，以為合法用戶提供服務(wù)作為槍靶，直接消耗受害者的服務(wù)器資源，最終導(dǎo)致服務(wù)器癱瘓[1-3]。

應(yīng)用層面的DDoS攻擊向受害服務(wù)器發(fā)送大量合法數(shù)據(jù)包，但入站流量不足以使受害服務(wù)器的帶寬飽和，且出站流量亦可實現(xiàn)[4]，

由于大量用戶同時訪問站點是一種合法行為，因而應(yīng)用層DDoS攻擊與突發(fā)訪問相似，辨別它們有一定的難度。隨著Web應(yīng)用重要性的不斷提高，其安全風險與日俱增，目標主機或服務(wù)器遭受應(yīng)用層DDoS攻擊往往會產(chǎn)生一定的網(wǎng)絡(luò)攻擊行為，即存在防御檢測的切入點[5-6]。為了檢測應(yīng)用層DDoS攻擊，國內(nèi)外專家提出了一系列防御檢測策略。李錦玲等[7]將應(yīng)用層檢測映射到網(wǎng)絡(luò)流量層面，使用卡爾曼濾波算法檢測單位時間內(nèi)每個用戶的字節(jié)數(shù)，當檢測出異常時，該源端口熵值超出預(yù)設(shè)值，則判定為DDoS攻擊。ZHAO等[8]為了識別DDoS攻擊，構(gòu)造聯(lián)合熵向量的映射矩陣，對熵向量坐標判別圖中邊界和熵向量所處區(qū)域進行判別，能夠有效區(qū)分應(yīng)用層DDoS攻擊的類別。王風宇等[9]對主干網(wǎng)中用戶訪問行為剖析，用戶產(chǎn)生的外聯(lián)行為特點為區(qū)分突發(fā)訪問和攻擊行為提供了有效辨別依據(jù)，但場景條件苛刻，檢測難度大?？邓闪值萚10]利用通信中套接字的參數(shù)進行檢測，分別計算出源地址、源端口號、目的端口號和標識符字段（PRS）各自變量的熵值，在統(tǒng)計時隙內(nèi)，統(tǒng)計各個變量的熵值并進行分析，能夠得出有效區(qū)分和判定網(wǎng)絡(luò)協(xié)議層面DDoS與應(yīng)用層面DDoS的方法。

關(guān)于Web DDoS檢測，孫未等[11]提出為每個Web訪問用戶設(shè)定忠實度，根據(jù)用戶行為忠實度和訪問頻次忠實度進行聯(lián)合判定，將忠實度低于閾值的用戶過濾，從而實現(xiàn)應(yīng)用層DDoS防御。KEDJAR等[12]提出了一種混合模型，解決了Web服務(wù)安全訪問控制問題，然而，該模型缺乏靈活性，某些固定的閾值必須由管理員進行配置。KANDULA等[13]提出攻擊由程序生成，不具有人類智能型，當網(wǎng)絡(luò)資源消耗超出預(yù)設(shè)閾值時，產(chǎn)生簡單問題并進行驗證連接是否為攻擊源，該方法能夠有效區(qū)分攻擊源與正常用戶，且會損失自身資源，并對正常用戶體驗和訪問造成影響。肖軍等[14]分析DDoS與正常訪問行為的不同，提出行為異常度屬性和Session異常度模型，依據(jù)平均異常度的值來判斷是否為合法請求，該方法忽視網(wǎng)站鏈接規(guī)則和Session訪問行為的影響。劉澤宇等[15]分析Web用戶訪問行為，提出4種方式檢測應(yīng)用層DDoS攻擊異常屬性，若用戶異常值超出異常值均值或方差值時，則判定為遭受應(yīng)用層DDoS攻擊，但未對用戶會話長度進行檢測，容易導(dǎo)致DDoS繞過該檢測模型進行攻擊。

針對上述不足，本文主要針對網(wǎng)站結(jié)構(gòu)鏈接性特點、行為概率分布特點和Web用戶訪問路徑特點，提出一種基于Web訪問路徑的DDoS攻擊防御模型（UAP）。該模型部署在Web服務(wù)器與應(yīng)用服務(wù)器的中間地帶，路徑節(jié)點數(shù)據(jù)依次傳入檢測模塊內(nèi)，對請求路徑、請求分布、路徑循環(huán)、行為時隙和路徑長度執(zhí)行異常檢測，檢測結(jié)果能夠準確辨別DDoS攻擊和正常用戶突發(fā)流訪問。防御模塊根據(jù)檢測結(jié)果做出有效防御，依據(jù)用戶非法值選取最佳防御策略，避免小概率事件的發(fā)生。該防御模型不受客戶端環(huán)境差異性影響，不依賴主干網(wǎng)絡(luò)，采用自身數(shù)據(jù)作為檢測基礎(chǔ)，有效減少了數(shù)據(jù)收集時間。對網(wǎng)站鏈接規(guī)則和節(jié)點信息分布以及路徑特性都進行充分的考慮，有效提高了Web網(wǎng)站DDoS攻擊的防御能力。

1 模型結(jié)構(gòu)

UAP模型是由訪問路徑檢測模塊和防火墻過濾轉(zhuǎn)發(fā)組成的防御檢測模型，如圖1所示。用戶訪問請求經(jīng)過防火墻過濾后傳送至Web服務(wù)器，用于異常用戶過濾的黑名單過濾機制架設(shè)在應(yīng)用層，防火墻策略部署在傳輸層。異常檢測與應(yīng)用服務(wù)器接受請求并行執(zhí)行，路徑數(shù)據(jù)實時傳送至檢測模型進行異常判定，判定結(jié)果發(fā)送到防火墻。若判定結(jié)果為用戶異常，根據(jù)路徑數(shù)據(jù)中的客戶端IP，SessionId和會話信息中的瀏覽器標識符等特征，將異常用戶加入到黑名單中，并為其累加非法值，根據(jù)非法值大小部署最佳防御策略。在預(yù)設(shè)時間范圍內(nèi)，防火墻對黑名單用戶發(fā)起的請求進行濾除。當出現(xiàn)誤判時，可通過輸入正確驗證信息等安全措施，從黑名單內(nèi)移除，并清除上次非法值的累加。

該模型的核心部分為異常檢測模型，對用戶的一次訪問行為進行異常檢測，并對用戶路徑生命周期內(nèi)的同種異常檢測值作全局判定，只要有一種異常檢測超出正常范圍則可判定為異常用戶。異常判定具有全面性和準確性，可做到訪問與檢測并行執(zhí)行，實現(xiàn)實時檢測、實時防御部署。同時，可以有效降低防御模塊的誤報率。

1.1 用戶路徑

網(wǎng)站是指在因特網(wǎng)上根據(jù)一定規(guī)則，用于展示特定內(nèi)容的相關(guān)網(wǎng)頁的集合[16]。每個網(wǎng)站中包含許多網(wǎng)頁，頁面由若干個嵌入對象組成，若將頁面和嵌入對象看作是網(wǎng)站的內(nèi)嵌對象，一個網(wǎng)站就由無數(shù)個內(nèi)嵌對象編制成一張大型網(wǎng)絡(luò)[17]。將每個頁面和嵌入對象看作網(wǎng)絡(luò)的節(jié)點，網(wǎng)絡(luò)中所有節(jié)點的集合記為p;相鄰頁面間的鏈接則作為連接節(jié)點的邊，記為l;若邊的形成不包含網(wǎng)絡(luò)圖中的任意邊，則為非法邊，反之為合法邊，記為lr。節(jié)點和邊構(gòu)成了一張網(wǎng)絡(luò)圖，由網(wǎng)絡(luò)圖中一系列邊和節(jié)點組成的用戶路徑，記為L。

1.2 基本參數(shù)

每個節(jié)點pi都擁有6個屬性值（Id，SessionId，ObjectId，Time，ReferId，Count），Id表示該節(jié)點的唯一標識符，采用自增的整數(shù)設(shè)定;SessionId表示用戶訪問網(wǎng)站建立一個會話的唯一標識符;ObjectId表示網(wǎng)站內(nèi)部所包含頁面節(jié)點和所有內(nèi)嵌對象節(jié)點的唯一標識符;Time表示用戶訪問節(jié)點的時刻;ReferId表示用戶訪問節(jié)點的來源節(jié)點的標識符;Count表示訪問用戶一次會話內(nèi)訪問Web服務(wù)的次數(shù)[15]。每個屬性值都能反映路徑信息。

空間權(quán)值S是指網(wǎng)絡(luò)圖中任意兩節(jié)點之間最短路徑。對于任意邊l=（pj，pk），設(shè)S（l）=sjk，則sjk為l上的空間權(quán)值。例如節(jié)點元素a，b，c，即a，b，c∈p;a可以訪問相鄰節(jié)點元素b和c，則邊為l1=（a，b）和l2=（a，c），它們的空間權(quán)值S（l1）=S（l2）=1。

時間權(quán)值t是指用戶離開節(jié)點前所駐留的時間。對于任意節(jié)點pj，pk，設(shè)t（pj，pk）=tjk，則tjk為節(jié)點pj上的時間權(quán)值。

請求次數(shù)G是指網(wǎng)絡(luò)模型中任意節(jié)點被合法請求次數(shù)。對于任意節(jié)點pi，設(shè)G（pi）=gi，則gi為節(jié)點pi上的請求次數(shù)。

1.3 路徑分析

用戶路徑在網(wǎng)絡(luò)圖中具有以下5種特征。

1）依據(jù)節(jié)點間鏈接原則，路徑中任意相鄰兩節(jié)點間的連接，即lr=l=（pj，pk），S（l）=1。當用戶破壞鏈接規(guī)則時，當前節(jié)點的下一跳節(jié)點[18]不屬于該點的鄰接節(jié)點，即lr≠l=（pj，pk），S（d）>1。

2）對訓練集中節(jié)點請求次數(shù)進行統(tǒng)計，得出節(jié)點請求頻次與節(jié)點次數(shù)位序之間滿足Zipf分布[19]，如圖2所示。Zipf定律反映的是規(guī)模與位序之間的一種冪律關(guān)系，大約20%的節(jié)點請求總數(shù)占全部節(jié)點請求總數(shù)的80%，由此可看出訪問發(fā)生在少數(shù)節(jié)點上。因頁面之間的興趣關(guān)聯(lián)性，用戶路徑上節(jié)點興趣相似[20]，故用戶路徑G（pi）的軌跡應(yīng)趨于穩(wěn)定。若攻擊發(fā)生，惡意程序無法按照興趣關(guān)聯(lián)性智能訪問網(wǎng)站節(jié)點，與真實用戶路徑相差較大，導(dǎo)致用戶路徑G（pi）的軌跡有較大波動。

3） 用戶對新頁面有新鮮感，故用戶不會反復(fù)循環(huán)請求一個或多個頁面。當用戶路徑在網(wǎng)絡(luò)圖中出現(xiàn)路徑閉環(huán)時，說明存在攻擊行為。

4） 用戶在節(jié)點的駐留時間ti表明用戶對節(jié)點內(nèi)容的思考和關(guān)注度，節(jié)點pi與駐留時間ti是相關(guān)的。攻擊者為了能夠提高攻擊力度，往往會銳減節(jié)點駐留時間，由此造成節(jié)點的時間權(quán)值出現(xiàn)較小值，導(dǎo)致出現(xiàn)行為時隙異常。

5） 路徑分析對路徑信息的有效性需求較高，為了避免攻擊者使用相對攻擊模式繞過路徑分析，需要對路徑的有效長度加以檢測，避免檢測方法受到挾制。

1.4 數(shù)據(jù)預(yù)處理與采集

Web日志是指客戶端與Web服務(wù)器交互信息過程中產(chǎn)生的日志，客戶端提交服務(wù)請求過程中，可能會途經(jīng)代理服務(wù)器和防火墻，最后到Web應(yīng)用服務(wù)器[21]。為了更高效地利用訓練集的日志數(shù)據(jù)，需要對日志中的錯誤數(shù)據(jù)和重復(fù)記錄進行處理，例如非成功請求（主要是指出現(xiàn)403，404等狀態(tài)碼的請求）;將頁面加載內(nèi)嵌對象請求也看作一個單獨請求的網(wǎng)頁頁面請求，對于用戶的請求是沒有意義的，應(yīng)予以刪除。

將處理后的日志數(shù)據(jù)進行采集識別處理，對相同IP的用戶數(shù)據(jù)進行歸類，按時間大小排序。根據(jù)設(shè)定的Session失效時間為每個用戶計算響應(yīng)的SessionId，一次會話過程中的SessionId相同，頁面駐留時間Time根據(jù)一次會話中前后ObjectId請求時間差值來獲取。

1.5 基于Web用戶的路徑異常檢測

UAP模型的核心檢測模塊為訪問路徑異常檢測，檢測模塊分為請求路徑異常、請求分布異常、路徑循環(huán)異常、行為時隙異常和路徑長度異常5個方面。

1.5.1 請求路徑異常

在任意用戶的訪問路徑中，若存在大量的子路徑d=（pj，pk），S（d）>1，則訪問路徑出現(xiàn)請求路徑異常，記為frpa。

在給定的網(wǎng)站中，每個節(jié)點所擁有的鄰接節(jié)點集合padj是依據(jù)網(wǎng)站頁面間鏈接原則選定的，即pi的鄰接節(jié)點集合為piadj。邊的有向性由節(jié)點指向其鄰接節(jié)點，如圖3所示節(jié)點鏈接關(guān)系，節(jié)點a，b，c，e，h∈p，節(jié)點a的鄰接節(jié)點為b，c，節(jié)點e為b的鄰接節(jié)點。當a下一跳節(jié)點為b時，構(gòu)成一條子路徑，d=（a，b），S（d）=1，屬于正常訪問。在節(jié)點a訪問節(jié)點e的路徑中，未出現(xiàn)中間節(jié)點b，則可能出現(xiàn)非法訪問，該路徑中節(jié)點a請求路徑異常。用戶每次訪問下一跳節(jié)點時，遍歷當前節(jié)點的鄰接節(jié)點集合，若出現(xiàn)異常，請求路徑異常點集合：

Pabn={pi|S（pi，pi+1）>1， pi∈p，pi+1piadj}，（1）

由此得出用戶第i次訪問的請求路徑異常值：

frpa=[SX（]Pabn[]|L|[SX）]。（2）

1.5.2 請求分布異常

因攻擊程序節(jié)點的選取不具備智能化，若任意用戶在訪問路徑中的路徑行為概率均值波動較大，呈現(xiàn)出異常趨勢，則訪問路徑出現(xiàn)請求分布異常，記為fred。

網(wǎng)站內(nèi)每一個節(jié)點的gi與位序呈現(xiàn)Zipf分布，按照節(jié)點的請求次數(shù)從大到小進行排序，將節(jié)點按照gi大小劃分為M類，相同類的節(jié)點gi是相等的，其分類結(jié)果為

A={a1，a2，…，aM}，（3）

NUM={n1，n2，…，nM}，（4）

式中：A表示劃分為M類;ni表示在ai類中所包含pi的個數(shù)。由于符合Zipf分布，依據(jù)Zipf二八原則可以分為兩大類，當滿足：

∑[DD（]n[]i=1[DD）]aini=0.8×∑[DD（]M[]i=1[DD）]aini，（5）

可劃分為高頻E類和低頻F類：

E={a1，a2，…，an}，（6）

F={an，an+1，…，aM}。（7）

用戶點擊第m個類的節(jié)點行為概率為

OP=a×amnm/∑[DD（]M[]m=1[DD）]amnm，（8）

式中a參數(shù)的引入將高頻類和低頻類之間的界限劃分得更明確。由此得出用戶第i次訪問的請求分布異常值：

fred=∑[DD（]i[]n=1[DD）]OPn/|L|。（9）

1.5.3 路徑循環(huán)異常

在任意用戶的訪問路徑中，如果訪問路徑中的子路徑片段重復(fù)出現(xiàn)，并呈現(xiàn)路徑閉環(huán)形態(tài)，則訪問路徑出現(xiàn)路徑循環(huán)異常，記為fpci。

定義訪問路徑中子路徑循環(huán)的次數(shù)為c，子路徑的長度|d|，第i次訪問的節(jié)點所處子路徑的位置為d′，例如Session的訪問路徑為b，a，w，e，r，c，a，w，e，r，a，由此可知d={a，w，e，r}，|d|=4，|D|=10，循環(huán)次數(shù)為2，路徑末尾節(jié)點的位置標識d′=1。對于用戶第i次訪問的路徑循環(huán)異常值：

1.5.4 行為時隙異常

在任意用戶的訪問路徑中，如果用戶訪問時隙與訪問節(jié)點的時間權(quán)值集合的中值差異較大，則訪問路徑出現(xiàn)行為時隙異常，記為fbet。

每個節(jié)點對于用戶的吸引程度不同，節(jié)點駐留時間也會有所差異，因節(jié)點提供的內(nèi)容不變，故節(jié)點駐留時間的差異性較小。對用戶行為時隙進行監(jiān)控，用戶訪問節(jié)點的實際駐留時間為該節(jié)點時間權(quán)值ti，即節(jié)點時間權(quán)值集合Ti。用戶往往會按照興趣或內(nèi)容相關(guān)度尋找下一個節(jié)點，駐留時間不會太短[21]，將節(jié)點時間權(quán)值集合按照數(shù)值大小依次排序，以tim表示節(jié)點Ti的中位數(shù)。用戶一次訪問路徑中的行為時隙異常節(jié)點集合為

訪問路徑中，用戶第i次訪問的行為時隙異常值：

1.5.5 路徑長度異常

為了避免攻擊者在路徑較短時丟棄當前會話，會對以上4種異常檢測算法產(chǎn)生抑制效果，提出路徑長度異常，記為fple。

采用訓練集對全局會話長度進行統(tǒng)計，計算其均值[AKL^]n和方差[AKσ^]n。但現(xiàn)實中均值與方差都會隨時間的變化而變化[22]，文中使用切比雪夫不等式構(gòu)造自適應(yīng)偏移變量。

首先設(shè)置兩者初始值：

1.6 路徑異常度

用戶路徑的異常包含請求路徑異常frpa，請求分布異常fred，路徑循環(huán)異常fpci，行為時隙異常fbet和路徑長度異常fple?；谏鲜?種異常檢測，在檢測過程中，為前4個異常值各分配一個權(quán)重，對應(yīng)的權(quán)重分別為ε，λ，φ，γ，滿足：

ε+λ+φ+γ=1。（19）

網(wǎng)站結(jié)構(gòu)和內(nèi)容影響異常值的分布，制約著各異常權(quán)重的大小，可根據(jù)各異常分布占比大小確定各異常權(quán)重值，異常檢測中各異常值占比越大，異常情況越明顯，賦予其對應(yīng)比例的權(quán)重值。例如，就此實驗網(wǎng)站而言，對日志數(shù)據(jù)集進行異常檢測，計算各異常值大小，并統(tǒng)計超出正常范圍的異常值數(shù)量，以及其中各異常所占的比例，若請求路徑異常占比為60%，請求分布異常、路徑循環(huán)異常、行為時隙異常占比均為10%，則令ε=0.6，λ=φ=γ=0.1。在異常檢測中，因路徑長度易被挾制，容易繞過異常檢測對網(wǎng)站進行侵害，故對路徑長度異常檢測判定賦予“一票否決”屬性。當檢測到用戶路徑長度出現(xiàn)異常時，要求該用戶再次發(fā)送請求進行信息驗證，驗證失敗則限制訪問。

根據(jù)以上異常檢測，可以計算得出用戶路徑中第i次訪問異常度為

Ffin=εfrpa+λfred+φfpci+γfbet。（20）

當用戶被判定為異常用戶時，異常度則累加到用戶的非法值里，依據(jù)用戶非法值大小實施相應(yīng)措施，防御應(yīng)用層DDoS攻擊。

2 實驗仿真

2.1 模型搭建

UAP模型運行在Ubuntu 16.04系統(tǒng)下，采用Iptables作為包過濾防火墻，Web服務(wù)器使用NGINX實現(xiàn)，Tomcat當作應(yīng)用服務(wù)器。使用Forged-URL Flood，Random-URL Flood，Single-URL Flood，Multi-URL Flood和Session Flood 5類應(yīng)用層DDoS攻擊訪問Web服務(wù)器，分別記為A，B，C，D，E 5類攻擊。對Web服務(wù)器產(chǎn)生的路徑數(shù)據(jù)進行異常檢測，當訪問路徑任意異常值超出對應(yīng)均值一個方差范圍時，則判定用戶為異常用戶。檢測結(jié)果交由防火墻作防御規(guī)則調(diào)整，當異常用戶訪問時，限制其訪問。

模擬實驗采用blog-http真實數(shù)據(jù)從2013-09-18 T 06：49：18到2013-09-18 T 22：14：51作為訓練集，進行異常檢測模型訓練。采用2013-09-18 T 22：16：47到2013-09-19 T 06：26：36的真實日志數(shù)據(jù)作為驗證數(shù)據(jù)集檢測模型的有效性。依據(jù)數(shù)據(jù)集的來源和請求頁面的映射關(guān)系建設(shè)模擬網(wǎng)站，根據(jù)網(wǎng)站結(jié)構(gòu)為每個異常值分配權(quán)重ε=0.08，λ=0.42，φ=0.28和γ=0.22，通過訓練集計算異常檢測的均值和方差，即

2.2 實驗結(jié)果

5種應(yīng)用層DDoS攻擊的異常值和異常度隨路徑變化的關(guān)系如圖4所示。

如圖4 a）可知，由于A類和B類兩種攻擊在路徑節(jié)點的選擇上具有很強的隨機性，而A類攻擊使用偽造的超長URL進行攻擊，使請求路徑異常值穩(wěn)定在最大值，即frpa=1。C類攻擊對單個節(jié)點持續(xù)訪問，異常值逐漸增大，隨著時間推移異常值趨于最大值。D類攻擊中攻擊路徑中節(jié)點的連接出現(xiàn)非法銜接時，軌跡出現(xiàn)抖動，抖動最大值逐漸增大，直到軌跡穩(wěn)定并超出正常范圍。E類攻擊始終處于較小值，由于路徑選取歷史記錄里真實用戶的訪問片段，導(dǎo)致截取路徑的重復(fù)使用出現(xiàn)軌跡抖動。

圖4 b） 中A類攻擊請求分布異常值fred=1。B類攻擊的節(jié)點選取隨機性高，高頻節(jié)點所占比例低選取性低，異常值始終較大。C類攻擊對單一節(jié)點持續(xù)訪問次數(shù)超過正常用戶單一節(jié)點訪問次數(shù)最大值時，異常值持續(xù)增加，逐漸趨于最大值。D類攻擊異常值軌跡出現(xiàn)小幅抖動，最終穩(wěn)定在較大值。E類攻擊由于真實用戶路徑中個別節(jié)點的頻次較低，軌跡出現(xiàn)較大峰值但仍小于閾值，隨后持續(xù)走低。

由圖4 c）可知，D類和E類攻擊都是對路徑的重復(fù)使用，當路徑第1次形成一個閉環(huán)時，異常值逐漸持續(xù)增大，趨于較大值。A類攻擊和B類攻擊的路徑循環(huán)異常值為0，C類攻擊的路徑循環(huán)異常值fpci=1。

如圖4 d）所示，A類、B類和C類攻擊行為時隙較小，異常值上升較快，趨于最大值。D類攻擊由于路徑和攻擊時隙固定，攻擊反復(fù)執(zhí)行，其中單一節(jié)點時隙異常判斷值較小，軌跡出現(xiàn)上下波動，異常值穩(wěn)定在閾值以上。E類攻擊由于截取正常用戶訪問片段，訪問時隙處于正常時隙，異常值處于較低值。

如圖4 e）所示，根據(jù)所分配的權(quán)重，對用戶的4種異常檢測值做綜合性異常判定，A類、B類、C類和D類異常判定所需的路徑長度較短，E類攻擊需要較長路徑才能做出準確判定。將用戶的綜合性判定值作為防御策略部署的依據(jù)。

攻擊時隙選取為正常間隔時間，可以得到如下結(jié)論。

1）A類攻擊針對的是網(wǎng)絡(luò)圖中的非法節(jié)點，主要表現(xiàn)為請求路徑、請求分布異常。

2）B類攻擊忽視網(wǎng)站鏈接規(guī)則和興趣的關(guān)聯(lián)性，隨機訪問節(jié)點，故請求路徑異常和請求分布異常尤為突出。

3）C類攻擊對單一節(jié)點持續(xù)請求，偏離正常用戶瀏覽路徑，出現(xiàn)零長度路徑，主要表現(xiàn)為請求分布異常和路徑循環(huán)異常。

4）D類攻擊對多個固定節(jié)點循環(huán)請求，若節(jié)點選擇符合鏈接規(guī)則和興趣匹配，則表現(xiàn)為循環(huán)路徑異常;不符合時，則表現(xiàn)為請求路徑異常和請求分布異常。

5）E類攻擊使用真實Session路徑的截取片段，截取片段較短時，表現(xiàn)為請求路徑異常和路徑循環(huán)異常，片段較長時，表現(xiàn)為路徑循環(huán)異常。

6）若攻擊時隙較短，則均表現(xiàn)為行為時隙異常。

5種應(yīng)用層DDoS攻擊訪問路徑檢測性能如表1所示。A類、B類和C類攻擊的檢測判定時間很快，異常行為因素突出，隨著路徑的增長異常值增長最快。D類攻擊時隙較小時，檢測效率高，時隙增大時，異常行為種類減少，也能得到較快判定。E類攻擊片段為正常用戶歷史截取片段，檢測較有難度，但是對于UAP檢測模型來說，對E類攻擊的檢測效率相對較高。

最后，分析判定誤差隨請求數(shù)的變化關(guān)系（與文獻[14]工作相比較）如圖5所示，與文獻[14]中的SSM方法相比，本文提出的UAP模型誤報率有明顯降低，隨著請求數(shù)的增加，誤報率穩(wěn)定值也低于SSM方法。因UAP模型中建立了網(wǎng)站規(guī)則檢測和路徑長度范圍內(nèi)異常綜合判定模塊，提高了檢測準確性，防御模塊具有信息驗證功能，使得誤報率大幅降低。

2.3 性能分析

對于數(shù)據(jù)的來源，文獻[9]采用收集計算網(wǎng)站和主干網(wǎng)絡(luò)的數(shù)據(jù)作為檢測的依據(jù)，而UAP模型采用網(wǎng)站自身產(chǎn)生的數(shù)據(jù)，在數(shù)據(jù)讀取和處理時間上優(yōu)于文獻[9]所描述的方法，由于數(shù)據(jù)來源簡便，因此適用范圍更廣泛。對于關(guān)鍵值的存取，文獻[11]提出以用戶忠實度判定用戶異常，使用Cookie存儲用戶忠實度，而Cookie存在一個安全性問題，被攔截后原樣轉(zhuǎn)發(fā)Cookie可以達到挾制目的，本文中用戶非法值存儲于服務(wù)端，直接由服務(wù)端布置相應(yīng)防御策略，不受客戶端影響，可靠性高。對于異常的檢測，文獻[15]只針對網(wǎng)站結(jié)構(gòu)和訪問時間間隔進行檢測，當挾持較短路徑長度發(fā)起會話攻擊時，幾乎完全避開了攻擊檢測。本文提出的UAP模型除上述兩方面外，還增加了網(wǎng)站內(nèi)容對用戶行為產(chǎn)生的影響和自適應(yīng)的路徑長度異常檢測，封堵了檢測算法對路徑長度依賴的漏洞，提高了異常檢測的全面性。

3 結(jié) 語

針對網(wǎng)站結(jié)構(gòu)，將行為概率分布特點、攻擊行為特征和訪問路徑異常特征與Web訪問路徑相結(jié)合，建立異常檢測模型，能綜合判定路徑長度范圍內(nèi)的異常值。將異常檢測模型架設(shè)在應(yīng)用服務(wù)器和Web服務(wù)器之間，能有效減少路徑信息采集時間。配合過濾轉(zhuǎn)發(fā)防火墻防御模塊完成UAP模型的搭設(shè)，實現(xiàn)實時檢測、實時防御應(yīng)用層DDoS攻擊，并有效降低誤報率。通過統(tǒng)計網(wǎng)站正常用戶歷史訪問信息中的節(jié)點駐留時間、節(jié)點訪問頻次和固有鏈接關(guān)系，定義網(wǎng)站固有節(jié)點pi、合法邊lr、空間權(quán)值S、時間權(quán)值t和請求頻次G。檢測模型對路徑長度的有效監(jiān)控，提升了異常判定的準確性和可靠性。

服務(wù)器會對用戶的每次訪問請求進行記錄，通過對記錄信息的提取和處理，按照用戶訪問時間的先后順序，將數(shù)據(jù)進行組合形成路徑信息，并傳入異常檢測模塊進行計算。計算異常值是否超過正常范圍，從而判定用戶是否為異常用戶。同時非法值會記入用戶的歷史記錄，為防御部署提供理論選擇。由于各網(wǎng)站結(jié)構(gòu)功能不同，異常檢測所分配的權(quán)重值以及各參數(shù)值取值仍需進一步完善。為了能夠與分布式框架相匹配，與分布式應(yīng)用程序協(xié)調(diào)運作的策略需進一步研究。

參考文獻/References：

[1]SHAFIEIAN S， ZULKERNINE M， HAQUE A. CloudZombie： Launching and detecting slow-read distributed denial of service attacks from the cloud[C]// 2015 IEEE International Conference on Computer and Information Technology. Liverpool： IEEE， 2015： 1733-1740.

[2]XIE Yinglian， YU Fang， KE Qifa， et al. Innocent by association： Early recognition of legitimate users[C]// Proceedings of the 2012 Acm Conference on Computer and Communications Security. New York： ACM， 2012： 353-364.

[3]鄒存強.基于ISP網(wǎng)絡(luò)的DDoS攻擊防御的研究及應(yīng)用[D].北京：北京郵電大學，2010.

ZOU Cunqiang. Research and Application of Defense of DDoS Attacks Based on ISP Network[D]. Beijing：Beijing University of Posts and Telecommunications， 2010.

[4]BEITOLLAHI H， DECONINCK G. ConnectionScore： A statistical technique to resist application-layer DDoS attacks[J]. Journal of Ambient Intelligence and Humanized Computing， 2014， 5（3）： 425-442.

[5]趙洋， 單娟， 宋超.復(fù)雜網(wǎng)絡(luò)中的病毒傳播機制研究[J].河北科技大學學報，2011，32（3）：252-255.

ZHAO Yang， SHAN Juan， SONG Chao. Virus propagation mechanism of complex network[J]. Journal of Hebei University of Science and Technology， 2011， 32（3）：252-255.

[6]齊林， 王靜云， 蔡凌云.SQL注入攻擊檢測與防御研究[J].河北科技大學學報，2012，33（6）：530-533.

QI Lin， WANG Jingyun， CAI Lingyun. Detection of SQL injection attacks and the defense[J]. Journal of Hebei University of Science and Technology， 2012， 33（6）：530-533.

[7]李錦玲， 汪斌強， 張震.基于流量分析的App-DDoS攻擊檢測[J].計算機應(yīng)用研究，2013，30（2）：487-490.

LI Jinling， WANG Binqiang， ZHANG Zhen. Detecting App-DDoS attacks based on flow analysis[J]. Application Research of Computers， 2013， 30（2）： 487-490.

[8]ZHAO Yuntao， ZHANG Wenbo， FENG Yongxin， et al. A classification detection algorithm based on joint entropy vector against application-layer DDoS attack[J]. Security and Communication Networks， 2018：9463653.

[9]王風宇， 曹首峰， 肖軍， 等.一種基于Web群體外聯(lián)行為的應(yīng)用層DDoS檢測方法[J].軟件學報，2013，24（6）： 1263-1273.

WANG Fengyu， CAO Shoufeng， XIAO Jun， et al. Method of detecting application-layer DDoS based on the out-linking behavior of Web community[J].Journal of Software， 2013，24（6）： 1263-1273.

[10]康松林， 詹煜， 樊曉平， 等.基于蛋白質(zhì)相互作用網(wǎng)絡(luò)的DDoS攻擊檢測[J].小型微型計算機系統(tǒng)，2015， 36（6）： 1283-1290.

KANG Songlin， ZHAN Yu， FAN Xiaoping， et al. DDoS detection which bases on protein interaction networks[J]. Journal of Chinese Computer Systems， 2015， 36（6）： 1283-1290.

[11]孫未， 張亞平.基于用戶忠實度的應(yīng)用層DDoS防御模型[J].計算機工程與設(shè)計，2015，36（1）： 93-97.

SUN Wei， ZHANG Yaping. Application layer DDoS defense model based on user loyalty[J]. Computer Engineering and Design， 2015，36（1）： 93-97.

[12]KEDJAR S， TARI A. The hybrid model for web services security access control and information flow control[C]// 8th International Conference for Internet Technology and Secured Transactions. London： IEEE， 2013： 6750190.

[13]KANDULA S， KATABI D， JACOB M， et al. Botz-4-sale： Surviving organized DDoS attacks that mimic flash crowds[C]//Proceedings of the 2nd Conference on Symposium on Networked Systems Design and Implementation.[S.l.]：[s.n.]， 2005： 287-300.

[14]肖軍， 云曉春， 張永錚.基于會話異常度模型的應(yīng)用層分布式拒絕服務(wù)攻擊過濾[J].計算機學報，2010， 33（9）： 1713-1724.

XIAO Jun， YUN Xiaochun， ZHANG Yongzheng. Defend against application-layer distributed denial-of-service attacks based on session suspicion probability model[J]. Chinese Journal of Computers， 2010， 33（9）： 1713-1724.

[15]劉澤宇， 夏陽， 張義龍， 等.基于Web行為軌跡的應(yīng)用層DDoS攻擊防御模型[J].計算機應(yīng)用，2017，37（1）： 128-133.

LIU Zeyu， XIA Yang， ZHANG Yilong， et al. Application-layer DDoS defense model based on Web behavior trajectory[J]. Journal of Computer Applications， 2017，37（1）： 128-133.

[16]龔浩.西南地區(qū)民族中學校園網(wǎng)內(nèi)容建設(shè)及影響因素研究[D].重慶：西南大學，2010.

[17]STOCCO A， LEOTTA M， RICCA F， et al. Clustering-aided page object generation for Web testing[C]// Proceedings of the 16th International Conference on Web Engineering. Switzerland： Springer International Publishing， 2016： 132-151.

[18]岳永哲， 趙戰(zhàn)民.網(wǎng)絡(luò)通信信息傳輸效率控制仿真研究[J].計算機仿真，2017， 34（10）： 269-272.

YUE Yongzhe， ZHAO Zhanmin. Simulation research on information transmission efficiency control of network communication[J]. Computer Simulation， 2017， 34（10）： 269-272.

[19]陳迪， 張鵬， 楊潔艷， 等.在線地圖服務(wù)日志的大數(shù)據(jù)分析[J].小型微型計算機系統(tǒng)，2015， 36（1）： 33-38.

CHEN Di， ZHANG Peng， YANG Jieyan， et al. Big data analysis of? Web map service log[J]. Journal of Chinese Computer Systems， 2015， 36（1）： 33-38.

[20]李珊， 劉繼超， 邵芬紅.Web日志與瀏覽行為結(jié)合下的用戶瀏覽興趣數(shù)據(jù)挖掘分析[J].現(xiàn)代電子技術(shù)，2017， 40（5）： 22-25.

LI Shan， LIU Jichao， SHAO Fenhong. Analysis of user's browsing interest data mining combining Web log with user's browsing behavior[J]. Modern Electronics Technique， 2017， 40（5）： 22-25.

[21]張璽， 張學玲， 張洪欣.基于Web日志的數(shù)據(jù)預(yù)處理方法研究[J].濱州學院學報，2014，30（6）： 98-104.

ZHANG Xi， ZHANG Xueling， ZHANG Hongxin. Research on data preparation based on Web log[J]. Journal of Binzhou University， 2014，30（6）： 98-104.

[22]何濤.基于SIP協(xié)議的攻擊呼叫檢測關(guān)鍵技術(shù)研究[D].鄭州：解放軍信息工程大學，2011.

HE Tao. Research on Key Technology of Attacking Call Detection Based on SIP[D]. Zhengzhou： The PLA Information Engineering University， 2011.