基于会话异常度模型的应用层分布式拒绝服务攻击检测

资源描述

《基于会话异常度模型的应用层分布式拒绝服务攻击检测》由会员分享，可在线阅读，更多相关《基于会话异常度模型的应用层分布式拒绝服务攻击检测（12页珍藏版）》请在金锄头文库上搜索。

1、书书书第? ?卷?第?期? ? ? ?年?月计?算?机?学?报? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?收稿日期? ? ? ? ? ? ? ? ? ?最终修改稿收到日期? ? ? ? ? ? ? ? ? ?本课题得到国家自然科学基金? ? ? ? ? ? ? ? ?国家?八六三?高技术研究发展计划项目基金? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?资助?肖?军

2、?男? ? ? ?年生?博士研究生?主要研究方向为? ? ? ?攻击检测? ? ? ?攻击过滤? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?云晓春?男? ? ? ?年生?博士?教授?博士生导师?主要研究领域为网络安全?互联网建模和网络测量?张永铮?男? ? ? ?年生?博士?副教授?主要研究领域为网络安全和网络安全评估?基于会话异常度模型的应用层分布式拒绝服务攻击过

3、滤肖?军? ?云晓春?张永铮?中国科学院计算技术研究所?北京? ? ? ? ? ?中国科学院研究生院?北京? ? ? ? ? ?摘?要?大量的网络攻击手段和可利用的网络资源大大增加了抵御分布式拒绝服务? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击的难度?应用层? ? ? ?建立在正常的网络层行为之上?当前网络层安全设备无法有效抵御攻击?文

4、章提出了一种应用层? ? ? ?攻击过滤模型?基于攻击请求的生成方式?文中将应用层? ? ? ?攻击分为?类?分析了应用层? ? ? ?攻击与正常访问行为的不同?提出了访问行为异常属性和? ? ? ? ? ? ?异常度模型?利用此模型?可以有效区分正常访问? ? ? ? ? ? ?和应用层? ? ? ?攻击? ? ? ? ? ? ? ?将? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

5、? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ?种转发策略与? ? ? ? ? ? ?异常度模型结合?采用真实网络日志?模拟分析合法请求返回时延随时间的变化关系?结果表明?转发速率为合法请求最大速率就可获得较好的转发性能?此外? ? ? ?和? ? ? ? ? ? ? ? ?比? ? ?具有更低的合法请求返回时延?关键词? ? ? ?过滤?异常度?应用层?转发策略中图法分类号?

6、? ? ? ? ? ?号? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

7、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

8、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

9、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

10、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

11、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

12、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

13、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?引?言分布式拒绝服务? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击是互联网安全的主要威胁之一?可在网络层或

14、应用层实现?当前?对网络层? ? ? ?攻击的检测和过滤研究已取得了相当的研究成果?基于网络层流量异常?防火墙等网络安全设备能够有效检测和抵御网络层? ? ? ?攻击?如? ? ? ? ? ? ? ? ? ? ? ?攻击等?应用层? ? ? ?攻击首先提交正常的连接建立请求?在连接建立后?向目标服务器提交服务请求?消耗服务器计算资源?由于在网络层行为表现正常?应用层? ? ? ?攻

15、击能够有效逃避应用层级的检测和过滤?在? ? ? ? ? ?攻击无法取得好的攻击效果时?攻击者可采用应用层? ? ? ?攻击达到攻击意图?应用层? ? ? ?攻击可采用真实? ?请求或伪造? ?请求?除简单发送大量请求的? ? ? ? ? ? ?攻击方式外?攻击者可提交如下请求?实现对服务器资源的有效消耗? ?提交较长的请求消耗服务器缓冲区?使得大量合法请求无法进入缓冲区

16、而被丢弃?为了达到较好的攻击效果?攻击者往往伪造一个较长的? ?请求?提交给服务器?下载大文件?这种攻击方式可以导致对磁盘的频繁访问?请求较大的文件?如较大的图片和页面?此类攻击能够有效消耗网卡的计算能力和下行链路带宽?提交大计算开销请求?包括计算复杂性高的操作?如加解密计算?或者复杂的数据库操作?如某个属性的最大值查询?此类攻击能有效

17、消耗? ? ?或数据库服务器的计算能力?采用上述几种类型的请求?无需大量的攻击请求?攻击者可实现对服务器的有效攻击?同时?为了达到较好的攻击效果?攻击者可提高攻击请求的发送频率?本文首先对应用层? ? ? ?进行了分类?然后分析? ? ? ?攻击与正常访问行为的不同点?提出访问异常属性?然后本文提出一种对服务和用户透明的应用层? ? ? ?攻击? ? ? ? ? ?

18、 ?识别方法?无需了解请求具体内容?执行情况或资源消耗?只需获取请求? ?和到达时间等信息?即可建立相应的模型?计算出的? ? ? ? ? ? ?的行为可疑度能有效区分攻击? ? ? ? ? ? ?和合法访问? ? ? ? ? ? ?为攻击过滤提供决策依据?由于? ? ? ? ? ? ?行为可疑度计算时间复杂性为? ?可以实现对应用层? ? ? ?攻击的实时过滤?本文的工作具体如下?首先?基于

19、攻击? ?请求生成方式?本文将应用层? ? ? ?攻击分为?类?包括? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ? ?攻击?应用层? ? ? ?攻击与正常访问行为相比?在? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?请求顺序?内嵌对象数目? ?长度? ? ? ? ? ? ?请求数目和请求序列循环数等

20、方面存在多个明显区别?基于上述几个区别?本文提出访问行为异常属性?并基于异常属性?提出? ? ? ? ? ? ?异常度计算模型?对真实网站日志的分析表明? ? ? ? ? ? ?异常度模型具有较高的识别精度?由于应用层? ? ? ?攻击? ? ? ? ? ? ?具有较高的异常度?因而能够与合法? ? ? ? ? ? ?有效区分?基于? ? ? ? ? ? ?异常度进行请求转发?分析? ? ? ? ? ? ? ? ?

21、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ?种转发策略下合法请求返回时延随时间的变化关系?结果表明?转发速率为合法请求最大速率?就可获得较好的转发性能?并且? ? ? ? ? ? ? ? ?和? ? ? ?比? ? ?相比?具有较低的合法请求返回时延?本文第?节介绍相关工作?第?节对应用层? ? ? ?进行分类?第?节比较攻击? ?

22、 ? ? ? ? ?和正常访问? ? ? ? ? ? ?的不同?提出访问行为异常属性和? ? ? ? ? ? ?异常度模型?并对模型的有效性进行验证?第?节分析转发速率和转发调度策略?第?节对一些问题进行讨论?第?节总结全文?相关工作应用层? ? ? ?攻击导致访问流量大幅度增加?与? ? ? ? ? ? ? ? ?极为相似?因此应用层? ? ? ?攻击的检测研究主要是如何区分这两者? ? ? ? ?等人认

23、为? ? ? ? ? ? ? ? ?发生时?大量的地址? ? ? ? ? ? ?重复出现?而? ? ? ?攻击时?会出现大量新的地址? ? ? ? ? ? ?在? ? ? ? ? ? ? ? ?时?与正常访问相比?每个用户对应的请求数变小?而? ? ? ?时则变大? ? ? ? ? ? ? ? ?的访问地址分布不均匀?而? ? ? ?攻击时?访问地址分布比较均匀?在文件请求方面? ? ? ? ? ? ? ? ?发生时被请求文件呈? ? ? ? ? ? ? ?

24、?分布?而? ? ? ?发生时则集中在少数文件? ? ? ?等人基于? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?来区分应用层? ? ? ?攻击和? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?对应的? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?熵无明显变化?而? ? ? ?对应的? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?的熵值有较大下降? ? ?等人利用? ? ? ? ? ? ? ? ? ? ? ? ? ?

25、和? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?采用概率测量的方法来区?计?算?机?学?报? ? ? ?年分? ? ? ?攻击和? ? ? ? ? ? ? ? ? ?攻击流由固定的程序生成?与正常访问流相比?攻击流之间呈现明显的相似性? ?等人利用这一特点?实现对? ? ? ?攻击流和? ? ? ? ? ? ? ? ?流的区分?基于请求的动态变化?请求的语义和具备对可视对象处理能力等?个正常访问的特

26、征? ? ? ? ? ? ? ? ?等人构建了正常行为模型?用来区分攻击? ? ?和正常访问者?为了区分正常访问者和攻击? ? ? ? ? ? ? ?等人采用图灵测试?将行为探测程序传到客户端?分析是否有鼠标移动等正常用户行为?同时分析用户的访问请求是否符合正常浏览的行为模式?判断是正常用户还是? ? ? ? ? ? ? ? ? ? ?等人根据? ? ? ? ? ? ?的参数?包括? ? ? ? ? ? ?

27、建立速率?请求速率和请求消耗?把应用层? ? ? ?攻击分为? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击和? ? ? ? ? ? ? ? ? ? ? ? ?攻击?基于这?种攻击?提出了一种? ? ? ? ? ? ?可疑度计算模型?依据? ? ? ? ? ? ?可疑度?进行请求转发?构建合法用户行为模型需用? ? ? ? ? ? ? ?来获取请求对? ? ?带宽以及磁盘的消耗?但? ?

28、? ? ? ? ? ?并不易获得?并且在服务器进行更新后?无法及时获得新请求的资源消耗?图灵测试? ?能够有效区分攻击者和正常访问者?由于合法用户能够正确地完成测试?而攻击主机不具备完成测试的能力?可以准确地区分两者?但是图灵测试往往会干扰访问者对服务器的正常访问? ? ? ? ? ? ? ? ?等人提出了一种? ? ? ? ? ? ? ?方法来抵御应用层? ? ? ?与以往

29、减慢或削弱攻击者的过滤方法相反? ? ? ? ? ? ? ?方法让所有客户端提高发送速率?但攻击者为了达到较好的攻击效果?通常采取尽最大能力攻击原则?在攻击开始时就会采用最大发送速率?所以增加发送速率的均为合法用户?因此能够识别合法流量? ? ? ? ? ? ? ? ?等人结合多种异常检测技术?实现对? ? ?服务器攻击的检测?以服务器日志为输入?计算? ? ? ? ?

30、 ? ? ? ? ? ? ? ? ?的异常指数?此方法针对? ? ? ? ?进行研究?对? ?攻击具有一定的检测效果?没有针对应用层? ? ? ?攻击进行检测?并且以日志为输入无法实现对攻击的实时检测? ? ?等人结合? ? ? ? ? ? ? ? ? ? ? ? ? ? ?异常检测方法和? ? ? ? ? ? ?方法?识别攻击端?过滤应用层? ? ? ?攻击?但无法有效抵御慢速的应用层? ? ? ?攻击? ? ? ?等人提出了一

31、种基于用户浏览行为的统计异常检测?根据? ? ?页面的链接特性和各级? ? ? ? ?对用户请求的响应?采用了隐马尔可夫模型描述服务器端观察的用户访问行为?如果一个用户的访问行为偏离了正常用户的行为特征?则认为此用户为攻击端?此方法不足在于训练和计算过程比较繁琐?应用层? ? ? ?攻击分类? ? ? ? ? ? ? ? ?等人将? ? ? ? ? ?攻击分为?类?在此基础

32、上?本文对应用层? ? ? ?攻击的分类进行了扩充?依据攻击主机提交请求的真实性?应用层? ? ? ?攻击可分为真实? ?请求攻击和伪造? ?请求攻击? ? ? ? ? ? ? ? ? ? ? ? ?真实? ?攻击请求可进一步分为重复使用单一? ?请求? ? ? ? ? ? ? ? ? ? ?攻击?重复使用多个? ?请求? ? ? ? ? ? ? ? ? ? ?攻击?基于页面链接随机选择? ?请求? ? ? ? ? ? ? ? ? ? ? ?

33、 ?攻击以及为了更好地隐藏攻击者?利用已有合法? ? ? ? ? ? ?的请求?按照? ? ? ? ? ? ?中各个请求的间隔时间和请求顺序反复提交请求? ? ? ? ? ? ? ? ? ? ?进行攻击?同时?为了达到更好的攻击效果?在? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击时?攻击者往往会增加请求发送速率?伪造?

34、?攻击方式是一类常见的应用层? ? ? ?攻击方式?虽然目前尚未有此类攻击的报道?但在实际中有不少攻击者采用了这种攻击方式?此类攻击具有两个特点? ?适用性强且易于实现?无需修改? ?生成方式?可对任何? ? ?网站发起攻击? ?伪造的? ?往往较长?可以有效消耗服务器的缓冲区?导致合法请求被丢弃? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ?攻击是最

35、常见且易于实施的攻击方式?攻击者可反复提交一个或数个页面请求?或者反复请求一个或几个大字节对象?如图片或音乐等?达到消耗服务器资源的目的?由于请求的单一性?此类攻击也最易于检查和发现?开源工具? ? ? ? ? ? ? ? ?就具备检测此两类攻击的能力?为了有效地隐藏自己?攻击者可采用? ? ? ? ? ? ? ? ? ? ? ?攻击方式?从上一个访问的页面中随机选

36、择一个链接作为下一个请求?由于每次请求均随机选取?增加了检查的难度?无法从请求重复出现的频率和次数角度检测攻击?为了更好地隐藏自己?攻击者可采用? ? ? ? ? ? ?期肖?军等?基于会话异常度模型的应用层分布式拒绝服务攻击过滤? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

37、? ? ? ? ? ? ? ? ? ? ?攻击方式?利用一个真实? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?依据此? ? ? ? ? ? ?的请求? ?请求顺序和每个请求的间隔时间?循环提交请求进行攻击?由于此攻击采用了真实的? ? ? ? ? ? ?请求?与真实访问行为较为接近?请求间隔时间也符合真实情况?因此这类攻击不易检测? ? ? ? ? ? ? ? ? ? ? ?攻击至今未见报道?但实现此类攻击

38、难度不大?攻击者只需捕获一个正常访问? ? ? ? ? ? ?即可?攻击者甚至可以利用自己对目标服务器的正常访问? ? ? ? ? ? ?来实现攻击? ? ? ? ? ? ? ?异常度模型? ?正常访问行为? ? ?攻击行为与文献? ?类似?本文通过一个状态转换图描述正常访问行为?包含? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ?个状态?如图?所示?在客户端开始向服务器发送请求时?进入? ? ? ?

39、? ?状态?直到所有的返回请求均被客户群接受?在用户开始浏览请求页面时?进入? ? ?状态? ? ?状态的持续时间即为用户阅读页面的时间?称为? ? ? ? ? ? ? ? ? ? ?用户结束会话?进入? ? ? ? ? ? ? ?状态?图?访问过程状态图正常访问行为与攻击行为有如下几点不同? ? ? ? ? ?过程中?用户请求的主页面返回后?浏览器根据主页面的内嵌对象? ? ? ? ? ? ? ? ?

40、 ? ? ? ?链接?如广告条?图片或音乐等?向服务器提交这些内嵌对象请求?在服务器端观察?从内嵌对象数量上看?一个? ? ? ? ? ? ?通常对应多个内嵌对象?由于服务器不会频繁更新?可以认为在一定时间内每个? ? ? ? ? ? ?对应的内嵌对象数是一定的?从请求提交顺序看?内嵌对象请求会在? ? ? ? ? ? ?请求之后被提交到服务器端?从间隔时间看?内嵌对象请求会在主

41、页面请求后较短时间内被提交到服务器端?通常都是? ? ?内? ? ? ? ? ? ? ? ? ? ? ?攻击往往只提交? ? ? ? ? ? ?因而内嵌对象数目为?或者无? ? ? ? ? ? ?只有内嵌对象?且内嵌对象数目超过了正常内嵌对象数? ? ? ? ? ? ? ? ? ? ? ?攻击往往只提交? ? ? ? ? ? ?或只有内嵌对象?或? ? ? ? ? ? ?与内嵌对象数不符?一个页面的? ? ? ? ? ? ? ? ? ? ?长

42、度与页面的内容有关?不同页面对应着不同的? ? ? ? ? ? ? ? ? ? ?分布? ? ? ? ? ? ? ? ? ? ? ?通常分布在数秒至数十秒之间?攻击者为了达到较好的攻击效果?往往增加请求发送频率?如在?秒发送多个数据包?相应地? ? ? ? ? ? ? ? ? ? ?值较小?用户通常会按照兴趣选择? ? ? ? ? ? ?选取的? ? ? ? ? ? ?往往属于同一话题?而不会随机选取一个页面进行

43、访问?一个属于兴趣?的页面?后面跟随一个同属于兴趣?的页面概率较高?而后接一个话题?页面的概率较小?并且用户不会反复多次阅读一个或几个页面? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击提交的? ? ? ? ? ? ?与真实阅读习惯不符?对一个网站而言?短时间内不会出现大量? ?的增加或消失?其? ?长度分布也是稳定的?

44、为了有效消耗服务器缓冲区?攻击者采用长度较大的伪造? ?相应地?攻击者提交的? ?长度分布异于正常分布?正常用户请求数通常在一定的范围之内?在获得了感兴趣的信息后?用户通常会结束访问?而攻击者为了达到较好的攻击效果?往往发送大量请求到服务器?因而在请求数量上超过正常? ? ? ? ? ? ?的请求数?正常用户不会反复访问一个或数个页面?而? ? ? ?

45、? ? ? ? ? ? ?攻击? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ?攻击反复循环提交一系列的请求? ? ? ? ? ? ? ?异常度模型基于上述正常访问行为与攻击行为的差异?本节首先提出? ? ? ? ? ? ?异常属性和属性训练方法?然后提出? ? ? ? ? ? ?异常度模型? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?异常属性?页面转移异常度? ? ? ?

46、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?正常用户请求的相邻两个页面通常属于同一话题?而? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ? ?攻击不符合这一规律?对一个? ? ? ? ? ? ? ? ?下一个? ? ? ? ? ? ?为? ? ?的次数为?所有次数的最大值为?将页面转移过程视为马尔可夫过程?定义从? ? ?转移到? ? ?的异常度

47、为? ? ? ? ? ? ?计?算?机?学?报? ? ? ?年?内嵌对象请求数异常度? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?由于服务器不会频繁更新?可以认为一个? ? ? ? ? ? ?包含的内嵌对象数在一定时间内?如? ?是稳定的?网络? ? ? ? ?通常会对静态请求进行缓存?如果内嵌目标在? ? ? ? ?有缓存?则请求不会到达服务器端?因而一个? ? ? ? ? ? ?对应内嵌

48、对象数在一定范围内分布?由于? ? ? ? ? ? ? ? ? ? ?攻击? ? ? ? ? ? ? ? ? ? ? ?攻击或? ? ? ? ? ? ? ? ? ? ? ? ?攻击对应的内嵌请求为?或者超过正常范围?因此通过内嵌请求数?可以区分攻击和正常访问?对一个? ? ? ? ? ? ? ? ?对应?个内嵌对象的次数为?不同内嵌对象次数的最大值为?定义? ? ?对应?个内嵌对象的异常度为? ? ? ? ? ? ? ? ? ? ? ?

49、 ? ?异常度? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?为了获得较好的攻击效果?攻击者往往增加请求发送频率?相应地?攻击请求的? ? ? ? ? ? ? ? ? ? ?不符合正常请求的? ? ? ? ? ? ? ? ? ? ?分布?一个? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?等于?秒的次数为?不同长度的? ? ? ? ? ? ? ? ? ? ?次数最大值为?定义? ?对应? ? ? ? ? ? ? ? ? ? ?为?秒的

50、异常度为? ? ?长度异常度? ? ? ? ? ? ? ? ? ? ? ? ? ? ?对一个网站而言?短时间内不会出现大量? ?的增加或消失?其? ?长度分别也是稳定的? ? ? ? ? ? ? ? ? ? ? ? ?攻击采用较长? ?消耗缓冲区?基于? ?长度可以检测此类攻击?训练中?长度为?的? ?次数为?不同长度? ?次数的最大值为?定义长度为?的? ?长度异常度为? ? ? ? ? ? ? ? ? ? ? ?请求数异常度?

51、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击者通常会发送尽可能多的请求来实现攻击目的?且对服务器造成的危害与攻击请求数目成正比? ? ? ? ? ? ? ?数可用于区分攻击? ? ? ? ? ? ?和合法访问? ? ? ? ? ? ?采用累加分布函数定义? ? ? ? ? ? ?请求数异常度?定义?个请求的异常度为? ? ? ?其中?为训练中合法? ? ? ? ? ? ?的请求最大值?表示为训

52、练中请求数为?的? ? ? ? ? ? ?数?请求循环次数异常度? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?正常用户不会反复请求一个或数个页面?相比之下? ? ? ? ? ? ? ? ? ? ?攻击? ? ? ? ? ? ? ? ? ? ? ?攻击和? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击反复循环提交请求?因此?请求循环次数可作为一个指标识别攻击? ? ? ? ? ? ?首先定义请求循环次数

53、?如果一个? ? ? ? ? ? ?的请求序列?由一个请求子序列循环? ?组成?其各自包含的请求数为?和? ?则请求循环次数为? ?例如?一个攻击? ? ? ? ? ? ?的请求序列为?相应地子序列为? ? ?请求循环次数?采用累加分布函数计算请求循环次数异常度?定义?个请求循环次数异常度为? ? ? ? ? ?其中?为训练中合法? ? ? ? ? ? ?的请求最大循环次数?为循环次数为?的? ? ?

54、 ? ? ? ?数? ? ? ? ? ? ? ? ?异常度属性本节首先给出? ? ? ? ? ? ?异常度计算方法?然后在其基础上?给出? ? ? ? ? ? ?的异常度计算方法? ? ? ? ? ? ?异常度在收到新的? ? ? ? ? ? ? ? ?时?计算其前一个? ? ? ? ? ? ? ? ?的异常度?从? ? ?到? ? ?的转移异常度为? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?为? ? ?和? ? ?的最后一个内嵌对象请求的

55、到达时间间隔? ? ?的长度为?相应地? ? ?长度异常度为? ? ? ? ? ? ? ? ?的内嵌对象请求数为?相应的内嵌对象请求数异常度为? ? ? ?基于上述?个异常度?计算? ? ?的异常度? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?每个参数分配一个权重?权重参数的选取依赖于?个异常度的大小分布?哪个异常度较大?就赋予其较大的权重?例如?如果? ?长度异常度较大?

56、 ? ? ? ? ? ? ? ? ?则令? ? ? ? ? ? ?如果?个异常度均较小?均? ? ? ? ?则令? ? ? ? ? ? ? ? ? ?异常度计算在收到一个? ? ? ? ? ? ?的第?个? ? ? ? ? ? ?请求时?利用其前?个? ? ? ? ? ? ?的异常度?计算?的异常度?如果?的? ? ? ? ? ? ?请求数?小于或等于训练中合法? ? ? ? ? ? ?的请求最大值?则按照式?计算? ? ? ? ?否则令? ? ? ? ? ?请求循环次数?小于等

57、于训练中合法? ? ? ? ? ? ?的请求最大循环次?期肖?军等?基于会话异常度模型的应用层分布式拒绝服务攻击过滤数?则按照式?计算? ? ? ? ? ? ?否则令? ? ? ? ? ?的第?个? ? ? ? ? ? ?的异常度为? ? ? ?定义?异常度为? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?如果? ? ? ? ? ? ?令? ? ? ? ? ? ? ? ? ? ? ? ? ?异常度计算方法图? ? ? ? ? ? ?异常度计算状态

58、转换处理? ? ? ? ? ? ?的异常度计算过程如图?表示?包含两个状态?对应? ? ? ? ? ? ?处理过程?接收到第?个? ? ? ? ? ? ?请求后进入?计算其?个? ? ? ? ? ? ?异常度?并计算? ? ? ? ? ? ?异常度?对应内嵌对象处理过程?具体计算过程如下?图? ? ? ? ? ? ?异常度计算过程?收到一个来自于新? ? ? ? ? ? ?的请求?进入?状态?如果收到一个? ? ? ? ? ? ? ? ? ?则转

59、换异常度概率为? ? ? ? ? ? ?即此时转移异常度为? ? ?作为第一个? ? ? ? ? ? ?的异常度?如果没有收到? ? ? ? ? ? ?而直接收到了内嵌对象?则令此? ? ? ? ? ? ?为? ? ?转换异常度概率为? ? ? ? ? ? ?即第一个请求不是? ? ? ? ? ? ?的异常度?并且令? ? ? ? ? ? ?长度为?然后转入状态?如图?所示?处于?收到内嵌对象后?转入状态?如果在?收到一个? ? ? ? ?

60、? ?则表示上一个? ? ? ? ? ? ?无内嵌对象?两个? ? ? ? ? ? ?的到达时间间隔为? ? ? ? ? ? ? ? ? ? ?仍处于状态?如图?所示?在?中?直到收到一个? ? ? ? ? ? ?转入?或者出现如下两种情况?也由?转入?然后由?转入?中? ?相邻内嵌对象的时间间隔大于? ? ? ? ? ? ? ? ? ? ?为前后两个内嵌对象的间隔时间阈值? ?转入?如图?所示?令? ? ? ? ? ? ?为? ? ? ? ? ? ? ?

61、 ? ? ? ? ?为此两个相邻内嵌对象的时间间隔?如果上一个? ? ? ? ? ? ?为? ? ?则转发异常度概率为? ? ? ? ? ?在网络状况良好的情况下?同一个? ? ? ? ? ? ?的内嵌对象请求到达? ? ? ? ? ? ? ? ? ? ?的时间接近?如果相邻两个内嵌对象时间间隔大于? ? ? ? ? ?则认为分属于两个? ? ? ? ? ? ?且第?个? ? ? ? ? ? ?为? ? ?在静态? ? ? ? ? ? ?被网络? ?

62、 ? ? ?缓存时?部署于服务器前端的? ? ? ? ?接受不到? ? ? ? ? ? ?导致内嵌对象归属识别失败?引入? ? ? ? ? ?可以降低误差? ? ? ? ? ? ? ?的大小通过学习确定? ?一个? ? ? ? ? ? ?内嵌对象总数大于? ? ? ? ? ? ?转入?如图?所示? ? ? ? ? ? ?为训练时一个? ? ? ? ? ? ?的最大的内嵌对象数?令? ? ? ? ? ? ?为? ? ? ? ? ? ? ? ? ? ? ? ?为此两个相

63、邻内嵌对象的时间间隔?如果上一个内嵌对象的? ? ? ? ? ? ?为? ?则转发异常度概率为? ? ? ? ? ?攻击者可以采用请求内嵌对象请求进行攻击?引入? ? ? ? ? ?可以将内嵌对象分配到多个为空的? ? ? ? ? ? ?然后利用? ? ? ? ? ? ?异常度模型识别出攻击? ? ? ? ? ? ? ?除上述?种情况?在?收到内嵌对象?仍然处于?状态?统计对应? ? ? ? ? ? ?内嵌对象数?计?算?

64、机?学?报? ? ? ?年? ?异常度模型性能采用真实日志? ? ? ? ? ? ?共? ?小时? ?分? ?秒的数据作为训练集?进行异常度模型训练?剩下的? ? ? ? ? ? ? ? ? ?日志作为正常请求验证异常度模型的有效性?通过一个预先设定的阈值来区分攻击? ? ? ? ? ? ?和合法? ? ? ? ? ? ?如果一个? ? ? ? ? ? ?异常度高于阈值?则认为其为攻击? ? ? ? ? ? ? ?训练中? ? ? ? ?

65、? ?的最终异常度如图?所示?为了减小误报率?本文将异常度阈值设为? ? ?合法? ? ? ? ? ? ?的最终异常度如图?所示?错报率为? ? ?图? ? ? ? ? ? ?最终异常度? ? ?平均异常度图?正常访问? ? ? ? ? ? ?和?类攻击? ? ? ? ? ? ?平均异常度分析正常? ? ? ? ? ? ?和上述?种攻击? ? ? ? ? ? ?对应的异常度?攻击具体情况如下? ? ? ? ? ? ? ? ? ? ?采用训练集中的

66、所有? ? ? ? ? ? ? ? ?作为攻击请求?计算所有攻击? ? ? ? ? ? ?的平均异常度? ? ? ? ? ? ? ? ? ? ? ? ?随机选取训练集中的? ?请求?包括? ? ? ? ? ? ? ?和内嵌对象? ?构成攻击序列? ? ? ? ? ? ? ? ? ? ? ? ?的所有请求均来自训练集?每次依据当前请求的? ? ? ? ? ? ?的超链接?随机选取一个新的? ? ? ? ? ? ?作为新的攻击请求?考察攻击? ? ? ? ?

67、? ?在不同攻击间隔时间下的平均异常度? ? ? ? ? ? ? ? ? ? ?的所有? ? ? ? ? ? ? ? ? ?均来自训练集?分别采用了包含?个请求? ?个请求和? ?个请求的? ? ? ? ? ? ?作为? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?的所有伪造? ?长度为? ? ?字节?大于所有合法的? ?长度?合法? ? ? ? ? ? ?和各种攻击? ? ? ? ? ? ?的平均异常度随? ? ? ? ? ? ?个

68、数的变化关系如图?所示?可以得?期肖?军等?基于会话异常度模型的应用层分布式拒绝服务攻击过滤? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?到如下结论?从图?可以看出?真实? ? ? ? ? ? ?平均异常度低于异常度阈值?同时?异常度阈值能够识别所有的攻击? ? ? ? ? ? ?因而漏报率为?不同攻击频率的? ? ? ? ? ? ? ? ?

69、? ?攻击在两个? ? ? ? ? ? ?后平均异常度大于阈值? ? ? ? ? ? ? ? ? ? ?攻击最多在? ?个? ? ? ? ? ? ?后?包括? ? ? ? ? ? ?请求和内嵌对象请求? ?平均异常度大于阈值? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ? ?攻击在?个? ? ? ? ? ? ?之后?平均异常度大于阈值?利用包含?个? ? ? ? ? ? ?的? ? ? ? ? ? ? ? ? ?进行? ? ? ? ? ? ? ? ?

70、 ? ?在?个? ? ? ? ? ? ?后平均异常度大于阈值?相应地? ? ? ? ? ? ? ? ? ?包含? ?个请求? ?个? ? ? ? ? ? ?后平均异常度大于阈值? ? ? ? ? ? ? ? ? ? ?包含? ?个请求? ?个? ? ? ? ? ? ?后?平均异常度超过阈值? ? ? ? ? ? ? ? ? ?规模越大?异常度增加越慢?需要接收到更多的? ? ? ? ? ? ?来与合法? ? ? ? ? ? ?相区分? ? ?识别误差分析识别误差随请求

71、数的变化关系?与文献? ?工作相比较?如图?所示?分析? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ?攻击下的误报率? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ? ? ?攻击的误报率与? ? ? ? ? ? ? ? ? ? ? ?类似? ? ?为本文所提方法? ? ?为文献? ?中的方法?图? ? ? ? ? ? ?识别的误报率和漏报率?与文献? ?相

72、比?本文所提方法的误报率和漏报率均较低?且文献? ?方法需要接收到足够多的请求才能降低误报率和漏报率?因而本文所提方法在接受到较少的请求时?就可以识别攻击? ? ? ? ? ? ?降低了转发时延?同时?文献? ?无法有效识别? ? ? ? ? ? ? ? ? ? ?攻击的攻击? ? ? ? ? ? ? ? ?转发模型采用与文献?相似的转发机制?如图?所示?每个? ? ? ? ? ? ?对应一个请求

73、队列?转发策略每次选择一个? ? ? ? ? ? ?的请求队列?转发其头部请求?如果队列满?则丢弃相应到达请求?本节为转发机制选择合适的转发调度策略和转发速率?图?转发模型? ?转发调度策略限制请求转发速率?依据? ? ? ? ? ? ?异常度进行请求转发?考察如下?种转发策略?最小异常度优先转发? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?每次选

74、择异常度大于?且最小的? ? ? ? ? ? ?转发其最早到来的请求?如果不存在?选取一个异常度等于?的? ? ? ? ? ? ?转发其最早到来的请求?依据上文?接受到第?个? ? ? ? ? ? ?时?计算第? ? ? ? ? ? ?的异常度?异常度为?表明此? ? ? ? ? ? ?还没有接受到第?个? ? ? ? ? ? ?无法判断此? ? ? ? ? ? ?是否异常?为了及时转发合法请求?在转发速率许可的情况下?转发尚无

75、法判断是否异常的请求? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?每次转发所有异常度小于识别阈值且异常度大于?的? ? ? ? ? ? ?的最早请求?如果不存在?选取一个异常度为?的? ? ? ? ? ? ?转发其最早到来的请求? ? ? ? ? ? ? ? ?逐次转发所有异常度小于识别阈值且异常度大于?的? ? ? ? ? ? ?的最早请求?如果不存在?选取一个异常度为?的? ?

76、? ? ? ? ?转发其最早到来的请求? ?实验设置与上文相同?仍然利用? ? ? ? ? ? ?日志进行模拟?考察本文提出的? ? ? ? ? ? ?异常度模型分别结合上述?种转发策略对本文所提?种应用层攻击的过?计?算?机?学?报? ? ? ?年滤性能?每一个? ? ? ? ? ? ?对应的? ? ? ? ?最多能存储? ?个? ? ? ? ? ? ?服务器的处理能力为? ? ?服务器缓冲区最多能存储? ? ? ?个? ? ? ?

77、 ? ? ? ? ?用? ? ? ? ? ? ? ? ? ? ?的日志作为训练集进行模型训练? ? ? ? ? ? ? ? ? ?的日志作为正常请求?正常请求被切分成? ? ? ?个? ? ? ? ? ? ?构成合法? ? ? ? ? ? ?集?从合法? ? ? ? ? ? ?集中随机选取? ? ? ? ? ? ?构成合法访问? ? ? ? ? ? ?每秒开始? ?个? ? ? ? ? ? ?最大请求速率为? ? ?个? ?共有? ? ?个攻击? ? ? ? ? ? ?从模拟开始发

78、送请求直到模拟结束?除? ? ? ? ? ? ? ? ? ? ?攻击?每个攻击? ? ? ? ? ? ?请求发送速率均为?个? ?考察不同的转发策略在合法请求返回时延随时间的变化关系? ?定义合法? ? ? ? ? ? ?为真实合法访问? ? ? ? ? ? ?定义正常? ? ? ? ? ? ?为异常度小于识别阈值的? ? ? ? ? ? ? ?性能分析本节考察? ? ? ? ? ? ? ? ? ? ?时? ? ? ? ? ?和? ? ? ? ? ? ? ?

79、?的转发速率? ?种转发策略下最大转发速率对合法请求返回时延的影响分别如图?所示?可以得到如下结论?约? ? ?种转发策略在不同转发速率下对应的返回时延均下降到稳定值?且不同转发速率下?合法请求返回时延相同?此时?攻击? ? ? ? ? ? ?已被识别?且因攻击? ? ? ? ? ? ?未识别而在队列中等待的合法请求已经被全部转发?在返回时延下降到稳定值前? ? ?

80、对应的合法请求返回时延随转发速率的增加而增加?在时延达到稳定后? ? ?仍然维持了较高的平均时延?约? ? ? ?在返回时延下降到稳定值前? ? ? ?对应返回时延随最大转发速率的增加而增加?在时延达到稳定后? ? ? ?维持了较低的平均时延? ? ? ?在返回时延下降到稳定值前? ? ? ? ? ? ? ? ?对应的合法请求返回时延随最大转发速率的增加而减小?在时延

81、达到稳定后? ? ? ? ? ? ? ? ?维持了较低的平均时延? ? ? ?为及时转发合法请求?转发速率应不低于合法请求最大速率?过大的转发速率易导致服务器过载?另一方面?转发速率的增加?并不会降低合法请求返回时延?因此?转发速率为合法请求最大速率可获得较好的转发效果?图? ? ? ? ? ?和? ? ? ? ? ? ? ? ?策略下合法请求返回时延? ? ? ? ? ? ? ? ? ? ? ?

82、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?和? ? ? ? ? ? ? ? ? ? ? ? ?攻击下的分析与? ? ? ? ? ? ? ? ? ? ?类似?区别仅在于返回时延下降到稳定值的时间比? ? ? ? ? ? ? ? ? ? ?短? ?讨?论上文已对? ? ? ? ? ? ? ?攻击? ? ? ? ? ? ?的识别和过滤进行了详细阐述?下面对几个相关问题进行讨论? ?异常度模型更新采用上文所述方法建立

83、的模型为静态模型?网站内容的更新和用户访问行为的改变?会导致识别误差逐渐增加?本节提出了模型在线更新方法?如图?所示?模型在线更新算法?通过训练建立? ? ? ? ? ? ?异常度模型?定义异常度阈值? ? ? ? ? ? ?和模型更新时隙?统计合法? ? ? ? ? ? ?的可疑度参数?重复步骤?直到模型更新时隙?结束?建立更新模型? ? ? ? ? ? ? ? ? ?更新? ? ? ? ? ?

84、?可疑度模型?重新设置模型更新时隙?重复步?图?异常度模型更新算法由于网站不会频繁更新?步?中的模型更新间隔?无需设置过长?比如? ? ? ? ? ?而异常度阈值? ? ? ? ? ? ?即为? ? ?节所提的识别阈值?如果一个? ? ? ? ? ? ?的最后异常度度小于? ? ? ? ? ? ?则视为合法? ? ? ? ? ? ? ?依据当前时间和此? ? ? ? ? ? ?最后一个请求的时间间隔?识别步?的? ?

85、 ? ? ? ? ? ? ? ? ? ? ? ?如果时间间隔?期肖?军等?基于会话异常度模型的应用层分布式拒绝服务攻击过滤大于阈值? ? ? ? ? ? ? ?则认为此? ? ? ? ? ? ?已经结束?不再活跃?依据一个? ? ? ? ? ? ?最终异常度?判断一个? ? ? ? ? ? ?是否合法?如果最终异常度大于识别阈值?则? ? ? ? ? ? ?为合法?每个? ? ? ? ? ? ?维持一个数据结构?记录此? ? ? ? ? ? ?

86、的? ? ? ? ? ? ? ? ? ? ? ? ?的内嵌对象数? ? ? ? ? ? ? ? ? ? ? ?并且统计在一个? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?内的? ?长度分布统计值? ? ? ? ? ? ?请求统计值以及各? ? ? ? ? ? ?对应的转移页面统计值?内嵌对象数统计值和? ? ? ? ? ? ? ? ? ? ?统计值?在步?中利用上述的各统计值建立? ? ? ? ? ? ? ? ? ?建立方法与异常度模型建立方法

87、相同?然后利用? ? ? ? ? ? ? ? ? ?和已有异常度模型?对异常度模型进行更新?更新方法如下? ?长度分布异常度和? ? ? ? ? ? ?请求数异常度更新方法相似?以? ?长度异常度为例?假设异常度模型中?长度为?的? ?的异常度为? ? ? ? ? ? ? ? ? ? ? ? ? ? ?中长度为?的? ?的异常度为? ? ? ? ? ? ? ?则? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?一个? ? ? ? ? ? ?其

88、页面转移异常度?内嵌对象数异常度和? ? ? ? ? ? ? ? ? ? ? ?异常度更新方法相似?以页面转移异常度为例?在异常度模型中?一个? ? ? ? ? ? ? ? ?转移到? ? ?的异常度为? ? ? ? ? ? ? ?在? ? ? ? ? ? ? ? ? ?对应的转移异常概率为? ? ? ? ? ? ? ? ? ?则? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?的大小决定了模型的敏感性和稳定性?越大?模型

89、更新速度越慢?也越稳定?越小?模型越敏感?越不稳定? ?计算复杂性分析? ? ?异常度模型建立的复杂性在线学习或离线学习建立模型的计算复杂性分析相似?假设训练集包含?个请求?其中有?个不同的? ? ? ? ? ? ? ? ?对请求的处理为两个过程?查找请求对应的? ? ? ? ? ? ?同时?为了计算异常属性值?如果请求的是? ? ? ? ? ? ?需对转移页面数和各? ? ? ? ? ? ? ?

90、 ? ? ?值进行统计累加?如果是内嵌对象?则需对内嵌对象数进行统计累加?此外需对? ?长度和请求数进行累加? ?计算各异常属性值?过程?中?对请求的源? ?地址做? ? ? ?利用? ? ? ?值查找相应的? ? ? ? ? ? ?时间复杂性为?过程?中?对? ? ? ? ? ? ?的? ?做? ? ? ?利用? ? ? ?值查找对应的? ? ? ? ? ? ?时间复杂性为?所以建立异常度模型的时间复杂性为?假设内嵌

91、对象最大数目为? ? ? ? ? ? ? ? ? ? ?最大长度为?每个? ? ? ? ? ? ?维持一个内嵌对象分布大小数组和? ? ? ? ? ? ? ? ? ? ?分布大小数组?采用矩阵保存转移概率信息?则内存消耗为? ?通常?因此?模型建立后?保存上述信息?内存消耗为?另一方面?如果在模型建立时?某一时刻最多有?个完成的? ? ? ? ? ? ?则内存消耗为?所以计算异常度模型的空间复杂性为?判断

92、一个? ? ? ? ? ? ?是否完成或? ? ? ? ? ? ?是否活跃?依据当前时间和其最后一个请求的时间间隔?可见训练集对用的流量速率越大?越大?相应的内存消耗越大? ? ? ? ? ? ? ? ?异常度计算复习性收到一个请求?需查找对应的? ? ? ? ? ? ?和? ? ? ? ? ? ?用请求的源? ?地址和? ? ? ? ? ? ? ? ?的? ? ? ?值做查找?相应的计算复杂性为?如果进入?则进行? ? ?

93、? ? ? ?异常度计算?查找相应的异常属性值和计算? ? ? ? ? ? ?异常度的时间复杂性均为?如果进入状态?需进行内嵌对象数累加?相应的时间复杂性为?可见? ? ? ? ? ? ?异常度计算时间复杂性为?对空间复杂性的分析与模型建立相同?为? ?其中?为不同的? ? ? ? ? ? ?数?为同时活跃的? ? ? ? ? ? ?最大数目? ?相关工作比较本文与文献?均提出一个? ? ? ? ? ? ?

94、行为可疑度计算模型?然后根据可疑度进行请求转发?但有如下几点不同?本文所提异常度模型基于请求长度?请求数量?页面转换概率?请求循环次数?请求间隔时间和? ? ? ? ? ? ?的内嵌对象数分布?上述信息均可在服务器外获得?因此本文所提可疑度模型可以在服务器外建立和在线更新?文献?中? ? ? ? ? ? ?可疑度模型基于? ? ? ? ? ? ? ?建立?包括? ? ? ? ? ? ?传

95、递时间?请求传递时间和? ? ? ? ? ? ?资源消耗轮廓?因此?不能实现对服务器的透明和在线更新?本文通过模拟发现?在转发速率为最大合法请求转发速率时?就可获得较好的转发性能?而文献?采用了一种随可疑度之和变化的转发速率?本文的转发机制更易于部署和实现?文献?在攻击? ? ? ? ? ? ?和合法访问? ? ? ? ? ? ?同时长时间活跃的前提下分析不同转发策

96、略的性能?而本文在攻击? ? ? ? ? ? ?保持活跃?合法访问? ? ? ? ? ? ?在一定时间后停止的前提下分析转发性能?计?算?机?学?报? ? ? ?年因而本文的实验更接近真实情况?文献?表明? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?也具有较好的转发性能?合法请求返回时延与? ? ? ?和? ? ? ? ? ? ? ? ?接近?然后?由于无法准确预测活跃? ? ? ? ? ? ?

97、的数量?大量的转发速率分配给已不再活跃的? ? ? ? ? ? ?导致转发速率大量浪费? ? ? ? ? ? ? ? ? ? ?攻击下?合法请求转发速率约为? ? ? ?和? ? ? ? ? ? ? ? ?的? ?文献? ?提出的模型与本文所提的? ? ? ? ? ? ?行为可疑度模型均可实现对服务器的透明?但有如下不同?文献? ?从请求速率?观察时间和请求序列建立模型?而本文模型进一步包含了请求伪造?

98、请求数分布和请求循环次数等攻击特征参数?本文的计算时间复杂性为? ?而文献? ?时间复杂性为? ? ? ?文献? ?无法有效抵御? ? ? ? ? ? ? ? ? ? ?这种较隐蔽的攻击? ?总?结本文首先将? ? ? ? ? ? ? ?攻击分为?类?分析了此?类攻击与正常访问行为的区别?提出了? ? ? ? ? ? ?异常属性和这些属性的计算方法?并基于此?提出了? ? ? ? ? ? ?异常度模型和? ? ?

99、 ? ? ? ?异常度计算过程?分析了异常度模型的最终识别误差和识别误差随请求的变化关系?比较了合法? ? ? ? ? ? ?和?类? ? ? ? ? ? ? ?攻击? ? ? ? ? ? ?的异常度?验证了? ? ? ? ? ? ?异常度模型的有效性?采用真实网络日志进行模拟?将异常度模型与?种转发策略相结合?分析各种转发策略下合法请求返回时延随时间的变化关系?结果表明?转发速率为最大合

100、法请求速率?就可及时转发合法请求?在识别出攻击? ? ? ? ? ? ?后? ? ? ?和? ? ? ? ? ? ? ? ?的合法请求返回时延较低? ? ? ? ? ?具有较好的转发性能? ? ?对应的返回时延仍然较高?约? ? ? ? ? ? ? ? ? ?异常度模型无需了解请求对服务器的资源消耗?只需获得请求? ?以及请求时间等信息?可在服务器外部署?同时? ? ? ? ? ? ?异常度计算时间复杂性为? ?具

101、有较快的计算速度?可实现对? ? ? ? ? ? ?异常度的在线计算?参考文献? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

102、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

103、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

104、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

105、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

106、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

107、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

108、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

109、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

110、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

111、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

112、 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?期肖?军等?基于会话异常度模型的应用层分布式拒绝服务攻击过滤? ? ? ? ? ? ? ?

113、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

114、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

115、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

116、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

117、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

118、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

119、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

120、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

121、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

122、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

123、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

124、? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?计?算?机?学?报? ? ? ?年

展开阅读全文