吳 蔣

(瓊州學(xué)院電子信息工程學(xué)院，海南三亞 572022)

基于貝葉斯的Web系統(tǒng)DDoS攻擊行為檢測(cè)機(jī)制

吳 蔣

(瓊州學(xué)院電子信息工程學(xué)院，海南三亞 572022)

提出一種基于貝葉斯的針對(duì)Web系統(tǒng)DDoS攻擊行為檢測(cè)機(jī)制，利用站長(zhǎng)統(tǒng)計(jì)工具得到Web系統(tǒng)訪問(wèn)數(shù)據(jù)，引入貝葉斯定理，計(jì)算可能發(fā)生DDoS攻擊的概率.實(shí)際測(cè)試表明，該機(jī)制能夠有效判斷是否存在針對(duì)Web系統(tǒng)的DDoS攻擊行為，并能激活防御策略，切斷無(wú)訪問(wèn)深度且停留時(shí)間過(guò)長(zhǎng)的連接.

貝葉斯;DDoS攻擊;Web服務(wù)器;訪問(wèn)深度;停留時(shí)間

DDoS(分布式拒絕服務(wù))攻擊通過(guò)在很短時(shí)間段內(nèi)，利用多個(gè)傀儡主機(jī)向被攻擊目標(biāo)發(fā)送大量數(shù)據(jù)包，阻塞網(wǎng)絡(luò)帶寬，耗盡其系統(tǒng)資源，迫使其中斷服務(wù).研究表明，DDoS攻擊已成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全中最難解決的問(wèn)題［1］.DDoS攻擊檢測(cè)系統(tǒng)用于監(jiān)控網(wǎng)絡(luò)進(jìn)出數(shù)據(jù)、識(shí)別DDoS攻擊行為、為后期防御DDoS攻擊提供參考信息.在數(shù)據(jù)量龐大而又復(fù)雜的網(wǎng)絡(luò)流量中，如何正確識(shí)別DDoS攻擊，并有效地提高檢測(cè)精度都是當(dāng)前急需解決的問(wèn)題.

從攻擊原理分析，拒絕服務(wù)攻擊可分為2類:一類是語(yǔ)義攻擊，另一類是暴力攻擊.語(yǔ)義攻擊是指利用目標(biāo)系統(tǒng)實(shí)現(xiàn)時(shí)的缺陷和漏洞，對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊.當(dāng)系統(tǒng)收到針對(duì)某一漏洞特定類型的數(shù)據(jù)包時(shí)，會(huì)立即崩潰或性能急劇下降.暴力攻擊是攻擊者在短時(shí)間內(nèi)，通過(guò)向目標(biāo)系統(tǒng)發(fā)送大量數(shù)據(jù)，消耗目標(biāo)系統(tǒng)資源或網(wǎng)絡(luò)帶寬，使目標(biāo)系統(tǒng)的處理能力短時(shí)間內(nèi)達(dá)到飽和，停止對(duì)合法用戶提供正常的網(wǎng)絡(luò)服務(wù).根據(jù)攻擊類型制定相應(yīng)的攻擊檢測(cè)機(jī)制是應(yīng)付DDoS攻擊的有效武器.攻擊檢測(cè)是攻擊防御的一個(gè)重要方面，檢測(cè)結(jié)果直接影響整個(gè)攻擊防御的性能.目前，DDoS攻擊已經(jīng)趨向于用真實(shí)有效的源IP地址進(jìn)行攻擊［2］，可以通過(guò)發(fā)送低速率周期性攻擊流發(fā)起低速率的DDoS攻擊［3－4］，因此難以區(qū)分正常的網(wǎng)絡(luò)流與攻擊流，使其盡早、準(zhǔn)確地檢測(cè)DDoS攻擊更加困難.

近幾年研制 DDoS 攻擊檢測(cè)機(jī)制的方向大都趨向于基于數(shù)據(jù)流［5］、特征［6］、網(wǎng)絡(luò)流量［7－8］、數(shù)據(jù)包［9］等，但現(xiàn)有的研究成果，主要還是被動(dòng)防御，沒(méi)有真正意義上的主動(dòng)防御，攻擊已經(jīng)發(fā)生了，才根據(jù)攻擊流特征制定防御策略.呂良福等人提出的一種基于主成分分析法和小波分析法的自適應(yīng)DDoS檢測(cè)方法［8］，分析其增大正常網(wǎng)絡(luò)流量與異常網(wǎng)絡(luò)流量之間Hurst參數(shù)差值的原因，即使呂良福等人找到了Hurst參數(shù)差值的原因，只是知道網(wǎng)絡(luò)中有異常流量，也無(wú)法阻止異常網(wǎng)絡(luò)流量的產(chǎn)生，從根本上無(wú)法阻止DDoS的發(fā)生.

無(wú)論是基于數(shù)據(jù)流、特征、網(wǎng)絡(luò)流量、數(shù)據(jù)包的檢測(cè)手段目前是無(wú)法從根本上預(yù)防和檢測(cè)DDoS的，也沒(méi)辦法阻止其發(fā)生.例如，目前比較大的互聯(lián)網(wǎng)公司“百度”、“谷歌”也無(wú)法防住高流量的DDoS攻擊，2010年1月上旬黑客攻破百度的防御，致使其網(wǎng)頁(yè)于1月12日無(wú)法訪問(wèn).

根據(jù)DDoS攻擊的持續(xù)性、攻擊力度的遞增性、分布性、攻擊的弱智性(攻擊行為單一)，本文構(gòu)建了一種針對(duì)Web服務(wù)器的DDoS攻擊行為檢測(cè)機(jī)制，該檢測(cè)機(jī)制有別于現(xiàn)有的研究成果.首先，該機(jī)制不針對(duì)DDoS攻擊的本質(zhì)特征，而是針對(duì)DDoS攻擊的行為或動(dòng)作;其二，該機(jī)制采取的是不正面去攔截，把正常訪問(wèn)(瀏覽)請(qǐng)求和攻擊請(qǐng)求區(qū)分開(kāi)來(lái)，在下一次攻擊來(lái)臨前，及時(shí)切斷對(duì)方的攻擊請(qǐng)求，避免長(zhǎng)時(shí)間處于連接狀態(tài)占用資源帶寬;其三，該機(jī)制帶有檢測(cè)跟防御的功能，一旦檢測(cè)到前期的第一波攻擊請(qǐng)求，在攻擊的第二波來(lái)臨前，激活防御策略，切斷該時(shí)間段中攻擊請(qǐng)求，正常訪問(wèn)(瀏覽)不受影響.所以，DDoS攻擊發(fā)生前的檢測(cè)對(duì)本文構(gòu)建的檢測(cè)機(jī)制尤為重要，檢測(cè)定理來(lái)源于貝葉斯概率理論，將事件的先驗(yàn)概率與后驗(yàn)概率聯(lián)系起來(lái)，利用先驗(yàn)信息和樣本數(shù)據(jù)信息確定事件的后驗(yàn)概率，通過(guò)對(duì)某一事件過(guò)去發(fā)生概率情況的考查，根據(jù)貝葉斯定理可以推斷出當(dāng)前這一事件的發(fā)生概率.

1 DDoS攻擊行為檢測(cè)機(jī)制設(shè)計(jì)

1.1 設(shè)計(jì)思想以Web站點(diǎn)為研究對(duì)象，假設(shè)所有瀏覽站點(diǎn)的請(qǐng)求都產(chǎn)生鏈接，當(dāng)鏈接數(shù)超過(guò)某個(gè)峰值，Web站點(diǎn)性能會(huì)下降，直至終止服務(wù).如何區(qū)分正常鏈接和惡意鏈接是關(guān)鍵，如果能找到區(qū)分正常鏈接和惡意鏈接的方法，就能有效地阻止對(duì)Web站點(diǎn)發(fā)起的DDoS攻擊，因?yàn)镈DoS攻擊必然會(huì)有大量惡意的請(qǐng)求和鏈接，因此，必須切斷這些惡意的鏈接請(qǐng)求.只瀏覽站點(diǎn)首頁(yè)的鏈接，叫做無(wú)瀏覽深度的鏈接，瀏覽了除首頁(yè)外其他分頁(yè)面的鏈接，叫做有瀏覽深度的鏈接，也就是有瀏覽其他分頁(yè)面的行為.DDoS攻擊產(chǎn)生的大量惡意的鏈接行為是不會(huì)有瀏覽深度的鏈接，利用貝葉斯概率理論，判斷產(chǎn)生DDoS攻擊的概率，假設(shè)存在DDoS攻擊，這時(shí)候可以切斷在一定時(shí)間內(nèi)所有無(wú)瀏覽深度的鏈接，從而緩解DDoS攻擊.

1.2 典型Web服務(wù)器系統(tǒng)典型Web服務(wù)器系統(tǒng)［10］一般由多個(gè)Web服務(wù)器提供服務(wù)，由負(fù)載均衡服務(wù)器將來(lái)自客戶端的HTTP請(qǐng)求重定向到某一個(gè)Web服務(wù)器，如圖1所示.通常Web服務(wù)器需要多個(gè)后端系統(tǒng)的支持，如數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等.這些服務(wù)器系統(tǒng)駐留的局域網(wǎng)絡(luò)由位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊界的防火墻保護(hù)，各個(gè)服務(wù)器上通常也安裝有防火墻.

1.3 檢測(cè)系統(tǒng)構(gòu)建把DDoS攻擊行為檢測(cè)機(jī)制放入典型Web服務(wù)器系統(tǒng)中，在負(fù)載均衡服務(wù)器上布置貝葉斯概率理論，把客戶端的HTTP請(qǐng)求劃分為有瀏覽深度的鏈接和無(wú)瀏覽深度的鏈接，導(dǎo)入貝葉斯定理，判斷DDoS發(fā)生的概率，如圖2所示.

圖1 典型Web服務(wù)器系統(tǒng)

圖2 DDoS攻擊行為檢測(cè)機(jī)制系統(tǒng)體系

2 DDoS攻擊行為檢測(cè)算法

2.1 算法描述利用貝葉斯概率理論，假設(shè)在某一時(shí)間段(T)內(nèi)，瀏覽某網(wǎng)站首頁(yè)并發(fā)鏈接數(shù)為N，停留時(shí)間為S，瀏覽深度為H，DDoS攻擊沒(méi)有瀏覽深度，只停留在首頁(yè)的位置.設(shè)定W網(wǎng)站在T時(shí)間段內(nèi)受到DDoS攻擊，H表示無(wú)瀏覽深度，停留時(shí)間S＞N*5 s(N個(gè)連接數(shù)停留在首頁(yè)的平均時(shí)間取閾值5 s)，則w′為正常網(wǎng)站，H′有瀏覽深度，S′＜N*5 s，P(W)表示某個(gè)網(wǎng)站被DDoS攻擊的概率，P(WHS)表示在T時(shí)間段內(nèi)，停留時(shí)間大于N*5 s無(wú)瀏覽深度的鏈接被DDoS攻擊的條件概率.根據(jù)計(jì)算得出網(wǎng)站被攻擊的概率，將其與預(yù)先設(shè)定好的閾值進(jìn)行比較，判斷該站點(diǎn)是否將被DDoS攻擊.當(dāng)該站點(diǎn)在T+1時(shí)段內(nèi)，再次產(chǎn)生N個(gè)并發(fā)鏈接數(shù)，將上次計(jì)算出來(lái)的條件概率P(WHS)(或P(WHS′)、或P(WH′S)、或P(WH′S′))作為這一次計(jì)算的先驗(yàn)概率P(W)，重新計(jì)算該站點(diǎn)被DDoS攻擊的概率.

根據(jù)貝葉斯公式，可以得出以下計(jì)算公式:

其中，P(W)站點(diǎn)被攻擊的概率取初始值為0.5.

3 實(shí)驗(yàn)及結(jié)果分析

為了驗(yàn)證該DDoS攻擊行為檢測(cè)系統(tǒng)的有效性，構(gòu)建了測(cè)試站點(diǎn)平臺(tái)，申請(qǐng)了免費(fèi)的訪問(wèn)統(tǒng)計(jì)工具，并放在首頁(yè)位置.測(cè)試過(guò)程以30 min為一個(gè)統(tǒng)計(jì)時(shí)段，30 min內(nèi)訪問(wèn)的IP數(shù)、訪問(wèn)深度、訪問(wèn)停留時(shí)間等數(shù)據(jù)導(dǎo)入貝葉斯公式進(jìn)行計(jì)算，采集的數(shù)據(jù)分為網(wǎng)站正常時(shí)的數(shù)據(jù)和被攻擊后的數(shù)據(jù)，統(tǒng)計(jì)工具的一部分截圖如圖3所示.

圖3 瀏覽深度截圖

圖4 訪問(wèn)停留時(shí)間

假設(shè)計(jì)算結(jié)果存在DDoS，將激活防御策略裝置，切斷所有無(wú)訪問(wèn)(瀏覽)深度的鏈接，停留時(shí)間超過(guò)設(shè)定值的所有鏈接.

4 小結(jié)

本文提出了一種基于貝葉斯的針對(duì)Web系統(tǒng)DDoS攻擊行為檢測(cè)機(jī)制，該機(jī)制利用貝葉斯概率理論公式能有效判斷DDoS攻擊的可能性，式中給出了新的DDoS攻擊特征:無(wú)訪問(wèn)(瀏覽)深度的鏈接及停留時(shí)間，根據(jù)新的特征，能有效區(qū)分正常鏈接及惡意鏈接，并制定防御策略，切斷所有無(wú)訪問(wèn)(瀏覽)深度的鏈接，停留時(shí)間超過(guò)設(shè)定值的所有鏈接，在下次攻擊請(qǐng)求來(lái)臨前，清理掉無(wú)訪問(wèn)(瀏覽)深度的鏈接且停留時(shí)間過(guò)長(zhǎng)的攻擊請(qǐng)求.實(shí)驗(yàn)結(jié)果表明，該機(jī)制的有效性得到了驗(yàn)證，有較強(qiáng)的擴(kuò)展性和研究潛力.

［1］薛靜鋒，曹元大.基于貝葉斯分類的分組入侵檢測(cè)技術(shù)研究［J］.計(jì)算機(jī)科學(xué)，2005，32(8):60－63.

［2］HANDLEY M.DoS-Resistant Internet Subgroup Report［EB/OL］.(2005 －09 －04)［2010 －05 －21］.http://www.communications.net/object/download/1543/doc/mjh-dos-summary.pdf.

［3］MACIA-FERNANDEZ G，DIAZ-VERDEJO J E，GARCIA-TEODORO P.E-valuation of a Low-Rate DoS Attack Against Application Servers［J］.Computers ＆ Security，2008，27(7/8):335 －354.

［4］KUMAR V A，JAYALEKSHMY P S，PATRA G K，et al.On Remote Exploitation of TCP Sender for Low-Rate Flooding Denial-of-Service Attack［J］.IEEE Communications Letters，2009，13(1):46 －48.

［5］田曉朋，鄔家煒，陳孝全.基DDoS攻擊的檢測(cè)防御模型的研究［J］.計(jì)算機(jī)工程與科學(xué)，2009，31(1):14－16.

［6］胡濱，代昆玉，王翔.改進(jìn)貝葉斯分類算法在DDoS攻擊檢測(cè)系統(tǒng)中的研究［J］.貴州大學(xué)學(xué)報(bào):自然科學(xué)版，2010，27(3):84－87.

［7］李金明，王汝傳.基于VTP方法的DDoS攻擊實(shí)時(shí)檢測(cè)技術(shù)研究［J］.電子學(xué)報(bào)，2007，35(4):791－796.

［8］呂良福，張加萬(wàn)，張丹.基于改進(jìn)小波分析的DDoS攻擊檢測(cè)方法［J］.計(jì)算機(jī)工程，2010，36(6):29－31.

［9］周東清，張海鋒，張紹武，等.基于HMM的分布式拒絕服務(wù)攻擊檢測(cè)方法［J］.計(jì)算機(jī)研究與發(fā)展，2005，42(9):1594－1599.

［10］王秀利.Web服務(wù)中基于流量監(jiān)控的DDoS攻擊防范機(jī)制［J］.計(jì)算機(jī)工程與應(yīng)用，2008，44(36):116－117.

Detection Mechanism of DDoS Attack Against Web System:A Mechanism Based on Bayesian

WU Jiang

(School of Electronic and Information Engineering，Qiongzhou University，Sanya 572022，China)

A Web system DDoS attack detection mechanism based on Bayesian was proposed，by which webmaster statistical tools were used to obtain Web system accessing statistics and Bayesian theorem was introduced to calculate the probability of DDoS attack.The test results indicated that this mechanism can judge effectively whether there is a Web system DDoS attack，activate the defense strategy，and shut off the non-depth，excessively long-time accessing.

Bayesian;DDoS attack;Web servers;depth of visit;residence time

TP 309;TP 393 < class="emphasis_bold">文獻(xiàn)標(biāo)志碼:A

A

1004－1729(2011)01－0059－04

2010－12－18

瓊州學(xué)院青年基金(QY200919);三亞市院地專項(xiàng)基金(2010YD52)

吳蔣(1980－)，男，海南海口人，瓊州學(xué)院電子信息工程學(xué)院助理實(shí)驗(yàn)師.