基于贝叶斯的Web系统DDoS攻击行为检测机制

吴 蒋

(琼州学院电子信息工程学院，海南三亚 572022)

基于贝叶斯的Web系统DDoS攻击行为检测机制

吴 蒋

(琼州学院电子信息工程学院，海南三亚 572022)

提出一种基于贝叶斯的针对Web系统DDoS攻击行为检测机制，利用站长统计工具得到Web系统访问数据，引入贝叶斯定理，计算可能发生DDoS攻击的概率.实际测试表明，该机制能够有效判断是否存在针对Web系统的DDoS攻击行为，并能激活防御策略，切断无访问深度且停留时间过长的连接.

贝叶斯;DDoS攻击;Web服务器;访问深度;停留时间

DDoS(分布式拒绝服务)攻击通过在很短时间段内，利用多个傀儡主机向被攻击目标发送大量数据包，阻塞网络带宽，耗尽其系统资源，迫使其中断服务.研究表明，DDoS攻击已成为当前计算机网络安全中最难解决的问题［1］.DDoS攻击检测系统用于监控网络进出数据、识别DDoS攻击行为、为后期防御DDoS攻击提供参考信息.在数据量庞大而又复杂的网络流量中，如何正确识别DDoS攻击，并有效地提高检测精度都是当前急需解决的问题.

从攻击原理分析，拒绝服务攻击可分为2类:一类是语义攻击，另一类是暴力攻击.语义攻击是指利用目标系统实现时的缺陷和漏洞，对目标系统进行攻击.当系统收到针对某一漏洞特定类型的数据包时，会立即崩溃或性能急剧下降.暴力攻击是攻击者在短时间内，通过向目标系统发送大量数据，消耗目标系统资源或网络带宽，使目标系统的处理能力短时间内达到饱和，停止对合法用户提供正常的网络服务.根据攻击类型制定相应的攻击检测机制是应付DDoS攻击的有效武器.攻击检测是攻击防御的一个重要方面，检测结果直接影响整个攻击防御的性能.目前，DDoS攻击已经趋向于用真实有效的源IP地址进行攻击［2］，可以通过发送低速率周期性攻击流发起低速率的DDoS攻击［3－4］，因此难以区分正常的网络流与攻击流，使其尽早、准确地检测DDoS攻击更加困难.

近几年研制 DDoS 攻击检测机制的方向大都趋向于基于数据流［5］、特征［6］、网络流量［7－8］、数据包［9］等，但现有的研究成果，主要还是被动防御，没有真正意义上的主动防御，攻击已经发生了，才根据攻击流特征制定防御策略.吕良福等人提出的一种基于主成分分析法和小波分析法的自适应DDoS检测方法［8］，分析其增大正常网络流量与异常网络流量之间Hurst参数差值的原因，即使吕良福等人找到了Hurst参数差值的原因，只是知道网络中有异常流量，也无法阻止异常网络流量的产生，从根本上无法阻止DDoS的发生.

无论是基于数据流、特征、网络流量、数据包的检测手段目前是无法从根本上预防和检测DDoS的，也没办法阻止其发生.例如，目前比较大的互联网公司“百度”、“谷歌”也无法防住高流量的DDoS攻击，2010年1月上旬黑客攻破百度的防御，致使其网页于1月12日无法访问.

根据DDoS攻击的持续性、攻击力度的递增性、分布性、攻击的弱智性(攻击行为单一)，本文构建了一种针对Web服务器的DDoS攻击行为检测机制，该检测机制有别于现有的研究成果.首先，该机制不针对DDoS攻击的本质特征，而是针对DDoS攻击的行为或动作;其二，该机制采取的是不正面去拦截，把正常访问(浏览)请求和攻击请求区分开来，在下一次攻击来临前，及时切断对方的攻击请求，避免长时间处于连接状态占用资源带宽;其三，该机制带有检测跟防御的功能，一旦检测到前期的第一波攻击请求，在攻击的第二波来临前，激活防御策略，切断该时间段中攻击请求，正常访问(浏览)不受影响.所以，DDoS攻击发生前的检测对本文构建的检测机制尤为重要，检测定理来源于贝叶斯概率理论，将事件的先验概率与后验概率联系起来，利用先验信息和样本数据信息确定事件的后验概率，通过对某一事件过去发生概率情况的考查，根据贝叶斯定理可以推断出当前这一事件的发生概率.

1 DDoS攻击行为检测机制设计

1.1 设计思想以Web站点为研究对象，假设所有浏览站点的请求都产生链接，当链接数超过某个峰值，Web站点性能会下降，直至终止服务.如何区分正常链接和恶意链接是关键，如果能找到区分正常链接和恶意链接的方法，就能有效地阻止对Web站点发起的DDoS攻击，因为DDoS攻击必然会有大量恶意的请求和链接，因此，必须切断这些恶意的链接请求.只浏览站点首页的链接，叫做无浏览深度的链接，浏览了除首页外其他分页面的链接，叫做有浏览深度的链接，也就是有浏览其他分页面的行为.DDoS攻击产生的大量恶意的链接行为是不会有浏览深度的链接，利用贝叶斯概率理论，判断产生DDoS攻击的概率，假设存在DDoS攻击，这时候可以切断在一定时间内所有无浏览深度的链接，从而缓解DDoS攻击.

1.2 典型Web服务器系统典型Web服务器系统［10］一般由多个Web服务器提供服务，由负载均衡服务器将来自客户端的HTTP请求重定向到某一个Web服务器，如图1所示.通常Web服务器需要多个后端系统的支持，如数据库服务器、文件服务器等.这些服务器系统驻留的局域网络由位于内部网络和外部网络边界的防火墙保护，各个服务器上通常也安装有防火墙.

1.3 检测系统构建把DDoS攻击行为检测机制放入典型Web服务器系统中，在负载均衡服务器上布置贝叶斯概率理论，把客户端的HTTP请求划分为有浏览深度的链接和无浏览深度的链接，导入贝叶斯定理，判断DDoS发生的概率，如图2所示.

图1 典型Web服务器系统

图2 DDoS攻击行为检测机制系统体系

2 DDoS攻击行为检测算法

2.1 算法描述利用贝叶斯概率理论，假设在某一时间段(T)内，浏览某网站首页并发链接数为N，停留时间为S，浏览深度为H，DDoS攻击没有浏览深度，只停留在首页的位置.设定W网站在T时间段内受到DDoS攻击，H表示无浏览深度，停留时间S＞N*5 s(N个连接数停留在首页的平均时间取阈值5 s)，则w′为正常网站，H′有浏览深度，S′＜N*5 s，P(W)表示某个网站被DDoS攻击的概率，P(WHS)表示在T时间段内，停留时间大于N*5 s无浏览深度的链接被DDoS攻击的条件概率.根据计算得出网站被攻击的概率，将其与预先设定好的阈值进行比较，判断该站点是否将被DDoS攻击.当该站点在T+1时段内，再次产生N个并发链接数，将上次计算出来的条件概率P(WHS)(或P(WHS′)、或P(WH′S)、或P(WH′S′))作为这一次计算的先验概率P(W)，重新计算该站点被DDoS攻击的概率.

根据贝叶斯公式，可以得出以下计算公式:

其中，P(W)站点被攻击的概率取初始值为0.5.

3 实验及结果分析

为了验证该DDoS攻击行为检测系统的有效性，构建了测试站点平台，申请了免费的访问统计工具，并放在首页位置.测试过程以30 min为一个统计时段，30 min内访问的IP数、访问深度、访问停留时间等数据导入贝叶斯公式进行计算，采集的数据分为网站正常时的数据和被攻击后的数据，统计工具的一部分截图如图3所示.

图3 浏览深度截图

图4 访问停留时间

假设计算结果存在DDoS，将激活防御策略装置，切断所有无访问(浏览)深度的链接，停留时间超过设定值的所有链接.

4 小结

本文提出了一种基于贝叶斯的针对Web系统DDoS攻击行为检测机制，该机制利用贝叶斯概率理论公式能有效判断DDoS攻击的可能性，式中给出了新的DDoS攻击特征:无访问(浏览)深度的链接及停留时间，根据新的特征，能有效区分正常链接及恶意链接，并制定防御策略，切断所有无访问(浏览)深度的链接，停留时间超过设定值的所有链接，在下次攻击请求来临前，清理掉无访问(浏览)深度的链接且停留时间过长的攻击请求.实验结果表明，该机制的有效性得到了验证，有较强的扩展性和研究潜力.

［1］薛静锋，曹元大.基于贝叶斯分类的分组入侵检测技术研究［J］.计算机科学，2005，32(8):60－63.

［2］HANDLEY M.DoS-Resistant Internet Subgroup Report［EB/OL］.(2005 －09 －04)［2010 －05 －21］.http://www.communications.net/object/download/1543/doc/mjh-dos-summary.pdf.

［3］MACIA-FERNANDEZ G，DIAZ-VERDEJO J E，GARCIA-TEODORO P.E-valuation of a Low-Rate DoS Attack Against Application Servers［J］.Computers ＆ Security，2008，27(7/8):335 －354.

［4］KUMAR V A，JAYALEKSHMY P S，PATRA G K，et al.On Remote Exploitation of TCP Sender for Low-Rate Flooding Denial-of-Service Attack［J］.IEEE Communications Letters，2009，13(1):46 －48.

［5］田晓朋，邬家炜，陈孝全.基DDoS攻击的检测防御模型的研究［J］.计算机工程与科学，2009，31(1):14－16.

［6］胡滨，代昆玉，王翔.改进贝叶斯分类算法在DDoS攻击检测系统中的研究［J］.贵州大学学报:自然科学版，2010，27(3):84－87.

［7］李金明，王汝传.基于VTP方法的DDoS攻击实时检测技术研究［J］.电子学报，2007，35(4):791－796.

［8］吕良福，张加万，张丹.基于改进小波分析的DDoS攻击检测方法［J］.计算机工程，2010，36(6):29－31.

［9］周东清，张海锋，张绍武，等.基于HMM的分布式拒绝服务攻击检测方法［J］.计算机研究与发展，2005，42(9):1594－1599.

［10］王秀利.Web服务中基于流量监控的DDoS攻击防范机制［J］.计算机工程与应用，2008，44(36):116－117.

Detection Mechanism of DDoS Attack Against Web System:A Mechanism Based on Bayesian

WU Jiang

(School of Electronic and Information Engineering，Qiongzhou University，Sanya 572022，China)

A Web system DDoS attack detection mechanism based on Bayesian was proposed，by which webmaster statistical tools were used to obtain Web system accessing statistics and Bayesian theorem was introduced to calculate the probability of DDoS attack.The test results indicated that this mechanism can judge effectively whether there is a Web system DDoS attack，activate the defense strategy，and shut off the non-depth，excessively long-time accessing.

Bayesian;DDoS attack;Web servers;depth of visit;residence time

TP 309;TP 393 < class="emphasis_bold">文献标志码:A

A

1004－1729(2011)01－0059－04

2010－12－18

琼州学院青年基金(QY200919);三亚市院地专项基金(2010YD52)

吴蒋(1980－)，男，海南海口人，琼州学院电子信息工程学院助理实验师.