一种基于web群体外联行为的应用层ddos检测方法

由于攻击者采用各种技术手段隐藏攻击行为,ddos攻击变得越发难以发现,应用层ddos成为web服务器所面临的最主要威胁之一.从通信群体的层面分析web通信的外联行为特征的稳定性,并提出了一种应用层ddos检测方法.该方法用cusum算法检测web群体外联行为参数的偏移,据此来判断ddos攻击行为的发生.由于外联行为模型刻画的是web通信群体与外界的交互,并非用户个体行为,所以攻击者难以通过模仿正常访问行为规避检测.该方法不仅能够发现用户群体访问行为的异常,而且能够有效区分突发访问和应用层ddos攻击.模拟实验结果表明,该方法能够有效检测针对web服务器的不同类型的ddos攻击.