MEAP聚类算法在AL-DDoS攻击检测中的应用研究

"这篇论文研究了基于聚类的应用层DDoS攻击检测方法，特别是利用多聚类中心近邻传播（MEAP）算法构建检测模型。该模型通过用户请求序列的信息熵来识别正常与异常行为，有效地实现了AL-DDoS攻击的在线准实时检测。" 在网络安全领域，分布式拒绝服务（DDoS）攻击一直是一个严峻的问题，尤其是近年来，应用层DDoS（AL-DDoS）攻击的出现，由于其能够在合法连接下大量消耗服务器资源，使得防护难度加大。与传统DDoS攻击不同，AL-DDoS攻击更难以被现有防御机制捕捉。针对这一问题，研究者们提出了一系列检测策略。 国内学者Xie等人尝试使用隐含半马尔科夫链捕获用户浏览模式，但这种方法的建模过程复杂，时间成本较高。Wang等人则根据HTTP GET请求熵对每个IP的行为进行实时检测，然而这种方法可能不适用于大规模攻击场景。S.Yu等人提出的流相关检测算法虽有效，但在高负载网络环境中难以实现实时响应。文献[7]使用AR模型预测GET请求率并结合动态卡尔曼滤波器校正结果，而Ranjan等人采用KL距离衡量实际用户行为与预测行为的偏差，但这在大流量攻击时仍需较长时间处理。 为了克服这些挑战，论文提出了基于多聚类中心近邻传播（MEAP）的聚类算法。MEAP是一种非监督学习方法，能快速找到代表性的样本（聚类中心），以描述用户的行为特征。通过计算新请求序列与聚类中心的距离，设定阈值来区分正常行为和攻击行为。这种方法的优势在于它能够在线进行AL-DDoS攻击的准实时检测，且对系统资源的需求相对较低。 实验表明，基于MEAP的聚类检测模型在模拟攻击环境下表现优秀，能够有效地区分正常用户请求和攻击请求。这种方法不仅提高了检测的效率，而且增强了系统的抗攻击能力，为AL-DDoS攻击的防御提供了新的思路和工具。 总结来说，这篇论文研究了如何利用聚类算法，特别是MEAP，来检测应用层DDoS攻击。通过分析用户请求序列的信息熵，该模型可以快速构建用户行为特征，并进行实时检测，以应对日益复杂的网络安全挑战。这种方法为未来研究提供了一个有效的框架，以期在不影响正常服务的前提下，提升网络的防护水平。