降低HTTP-Get Flood攻击影响的新方法

可在www.sciencedirect.com在线获取ScienceDirectFutureComputing and Informatics Journal 2（2017）87e93http://www.journals.elsevier.com/future-computing-and-informatics-journal/一种降低HTTP-Get Flood攻击影响的新方法哈米德·米尔瓦齐里伊朗克尔曼Shahid Bahonar大学工程学院计算机系接收日期：2016年8月21日;修订日期：2017年5月5日;接受日期：2017年7月2日2017年7月29日在线发布摘要HTTP Get Flood攻击是应用层最常见的DDOS攻击，在所有攻击中占21%的频率。由于大量的请求被发送到Web服务器以接收页面，并且服务器发出的响应量远远超过僵尸在这种攻击中接收的量，因此它可以由小型僵尸网络完成;另一方面，由于每个僵尸都试图通过使用其真实地址来发出请求，执行三阶段握手的所有阶段，并且请求的上下文与HTTP协议完全一致时，不能使用伪地址检测和文本异常检测技术。用于处理这种攻击的机制不仅有很大的处理负载，而且可能会导致两种“假否定”（将假流量错误地实现为真实流量）和“假肯定”（将真实流量错误地因此，提出了一种方法，该方法能够通过使用低处理过载来适应业务，并且它具有比类似系统更少的错误，并且使用这种方式。©2017埃及未来大学计算机与信息技术学院由爱思唯尔公司制作和主持这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：DDOS; HTTP-GET洪水攻击; IOSEC1. 介绍1.1. HTTP-GET洪水检测不同的人已经提出了各种方法来检测和降低HTTP GetFlood攻击的强度，其中一些在下面列出。使用拼图CAPTCHA[1];检测相同请求序列[2];检测页面浏览速度[2];利用攻击率预测攻击[3];检测用户请求之间的关系[4];特定时间段内的请求数量[5，17];● 连接的得分[6];电子邮件地址：hmirvaziri@uk.ac.ir。检测请求的模式[7];确定访问网页的现有风险程度[8];使用DDOS（IDDI）1攻击检测复合体的基础设施[17];● 检测请求中的异常[9];● 使用多种方法依次进行[10];● 负载均衡[11，12，15];● 使用具有不同带宽的优先级队列[12];● 移动目标防御机制[13];● 使用浏览器的隐藏缓存[14];● 使用访问控制列表（ACL）进行阻止[14];● 使用硬件方法[16]。在上述方法中，在该方法中，确定同行审议 负责任 的 学院 计算机和信息，埃及未来大学1集成DDOS防御基础设施.http://dx.doi.org/10.1016/j.fcij.2017.07.0032314-7288/©2017埃及未来大学计算机与信息技术学院由爱思唯尔公司制作和主持这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。●●●●●●●●●88H. Mirvaziri/Future Computing and Informatics Journal 2（2017）87e 93在预定时间段内的请求数量被考虑在内，并且如果它超过特定阈值，则它被识别为流量攻击并因此被阻止。在该方法中，每个用户请求的允许次数和时间间隔的确定是非常重要的，因此该方法的准确程度和正确性能完全取决于这两个参数。例如，即使如此，10 s内的100个请求的数量在数学上等于1 s内的10个请求，但是当需要具有合法选择以区分真实流量与假流量时，它们中的每一个都显示出不同的性能IOSEC系统使用这种方法，在本文中，它被用来作为一个标准来衡量所提出的方法的准确程度。在作为一个插件安装在上下文管理系统Word Press上的IOSEC系统中，来自每个用户的请求在默认允许的每500ms内被识别，并且如果在这段时间内用户发送的请求的数量超过所述数量，则向用户显示如图5所示的页面。默认情况下，此页面在10秒后更改，并显示用户请求的页面。如果用户在完成10秒之前重新发送请求，则会再次为他显示上述页面，内部计时器将从10开始重新计数。在这个系统中，所提到的页面可以无限制地发送给用户，除非用户重新解决了页面底部的难题。用户通过解决位于页面底部的谜题将他介绍为合法用户，并且他将不再看到这样的页面（在他被添加到白名单之后）。如果黑客能够成功地解决每个代理的难题并将该代理的地址放入白名单中，则该系统将不再抵抗来自该代理的攻击，这是微不足道的。2. 材料和方法2.1. 关于拟议方法的针对HTTP Get Flood攻击，现有的方法大多依赖于对非攻击时刻站点流量的分析，并且由于使用的参数不同，存在处理和存储过载的问题，在实际环境中没有太大的实用性。在上述方法中，“确定特定时间内允许请求的数量“具有较小的过载，并且在实际环境中是可用的，但是该方法中所述参数的确定需要收集每个站点的流量历史，因此该方法不容易移动，并且由于站点在不同时间的流量受用户在访问期间的情绪的影响，因此该方法不具有高的准确性。该方法的简单性和适用性使得该方法不仅具有硬件和软件实现的能力，而且具有较高的精度。它还具有很高的可移植性，无需了解网站的内容和流量历史。本文介绍的HGFMS方法具有可移植性和业务适应性，硬件适用性。该系统的位置如图所示。1.一、HGFMS通过引入新的服务器状态判断标准，采用随机时延机制和陷阱链路，使得请求数量自动化，不同状态下的时间间隔与业务量一致。因此，它可以在没有流量历史记录的情况下使用，以显示更准确的性能。在HGFMS中，我们假设服务器对所请求的页面（而不是页面中的组件换句话说，如果服务器以超过40%的功率工作，则认为是异常状态;怀疑用户的流量，并向用户显示页面，如图2所示。在所提到的页面中，有一个按钮继续，该按钮在按钮中显示的时间之后被激活，并且通过按下它，用户被引导到所请求的页面。为了处理智能代理，在向用户显示的等待页面1. 延迟时间的长度在30- 60 s的间隔内随机选择，并允许用户在完成预定时间后按下预定按钮，因此如果攻击中参与代理的请求之间的时间距离大于或小于预定量，则检测到流量攻击。2. 被请求页面的链接并不直接放置在按钮的背面;因此，如果在页面中完成适当的时间之前向按钮背面的链接发送请求，则表明该请求是由智能代理发出的。3. 考虑到在最坏的情况下，智能代理的行为完全像网站的下载程序，并试图向页面内的所有内置链接发出请求，陷阱链接已被用于网站中所有页面的开头。如果有对陷阱链接的请求，它会立即将相关IP放入黑名单，并阻止来自该IP的其他请求。应该注意的是，智能代理通常同时使用多线程来向页面内的链接发出请求，因此页面内可用陷阱链接的数量甚至它们的位置对代理在被阻止之前接收的响应数量是有效的;例如，可以通过在第一页的开头和结尾放置陷阱链接来阻止具有类似行为的站点下载软件和智能代理。只有少数几个有限的链接选择语言的网站。在图1所示的所提出的系统的流程图中， 3使用了以下结构：1. 访问页面的请求列表：所有接收页面的请求，以及接收时间和H. Mirvaziri/Future Computing and Informatics Journal 2（2017）87e 9389图1.一、建议系统的位置图二、等待页以确认请求者的身份请求者的IP地址被存储在一个表中，并且通过使用该表，每个IP的请求数量被计算为一个时间单位。2. 可疑IP列表：那些可疑并发送等待页面的IP都保存在这个列表中。此外，请求页面的地址以及可疑时间列表也保存在此列表中。在建议的系统中，每个IP最多可以被怀疑三次;换句话说，对于每个IP地址，时间延迟页面将最多显示三次，并且如果在这些时间期间没有按下相关按钮，则该IP地址将被移动到黑名单，并且其未来的通信将被阻止。3. 历史列表：在服务器正常状态下成功通过延时阶段的可疑IP地址和时间，都放在这个列表中。此列表将用于提高指定时间间隔内请求4. 黑名单：被称为不允许使用服务器的IP地址被保存在此列表中。2.2. 拟议系统首先，调查请求发送者的地址和黑名单中的地址，并且仅允许不在黑名单中的地址继续;然后调查页面请求，并且如果接收到对禁止页面的请求，则将其发送者地址置于黑名单中，并且将其规格从历史和似是而非的列表中移除，如图所示。 3.下一阶段，对发件人地址的似是而非进行调查，如果不在似是而非的名单中，有两种情况：1. 用户请求的数量大于时间单位的阈值。在这种情况下，用户被怀疑，一个等待时间的页面将发送给他.接收到等待时间页面的用户只能通过点击页面内的按钮重新进入网站。该按钮在开始时停用30至60秒，然后激活，因此用户应在最多10秒后按下按钮。90H. Mirvaziri/Future Computing and Informatics Journal 2（2017）87e 93发送者黑名单中的IP？没有是YES请求陷阱链接？是的没有是的没有没有没有请求是否在等待时间结束前到达？是的按钮下的地址是否有没有他要求过三次以上吗？是的是IP似是而没有请求的数量是否超过允许的数量？没有服务器是否处于正常状态？是的是的是的没有请求是否在允许的时间之后到达？没有服务器是否处于正常状态？是的在最近5分钟内，是否有用户地址多次出现在历史列表中？是的1- 降低时间单位2-添加到似是而非的列表3-发送等待页面1- 加入黑名单2- 从似是而非的名单中删除3- 从历史记录列表中增加该时间单位内用户请求的允许次数的阈值量1- 发送请求的页面2- 从似是而非的名单中删除3- 添加到历史拒绝请求1-添加到似是而非的列表2-发送等待页面1- 发送请求的页面2- 从似是而非的名单中删除1-更新似是而非的列表2-显示等待页面1- 加入黑名单2- 从似是而非的名单中删除3- 从历史记录列表中1-更新似是而非的列表2-显示等待页面1- 加入黑名单2- 从似是而非的列表中删除3-从历史列表发送答案页面请求发生图三.拟议系统的流程图激活如果由于任何原因，用户无法做到这一点，或者他召回了页面或按下了浏览器的后退按钮，则该页面将再次显示给他。总的来说，如果用户看到该页面三次，但用户没有按下其中的按钮，则该IP地址将在下次访问时被阻止。另一方面，如果可疑用户在指定时间按下相关按钮，服务器处于正常状态，除了向用户发送考虑页面并将其地址从可疑用户列表中删除外，还将其地址和接受其请求的时间记录在历史列表中。然后，以定义的时间间隔调查上述用户是否重复上述阶段超过一次。如果用户地址在指定的时间长度内重复了不止一次，这意味着可能在该时间单位内为请求数量定义的阈值太小，导致了此事件，因此要向其添加一个单位。因此，系统通过在不同时间增加和减少所述阈值来检测和应用最佳值。需要注意的是，如果用户在指定的时间按下按钮，而服务器不处于正常状态，则会向用户显示一个请求页面，并且不会将用户的地址添加到历史列表中，因此历史列表中只包括接受时间和似是而非用户的地址当服务器处于正常状态时，正确地进入等待阶段。2. 用户请求的数量小于该时间单位的阈值。在这种情况下，还应该调查服务器状态，并针对其状态执行适当的行为。如果服务器处于正常状态，则将请求的页面发送给用户，但如果服务器不处于正常状态，则还有两种情况：a. 允许的请求数量的定义阈值大于时间单位所需的值。b. 服务器受到了一个大型僵尸网络的攻击为了防止第一种可能性，如果定义的阈值大于1，则将其子加1，并且在第二种情况下，向所有用户发送等待时间页面（所有用户都被怀疑），以便了解请求发布者的人性（参见表1）。2.3. 实施HGFMS（拟议方法）：实用方法为了实施HGFMS，使用了内容管理系统WordPress创建了一个有七个设计页面的网站H. Mirvaziri/Future Computing and Informatics Journal 2（2017）87e 9391¼¼表1服务器系统的规格。操作系统Windows 7 Ultimate x64CPU AMD速龙64 X2 5000RAM 4 GB硬盘容量320 GB网卡速度100 Mb/s服务器XAMPP v5.6.11 PHP 5.5.27发布版本MySQL 5.6.25Apache 2.4.12表2测试网站页面的规格每个页面的地址接收页面及其内部组件的请求数http://192.168.142.100/15http://192.168.142.100/? 2019 - 04- 25 00：00：00http://192.168.142.100/? 2019 - 06 -26图四、在实现的环境中使用的拓扑表3推荐系统的操作和典型用户的测量时间http://192.168.142.100/?第44页18http://192.168.142.100/? 2019 - 10 - 1301：01：00http://192.168.142.100/?第112页12http://192.168.142.100/?第12页14手术时间1的允许数量的初始值30秒适应交通时间5 h平均请求数1133第4页等待的次数根据表2，它安装在一个系统上，本表所示的规格。两个系统; HGFMS和IOSEC;作为插件安装在所述内容管理系统上，并且通过在每个阶段中分别激活每个所述插件来记录它们的反应，并且执行攻击。允许的530秒表4值在所提出的方法的实施。标题值通过使用上述内容管理系统，在头文件中添加以下行，陷阱链接被添加到所有页面的开头。从html代码中可以清楚地看到，为了隐藏用户的眼睛，没有为它编写任何文本。应该注意的是，陷阱链接是隐藏在用户的眼睛，但它是可见的网站下载软件，如Teleport，Pro和智能代理，以同样的方式操作，他们应该发送一个请求，以接收他们像页面内的其他链接 /a >测试HGFMS系统所采用的拓扑如图所示见图4。在该实现中，操作系统为Linux，使用BoNeSi和LOIC软件分别模拟了HTTP Get Flood攻击和F52攻击的流量。为了使该系统收敛，并得到一个以秒为单位正常服务器性能的阈值计算允许的用户请求允许的用户请求合法用户请求之间的时间间隔等待页面允许按下等待页面上的可用按钮的持续时间保存和应用历史的时间15630 s1随机在2到30秒随机在30到60秒10 s5 s当客户端尝试发送请求时，平均经过5小时、4次等待寻呼后，阈值由初始值变为5。的2在F5攻击中，浏览器在网站内可用脚本的作用下或通过用户按住F5按钮（许多浏览器中的刷新操作是通过F5按钮完成的），试图向相关网站发送顺序相同的请求。与这一时期有关的信息见表3。此外，表4中给出了用于实现所提出的系统的值。3. 拟议系统与类似系统为了比较HGFMS与类似系统的性能，选择了IOSECHTTP Anti Flood/DoS安全网关模块[5]。利用一些机制，92H. Mirvaziri/Future Computing and Informatics Journal 2（2017）87e 93图五、IOSEC插件显示的时间延迟页面以时间为单位的请求用于检测攻击流量。该系统以内容管理系统插件的形式提供。在该插件中，以时间为单位计算允许的用户请求数，如果超过预定的特定值，则向用户显示与图5类似的页面。两种系统的设置和规格见表5。4. 结果在本文中，实施了两种方法，IOSEC和HGFMS（建议的方法），在对两种方法进行不同的尝试后，得到了表6实验结果表明，HGFMS比IOSEC更有效地应对各种攻击表5比较所提出的方法与文献[1]中介绍的方法[5]的文件。IOSEC HGFMS计算请求时间间隔内的请求数计算服务器容量500 ms 30 s2的变量秒内没有封锁可疑交通的方法发送等待时间页面和谜题验证码发送等待页对一个地址永久清除可疑流量无限最多三次没有通过使用黑名单对交通的适应性不具备计算基准单位时间内所有请求数单位时间内接收页面的请求攻击检测标准超过时间单位超过为时间单位与智能代理打交道的能力处理具有调整请求速率没有Has（使用陷阱链接）没有Has介绍代理人作为合法用户使用拼图CAPTCHA的分辨率并将代理的地址记录在白名单没有H. Mirvaziri/Future Computing and Informatics Journal 2（2017）87e 9393表6比较了系统在智能代理攻击下的性能。IOSECHGFMS的数量4427收到的文件有10成功率：29%成功率：56%线程在同一时间的数量6229已接收文件，其中% 1成功率：0%成功率：53%线程在一个间隔1 s的数量6229已接收文件，其中% 1成功率：0%成功率：53%线程在一个间隔30 s的程度0%的百分比百分百通过使用一个代理在假阳性12%即使在受到攻击时，也会影响并为服务器为其用户提供服务的条件。5. 结论与建议通过对HGFMS新特性的分析，得出了HGFMS具有比同类系统更好的性能的结论。陷阱链接的特性是由于所提出的系统可以阻止网站的下载软件和具有类似行为的智能代理的流量。此外，它还能够通过使用一个称为服务器状态的新参数，使允许的请求数量适应服务器的流量和情况，而不需要网站的流量历史。因此，它有能力处理不同的攻击率，将有更少的错误比类似的方法。此外，使用可变时间的等待页面代替CAPTCHA难题，使其具有用户友好性和自然安全性。它具有很高的可移植性，因为网站内容的独立性。硬件实现的建议，以分离与此系统相关的处理负载。此外，建议使用Tarpitting而不是删除被列入黑名单的用户的请求，以减少服务器的处理负载，并将处理负载强加给代理，导致它们被删除。引用[1] Ko N，Noh S，Park JD，Lee SS，Park HS.一种基于流转发技术的高效DDoS防护机制。第九届国际会议上光互联网（COIN），济州岛，7月，1E 3. 2010年。[2] Yatagai T，Isohara T，Sasase I.基于页面访问行为分析的HTTP-GET洪水攻击检测。In：Proceedings of IEEEPacific Rim Conference oncommunications，computers and signalprocessing，Victoria，August;2007. p. 232E 5。[3] 吴文辉，李文辉，李文辉.通过数据包到达模式区分DDoS攻击流量和Flash Crowd。IEEE计算机通信研讨会（INFOCOM WKSHPS），上海，4月。2011. p. 952E 7。[4] 谢毅，余S. 大规模隐半马尔可夫模型在用户浏览行为异常检测中的应用。IEEE/ACM Trans Netw 2008;17（1）：54e 65.[5] 穆哈雷姆奥卢湾Web应用程序级别的方法来抵御HTTP Flood攻击IOSEC HTTP Anti Flood/DoS 安 全 网 关 模 块 。 2012. 可 查 阅 ：http://www.iosec.org[2014年7月10日访问]。[6] Beitollahi H，Deconinck G.解决应用层DDoS攻击。第三届国际环境系统、网络和技术会议，加拿大，2012年8月。p. 432和41。[7] 卢文忠，余世一种基于浏览器行为的HTTP洪泛检测方法。计算智能与安全国际会议，广州，11月。2006. p. 1151年第4期。[8] 林启，李启元，刘俊哲，陈哲荣，黄世元。一种基于语义概念的应用层洪泛攻击检测方案。国际计算机研讨会（ICS），台南，12月。2010年。p. 385年9月。[9] 西德·D分析常见的第7层应用程序DDoS攻击。2014年6月。可查阅 ： https://blog.sucuri.net/2014/02/layer-7-ddos-blocking-http-flood-attacks.html。[10] [10]杨文，李文，李文.通过对网络服务器行为建模来检测拒绝服务。马德里，西班牙：计算机架构与技术系，Rey Juan Carlos大学;2013年10月。p. 2252E 62.[11] 埃迪·W TCP SYN Flooding攻击和常见的缓解措施：IETF。RFC4987。 2007年[12] 作者：Brennan T. Http post. OWASP AppSec DC，加拿大，11月15日和81日。 2010年。[13] 杨瑞C，吴金泰，钟洙J，在哲R. 集成的DDoS攻击防御基础设施可有效防御攻击。第二届信息技术融合和服务国际会议，宿务，8月。2010. p. 1e 6.[14] Mohamed Ibrahim AK，George L，Govind K，Selvakumar S.基于阈值的内核级HTTP过滤器（TBHF）用于DDoS缓解。Int JComputNetwork and Inf Security（IJCNIS）2012;4（12）：31e 9.[15] Spagna S，Liebsch M，Baldessari R.运营商拥有的高度分布式内容分发网络的设计原则。IEEE CommunMag 2013年4月;51（4）：132e 40.[16] Jin J，Nodir N，Im C，Nam SY.通过改进的NetFPGA参考路由器减轻HTTP GET Flooding攻击。第一届亚洲NetFPGA开发者研讨会，韩国大田，6月1日至7日. 2010年。[17] ChoiY，Oh J，Jang J，Ryou J. 集成的DDoS攻击防御基础设施可有效防御攻击。第二届信息技术融合和服务国际会议（ITCS），宿务，8月1日至6日。 2010年。