基于HTTP/2的攻击模型与检测系统的设计与实现

作     者：张一航 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：高飞

授予年度：2019年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：HTTP/2 HTTP/1.1 慢速 拒绝服务攻击 检测 

摘      要：随着互联网的不断发展,用户与Web应用间交互内容的体积变得越来越大。HTTP/1.1协议是当前互联网上使用最广泛的应用层传输协议,其最初设计用于传输文本,在传输大体积数据时会产生明显的延迟。HTTP/2协议不仅支持HTTP/1.1协议所有基本特性,而且明显降低了传输延迟。研究表明,在绝大多数情况下,HTTP/2协议的传输性能明显优于HTTP/1.1协议。但由于HTTP/2协议包含许多新特性,因此也带来了许多潜在的安全漏洞。本文提出一种新的针对HTTP/2协议的攻击模型,并对已有检测模型进行改进使其能够检测新攻击模型产生的流量。最后以改进的检测模型为核心设计并实现了一套Web服务器监控系统。具体成果有:1.提出一种针对HTTP/2协议的慢速拒绝服务攻击。攻击端首先按照特定的顺序发送配置有特定参数的SETTINGS帧和RSTTREAM帧与服务器建立连接,服务器会因设置的参数产生等待,从而消耗服务器资源。实验表明,该攻击能成功造成服务器拒绝服务。为了检测提出的慢速拒绝服务攻击,本文在现有的检测模型中增加特征以改进检测模型。实验表明改进后的检测模型能同时检测到原有的攻击流量和新攻击所产生的流量。2.设计并实现了一套Web服务器监控系统。该系统包含两部分:流量监控和服务器状态监控。流量监控部分以改进后的检测模型为核心,对服务器接收的数据包进行监控;服务器状态监控部分将服务器实时状态信息存放到指定位置,然后使用Logstash和Prometheus工具进行读取,并通过Grafana工具实现数据可视化。运行结果表明,该系统可以有效监控流量和状态信息并及时告警。