近二十年来,分布式拒绝服务攻击(DDoS)一直是网络安全的一个关键威胁。第一次DDoS攻击出现于1995到1996年间,它通过SYN标识的TCP包洪泛来淹没网络设备和服务器的网络通信并严重影响正常网络服务。拒绝服务攻击的样式和种类在近几年发生了很大的变化。在SYN洪泛、ICMP和UDP洪流等许多传统攻击方式依然盛行的同时,越来越多的应用层的DDoS攻击流量被发现,如HTTP、HTTPS 和 DNS等服务的请求指令洪泛模式。本文中,我们统称这类DDoS攻击为应用层拒绝服务攻击,并采用了与文献相同的缩写AL-DDoS。当前现状是黑客发起攻击的门槛越来越低,各种应用层的DDoS攻击工具都可以从网络上下载使用,用于发动攻击的代理可以免费获取,僵尸网络像商品一样被出租,有不良企图的人能够对任意一个网站发起攻击。两份最近的DDoS攻击安全分析报告[2,3]揭示了一个现象：近年来网络中的大部分DDoS攻击的连续攻击时间在缩短(如,超过90%的DDoS攻击持续不到30分钟),然而攻击的重复频率在增加,同时向高容量和高速率的趋势发展。因此,要阻止一次分布式拒绝服务攻击,检测必须在攻击的表现阶段内完成,即攻击发起至其达到某个足以对正常的网络服务造成影响的阈值之前的时间段。同时攻击响应也必须快速实施才能真正达到有效预防DDoS攻击的效果。为了实现DDoS攻击的快速检测方法,我们借鉴了这两篇文章的思路,他们通过提取节奏模式来表达音乐短片段的各类特性。我们从网络层选择数据特征(即,IP包大小和流中连续包的到达时间间隔),而没有使用IP地址以及其他一些可能表露用户信息的特征。通过对两个特征进行线性变换,可以构建节奏矩阵以准确表达网络流量片段的统计特征。得益于数据特征都是来自网络层,节奏矩阵不会泄露用户敏感信息,而且,它不仅能通过IP包的大小信息来描绘一定时间内用户访问热点内容的相对分布,也能根据包的时间间隔来统计用户访问服务器的方式。此外,我们观察发现：基于同一服务的相同类型流量构建的节奏矩阵之间具有高相似度,而不同类型流量构建的节奏矩阵间则保持较低的相似度。因此,结合在线学习方法——直推式置信机k-近邻算法(Transductive Confidence Machines for K-Nearest Neighbors TCM-KNN),我们可以在边界路由器设备上动态检测出经过的恶意流量。实验结果表明,当流量中的大部分数据由DDoS攻击产生时,我们的方法能以很高的精度检测出来。本研究论文的主要贡献有：·我们基于网络层特征定义了一个组合特征(本文称之为节奏矩阵),能精准描述网络流量的统计特征,能有效地区分DDoS攻击流量和正常流量。·我们改进了一款在线学习方法,使其结合节奏矩阵以达到对应用层拒绝服务攻击的实时检测。改进后的方法使得我们的系统适应性更强,也显著降低了检测系统的误报率且没有造成检测时间的显著延长。·我们基于真实的网络数据集设计了一系列实验,通过检测三种模式的AL-DDoS攻击来评估我们所提出的方法的有效性。·两个著名的公开数据集被我们改造,并用于验证我们的检测方法在网络合法流量瞬间拥塞(本文称之为Flash Crowd)的情况下也能保持很低的误报率。