本發(fā)明專利技術(shù)公開了一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測過濾方法,方法包括,訓(xùn)練階段對正常用戶訪問行為進(jìn)行無策略標(biāo)記;采用標(biāo)記策略進(jìn)行標(biāo)記處理;采用特征提取策略提取檢測特征,將訪問用戶表征為特征向量;獲取正常用戶的SVDD超球體保存到訓(xùn)練數(shù)據(jù)庫;對進(jìn)入服務(wù)器待檢測用戶的訪問行為進(jìn)行基于標(biāo)記策略的標(biāo)記;提取有效檢測特征并將訪問用戶表示為特征向量形式;根據(jù)SVDD超球體,對特征向量進(jìn)行檢測分類并進(jìn)行異常判決,當(dāng)為異常用戶時進(jìn)行同步過濾。實(shí)施本發(fā)明專利技術(shù)的技術(shù)方案,具有以下有益效果:訪問標(biāo)記及異常特征的提取不局限于特定的服務(wù)器;檢測同時便可實(shí)現(xiàn)對攻擊用戶的同步過濾,提高了服務(wù)器抵御應(yīng)用層DDoS攻擊的能力。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及。
技術(shù)介紹
伴隨著互聯(lián)網(wǎng)廣泛應(yīng)用于商業(yè)、政府、企業(yè)、娛樂等工作生活的各個方面,相應(yīng)的網(wǎng)絡(luò)安全顯得越發(fā)重要。在眾多的網(wǎng)絡(luò)攻擊中,分布式拒絕服務(wù)攻擊,自1999年8月第一次發(fā)生以來,以其發(fā)起簡單、破壞力強(qiáng)大的攻擊特性,成為影響網(wǎng)絡(luò)安全不可忽視的隱患因素。近年來,隨著低層檢測防御手段的不斷完善,一種與高層服務(wù)相結(jié)合、利用正常的協(xié)議和服務(wù)器連接傳輸數(shù)據(jù)的應(yīng)用層DDoS攻擊應(yīng)運(yùn)而生。由于與正常請求僅在目的上不同,因此該種攻擊可以輕易穿越針對傳統(tǒng)DDoS攻擊的低層檢測防御系統(tǒng),而處理一個高層應(yīng)用請求的復(fù)雜度遠(yuǎn)高于一個低層分組,正是由于這種遠(yuǎn)高于傳統(tǒng)DDoS攻擊的隱蔽性和破壞性,針對應(yīng)用層DDoS攻擊的檢測防御顯得必要緊迫。基于用戶行為分析的檢測方法是目前應(yīng)用層DDoS攻擊檢測的主要研究方向。早期基于用戶行為的檢測方法主要包括Takeshi提出的基于用戶瀏覽信息的檢測方法,該方法依據(jù)用戶瀏覽頁面的順序以及瀏覽時間和頁面信息大小之間的關(guān)系達(dá)到檢測HTTP洪泛攻擊的目的。謝逸、余順爭提出的基于隱半馬爾可夫模型(Hs麗)的檢測方法將Hs麗模型引入攻擊檢測,在對用戶訪問行為進(jìn)行HsMM建模的基礎(chǔ)上,采用與大多數(shù)正常用戶訪問行為的偏離作為攻擊的異常度測量,最終實(shí)現(xiàn)應(yīng)用層DDoS攻擊的有效檢測。該方法最大的貢獻(xiàn)是將用戶的訪問行為進(jìn)行了抽象的數(shù)學(xué)建模,用狀態(tài)空間的方法合理準(zhǔn)確地描述了用戶的訪問行為輪廓。Ranjan等人根據(jù)Session參數(shù)將應(yīng)用層DDoS攻擊分為Request flooding攻擊、Asymmetric workload攻擊和Repeated one-shot攻擊,基于這三種攻擊,提出了 一種Session可疑度模型,依據(jù)Session可疑度大小進(jìn)行請求轉(zhuǎn)發(fā),并在檢測的基礎(chǔ)上研究了不同轉(zhuǎn)發(fā)調(diào)度策略對于應(yīng)用層DDoS攻擊的過濾效果。分析上述檢測方法,可以發(fā)現(xiàn):1)應(yīng)用層服務(wù)和協(xié)議的差異性,使得應(yīng)用層DDoS攻擊可以有多種不同的形式,而上述檢測方法大多僅考慮了針對Web服務(wù)器攻擊的檢測,檢測算法透明度不高、局限性較大,2)檢測與過濾并沒有很好地結(jié)合,尤其是兩者的同步結(jié)合,因此即便達(dá)到了較高的檢測效果,對攻擊過濾的延遲同樣使得服務(wù)器陷入攻擊。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)針對以上問題的提出,而研制。,其特征在于,包括訓(xùn)練階段和檢測階段,其中,訓(xùn)練階段包括如下步驟:I)對正常用戶i訪問行為進(jìn)行無策略標(biāo)記,對正常用戶i的訪問時間和訪問頁面不做任何處理,獲得原始標(biāo)記結(jié)果;2)以原始標(biāo)記為基礎(chǔ),設(shè)定訪問標(biāo)記統(tǒng)計(jì)時間段ts,設(shè)定訪問標(biāo)記平均間隔時間td,采用標(biāo)記策略對原始標(biāo)記結(jié)果進(jìn)行標(biāo)記處理,獲得處理標(biāo)記結(jié)果;其中,標(biāo)記策略包括訪問時間標(biāo)記策略和訪問頁面標(biāo)記策略,訪問時間的標(biāo)記策略為:若當(dāng)前訪問標(biāo)記與前一標(biāo)記的間隔時間td’與訪問標(biāo)記平均間隔時間^的關(guān)系為t' d<td時,則將當(dāng)前用戶的訪問時間點(diǎn)標(biāo)記為1,否則標(biāo)記為O ;訪問頁面的標(biāo)記策略為:若用戶請求的訪問頁面存在于當(dāng)前服務(wù)器內(nèi),直接將當(dāng)前用戶的訪問頁面標(biāo)記為當(dāng)前訪問頁面,否則標(biāo)記為2 ;3)采用特征提取策略從已處理標(biāo)記結(jié)果中提取檢測特征,將訪問用戶表征為特征向量;其中,特征提取策略包括: ①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i標(biāo)記為I和O的總和,記為Si。;②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為I的最大個數(shù)Sil ;③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為O的最大個數(shù)Sitl ;④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i標(biāo)記為2的總和Si2 ;⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)Si2占Sic的比例pi2 = si2/sic ;將正常用戶i表示為特征向量形式為-.Ci = <sic, sn, si0, pi2> ;4)通過SVDD分類算法獲取正常用戶i的SVDD超球體,并將正常用戶i的SVDD超球體保存到訓(xùn)練數(shù)據(jù)庫;檢測階段包括如下步驟:5)訪問標(biāo)記模塊對進(jìn)入服務(wù)器的用戶j的訪問行為進(jìn)行策略標(biāo)記,標(biāo)記策略同訓(xùn)練階段;6)特征向量提取模塊根據(jù)特征提取策略,提取基于訪問標(biāo)記結(jié)果的有效檢測特征,并將訪問用戶j表示為特征向量形式;其中,特征提取策略包括:①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j標(biāo)記為I和O的總和,記為Sjc ;②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j連續(xù)標(biāo)記為I的最大個數(shù)Sjl ;③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j連續(xù)標(biāo)記為O的最大個數(shù)Sjtl ;④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j標(biāo)記為2的總和Sj2 ;⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)Sj2占S」。的比例Pj2 = Sj2/Sjc ;將用戶j表示為特征向量形式為=Cj = <sJc, Sjl, sJ0, pJ2> ;7) SVDD分類模塊根據(jù)訓(xùn)練數(shù)據(jù)庫中的SVDD超球體,對檢測階段的特征向量Cj進(jìn)行檢測分類;8) SVDD分類模塊根據(jù)判決函數(shù)/(Q = I2-[[(CC卜聲(Ci5CJ進(jìn)行異常判決,f(C)的物理意義為1=1/./-1用戶C與球心Ctl之間距離的平方與R2的差值,若f (C) >0,特征向量在超球體內(nèi),判定用戶j為正常用戶;gf(C)〈0,特征向量在超球體外,判定用戶j為異常用戶;其中,I為樣本數(shù)量,a i為支持向量的Lagrange系數(shù),R為超球體的半徑,C為特征向量,K為核函數(shù);9)當(dāng)判定用戶j為異常用戶時,攻擊過濾模塊對異常用戶進(jìn)行同步過濾。本專利技術(shù)的步驟9)中同步過濾步驟如下:A)當(dāng)判定用戶j為異常用戶時,做進(jìn)一步判定,當(dāng)本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測過濾方法,其特征在于,包括訓(xùn)練階段和檢測階段,其中,訓(xùn)練階段包括如下步驟:1)對正常用戶i訪問行為進(jìn)行無策略標(biāo)記,對正常用戶i的訪問時間和訪問頁面不做任何處理,獲得原始標(biāo)記結(jié)果;2)以原始標(biāo)記為基礎(chǔ),設(shè)定訪問標(biāo)記統(tǒng)計(jì)時間段ts,設(shè)定訪問標(biāo)記平均間隔時間td,采用標(biāo)記策略對原始標(biāo)記結(jié)果進(jìn)行標(biāo)記處理,獲得處理標(biāo)記結(jié)果;其中,標(biāo)記策略包括訪問時間標(biāo)記策略和訪問頁面標(biāo)記策略,訪問時間的標(biāo)記策略為:若當(dāng)前訪問標(biāo)記與前一標(biāo)記的間隔時間td“與訪問標(biāo)記平均間隔時間td的關(guān)系為t′d<td時,則將當(dāng)前用戶的訪問時間點(diǎn)標(biāo)記為1,否則標(biāo)記為0;訪問頁面的標(biāo)記策略為:若用戶請求的訪問頁面存在于當(dāng)前服務(wù)器內(nèi),直接將當(dāng)前用戶的訪問頁面標(biāo)記為當(dāng)前訪問頁面,否則標(biāo)記為2;3)采用特征提取策略從已處理標(biāo)記結(jié)果中提取檢測特征,將訪問用戶表征為特征向量;其中,特征提取策略包括:①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i標(biāo)記為1和0的總和,記為sic;②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為1的最大個數(shù)si1;③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為0的最大個數(shù)si0;④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i標(biāo)記為2的總和si2;⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)si2占sic的比例pi2=si2/sic;將正常用戶i表示為特征向量形式為:Ci=;4)通過SVDD分類算法獲取正常用戶i的SVDD超球體,并將正常用戶i的SVDD超球體保存到訓(xùn)練數(shù)據(jù)庫;檢測階段包括如下步驟:5)訪問標(biāo)記模塊對進(jìn)入服務(wù)器的用戶j的訪問行為進(jìn)行策略標(biāo)記,標(biāo)記策略同訓(xùn)練階段;6)特征向量提取模塊根據(jù)特征提取策略,提取基于訪問標(biāo)記結(jié)果的有效檢 測特征,并將訪問用戶j表示為特征向量形式;其中,特征提取策略包括:①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j標(biāo)記為1和0的總和,記為sjc;②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j連續(xù)標(biāo)記為1的最大個數(shù)sj1;③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j連續(xù)標(biāo)記為0的最大個數(shù)sj0;④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)用戶j標(biāo)記為2的總和sj2;⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)sj2占sjc的比例pj2=sj2/sjc;將用戶j表示為特征向量形式為:Cj=;7)SVDD分類模塊根據(jù)訓(xùn)練數(shù)據(jù)庫中的SVDD超球體,對檢測階段的特征向量Cj進(jìn)行檢測分類;8)SVDD分類模塊根據(jù)判決函數(shù)f(C)=R2-[K(C,C)-2Σi=1lαiK(Ci,C)+Σi,j=1lαiαjK(Ci,Cj)]進(jìn)行異常判決,f(C)的物理意義為用戶C與球心C0之間距離的平方與R2的差值,若f(C)>0,特征向量在超球體內(nèi),判定用戶j為正常用戶;若f(C)<0,特征向量在超球體外,判定用戶j為異常用戶;其中,l為樣本數(shù)量,αi為支持向量的Lagrange系數(shù),R為超球體的半徑,C為特征向量,K為核函數(shù);9)當(dāng)判定用戶j為異常用戶時,攻擊過濾模塊對異常用戶進(jìn)行同步過濾。...
【技術(shù)特征摘要】
1.一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測過濾方法,其特征在于,包括訓(xùn)練階段和檢測階段,其中, 訓(xùn)練階段包括如下步驟: 1)對正常用戶i訪問行為進(jìn)行無策略標(biāo)記,對正常用戶i的訪問時間和訪問頁面不做任何處理,獲得原始標(biāo)記結(jié)果; 2)以原始標(biāo)記為基礎(chǔ),設(shè)定訪問標(biāo)記統(tǒng)計(jì)時間段ts,設(shè)定訪問標(biāo)記平均間隔時間td,采用標(biāo)記策略對原始標(biāo)記結(jié)果進(jìn)行標(biāo)記處理,獲得處理標(biāo)記結(jié)果;其中, 標(biāo)記策略包括訪問時間標(biāo)記策略和訪問頁面標(biāo)記策略,訪問時間的標(biāo)記策略為:若當(dāng)前訪問標(biāo)記與前一標(biāo)記的間隔時間td’與訪問標(biāo)記平均間隔時間^的關(guān)系為t' d<td時,則將當(dāng)前用戶的訪問時間點(diǎn)標(biāo)記為1,否則標(biāo)記為O ;訪問頁面的標(biāo)記策略為:若用戶請求的訪問頁面存在于當(dāng)前服務(wù)器內(nèi),直接將當(dāng)前用戶的訪問頁面標(biāo)記為當(dāng)前訪問頁面,否則標(biāo)記為2 ; 3)采用特征提取策略從已處理標(biāo)記結(jié)果中提取檢測特征,將訪問用戶表征為特征向量;其中, 特征提取策略包括: ①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i標(biāo)記為I和O的總和,記為sic;; ②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為I的最大個數(shù)Sil; ③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為O的最大個數(shù)Sitl; ④統(tǒng)計(jì)訪問標(biāo)記 統(tǒng)計(jì)時間段ts內(nèi)正常用戶i標(biāo)記為2的總和si2; ⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時間段ts內(nèi)si2占Sie的比例pi2= si2/sic ; 將正常用戶i表示為特征向量形式為-.Ci = <si...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:張建輝,李錦鈴,卜佑軍,于婧,申涓,袁林,
申請(專利權(quán))人:大連環(huán)宇移動科技有限公司,中國人民解放軍信息工程大學(xué),
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。