專利名稱:一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法���。
背景技術(shù):
伴隨著互聯(lián)網(wǎng)廣泛應(yīng)用于商業(yè)��、政府�、企業(yè)、娛樂等工作生活的各個(gè)方面�,相應(yīng)的網(wǎng)絡(luò)安全顯得越發(fā)重要。在眾多的網(wǎng)絡(luò)攻擊中���,分布式拒絕服務(wù)攻擊�,自1999年8月第一次發(fā)生以來�,以其發(fā)起簡(jiǎn)單�����、破壞力強(qiáng)大的攻擊特性����,成為影響網(wǎng)絡(luò)安全不可忽視的隱患因素。近年來�����,隨著低層檢測(cè)防御手段的不斷完善����,一種與高層服務(wù)相結(jié)合、利用正常的協(xié)議和服務(wù)器連接傳輸數(shù)據(jù)的應(yīng)用層DDoS攻擊應(yīng)運(yùn)而生����。由于與正常請(qǐng)求僅在目的上不同��,因此該種攻擊可以輕易穿越針對(duì)傳統(tǒng)DDoS攻擊的低層檢測(cè)防御系統(tǒng)�,而處理一個(gè)高層應(yīng)用請(qǐng)求的復(fù)雜度遠(yuǎn)高于一個(gè)低層分組���,正是由于這種遠(yuǎn)高于傳統(tǒng)DDoS攻擊的隱蔽性和破壞性�����,針對(duì)應(yīng)用層DDoS攻擊的檢測(cè)防御顯得必要緊迫�?���;谟脩粜袨榉治龅臋z測(cè)方法是目前應(yīng)用層DDoS攻擊檢測(cè)的主要研究方向。早期基于用戶行為的檢測(cè)方法主要包括Takeshi提出的基于用戶瀏覽信息的檢測(cè)方法��,該方法依據(jù)用戶瀏覽頁面的順序以及瀏覽時(shí)間和頁面信息大小之間的關(guān)系達(dá)到檢測(cè)HTTP洪泛攻擊的目的����。謝逸、余順爭(zhēng)提出的基于隱半馬爾可夫模型(Hs麗)的檢測(cè)方法將Hs麗模型引入攻擊檢測(cè)�����,在對(duì)用戶訪問行為進(jìn)行HsMM建模的基礎(chǔ)上,采用與大多數(shù)正常用戶訪問行為的偏離作為攻擊的異常度測(cè)量�����,最終實(shí)現(xiàn)應(yīng)用層DDoS攻擊的有效檢測(cè)�����。該方法最大的貢獻(xiàn)是將用戶的訪問行為進(jìn)行了抽象的數(shù)學(xué)建模�,用狀態(tài)空間的方法合理準(zhǔn)確地描述了用戶的訪問行為輪廓。Ranjan等人根據(jù)Session參數(shù)將應(yīng)用層DDoS攻擊分為Request flooding攻擊����、Asymmetric workload攻擊和Repeated one-shot攻擊��,基于這三種攻擊��,提出了 一種Session可疑度模型,依據(jù)Session可疑度大小進(jìn)行請(qǐng)求轉(zhuǎn)發(fā),并在檢測(cè)的基礎(chǔ)上研究了不同轉(zhuǎn)發(fā)調(diào)度策略對(duì)于應(yīng)用層DDoS攻擊的過濾效果����。分析上述檢測(cè)方法,可以發(fā)現(xiàn):1)應(yīng)用層服務(wù)和協(xié)議的差異性��,使得應(yīng)用層DDoS攻擊可以有多種不同的形式�,而上述檢測(cè)方法大多僅考慮了針對(duì)Web服務(wù)器攻擊的檢測(cè)�����,檢測(cè)算法透明度不高�����、局限性較大�,2)檢測(cè)與過濾并沒有很好地結(jié)合���,尤其是兩者的同步結(jié)合�,因此即便達(dá)到了較高的檢測(cè)效果����,對(duì)攻擊過濾的延遲同樣使得服務(wù)器陷入攻擊。
發(fā)明內(nèi)容
本發(fā)明針對(duì)以上問題的提出���,而研制一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法�����。一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法����,其特征在于,包括訓(xùn)練階段和檢測(cè)階段�����,其中��,訓(xùn)練階段包括如下步驟:I)對(duì)正常用戶i訪問行為進(jìn)行無策略標(biāo)記�����,對(duì)正常用戶i的訪問時(shí)間和訪問頁面不做任何處理�,獲得原始標(biāo)記結(jié)果;2)以原始標(biāo)記為基礎(chǔ)�����,設(shè)定訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts���,設(shè)定訪問標(biāo)記平均間隔時(shí)間td,采用標(biāo)記策略對(duì)原始標(biāo)記結(jié)果進(jìn)行標(biāo)記處理,獲得處理標(biāo)記結(jié)果;其中����,標(biāo)記策略包括訪問時(shí)間標(biāo)記策略和訪問頁面標(biāo)記策略,訪問時(shí)間的標(biāo)記策略為:若當(dāng)前訪問標(biāo)記與前一標(biāo)記的間隔時(shí)間td’與訪問標(biāo)記平均間隔時(shí)間^的關(guān)系為t' d<td時(shí)��,則將當(dāng)前用戶的訪問時(shí)間點(diǎn)標(biāo)記為1,否則標(biāo)記為O ;訪問頁面的標(biāo)記策略為:若用戶請(qǐng)求的訪問頁面存在于當(dāng)前服務(wù)器內(nèi)�����,直接將當(dāng)前用戶的訪問頁面標(biāo)記為當(dāng)前訪問頁面��,否則標(biāo)記為2 �;3)采用特征提取策略從已處理標(biāo)記結(jié)果中提取檢測(cè)特征,將訪問用戶表征為特征向量��;其中�,特征提取策略包括:
①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i標(biāo)記為I和O的總和,記為Si����。;②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為I的最大個(gè)數(shù)Sil ;③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為O的最大個(gè)數(shù)Sitl ����;④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i標(biāo)記為2的總和Si2 ;⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)Si2占Sic的比例pi2 = si2/sic �����;將正常用戶i表示為特征向量形式為-.Ci = <sic, sn, si0, pi2> �����;4)通過SVDD分類算法獲取正常用戶i的SVDD超球體,并將正常用戶i的SVDD超球體保存到訓(xùn)練數(shù)據(jù)庫���;檢測(cè)階段包括如下步驟:5)訪問標(biāo)記模塊對(duì)進(jìn)入服務(wù)器的用戶j的訪問行為進(jìn)行策略標(biāo)記����,標(biāo)記策略同訓(xùn)練階段��;6)特征向量提取模塊根據(jù)特征提取策略�����,提取基于訪問標(biāo)記結(jié)果的有效檢測(cè)特征����,并將訪問用戶j表示為特征向量形式;其中��,特征提取策略包括:①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j標(biāo)記為I和O的總和����,記為Sjc ��;②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j連續(xù)標(biāo)記為I的最大個(gè)數(shù)Sjl ;③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j連續(xù)標(biāo)記為O的最大個(gè)數(shù)Sjtl ���;④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j標(biāo)記為2的總和Sj2 ���;⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)Sj2占S」。的比例Pj2 = Sj2/Sjc �;將用戶j表示為特征向量形式為=Cj = <sJc, Sjl, sJ0, pJ2> ;7) SVDD分類模塊根據(jù)訓(xùn)練數(shù)據(jù)庫中的SVDD超球體����,對(duì)檢測(cè)階段的特征向量Cj進(jìn)行檢測(cè)分類;8) SVDD分類模塊根據(jù)判決函數(shù)
/(Q = I2-[[(CC卜聲(Ci5CJ進(jìn)行異常判決����,f(C)的物理意義為
1=1/./-1
用戶C與球心Ctl之間距離的平方與R2的差值,若f (C) >0���,特征向量在超球體內(nèi)����,判定用戶j為正常用戶�����;gf(C)〈0,特征向量在超球體外�,判定用戶j為異常用戶;其中��,I為樣本數(shù)量�����,a i為支持向量的Lagrange系數(shù)����,R為超球體的半徑,C為特征向量�����,K為核函數(shù)�;
9)當(dāng)判定用戶j為異常用戶時(shí),攻擊過濾模塊對(duì)異常用戶進(jìn)行同步過濾���。本發(fā)明的步驟9)中同步過濾步驟如下:A)當(dāng)判定用戶j為異常用戶時(shí)�����,做進(jìn)一步判定�����,當(dāng)
權(quán)利要求
1.一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法�,其特征在于����,包括訓(xùn)練階段和檢測(cè)階段,其中����, 訓(xùn)練階段包括如下步驟: 1)對(duì)正常用戶i訪問行為進(jìn)行無策略標(biāo)記,對(duì)正常用戶i的訪問時(shí)間和訪問頁面不做任何處理��,獲得原始標(biāo)記結(jié)果��; 2)以原始標(biāo)記為基礎(chǔ)�����,設(shè)定訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts�����,設(shè)定訪問標(biāo)記平均間隔時(shí)間td,采用標(biāo)記策略對(duì)原始標(biāo)記結(jié)果進(jìn)行標(biāo)記處理�,獲得處理標(biāo)記結(jié)果;其中�����, 標(biāo)記策略包括訪問時(shí)間標(biāo)記策略和訪問頁面標(biāo)記策略���,訪問時(shí)間的標(biāo)記策略為:若當(dāng)前訪問標(biāo)記與前一標(biāo)記的間隔時(shí)間td’與訪問標(biāo)記平均間隔時(shí)間^的關(guān)系為t' d<td時(shí)�����,則將當(dāng)前用戶的訪問時(shí)間點(diǎn)標(biāo)記為1���,否則標(biāo)記為O ;訪問頁面的標(biāo)記策略為:若用戶請(qǐng)求的訪問頁面存在于當(dāng)前服務(wù)器內(nèi),直接將當(dāng)前用戶的訪問頁面標(biāo)記為當(dāng)前訪問頁面�����,否則標(biāo)記為2 ���; 3)采用特征提取策略從已處理標(biāo)記結(jié)果中提取檢測(cè)特征�,將訪問用戶表征為特征向量;其中��, 特征提取策略包括: ①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i標(biāo)記為I和O的總和,記為sic;; ②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為I的最大個(gè)數(shù)Sil���; ③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i連續(xù)標(biāo)記為O的最大個(gè)數(shù)Sitl�����; ④統(tǒng)計(jì)訪問標(biāo)記 統(tǒng)計(jì)時(shí)間段ts內(nèi)正常用戶i標(biāo)記為2的總和si2; ⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)si2占Sie的比例pi2= si2/sic ���; 將正常用戶i表示為特征向量形式為-.Ci = <sic, sn, si0, pi2> ����; 4)通過SVDD分類算法獲取正常用戶i的SVDD超球體����,并將正常用戶i的SVDD超球體保存到訓(xùn)練數(shù)據(jù)庫; 檢測(cè)階段包括如下步驟: 5)訪問標(biāo)記模塊對(duì)進(jìn)入服務(wù)器的用戶j的訪問行為進(jìn)行策略標(biāo)記��,標(biāo)記策略同訓(xùn)練階段��; 6)特征向量提取模塊根據(jù)特征提取策略��,提取基于訪問標(biāo)記結(jié)果的有效檢測(cè)特征����,并將訪問用戶j表示為特征向量形式�;其中�����, 特征提取策略包括: ①統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j標(biāo)記為I和O的總和,記為S」���。��; ②統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j連續(xù)標(biāo)記為I的最大個(gè)數(shù)Sjl���; ③統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j連續(xù)標(biāo)記為O的最大個(gè)數(shù)Sjtl; ④統(tǒng)計(jì)訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)用戶j標(biāo)記為2的總和Sj2����; ⑤計(jì)算訪問標(biāo)記統(tǒng)計(jì)時(shí)間段ts內(nèi)Sj2占Sj。的比例Pj2= Sj2/Sjc ; 將用戶j表示為特征向量形式為:Cj = <sjc, Sjl, sJ0, pJ2> �; 7)SVDD分類模塊根據(jù)訓(xùn)練數(shù)據(jù)庫中的SVDD超球體,對(duì)檢測(cè)階段的特征向量Cj進(jìn)行檢測(cè)分類��; 8)SVDD分類模塊根據(jù)判決函數(shù)
2.根據(jù)權(quán)利要求1所述的基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法��,其特征在于��,步驟9)中同步過濾步驟如下: A)當(dāng)判定用戶j為異常用戶時(shí),做進(jìn)一步判定�,當(dāng)
3.根據(jù)權(quán)利要求1或2所述的基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法,其特征在于���,選擇高斯徑向基函數(shù)作為核函數(shù)K,
全文摘要
本發(fā)明公開了一種基于訪問標(biāo)記的應(yīng)用層DDoS攻擊的檢測(cè)過濾方法��,方法包括����,訓(xùn)練階段對(duì)正常用戶訪問行為進(jìn)行無策略標(biāo)記���;采用標(biāo)記策略進(jìn)行標(biāo)記處理;采用特征提取策略提取檢測(cè)特征��,將訪問用戶表征為特征向量��;獲取正常用戶的SVDD超球體保存到訓(xùn)練數(shù)據(jù)庫���;對(duì)進(jìn)入服務(wù)器待檢測(cè)用戶的訪問行為進(jìn)行基于標(biāo)記策略的標(biāo)記�����;提取有效檢測(cè)特征并將訪問用戶表示為特征向量形式�;根據(jù)SVDD超球體,對(duì)特征向量進(jìn)行檢測(cè)分類并進(jìn)行異常判決���,當(dāng)為異常用戶時(shí)進(jìn)行同步過濾���。實(shí)施本發(fā)明的技術(shù)方案,具有以下有益效果訪問標(biāo)記及異常特征的提取不局限于特定的服務(wù)器���;檢測(cè)同時(shí)便可實(shí)現(xiàn)對(duì)攻擊用戶的同步過濾����,提高了服務(wù)器抵御應(yīng)用層DDoS攻擊的能力�。
文檔編號(hào)H04L29/08GK103078856SQ201210590828
公開日2013年5月1日 申請(qǐng)日期2012年12月29日 優(yōu)先權(quán)日2012年12月29日
發(fā)明者張建輝, 李錦鈴, 卜佑軍, 于婧, 申涓, 袁林 申請(qǐng)人:大連環(huán)宇移動(dòng)科技有限公司, 中國(guó)人民解放軍信息工程大學(xué)