[发明专利]一种基于访问标记的应用层DDoS攻击的检测过滤方法

权利要求书

1.一种基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，包括训练阶段和检测阶段，其中，

训练阶段包括如下步骤：

1）对正常用户i访问行为进行无策略标记，对正常用户i的访问时间和访问页面不做任何处理，获得原始标记结果；

2）以原始标记为基础，设定访问标记统计时间段t_s，设定访问标记平均间隔时间t_d，采用标记策略对原始标记结果进行标记处理，获得处理标记结果；其中，

标记策略包括访问时间标记策略和访问页面标记策略，访问时间的标记策略为：若当前访问标记与前一标记的间隔时间t_d'与访问标记平均间隔时间t_d的关系为t′_d＜t_d时，则将当前用户的访问时间点标记为1，否则标记为0；访问页面的标记策略为：若用户请求的访问页面存在于当前服务器内，直接将当前用户的访问页面标记为当前访问页面，否则标记为2；

3）采用特征提取策略从已处理标记结果中提取检测特征，将访问用户表征为特征向量；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内正常用户i标记为1和0的总和，记为s_ic；

②统计访问标记统计时间段t_s内正常用户i连续标记为1的最大个数s_i1；

③统计访问标记统计时间段t_s内正常用户i连续标记为0的最大个数s_i0；

④统计访问标记统计时间段t_s内正常用户i标记为2的总和s_i2；

⑤计算访问标记统计时间段t_s内s_i2占s_ic的比例p_i2＝s_i2/s_ic；

将正常用户i表示为特征向量形式为：C_i＝<s_ic，s_i1，s_i0，p_i2>；

4）通过SVDD分类算法获取正常用户i的SVDD超球体，并将正常用户i的SVDD超球体保存到训练数据库；

检测阶段包括如下步骤：

5）访问标记模块对进入服务器的用户j的访问行为进行策略标记，标记策略同训练阶段；

6）特征向量提取模块根据特征提取策略，提取基于访问标记结果的有效检测特征，并将访问用户j表示为特征向量形式；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内用户j标记为1和0的总和，记为s_jc；

②统计访问标记统计时间段t_s内用户j连续标记为1的最大个数s_j1；

③统计访问标记统计时间段t_s内用户j连续标记为0的最大个数s_j0；

④统计访问标记统计时间段t_s内用户j标记为2的总和s_j2；

⑤计算访问标记统计时间段t_s内s_j2占s_jc的比例p_j2＝s_j2/s_jc；

将用户j表示为特征向量形式为：C_j＝<s_jc，s_j1，s_j0，p_j2>；

7）SVDD分类模块根据训练数据库中的SVDD超球体，对检测阶段的特征向量C_j进行检测分类；

8）SVDD分类模块根据判决函数f(C)=R2-[K(C,C)-2Σi=1lαiK(Ci,C)+Σi,j=1lαiαjK(Ci,Cj)]]]>进行异常判决，f(C)的物理意义为用户C与球心C₀之间距离的平方与R²的差值，若f(C)>0，特征向量在超球体内，判定用户j为正常用户；若f(C)<0，特征向量在超球体外，判定用户j为异常用户；其中，l为样本数量，α_i为支持向量的Lagrange系数，R为超球体的半径，C为特征向量，K为核函数；

9）当判定用户j为异常用户时，攻击过滤模块对异常用户进行同步过滤。