[发明专利]一种基于访问标记的应用层DDoS攻击的检测过滤方法

说明书

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于访问标记的应用层DDoS攻击的检测过滤方法。

背景技术

伴随着互联网广泛应用于商业、政府、企业、娱乐等工作生活的各个方面，相应的网络安全显得越发重要。在众多的网络攻击中，分布式拒绝服务攻击，自1999年8月第一次发生以来，以其发起简单、破坏力强大的攻击特性，成为影响网络安全不可忽视的隐患因素。近年来，随着低层检测防御手段的不断完善，一种与高层服务相结合、利用正常的协议和服务器连接传输数据的应用层DDoS攻击应运而生。由于与正常请求仅在目的上不同，因此该种攻击可以轻易穿越针对传统DDoS攻击的低层检测防御系统，而处理一个高层应用请求的复杂度远高于一个低层分组，正是由于这种远高于传统DDoS攻击的隐蔽性和破坏性，针对应用层DDoS攻击的检测防御显得必要紧迫。

基于用户行为分析的检测方法是目前应用层DDoS攻击检测的主要研究方向。早期基于用户行为的检测方法主要包括Takeshi提出的基于用户浏览信息的检测方法，该方法依据用户浏览页面的顺序以及浏览时间和页面信息大小之间的关系达到检测HTTP洪泛攻击的目的。谢逸、余顺争提出的基于隐半马尔可夫模型（HsMM）的检测方法将HsMM模型引入攻击检测，在对用户访问行为进行HsMM建模的基础上，采用与大多数正常用户访问行为的偏离作为攻击的异常度测量，最终实现应用层DDoS攻击的有效检测。该方法最大的贡献是将用户的访问行为进行了抽象的数学建模，用状态空间的方法合理准确地描述了用户的访问行为轮廓。Ranjan等人根据Session参数将应用层DDoS攻击分为Request flooding攻击、Asymmetric workload攻击和Repeated one-shot攻击，基于这三种攻击，提出了一种Session可疑度模型，依据Session可疑度大小进行请求转发，并在检测的基础上研究了不同转发调度策略对于应用层DDoS攻击的过滤效果。

分析上述检测方法，可以发现：1）应用层服务和协议的差异性，使得应用层DDoS攻击可以有多种不同的形式，而上述检测方法大多仅考虑了针对Web服务器攻击的检测，检测算法透明度不高、局限性较大，2）检测与过滤并没有很好地结合，尤其是两者的同步结合，因此即便达到了较高的检测效果，对攻击过滤的延迟同样使得服务器陷入攻击。

发明内容

本发明针对以上问题的提出，而研制一种基于访问标记的应用层DDoS攻击的检测过滤方法。

一种基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，包括训练阶段和检测阶段，其中，

训练阶段包括如下步骤：

1）对正常用户i访问行为进行无策略标记，对正常用户i的访问时间和访问页面不做任何处理，获得原始标记结果；

2）以原始标记为基础，设定访问标记统计时间段t_s，设定访问标记平均间隔时间t_d，采用标记策略对原始标记结果进行标记处理，获得处理标记结果；其中，

标记策略包括访问时间标记策略和访问页面标记策略，访问时间的标记策略为：若当前访问标记与前一标记的间隔时间t_d'与访问标记平均间隔时间t_d的关系为t′_d＜t_d时，则将当前用户的访问时间点标记为1，否则标记为0；访问页面的标记策略为：若用户请求的访问页面存在于当前服务器内，直接将当前用户的访问页面标记为当前访问页面，否则标记为2；

3）采用特征提取策略从已处理标记结果中提取检测特征，将访问用户表征为特征向量；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内正常用户i标记为1和0的总和，记为s_ic；

②统计访问标记统计时间段t_s内正常用户i连续标记为1的最大个数s_i1；

③统计访问标记统计时间段t_s内正常用户i连续标记为0的最大个数s_i0；

④统计访问标记统计时间段t_s内正常用户i标记为2的总和s_i2；

⑤计算访问标记统计时间段t_s内s_i2占s_ic的比例p_i2＝s_i2/s_ic；