[发明专利]一种基于访问标记的应用层DDoS攻击的检测过滤方法

摘要

本发明公开了一种基于访问标记的应用层DDoS攻击的检测过滤方法，方法包括，训练阶段对正常用户访问行为进行无策略标记；采用标记策略进行标记处理；采用特征提取策略提取检测特征，将访问用户表征为特征向量；获取正常用户的SVDD超球体保存到训练数据库；对进入服务器待检测用户的访问行为进行基于标记策略的标记；提取有效检测特征并将访问用户表示为特征向量形式；根据SVDD超球体，对特征向量进行检测分类并进行异常判决，当为异常用户时进行同步过滤。实施本发明的技术方案，具有以下有益效果：访问标记及异常特征的提取不局限于特定的服务器；检测同时便可实现对攻击用户的同步过滤，提高了服务器抵御应用层DDoS攻击的能力。

主权项

一种基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，包括训练阶段和检测阶段，其中，训练阶段包括如下步骤：1）对正常用户i访问行为进行无策略标记，对正常用户i的访问时间和访问页面不做任何处理，获得原始标记结果；2）以原始标记为基础，设定访问标记统计时间段ts，设定访问标记平均间隔时间td，采用标记策略对原始标记结果进行标记处理，获得处理标记结果；其中，标记策略包括访问时间标记策略和访问页面标记策略，访问时间的标记策略为：若当前访问标记与前一标记的间隔时间td'与访问标记平均间隔时间td的关系为t′d＜td时，则将当前用户的访问时间点标记为1，否则标记为0；访问页面的标记策略为：若用户请求的访问页面存在于当前服务器内，直接将当前用户的访问页面标记为当前访问页面，否则标记为2；3）采用特征提取策略从已处理标记结果中提取检测特征，将访问用户表征为特征向量；其中，特征提取策略包括：①统计访问标记统计时间段ts内正常用户i标记为1和0的总和，记为sic；②统计访问标记统计时间段ts内正常用户i连续标记为1的最大个数si1；③统计访问标记统计时间段ts内正常用户i连续标记为0的最大个数si0；④统计访问标记统计时间段ts内正常用户i标记为2的总和si2；⑤计算访问标记统计时间段ts内si2占sic的比例pi2＝si2/sic；将正常用户i表示为特征向量形式为：Ci＝；4）通过SVDD分类算法获取正常用户i的SVDD超球体，并将正常用户i的SVDD超球体保存到训练数据库；检测阶段包括如下步骤：5）访问标记模块对进入服务器的用户j的访问行为进行策略标记，标记策略同训练阶段；6）特征向量提取模块根据特征提取策略，提取基于访问标记结果的有效检 测特征，并将访问用户j表示为特征向量形式；其中，特征提取策略包括：①统计访问标记统计时间段ts内用户j标记为1和0的总和，记为sjc；②统计访问标记统计时间段ts内用户j连续标记为1的最大个数sj1；③统计访问标记统计时间段ts内用户j连续标记为0的最大个数sj0；④统计访问标记统计时间段ts内用户j标记为2的总和sj2；⑤计算访问标记统计时间段ts内sj2占sjc的比例pj2＝sj2/sjc；将用户j表示为特征向量形式为：Cj＝；7）SVDD分类模块根据训练数据库中的SVDD超球体，对检测阶段的特征向量Cj进行检测分类；8）SVDD分类模块根据判决函数 f ( C ) = R 2 - [ K ( C , C ) - 2 Σ i = 1 l α i K ( C i , C ) + Σ i , j = 1 l α i α j K ( C i , C j ) ] 进行异常判决，f(C)的物理意义为用户C与球心C0之间距离的平方与R2的差值，若f(C)>0，特征向量在超球体内，判定用户j为正常用户；若f(C)<0，特征向量在超球体外，判定用户j为异常用户；其中，l为样本数量，αi为支持向量的Lagrange系数，R为超球体的半径，C为特征向量，K为核函数；9）当判定用户j为异常用户时，攻击过滤模块对异常用户进行同步过滤。