專利名稱:一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法和防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,尤其是涉及針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法和防御系統(tǒng)��。
背景技術(shù):
分布式拒絕服務(wù)攻擊(Distributed Denial of Service, DDoS), 一直是互聯(lián)網(wǎng)業(yè)務(wù)提供者-Web服務(wù)器所面臨的最為嚴(yán)重的威脅之一。傳統(tǒng)基于網(wǎng)絡(luò)層或傳輸層的DDoS攻擊方式已經(jīng)被日益成熟的網(wǎng)絡(luò)防護(hù)技術(shù)(防火墻����、入侵檢測技術(shù)等)很好地檢測��,同時計算模式的變化使得更多的服務(wù)通過Web進(jìn)行交互���,這加速了 DDoS攻擊方式向應(yīng)用層發(fā)展����。發(fā)生在應(yīng)用層的DDoS攻擊通常采用真實(shí)IP地址作為攻擊節(jié)點(diǎn)���,利用應(yīng)用層協(xié)議的漏洞��,向目標(biāo)服務(wù)器發(fā)送大量基于HTTP合法協(xié)議的攻擊請求��,可輕松穿越網(wǎng)絡(luò)防護(hù)系統(tǒng)��,這無疑使它成為當(dāng)前Web服務(wù)器急需解決的安全問題�����。然而大多數(shù)的研究成果是對網(wǎng)絡(luò)層或傳輸層DDoS攻擊進(jìn)行檢測��,已經(jīng)不適合基于應(yīng)用層DDoS攻擊的檢測。已有的應(yīng)用層DDoS攻擊檢測方法也主要針對基于HTTP協(xié)議的洪式攻擊檢測�,通過對HTTP請求的流量特征或協(xié)議特征進(jìn)行統(tǒng)計分析來實(shí)現(xiàn)攻擊檢測����,這對于采用正常速率攻擊請求的非對稱攻擊方式則是無效的。Ranjan提出了基于會話中HTTP請求統(tǒng)計異常度的檢測方法�����,該方法首先對網(wǎng)站頁面進(jìn)行分類���,然后統(tǒng)計每個會話中的用戶HTTP請求的分類情況���,并以此來訓(xùn)練正常用戶的HTTP請求模型����,最后通過與正常用戶模型的偏離程度識別攻擊請求���。該方法針對非對稱攻擊的特性��,首次以HTTP請求對資源消耗情況進(jìn)行了頁面分類�;但它采用會話中的HTTP請求統(tǒng)計特征進(jìn)行正常模型的訓(xùn)練�����,所體現(xiàn)出來的仍然是流量的特征��,然而非對稱攻擊者的流量特性與正常用戶一致,而且采用的統(tǒng)一模型并不能對所有類型用戶訪問特征進(jìn)行描述。
發(fā)明內(nèi)容
本發(fā)明的目的是:針對網(wǎng)站的基于應(yīng)用層HTTP協(xié)議DDoS攻擊����,提供一種能對采用洪式和非對稱攻擊方式的攻擊流量進(jìn)行檢測的方法和防御系統(tǒng)��;由于非對稱攻擊方式下,攻擊者的流量特性與正常用戶一致,給攻擊檢測和防御帶來困難�,為此���,發(fā)明人提出相應(yīng)的解決方案。一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法��,包括如下步驟:
提取網(wǎng)站的頁面URL�,利用K-means聚類算法對HTTP請求按照網(wǎng)站進(jìn)行分類,得到該網(wǎng)站的頁面分類集合Vj’j.為頁面類型�,將HTTP請求與頁面分類集合Vj進(jìn)行匹配���,進(jìn)而得到用戶點(diǎn)擊序列Ui二 \xt, X2,…���,xn], Xi表示用戶的一次點(diǎn)擊����,i為獨(dú)立用戶數(shù)��。利用用戶點(diǎn)擊序列U1=Ix2, -,xn)訓(xùn)練得到頁面轉(zhuǎn)移概率矩陣/V
根據(jù)用戶點(diǎn)擊序列u fix,X2, ,Xn],構(gòu)造該用戶所訪問頁面隨機(jī)游走圖。根據(jù)用戶當(dāng)前觀測周期內(nèi)的用戶點(diǎn)擊序列&��,…, }���、頁面轉(zhuǎn)移概率矩陣和頁面隨機(jī)游走圖進(jìn)行隨機(jī)游走計算,預(yù)測得到用戶下一觀測周期的用戶點(diǎn)擊序列U�、: [X1, X2,…�,。隨機(jī)游走計算中的概率分布向量計算公式為
s^(\-a)p*s0+amd����,其中/7為鄰接矩陣�,七為初始概率分布向量,為跳轉(zhuǎn)發(fā)生概率,
V為發(fā)生跳轉(zhuǎn)時跳轉(zhuǎn)到每個頂點(diǎn)的概率分布向量����。P具體為頁面轉(zhuǎn)移概率矩陣A7 �����;50從隨機(jī)游走圖中得到V具體為頁面轉(zhuǎn)移概率矩陣產(chǎn)"中的一個列向量;跳轉(zhuǎn)發(fā)生概家d設(shè)置為
0.15����。計算當(dāng)前觀測周期內(nèi)的用戶點(diǎn)擊序列-, }和下一觀測周期的用戶點(diǎn)
擊序列�,…�����,的序列相似度��。序列相似度的計算公式為
權(quán)利要求
1.一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法,其特征在于���,包括如下步驟: 提取網(wǎng)站的頁面URL����,利用K-means聚類算法對HTTP請求按照網(wǎng)站進(jìn)行分類,得到該網(wǎng)站的頁面分類集合K7J為頁面類型���,進(jìn)而得到用戶點(diǎn)擊序列義={^�����,4��,-,Xn], i為獨(dú)立用戶數(shù)����; 利用用戶點(diǎn)擊序列Ui 二 [X1, x2,-,xn)訓(xùn)練得到頁面轉(zhuǎn)移概率矩陣產(chǎn)"��; 根據(jù)用戶點(diǎn)擊序列Ui=W1J2,…,&}���,構(gòu)造該用戶所訪問頁面隨機(jī)游走圖�; 根據(jù)用戶當(dāng)前觀測周期內(nèi)的用戶點(diǎn)擊序列義=b�,A�,…, }�、頁面轉(zhuǎn)移概率矩陣產(chǎn)"和頁面隨機(jī)游走圖進(jìn)行隨機(jī)游走計算,預(yù)測得到用戶下一觀測周期的用戶點(diǎn)擊序列U r\x !,X 2, ---,X J ����; 計算當(dāng)前觀測周期內(nèi)的用戶點(diǎn)擊序列K= -, }和下一觀測周期的用戶點(diǎn)擊序列^Zi= k'/p�����,…,的序列相似度�; 根據(jù)序列相似度與閾值進(jìn)行比較判斷用戶點(diǎn)擊序列+是否正常��,如果序列相似度小于閾值則表明該用戶點(diǎn)擊序列Ui為攻擊序列,反之為正常訪問序列�。
2.根據(jù)權(quán)利要求1所述一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法���,其特征在于:所述得到頁面分類集合Ky后,將HTTP請求與頁面分類集合&進(jìn)行匹配��,進(jìn)而得到用戶點(diǎn)擊序列
3.根據(jù)權(quán)利要求1所述一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法�,其特征在于:所述隨機(jī)游走計算中的概率分布向量計算公式為ε=( -α)ρ.ε +α. ,其中為鄰接矩陣,為初始概率分布向量��,α為跳轉(zhuǎn)發(fā)生概率�����,V為發(fā)生跳轉(zhuǎn)時跳轉(zhuǎn)到每個頂點(diǎn)的概率分布向量��。
4.根據(jù)權(quán)利要求1所述一種針對網(wǎng)站的應(yīng)用層DDoS攻擊檢測方法���,其特征在于:所述序列相似度的計算公式為
5.一種針對網(wǎng)站的應(yīng)用層DDoS攻擊防御系統(tǒng)��,其特征在于:包括請求處理模塊(I)��、模型訓(xùn)練模塊(2)��、序列預(yù)測模塊(3)和異常檢測模塊(4)�,其中,請求處理模塊(I)利用K-means聚類算法對HTTP請求按照網(wǎng)站進(jìn)行分類�,得到分類集合Ky,進(jìn)而得到用戶點(diǎn)擊序列K.���,并將用戶點(diǎn)擊序列+傳交到模型訓(xùn)練模塊(2)和序列預(yù)測模塊(3);模型訓(xùn)練模塊(2)根據(jù)用戶點(diǎn)擊序列Ui構(gòu)造隨機(jī)游走圖�,獲得網(wǎng)站頁面轉(zhuǎn)移概率矩陣/^,并提交給序列檢測模塊(3);序列預(yù)測模塊(3)在用戶點(diǎn)擊序列Ui的當(dāng)前觀測周期的基礎(chǔ)上���,根據(jù)隨機(jī)游走圖預(yù)測下一個觀測周期用戶點(diǎn)擊序列Ui ;異常檢測模塊(4)將當(dāng)前觀測周期內(nèi)的用戶點(diǎn)擊序列Ui和下一個觀測周期用戶點(diǎn)擊序列U1進(jìn)行序列相似度計算���。
全文摘要
本發(fā)明涉及一種應(yīng)用層DDoS攻擊檢測方法及防御系統(tǒng),涉及網(wǎng)絡(luò)安全��,特別是應(yīng)用層DDoS攻擊檢測與防御。本發(fā)明通過對用戶訪問行為進(jìn)行分析����,提出了基于用戶點(diǎn)擊序列預(yù)測的檢測方法與防御系統(tǒng)。首先提取網(wǎng)站的頁面URL���,利用聚類算法進(jìn)行聚類���,得到該網(wǎng)站的頁面分類Vj和用戶點(diǎn)擊序列�����;然后利用用戶點(diǎn)擊序列構(gòu)建隨機(jī)游走圖�����,通過隨機(jī)游走過程計算用戶下一觀測周期點(diǎn)擊序列�����;最后計算預(yù)測序列與點(diǎn)擊序列的序列相似度�,通過訓(xùn)練閾值來判斷用戶點(diǎn)擊序列的異常性��。本發(fā)明能有效檢測應(yīng)用層DDoS攻擊,特別是模擬正常用戶行為的攻擊請求��,可廣泛應(yīng)用于數(shù)據(jù)中心網(wǎng)站服務(wù)器安全防御。
文檔編號H04L29/08GK103095711SQ201310018798
公開日2013年5月8日 申請日期2013年1月18日 優(yōu)先權(quán)日2013年1月18日
發(fā)明者徐川, 唐紅, 趙國鋒, 杜成, 張毅 申請人:重慶郵電大學(xué)