[发明专利]结合网络脆弱性评估的反射拒绝服务攻击检测方法

说明书

技术领域

本发明涉及互联网环境中反射拒绝服务攻击的检测方法，是一种结合网络脆弱性评估结果，与协议无关的检测方法，属于网络攻击检测领域。

背景技术

反射拒绝服务攻击是指攻击源伪造网络包，欺骗大量互联网服务器，使得服务器将大量的请求响应包发送给受害机（此类被欺骗的服务器称为反射源）。因此所有基于请求响应的协议都有可能被利用来发送反射拒绝服务攻击，使得攻击变种，以至于严重威胁到互联网的正常运行。

针对反射拒绝服务攻击，现有的技术难以检测，主要是由于反射源的稀疏分布，使得很难在受害机端定位攻击流量；因为每个反射源的出口流量速率较低，导致无法在出口处做有效的检测；出口过滤可以有效防止攻击源伪造网络包，但由于部署涉及面广，实施难度大，难以在互联网上得到应用。澳大利亚迪肯大学的Shui Yu提出了一种经典相对熵方法，通过在被攻击端口部署检测和应对方案，能有效的检测到各个攻击源在流量统计分布上的关联，但无法检测到攻击源的流量在时间域内的相关性。

随着更多的协议被利用来发动反射拒绝服务攻击，因此需要一种独立于协议的方法。网络脆弱性评估是常用的网络主动防御方法，通过预先检测并评估网络系统的安全弱点，能够为进一步采取安全措施提供有效的决策支持。网络脆弱性评估方法应用于反射拒绝服务攻击的检测过程中，它能够分析网络系统的各种安全协议，检查其是否具有良好的拒绝服务攻击防御能力。

网络脆弱性评估是指确定计算机主机及网络系统中由安全弱点引起的可能的、潜在的风险。通过网络脆弱性评估，网络管理员能够及时地掌握系统的安全态势，评估网络系统的安全风险，最终达到最大限度保障网络安全的目的。结合网络脆弱性评估，能够针对反射拒绝服务攻击，进行实时的安全风险分析和攻击检测，帮助用户预先识别网络系统脆弱性之间的关联关系，动态评估网络所面临的潜在的安全威胁。

发明内容

本发明要克服现有技术的上述缺点，提供一种能够针对反射拒绝服务攻击，进行实时的安全风险分析和攻击检测，帮助用户预先识别网络系统脆弱性之间的关联关系，动态评估网络所面临的潜在的安全威胁，结合网络脆弱性评估的反射拒绝服务攻击检测方法。

结合网络脆弱性评估的反射拒绝服务攻击检测方法，包括以下步骤：

（1）采集数据包：在目标地址的I个接入端口以周期T采集数据包，每个端口得到采集数据包样本个数为I(d)；

（2）中心化序列转换：通过中心化处理将每个序列(x_d)转化为中心化序列(x′_d)，如式①：

①

（3）秩序列转换：将中心化序列(x′_d)转化为秩的序列(x″_d)，如式②：

②

其中，必须将每个中心化后的序列(x′_d)值按从小到大升序排列（相同值必定连续）；d₁和d₂为所有值均相等的子序列的起始下标和终止下标；

（4）将（3）中得到的I个秩序列两两组合，共得到I(I-1)个序列对；对其中包含两个序列的序列对(X,Y)，计算皮尔逊积矩相关系数r_X,Y，如式③：

③

其中，函数E()表示取参数序列的均值。

（5）根据历史统计信息设定每个序列对(X,Y)的阈值δ₁和δ₂，计算脆弱性评估值r_X,Y，并给出检测结果R(X,Y)，如式④：

④

其中,R(X,Y)=1说明两个序列中可能存在反射拒绝服务攻击流量，R(X,Y)=0则说明不存在攻击流量。相关系数r_X,Y即作为本方法的脆弱性评估值。

本发明通过脆弱性评估算法来检测反射拒绝服务攻击，通过较低的计算量和较少的指标数据，可以达到较高的检测拦截性能；检测效率高，从攻击发生时刻到检测拦截成功，其延时小于60秒；算法部署成本低，只要在网络的入口采用数据包；算法命中率高，在通用场景中经多次实验证明，其漏报率为0.18%，误报率为0.10%。本发明的优点是：该反射拒绝服务攻击检测算法的反应时间较短，部署成本相对低，算法检测的准确性高，漏报率和误报率低。

附图说明

图1典型匀速攻击下经典相对熵方法与本方法的比较。

图2典型变速攻击下经典相对熵方法与本方法的比较。