[发明专利]语义Web应用中检测DoS攻击的方法与系统

说明书

技术领域

本发明涉及网络安全技术领域，更为具体地，涉及一种语义Web应用中检测DoS攻击的方法与系统。

背景技术

现有的互联网网络是网页的集合，而语义Web是计算机和互联网对网络下一阶段发展所做出的术语化定义，其基本含义即基于网络建立任何微小数据的连接。

语义Web通过采用形式化的、机器可处理的语义Web语言来标注Web资源的语义，最终让机器代替人做更多的工作，实现Internet上不同Web资源的自动发现、自动集成、共享和重用，并支持通过互联网的信任交互。随着语义Web技术和相关标准的发布和语义Web技术的成熟，基于语义Web技术的应用也开始涌现。

目前的语义Web标准主要集中在数据操作和元数据的描述功能等方面，而在安全方面仅釆用了XML传统的数字签名和加密标准。因此，语义Web在安全防御方面的研究明显滞后于元数据描述和数据互操作的发展。

但是，在拒绝服务和分布式拒绝服务网络攻击愈演愈烈的今天，传统的网络设备或者边界安全设备都不具备完善的拒绝服务防御能力，在安全防御明显滞后于元数据描述和数据互操作的发展的情况下，语义Web很容易被恶意攻击者利用。例如，如下的SPARQL（Simple Protocol and RDF Query Language，简单协议和RDF查询语言）查询：

这个查询的目的是遍历整个本体知识库，对于语义Web这种分布式知识模型，这样的查询显然是没有意义的。而且虽然只发起了一次会话请求，但却足以耗尽整个服务器和网络资源，从而影响正常用户的访问请求，导致DoS攻击。

虽然当前一些开放的SPARQL查询端点对如上的SPARQL查询语句不做任何响应，比如DBPedia语义知识库提供的SPARQL查询端点，但基于图模式匹配的SPARQL查询语句可以变换多种写法。比如，上述的SPARQL查询语句可以变换为如下写法：

上述只是对SPARQL查询的其中一种变换，当然还可以有很多类似的变换，甚至是限定三元组中的某个元素，其查询所得到的结果的数据仍是惊人的，而且很多语义知识库提供的查询服务并不对此进行检查和约束。

虽然检查SPARQL查询语句的图模式可以发现一些不当或者恶意的查询，但这样的检查是远远不够的，不足以发现大量伪装的恶意访问行为，比如不断动态变换访问主体身份或者访问目标的查询。

由于传统的DoS攻击检测和防御机制并不支持语义Web技术，也不支持利用语义Web技术本身的安全缺陷而发起的新型攻击行为的检测，因此，传统的DoS攻击检测和防御机制无法识别出上述的恶意查询。虽然当前基于语义Web技术的访问控制机制支持语义Web的相关技术标准，但其却只是用来解决因传统的访问控制机制无法防御语义Web环境下由推理而引发的安全问题和策略一致性问题，其并不提供语义Web环境下的DoS攻击检测功能，因而也不能对访问主体所发起的恶意访问行为进行DoS攻击的检测和防御。

发明内容

鉴于上述问题，本发明的目的是提供一种语义Web应用中检测DoS攻击的方法与系统，以解决当前的DoS攻击检测和防御机制不支持语义Web技术，以及基于语义Web技术的访问控制机制不支持语义Web环境下利用语义Web技术本身的安全缺陷而发起的DoS攻击检测和防御问题。

根据本发明的一个方面，提供一种语义Web应用中检测DoS攻击的方法，包括：

在语义Web应用中，通过RDF陈述具体化的方式，对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述，将具体化描述的访问行为特征记录在访问历史本体库中；

基于所述访问历史本体库，在预设的学习周期内，分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习，统计与三类访问行为特征相对应的学习阈值，并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中；

基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值，通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值；其中，将策略阈值记录在相应的DoS攻击检测策略规则中，然后将DoS攻击检测策略规则保存在攻击检测规则库中；

基于所确定的相应的DoS攻击检测策略规则的策略阈值，对在访问控制域内发生的DoS攻击行为进行检测。