[发明专利]一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法

说明书

本发明公开了一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法，克服了现有技术中，入侵检测准确率仍需提高的问题。该发明包括：步骤1.基于时间窗的流量预警；步骤2.异常流量特征处理；步骤3.基于规则匹配的快速攻击检测；步骤4.未知类型攻击的挖掘与检测；步骤5.基于IP列表的攻击过滤。与现有技术相比，本发明通过轻量级入侵检测技术结合特征选择，基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题；通过结合在线增量学习和特征选择，解决了未匹配预建攻击模式的未知类型攻击检测问题。

技术领域

该发明涉及计算机网络安全领域的一种数据检测方法，特别是涉及一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法。

背景技术

拒绝服务(Denial of Service,DoS)攻击是一种阻止合法用户正常访问目标服务的网络攻击，它具有两种攻击形式，一种是利用目标系统的软件脆弱性，通过向目标主机发送畸形报文致使系统崩溃等；另一种是向目标持续发送大量无用报文，以此占用目标的带宽资源和主机资源。目前，通常所说的DoS攻击指的是第二种，又称为泛洪(flooding)攻击。

近年来，随着计算机硬件技术的发展，为了增大攻击强度，攻击者通过控制网络中多台不同位置的主机同时向受害者实施DoS攻击，即分布式拒绝服务(Distributed Denialof Service,DDoS)攻击。其中被控制的主机称为傀儡机(zombies)，由傀儡机组成的网络称为僵尸网络。利用僵尸网络和受害者间资源的不对称，DDoS攻击可产生庞大的攻击流量，其破坏力远超DoS攻击。

作为一种入侵检测机制，DoS/DDoS攻击检测通过分析被保护对象的信息，从而判别网络中是否存在DoS/DDoS攻击行为，通常包括数据采集、特征提取和攻击检测三个阶段。数据采集是指在计算机网络系统的若干关键节点(如网络出入口、服务器等)收集用户行为信息，具体可包括网络流量、应用程序日志等；特征提取是指从采集的信息中提取一定的流量和行为特征；攻击检测则是根据提取的特征，采用模式匹配、统计分析、机器学习等手段，判定是否发生攻击。

基于分类的DoS/DDoS攻击检测方法通过选取分类检测特征将流量抽象为特征样本序列，选取机器学习算法对训练样本进行学习，构建分类器模型，最后使用已构建的分类器对待测流量样本进行分类，将DoS/DDoS攻击检测转化为区分网络流量“正常”与“攻击”的二分类问题。例如在文献“Abbes T,Bouhoula A,Rusinowitch M,Efficient decisiontree for protocol analysis in intrusion detection.International Journal ofSecurity and Networks,2010”使用决策树分类器实现了攻击检测，电子科技大学的发明专利“基于数据挖掘技术的拒绝服务攻击防御方法”，申请号200710049921.7，使用了贝叶斯分类。解放军信息工程大学的发明专利“一种基于访问标记的应用层DDoS攻击的检测过滤方法”，申请号201210590828.8，使用了SVDD分类。但分类检测特征中固有的冗余信息增加了分类检测的计算和存储开销、影响了检测的实时性。