[发明专利]一种在分布式网络中检测持续型网络攻击的方法

说明书

本发明公开了一种在分布式网络中检测持续型网络攻击的方法，首先提出分布式网络环境下检测持续型网络攻击系统模型，其次在数据预处理和传输阶段，提出利用编码技术来压缩每个分布式服务器记录的数据并优化存储空间，然后将压缩后的数据传输到指定的中央服务器；在数据恢复和检测阶段利用编码技术恢复上述的请求记录并检测攻击行为。同时，通过对上述检测方法给出了检测方法的理论性能保障。本发明首次提出在分布式网络中检测持续型网络攻击的方法，其有效地减少了在分布式环境下需要的数据传输量，并针对检测的准确度给出了有效的理论性能保障，可以用于分布式环境下检测持续型网络攻击，以保证网络安全。

技术领域

本发明涉及网络安全领域，具体涉及一种在分布式网络中检测持续型网络攻击的方法。

背景技术

近些年来随着网络攻击和欺诈行为的泛滥，使得现有系统被入侵的风险大大增加，大量财产遭受损失。例如，其中分布式拒绝服务(D-Dos)网络攻击最为被关注，在此类攻击中，攻击者将大量高频恶意请求伪装成正常请求发送给受害者机器，过量的服务负载会导致受害者服务器宕机。2016年俄罗斯五家银行遭受分布式拒绝服务攻击，直接导致服务下线；美国动态DNS解析服务商Dyn DNS 曾遭受攻击，导致半个美国互联网服务瘫痪。此外，还有网络广告服务中点击欺诈诈骗，攻击者将机器人伪装为正常用户大量点击付费广告，由于广告主需要根据点击量付费，此类欺诈点击行为会直接给广告主造成大量经济损失。

持续型网络攻击是指持续不断地攻击分布式网络中的服务器，其具有数量不大，但是持续不断发生的特点，此类攻击单次不致命，但是长期累积将直接拖垮受害者服务器或者欺诈用户，因此，相比于比较容易被检测出的短期高频类攻击的情况，这种长期潜伏的攻击则更加危险。此外，在分布式网络中，所有服务器是分布式部署，服务器接收到的请求也是分布式地被记录，我们就需要在分布式服务器中请求记录中检测出这些持续型网络攻击。

近些年来，已经有一些研究工作开始关注检测持续型网络攻击，但这些研究工作关注的重点在于以下两个方面：(1)在集中式数据集中(2)检测被攻击的总次数。考虑到现有的通用服务器部署方式都是分布式部署以及在实际中需要明确持续型攻击者具体是谁的要求，但已有的研究工作都具有一定局限性，例如， kBF、IBF比较算法，其检测出持续型攻击的准确度太低，不能直接用于在分布式网络中检测持续型网络攻击。因此，提供一种能在分布式网络中检测出持续型网络攻击的方法，并且能有效的降低分布式环境下需要传输的数据量，保证检测出的攻击的准确度，是本领域技术人员亟待解决的问题。

发明内容

为解决上述问题，本发明提出一种在分布式网络中检测持续型网络攻击的方法，其目的是：在保持低通信量的前提下，在分布网络中检测持续型网络攻击。

为实现上述目的，本发明公开一种在分布式网络中检测持续型网络攻击的方法，其包括：

数据预处理和传输阶段，即：将分布式服务器上的请求记录利用编码技术有损压缩成为字节编码，并计算各请求记录的指纹信息；将字节编码连同指纹信息存储到编码型布谷鸟过滤器；将存储有数据的编码型布谷鸟过滤器发送到指定的中央服务器；

数据恢复和检测阶段，即：根据各分布式服务器发送的编码型布谷鸟过滤器存储的指纹信息和编码信息，将属于同一个请求记录的编码信息拼合以恢复出原始数据，从而检测出对应的服务请求是否为持续型攻击；

其中，各分布式服务器中的布谷鸟过滤器均由m个数据桶组成，每个数据桶内又包含多个数据槽，每个数据槽内均包含用于存储指纹信息的区域和用于存储编码信息的区域。

作为一种优选方案，数据预处理和传输阶段，将各个分布式服务器上的请求记录利用Raptor码编码进行压缩。

作为一种优选方案，利用散列函数获取请求记录的指纹信息。