[发明专利]一种基于多特征熵的应用层DDoS攻击检测与防御方法

权利要求书

1.一种基于多特征熵的应用层DDoS攻击检测与防御方法，其特征在于：包括应用层连接特征预处理模块(1)，基于斜度计算的多时间窗资源监控模块(2)，多特征熵调和平均计算决策模块(3)三个模块；其中，应用层连接特征预处理模块(1)通过负荷索引统计算法，索引统计对服务器资源访问请求时的负荷大小，计算下载资源和访问非缓存数据的潜在服务器负荷值，并将服务器负荷值进行存储，同时实时地从系统日志中提取解析出每个连接的源IP、所访问的URL、会话持续时间、所访问页面持续时间、所产生的服务器潜在负荷5个特征信息；基于斜度计算的多时间窗资源监控模块(2)负责从连接特征日志中，提取多个连续时间窗中的URL特征数据，包括每种URL被请求的连接数量、每种IP源发起请求的连接数量、以及所有URL中下载资源和非缓存数据请求产生的服务器负荷量，分别计算以上三种特征在连续多时间窗中的变化斜度，并通过多特征斜度算法初步判断是否存在应用层DDoS攻击；多特征熵调和平均计算决策模块(3)采用三维CUSUM算法，将基于斜度计算的多时间窗资源监控模块(2)中最初时间窗起点的一个偏移时间点，作为起始时间点，取得多个连续时间窗口，在各时间窗口内从特征日志中获取各个IP源的会话持续时间、网页打开保持时间、单个URL对于的源IP、源IP对应的URL数量4个特征数据，通过多特征熵值调和平均算法进行处理，最终决策是否发生应用层DDoS攻击。

2.根据权利要求1所述的一种基于多特征熵的应用层DDoS攻击检测与防御方法，其特征在于：所述的应用层连接特征预处理模块(1)包括模块周期性资源消耗表模块(1-1)和日志连接请求特征提取模块(1-2)，负责监听移动端、Web端等应用程序客户端发送的服务连接请求，解析所产生的潜在服务器负荷，并根据负荷变化初步判断是否存在应用层DDoS攻击；

所述的周期性资源消耗表模块(1-1)根据周期性负荷索引统计算法，计算服务器各个URI对应的图片、视频、音频资源大小，通过使用n个线程下载测试计算服务器内存M_n、CPU消耗C_n，计算平均单个线程下载资源时带来的服务器负荷作为本URI下载资源所产生的潜在服务器负荷值其中表示第i种媒体资源，M_ni表示第i种媒体资源下载产生的内存负荷，C_ni表示第i种媒体资源下载产生的CPU负荷，a、b为在正常状态下设定的标准化参数，并将各个媒体资源下载对应的存入服务器资源消耗数据库，同时对动态页面中非缓存数据的数据库，采用同样方法得到单线程服务器负荷消耗Lⁱ，i＝1，2，3…，其中i指第i种非缓存数据的数据库操作，并且在服务器中注册事件以实时记录服务器中可下载媒体资源和非缓存数据的更新情况，周期性地将所增加的媒体资源和非缓存数据进行负荷消耗测试，添加到资源消耗表中，同时释放已删除的媒体资源和非缓存数据对应的数据库记录；

所述的日志连接请求特征提取模块(1-2)，通过正则表达式实时并行地从系统日志中解析出第i个连接所对应的源IP作为特征sip_i、所访问的URL作为特征url_i、当前会话持续时间为特征所访问页面持续时间为特征并将当前处理HTTP连接所对应的以上4种特征作为连接特征日志，以JSON格式进行存储，同时从HTTP头信息中提取出访问的非缓存数据资源或是下载媒体资源，得到本次HTTP请求产生的服务器潜在负荷大小l_i，存入连接特征日志，而后转发该日志至多时间窗请求负荷统计模块(2-1)。