[发明专利]一种基于多特征熵的应用层DDoS攻击检测与防御方法

说明书

本发明公开了一种基于多特征熵的应用层DDoS攻击检测与防御方法，包括应用层连接特征预处理模块、基于斜度计算的多时间窗资源监控模块、多特征熵调和平均计算决策模块；应用层连接特征预处理模块统计URI资源并设定资源消耗表，将日志中的连接请求进行多特征分解及预处理，生成连接特征日志；基于斜度计算的多时间窗资源监控模块实时监控多个时间窗口内服务器总连接和总负荷量变化；多特征熵调和平均计算决策模块计算多特征熵调和平均向量范数，通过比较初始阈值判决是否存在应用层DDoS攻击。本发明的有益效果在于：可针对不同规模的网络服务器，对服务器提供实时的负荷监控和异常连接检测，保证服务器能有效实时检测到在应用层DDoS攻击。

技术领域

本发明涉及计算机网络通信领域以及网络安全领域，特别是涉及一种基于多特征熵的应用层DDoS攻击检测与防御方法。

背景技术

网络流量数据由无数离散信息源组成，熵可以有效度量系统参数分布的变化情况，描述长时间的随机过程以及网络流量在某些维度上的分布状况，国内外的很多研究人员利用熵值理论提出了多种异常检测的方案。基于熵的异常检测系统的主要思想是：一旦有异常发生，总体流量的熵值会随之发生变化，通过熵值的变化检测出该异常。分布式拒绝服务攻击(DDoS)，一直是互联网业务提供者——Web服务器所面临的最为严重的威胁之一。传统基于网络层或传输层的DDoS攻击方式已经被日益成熟的网络防护技术(防火墙、入侵检测技术等)很好地检测，同时计算模式的变化使得更多的服务通过Web进行交互，这加速了DDoS攻击方式向应用层发展。发生在应用层的DDoS攻击通常采用真实IP地址作为攻击节点，利用应用层协议的漏洞，向目标服务器发送大量基于HTTP合法协议的攻击请求，可轻松穿越网络防护系统，这无疑使它成为当前Web服务器急需解决的安全问题。然而目前大部分的研究成果是对网络层或传输层DDoS攻击进行检测，而应用层DDoS攻击在网络层表现为正常的连接，依靠网络层流量数据分析的检测方法已经不适用于应用层DDoS的攻击检测。为了响应国家关于网络安全的号召并适应我国互联网的发展现状，设计一种基于多特征熵的应用层DDoS攻击检测方法，应用于中小企业的服务器以高效检测出应用层DDoS攻击。

专利申请201310018798.8一种针对网站的应用层DDoS攻击检测方法和防御系统，该发明通过对用户访问行为进行分析，提出了基于用户点击序列预测的检测方法与防御系统。首先提取网站的页面URL，利用聚类算法进行聚类，得到该网站的页面分类Vj和用户点击序列；然后利用用户点击序列构建随机游走图，通过随机游走过程计算用户下一观测周期点击序列；最后计算预测序列与点击序列的序列相似度，通过训练阈值来判断用户点击序列的异常性。本发明能有效检测应用层DDoS攻击，特别是模拟正常用户行为的攻击请求，可广泛应用于数据中心网站服务器安全防御。但是该发明存在以下缺陷：第一，构建随即游走图所依赖的用户数据量需要足够大，不具备良好的移植性；第二，攻击者可以在单个IP源仿照用户的点击模式进行访问请求，相似度阈值确定难度大，且不具备动态扩展性。

专利申请201410484936.X一种基于信息熵的DDoS攻击检测方法，该发明公开了一种基于信息熵的DDoS攻击检测方法，其实现过程为：高速网络流量的获取；异常流量的判断，即本时刻是否有异常流量的发生；被攻击主机的确认，主要是通过源IP地址、目的IP地址方式；攻击流量的识别。该发明可以有效的判别异常流量发生时刻，从而在目标主机或者网络资源耗尽之前做出相应的处理。但是该发明存在以下缺陷：第一，没有考虑多个维度的熵值特点；第二，只能针对处于网络层基于数据流的攻击，不能应用于攻击强度更高的应用层DDOS攻击检测；第三，没有考虑时间窗口大小对熵值累计和计算的影响。