CN103078856B - 一种基于访问标记的应用层DDoS攻击的检测过滤方法 - Google Patents

Abstract

本发明公开了一种基于访问标记的应用层DDoS攻击的检测过滤方法，方法包括，训练阶段对正常用户访问行为进行无策略标记；采用标记策略进行标记处理；采用特征提取策略提取检测特征，将访问用户表征为特征向量；获取正常用户的SVDD超球体保存到训练数据库；对进入服务器待检测用户的访问行为进行基于标记策略的标记；提取有效检测特征并将访问用户表示为特征向量形式；根据SVDD超球体，对特征向量进行检测分类并进行异常判决，当为异常用户时进行同步过滤。实施本发明的技术方案，具有以下有益效果：访问标记及异常特征的提取不局限于特定的服务器；检测同时便可实现对攻击用户的同步过滤，提高了服务器抵御应用层DDoS攻击的能力。

Description

一种基于访问标记的应用层DDoS攻击的检测过滤方法

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于访问标记的应用层DDoS攻击的检测过滤方法。

背景技术

伴随着互联网广泛应用于商业、政府、企业、娱乐等工作生活的各个方面，相应的网络安全显得越发重要。在众多的网络攻击中，分布式拒绝服务攻击，自1999年8月第一次发生以来，以其发起简单、破坏力强大的攻击特性，成为影响网络安全不可忽视的隐患因素。近年来，随着低层检测防御手段的不断完善，一种与高层服务相结合、利用正常的协议和服务器连接传输数据的应用层DDoS攻击应运而生。由于与正常请求仅在目的上不同，因此该种攻击可以轻易穿越针对传统DDoS攻击的低层检测防御系统，而处理一个高层应用请求的复杂度远高于一个低层分组，正是由于这种远高于传统DDoS攻击的隐蔽性和破坏性，针对应用层DDoS攻击的检测防御显得必要紧迫。

基于用户行为分析的检测方法是目前应用层DDoS攻击检测的主要研究方向。早期基于用户行为的检测方法主要包括Takeshi提出的基于用户浏览信息的检测方法，该方法依据用户浏览页面的顺序以及浏览时间和页面信息大小之间的关系达到检测HTTP洪泛攻击的目的。谢逸、余顺争提出的基于隐半马尔可夫模型(HsMM)的检测方法将HsMM模型引入攻击检测，在对用户访问行为进行HsMM建模的基础上，采用与大多数正常用户访问行为的偏离作为攻击的异常度测量，最终实现应用层DDoS攻击的有效检测。该方法最大的贡献是将用户的访问行为进行了抽象的数学建模，用状态空间的方法合理准确地描述了用户的访问行为轮廓。Ranjan等人根据Session参数将应用层DDoS攻击分为Requestflooding攻击、Asymmetric workload攻击和Repeated one-shot攻击，基于这三种攻击，提出了一种Session可疑度模型，依据Session可疑度大小进行请求转发，并在检测的基础上研究了不同转发调度策略对于应用层DDoS攻击的过滤效果。

分析上述检测方法，可以发现：1)应用层服务和协议的差异性，使得应用层DDoS攻击可以有多种不同的形式，而上述检测方法大多仅考虑了针对Web服务器攻击的检测，检测算法透明度不高、局限性较大，2)检测与过滤并没有很好地结合，尤其是两者的同步结合，因此即便达到了较高的检测效果，对攻击过滤的延迟同样使得服务器陷入攻击。

发明内容

本发明针对以上问题的提出，而研制一种基于访问标记的应用层DDoS攻击的检测过滤方法。

一种基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，包括训练阶段和检测阶段，其中，

训练阶段包括如下步骤：

1)对正常用户i访问行为进行无策略标记，对正常用户i的访问时间和访问页面不做任何处理，获得原始标记结果；

2)以原始标记为基础，设定访问标记统计时间段t_s，设定访问标记平均间隔时间t_d，采用标记策略对原始标记结果进行标记处理，获得处理标记结果；其中，

标记策略包括访问时间标记策略和访问页面标记策略，访问时间的标记策略为：若当前访问标记与前一标记的间隔时间t_d'与访问标记平均间隔时间t_d的关系为t'_d＜t_d时，则将当前用户的访问时间点标记为1，否则标记为0；访问页面的标记策略为：若用户请求的访问页面存在于当前服务器内，直接将当前用户的访问页面标记为当前访问页面，否则标记为2；

3)采用特征提取策略从已处理标记结果中提取检测特征，将访问用户表征为特征向量；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内正常用户i标记为1和0的总和，记为s_ic；

②统计访问标记统计时间段t_s内正常用户i连续标记为1的最大个数s_i1；

③统计访问标记统计时间段t_s内正常用户i连续标记为0的最大个数s_i0；

④统计访问标记统计时间段t_s内正常用户i标记为2的总和s_i2；

⑤计算访问标记统计时间段t_s内s_i2占s_ic的比例p_i2＝s_i2/s_ic；

将正常用户i表示为特征向量形式为：C_i＝<s_ic,s_i1,s_i0,p_i2>；

4)通过SVDD分类算法获取正常用户i的SVDD超球体，并将正常用户i的SVDD超球体保存到训练数据库；

检测阶段包括如下步骤：

5)访问标记模块对进入服务器的用户j的访问行为进行策略标记，标记策略同训练阶段；

6)特征向量提取模块根据特征提取策略，提取基于访问标记结果的有效检测特征，并将访问用户j表示为特征向量形式；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内用户j标记为1和0的总和，记为s_jc；

②统计访问标记统计时间段t_s内用户j连续标记为1的最大个数s_j1；

③统计访问标记统计时间段t_s内用户j连续标记为0的最大个数s_j0；

④统计访问标记统计时间段t_s内用户j标记为2的总和s_j2；

⑤计算访问标记统计时间段t_s内s_j2占s_jc的比例p_j2＝s_j2/s_jc；

将用户j表示为特征向量形式为：C_j＝＜s_jc,s_j1,s_j0,p_j2＞；

7)SVDD分类模块根据训练数据库中的SVDD超球体，对检测阶段的特征向量C_j进行检测分类；

8)SVDD分类模块根据判决函数 $f\left(C\right)=R^2-[K(C,C)-2\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{i}K(C_i,C)+\underset{i,j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(C_i,C_j)]$ 进行异常判决，f(C)的物理意义为用户C与球心C₀之间距离的平方与R²的差值，若f(C)>0，特征向量在超球体内，判定用户j为正常用户；若f(C)<0，特征向量在超球体外，判定用户j为异常用户；其中，l为样本数量，α_i为支持向量的Lagrange系数，R为超球体的半径，C为特征向量，K为核函数；

9)当判定用户j为异常用户时，攻击过滤模块对异常用户进行同步过滤。

本发明的步骤9)中同步过滤步骤如下：

A)当判定用户j为异常用户时，将异常用户记为C_jo，做进一步判定，当 $\sqrt{R^2-f\left(C_{\mathrm{jo}}\right)}\&GreaterEqual;(1+20\%)\&times;R$ 时，对于 $\sqrt{R^2-f\left(C_{\mathrm{jo}}\right)}\&GreaterEqual;(1+20\%)\&times;R$ 的异常用户C_jo直接过滤；

B)若过滤之后，服务器正常工作，则攻击过滤模块进入下一访问标记统计时间段t_s；

C)若过滤之后，服务器不能正常工作，则依从大到小的优先级进行剩余C_jo的攻击过滤，直到服务器能正常工作；其中，

为通过判决函数表示的异常用户C_jo距离球心C₀距离。

本发明选择高斯径向基函数作为核函数K，

实施本发明的技术方案，具有以下有益效果：1)访问标记及异常特征的提取不局限于特定的服务器，因而不仅可以检测针对Web服务器的应用层DDoS攻击，且对DNS、STMP、FTP等服务器的应用层DDoS攻击都有良好的检测性能；2)无需额外的过滤算法，在检测同时便可实现对攻击用户的同步过滤，提高了服务器抵御应用层DDoS攻击的能力。

附图说明

图1为本发明的基于访问标记的应用层DDoS攻击的检测过滤方法的一实施例的方法流程图；

图2为访问标记模块的示意图；

图3为特征向量提取模块的示意图；

图4为SVDD分类模块的示意图；

图5为攻击过滤模块的一实施例的示意图。

具体实施方式

本发明提供一种基于访问标记的应用层DDoS攻击的检测过滤方法，该方法实现了针对各类服务器的应用层DDoS攻击的透明检测及同步过滤，下面结合附图对本发明的技术方案进行详细说明。

图1为本发明的基于访问标记的应用层DDoS攻击的检测过滤方法的一实施例的方法流程图，如图所示。方法包括如下步骤：

训练数据库的建立步骤，即训练阶段步骤：

1)对正常用户i访问行为进行无策略标记，对正常用户i的访问时间和访问页面不做任何处理，获得原始标记结果；

2)设定访问标记统计时间段t_s，设定访问标记平均间隔时间t_d，采用标记策略对原始标记结果进行标记处理，获得处理标记结果；

3)采用特征提取策略从处理标记结果中提取检测特征，将正常访问用户i表征为特征向量；

4)通过SVDD分类算法获取正常用户的SVDD超球体，并将正常用户i的SVDD超球体保存到训练数据库。

检测阶段步骤：

5)访问标记模块对进入服务器的用户j的访问行为进行基于标记策略的访问标记；

6)特征向量提取模块根据训练阶段所采用的特征提取策略，提取基于访问标记结果的有效检测特征，并将访问用户j表示为特征向量形式；

7)SVDD分类模块根据训练数据库中的SVDD超球体，对检测阶段的特征向量进行检测分类；

8)SVDD分类模块根据判决函数 $f\left(c\right)=R^2-[K(c,c)-2\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{i}K(c_i,c)+\underset{i,j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(c_i,c_j)]$ 进行异常判决，若f(c)>0，特征向量在超球体内，判定用户i为正常用户；若f(c)<0，特征向量在超球体外，判定用户j为异常用户；

9)当判定用户j为异常用户时，攻击过滤模块对异常用户进行同步过滤。

训练数据库中存储正常用户i的SVDD超球体。检测阶段，获取进入服务器的用户j的特征向量。然后，利用训练数据库中存储正常用户i的SVDD超球体将进入服务器的用户j(待检测用户)的特征向量进行判定，若特征向量在SVDD超球体内，则进入服务器的用户j为正常用户，若特征向量不在SVDD超球体内，则进入服务器的用户j为异常用户。

图2为访问标记模块的示意图，如图所示。在训练阶段步骤和检测阶段步骤中，以时间t为坐标轴标记，以访问标记统计时间段t_s为时间段，标记每一个从访问标记统计时间段t_s到下一访问标记统计时间段t_s内进入服务器的用户发起的新访问请求的时间点及请求页面。标记策略包括访问时间标记策略和访问页面标记策略，访问时间的标记策略为：若当前访问标记与前一标记的间隔时间t_d'与访问标记平均间隔时间t_d的关系为t'_d＜t_d时，则将当前用户的访问时间点标记为1，否则标记为0；访问页面的标记策略为：若用户请求的访问页面存在于当前服务器内，直接当前用户的访问页面标记为当前访问页面，否则标记为2。

图3为特征向量提取模块的示意图，如图所示。在训练阶段，采用特征提取策略从处理标记结果中提取检测特征，将访问用户表征为特征向量；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内正常用户i标记为1和0的总和，记为s_ic；

②统计访问标记统计时间段t_s内正常用户i连续标记为1的最大个数s_i1；

③统计访问标记统计时间段t_s内正常用户i连续标记为0的最大个数s_i0；

④统计访问标记统计时间段t_s内正常用户i标记为2的总和s_i2；

⑤计算访问标记统计时间段t_s内s_i2占s_ic的比例p_i2＝s_i2/s_ic；

将正常用户i表示为特征向量形式为：C_i＝<s_ic,s_i1,s_i0,p_i2>。

检测阶段采用与训练阶段同样的特征提取策略、特征向量的表征形式(图3中未示出)。在检测阶段，特征向量提取模块根据特征提取策略，提取基于访问标记结果的有效检测特征，并将访问用户j表示为特征向量形式。

特征提取策略包括：

①统计访问标记统计时间段t_s内用户j标记为1和0的总和，记为s_jc；

②统计访问标记统计时间段t_s内用户j连续标记为1的最大个数s_j1；

③统计访问标记统计时间段t_s内用户j连续标记为0的最大个数s_j0；

④统计访问标记统计时间段t_s内用户j标记为2的总和s_j2；

⑤计算访问标记统计时间段t_s内s_j2占s_jc的比例p_j2＝s_j2/s_jc；

将用户j表示为特征向量形式为：C_j＝<s_jc,s_j1,s_j0,p_j2>。

对当前访问标记统计时间段t_s内用户j的时间标记结果提取s_jc、s_j1、s_j0三个特征属性，其中s_jc为时间标记为1和0的总和，反映用户在当前访问标记统计时间段t_s时间内发起的总访问次数，s_j1为连续标记为1的最大个数，s_j0为连续标记为0的最大个数，两者都反映用户的浏览时间情况。与发生应用层DDoS攻击时相比，正常访问情况下的s_jc、s_j1取值偏小，s_j0的取值偏大。

对当前访问标记统计时间段t_s内用户j的页面标记结果提取特征属性p_j2，其为页面标记为2的总和，反映用户在t_s时间内发起的伪造URL请求的次数，该特征特别适用于检测针对Web服务器的Forged-URL Flood攻击。

针对不同服务器的应用层DDoS攻击，可以根据攻击的特点及检测的需要提取有效的检测特征。提取出的检测特征应当满足：1)可综合反映用户访问服务器时的时间及空间分布，2)发生攻击时，特征值有较明显的变化。

图4为SVDD分类模块的示意图，如图所示。SVDD分类模块根据训练数据库中的SVDD超球体，对检测阶段的特征向量进行检测分类。

SVDD分类模块根据判决函数 $f\left(C\right)=R^2-[K(C,C)-2\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{i}K(C_i,C)+\underset{i,j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(C_i,C_j)]$ 进行异常判决，f(C)的物理意义为用户C与球心C₀之间距离的平方与R²的差值。若f(C)>0，特征向量在超球体内，判定用户为正常用户，记为C_ji；若f(C)<0，特征向量在超球体外，判定用户为异常用户，记为C_jo。

本发明提出的基于访问标记的应用层DDoS攻击的检测过滤方法可用于针对各类服务器的攻击检测，考虑到获得各类攻击样本的纯净度及工作量，本发明采用基于SVDD的分类方法，即支持向量描述分类算法。训练样本集合中只需正常类别的目标数据，称为正类，将正类样本集{C_i,i＝1,2,…,l}，C_i∈R^d通过核函数映射Φ做非线性映射，在高维空间中寻找一个包含尽可能多样本的最小超球体作为决策边界，该超球体以球心为C₀，半径为R。SVDD问题转化为求解优化问题：

$\min R^2+\frac{1}{\mathrm{vl}}\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&xi;}}_i---\left(1\right)$

约束条件为：||Φ(C_i)-C₀||²-R²≤ξ_i，ξ_i≥0,i＝1,2,…,l。其中ξ_i为松弛变量，控制超球体的体积和样本中被拒于球外的样本点数量，当正常样本在超球体内时，ξ_i＝0，当正常样本在超球体之外时，ξ_i>0，ξ_i的大小反应了正常样本距超球面的远近。1/vl为惩罚因子，其中v∈[0,1]，l为样本的数量。相应于最优超球体的分类判决函数为：

f(C)＝sgn(R²-||Φ(C)-α||²)    (2)

为求解原问题，引入Lagrange乘子，同时引入核函数K(C_i,C_j)＝Φ(C_i)·Φ(C_j)，转化其为优化问题的对偶形式：

$W\left(\mathrm{\&alpha;}\right)=\underset{i,j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(C_i,C_j)-\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{i}K(C_i,C_i)---\left(3\right)$

约束条件为：解上述对偶问题，不为0的少量的α_i值所对应的样本为支持向量，超球体的中心可由式(4)求出：

$C_0=\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i\mathrm{\&Phi;}\left(C_i\right)---\left(4\right)$

半径R可由任一支持向量代入式(5)求得：

$R^2-(K(C_i,C_j)-2\underset{j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{j}K(C_i,C_j)+{\mathrm{\&alpha;}}^2)=0---\left(5\right)$

判决函数的最终形式为：

$f\left(C\right)=R^2-[K(C,C)-2\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{i}K(C_i,C)+\underset{i,j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(C_i,C_j)]---\left(6\right)$

当f(C)>0时判定为正常访问用户，当f(C)<0时判定为攻击用户。

公式中，l为样本数量，α_i为支持向量的Lagrange系数，R为超球体的半径，C为特征向量，K为核函数。

SVDD的训练目的是为了找到最优数量的支持向量，因此需要进行惩罚因子1/vl的设定及核函数的选择，其中v值越小，包含在超球体内的样本数越多，当v值增大时，被拒于超球体外的样本数增多。

可以选择任意核函数作为上述公式中的核函数K，作为本发明的优选技术方案，选择高斯径向基函数(RBF)作为核函数K。

高斯径向基函数(RBF)，其定义如下：

$k(x_1,x_2)=\exp [-\frac{{\left|\right|x_1-x_2\left|\right|}^2}{{2\mathrm{\&sigma;}}^2}]---\left(7\right)$

RBF核函数可以将非线性样本映射到无限高维空间，可以处理任意分布的样本，且仅有一个参数σ，是应用最为广泛的核函数，其中参数σ决定了SVDD分界面的复杂程度。σ减小时，支持向量的数量增加，分界面更加贴近训练样本，当σ足够小时，SVDD仅包含训练样本，描述精度达到最高，但推广能力最弱，所以σ应在描述精度与推广能力权衡的基础上进行设置。

图5为攻击过滤模块的一实施例的示意图，如图所示。为使过滤与检测同步，且保证正常用户以几乎零误报率实现访问，作为本发明的优选技术方案，依据SVDD分类模块中的判决函数f(C)实现攻击过滤时，设定过滤条件如下：对于的C_jo，直接过滤，若过滤之后，服务器能正常工作，则攻击过滤模块进入下一t_s，否则依从大到小的优先级进行剩余C_jo的攻击过滤，直到服务器能正常工作，其中为通过判决函数表示的异常用户C_jo距离球心C₀距离。该过滤方法既实现了对攻击用户的同步过滤，又最大限度地保证了正常用户的合法访问，实现了即时过滤与最优误报率之间的良好平衡。

实施本发明的技术方案，具有如下效果：

1、通过访问标记方法来描述用户的访问行为，该方法适用于用户对各类服务器访问行为的描述，大大提高了算法的透明度，扩大了算法的检测范围。

2、给出了访问标记方法及具体的标记策略，其中对于不同的服务器，标记策略略有不同。以Web服务器为例，对每一进入服务器的用户i，以时间为坐标轴，标记其发起HTTP Get请求的时间点及请求页面。时间标记采用策略：若当前标记点与前一标记点的标记间隔t′_d＞t_d，则标记为1，否则标记为0；页面标记采用策略：若用户请求访问的页面存在于当前服务器内，直接标记为当前访问页面，否则一律标记为2。对于DNS服务器，标记其域名解析请求，时间标记策略同HTTP Get请求，修改页面标记策略为：若用户请求解析的域名不存在于当前DNS服务器缓存区且经过递归查询后无应答，则标记该请求为2，其余请求不做页面标记。

3、有效检测特征的提取完全建立在访问标记的基础上，针对不同的应用层DDoS攻击，通过访问时间及访问页面的标记，采用合理的特征提取策略提取出各类攻击的有效检测特征。

4、采用了基于SVDD的分类方法实现正常用户与攻击用户的检测分类，由于本算法支持多类应用层DDoS攻击的异常检测，故提取不同攻击数据存在工作量大、数据不充分等难题，而SVDD仅需正常用户数据，很好地解决了这一问题，从一定程度了增强了算法的透明度。

5、在分类的同时，无需额外的计算开销，通过SVDD判决函数便可实现对攻击用户的同步过滤，实现了即时过滤与最优误报率之间的良好平衡。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (3)

1.一种基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，包括训练阶段和检测阶段，其中，

训练阶段包括如下步骤：

1)对正常用户i访问行为进行无策略标记，对正常用户i的访问时间和访问页面不做任何处理，获得原始标记结果；

2)以原始标记为基础，设定访问标记统计时间段t_s，设定访问标记平均间隔时间t_d，采用标记策略对原始标记结果进行标记处理，获得处理标记结果；其中，

标记策略包括访问时间标记策略和访问页面标记策略，访问时间的标记策略为：若当前访问标记与前一标记的间隔时间t_d'与访问标记平均间隔时间t_d的关系为t'_d＜t_d时，则将当前用户的访问时间点标记为1，否则标记为0；访问页面的标记策略为：若用户请求的访问页面存在于当前服务器内，直接将当前用户的访问页面标记为当前访问页面，否则标记为2；

3)采用特征提取策略从已处理标记结果中提取检测特征，将访问用户表征为特征向量；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内正常用户i标记为1和0的总和，记为s_ic；

②统计访问标记统计时间段t_s内正常用户i连续标记为1的最大个数s_i1；

③统计访问标记统计时间段t_s内正常用户i连续标记为0的最大个数s_i0；

④统计访问标记统计时间段t_s内正常用户i标记为2的总和s_i2；

⑤计算访问标记统计时间段t_s内s_i2占s_ic的比例p_i2＝s_i2/s_ic；

将正常用户i表示为特征向量形式为：C_i＝＜s_ic,s_i1,s_i0,p_i2＞；

4)通过SVDD分类算法获取正常用户i的SVDD超球体，并将正常用户i的SVDD超球体保存到训练数据库；

检测阶段包括如下步骤：

5)访问标记模块对进入服务器的用户j的访问行为进行策略标记，标记策略同训练阶段；

6)特征向量提取模块根据特征提取策略，提取基于访问标记结果的有效检测特征，并将访问用户j表示为特征向量形式；其中，

特征提取策略包括：

①统计访问标记统计时间段t_s内用户j标记为1和0的总和，记为s_jc；

②统计访问标记统计时间段t_s内用户j连续标记为1的最大个数s_j1；

③统计访问标记统计时间段t_s内用户j连续标记为0的最大个数s_j0；

④统计访问标记统计时间段t_s内用户j标记为2的总和s_j2；

⑤计算访问标记统计时间段t_s内s_j2占s_jc的比例p_j2＝s_j2/s_jc；

将用户j表示为特征向量形式为：C_j＝＜s_jc,s_j1,s_j0,p_j2＞；

7)SVDD分类模块根据训练数据库中的SVDD超球体，对检测阶段的特征向量C_j进行检测分类；

8)SVDD分类模块根据判决函数 $f\left(C\right)=R^2-[K(C,C)-2\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_{i}K(C_i,C)+\underset{i,j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(C_i,C_j)]$ 进行异常判决，f(C)的物理意义为用户C与球心C₀之间距离的平方与R²的差值，若f(C)>0，特征向量在超球体内，判定用户j为正常用户；若f(C)<0，特征向量在超球体外，判定用户j为异常用户；其中，l为样本数量，α_i为支持向量的Lagrange系数，R为超球体的半径，C为特征向量，K为核函数；

9)当判定用户j为异常用户时，攻击过滤模块对异常用户进行同步过滤。

2.根据权利要求1所述的基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，步骤9)中同步过滤步骤如下：

A)当判定用户j为异常用户时，将异常用户记为C_jo，做进一步判定，当 $\sqrt{R^2-f\left(C_{\mathrm{jo}}\right)}\&GreaterEqual;(1+20\%)\&times;R$ 时，对于 $\sqrt{R^2-f\left(C_{\mathrm{jo}}\right)}\&GreaterEqual;(1+20\%)\&times;R$ 的异常用户C_jo直接过滤；

B)若过滤之后，服务器正常工作，则攻击过滤模块进入下一访问标记统计时间段t_s；

C)若过滤之后，服务器不能正常工作，则依从大到小的优先级进行剩余C_jo的攻击过滤，直到服务器能正常工作；其中，

为通过判决函数表示的异常用户C_jo距离球心C₀距离。

3.根据权利要求1或2所述的基于访问标记的应用层DDoS攻击的检测过滤方法，其特征在于，选择高斯径向基函数作为核函数K， $K(x_1,x_2)=\exp [-\frac{{\left|\right|x_1-x_2\left|\right|}^2}{2{\mathrm{\&sigma;}}^2}].$