CN109889531A - 一种Web服务器的DDos攻击检测方法 - Google Patents
一种Web服务器的DDos攻击检测方法 Download PDFInfo
- Publication number
- CN109889531A CN109889531A CN201910171972.XA CN201910171972A CN109889531A CN 109889531 A CN109889531 A CN 109889531A CN 201910171972 A CN201910171972 A CN 201910171972A CN 109889531 A CN109889531 A CN 109889531A
- Authority
- CN
- China
- Prior art keywords
- attack
- parameter
- owcd
- value
- tailed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种Web服务器的DDos攻击检测方法。包括以下步骤:将泛洪DDos攻击和RoQ攻击的参数输入到数据库中;参数值还包括重尾参数;对网络流量进行实时抓包采样;将OWCD时间序列的均值、方差、自相关系数和功率谱密度计算出来与数据库中的攻击参数比对后判断攻击类型,通过计算出采样数据的重尾参数判断出网络流量为突发性流量或者RoQ攻击;通过累积欧几里得公式计算出DDos攻击的强度。本发明通过采用OWCD时间序列判断和重尾特性判断对网络流量进复合检测,保证了检测结果的有效性,并且避免了误判;在web服务器遭受DDos攻击时能够计时检测出来,保证了web服务器的安全性,并通过累积欧几里得距离计算公式计算攻击强度;帮助工作人员快速评估攻击信息。
Description
技术领域
本发明属于计算机网络安全技术领域,特别是涉及一种Web服务器的 DDos攻击检测方法。
背景技术
Internet的攻击当中,DDoS攻击已经成为一种流行的破坏计算机或者网络资源可用性的攻击形式,它是Internet目前面临的最严峻的威胁之一。近年来,DDoS攻击的数量一直呈快速增长的趋势。译
DDoS攻击发起容易导致了DDoS攻击的广泛发生,根据报道,全球每周有12000起的DDoS攻击。国外很多著名网站都遭受过DDoS攻击,2000年2月7日,美国的Yahoo、Buy.corn、eBay、Amazon、新闻网站CNN等众多网站相继受到身份不明的黑客发起的DDoS攻击,系统瘫痪达几十个小时之久,造成了高达 12亿美元的经济损失。因此,如何有效地抵御DDoS攻击成为目前网络安全技术领域中一个重要的研究课题。译
目前关于DDoS攻击的抵御机制可以分为四个方面:预防、检测、攻击源追踪、响应。其中DDoS攻击的检测是关键的一个环节。
发明内容
本发明的目的在于提供一种Web服务器的DDos攻击检测方法,通过采用OWCD时间序列判断和重尾特性判断对网络流量进复合检测,保证了检测结果的有效性,并且避免了误判;在web服务器遭受DDos攻击时能够计时检测出来,保证了web服务器的安全性,并通过累积欧几里得距离计算公式计算攻击强度;帮助工作人员快速评估攻击信息。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种Web服务器的DDos攻击检测方法,包括如下步骤:
步骤一,参数设定
将泛洪DDos攻击和RoQ攻击的参数输入到数据库中;
其中,参数值包括OWCD(单边连接密度)时间序列的均值、方差、自相关系数和功率谱密度,参数值还包括重尾参数;
步骤二,OWCD时间序列判断
SS01、对网络流量进行实时抓包采样;其中,采样持续时间为10s,采样间隔0.1s,采用点为100个;
SS02、对网络流量的实时采样数据的OWCD时间序列进行计算后与数据库中的攻击参数进行比对;
OWCD时间序列的计算公式如下:
其中,Pn为n个有序IP包的集合;SK为Pn中的k个单边连接包的集合;
SS03、对OWCD时间序列进行计算;将OWCD时间序列的均值、方差、自相关系数和功率谱密度计算出来;其中,
均值的计算公式为:经过计算,正常流量的均值范围在 15-25之间,泛洪DDos攻击流量的均值范围则在60-100;RoQ攻击流量的均值范围则在30-100;
方差的计算公式为:经过计算,正常流量的均值范围在60-220之间,泛洪DDos攻击流量的均值则会变小趋于0;RoQ攻击流量的均值则会在1000以上;
在采样数据中,取自相关系数的前k个值;计算公式为:其中,正常流量的OWCD时间序列的自相关系数根据时间序列理论,自相关系数很快趋于0;泛洪DDos攻击流量的自相关系数同样很快趋于0;RoQ攻击的自相关系数则会不趋于0;
对OWCD时间序列的功率谱计算,对于离散随机序列,其功率谱密度函数是其自相关函数的离散傅里叶变换,计算公式为:
其中,γk为序列{Xt}的自相关函数,若序列{Xt}为不相关随机序列,其方差为σ2,则其功率谱密度是常数,且等于σ2;若出现泛洪DDos攻击功率谱密度同样为常数,且等于σ2;若出现RoQ攻击功率谱密度则不稳定,出现尖峰;
步骤三,重尾特性判断
根据步骤二中的对采样数据的OWCD时间序列计算数值与数据库中的参数值进行比对后,可以判断出网络流量为正常流量或者泛洪DDos攻击;
通过计算出采样数据的重尾参数与数据库中的参数值进行比对,判断出网络流量为突发性流量或者RoQ攻击;
其中,根据重尾分布定义,采样数据具有累积分布函数(cdf): F(x)=P[X≤x]和余累积分布函数(ccdf):F(x)则为重尾分布;
如果
其中c为正常数,a(x)~b(x)表示
其中,Pareto分布的概率密度函数(pdf)计算公式为:
p(x)=αkαx-α-1,0<k≤x;
它的cdf为:F(x)=P[X≤x]=1-(k/x)α,其中,正常数k便是随机变量最小的取值;
根据上式计算处重尾参数:α即为重尾参数;当重尾参数的值在0-2之间时网络流量大小符合重尾分布,则网络流量为重尾分布;
当重尾参数的值大于2时,网络流量的大小不符合重尾分布,网络流量的重尾特性遭到破坏,即web服务器遭到RoQ攻击;
步骤四,计算攻击强度
通过累积欧几里得公式计算出DDos攻击的强度;其中,设两个向量Xn和 Yn,Xn为OWCD时间序列的集合,Yn为建立双边连接的集合;
累积欧几里得距离计算公式为:计算出的结果即为攻击强度值Da
当Da值在600-900之间时则为轻度攻击,当Da值在900-1200之间时则为中度攻击;当Da值在1200-1800之间时则为重度攻击,当Da值在超过1800 时则为耗尽带宽。
本发明具有以下有益效果:
本发明通过采用OWCD时间序列判断和重尾特性判断对网络流量进复合检测,保证了检测结果的有效性,并且避免了误判;在web服务器遭受DDos攻击时能够计时检测出来,保证了web服务器的安全性,并通过累积欧几里得距离计算公式计算攻击强度;帮助工作人员快速评估攻击信息。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种Web服务器的DDos攻击检测方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种Web服务器的DDos攻击检测方法,包括如下步骤:
步骤一,参数设定
将泛洪DDos攻击和RoQ攻击的参数输入到数据库中;
其中,参数值包括OWCD(单边连接密度)时间序列的均值、方差、自相关系数和功率谱密度,参数值还包括重尾参数;
步骤二,OWCD时间序列判断
SS01、对网络流量进行实时抓包采样;其中,采样持续时间为10s,采样间隔0.1s,采用点为100个;
SS02、对网络流量的实时采样数据的OWCD时间序列进行计算后与数据库中的攻击参数进行比对;
OWCD时间序列的计算公式如下:
其中,Pn为n个有序IP包的集合;SK为Pn中的k个单边连接包的集合;
SS03、对OWCD时间序列进行计算;将OWCD时间序列的均值、方差、自相关系数和功率谱密度计算出来;其中,
均值的计算公式为:经过计算,正常流量的均值范围在 15-25之间,泛洪DDos攻击流量的均值范围则在60-100;RoQ攻击流量的均值范围则在30-100;
方差的计算公式为:经过计算,正常流量的均值范围在60-220之间,泛洪DDos攻击流量的均值则会变小趋于0;RoQ攻击流量的均值则会在1000以上;
在采样数据中,取自相关系数的前k个值;计算公式为:其中,正常流量的OWCD时间序列的自相关系数根据时间序列理论,自相关系数很快趋于0;泛洪DDos攻击流量的自相关系数同样很快趋于0;RoQ攻击的自相关系数则会不趋于0;
对OWCD时间序列的功率谱计算,对于离散随机序列,其功率谱密度函数是其自相关函数的离散傅里叶变换,计算公式为:
其中,γk为序列{Xt}的自相关函数,若序列{Xt}为不相关随机序列,其方差为σ2,则其功率谱密度是常数,且等于σ2;若出现泛洪DDos攻击功率谱密度同样为常数,且等于σ2;若出现RoQ攻击功率谱密度则不稳定,出现尖峰;
步骤三,重尾特性判断
根据步骤二中的对采样数据的OWCD时间序列计算数值与数据库中的参数值进行比对后,可以判断出网络流量为正常流量或者泛洪DDos攻击;
通过计算出采样数据的重尾参数与数据库中的参数值进行比对,判断出网络流量为突发性流量或者RoQ攻击;
其中,根据重尾分布定义,采样数据具有累积分布函数(cdf): F(x)=P[X≤x]和余累积分布函数(ccdf):F(x)则为重尾分布;
如果
其中c为正常数,a(x)~b(x)表示
其中,Pareto分布的概率密度函数(pdf)计算公式为:
p(x)=αkαx-α-1,0<k≤x;
它的cdf为:F(x)=P[X≤x]=1-(k/x)α,其中,正常数k便是随机变量最小的取值;
根据上式计算处重尾参数:α即为重尾参数;当重尾参数的值在0-2之间时网络流量大小符合重尾分布,则网络流量为重尾分布;
当重尾参数的值大于2时,网络流量的大小不符合重尾分布,网络流量的重尾特性遭到破坏,即web服务器遭到RoQ攻击;
步骤四,计算攻击强度
通过累积欧几里得公式计算出DDos攻击的强度;其中,设两个向量Xn和 Yn,Xn为OWCD时间序列的集合,Yn为建立双边连接的集合;
累积欧几里得距离计算公式为:计算出的结果即为攻击强度值Da
当Da值在600-900之间时则为轻度攻击,当Da值在900-1200之间时则为中度攻击;当Da值在1200-1800之间时则为重度攻击,当Da值在超过1800 时则为耗尽带宽。
值得注意的是,上述系统实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘或光盘等。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (1)
1.一种Web服务器的DDos攻击检测方法,其特征在于,包括如下步骤:
步骤一,参数设定
将泛洪DDos攻击和RoQ攻击的参数输入到数据库中;
其中,参数值包括OWCD(单边连接密度)时间序列的均值、方差、自相关系数和功率谱密度,参数值还包括重尾参数;
步骤二,OWCD时间序列判断
SS01、对网络流量进行实时抓包采样;其中,采样持续时间为10s,采样间隔0.1s,采用点为100个;
SS02、对网络流量的实时采样数据的OWCD时间序列进行计算后与数据库中的攻击参数进行比对;
OWCD时间序列的计算公式如下:
其中,Pn为n个有序IP包的集合;SK为Pn中的k个单边连接包的集合;
SS03、对OWCD时间序列进行计算;将OWCD时间序列的均值、方差、自相关系数和功率谱密度计算出来;其中,
均值的计算公式为:经过计算,正常流量的均值范围在15-25之间,泛洪DDos攻击流量的均值范围则在60-100;RoQ攻击流量的均值范围则在30-100;
方差的计算公式为:经过计算,正常流量的均值范围在60-220之间,泛洪DDos攻击流量的均值则会变小趋于0;RoQ攻击流量的均值则会在1000以上;
在采样数据中,取自相关系数的前k个值;计算公式为:其中,正常流量的OWCD时间序列的自相关系数根据时间序列理论,自相关系数很快趋于0;泛洪DDos攻击流量的自相关系数同样很快趋于0;RoQ攻击的自相关系数则会不趋于0;
对OWCD时间序列的功率谱计算,对于离散随机序列,其功率谱密度函数是其自相关函数的离散傅里叶变换,计算公式为:
其中,γk为序列{Xt}的自相关函数,若序列{Xt}为不相关随机序列,其方差为σ2,则其功率谱密度是常数,且等于σ2;若出现泛洪DDos攻击功率谱密度同样为常数,且等于σ2;若出现RoQ攻击功率谱密度则不稳定,出现尖峰;
步骤三,重尾特性判断
根据步骤二中的对采样数据的OWCD时间序列计算数值与数据库中的参数值进行比对后,可以判断出网络流量为正常流量或者泛洪DDos攻击;
通过计算出采样数据的重尾参数与数据库中的参数值进行比对,判断出网络流量为突发性流量或者RoQ攻击;
其中,根据重尾分布定义,采样数据具有累积分布函数(cdf):F(x)=P[X≤x]和余累积分布函数(ccdf):F(x)则为重尾分布;
如果
其中c为正常数,a(x)~b(x)表示
其中,Pareto分布的概率密度函数(pdf)计算公式为:
p(x)=αkαx-α-1,0<k≤x;
它的cdf为:F(x)=P[X≤x]=1-(k/x)α,其中,正常数k便是随机变量最小的取值;
根据上式计算处重尾参数:α即为重尾参数;当重尾参数的值在0-2之间时网络流量大小符合重尾分布,则网络流量为重尾分布;
当重尾参数的值大于2时,网络流量的大小不符合重尾分布,网络流量的重尾特性遭到破坏,即web服务器遭到RoQ攻击;
步骤四,计算攻击强度
通过累积欧几里得公式计算出DDos攻击的强度;其中,设两个向量Xn和Yn,Xn为OWCD时间序列的集合,Yn为建立双边连接的集合;
累积欧几里得距离计算公式为:计算出的结果即为攻击强度值Da
当Da值在600-900之间时则为轻度攻击,当Da值在900-1200之间时则为中度攻击;当Da值在1200-1800之间时则为重度攻击,当Da值在超过1800时则为耗尽带宽。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910171972.XA CN109889531A (zh) | 2019-03-07 | 2019-03-07 | 一种Web服务器的DDos攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910171972.XA CN109889531A (zh) | 2019-03-07 | 2019-03-07 | 一种Web服务器的DDos攻击检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109889531A true CN109889531A (zh) | 2019-06-14 |
Family
ID=66931208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910171972.XA Pending CN109889531A (zh) | 2019-03-07 | 2019-03-07 | 一种Web服务器的DDos攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109889531A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611684A (zh) * | 2019-09-27 | 2019-12-24 | 国网电力科学研究院有限公司 | 一种周期性Web访问行为的检测方法、系统及存储介质 |
| CN114363010A (zh) * | 2021-12-14 | 2022-04-15 | 杭州安恒信息技术股份有限公司 | 一种服务器的apt攻击检测方法、装置、系统及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125195A (zh) * | 2013-04-24 | 2014-10-29 | 中国民航大学 | 基于滤波器频域过滤LDDoS攻击流量的方法 |
| CN104469795A (zh) * | 2014-11-10 | 2015-03-25 | 上海交通大学 | 基于领域搜索的FARIMA模型Hurst参数估计方法 |
| CN106885572A (zh) * | 2015-12-15 | 2017-06-23 | 中国电信股份有限公司 | 利用时间序列预测的辅助定位方法和系统 |
| CN109167789A (zh) * | 2018-09-13 | 2019-01-08 | 上海海事大学 | 一种云环境LDoS攻击数据流检测方法及系统 |
-
2019
- 2019-03-07 CN CN201910171972.XA patent/CN109889531A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125195A (zh) * | 2013-04-24 | 2014-10-29 | 中国民航大学 | 基于滤波器频域过滤LDDoS攻击流量的方法 |
| CN104469795A (zh) * | 2014-11-10 | 2015-03-25 | 上海交通大学 | 基于领域搜索的FARIMA模型Hurst参数估计方法 |
| CN106885572A (zh) * | 2015-12-15 | 2017-06-23 | 中国电信股份有限公司 | 利用时间序列预测的辅助定位方法和系统 |
| CN109167789A (zh) * | 2018-09-13 | 2019-01-08 | 上海海事大学 | 一种云环境LDoS攻击数据流检测方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 杨海亮: "一种DDOS攻击复合式检测方法的研究", 《中国优秀硕士学位论文全文数据库信息科技辑(2009)》 * |
| 杨海亮等: "一种DDOS攻击复合式检测方法的研究", 《计算机技术与发展》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611684A (zh) * | 2019-09-27 | 2019-12-24 | 国网电力科学研究院有限公司 | 一种周期性Web访问行为的检测方法、系统及存储介质 |
| CN114363010A (zh) * | 2021-12-14 | 2022-04-15 | 杭州安恒信息技术股份有限公司 | 一种服务器的apt攻击检测方法、装置、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| David et al. | Efficient DDoS flood attack detection using dynamic thresholding on flow-based network traffic | |
| David et al. | DDoS attack detection using fast entropy approach on flow-based network traffic | |
| Xie et al. | Monitoring the application-layer DDoS attacks for popular websites | |
| Bhuyan et al. | An empirical evaluation of information metrics for low-rate and high-rate DDoS attack detection | |
| Behal et al. | Detection of DDoS attacks and flash events using information theory metrics–an empirical investigation | |
| Sayegh et al. | SCADA intrusion detection system based on temporal behavior of frequent patterns | |
| CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
| Ellens et al. | Flow-based detection of DNS tunnels | |
| Zhengbing et al. | A novel network intrusion detection system (nids) based on signatures search of data mining | |
| Tellenbach et al. | Beyond shannon: Characterizing internet traffic with generalized entropy metrics | |
| CN106096406B (zh) | 一种安全漏洞回溯分析方法及装置 | |
| Hamdi et al. | Detecting Denial-of-Service attacks using the wavelet transform | |
| Jamdagni et al. | Intrusion detection using GSAD model for HTTP traffic on web services | |
| CN109889531A (zh) | 一种Web服务器的DDos攻击检测方法 | |
| Zhi-Jun et al. | MSABMS-based approach of detecting LDoS attack | |
| Juvonen et al. | An efficient network log anomaly detection system using random projection dimensionality reduction | |
| David et al. | Detection of distributed denial of service attacks based on information theoretic approach in time series models | |
| Li et al. | DDoS attack detection algorithms based on entropy computing | |
| Ibrahim et al. | Entropy-based network traffic anomaly classification method resilient to deception | |
| Arifin et al. | Denial of service attacks detection on scada network iec 60870-5-104 using machine learning | |
| Wang et al. | DDoS attack detection algorithm based on the correlation of IP address analysis | |
| Zhou et al. | A Cooperative Detection of DDoS attacks based on CNN-BiLSTM in SDN | |
| Xie et al. | A dynamic anomaly detection model for web user behavior based on HsMM | |
| Choi et al. | Timeslot monitoring model for application layer DDoS attack detection | |
| Jeong et al. | Zero-day attack packet highlighting system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190614 |