CN110602109A - 一种基于多特征熵的应用层DDoS攻击检测与防御方法 - Google Patents
一种基于多特征熵的应用层DDoS攻击检测与防御方法 Download PDFInfo
- Publication number
- CN110602109A CN110602109A CN201910879739.7A CN201910879739A CN110602109A CN 110602109 A CN110602109 A CN 110602109A CN 201910879739 A CN201910879739 A CN 201910879739A CN 110602109 A CN110602109 A CN 110602109A
- Authority
- CN
- China
- Prior art keywords
- feature
- module
- entropy
- time
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于多特征熵的应用层DDoS攻击检测与防御方法,包括应用层连接特征预处理模块、基于斜度计算的多时间窗资源监控模块、多特征熵调和平均计算决策模块;应用层连接特征预处理模块统计URI资源并设定资源消耗表,将日志中的连接请求进行多特征分解及预处理,生成连接特征日志;基于斜度计算的多时间窗资源监控模块实时监控多个时间窗口内服务器总连接和总负荷量变化;多特征熵调和平均计算决策模块计算多特征熵调和平均向量范数,通过比较初始阈值判决是否存在应用层DDoS攻击。本发明的有益效果在于:可针对不同规模的网络服务器,对服务器提供实时的负荷监控和异常连接检测,保证服务器能有效实时检测到在应用层DDoS攻击。
Description
技术领域
本发明涉及计算机网络通信领域以及网络安全领域,特别是涉及一种基于多特征熵的应用层DDoS攻击检测与防御方法。
背景技术
网络流量数据由无数离散信息源组成,熵可以有效度量系统参数分布的变化情况,描述长时间的随机过程以及网络流量在某些维度上的分布状况,国内外的很多研究人员利用熵值理论提出了多种异常检测的方案。基于熵的异常检测系统的主要思想是:一旦有异常发生,总体流量的熵值会随之发生变化,通过熵值的变化检测出该异常。分布式拒绝服务攻击(DDoS),一直是互联网业务提供者——Web服务器所面临的最为严重的威胁之一。传统基于网络层或传输层的DDoS攻击方式已经被日益成熟的网络防护技术(防火墙、入侵检测技术等)很好地检测,同时计算模式的变化使得更多的服务通过Web进行交互,这加速了DDoS攻击方式向应用层发展。发生在应用层的DDoS攻击通常采用真实IP地址作为攻击节点,利用应用层协议的漏洞,向目标服务器发送大量基于HTTP合法协议的攻击请求,可轻松穿越网络防护系统,这无疑使它成为当前Web服务器急需解决的安全问题。然而目前大部分的研究成果是对网络层或传输层DDoS攻击进行检测,而应用层DDoS攻击在网络层表现为正常的连接,依靠网络层流量数据分析的检测方法已经不适用于应用层DDoS的攻击检测。为了响应国家关于网络安全的号召并适应我国互联网的发展现状,设计一种基于多特征熵的应用层DDoS攻击检测方法,应用于中小企业的服务器以高效检测出应用层DDoS攻击。
专利申请201310018798.8一种针对网站的应用层DDoS攻击检测方法和防御系统,该发明通过对用户访问行为进行分析,提出了基于用户点击序列预测的检测方法与防御系统。首先提取网站的页面URL,利用聚类算法进行聚类,得到该网站的页面分类Vj和用户点击序列;然后利用用户点击序列构建随机游走图,通过随机游走过程计算用户下一观测周期点击序列;最后计算预测序列与点击序列的序列相似度,通过训练阈值来判断用户点击序列的异常性。本发明能有效检测应用层DDoS攻击,特别是模拟正常用户行为的攻击请求,可广泛应用于数据中心网站服务器安全防御。但是该发明存在以下缺陷:第一,构建随即游走图所依赖的用户数据量需要足够大,不具备良好的移植性;第二,攻击者可以在单个IP源仿照用户的点击模式进行访问请求,相似度阈值确定难度大,且不具备动态扩展性。
专利申请201410484936.X一种基于信息熵的DDoS攻击检测方法,该发明公开了一种基于信息熵的DDoS攻击检测方法,其实现过程为:高速网络流量的获取;异常流量的判断,即本时刻是否有异常流量的发生;被攻击主机的确认,主要是通过源IP地址、目的IP地址方式;攻击流量的识别。该发明可以有效的判别异常流量发生时刻,从而在目标主机或者网络资源耗尽之前做出相应的处理。但是该发明存在以下缺陷:第一,没有考虑多个维度的熵值特点;第二,只能针对处于网络层基于数据流的攻击,不能应用于攻击强度更高的应用层DDOS攻击检测;第三,没有考虑时间窗口大小对熵值累计和计算的影响。
专利申请201510652229.X一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法,该方法克服了现有技术中入侵检测准确率仍需提高的问题。该发明包括:步骤1.基于时间窗的流量预警;步骤2.异常流量特征处理;步骤3.基于规则匹配的快速攻击检测;步骤4.未知类型攻击的挖掘与检测;步骤5.基于IP列表的攻击过滤。与现有技术相比,该发明通过轻量级入侵检测技术结合特征选择,基本解决了原有基于分类检测的DoS/DDoS攻击检测方法实时性差的问题;通过结合在线增量学习和特征选择,解决了未匹配预建攻击模式的未知类型攻击检测问题。但是该发明存在以下缺陷:第一,固定依赖于正常模式下的分类模型,在实时处理上不必做过多运算,但系统灵活性较差;第二,只基于流量特点进行分类,未能全面考虑其他的特征;第三,更新规则匹配模式时存在不易操作问题。
专利申请201510014419.7基于信息熵的DDoS攻击分布式检测与响应系统及方法,该系统包括:控制器,所述控制器与若干交换机连接,每个交换机均与若干主机连接,所述交换机也与其他交换机连接,所述控制器用于网络拓扑管理,制定数据转发策略,下发至交换机;所述交换机用于数据转发;所述交换机包括边界交换机和/或非边界交换机;所述边界交换机运行攻击检测算法和攻击响应算法,实现攻击检测与攻击响应;所述主机为用户电脑,对应某IP地址,由边界交换机对主机的数据进行转发。该发明具有检测速度快、检测准确率高、攻击响应迅速、资源负担小的优点。但是该发明存在以下缺点:第一,依赖于特定的硬件实现,不具备普适性;第二,只考虑了单个IP地址维度的熵,未能综合其他特征进行分析;第三,只适用于网络层DDoS攻击,对攻击性更加隐蔽的应用层DDoS攻击不能有效检测。
专利申请201510809564.4一种基于熵的SDN控制器DDoS攻击检测装置和方法,该装置包括:分别与配置信息管理模块相连的网络数据包采集模块、数据包信息统计模块和熵值计算模块;具体利用上述模块之间的交互,实现了对SDN控制器DDoS攻击的有效检测。基于熵理论,从流经SDN控制器的网络流量中准确发现DDoS攻击的早期信号,从而减少对于SDN控制器DDoS攻击的响应时间,减轻DDoS攻击对于SDN控制器带来的影响。但是该发明存在以下缺陷:第一,针对网络数据包的分析只能作用于网络层DDoS攻击,对应用层DDoS无法有效防御;第二,熵计算模型中使用的熵维度较少,过分依赖某个特征。
专利申请201710166434.2一种基于多维Renyi交叉熵的DDoS攻击检测系统,该系统通过流表分析模块收集网络中用户的各种流量特征信息并对其进行汇总,并以固定时间将其发送给攻击检测模块,攻击检测模块通过接收的流表分析模块送来的流量特征,根据Renyi交叉熵依次计算对应特征属性的Renyi交叉熵,以判断当前时间窗口中的流量信息是否有异常,若发现该流量窗口内网络遭受到了攻击,则将相应信息发送给攻击溯源模块;攻击检测溯源模块根据攻击检测模块提供的信息寻找出所有攻击源;攻击缓解模块根据攻击溯源模块发送的信息以及它对整个多层云的清晰了解,制定相应的攻击缓解策略,并将该策略发送给中云和小云。但是该发明存在以下缺陷:第一,针对数据流的分析只能作用于网络层DDoS攻击,对攻击性较隐蔽的应用层DDoS无法有效防御;第二,熵计算模型中使用的熵维度较少,只考虑到流量特征,误判突发流为攻击可能性较高。
专利申请201711319256.9一种高准确率的DDoS攻击检测方法,该发明包括数据包截取模块对接入的网络数据包信息进行解析;数据包特征统计模块对解析出的网络数据包信息进行统计;统计数据处理模块计算出单位时间内各类型数据包占数据包总数的比例分布;数据分析模块根据存储的所计算出的历史数据,计算网络数据的报警阈值;数据分析模块判断当前单位时间内的网络数据值是否超过对应网络数据的报警阈值,如果超过则将其提交到攻击分析模块;攻击分析模块根据接收到的网络数据值生成检测报告。与现有技术相比,该发明综合网络传输的历史数据,对当前的网络数据进行深入分析,可识别各种DDoS攻击。但是该发明存在以下缺陷:第一,无法有效区别突发流和应用层DdoS攻击流,易对突发流产生误判;第二,警报阈值不具备动态调整功能,不能根据服务器流量变化动态更新,扩展性较低。
专利申请201810746512.0一种软件定义网络中DDoS攻击检测与防御方法与系统,该系统包括:收集packet_in数据包;提取窗口中数据包的源IP、源端口、目的IP、目的端口和协议类型五元特征,计算五元特征熵值;判断窗口源IP熵值是否超过阈值,若是,判定为可疑流量,否则,过滤该窗口流量;采用机器学习判别可疑流量是否存在攻击,若是,判定为攻击流量,否则,过滤该可疑流量;将攻击流量中IP熵值最大的交换机端口标志为可疑端口,被重复检测为可疑端口判定为攻击端口;防御规则下发至攻击端口所在交换机,从转发层面过滤攻击流量。该发明结合五元特征熵值和机器学习算法检测DDoS攻击,定位并及时采取防御措施,从转发层面过滤大量恶意流量,保护控制器和交换机。但是该系统存在以下缺陷:第一,针对数据包的分析只能作用于网络层DDoS攻击,对攻击性较隐蔽的应用层DDOS无法有效防御;第二,依赖于特定交换机硬件,普适性较低。
专利申请201810006015.7一种应用层DDoS攻击检测方法及装置,该方法包括:从访问数据中提取访问特征信息;获取各个评价因素对应评语集的隶属函数;根据所述访问特征信息对应的评价因素,确定所述访问特征值对应的隶属函数;根据所述隶属函数,计算所述访问特征信息对于各个评语集的隶属度;根据所述隶属度确定所述访问数据对应的访问请求是否为DDoS攻击。该技术方案有效提高了检测的正确率和效率,降低了误判率和漏判率,进一步提高了服务器的安全性。但是该发明存在以下缺陷:第一,依赖于特定的由评价因素产生的评语集,兼容性较差;第二,总体采用细粒度的单个连接分析方式,当应用层DDoS攻击产生时,系统的实时性较差。
会议文集《2012全国物联网与信息安全学术年会》2013.8期论文“基于信息熵的应用层DDoS攻击检测方法”,该论文根据攻击者发起攻击时选取URL的不同方式,将应用层DDoS攻击分为了四类,对每一类攻击的URL请求率进行了分析并与正常情况下的URL请求率作对比,把请求的URL作为离散随机变量,定义了URL请求熵,在此基础上提出了一种基于信息熵的应用层DDoS攻击检测方法,模拟实验表明,对已知的几类DDoS应用层攻击,该方法都可以及时检测到攻击的发生。但是该论文存在以下缺陷:第一,仅考虑了攻击请求中的URL特征,不能完整反映应用层DDoS攻击的特点;第二,没有考虑区别突发流与应用层DDOS攻击,易造成误判;第三,针对高服务器负荷的固定类别资源应用层DDoS攻击无法做到有效防御。
期刊《计算机应用》2013.08期论文“基于时间序列分析的应用层DDoS攻击检测”,该论文根据正常用户和攻击者在访问行为上的差异,提出一种基于IP请求熵(SRE)时间序列分析的应用层分布式拒绝服务(DDoS)攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归(AAR)模型,获得描述当前用户访问行为特征的多维参数向量,并使用支持向量机(SVM)对数向量进行分类来识别攻击。仿真实验表明,该方法能够准确区分正常流量和DDoS攻击流量,适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。但是该论文存在以下缺陷:第一,只考虑IP维度的熵,未能反映应用层DDoS攻击的特点,难以保证对应用层DDoS攻击的高效检测;第二,依赖预训练的自适应回归模型,灵活性较差。
期刊《空军工程大学学报(自然科学版)》2013.03期论文“基于多维信息熵值的DDoS攻击检测方法”,该论文针对互联网中日益严重的分布式拒绝服务攻击行为提出了一种基于多维信息熵值的DDoS攻击检测方法。首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测。通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS-DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中。但是该论文存在以下缺陷:第一,未能检测到服务器的载荷变化,仅仅依赖于多个维度熵进行决策不能反映应用层DdoS攻击的高资源消耗性特点;第二,无参数CUSUM算法受所选择的时间窗影响较大,对突发流过于灵敏,易造成误判。
期刊《计算机应用研究》2016.04期论文“基于流量和IP熵特性的DDoS攻击检测方法”,论文针对现有DDoS(distributed deny of service)攻击检测率低、误报率较高等问题进行了深入研究。根据DDoS攻击发生时网络中的流量特性和IP熵特性,建立了相应的流量隶属函数和IP熵隶属函数,隶属函数的上下限参数通过对真实网络环境仿真得到。提出了基于流量和IP熵特性的DDoS攻击检测算法,先判断流量是否异常,再判断熵是否异常,进而判断是否发生了DDoS攻击。由仿真结果可以看出,单独依靠流量或IP熵都不能很好地检测出DDoS攻击。该算法将流量和IP熵特性综合考虑,准确地检测出了DDoS攻击,降低了误报率,提高了检测率。但是该论文所涉及的系统有以下缺陷:第一,隶属函数依赖于对真实环境大量数据分析得到,隶属函数构建实时更新操作性不强,灵活性较差;第二,所选流量与源IP特征,不能对隐蔽性较强、攻击性更高的应用层DDoS攻击做出检测。
期刊《计算机应用》2017.01期论文“基于Web行为轨迹的应用层DDoS攻击防御模型”,该论文定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型,把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常。采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS。实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制。实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击。但是该论文所涉及的系统有以下缺陷:第一,不能有效细化Web行为轨迹的粒度;第二,无法有效区分突发流和攻击流量;第三,对用户过去访问行为数据过于依赖,不具备良好的扩展性。
期刊《网络信息安全学报》2018.02期论文“基于偏二叉树SVM多分类算法的应用层DDoS检测方法”,该论文提出一种综合检测多类型应用层DDoS攻击的方法,首先通过Hash函数及开放定址防碰撞方法,对多周期内不同源IP地址建立索引,进而实现HTTP GET数的快速统计功能,以支持对刻画数据规模、流量趋势及源IP地址分布差异所需特征参数的实时计算;然后采用偏二叉树结构组合SVM分类器分层训练特征参数,并结合遍历与反馈学习的方法,提出基于偏二叉树SVM多分类算法的应用层DDoS检测方法,快速区分出非突发正常流量、突发正常流量及多类型App DDoS流量。实验表明,所提算法通过划分检测类型、逐层训练检测模型,与传统基于SVM、NavieBayes的检测方法相比,具有更高的检测率与更低的误检率,且能有效区分出具体攻击类型。但是该论文所涉及的系统有以下缺陷:第一,模型过于依赖过去数据,不具备良好的扩展性;第二,本方法主要依靠流量特征对连接请求进行分类,而对资源消耗型应用层DDoS攻击不具备可靠的检测功能。
发明内容
针对以上适用于网络层DDoS攻击的检测方法对隐蔽性更强、攻击性更高的应用层DDoS检测不适用问题,采用熵值模型检测中维度单一问题,检测中为考虑区别突发流与异常流问题,及应用层攻击检测方法中未考虑资源消耗问题,本发明基于自主设计的多特征熵模型,构建一种应用层DDOS攻击检测方法,该方法可针对不同规模的网络服务器,对服务器提供实时的负荷监控和异常连接检测,保证服务器能有效实时检测到在应用层DDOS攻击。
为了达到以上目的,本发明提供如下技术方案:
本发明方法包括应用层连接特征预处理模块、基于斜度计算的多时间窗资源监控模块、多特征熵调和平均计算决策模块;其中,应用层连接特征预处理模块负责通过自主设计的周期性负荷索引统计算法周期统计URI资源以设定资源消耗表,并从日志中提取连接请求条目,将连接请求进行多特征分解及特征预处理,生成连接特征日志;基于斜度计算的多时间窗资源监控模块通过改进的三维CUSUM算法以实时监控服务器连接请求在多个时间窗口的总连接和总资源量变化;多特征熵调和平均计算决策模块对连接进行多特征熵计算预处理,并通过所设计的多特征熵调和平均数算法决策是否存在应用层DDoS攻击。
作为本发明的进一步改进,所述的应用层连接多特征提取存储模块包括模块周期性资源消耗表模块和日志连接请求特征提取模块,负责监听解析移动端、Web端应用程序等发送的服务连接请求特征;
所述的周期性资源消耗表模块通过周期性负荷索引统计算法对服务器各个URI对应的图片、视频、音频资源大小进行索引计算,使用n个线程下载测试计算服务器内存、CPU消耗分别为Mn、Cn,计算平均单个线程下载资源时带来的服务器负荷作为本URI下载资源所产生的潜在服务器负荷值其中表示第i种媒体资源,Mni表示第i种媒体资源下载产生的内存负荷,Cni表示第i种媒体资源下载产生的CPU负荷,a、b为在正常状态下设定的标准化参数,并将各个媒体资源下载对应的存入服务器资源消耗数据库,同时对动态页面中如用户信息获取的非缓存数据数据库操作采用如上方法得到单线程服务器负荷消耗Li,i=1,2,3…,其中i表示对第i种非缓存数据的数据库操作,并且在服务器中注册事件以实时记录服务器上可下载媒体资源和非缓存数据的更新情况,周期性的将所增加的媒体资源和非缓存数据进行负荷消耗测试并添加到资源消耗表中,同时释放已删除的媒体资源和非缓存数据对应的数据库记录;所述的日志连接请求特征提取模块,通过实时并行的从系统日志中通过正则表达式解析处出第i个连接的对应的源IP作为特征sipi、所访问的URL作为特征urli、当前会话持续时间为特征所访问页面持续时间为特征并将当前处理HTTP连接对应的以上4种特征作为连接特征日志以JSON格式进行存储,同时从HTTP头信息中提取出访问的非缓存数据资源或是下载媒体资源,得到本次HTTP请求产生的服务器潜在负荷大小li并存入连接特征日志,而后转发至基于滑动时间窗斜度计算的资源监控模块。
作为本发明的进一步改进,所述的基于斜度计算的多时间窗资源监控模块包括多时间窗请求负荷统计模块、多特征斜度阈值更新模块和多特征斜度值计算判断模块,负责在多个连续时间段内统计包括下载资源产生负荷、连接非缓存数据操作产生的负荷大小,计算多个连续时间窗中的各个特征的负荷斜度值,通过计算对比各特征负荷斜度值与正常状态下可动态更新的多特征斜度阈值,初步判断是否存在应用层DDoS攻击;
所述的多时间窗请求负荷统计模块,接收日志连接请求特征提取模块发送的连接特征日志数据,以T1=t1-t0作为初始时间窗,其中t1、t0为自由选取的时间点,以θt为时间偏移间隔滑动时间窗口得到T2,T3,T4...Td共d(考虑到运算效率和实时性,d一般不大于10)个时间相等的时间窗口,其中第m个时间窗Tm=T1+(m-1)θt,在每个时间窗口内从连接特征日志中按JSON格式键值对方式提取sipm、urlm及3个特征,计算每个源IP所连接的URL平均个数其中h为源IP种数,i为第i种源IP,m为第m个时间窗,每个URL所有的请求源数量均值其中k为URL种数,j为第j种URL,m为第m个时间窗,将d个时间窗特征数据作为一个3*d二维数组Rm存储,即其中m表示第m个时间窗,将此二维特征数组Rm传递给多特征斜度值计算判断模块;多特征斜度阈值更新模块通过根据正常状态下连接请求数据,设定3个特征的初始阈值并在系统运行中根据调和平均多特征熵计算决策模块的最终决策反馈结果来动态更新多特征阈值,并将阈值结果实时提供给模块;所述多特征斜度值计算判断模块接收多时间窗资源连接请求统计模块所传递的多时间窗特征数组Rm,以多个正常状态下多时间窗sip、url和Ls特征数据对于的均值及为基准,使分别表示第n个时间窗口中请求连接资源变化量的度量,其中分别设定初始μsip、μurl、μsl为保证Jsip、Jurl、Jsl在历史正常状态下为负数的最小值,本设计所改进的三维无参数CUSUM算法表达式定义为其中i表示第i个窗口,j表示第j个特征量,0<i≤d,1≤j≤3,以表征相邻时间窗口内统计数据的连续变化特性,并将时间窗个数对变化因子的影响弱化以降低系统对短时间突发流的误判率,将三维递归计算结果值分别作为单源IP资源访问的聚合斜度、单URL请求源的聚合斜度、服务器负荷斜度,当三维斜度均高于动态阈值(设定初始值),初步判断存在应用层DDoS攻击,并通知运行多特征熵计算预处理模块,否则仅将特征数组Rm作为日志存储。
作为本发明的进一步改进,所述的多特征熵调和平均计算决策模块包括滑动窗口多特征熵计算预处理模块和调和平均多特征熵计算决策模块,负责通过服务器负荷斜度变化异常所初步判断存在应用层DDoS攻击的基础上进一步通过多特征熵值决策当前是否存在攻击发生,通过对连接特征日志进一步处理而为熵值计算做准备,结合自主设计的多时间窗熵值调和平均算法以减小非异常瞬态连接访问对决策结果的影响;
所述的滑动窗口多特征熵计算预处理模块以多时间窗资源连接请求统计模块选定的t0为时间参考点,选定t0+Δt时间点滑动窗口开始时间,共n个时间窗口,窗口大小与多时间窗资源请求统计模块模块一致,在第v个时间窗口内通过连接特征日志中的特征信息计算得到3组条件特征熵,如下:
其中,Hv1表示在第v个时间窗内的所有连接在某个URL条件下不同IP源的熵的均值,Hv2表示在第v个时间窗内在某个IP源的条件下访问资源熵的均值,Hv3表示在第v个时间窗内在某个资源请求条件下会话持续时间熵的均值;所述调和平均多特征熵计算决策模块设定正常状态下3种特征熵的最值Hpmax=max(Hp)、Hpmax=min(Hp),p=1,2,3,作为多特征熵决策基准向量,以及正常状态下相邻时间窗的残差平均特征向量范数v0,通过计算n个时间窗内的3组条件特征熵的均值并检测是否在区间[Hp min,Hp max],i=1,2,3内,若存在区间外的情况则进一步进行多特征熵调和平均处理,各特征从n组熵值做调和平均计算得到n-1组调和平均值,对n-1组调和平均值进行计算相邻时间窗的残差平均得到其中n表示时间窗口数,y表示第y个特征,得到三维特征向量Ve={R1,R2,R3},通过计算三维特征向量的二阶范数若||Ve||2>v0则表明存在应用层DDoS攻击,反之通知多特征斜度阈值更新模块更新斜度阈值。
有益效果
与现有技术相比,本发明的有益效果在于:本发明基于自主设计的服务器连接请求负荷斜度算法和自主设计的多特征熵调和平均算法,提供了一种面向网络服务器的应用层DDoS攻击检测方法;本发明可作为单独模块运行在服务器上,独立于服务器的正常业务,同时实时监测应用层连接请求对服务器内存资源、CPU资源的消耗情况,根据动态阈值进行初步决策,并在此基础之上通过对连接特征在多窗口时间内进行多特征熵值调和平均处理而做最终决策,从而在有效检测应用层DDoS攻击的同时有效降低了对突发流的误判率;本发明的功能完整、实用便携,其可操作性强,具有良好的效用性和稳定性。
附图说明
图1是本发明的整体框图。
图2是本发明的整体原理结构图。
图3是本发明的应用层连接特征预处理模块图。
图4是负荷索引统计工作流程图。
图5是本发明的基于斜度计算的多时间窗资源监控模块图。
图6是多特征斜度预处理流程图。
图7是本发明的多特征熵调和平均计算决策模块图。
具体实施方式:
下面结合附图与具体实施方式对本发明作进一步详细描述:
本发明基于自主设计的服务器连接请求负荷斜度算法和自主设计的多特征熵调和平均算法,提供了一种面向网络服务器的应用层DDoS攻击检测方法,本发明可作为单独模块运行在服务器上,作为独立于服务器的正常业务,同时实时监测应用层连接请求对服务器内存资源、CPU资源的消耗情况,根据动态阈值进行初步决策是否存在应用层DDoS攻击,并在此基础之上通过对连接特征在多窗口时间内进行多特征熵值调和平均处理而做出最终决策,从而在有效检测应用层DDoS攻击的同时能够降低对突发流的误判率。
如图1所示为本发明的整体框图,包括应用层连接特征预处理模块1、基于斜度计算的多时间窗资源监控模块2、多特征熵调和平均计算决策模块3三个模块,本发明作为模块运行于服务端,适用于各种提供各种服务的网络服务器;应用层连接特征预处理模块1通过自主设计的正则解析算法对服务端的系统日志进行实时解析处理和特征提取存储,并根据自主设计的周期性负荷索引统计算法对服务器所提供的不同服务资源的访问请求所产生的潜在负荷进行周期性统计更新存储;基于斜度计算的多时间窗资源监控模块2负责从应用层连接特征预处理模块1所更新存储的数据中提取提取多个连续时间窗中的多种特征数据,通过基于自主设计的服务器连接请求负荷斜度算法对服务器负荷进行实时监控,并通过与动态阈值的比较得到初步决策结果。多特征熵调和平均计算决策模块3在基于斜度计算的多时间窗资源监控模块2的初步决策基础上,通过自主改进的三维CUSUM算法对应用层连接特征预处理模块1所产生的连接特征日志作进一步的处理得到多个特征,并通过与多特征2阶范数阈值比较来最终决策是否存在应用层DDoS攻击,若判断当前没有攻击则将基于斜度计算的多时间窗资源监控模块2的斜度阈值在初始阈值的基础上进行动态更新。
如图2所示为本发明的整体原理结构图,本发明主要包括三大部分:应用层连接特征预处理模块1、基于斜度计算的多时间窗资源监控模块2和多特征熵调和平均计算决策模块3;所述的应用层连接特征预处理模块1包括模块周期性资源消耗表模块1-1和日志连接请求特征提取模块1-2;所述的基于斜度计算的多时间窗资源监控模块2包括多时间窗请求负荷统计模块2-1、多特征斜度阈值更新模块2-2、多特征斜度值计算判断模块2-3;所述的多特征熵调和平均计算决策模块3包括滑动窗口多特征熵计算预处理模块3-1、调和平均多特征熵计算决策模块3-2。
应用层连接特征预处理模块1如图3所示,负责监听移动端、Web端等应用程序客户端发送的服务连接请求,解析所产生的服务器潜在负荷,并根据负荷变化初步判断是否存在应用层DDoS攻击。所述的应用层连接特征预处理模块1包括模块周期性资源消耗表模块1-1、日志连接请求特征提取模块1-2。所述的周期性资源消耗表模块1-1根据自主设计的周期性负荷索引统计算法,计算服务器各个URI对应的图片、视频、音频资源大小,通过使用n个线程下载测试计算服务器内存Mn、CPU消耗Cn,计算平均单个线程下载资源时带来的服务器负荷作为本URI下载资源所产生的潜在服务器负荷值其中表示第i种媒体资源,Mni表示第i种媒体资源下载产生的内存负荷,Cni表示第i种媒体资源下载产生的CPU负荷,a、b为在正常状态下设定的标准化参数,并将各个媒体资源下载对应的存入服务器资源消耗数据库,同时对动态页面中非缓存数据的数据库,采用同样方法得到单线程服务器负荷消耗Li,i=1,2,3…,其中i指第i种非缓存数据的数据库操作,并且在服务器中注册事件以实时记录服务器中可下载媒体资源和非缓存数据的更新情况,周期性地将所增加的媒体资源和非缓存数据进行负荷消耗测试,添加到资源消耗表中,同时释放已删除的媒体资源和非缓存数据对应的数据库记录,负荷索引统计的工作流程如图4所示;所述的日志连接请求特征提取模块1-2,通过正则表达式实时并行地从系统日志中解析出第i个连接所对应的源IP作为特征sipi、所访问的URL作为特征urli、当前会话持续时间为特征所访问页面持续时间为特征并将当前处理HTTP连接所对应的以上4种特征作为连接特征日志,以JSON格式进行存储,同时从HTTP头信息中提取出访问的非缓存数据资源或是下载媒体资源,得到本次HTTP请求产生的服务器潜在负荷大小li,存入连接特征日志,而后转发该日志至多时间窗请求负荷统计模块2-1。
基于斜度计算的多时间窗资源监控模块2如图5所示,所述的基于斜度计算的多时间窗资源监控模块2负责在多个连续时间段内统计下载资源产生负荷、连接非缓存数据操作所产生的负荷,计算多个连续时间窗中各个特征的负荷斜度值,通过计算对比各特征负荷斜度值与正常状态下可动态更新的多特征斜度阈值,初步判断是否存在应用层DDoS攻击。
所述的基于斜度计算的多时间窗资源监控模块2包括多时间窗请求负荷统计模块2-1、多特征斜度阈值更新模块2-2、多特征斜度值计算判断模块2-3。所述的多时间窗请求负荷统计模块2-1,接收日志连接请求特征提取模块1-2发送的连接特征日志数据,以T1=t1-t0作为初始时间窗,以θt为时间偏移间隔滑动时间窗口得到T2,T3,T4…Td共d(考虑到运算效率和实时性,d一般不大于10)个时间相等的时间窗口,其中第m个时间窗Tm=T1+(m-1)θt,在每个时间窗口内从连接特征日志中按JSON格式键值对方式提取sipm、urlm及3个特征,计算每个源IP所连接的URL平均个数其中h为源IP种数,i为第i种源IP,m为第m个时间窗,每个URL所有的请求源数量均值其中k为URL种数,j为第j种URL,m为第m个时间窗,将d个时间窗特征数据作为一个3*d二维特征数组Rm存储,即其中m表示第m个时间窗,将此二维特征数组Rm传递给多特征斜度值计算判断模块2-3;所述的多特征斜度阈值更新模块2-2根据正常状态下连接请求数据,设定3个特征的初始阈值并在系统运行中根据调和平均多特征熵计算决策模块3-2的最终决策反馈结果,动态更新多特征阈值,并将阈值结果实时提供给多特征斜度值计算判断模块2-3;所述的多特征斜度值计算判断模块2-3接收多时间窗请求负荷统计模块2-1所发送的多时间窗特征数组Rm,以多个正常状态下多时间窗sip、url和Ls特征数据的均值及为基准,使 分别表示第n个时间窗口中请求连接资源变化量的度量,其中分别设定初始μsip、μurl、μsl为保证Jsip、Jurl、Jsl在历史正常状态下为负数的最小值,本发明所改进的三维无参数CUSUM算法表达式定义为其中i表示第i个窗口,j表示第j个特征量,0<i≤d,1≤j≤3,以表征相邻时间窗口内统计数据的连续变化特性,并将时间窗个数对变化因子的影响弱化以降低系统对短时间突发流的误判率,将三维递归计算结果值分别作为单源IP资源访问的聚合斜度、单URL请求源的聚合斜度、服务器负荷斜度,当三维斜度均高于动态阈值(设定初始值),初步判断存在应用层DDoS攻击,并通知运行滑动窗口多特征熵计算预处理模块3-1,否则仅将特征数组Rm作为日志存储。
多特征熵调和平均计算决策模块3如图7所示,所述的多特征熵调和平均计算决策模块3包括滑动窗口多特征熵计算预处理模块3-1和调和平均多特征熵计算决策模块3-2,在服务器负荷斜度变化异常,初步判断存在应用层DDoS攻击的基础上,讲一步通过多特征熵值决策当前是否存在攻击发生,通过对连接特征日志进一步处理,结合熵值计算做准备,结合自主设计的多时间窗熵值调和平均算法,减小非异常瞬态连接访问对决策结果的影响。所述的滑动窗口多特征熵计算预处理模块3-1以模块2-1选定的t0为时间参考点,选定t0+Δt间点滑动窗口开始时间,共n个时间窗口,窗口大小与模块2-1一致,在第v个时间窗口内通过连接特征日志中的特征信息计算得到3组条件特征熵
其中Hv1表示在第v个时间窗内的所有连接在某个URL条件下不同IP源的熵均值,Hv2表示在第v个时间窗内在某个IP源的条件下访问资源熵的均值,Hv3表示表示在第v个时间窗内在某个资源请求条件下会话持续时间熵的均值;所述调和平均多特征熵计算决策模块3-2设定正常状态下3种特征熵的最大值Hp max=max(Hp)、Hp max=min(Hp),p=1,2,3,作为多特征熵决策基准向量,以及正常状态下相邻时间窗的残差平均特征向量范数v0,通过计算n个时间窗内的3组条件特征熵的均值并检测是否在区间[Hp min,Hp max],i=1,2,3内,若存在区间外的情况则进一步进行多特征熵调和平均处理,各特征从n组熵值做调和平均计算得到n-1组调和平均值,对n-1组调和平均值进行相邻时间窗的残差平均得到其中n表示时间窗口数,y表示第y个特征,得到三维特征向量Ve={R1,R2,R3},通过计算三维特征向量的二阶范数若||Ve||2>v0则表明存在应用层DDoS攻击,反之通知多特征斜度阈值更新模块2-2更新斜度阈值。
Claims (4)
1.一种基于多特征熵的应用层DDoS攻击检测与防御方法,其特征在于:包括应用层连接特征预处理模块(1),基于斜度计算的多时间窗资源监控模块(2),多特征熵调和平均计算决策模块(3)三个模块;其中,应用层连接特征预处理模块(1)通过负荷索引统计算法,索引统计对服务器资源访问请求时的负荷大小,计算下载资源和访问非缓存数据的潜在服务器负荷值,并将服务器负荷值进行存储,同时实时地从系统日志中提取解析出每个连接的源IP、所访问的URL、会话持续时间、所访问页面持续时间、所产生的服务器潜在负荷5个特征信息;基于斜度计算的多时间窗资源监控模块(2)负责从连接特征日志中,提取多个连续时间窗中的URL特征数据,包括每种URL被请求的连接数量、每种IP源发起请求的连接数量、以及所有URL中下载资源和非缓存数据请求产生的服务器负荷量,分别计算以上三种特征在连续多时间窗中的变化斜度,并通过多特征斜度算法初步判断是否存在应用层DDoS攻击;多特征熵调和平均计算决策模块(3)采用三维CUSUM算法,将基于斜度计算的多时间窗资源监控模块(2)中最初时间窗起点的一个偏移时间点,作为起始时间点,取得多个连续时间窗口,在各时间窗口内从特征日志中获取各个IP源的会话持续时间、网页打开保持时间、单个URL对于的源IP、源IP对应的URL数量4个特征数据,通过多特征熵值调和平均算法进行处理,最终决策是否发生应用层DDoS攻击。
2.根据权利要求1所述的一种基于多特征熵的应用层DDoS攻击检测与防御方法,其特征在于:所述的应用层连接特征预处理模块(1)包括模块周期性资源消耗表模块(1-1)和日志连接请求特征提取模块(1-2),负责监听移动端、Web端等应用程序客户端发送的服务连接请求,解析所产生的潜在服务器负荷,并根据负荷变化初步判断是否存在应用层DDoS攻击;
所述的周期性资源消耗表模块(1-1)根据周期性负荷索引统计算法,计算服务器各个URI对应的图片、视频、音频资源大小,通过使用n个线程下载测试计算服务器内存Mn、CPU消耗Cn,计算平均单个线程下载资源时带来的服务器负荷作为本URI下载资源所产生的潜在服务器负荷值其中表示第i种媒体资源,Mni表示第i种媒体资源下载产生的内存负荷,Cni表示第i种媒体资源下载产生的CPU负荷,a、b为在正常状态下设定的标准化参数,并将各个媒体资源下载对应的存入服务器资源消耗数据库,同时对动态页面中非缓存数据的数据库,采用同样方法得到单线程服务器负荷消耗Li,i=1,2,3…,其中i指第i种非缓存数据的数据库操作,并且在服务器中注册事件以实时记录服务器中可下载媒体资源和非缓存数据的更新情况,周期性地将所增加的媒体资源和非缓存数据进行负荷消耗测试,添加到资源消耗表中,同时释放已删除的媒体资源和非缓存数据对应的数据库记录;
所述的日志连接请求特征提取模块(1-2),通过正则表达式实时并行地从系统日志中解析出第i个连接所对应的源IP作为特征sipi、所访问的URL作为特征urli、当前会话持续时间为特征所访问页面持续时间为特征并将当前处理HTTP连接所对应的以上4种特征作为连接特征日志,以JSON格式进行存储,同时从HTTP头信息中提取出访问的非缓存数据资源或是下载媒体资源,得到本次HTTP请求产生的服务器潜在负荷大小li,存入连接特征日志,而后转发该日志至多时间窗请求负荷统计模块(2-1)。
3.根据权利要求1所述的一种基于多特征熵的应用层DDoS攻击检测与防御方法,其特征在于:所述的基于斜度计算的多时间窗资源监控模块(2)包括多时间窗请求负荷统计模块(2-1)、多特征斜度阈值更新模块(2-2)和多特征斜度值计算判断模块(2-3),负责在多个连续时间段内统计下载资源产生负荷、连接非缓存数据操作所产生的负荷,计算多个连续时间窗中各个特征的负荷斜度值,通过计算对比各特征负荷斜度值与正常状态下可动态更新的多特征斜度阈值,初步判断是否存在应用层DDoS攻击;
所述的多时间窗请求负荷统计模块(2-1),接收日志连接请求特征提取模块(1-2)发送的连接特征日志数据,以T1=t1-t0作为初始时间窗,以θt为时间偏移间隔滑动时间窗口得到T2,T3,T4...Td共d(考虑到运算效率和实时性,d一般不大于10)个时间相等的时间窗口,其中第m个时间窗Tm=T1+(m-1)θt,在每个时间窗口内从连接特征日志中按JSON格式键值对方式提取sipm、urlm及3个特征,计算每个源IP所连接的URL平均个数其中h为源IP种数,i为第i种源IP,m为第m个时间窗,每个URL所有的请求源数量均值其中k为URL种数,j为第j种URL,m为第m个时间窗,将d个时间窗特征数据作为一个3*d二维特征数组Rm存储,即其中m表示第m个时间窗,将此二维特征数组Rm传递给多特征斜度值计算判断模块(2-3);
所述的多特征斜度阈值更新模块(2-2)根据正常状态下连接请求数据,设定3个特征的初始阈值并在系统运行中根据调和平均多特征熵计算决策模块(3-2)的最终决策反馈结果,动态更新多特征阈值,并将阈值结果实时提供给多特征斜度值计算判断模块(2-3);
所述的多特征斜度值计算判断模块(2-3)接收多时间窗请求负荷统计模块(2-1)所发送的多时间窗特征数组Rm,以多个正常状态下多时间窗sip、url和Ls特征数据的均值 及为基准,使分别表示第n个时间窗口中请求连接资源变化量的度量,其中分别设定初始μsip、μurl、μsl为保证Jsip、Jurl、Jsl在历史正常状态下为负数的最小值,本发明所改进的三维无参数CUSUM算法表达式定义为其中i表示第i个窗口,j表示第j个特征量,0<i≤d,1≤j≤3,f0 j=0,以表征相邻时间窗口内统计数据的连续变化特性,并将时间窗个数对变化因子的影响弱化以降低系统对短时间突发流的误判率,将三维递归计算结果值分别作为单源IP资源访问的聚合斜度、单URL请求源的聚合斜度、服务器负荷斜度,当三维斜度均高于动态阈值(设定初始值),初步判断存在应用层DDoS攻击,并通知运行滑动窗口多特征熵计算预处理模块(3-1),否则仅将特征数组Rm作为日志存储。
4.根据权利要求1所述的一种基于多特征熵的应用层DDoS攻击检测与防御方法,其特征在于:所述的多特征熵调和平均计算决策模块(3)包括滑动窗口多特征熵计算预处理模块(3-1)和调和平均多特征熵计算决策模块(3-2),在服务器负荷斜度变化异常,初步判断存在应用层DDoS攻击的基础上,进一步通过多特征熵值决策当前是否存在攻击发生,通过对连接特征日志进一步处理,结合多时间窗熵值调和平均算法,减小非异常瞬态连接访问对决策结果的影响;
所述的滑动窗口多特征熵计算预处理模块(3-1)以多时间窗请求负荷统计模块(2-1)选定的t0为时间参考点,选定t0+Δt时间点为滑动窗口开始时间,共n个时间窗口,窗口大小与多时间窗请求负荷统计模块(2-1)所选窗口大小一致,在日志连接请求特征提取模块(1-2)所生成的连接特征日志中提取第v个时间窗口内的特征信息,计算得到三组条件特征熵
其中Hv1表示在第v个时间窗内的所有连接在某个URL条件下不同IP源的熵均值,Hv2表示在第v个时间窗内在某个IP源的条件下访问资源熵的均值,Hv3表示表示在第v个时间窗内在某个资源请求条件下会话持续时间熵的均值;所述调和平均多特征熵计算决策模块(3-2)设定正常状态下3种特征熵的最大值Hpmax=max(Hp)、Hpmax=min(Hp),p=1,2,3,作为多特征熵决策基准向量,以及正常状态下相邻时间窗的残差平均特征向量范数v0,通过计算n个时间窗内的3组条件特征熵的均值并检测是否在区间[Hpmin,Hpmax],i=1,2,3内,若存在区间外的情况则进一步进行多特征熵调和平均处理,各特征从n组熵值做调和平均计算得到n-1组调和平均值,对n-1组调和平均值进行相邻时间窗的残差平均得到其中n表示时间窗口数,y表示第y个特征,得到三维特征向量Ve={R1,R2,R3},通过计算三维特征向量的二阶范数若||Ve||2>v0则表明存在应用层DDoS攻击,反之通知多特征斜度阈值更新模块(2-2)更新斜度阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910879739.7A CN110602109A (zh) | 2019-09-17 | 2019-09-17 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910879739.7A CN110602109A (zh) | 2019-09-17 | 2019-09-17 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110602109A true CN110602109A (zh) | 2019-12-20 |
Family
ID=68860416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910879739.7A Pending CN110602109A (zh) | 2019-09-17 | 2019-09-17 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602109A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112653658A (zh) * | 2020-09-02 | 2021-04-13 | 浙江德迅网络安全技术有限公司 | 一种SDN环境下基于信息熵的DDoS攻击检测方法 |
CN113630389A (zh) * | 2021-07-22 | 2021-11-09 | 北京明略软件系统有限公司 | 用户异常行为识别方法、系统、电子设备及存储介质 |
CN113709173A (zh) * | 2021-09-02 | 2021-11-26 | 南方电网数字电网研究院有限公司 | 针对电力系统网络服务进行外部无干扰监测的方法 |
CN114389830A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击检测方法、装置、设备和可读存储介质 |
CN115022055A (zh) * | 2022-06-09 | 2022-09-06 | 武汉思普崚技术有限公司 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
US20170180415A1 (en) * | 2015-12-21 | 2017-06-22 | Fortinet, Inc. | TWO-STAGE HASH BASED LOGIC FOR APPLICATION LAYER DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK ATTRIBUTION |
CN108965347A (zh) * | 2018-10-10 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法、装置及服务器 |
-
2019
- 2019-09-17 CN CN201910879739.7A patent/CN110602109A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170180415A1 (en) * | 2015-12-21 | 2017-06-22 | Fortinet, Inc. | TWO-STAGE HASH BASED LOGIC FOR APPLICATION LAYER DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK ATTRIBUTION |
CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
CN108965347A (zh) * | 2018-10-10 | 2018-12-07 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法、装置及服务器 |
Non-Patent Citations (1)
Title |
---|
王风宇、曹首峰等: "《一种基于Web群体外联行为的应用层DDoS检测方法》", 《软件学报》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112653658A (zh) * | 2020-09-02 | 2021-04-13 | 浙江德迅网络安全技术有限公司 | 一种SDN环境下基于信息熵的DDoS攻击检测方法 |
CN114389830A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击检测方法、装置、设备和可读存储介质 |
CN113630389A (zh) * | 2021-07-22 | 2021-11-09 | 北京明略软件系统有限公司 | 用户异常行为识别方法、系统、电子设备及存储介质 |
CN113630389B (zh) * | 2021-07-22 | 2024-04-12 | 北京明略软件系统有限公司 | 用户异常行为识别方法、系统、电子设备及存储介质 |
CN113709173A (zh) * | 2021-09-02 | 2021-11-26 | 南方电网数字电网研究院有限公司 | 针对电力系统网络服务进行外部无干扰监测的方法 |
CN113709173B (zh) * | 2021-09-02 | 2023-02-10 | 南方电网数字电网研究院有限公司 | 针对电力系统网络服务进行外部无干扰监测的方法 |
CN115022055A (zh) * | 2022-06-09 | 2022-09-06 | 武汉思普崚技术有限公司 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
CN115022055B (zh) * | 2022-06-09 | 2024-04-19 | 武汉思普崚技术有限公司 | 一种基于动态时间窗口的网络攻击实时检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10721249B2 (en) | Method for web application layer attack detection and defense based on behavior characteristic matching and analysis | |
CN110149343B (zh) | 一种基于流的异常通联行为检测方法和系统 | |
CN110602109A (zh) | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 | |
CN108494746B (zh) | 一种网络端口流量异常检测方法及系统 | |
CN107241352B (zh) | 一种网络安全事件分类与预测方法及系统 | |
US11316878B2 (en) | System and method for malware detection | |
US9386028B2 (en) | System and method for malware detection using multidimensional feature clustering | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
Hsu et al. | A deep reinforcement learning approach for anomaly network intrusion detection system | |
CN111049680B (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
Stiawan et al. | Characterizing network intrusion prevention system | |
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
Aleroud et al. | Toward zero-day attack identification using linear data transformation techniques | |
Radivilova et al. | The complex method of intrusion detection based on anomaly detection and misuse detection | |
Zhang et al. | Novel DDoS Feature Representation Model Combining Deep Belief Network and Canonical Correlation Analysis. | |
CN113709176A (zh) | 基于安全云平台的威胁检测与响应方法及系统 | |
Wang et al. | DDOFM: Dynamic malicious domain detection method based on feature mining | |
Kumar et al. | Detection and analysis of ddos attack at application layer using naive bayes classifier | |
KR102177998B1 (ko) | 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치 | |
Abdullah et al. | TiSEFE: Time series evolving fuzzy engine for network traffic classification | |
CN116633685A (zh) | 基于IPv6发展态势监测的分析方法 | |
Raja Sree et al. | HAP: detection of HTTP flooding attacks in cloud using diffusion map and affinity propagation clustering | |
CN112104628B (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
Hwoij et al. | Detecting Network Anomalies using Rule-based machine learning within SNMP-MIB dataset |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |