CN112042166B

CN112042166B - 用于过滤以连接模块为目标的攻击流的方法和装置

Info

Publication number: CN112042166B
Application number: CN201980028736.0A
Authority: CN
Inventors: E·佩罗
Original assignee: Renault SAS; Nissan Motor Co Ltd
Current assignee: Renault SAS; Nissan Motor Co Ltd
Priority date: 2018-04-17
Filing date: 2019-04-04
Publication date: 2023-07-14
Anticipated expiration: 2039-04-04
Also published as: KR102643547B1; FR3080203B1; WO2019201609A1; JP7339276B2; EP3782345B1; CN112042166A; KR20210018802A; EP3782345A1; US20210168119A1; JP2021522566A; FR3080203A1

Abstract

本发明涉及一种用于过滤以接收多个传入连接流的连接模块(5)为目标的攻击流的方法，该方法包括以下步骤：‑确定多个聚合体，每个聚合体通过组合在预定义的时间段期间的多个传入连接流来产生；‑确定多个第一测量向量，这些第一测量向量各自与所述聚合体之一相关联，并且包括与之相关联的聚合体的第一特征参数的值；‑将该多个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中；‑确定通过组合在另一个时间段期间的多个传入连接流而产生的另一个聚合体；‑确定与该另一个聚合体相关联的另一个第一测量向量；‑将该另一个第一测量向量投影到至少一个子空间上；‑根据该另一个第一测量向量的投影的结果和该多个第一测量向量的投影的结果来确定异常得分，并且然后，如果该异常得分包括在有关攻击流的存在的怀疑区中，则：‑确定多个第二测量向量，该多个第二测量向量各自与所述聚合体之一相关联；‑确定与该另一个聚合体相关联的另一个第二测量向量；并且‑通过分析该另一个第二测量向量来检测攻击是否存在。

Description

用于过滤以连接模块为目标的攻击流的方法和装置

技术领域

本发明总体上涉及保护连接模块免遭拒绝服务攻击。

更具体地，本发明涉及一种用于过滤以接收多个连接流入的连接模块为目标的攻击流的方法。

本发明还涉及一种用于过滤这种攻击流的装置。

背景技术

拒绝服务攻击(DoS攻击)和分布式拒绝服务攻击(DDoS攻击)是目的为使受攻击站点的服务不可用的网络攻击。在这些攻击破坏了受攻击站点的数据的背景下，该目的不成问题。

这些攻击能够以任何服务器链接的连接模块为目标，尤其是以任何互联网服务器链接的连接模块为目标。

机动车辆的连接模块通常连接到制造商的专用网络。然而，为了改善尤其是驾驶员辅助系统，或者为了在所提供的多媒体产品中提出更广泛的选择范围，可以设想将机动车辆的连接模块连接到公共互联网网络。在这种情况下，连接模块将暴露于各种攻击，尤其是暴露于分布式拒绝服务攻击。

已知一种用于检测以连接模块、即诸如服务器或路由器等一件网络设备为目标的潜在攻击的机器学习方法。该已知方法是针对接收无限数量的传入连接和传出连接的多件重要网络设备而开发的。此方法的目的在于将传入的互联网流(或IP流，IP是互联网协议的首字母缩写)分类为合法流和攻击流。

为此，该方法基于在多个子空间中表征传入流的参数图形分布。子空间由图形区来定义，该图形区由表征流入的两个参数来描画。例如，这可能是图表问题，该图表示出了请求(IP分组的其余部分)的平均生命周期随连接流源的数量而变化。

在标称条件下，流入的参数以图形方式聚集到一个操作点附近的集群中，而在发生攻击的情况下，攻击流的参数具有异常值，并以图形方式聚集在孤立点或离群值附近。

在该已知方法中，在给定的时间段内，通过源地址来聚合多个连接流入。然后，分析各个被聚合的流，并且如果(通过存在至少一个异常值)检测到攻击，则凭借所涉及处理器的强大计算能力来立即过滤被识别为非法的流入。

此方法在网络设备(通常是服务器)连接到公共互联网网络的情况下有效，这是因为该多个连接流入或流出由非常大数量的连接组成，从而允许提取可靠的统计信息，并且因为用于执行处理的处理器功能很强大。由于攻击通常会导致相对于连接流入的总数而言数量很少的连接流入，因此可以区分集群和异常值，并且这种区分效果很好。

相比之下，机动车辆的连接模块仅适合于接收有限数量的传入连接(通常大约十个连接)。因此，在分析流入时，合法流将会被攻击流淹没，并且攻击流将表现为集群(并且因此表现为标称状况)而不再表现为异常值。因此，上述解决方案可能不适用于保护机动车辆的连接模块。

发明内容

本发明提出改善对以连接模块为目标的攻击的检测，尤其是在机动车辆中包括的连接模块的情况下。

更具体地，根据本发明，提出了一种诸如在引言中限定的用于过滤攻击流的方法，该方法包括以下步骤：

-确定多个聚合体，每个聚合体通过组合在预定义的时间段期间接收到的多个连接流入来产生，用于确定每个聚合体所考虑的所述时间段不同于用于确定其他聚合体所考虑的时间段，并且用于确定该多个聚合体所考虑的这些时间段全部都包括在第一观察时间窗口中，

-确定多个第一测量向量，该多个第一测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的第一特征参数的值，

-将该多个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中，

-确定通过组合在另一个时间段期间接收到的多个连接流入而产生的另一个聚合体，所述另一个时间段在该第一观察时间窗口之后，

-确定与该另一个聚合体相关联的另一个第一测量向量，并且该另一个第一测量向量包含该另一个聚合体的第一特征参数的值，

-将该另一个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中，

-根据该另一个第一测量向量的投影的结果和该多个第一测量向量的投影的结果来确定异常得分，

然后，如果该异常得分包括在关于攻击流的存在的怀疑区中，则：

-确定多个第二测量向量，该多个第二测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的其他特征参数的值，所述其他特征参数不同于所述第一特征参数，

-确定与该另一个聚合体相关联的另一个第二测量向量，并且该另一个第二测量向量包含该另一个聚合体的其他特征参数的值，并且

-通过分析该另一个第二测量向量来检测攻击是否存在。

因此，根据本发明，在实施方式的多个不同阶段中检测攻击流，从而限制了执行这些阶段所需的计算能力。因此，可以通过不是很强大的处理器(诸如集成到车辆的连接模块中的那些处理器)来实施该实施方式。

另外，使用根据与通常使用的特征参数不同且独立的其他特征参数来定义的第二测量向量允许对关于以车辆的连接模块为目标的攻击是否存在的结论进行验证。

可以单独地或以任何技术上可能的组合实施的以下内容是根据本发明的用于过滤攻击流的方法的其他非限制性且有利特征：

-为了确定该异常得分是否包括在关于攻击流的存在的怀疑区中，将该异常得分与第一阈值和第二阈值进行比较；

-将该异常得分与第二阈值进行比较，并且如果该异常得分高于该第二阈值，则在该另一个时间段内检测到存在攻击；

-将该异常得分与第一阈值进行比较，并且如果该异常得分低于该第一阈值，则在该另一个时间段内检测到不存在攻击；

-还提供了以下步骤：

-定义第二观察时间窗口，所述第二观察时间窗口对应于该第一观察时间窗口移位该另一个时间段，

-确定新的聚合体，该新的聚合体通过组合在新的时间段期间接收到的多个连接流入来产生，所述新的时间段在该第二观察时间窗口之后，

-确定与该新的聚合体相关联的新的第一测量向量，并且该新的第一测量向量包含所述新的聚合体的第一特征参数的值，

-删除与通过组合在该时间段期间接收到的多个连接流入而产生的聚合体相关联的第一测量向量的投影，该时间段位于该第一观察时间窗口中，但在该第二观察时间窗口外部，

-将该新的第一向量投影到由所述第一特征参数定义的至少所述子空间中，以及

-根据所述投影的结果来确定新的异常得分；

-在该投影步骤中，将该多个第一测量向量投影到多个子空间中，并且其中，根据异常函数之和来确定该异常得分，根据该多个第一测量向量的所述投影的结果、和该另一个第一测量向量的投影以及平均异常针对每个子空间确定一个异常函数，还根据该多个第一测量向量的所述投影和该另一个第一测量向量的投影来确定该平均异常；

-如果检测到存在攻击，则还执行以下步骤：

-对针对所有这些子空间确定的异常函数进行比较，

-选择异常函数最高的至少一个子空间，

-将该另一个聚合体分为多个单独的连接流，

-确定该多个单独的连接流的多个标识向量，这些标识向量包含与该第一测量向量相同的第一特征参数，

-将所述多个标识向量投影到所述至少一个选定的子空间中，

-识别至少一个非法连接流，所述非法连接流对应于与标识向量的异常投影相关联的连接流，以及

-过滤该非法连接流；

-子空间由第一轴和第二轴来定义，该第一轴对应于一个第一特征参数，并且该第二轴对应于选自这些第一特征参数的第二特征参数；

-这些第一特征参数中的至少一个包括以下数据之一：

-连接流源的数量，

-每个子网络的连接流源的平均数量，

-传输请求的比例，

-接收到的错误请求的比例，

-接收到的请求的平均大小，

-接收到的请求的平均生命周期；并且

-这些另外的特征参数中的至少一个包括以下数据之一：

-与访问第一高速缓存存储器级相关联的命中率，

-与访问第二高速缓存存储器级相关联的命中率，

-与访问另一个高速缓存存储器级相关联的未命中率，以及

-所使用的存储器的比例。

本发明还提供了一种用于从多个连接流入中过滤以连接模块为目标的攻击流的装置，该装置包括：

-用于确定多个聚合体的模块，每个聚合体通过组合在预定义的时间段期间接收到的多个连接流入来产生，用于确定每个聚合体所考虑的所述时间段不同于用于确定其他聚合体所考虑的时间段，并且用于确定该多个聚合体所考虑的这些时间段全部都包括在第一观察时间窗口中，

-用于确定多个第一测量向量的模块，该多个第一测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的第一特征参数，

-用于将该多个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中的模块，

-用于确定通过组合在另一个时间段期间接收到的多个连接流入而产生的另一个聚合体的模块，所述另一个时间段在该第一观察时间窗口之后，

-用于确定与该另一个聚合体相关联的另一个第一测量向量的模块，并且该另一个第一测量向量包含该另一个聚合体的第一特征参数的值，

-用于将该另一个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中的模块，

-用于根据该另一个第一测量向量的投影的结果和该多个第一测量向量的投影的结果来确定异常得分的模块，

-确定模块，该确定模块适合于在该异常得分包括在关于攻击流的存在的怀疑区中时确定多个第二测量向量，该多个第二测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的其他特征参数，所述其他特征参数不同于所述第一特征参数，

-用于确定与该另一个聚合体相关联的另一个第二测量向量的模块，并且该另一个第二测量向量包含该另一个聚合体的其他特征参数的值，以及

-用于通过分析该另一个第二测量向量来检测攻击是否存在的模块。

附图说明

通过非限制性示例给出的参考附图给出的以下描述将允许本发明包括的内容以及可以如何实施本发明被清楚地理解。

在附图中：

-图1示出了配备有根据本发明的用于过滤攻击流的装置的车辆的乘客舱的示意性表示；

-图2以流程图的形式示出了根据本发明的用于过滤攻击流的方法；

-图3至10示出了用于实施图2中所示的用于过滤攻击流的方法的子空间的八个示例。

具体实施方式

图1示意性地示出了机动车辆1的乘客舱，该机动车辆配备有适合于接收多个连接流的连接模块5以及用于过滤攻击流的装置2。

连接流可以例如来自服务器，从而允许例如访问互联网。连接模块5例如连接到车辆1的多媒体处理器10，从而允许存在于车辆1内部的个人访问更多种多媒体产品。

用于过滤攻击流的装置2适合于分析由连接模块5接收到的连接流，以便识别潜在攻击。用于过滤攻击流的装置2还适合于过滤检测到的攻击。

如图1所示，用于过滤攻击流的装置2例如包括在连接模块5中。可替代地，可以将该装置放置在独立于连接模块5但与其直接通信的实体中。

用于过滤攻击流的装置2包括一组模块(未示出)。实际上，这些模块可以通过组合硬件元件和软件元件来生产。每个模块具有在根据本发明的方法中描述并且在下文中描述的功能之一。

图2以流程图的形式示出了根据本发明的在装置2中实施的用于过滤攻击流的方法的示例。

该方法开始于步骤E2，在该步骤中，连接模块5接收多个连接流入。这些各个连接流入可能来自单个源实体(例如单个服务器)或来自多个不同的源实体。

对于该方法的其余部分，定义第一观察时间窗口Δt，将在该第一观察时间窗口中实施该方法的步骤。此第一观察时间窗口例如约为5s。

将此第一观察时间窗口分为连续的时间段δt_i。在本发明的上下文中，这些时间段δt_i完全相同。所使用的时间段δt_i例如约为100毫秒(因此，第一观察时间窗口由50个连续的不同时间段组成)。时间段δt_i对应于在其期间分析所有连接流入以确定是否存在分布式拒绝服务攻击的时间段。

在步骤E4中，组合在一个时间段δt_i期间接收到的所有连接流入以获得单个流，该单个流被称为“聚合体”。因此，在步骤E4中，每个时间段获得一个聚合体(因此在整个第一观察时间窗口Δt中获得了约五十个聚合体)。

实际上，每个连接流都包含一系列数据，尤其是允许访问网络的数据。然后，组合所有连接流入包括将所有连接流中包含的所有数据分组为单个流(在本说明书中称为“聚合体”)。

聚合体是借助于包含多个测量值的第一测量向量来定义的。例如，在时间段δt_i内，相关联的第一测量向量x_i被写为X_i＝[x_i，n]，其中，x_i，n是在时间段δt_i期间对应于测量值n的变量。每个变量x_i，n会根据所研究数据的类型而以不同的方式进行计算。

例如，变量x_i，n可以通过计算在时间段δt_i内所讨论数据的平均值来评估。例如，当通过计算在时间段δt_i内所有连接的所有接收到的请求的大小的平均值来获得接收到的请求(常规地也称为接收到的IP分组)的平均大小时，就是这种情况。

在源的数量的示例中，变量x_i，n根据在时间段δt_i内接收到的不同源地址的数量来确定。

在每个子网络的源的平均数量示例中，变量x_i，n根据在时间段δt_i期间接收到的不同源地址的数量、以及在时间段δt_i期间接收到的请求之中子网络的数量(以下表示为N_r)来确定。实际上，仅考虑源地址的前24位(此源地址表示为IP/24)。然后，针对每个源地址IP/24，确定不同源的数量以及接收到的请求(或接收到的IP分组)的数量。最后，每个子网络的源的平均数量(在下式中表示为N_s/r)通过用每个源地址IP/24的接收到的请求的数量(在下式中表示为N_P)对每个源地址IP/24的不同源的数量(在下式中表示为N_s)进行加权来获得：

关于接收到的传输请求的比例(也称为TCP连接请求的比例，TCP是传输控制协议的首字母缩写)，变量x_i，n被定义为在时间段δt_i期间接收到的传输请求的数量与接收到的请求的总数之比。

在接收到的错误请求的比例(根据ICMP协议，这也称为分组的比例，ICMP是互联网控制消息协议的首字母缩写)的示例中，变量x_i，n被定义为在时间段δt_i期间接收到的错误请求的数量与接收到的请求的总数之比。

从图2中可以看出，该方法在步骤E6中继续。在该步骤中，针对每个获得的聚合体(针对第一观察时间窗口的每个时间段)确定第一测量向量X_i。此第一测量向量X_i借助于特征参数来表征与该第一测量向量相关联的聚合体。

这些特征参数允许表征接收到的互联网通信流(或IP流，IP是互联网协议的常用首字母缩写)。这些接收到的连接流尤其取决于过程中的连接类型或取决于经由这些连接流传输的数据的类型。例如，在这些特征参数中进行以下区分：连接流的源的数量(参数以下表示为x₁)、每个子网络的源的平均数量(参数表示为x₂)、数据传输请求的比例(通常经由TCP分组确定，该参数表示为x₃)、错误控制请求的比例(通常称为ICMP分组，该参数表示为x₄)、传输的请求的平均大小(通常根据接收到的IP分组来确定，该参数表示为x₅)、在数据传递期间的请求(或接收到的IP分组)的平均生命周期(或TTL，其代表生存时间)、或甚至子网络的数量。

这些特征参数是允许识别对连接模块的分布式拒绝服务攻击的判别项。

在此，第一测量向量X_i包括表示为x₁、x₂、x₃、x₄、x₅的五个参数。

在步骤E6结束时，针对每个时间段δt_i确定第一测量向量X_i，并且因此在第一观察时间窗口Δt中获得多个第一测量向量X_i。因此，例如针对100ms的时间段和5s的第一观察时间窗口，获得50个第一测量向量。

这些第一测量向量X_i随后在该方法中的步骤E8中被使用。特征参数允许定义投影子空间。子空间被定义为单元的网格。对于该网格，第一轴(例如，横坐标轴)对应于第一特征参数，而第二轴(例如，纵坐标轴)对应于第二特征参数。实际上，成对选择的特征参数允许定义多个二维子空间。作为变体，也可以考虑具有更多维度的子空间。

图3至图10示出了从上面介绍的特征参数获得的子空间。在此，每个子空间被定义为10个单元乘10个单元的网格。图3和图7示出了例如对应于数据传输请求的比例(xx)随错误控制请求的比例(x₄)而变化的子空间。图4和图8示出了对应于数据传输请求的比例(x₃)随传输的请求(或接收到的IP分组)的平均大小(x₅)而变化的子空间。图5和图9示出了对应于数据传输请求的比例(x₃)随连接流源的数量(x₁)而变化的子空间。图6和图10示出了错误控制请求的比例(x₄)随连接流源的数量(x₁)而变化。

在步骤E8中，将第一测量向量X_i投影到由特征参数定义的子空间中。将在第一观察时间窗口Δt中获得所有第一测量向量X_i投影到这些子空间中。通过投影，意指标识所投影的第一测量向量x_i的值所属的网格单元。换言之，针对由两个数据n和m定义的子空间，投影对应于标识第一测量向量x_i的点(x_i，n；x_i，m)所属的网格单元。

实际上，在投影之前，为了确保对特征参数进行有意义的比较，对第一测量向量x_i进行了归一化。在此，第一测量向量x_i的每个特征参数都通过所讨论的参数的预定义值进行归一化。所使用的预定义值例如对应于特征参数的合理的最大值。关于“最大”的概念是相对于机动车辆中存在的连接模块可以接收的限制连接流来定义的。例如，对于传输的请求(或接收到的IP分组)的平均大小(该参数表示为x₅)，值1500将用作IP协议的IPv4版本的归一化值。值8000将用作IP协议的IPv6版本的归一化值。

图3至图10示出了针对第一观察时间窗口Δt，将第一测量向量X_i投影到的各个子空间中的示例。在第一测量向量X_i的投影结束时，如果没有第一测量向量X_i被投射到单元中，则所讨论的单元保持为空。

单元的密度被定义为对应于被投影到所述单元中的第一测量向量X_i的比例。如果被投影到某一单元中的第一测量向量X_i的比例高于预定义比例，则称该单元是密集的。该预定义比例例如等于5％。

多个相邻的密集单元可以定义集群。通过“相邻的单元”，意指具有共同边缘的单元。在图3至图10中，如上定义的集群由包含斜阴影线的单元表示。例如，在图3中，第一测量向量X_i到该子空间中的所有投影集中在单个单元中。

例如存在于图4、图8、图9和图10中的水平阴影线表示非空但密度低于预定义比例(在此为低于5％)的单元。水平线的数量越多，单元的密度越大(尽管保持低于预定义比例)。

图7至图10中的叉号表示存在攻击(下文将详细描述对攻击的检测)。

从图2中可以看出，该方法然后以步骤E10继续。在此步骤中，针对第一测量向量X_i被投影到其中的每个子空间确定异常得分S(X)。

在子空间(以下表示为子空间k)中，点的异常α(j，k)被定义为该点所属的单元j与最接近的集群之间的距离。换言之，异常a(j，k)对应于单元j与一个(或多于一个)最接近的密集单元(即，投影的第一测量向量x_i的比例高于5％的单元)之间的距离。所计算的距离是欧几里得距离或马氏距离。

在点在集群中的情况下，异常α(j，k)为零。在所讨论的子空间中不存在集群的情况下(即，例如没有任何一个单元包含超过5％的投影的第一测量向量)，异常a(j，k)对应于所讨论的子空间k中的单元j与具有最高密度(然而仍将低于5％)的单元之间的距离。

根据针对子空间k的每个单元j定义异常α(j，k)，可以确定所讨论的子空间k的所有单元j的平均异常Λ(k)。平均异常写为：

其中，a(j，k)对应于子空间k中的单元j的异常(以上定义的)，Dens(j，k)对应于子空间k中的单元j的密度，并且n是子空间k中的单元的数量。

根据此定义，平均异常A(k)越接近0，第一观察时间窗口Δt中分布在同心集群中的点(对应于第一测量向量X_i的投影)就越多。举例来说，图3中所示的子空间的平均异常被评估为零，因为所有点都分布在单个集群中。图5中所示的子空间和图6的子空间也是如此。

相反，平均异常A(k)越高，在所讨论的子空间内均匀分布的点就越多。

为了确定异常得分S(X)，引入第一测量向量X_i在子空间k中的异常函数F(X，k)：

其中，α(X_k，k)是第一测量向量X_i到子空间k中的投影X_k的异常。在此，平均异常A(k)允许对所讨论的第一测量向量X_i在子空间k中的投影X_k的异常α(X_k，k)进行归一化(以便允许同等地对待所有子空间)。

根据这些异常函数F(X，k)，可以通过在所有子空间上对针对每个子空间k确定的所有异常函数F(X，k)进行求和来定义第一测量向量X_i的异常得分S(X)：

因此，异常得分S(X)对应于针对第一测量向量X_i到各个子空间中的投影而获得的异常函数F(X，k)之和。

然后，该方法在步骤E12中继续，在该步骤中，定义新的时间段δt_N+1。新的时间段δt_N+1是紧接在第一观察时间窗口Δt之后的时间段。

组合在新的时间段δt_N+1期间收到的所有连接流入以获得新的聚合体(使用类似于上述步骤E4中所采用的方法)。

新的第一测量向量x_N+1包含此新的聚合体的特征参数。

使用上述方法针对新的第一向量x_N+1所确定的异常得分S(X_N+1)是将允许确定在时间窗口δt_N+1期间在连接模块5所接收到的连接流入之中是否存在攻击流的量。此异常得分S(X_N+1)衡量相对于第一观察时间窗口δt_N|1(其在时间段δt_N|1之前)，在时间段δt_N|1期间接收到(并由新的聚合体表征)的所有连接流的异常的程度。

从图形的角度来看，如果此异常得分S(X_N+1)很高，则这意味着新的第一测量向量X_N+1到各个子空间中的投影与在第一观察时段Δt期间形成、并且在步骤E8中在各个子空间中标识出的集群显著不同。与新的聚合体相对应的一组连接流表现为可疑的，并且有必要深入分析以确认攻击的存在或使攻击的存在无效。

为此，在步骤E14中，将异常得分S(X_N+1)与第一阈值th₁和第二阈值th₂进行比较。第一阈值th₁低于第二阈值th₂。描述了三种不同的情况。

第一种情况对应于异常得分S(X_N+1)低于第一阈值th₁。在这种情况下，在新的时间窗口δt_N+1中检测到不存在攻击，并且该方法以步骤E20继续。这是图3至图6所示的示例的情况，在这些图中，所有投影都集中在密集或高密度的相邻单元中(图4)。在这些图中，通过异常得分的计算识别出没有孤立值。

在步骤E20中，定义第二观察时间窗口Δtⁱ。第二观察时间窗口Δtⁱ对应于第一观察时间窗口Δt移位一个时间段δt_i。换言之，第一观察时间窗口Δt是移动的窗口，并且其增加一个时间段δt_i来定义第二观察时间窗口Δtⁱ。该第二观察时间窗口Δtⁱ整合了新的第一测量向量x_N+1。因此最后，这两个观察时间窗口具有共同的多个时间段。第一观察时间窗口的第一时间段(以下称为旧的时间段)不包括在第二观察时间窗口Δtⁱ中。此外，第二观察时间窗口Δtⁱ的最后一个时间段(以上称为新的时间段Δtⁱ)不包括在第一观察时间窗口Δt中。

在步骤E8中考虑的子空间中，在步骤E22中，删除与旧的时间段相对应的第一测量向量的投影。

在步骤E24中，将新的第一测量向量x_N+1投影到这些子空间中。使用参考步骤E8描述的方法来再次标识存在于这些子空间中的集群。步骤E22和E24基于在该方法中预先获得的结果而允许限制该方法的执行时间。它们还允许限制在执行这种方法时所需的计算能力(尤其是用于过滤攻击流的装置2中包含的处理器的计算能力)。

如图2所示，一旦新的第一测量向量X_N+1已经被投影到所讨论的所有子空间中，并且一旦已经删除了与旧的时间段相关联的第一测量向量，该方法就在步骤E26中继续确定平均异常A(k)。

然后，从步骤E12开始一次又一次地重复该方法。

第二种比较情况对应于异常得分高于第二阈值th₂。在这种情况下，在新的时间段δt_N+1中检测到存在攻击，并且该方法以步骤E60继续。

此第二种情况对应于图7至图10所示的示例。针对这些示例计算出的异常得分结果是很高的。

该步骤E60允许对在步骤E10中针对新的第一测量向量X_N+1确定的异常函数X_N+1进行比较。

在步骤E62中，在所考虑的所有子空间中，选择至少两个子空间。实际上，选择一个或两个子空间。这是异常函数F(x，k)最高的子空间的问题。然后，基于对这些选定的子空间的检查，针对第一观察时间窗口Δt(在新的时间段Δt之前)，尤其是使用选定的子空间中存在(并且表征标称操作条件)的集群来标识一个(或多于一个)攻击流。举例来说，在图7至图10中，由斜阴影线来标识集群(如上所述)。

为了允许标识攻击流，在步骤E64中，将新的聚合体分解为多个所谓的单独的连接流，该新的聚合体是在新的时间段δt_N+1期间接收到的多个流入的组合(该多个流入在步骤E12中被组合以产生该组合)。在步骤E12中为了形成新的聚合体而考虑了在新的时间段δt_N|1期间由连接模块5接收到的所有连接流入以进行组合。通过按源地址组合在新的时间段δt_N+1期间接收到的连接流，可以分离此新的聚合体。因此，可以定义被认为是可疑的多个单独的聚合体。实际上，单独的聚合体与源地址一样多。

在步骤E66中，通过被称为标识向量的向量来表征每个单独的聚合体。这些标识向量根据在步骤E62中通过选择子空间识别出的参数来构造。因此，相对于例如以上定义的新的第一测量向量X_N+1，标识向量包括少量参数。例如，如果在步骤E62中仅选择了由参数x₃和x₀定义的子空间，则标识向量将仅包括这两个参数(这两个参数是在新的时间段δt_N+1期间针对每个单独的聚合体确定的)。

然后，在步骤E68中，将这些标识向量投影到该一个或多个选定的子空间中。当这些标识向量被投影到子空间的形成集群的单元中时，相关联的单独的连接流不被认为是攻击流。相反，如果标识向量被投影到集群外部，则该单独的聚合体被认为是攻击。

在此步骤结束时，在子空间中标识出攻击。在图7至图10中，这由包含叉号的单元表示。

通过构造，与攻击相对应的单独的聚合体与来自同一源地址的一组单独的连接流相关联。对与攻击相对应的单独的聚合体的检测然后允许在步骤E70中识别生成所谓的非法连接流的源地址。

然后，在方法的步骤E72中过滤这些非法连接流。例如，通过在连接模块5的输入端处阻挡非法连接流来执行过滤。实际上，例如通过将与非法连接流相关联的源地址添加到被阻挡源地址列表中来阻挡这些流。然后，源自此源地址的任何请求都将被销毁。

在步骤E74中，一旦非法连接流已经被过滤，就会重新组合单独的连接流以形成所谓的过滤后的聚合体，并且确定相关联的过滤后的第一测量向量X_f。该过滤后的第一测量向量X_f被投影到所讨论的所有子空间中。此外，由于攻击流已经被过滤(因此在新的时间段内未检测到攻击流)，因此该方法以步骤E20继续，如上所述(并且对应于该方法在未检测到攻击时的其余部分)。

异常得分S(X)与第一阈值th₁和第二阈值th₂的比较的第三种情况对应于异常得分S(X)包括在怀疑区中。此怀疑区是针对异常得分S(X)包括在第一阈值th₁与第二阈值th₂之间的情况定义的。在这种情况下，不能直接得出关于在新的时间段δt_N+1中是否存在攻击的结论。然后，该方法以步骤E40继续。

在该步骤E40中，针对在E4中获得的每个聚合体(针对第一观察时间窗口Δt的每个时间段Δt)确定第二测量向量Y_i。此第二测量向量Y_i借助于其他特征参数来表征与该第二测量向量相关联的聚合体。这些其他特征参数不同于与第一测量向量X_i相关联的特征参数。

这次，这些其他特征参数不允许表征IP连接流，而是允许表征对集成到用于过滤攻击流的装置2中的软件的执行。这些其他特征参数尤其允许描述指令和数据关于用于过滤的攻击流的装置2中所包括的各个存储器级的散布。例如，在这些其他特征参数中进行以下区分：与访问第一高速缓存存储器级相关联的命中率(通常由1级“数据”和“指令”高速缓存存储器的命中率来衡量)、与访问第二高速缓存存储器级相关联的命中率(通常由2级统一高速缓存存储器的命中率来衡量)、以及与第三高速缓存存储器级相关联的未命中率或甚至所使用的存储器的比例。

已知使用这些特征参数来表征在给定处理器上对软件的执行。

在步骤E40结束时，针对每个时间段δt_i确定一个第二测量向量Y_i，并且因此在第一观察时间窗口Δt中获得多个第二测量向量Y_i。因此，例如针对100ms的时间段和5s的第一观察时间窗口，获得50个第二测量向量。

这些第二测量向量Y_i随后在该方法中的步骤E42中被使用，在该步骤中，分析这些第二测量向量以允许消除关于对是否存在攻击的检测的怀疑。

分析第二测量向量Y_i的目的在于检测软件执行时的异常操作。

以与在步骤E6中针对第一测量向量X_i相同的方式，将第二测量向量Y_i投影到二维子空间中。还可以识别集群并确定每个子空间的另一个平均异常B(k)(根据与确定平均异常A(k)相同的原理)。

当该方法的上述步骤基于对新的第一向量X_N+1的分析来识别关于在新的时间段δt_N+1期间攻击的存在的怀疑时，使用上述方法来计算针对与新的时间段δt_N+1相关联的新的第二测量向量Y_N+1的另一个异常得分S(Y_N+1)。

然后将此另一个异常得分S(Y_N|1)与第三阈值th_i进行比较。如果该另一个异常得分S(Y_N+1)高于第三阈值th₃，则确认在新的时间段δt_N+1期间存在攻击。

如图2所示，在该步骤E42之后，如果检测到不存在攻击，则该方法以上述步骤E20继续。在对第二测量向量的分析结束时检测到存在攻击的情况下，该方法以上述步骤E60继续。

Claims

1.一种用于过滤以接收多个连接流入的连接模块(5)为目标的攻击流的方法，该方法包括以下步骤：

-确定多个聚合体，每个聚合体通过组合在预定义的时间段δt₁期间接收到的多个连接流入来产生，用于确定每个聚合体所考虑的所述时间段δt₁不同于用于确定其他聚合体所考虑的时间段，并且用于确定该多个聚合体所考虑的这些时间段δt₁全部都包括在第一观察时间窗口Δt中，

-确定多个第一测量向量X_i，该多个第一测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的第一特征参数的值，

-将该多个第一测量向量X_i投影到由所述第一特征参数定义的至少一个子空间中，

-确定通过组合在另一个时间段δt_N+1期间接收到的多个连接流入而产生的另一个聚合体，所述另一个时间段δt_N+1在该第一观察时间窗口Δt之后，

-确定与该另一个聚合体相关联的另一个第一测量向量x_N+1，并且该另一个第一测量向量包含该另一个聚合体的第一特征参数的值，

-将该另一个第一测量向量x_N+1投影到由所述第一特征参数定义的至少一个子空间中，

-根据该另一个第一测量向量x_N+1的投影的结果和该多个第一测量向量X_i的投影的结果来确定异常得分S(X)，

然后，如果该异常得分S(X)包括在第一阈值th₁与第二阈值th₂之间，则：

-确定多个第二测量向量Y₁，该多个第二测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的其他特征参数的值，所述其他特征参数不同于所述第一特征参数，

-确定与该另一个聚合体相关联的另一个第二测量向量Y_N+1，并且该另一个第二测量向量包含该另一个聚合体的其他特征参数的值，并且

-通过分析该另一个第二测量向量Y_N+1来检测攻击是否存在。

2.如权利要求1所述的方法，其中，将该异常得分S(X)与第二阈值th₂进行比较，并且如果该异常得分S(X)高于该第二阈值th₂，则在该另一个时间段δt_N+1内检测到存在攻击。

3.如权利要求1或2所述的方法，其中，将该异常得分S(X)与第一阈值th₁进行比较，并且如果该异常得分S(X)低于该第一阈值th₁，则在该另一个时间段δt_N+1内检测到不存在攻击。

4.如权利要求1或2所述的方法，还包括以下步骤：

-定义第二观察时间窗口Δt′，所述第二观察时间窗口Δt′对应于该第一观察时间窗口Δt移位所述另一个时间段δt_N+1，

-确定新的聚合体，该新的聚合体通过组合在新时间段δt_N+2期间接收到的多个连接流入来产生，所述新时间段δt_N+2在该第二观察时间窗口Δt′之后，

-确定与该新的聚合体相关联的新的第一测量向量x_N+2，并且该新的第一测量向量包含所述新的聚合体的第一特征参数的值，

-删除与通过组合在该时间段期间接收到的多个连接流入而产生的聚合体相关联的第一测量向量的投影，该时间段位于该第一观察时间窗口Δt中，但在该第二观察时间窗口Δt′外部，

-将该新的第一向量X_N+2投影到由所述第一特征参数定义的至少所述子空间中，以及

-根据所述投影的结果来确定新的异常得分。

5.如权利要求1或2所述的方法，其中，在该投影步骤中，将该多个第一测量向量X_i投影到多个子空间中，并且其中，根据异常函数F(X，k)之和来确定该异常得分S(X)，根据该多个第一测量向量X_i的所述投影的结果、和该另一个第一测量向量X_N+1的投影以及平均异常A(k)针对每个子空间确定一个异常函数F(X，k)，还根据该多个第一测量向量X_i的所述投影和该另一个第一测量向量X_N+1的投影来确定该平均异常A(k)。

6.如权利要求5所述的方法，如果检测到存在攻击，则该方法还包括以下步骤：

-对针对所有这些子空间确定的异常函数F(X，k)进行比较，

-选择异常函数F(X，k)最高的至少一个子空间，

-将该另一个聚合体分为多个单独的连接流，

-确定该多个单独的连接流的多个标识向量，这些标识向量包含与该第一测量向量X_i相同的第一特征参数，

-将所述多个标识向量投影到所述至少一个选定的子空间中，

-过滤该非法连接流。

7.如权利要求1或2所述的方法，其中，子空间由第一轴和第二轴来定义，该第一轴对应于一个第一特征参数，并且该第二轴对应于选自这些第一特征参数的第二特征参数。

8.如权利要求1或2所述的方法，其中，这些第一特征参数中的至少一个包括以下数据之一：

-连接流源的数量x₁，

-每个子网络的连接流源的平均数量x₂，

-传输请求的比例x₃，

-接收到的错误请求的比例x₄，

-接收到的请求的平均大小x₅，

-接收到的请求的平均生命周期。

9.如权利要求1或2所述的方法，其中，这些另外的特征参数中的至少一个包括以下数据之一：

-与访问第一高速缓存存储器级相关联的命中率，

-与访问第二高速缓存存储器级相关联的命中率，

-与访问另一个高速缓存存储器级相关联的未命中率，

-所使用的存储器的比例。

10.一种用于从多个连接流入中过滤以连接模块(5)为目标的攻击流的装置，该装置包括：

-用于确定多个聚合体的模块，每个聚合体通过组合在预定义的时间段δt₁期间接收到的多个连接流入来产生，用于确定每个聚合体所考虑的所述时间段δt₁不同于用于确定其他聚合体所考虑的时间段，并且用于确定该多个聚合体所考虑的这些时间段δt₁全部都包括在第一观察时间窗口Δt中，

-用于确定多个第一测量向量X_i的模块，该多个第一测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的第一特征参数，

-用于将该多个第一测量向量X_i投影到由所述第一特征参数定义的至少一个子空间中的模块，

-用于确定通过组合在另一个时间段δt_N+1期间接收到的多个连接流入而产生的另一个聚合体的模块，所述另一个时间段δt_N+1在该第一观察时间窗口Δt之后，

-用于确定与该另一个聚合体相关联的另一个第一测量向量X_N+1的模块，并且该另一个第一测量向量包含该另一个聚合体的第一特征参数的值，

-用于将该另一个第一测量向量X_N+1投影到由所述第一特征参数定义的至少一个子空间中的模块，

-用于根据该另一个第一测量向量X_N+1的投影的结果和该多个第一测量向量X_i的投影的结果来确定异常得分S(X)的模块，

-确定模块，该确定模块适合于在该异常得分S(X)包括在第一阈值th₁与第二阈值th₂之间时确定多个第二测量向量Y_i，该多个第二测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的其他特征参数，所述其他特征参数不同于所述第一特征参数，

-用于确定与该另一个聚合体相关联的另一个第二测量向量Y_N+1的模块，并且该另一个第二测量向量包含该另一个聚合体的其他特征参数的值，

-用于通过分析该另一个第二测量向量Y_N+1来检测攻击是否存在的模块。