CN113645238A - 一种面向Handle标识体系的DDoS防御方法 - Google Patents

一种面向Handle标识体系的DDoS防御方法 Download PDF

Info

Publication number
CN113645238A
CN113645238A CN202110915978.0A CN202110915978A CN113645238A CN 113645238 A CN113645238 A CN 113645238A CN 202110915978 A CN202110915978 A CN 202110915978A CN 113645238 A CN113645238 A CN 113645238A
Authority
CN
China
Prior art keywords
query
handle
ddos
analysis
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110915978.0A
Other languages
English (en)
Other versions
CN113645238B (zh
Inventor
张晓�
霍健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mako Workshop Industrial Technology Beijing Co ltd
Original Assignee
Mako Workshop Industrial Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mako Workshop Industrial Technology Beijing Co ltd filed Critical Mako Workshop Industrial Technology Beijing Co ltd
Priority to CN202110915978.0A priority Critical patent/CN113645238B/zh
Publication of CN113645238A publication Critical patent/CN113645238A/zh
Application granted granted Critical
Publication of CN113645238B publication Critical patent/CN113645238B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种面向Handle标识体系的DDoS防御方法,发明方法包括:对Handle解析日志进行分析,通过数据挖掘技术中的方法挖掘查询端的特征,根据聚类和统计结果计算偏差,作为检测DDoS攻击的指标,对非正常的Handle查询请求进行多层限速处理。检测模块和处理模块分别部署在Handle客户端与本地Handle服务(Local Handle Service,LHS)接入点处的子节点服务器上,在Handle标识解析体系上实现对分布式拒绝服务攻击的检测,提升了工业互联网标识解析系统的安全性。

Description

一种面向Handle标识体系的DDoS防御方法
技术领域
本发明涉及通信技术领域,特别是信息技术安全领域,具体为一种面向Handle标识体系的DDoS防御方法。
背景技术
工业互联网标识解析体系中节点体系主要包含国际根节点、顶级节点、二级节点、企业节点。工业互联网标识赋予部件、产品、设备唯一标识,有利于资源管理和企业控制,也可以基于不同业务需求,将采购、生产、品控质检、产品包装等每一环节采集的数据与标识编码进行绑定,形成一套完整的数据链信息闭环。Handle为数据资源对象提供永久标识、动态解析和安全管理等服务,具有强大的扩展性和兼容性,已被推广使用。Handle自定义码可以由企业自主编码,再与Handle的前缀进行拼接。在一些应用中,还可绑定Handle与应用企业提供的产品批次关系等。
分布式拒绝服务攻击(Distributed Denial of Service,DDoS)已经是网络主要的安全威胁之一。对于Handle标识解析体系,恶意攻击者向递归节点解析服务器发送大量伪造的Handle查询请求,耗尽解析服务器的计算资源与带宽,导致解析服务器无法响应正常的查询请求。目前,针对工业互联网标识解析Handle体系还缺乏高效的防御方法。
在互联网分布式拒绝服务检测方法上已有很多学者做了大量工作。Mousavi等人以数据包目的IP地址熵值作为特征值来检测攻击流量(MOUSAVI S M,ST-HILAIRE M.Earlydetection of DDoS attacks against SDN controllers,ICNC,2015),该方法实现简单,检测率较高,但其只有一个特征值,表达能力有限,而且并未结合工业互联网标识解析的特点,检测率较低。Huo等人提出了一种基于Handle系统的恶意标识防御方法及系统(CN111200605A,2020),该方法简单,但特征划分粒度较粗,且未结合Handle查询端的兴趣特征,检测精度较低。随着社交网络的迅猛发展,有关标签数据的推荐算法也应运而生。个性化推荐系统的出现,为用户带来更加多样的网络体验。赵宇峰等人通过改进User-CF算法(赵字峰,李新卫.基于歌曲标签聚类的协同过滤推荐算法的研究,计算机应用与软件,2018),对用户的歌曲兴趣标签进行建模,根据用户相似性进行聚类,使用User-CF算法针对每组用户进行推荐。除此之外,用户行为分析应用也非常广泛,互联网供应商可以从网络日志中挖掘用户行为模式,改善产品存在的问题,提高企业效益。对网络行为特征分析不仅在商业平台成功发展,对于工业互联网标识解析体系也有巨大的价值。由于复杂的网络环境,DDoS大量消耗网络资源。针对工业互联网不同于互联网的特性,互联网DDoS防御方法不能直接使用。因此,有必要研究一种更贴合工业互联网Handle标识体系的DDoS防御方法。
发明内容
本发明目的在于克服现有技术中存在的问题,提出一种面向Handle标识体系的DDoS防御方法。
概括地说,本发明方法包括:对Handle解析日志进行分析,通过数据挖掘技术中的分类、聚类、统计等方法挖掘查询端的特征,根据聚类和统计结果,计算出偏差,检测DDoS攻击,对非正常的Handle查询请求进行多层限速处理。检测模块和处理模块分别部署在Handle客户端与本地Handle服务(Local Handle Service,LHS)接入点处的子节点服务器上,实现在Handle标识解析体系上对分布式拒绝服务攻击的检测,提升了工业互联网标识解析系统的安全性。
本发明方法为了确定Handle功能主题,使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化,最后对查询端建立查询文件。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征,通过K-Means实现查询端的聚类,基于聚类结果,拟合决策树,对聚类的影响因素分析研究,从时间角度、Handle功能主题类别角度、时间和功能主题结合角度、Handle角度进行查询端查询特征的多角度统计分析。最后根据统计分析进行偏差计算,作为进行DDoS的检测的指标。对于超过限定值的标识查询请求,将其Handle标识解析规则映射关系修改为处理服务器的地址,发送至多层限速处理模块进行处理。对于未超过限定值的标识查询请求,予以通过。多层限速处理可以有效处理DDoS攻击,最大限度的保证Handle标识查询请求的正常进行。
本发明方法是采用如下技术方案实现的:
一种面向Handle标识体系的DDoS防御方法,分5个模块进行,分别是Handle功能主题确定模块、聚类分析模块、统计分析模块、检测模块、分层限速处理模块。
1、对于Handle功能主题确定模块,使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化,最后对查询端建立查询文件,该查询文件记录每一个查询端的查询信息。该过程主要有5个步骤:数据预处理、Handle类别标签划分、建立Handle分类库、训练Handle分类器、建立查询端查询行为文件。步骤如下:
1)数据预处理:多站点进行收集。仅保存四项字段,分别是查询端请求日期、时间、查询端IP、Handle,去除无关字段,再进行数据格式的转换等。
2)Handle类别标签划分:进行Handle的类别标签划分,应按照企业和Handle所解析的功能主题内容将其分为不同的类别。
3)建立Handle分类库:通过程序模拟客户端Handle查询,获取当前查询内容,对该查询内容中的基本信息和类别元素进行提取,分类别存储,直到将Handle全部处理完毕。在数据库中建立两个表,一个用来存储Handle类别标签和Handle功能主题类别号,另一个用来存储Handle和该Handle对应的功能主题类别号,将处理之后的信息存储在数据库中。
4)训练Handle分类器:查询端查询的Handle在Handle分类库中无法匹配的情况下,利用训练后的朴素贝叶斯Handle分类器进行划分,对未知的Handle进行分类。
5)建立查询端查询行为文件:采用Handle分类库和Handle分类器两种方法进行Handle的分类。在Handle查询日志数据中添加Handle标签字段,以查询端的地址为单位,将查询日期时间、Handle、功能主题分类号等存储在查询端查询行为文件中。
所述步骤2)本发明的类别标签有:某企业工业设备状态信息类、某企业产品追溯信息类、某企业物料数据信息类、某企业加工信息类、某企业用户信息类、某企业订单信息类、某企业附近网络设备状态信息类等。
2、对于聚类分析模块,对查询端特征进行聚类分析。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征,通过K-Means实现查询端的聚类,基于聚类结果,拟合决策树,对聚类的影响因素分析研究。在这个过程中,将兴趣指数离散化。若检测查询过程中,有查询端偏离正常分类,则被判定为异常攻击查询。该过程步骤如下:
1)构建查询端查询兴趣特征:构建查询端的特征向量T(i)=(Ti1,Ti2,Ti3,...,Tin),查询端Ti1表示在查询端i第一个Handle类别的兴趣指数,查询数据总量用SUM(i)表示,查询端i对于功能主题类别j的查询次数用Nij表示,兴趣指数计算公式如下:
Tij=Nij/SUM(i)
2)查询端特征聚类分析:将每个查询端对应功能主题类别标签的兴趣指数作为输入,对查询端进行特征聚类。采用K-Means聚类算法对查询端进行聚类,对聚类后不同查询群体进行特征统计分析。
3)检测:基于聚类结果,拟合决策树,对聚类影响因素进行探索。在这个过程中,将兴趣指数离散化,分为“兴趣高”和“兴趣低”两个评价指标。若检测查询过程中,有查询端偏离正常分类,则被判定为异常攻击查询。
3、对于统计分析模块,进行查询特征的多角度统计。首先从时间角度出发,统计日查询、周查询、季查询、年查询变化。然后从Handle功能主题类别展开分析,统计了每个Handle功能主题标签的查询量,了解整体查询端的特征,再从时间和功能主题角度,对热门功能主题标签分析,掌握查询端对Handle功能主题的依赖。接着从Handle的角度展开分析,得到具体Handle查询次数。统计分析模块分为查询端查询积极度统计分析、查询端查询的Handle功能主题统计分析、Handle查询量排序统计分析。
4、对于检测模块,根据统计分析进行偏差计算,作为DDoS检测的指标。对于超过限定值的标识查询请求,将其Handle标识解析规则映射关系修改为处理服务器的地址,发送至多层限速处理模块进行处理。对于未超过限定值的标识查询请求,予以通过。
5、对于分层限速处理模块,该方法可以有效处理DDoS攻击,最大限度的保证正常的Handle标识查询请求。多层限速处理可以避免含局部Handle前缀字段的标识查询流量占用太多资源,以致于影响系统的整体功能特性。当出现含局部Handle前缀字段的标识查询流量异常变大,则可通过多层限速处理模块实现防御功能。
第一层:判断是否符合某个前缀局部一致的DDoS攻击,若符合,则根据Handle前缀第一段/第二段/第三段分别进行限速,并将前缀字段加入黑名单。避免系统遭受单个前缀字段大量Handle标识查询请求的流量攻击。若不符,则转向第二层限速处理。
第二层:对于Handle标识前缀变化的攻击,从Handle标识后缀的角度进行聚合统计分析,丢弃递归流量较大的Handle。保证正常Handle标识的查询请求。最后转向第三层限速处理。
第三层:对于Handle标识解析请求的地址等,使用现有的地址限速处理。
与现有技术相比,本发明的优势在于:
1、本发明对日志数据中的Handle划分其对应的功能主题,进而构建判定查询端查询Handle功能主题的方法。在Handle的分类过程中,采用Handle分类库和Handle分类器两个模块对Handle进行功能主题分类。通过Handle功能主题的确定,建立查询端查询行为文件。
2、本发明对数据展开了多维度的分析统计。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征,通过K-Means实现查询端的聚类,基于聚类结果,拟合决策树,对聚类的影响因素进行分析研究。基于聚类结果和统计分析结果进行偏差计算,作为DDoS的检测指标。
3、本发明通过多层限速处理,避免含局部Handle前缀字段的标识查询流量占用太多资源,以致于影响系统的整体功能特性。该方法可以对DDoS攻击进行分层限速处理,最大限度的保证正常的Handle标识查询请求。
附图说明
图1表示Handle标识体系部署子节点服务器示意图。
图2表示基于Handle的功能主题确定流程图。
图3表示查询端的Handle查询行为分析示意图。
图4表示本发明方法偏差检测及分层限速处理模块图。
图5表示本发明基于Handle系统的DDoS分层限速处理模块图。
具体实施方式
以下结合附图通过具体实施例详细说明本发明,但不构成对本发明的限制。
在Handle标识查询到达递归查询节点之前部署检测服务器,在服务器上进行DDoS攻击检测。另外部署处理服务器,对超过限定值的Handle标识查询请求进行处理。本发明方法的Handle标识体系部署子节点服务器如图1所示。
一种面向Handle标识体系的DDoS防御方法分5个模块进行,分别是Handle功能主题确定模块、聚类分析模块、统计分析模块、检测模块、分层限速处理模块。
1、对于Handle功能主题确定模块,使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化,最后对查询端建立查询文件,该查询文件记录每一个查询端的查询信息。该过程主要有5个步骤:数据预处理、Handle类别标签划分、建立Handle分类库、训练Handle分类器、建立查询端查询行为文件。步骤如下:
1)数据预处理:多站点进行收集。仅保存四项字段,分别是查询端请求日期、时间、查询端IP、Handle,去除无关字段,再进行数据格式的转换等。
2)Handle类别标签划分:进行Handle的类别标签划分,应按照企业和Handle所解析的功能主题内容将其分为不同的类别。本发明实施例的类别标签有:某企业工业设备状态信息类、某企业产品追溯信息类、某企业物料数据信息类、某企业加工信息类、某企业用户信息类、某企业订单信息类、某企业附近网络设备状态信息类等。
3)建立Handle分类库:通过程序模拟客户端Handle查询,获取当前查询内容,对该查询内容中的基本信息和类别元素进行提取,分类别存储,直到将Handle全部处理完毕。在数据库中建立两个表,一个用来存储Handle类别标签和Handle功能主题类别号,另一个用来存储Handle和该Handle对应的功能主题类别号,将处理之后的信息存储在数据库中。
4)训练Handle分类器:查询端查询的Handle在Handle分类库中无法匹配的情况下,利用训练后的朴素贝叶斯Handle分类器进行划分,对未知的Handle进行分类。
5)建立查询端查询行为文件:首先将Handle按字段进行拆分,判断其是否与Handle分类库匹配成功,如果匹配成功,得到Handle功能主题,如果匹配不成功,利用Handle分类器进行划分,基于Handle的功能主题确定流程如图2所示。在Handle查询日志数据中添加Handle标签字段,以查询端的地址为单位,将查询时间、Handle、功能主题分类号等存储在查询端查询行为文件中。
2、对于聚类分析模块,对查询端特征进行聚类分析。在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征,通过K-Means实现查询端的聚类,基于聚类结果,拟合决策树,对聚类的影响因素分析研究。在这个过程中,将兴趣指数离散化。若检测查询过程中,有查询端偏离正常分类,则被判定为异常攻击查询。该过程步骤如下:
1)构建查询端查询兴趣特征:构建查询端的特征向量T(i)=(Ti1,Ti2,Ti3,...,Tin),查询端Ti1表示在查询端i第一个Handle类别的兴趣指数,查询数据总量用SUM(i)表示,查询端i对于功能主题类别j的查询次数用Nij表示,兴趣指数计算公式如下:
Tij=Nij/SUM(i)
2)查询端特征聚类分析:将每个查询端对应功能主题类别标签的兴趣指数作为输入,对查询端进行特征聚类。采用K-Means聚类算法对查询端进行聚类,对聚类后不同查询群体进行特征统计分析。比如,查询群1:查询群1的查询功能主题主要集中在工业设备信息、物料等方面,因此分析出此类查询端在企业内部进行管控;查询群2:查询群2主要以产品追溯为主,从中可以分析得到,此类人群可能为电商的消费者。
3)检测:基于聚类结果,拟合决策树,对聚类影响因素进行探索。在这个过程中,将兴趣指数离散化,分为“兴趣高”和“兴趣低”两个评价指标。若检测查询过程中,有查询端偏离正常分类,则被判定为异常攻击查询。
3、对于统计分析模块,进行查询特征的多角度统计。查询端Handle查询行为分析如图3所示。首先从时间角度出发,统计日查询、周查询、季查询、年查询变化。然后从Handle功能主题类别展开分析,统计了每个Handle功能主题标签的查询量,了解整体查询端的特征,再从时间和功能主题角度,对热门功能主题标签分析,掌握查询端对Handle功能主题的依赖。接着从Handle的角度展开分析,得到具体Handle查询次数。统计分析模块分为查询端查询积极度统计分析、查询端查询的Handle功能主题统计分析、Handle查询量排序统计分析。统计分析如下:
1)查询端查询积极度统计:对日志信息进行Handle分类操作,进行统计分析,分为日查询积极度统计、周查询积极度统计、季查询积极度统计、年查询积极度统计。
a、对于日查询积极度统计:对查询端每日查询的时段进行分析,利用统计的方法,提取每日查询端的查询信息表,分析在一天中的不同时间段查询端的个数,获得查询端的查询积极度,从而作为DDoS检测的参考依据。比如,对于消费者查询端,白天的查询量比夜间要高很多。对于企业查询端,白天和夜间的机器运作相对平稳。若与某正常日时间段查询量的偏差大于限定值,则判断其为DDoS攻击。
b、对于周查询积极度统计:在一周的不同时间段,查询端的查询量也是有差别的。周六日相较于工作日的查询量偏高,这与用户的空闲时间有关。若在工作日的查询量高于周六日,考虑遭到恶意攻击。若与某正常周查询量的偏差大于限定值,则判断其为DDoS攻击。
c、对于季查询积极度统计:不同季节查询端的查询量也是有差别的。企业的运作与季节息息相关,风力发电等企业查询量受季节影响较大。对于不符合季节规律的查询,考虑遭到恶意攻击,进行精确的检测。若与某正常季查询量的偏差大于限定值,则判断其为DDoS攻击。
d、对于年查询积极度统计:企业的运作以年为周期,查询端的查询量与历史年份查询量的统计有一定的类似性。对于不符合历史年份规律的查询,考虑遭到恶意攻击,进行精确的检测。若与正常年查询量的偏差大于限定值,则判断其为DDoS攻击。
2)查询端查询的Handle功能主题分析:查询端查询的Handle功能主题统计分为各个类型Handle查询数量统计和热门Handle标签的查询时间段分析。
a、对于不同类型Handle查询数量分析:根据Handle类型的划分,可以确定查询端查询的Handle类型,查询端对于不同类型Handle的查询比例能反映出查询端的兴趣特征。最后对Handle功能主题标签查询数量进行统计。将各个类型的Handle查询量作为DDoS检测的依据。若与某正常Handle类型查询量的偏差大于限定值,则判断其为DDoS攻击。
b、对于热门Handle标签的查询时间段统计:统计一天当中不同时间段查询量比较大的Handle标签在一段周期内的查询量的变化,得到查询端对这些类的依赖程度,有利于管理者掌握查询端对这些功能主题类型Handle的查询规律。通过Handle标签进行分组,统计工业设备状态信息类、产品追溯信息类、物料数据信息类等Handle标签数量,一个周期可以设置为一个小时,计算周期内每个标签的查询率TC,该标签被查询的次数表示为TN,该标签被查询的总次数表示为N,查询率计算方法如下:
TC(i)=TN(i)/N(i)
比如,设备状态信息类的Handle在一天中的查询量比较均衡,没有太大的起伏;产品追溯类查询量起伏较大。若在周期内查询率与某正常Handle类型查询率的偏差大于限定值,则判断其为DDoS攻击。
3)Handle查询量排序分析:对查询量较大的具体Handle进行了统计,可将其添加到映射表中,提高后续Handle查询效率。若查询量与某正常Handle查询量的偏差大于限定值,则判断其为DDoS攻击。
4、对于检测模块,根据统计分析进行偏差计算,作为DDoS检测的指标。偏差检测及分层限速处理模块如图4所示。对于超过限定值的标识查询请求,将其Handle标识解析规则映射关系修改为处理服务器的地址,发送至多层限速处理模块进行处理。对于未超过限定值的标识查询请求,予以通过。
5、对于分层限速处理模块,该方法可以有效处理DDoS攻击,最大限度的保证正常的Handle标识查询请求。多层限速处理可以避免含局部Handle前缀字段的标识查询流量占用太多资源,以致于影响系统的整体功能特性。当出现含局部Handle前缀字段的标识查询流量异常变大,则可通过多层限速处理模块实现防御功能,基于Handle系统的DDoS分层限速处理如图5所示。
第一层:判断是否符合某个前缀局部一致的DDoS攻击,若符合,则根据Handle前缀第一段/第二段/第三段分别进行限速,并将前缀字段加入黑名单。避免系统遭受单个前缀字段大量Handle标识查询请求的流量攻击。若不符,则转向第二层限速处理。
第二层:对于Handle标识前缀变化的攻击,从Handle标识后缀的角度进行聚合统计分析,丢弃递归流量较大的Handle。保证正常Handle标识的查询请求。最后转向第三层限速处理。
第三层:对于Handle标识解析请求的地址等,使用现有的地址限速处理。
总之,本发明所述的面向Handle标识体系的DDoS防御方法,包括:对Handle解析日志进行分析,通过数据挖掘技术中的方法挖掘查询端的特征,根据聚类和统计结果计算偏差,作为检测DDoS攻击的指标,对非正常的Handle查询请求进行多层限速处理。检测模块和处理模块分别部署在Handle客户端与本地Handle服务(Local Handle Service,LHS)接入点处的子节点服务器上,在Handle标识解析体系上实现对分布式拒绝服务攻击的检测,提升了工业互联网标识解析系统的安全性。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照本发明实施例进行了详细说明,本领域的普通技术人员应当理解,对本发明的技术方案进行修改或者等同替换,都不脱离本发明的技术方案的精神和范围,其均应涵盖本发明的权利要求保护范围中。

Claims (5)

1.一种面向Handle标识体系的DDoS防御方法,其特征在于:包括以下5个步骤,分别是Handle功能主题确定模块、聚类分析模块、统计分析模块、检测模块、分层限速处理模块;具体如下:
(1)Handle功能主题确定模块,使用了建立Handle分类库和训练Handle分类器两种方式对查询端进行标签化,最后对查询端建立查询文件,该查询文件记录每一个查询端的查询信息;
(2)、聚类分析模块,对查询端特征进行聚类分析;在查询端查询行为文件的基础上构建特征向量来表示查询端查询的兴趣特征,通过K-Means实现查询端的聚类,基于聚类结果,拟合决策树,对聚类的影响因素分析研究;在这个过程中,将兴趣指数离散化;若检测查询过程中,有查询端偏离正常分类,则被判定为异常攻击查询;
(3)、统计分析模块,进行查询特征的多角度统计;首先从时间角度出发,统计日查询、周查询、季查询、年查询变化;然后从Handle功能主题类别展开分析,统计了每个Handle功能主题标签的查询量,了解整体查询端的特征,再从时间和功能主题角度,对热门功能主题标签分析,掌握查询端对Handle功能主题的依赖;接着从Handle的角度展开分析,得到具体Handle查询次数;统计分析模块分为查询端查询积极度统计分析、查询端查询的Handle功能主题统计分析、Handle查询量排序统计分析;
(4)、检测模块,根据统计分析进行偏差计算,作为DDoS检测的指标;对于超过限定值的标识查询请求,将其Handle标识解析规则映射关系修改为处理服务器的地址,发送至多层限速处理模块进行处理;对于未超过限定值的标识查询请求,予以通过。
(5)、分层限速处理模块,有效处理DDoS攻击,最大限度的保证正常的Handle标识查询请求;多层限速处理避免局部Handle前缀字段查询流量占用太多资源,以致于影响系统的整体功能特性;当出现局部Handle前缀字段查询流量异常变大,则通过多层限速处理模块实现防御功能。
2.根据权利要求1所述的一种面向Handle标识体系的DDoS防御方法,其特征在于:步骤(1)中,该过程具有5个步骤:数据预处理、Handle类别标签划分、建立Handle分类库、训练Handle分类器、建立查询端查询行为文件;步骤如下:
1)数据预处理:多站点进行收集;仅保存四项字段,分别是查询端请求日期、时间、查询端IP、Handle,去除无关字段,再进行数据格式的转换;
2)Handle类别标签划分:进行Handle的类别标签划分,应按照企业和Handle所解析的功能主题内容将其分为不同的类别;
3)建立Handle分类库:通过程序模拟客户端Handle查询,获取当前查询内容,对该查询内容中的基本信息和类别元素进行提取,分类别存储,直到将Handle全部处理完毕;在数据库中建立两个表,一个用来存储Handle类别标签和Handle功能主题类别号,另一个用来存储Handle和该Handle对应的功能主题类别号,将处理之后的信息存储在数据库中;
4)训练Handle分类器:查询端查询的Handle在Handle分类库中无法匹配的情况下,利用训练后的朴素贝叶斯Handle分类器进行划分,对未知的Handle进行分类;
5)建立查询端查询行为文件:采用Handle分类库和Handle分类器两种方法进行Handle的分类;在Handle查询日志数据中添加Handle标签字段,以查询端的地址为单位,将查询日期时间、Handle、功能主题分类号存储在查询端查询行为文件中。
3.根据权利要求1或2所述的一种面向Handle标识体系的DDoS防御方法,其特征在于:步骤(2)中,包括以下步骤:
1)构建查询端查询兴趣特征:构建查询端的特征向量T(i)=(Ti1,Ti2,Ti3,...,Tin),查询端Ti1表示在查询端i第一个Handle类别的兴趣指数,查询数据总量用SUM(i)表示,查询端i对于功能主题类别j的查询次数用Nij表示,兴趣指数计算公式如下:
Tij=Nij/SUM(i)
2)查询端特征聚类分析:将每个查询端对应功能主题类别标签的兴趣指数作为输入,对查询端进行特征聚类;采用K-Means聚类算法对查询端进行聚类,对聚类后不同查询群体进行特征统计分析;
3)检测:基于聚类结果,拟合决策树,对聚类影响因素进行探索;在这个过程中,将兴趣指数离散化,分为“兴趣高”和“兴趣低”两个评价指标;若检测查询过程中,有查询端偏离正常分类,则被判定为异常攻击查询。
4.根据权利要求3所述的一种面向Handle标识体系的DDoS防御方法,其特征在于:步骤(3)中,统计分析如下:
1)查询端查询积极度统计:对日志信息进行Handle分类操作,进行统计分析,分为日查询积极度统计、周查询积极度统计、季查询积极度统计、年查询积极度统计;
a、对于日查询积极度统计:对查询端每日查询的时段进行分析,利用统计的方法,提取每日查询端的查询信息表,分析在一天中的不同时间段查询端的个数,获得查询端的查询积极度,从而作为DDoS检测的参考依据;若与某正常日时间段查询量的偏差大于限定值,则判断其为DDoS攻击;
b、对于周查询积极度统计:周六日相较于工作日的查询量偏高,这与用户的空闲时间有关;若在工作日的查询量高于周六日,考虑遭到恶意攻击;若与某正常周查询量的偏差大于限定值,则判断其为DDoS攻击;
c、对于季查询积极度统计:对于不符合季节规律的查询,考虑遭到恶意攻击,进行精确的检测;若与某正常季查询量的偏差大于限定值,则判断其为DDoS攻击;
d、对于年查询积极度统计:对于不符合历史年份规律的查询,考虑遭到恶意攻击,进行精确的检测;若与正常年查询量的偏差大于限定值,则判断其为DDoS攻击;
2)查询端查询的Handle功能主题分析:查询端查询的Handle功能主题统计分为各个类型Handle查询数量统计和热门Handle标签的查询时间段分析;
a、对于不同类型Handle查询数量分析:根据Handle类型的划分,确定查询端查询的Handle类型,查询端对于不同类型Handle的查询比例能反映出查询端的兴趣特征;最后对Handle功能主题标签查询数量进行统计;将各个类型的Handle查询量作为DDoS检测的依据;若与某正常Handle类型查询量的偏差大于限定值,则判断其为DDoS攻击;
b、对于热门Handle标签的查询时间段统计:统计一天当中不同时间段查询量比较大的Handle标签在一段周期内的查询量的变化,得到查询端对这些类的依赖程度,有利于管理者掌握查询端对这些功能主题类型Handle的查询规律;通过Handle标签进行分组,统计工业设备状态信息类、产品追溯信息类、物料数据信息类的Handle标签数量,一个周期设置为一个小时,计算周期内每个标签的查询率TC,该标签被查询的次数表示为TN,该标签被查询的总次数表示为N,查询率计算方法如下:
TC(i)=TN(i)/N(i)
若在周期内查询率与某正常Handle类型查询率的偏差大于限定值,则判断其为DDoS攻击;
3)Handle查询量排序分析:对查询量较大的具体Handle进行统计,将其添加到映射表中,提高后续Handle查询效率;若查询量与某正常Handle查询量的偏差大于限定值,则判断其为DDoS攻击。
5.根据权利要求4所述的一种面向Handle标识体系的DDoS防御方法,其特征在于:步骤(5)中,具体如下:
第一层:判断是否符合某个前缀局部一致的DDoS攻击,若符合,则根据Handle前缀第一段/第二段/第三段分别进行限速,并将前缀字段加入黑名单;避免系统遭受单个前缀字段大量Handle标识查询请求的流量攻击;若不符,则转向第二层限速处理;
第二层:对于Handle标识前缀变化的攻击,从Handle标识后缀的角度进行聚合统计分析,丢弃递归流量较大的Handle,保证正常Handle标识的查询请求;最后转向第三层限速处理;
第三层:对于Handle标识解析请求的地址,使用现有的地址限速处理。
CN202110915978.0A 2021-08-11 2021-08-11 一种面向Handle标识体系的DDoS防御方法 Active CN113645238B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110915978.0A CN113645238B (zh) 2021-08-11 2021-08-11 一种面向Handle标识体系的DDoS防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110915978.0A CN113645238B (zh) 2021-08-11 2021-08-11 一种面向Handle标识体系的DDoS防御方法

Publications (2)

Publication Number Publication Date
CN113645238A true CN113645238A (zh) 2021-11-12
CN113645238B CN113645238B (zh) 2023-04-25

Family

ID=78420607

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110915978.0A Active CN113645238B (zh) 2021-08-11 2021-08-11 一种面向Handle标识体系的DDoS防御方法

Country Status (1)

Country Link
CN (1) CN113645238B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116489085A (zh) * 2023-03-28 2023-07-25 网根科技(青岛)有限公司 一种基于Handle的解析路由安全监测方法和系统
WO2023160227A1 (zh) * 2022-02-24 2023-08-31 江苏省未来网络创新研究院 一种基于sdn的工业互联网标识异常流量识别方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124666A1 (en) * 2009-07-23 2012-05-17 Ahnlab, Inc. Method for detecting and preventing a ddos attack using cloud computing, and server
WO2018135964A1 (ru) * 2017-01-17 2018-07-26 Общество с ограниченной ответственностью "СолидСофт" Способ защиты веб-приложений с использованием автоматического построения моделей приложений
US20190087420A1 (en) * 2017-09-16 2019-03-21 Damien John Dunnington Methods, apparatus and data structures for searching and sorting documents
CN110941611A (zh) * 2019-11-06 2020-03-31 四川长虹电器股份有限公司 基于区块链技术和标识编码技术的标识解析系统实现方法
CN111200605A (zh) * 2019-12-31 2020-05-26 网络通信与安全紫金山实验室 一种基于Handle系统的恶意标识防御方法及系统
CN112751900A (zh) * 2019-10-31 2021-05-04 北京京东尚科信息技术有限公司 一种网络请求处理方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124666A1 (en) * 2009-07-23 2012-05-17 Ahnlab, Inc. Method for detecting and preventing a ddos attack using cloud computing, and server
WO2018135964A1 (ru) * 2017-01-17 2018-07-26 Общество с ограниченной ответственностью "СолидСофт" Способ защиты веб-приложений с использованием автоматического построения моделей приложений
US20190087420A1 (en) * 2017-09-16 2019-03-21 Damien John Dunnington Methods, apparatus and data structures for searching and sorting documents
CN112751900A (zh) * 2019-10-31 2021-05-04 北京京东尚科信息技术有限公司 一种网络请求处理方法和装置
CN110941611A (zh) * 2019-11-06 2020-03-31 四川长虹电器股份有限公司 基于区块链技术和标识编码技术的标识解析系统实现方法
CN111200605A (zh) * 2019-12-31 2020-05-26 网络通信与安全紫金山实验室 一种基于Handle系统的恶意标识防御方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023160227A1 (zh) * 2022-02-24 2023-08-31 江苏省未来网络创新研究院 一种基于sdn的工业互联网标识异常流量识别方法
CN116489085A (zh) * 2023-03-28 2023-07-25 网根科技(青岛)有限公司 一种基于Handle的解析路由安全监测方法和系统
CN116489085B (zh) * 2023-03-28 2023-10-27 网根科技(青岛)有限公司 一种基于Handle的解析路由安全监测方法和系统

Also Published As

Publication number Publication date
CN113645238B (zh) 2023-04-25

Similar Documents

Publication Publication Date Title
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
US12041064B2 (en) Method and system for classifying data objects based on their network footprint
Jha et al. Intrusion detection system using support vector machine
CN104298679B (zh) 应用业务推荐方法及装置
CN111614690A (zh) 一种异常行为检测方法及装置
CN113645238B (zh) 一种面向Handle标识体系的DDoS防御方法
CN108446964B (zh) 一种基于移动流量dpi数据的用户推荐方法
CN104618304B (zh) 数据处理方法及数据处理系统
US20220138271A1 (en) Method, Device and Computer Program for Collecting Data From Multi-Domain
CN111953757B (zh) 基于云计算和智能设备交互的信息处理方法及云端服务器
CN114124503B (zh) 一种逐级并发缓存优化效能的智能网络感知方法
CN110648172B (zh) 一种融合多种移动设备的身份识别方法和系统
Ye et al. Identifying influential individuals on large-scale social networks: A community based approach
CN110460662A (zh) 物联网数据的处理方法和系统
CN110324327A (zh) 基于特定企业域名数据的用户及服务器ip地址标定装置及方法
CN112256880A (zh) 文本识别方法和装置、存储介质及电子设备
Xu et al. [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN
Tang et al. HSLF: HTTP header sequence based lsh fingerprints for application traffic classification
CN112084095B (zh) 基于区块链的能源网联监控方法、系统及存储介质
CN107729206A (zh) 告警日志的实时分析方法、系统和计算机处理设备
Jan et al. Semi-supervised labeling: a proposed methodology for labeling the twitter datasets
CN116227723A (zh) 基于特征引擎的资产定级方法、装置、电子设备及介质
CN116244700A (zh) 一种针对边缘计算中雾节点的信任管理方法
CN113992371B (zh) 一种流量日志的威胁标签生成方法、装置及电子设备
Nanthiya et al. Detection of Distributed Denial of Service in the Application Layer of Iot Using Machine Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant