CN113779567B - 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质 - Google Patents

一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质 Download PDF

Info

Publication number
CN113779567B
CN113779567B CN202111061684.2A CN202111061684A CN113779567B CN 113779567 B CN113779567 B CN 113779567B CN 202111061684 A CN202111061684 A CN 202111061684A CN 113779567 B CN113779567 B CN 113779567B
Authority
CN
China
Prior art keywords
attack
node
access
thread
level threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111061684.2A
Other languages
English (en)
Other versions
CN113779567A (zh
Inventor
史建焘
刘立坤
余翔湛
叶麟
李精卫
韦贤葵
石开宇
车佳臻
赵跃
冯帅
王久金
宋赟祖
谭通海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology
Original Assignee
Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology filed Critical Harbin Institute of Technology
Priority to CN202111061684.2A priority Critical patent/CN113779567B/zh
Publication of CN113779567A publication Critical patent/CN113779567A/zh
Application granted granted Critical
Publication of CN113779567B publication Critical patent/CN113779567B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/48Indexing scheme relating to G06F9/48
    • G06F2209/481Exception handling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/50Indexing scheme relating to G06F9/50
    • G06F2209/508Monitor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/54Indexing scheme relating to G06F9/54
    • G06F2209/548Queue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/4881Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种面向DPI多核的缓存丢失攻击的防御方法、计算机及存储介质,属于智能防御技术领域。建立多核的算法攻击防御框架,将所有业务线程逻辑上划分为常规线程和攻击线程。流量经负载调度模块分发给常规线程,常规线程运行常用模式匹配算法进行模式匹配。当攻击检测模块检测到缓存攻击时,将攻击流下发给负载调度模块,其将攻击后续流转移到攻击线程处理。常规线程和攻击线程的数量可以根据CPU的压力情况进行自动切换,同时,将自己的线程变更后的类型反馈给负载调度模块,在负载调度模块对反馈确认前,将线程间已经收到的报文进行交换,避免报文的丢失。解决现有技术存在的DPI系统受到攻击时,处理严重延迟或丢包的技术问题。

Description

一种面向DPI缓存丢失攻击的防御方法、计算机及存储介质
技术领域
本申请涉及一种攻击防御方法,尤其涉及一种面向DPI缓存丢失攻击的防御方法、计算机及存储介质,属于智能防御技术领域。
背景技术
DDoS攻击因成本低、攻击效果明显等特点,是互联网用户面临的最常见、影响较大的网络安全威胁,其在国家间网络战,学术界、企业界以及黑客界等均有大量人员参与攻防对抗。算法复杂度攻击是典型的应用层DDos攻击,该攻击通过精心设计报文,使得处理应用层数据的算法始终运行在最坏时间复杂度上,从而消耗大量系统时空资源,迫使DPI停止检查部分或全部流量。
作为网络安全的第一道防线,深度报文检测系统(DPI)是缓存攻击的重要目标。攻击者使用探测手段获取部分模式作为先验知识,然后,根据常用的模式匹配算法修改已知模式部分字符作为攻击样本,最后,通过大量重放攻击样本实施攻击。网络犯罪分子实施缓存攻击,可能会摧毁DPI,随着系统的崩溃或合法流量下降,攻击者随后针对受DPI保护的服务器,发送大量垃圾流量或者特定设计的攻击数据。
DPI缓存丢失攻击是针对模式匹配模块发起的算法复杂度攻击,现有的防御方法主要有优化模式匹配算法,改进正则表达式匹配的攻击检测算法等,现有的防御方法存在DPI系统受到攻击时,处理严重延迟或丢包的技术问题,而且这些防御方法都是聚焦算法本身,没有利用多核的硬件特征。本发明将从多核架构的基础上,采用将正常流量和攻击流量进行多核调度的方式防御DPI缓存丢失攻击。
发明内容
在下文中给出了关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的更详细描述的前序。
鉴于此,本发明为了解决现有技术存在的DPI系统受到攻击时,处理严重延迟或丢包的技术问题,本发明提供了一种面向DPI缓存丢失攻击的防御方法、计算机及存储介质方案。
一种面向DPI多核的缓存丢失攻击的防御方法,包括以下步骤:
步骤一、系统启动,运行在正常模式下,所有线程为常规线程,输入流量,启动基于I级和II级的两级阈值攻击检测方法,设置CPU压力阈值P,启动CPU压力监控;
步骤二、根据步骤一所述的攻击检测方法识别输入的流量是否存在攻击,若识别存在攻击,执行步骤三,若识别不存在攻击,继续执行当前步骤;
步骤三、系统切换到紧急模式,检查常规线程中的CPU压力情况,若某个常规线程的CPU压力超过阈值P,则将压力超过阈值的常规线程转换为攻击线程,将攻击流反馈至负载调度模块,执行步骤四,否则返回步骤二继续识别输入的流量是否存在攻击;
步骤四、将常规线程中的攻击流量调度到攻击线程的交换队列,攻击线程中的非攻击流量调度到常规线程的交换队列,执行步骤五;
步骤五、检查各线程中的CPU压力情况,当常规线程平均压力小,攻击线程压力很大时,增加一个常规线程,并将常规线程转换为攻击线程,根据流类型交换攻击线程和常规线程之间的报文;当常规线程平均压力增大,攻击线程压力变小时,减少一个攻击线程,将攻击线程转换为常规线程,取消两个线程之间的报文交换;若所有线程压力都小于阈值时,系统切换到正常模式,执行步骤二。
优选的,步骤一所述基于I级和II级的两级阈值攻击检测方法的具体方法是,包括以下步骤:
步骤一一、重构模式匹配算法自动机,选择≥4层的所有节点,为每个选择的节点增加被访问次数t、I级阈值L1和II级阈值L2后执行步骤二;
步骤一二、自动机接收待匹配数据T,将I级阈值L1阈值节点比例p1和II级阈值L2阈值节点比例p2设置为0,匹配指针指向T的首字符,扫描当前字符,执行步骤三;
步骤一三、统计节点访问次数;判断节点访问次数是否超过I级阈值L1,若当前节点访问次数超过I级阈值L1时,执行步骤四;若当前节点访问次数未超过I级阈值L1时,将当前节点访问次数与II级阈值L2比较,若当前节点访问次数超过II级阈值L2时,执行步骤五,若当前节点访问次数未超过II级阈值L2将匹配指针指向T的下一个字符,扫描下一个字符,执行当前步骤;
步骤一四、计算超过I级阈值L1节点访问比例p1;若当前节点访问次数超过节点访问比例p1识别当前节点访问为攻击;若当前节点访问次数未超过节点访问比例p1,返回步骤三;
步骤一五、计算超过II级阈值L2节点访问比例p2;若当前节点访问次数超过节点访问比例p2识别当前节点访问为攻击;若当前节点访问次数未超过节点访问比例p2,返回步骤三。
优选的,步骤一一所述设置I级阈值L1的具体方法是,I级阈值取正常流量经过一定时间后每个节点的最大值;
L1i=max{ni}。
优选的,步骤一一所述设置II级阈值L2的具体方法是:
L2i=(1+m)×L1i,where 0<m<2
其中,m表示预先设置的阈值系数。
优选的,步骤一四所述计算超过I级阈值L1的节点访问比例p1的具体方法是:
Figure BDA0003256874930000031
其中,t表示节点的访问次数,k表示设置的阈值节点数,阈值节点应设置在低频访问节点,在真实流量下,AC自动机的高频访问节点在前5层,前3层访问最多,为了防止假阴性率高,将前3层作为高频访问节点,两级阈值设置在≥4层的所有节点。
优选的,步骤一五所述计算超过II级阈值L2的节点访问比例p2的具体方法是:
Figure BDA0003256874930000032
where p2<p1
其中,t表示节点的访问次数,k表示设置的阈值节点数,阈值节点应设置在低频访问节点,在真实流量下,AC自动机的高频访问节点在前5层,前3层访问最多,为了防止假阴性率高,将前3层作为高频访问节点,两级阈值设置在≥4层的所有节点。
一种计算机,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现一种面向DPI缓存丢失攻击的防御方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现一种面向DPI缓存丢失攻击的防御方法。
本发明的有益效果如下:本发明提出一种面向DPI缓存丢失攻击的防御方法,基于多核的缓存攻击建立防御机制:在资源有限的情况下,利用多核的并行特性,重新调度将攻击流从正常流中分离出来,并指定攻击线程来处理攻击流。这样既可以保证正常流的业务处理,又可以记录部分攻击流以及攻击特征分析与溯源,解决了现有技术存在的DPI系统受到攻击时,处理严重延迟或丢包的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例所述防御方法流程意图;
图2为本发明实施例所述线程交换示意图;
图3为本发明实施例所述缓存攻击模型;
图4为本发明实施例所述基于多核防御方法架构示意图;
图5为本发明实施例所述模式匹配算法扫描结构示意图。
具体实施方式
为了使本申请实施例中的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1、参照图1-图5,说明本实施方式,本实施例的一种面向DPI多核的缓存丢失攻击的防御方法,本发明针对缓存攻击,提出了基于I级和II级的两级阈值攻击检测方法和基于多核的缓存攻击防御方法。
缓存攻击模型包括两个攻击向量,如图3所示,攻击向量一的目标是DPI系统,效果是使其消耗大量时空资源,导致处理严重延迟或丢包,攻击向量二的目标是DPI系统保护的内网资源,效果是在攻击向量一的基础上将蠕虫、病毒、木马等传输到受害者。本发明主要针对攻击向量一的攻击及防御。
构建攻击数据
1、攻击者通过公开数据集或社会工程方法获取一些DPI系统的部分模式集,作为先验知识。
2、根据不同的模式匹配算法,对先验知识进行预处理,预处理的结果为攻击数据的候选集。预处理的方法为将已获得的模式按模式匹配算法扫描,将扫描的最后一个字符去掉或替换成其它字符。举例如下:AC算法扫描的最后一个字符是模式的最后一个字符,将其直接删除。如图5所述。
一种面向DPI多核的缓存丢失攻击的防御方法,包括以下步骤:
步骤一、系统启动,运行在正常模式下,所有线程为常规线程,输入流量,启动基于I级和II级的两级阈值攻击检测方法,设置CPU压力阈值P,启动CPU压力监控;
所述I级和II级的两级阈值攻击检测方法为实施例1所述的一种两级阈值攻击检测方法;
步骤二、根据步骤一所述的攻击检测方法识别输入的流量是否存在攻击,若识别存在攻击,执行步骤三,若识别不存在攻击,继续执行当前步骤;
步骤三、系统切换到紧急模式,检查常规线程中的CPU压力情况,若某个常规线程的CPU压力超过阈值P,则将压力超过阈值的常规线程转换为攻击线程,将攻击流反馈至负载调度模块,执行步骤四,否则返回步骤二继续识别输入的流量是否存在攻击;
步骤四、将常规线程中的攻击流量调度到攻击线程的交换队列,攻击线程中的非攻击流量调度到常规线程的交换队列,执行步骤五;
步骤五、检查各线程中的CPU压力情况,当常规线程平均压力小,攻击线程压力很大时,增加一个常规线程,并将常规线程转换为攻击线程,根据流类型交换攻击线程和常规线程之间的报文;当常规线程平均压力增大,攻击线程压力变小时,减少一个攻击线程,将攻击线程转换为常规线程,取消两个线程之间的报文交换;若所有线程压力都小于阈值时,系统切换到正常模式,执行步骤二。
系统有两种运行状态:正常模式和紧急模式。当系统在正常模式下运行时,所有线程都是常规线程,并且流量的处理方式与一般的NIDS相同。一旦攻击检测模块发送攻击反馈,系统立即切换到紧急模式,此时,选择一个CPU压力小的常规线程转换为攻击线程,当常规线程压力较小,攻击线程压力大时,增加一个攻击线程,当常规线程和攻击线程压力都在阈值以下时,取消攻击线程,系统切换到正常模式。线程自动切换示例如图2所示。
具体的,步骤一所述基于I级和II级的两级阈值攻击检测方法的具体方法是,包括以下步骤:
步骤一一、重构模式匹配算法自动机,选择≥4层的所有节点,为每个选择的节点增加被访问次数t、I级阈值L1和II级阈值L2后执行步骤二;
步骤一二、自动机接收待匹配数据T,将I级阈值L1阈值节点比例p1和II级阈值L2阈值节点比例p2设置为0,匹配指针指向T的首字符,扫描当前字符,执行步骤三;
步骤一三、统计节点访问次数;判断节点访问次数是否超过I级阈值L1,若当前节点访问次数超过I级阈值L1时,执行步骤四;若当前节点访问次数未超过I级阈值L1时,将当前节点访问次数与II级阈值L2比较,若当前节点访问次数超过II级阈值L2时,执行步骤五,若当前节点访问次数未超过II级阈值L2将匹配指针指向T的下一个字符,扫描下一个字符,执行当前步骤;
步骤一四、计算超过I级阈值L1节点访问比例p1;若当前节点访问次数超过节点访问比例p1识别当前节点访问为攻击;若当前节点访问次数未超过节点访问比例p1,返回步骤三;
步骤一五、计算超过II级阈值L2节点访问比例p2;若当前节点访问次数超过节点访问比例p2识别当前节点访问为攻击;若当前节点访问次数未超过节点访问比例p2,返回步骤三。
具体的,步骤一一所述设置I级阈值L1的具体方法是,I级阈值取正常流量经过一定时间后每个节点的最大值;
L1i=max{ni}。
具体的,步骤一一所述设置II级阈值L2的具体方法是:
L2i=(1+m)×L1i,where 0<m<2
其中,m表示预先设置的阈值系数。
具体的,步骤一四所述计算超过I级阈值L1的节点访问比例p1的具体方法是:
Figure BDA0003256874930000061
其中,t表示节点的访问次数,k表示设置的阈值节点数,阈值节点应设置在低频访问节点,在真实流量下,AC自动机的高频访问节点在前5层,前3层访问最多,为了防止假阴性率高,将前3层作为高频访问节点,两级阈值设置在≥4层的所有节点。
具体的,步骤一五所述计算超过II级阈值L2的节点访问比例p2的具体方法是:
Figure BDA0003256874930000062
where p2<p1
其中,t表示节点的访问次数,k表示设置的阈值节点数,阈值节点应设置在低频访问节点,在真实流量下,AC自动机的高频访问节点在前5层,前3层访问最多,为了防止假阴性率高,将前3层作为高频访问节点,两级阈值设置在≥4层的所有节点。
一种面向DPI多核的缓存丢失攻击的防御方法的工作原理:基于多核的算法复杂度攻击防御框架如图4所示,将所有业务线程逻辑上划分为常规线程和攻击线程。流量经负载调度模块分发给常规线程,常规线程运行常用模式匹配算法进行模式匹配。当攻击检测模块检测到缓存攻击时,将攻击流下发给负载调度模块,其将攻击后续流转移到攻击线程处理。常规线程和攻击线程的数量可以根据CPU的压力情况进行自动切换,同时,将自己的线程变更后的类型反馈给负载调度模块,在负载调度模块对反馈确认前,线程间已经收到的报文需要进行交换,避免报文的丢失。
本发明的计算机装置可以是包括有处理器以及存储器等装置,例如包含中央处理器的单片机等。并且,处理器用于执行存储器中存储的计算机程序时实现上述的基于CREO软件的可修改由关系驱动的推荐数据的推荐方法的步骤。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
计算机可读存储介质实施例
本发明的计算机可读存储介质可以是被计算机装置的处理器所读取的任何形式的存储介质,包括但不限于非易失性存储器、易失性存储器、铁电存储器等,计算机可读存储介质上存储有计算机程序,当计算机装置的处理器读取并执行存储器中所存储的计算机程序时,可以实现上述的基于CREO软件的可修改由关系驱动的建模数据的建模方法的步骤。
所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (7)

1.一种面向DPI多核的缓存丢失攻击的防御方法,其特征在于,包括以下步骤:
步骤一、系统启动,运行在正常模式下,所有线程为常规线程,输入流量,启动基于
Figure 254890DEST_PATH_IMAGE001
级和
Figure 357976DEST_PATH_IMAGE002
级的两级阈值攻击检测方法,设置CPU压力阈值P,启动CPU压力监控,包括以下步骤:
步骤一一、重构模式匹配算法自动机,选择大于或等于4层的所有节点,为每个选择的节点设置被访问次数
Figure 127348DEST_PATH_IMAGE003
Figure 632279DEST_PATH_IMAGE004
级阈值
Figure 930536DEST_PATH_IMAGE005
Figure 786497DEST_PATH_IMAGE006
级阈值
Figure 359561DEST_PATH_IMAGE007
后执行步骤一二;
步骤一二、自动机接收待匹配数据T,将
Figure 453419DEST_PATH_IMAGE004
级阈值
Figure 453736DEST_PATH_IMAGE005
节点访问比例
Figure 531413DEST_PATH_IMAGE008
Figure 908168DEST_PATH_IMAGE006
级阈值
Figure 125041DEST_PATH_IMAGE007
节点访问比例
Figure 296260DEST_PATH_IMAGE009
设置为0,匹配指针指向T的首字符,扫描当前字符,执行步骤一三;
步骤一三、统计节点访问次数;判断节点访问次数是否超过
Figure 595654DEST_PATH_IMAGE004
级阈值
Figure 510520DEST_PATH_IMAGE005
,若当前节点访问次数超过
Figure 844550DEST_PATH_IMAGE004
级阈值
Figure 186669DEST_PATH_IMAGE005
时,执行步骤一四;若当前节点访问次数未超过
Figure 238939DEST_PATH_IMAGE004
级阈值
Figure 691917DEST_PATH_IMAGE005
时,将当前节点访问次数与
Figure 880453DEST_PATH_IMAGE006
级阈值
Figure 659053DEST_PATH_IMAGE007
比较,若当前节点访问次数超过
Figure 933039DEST_PATH_IMAGE006
级阈值
Figure 189708DEST_PATH_IMAGE007
时,执行步骤一五,若当前节点访问次数未超过
Figure 229821DEST_PATH_IMAGE006
级阈值
Figure 179323DEST_PATH_IMAGE007
将匹配指针指向T的下一个字符,扫描下一个字符,执行当前步骤;
步骤一四、计算超过
Figure 675026DEST_PATH_IMAGE001
级阈值
Figure 965DEST_PATH_IMAGE005
节点访问比例
Figure 898514DEST_PATH_IMAGE011
;若当前节点访问次数超过
Figure 753338DEST_PATH_IMAGE001
级阈值
Figure 1916DEST_PATH_IMAGE005
的节点比例超过节点访问比例
Figure 600388DEST_PATH_IMAGE013
识别当前节点访问为攻击;若当前节点访问次数超过
Figure 352443DEST_PATH_IMAGE001
级阈值
Figure 909326DEST_PATH_IMAGE005
节点比例未超过节点访问比例
Figure 379622DEST_PATH_IMAGE013
,返回步骤一三;
步骤一五、计算超过
Figure 772995DEST_PATH_IMAGE002
级阈值
Figure 645137DEST_PATH_IMAGE007
节点访问比例
Figure 107342DEST_PATH_IMAGE015
;若当前节点访问次数超过
Figure 799354DEST_PATH_IMAGE002
级阈值
Figure 5208DEST_PATH_IMAGE007
的节点比例超过节点访问比例
Figure DEST_PATH_IMAGE017
识别当前节点访问为攻击;若当前节点访问次数超过
Figure 935118DEST_PATH_IMAGE002
级阈值
Figure 568224DEST_PATH_IMAGE007
节点比例未超过节点访问比例
Figure DEST_PATH_IMAGE019
,返回步骤一三;
步骤二、根据步骤一所述的攻击检测方法识别输入的流量是否存在攻击,若识别存在攻击,执行步骤三,若识别不存在攻击,继续执行当前步骤;
步骤三、系统切换到紧急模式,检查常规线程中的CPU压力情况,若某个常规线程的CPU压力超过阈值P,则将压力超过阈值的常规线程转换为攻击线程,将攻击流反馈至负载调度模块,执行步骤四,否则返回步骤二继续识别输入的流量是否存在攻击;
步骤四、将常规线程中的攻击流量调度到攻击线程的交换队列,攻击线程中的非攻击流量调度到常规线程的交换队列,执行步骤五;
步骤五、检查各线程中的CPU压力情况,当常规线程cpu平均压力小,攻击线程cpu压力很大时,增加一个常规线程,并将常规线程转换为攻击线程,根据流类型交换攻击线程和常规线程之间的报文;当常规线程平均cpu压力增大,攻击线程cpu压力变小时,减少一个攻击线程,将攻击线程转换为常规线程,取消两个线程之间的报文交换;若所有线程压力都小于阈值时,系统切换到正常模式,执行步骤二。
2.根据权利要求1所述的防御方法,其特征在于,步骤一一所述设置
Figure 950795DEST_PATH_IMAGE004
级阈值
Figure 960340DEST_PATH_IMAGE005
的具体方法是,
Figure 807073DEST_PATH_IMAGE004
级阈值取正常流量经过一定时间后每个节点的最大值;
Figure DEST_PATH_IMAGE020
3.根据权利要求2所述的防御方法,其特征在于,步骤一一所述设置
Figure 545834DEST_PATH_IMAGE002
级阈值
Figure 743597DEST_PATH_IMAGE007
的具体方法是:
Figure 25674DEST_PATH_IMAGE021
其中,m表示预先设置的阈值系数。
4.根据权利要求3所述的防御方法,其特征在于,步骤一四所述计算超过
Figure 461335DEST_PATH_IMAGE001
级阈值
Figure 436244DEST_PATH_IMAGE005
的节点访问比例
Figure 855724DEST_PATH_IMAGE008
的具体方法是:
Figure 941492DEST_PATH_IMAGE022
其中,
Figure 762817DEST_PATH_IMAGE003
表示节点的访问次数,
Figure 908628DEST_PATH_IMAGE023
表示设置的阈值节点数,阈值节点应设置在低频访问节点,在真实流量下,模式匹配算法自动机的高频访问节点在前5层,前3层访问最多,为了防止假阴性率高,将前3层作为高频访问节点,两级阈值设置在大于或等于4层的所有节点。
5.根据权利要求4所述的防御方法,其特征在于,步骤一五所述计算超过
Figure 284245DEST_PATH_IMAGE002
级阈值
Figure 911054DEST_PATH_IMAGE007
的节点访问比例
Figure 852466DEST_PATH_IMAGE009
的具体方法是:
Figure 903598DEST_PATH_IMAGE024
其中,
Figure 32091DEST_PATH_IMAGE003
表示节点的访问次数,
Figure 725241DEST_PATH_IMAGE023
表示设置的阈值节点数,阈值节点应设置在低频访问节点,在真实流量下,模式匹配算法自动机的高频访问节点在前5层,前3层访问最多,为了防止假阴性率高,将前3层作为高频访问节点,两级阈值设置在大于或等于4层的所有节点。
6.一种计算机,其特征在于,包括存储器和处理器,存储器存储有计算机程序,所述的处理器执行所述计算机程序时实现权利要求1至5任一项所述的一种面向DPI多核的缓存丢失攻击的防御方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的一种面向DPI多核的缓存丢失攻击的防御方法。
CN202111061684.2A 2021-09-10 2021-09-10 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质 Active CN113779567B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111061684.2A CN113779567B (zh) 2021-09-10 2021-09-10 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111061684.2A CN113779567B (zh) 2021-09-10 2021-09-10 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质

Publications (2)

Publication Number Publication Date
CN113779567A CN113779567A (zh) 2021-12-10
CN113779567B true CN113779567B (zh) 2022-09-13

Family

ID=78842271

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111061684.2A Active CN113779567B (zh) 2021-09-10 2021-09-10 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质

Country Status (1)

Country Link
CN (1) CN113779567B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039887A (zh) * 2020-08-31 2020-12-04 杭州安恒信息技术股份有限公司 Cc攻击防御方法、装置、计算机设备和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI617939B (zh) * 2016-12-01 2018-03-11 財團法人資訊工業策進會 攻擊節點偵測裝置、方法及其電腦程式產品
CN106790292A (zh) * 2017-03-13 2017-05-31 摩贝(上海)生物科技有限公司 基于行为特征匹配和分析的web应用层攻击检测与防御方法
CN111181932B (zh) * 2019-12-18 2022-09-27 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039887A (zh) * 2020-08-31 2020-12-04 杭州安恒信息技术股份有限公司 Cc攻击防御方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN113779567A (zh) 2021-12-10

Similar Documents

Publication Publication Date Title
US11856021B2 (en) Detecting and mitigating poison attacks using data provenance
US9544272B2 (en) Detecting image spam
US20180248896A1 (en) System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
US7937480B2 (en) Aggregation of reputation data
US8214497B2 (en) Multi-dimensional reputation scoring
US20070130350A1 (en) Web Reputation Scoring
US20080178259A1 (en) Reputation Based Load Balancing
CN112567707A (zh) 用于生成和部署动态虚假用户账户的增强技术
WO2018099206A1 (zh) 一种apt检测方法、系统及装置
AU2008207924A1 (en) Web reputation scoring
CN112738107B (zh) 一种网络安全的评价方法、装置、设备及存储介质
Hammad et al. Intrusion detection system using feature selection with clustering and classification machine learning algorithms on the unsw-nb15 dataset
CN115456192A (zh) 一种联邦学习模型投毒防御方法、终端及存储介质
Kumar et al. Detection of malware using deep learning techniques
CN113779567B (zh) 一种面向dpi缓存丢失攻击的防御方法、计算机及存储介质
JP2005316779A (ja) 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
CN115952375A (zh) 一种威胁情报数据有效性验证方法
CN113596044B (zh) 一种网络防护方法、装置、电子设备及存储介质
EP3965362A1 (en) Machine learning to determine domain reputation, content classification, phishing sites, and command and control sites
CN112968891B (zh) 网络攻击防御方法、装置及计算机可读存储介质
CN113760664B (zh) 一种两级阈值攻击检测方法、计算机及存储介质
US11425092B2 (en) System and method for analytics based WAF service configuration
Mathew et al. Genetic algorithm based layered detection and defense of HTTP botnet
Arya et al. Multi layer detection framework for spear-phishing attacks
CN111712868B (zh) 检索装置、检索方法、以及记录介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant