(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号 CN 103095711 A
(43)申请公布日 2013.05.08
(21)申请号 CN201310018798.8
(22)申请日 2013.01.18
(71)申请人 重庆邮电大学
    地址 400065 重庆市南岸区黄桷垭崇文路2号
(72)发明人 徐川 唐红 赵国锋 杜成 张毅
(74)专利代理机构 重庆市恒信知识产权代理有限公司
    代理人 刘小红
(51)Int.CI
      H04L29/06
      H04L29/08
                                                                  权利要求说明书 说明书 幅图
(54)发明名称
      一种针对网站的应用层DDoS攻击检测方法和防御系统
(57)摘要
      本发明涉及一种应用层DDoS攻击检测方法及防御系统,涉及网络安全,特别是应用层DDoS攻击检测与防御。本发明通过对用户访问行为进行分析,提出了基于用户点击序列预测的检测方法与防御系统。首先提取网站的页面URL,利用聚类算法进行聚类,得到该网站的页面分类
法律状态
法律状态公告日
cms系统搭建
法律状态信息
法律状态
2022-11-18
专利权的转移IPC(主分类):H04L29/06专利号:ZL2013100187988登记生效日:20221104变更事项:专利权人变更前权利人:西安龙合林创知识产权代理有限公司变更后权利人:深圳占领信息技术有限公司变更事项:地址变更前权利人:710061 陕西省西安市雁塔区含光南段10号含光小区办公楼2层东边222号房变更后权利人:518101 广东省深圳市宝安区西乡街道劳动社区万庭大厦1号楼1111
专利申请权、专利权的转移
权 利 要 求 说 明 书
1. 一种针对网站的应用层DDoS攻击检测方法,其特征在于,包括如下步骤:       
提取网站的页面URL,利用K-means聚类算法对HTTP请求按照网站进行分类,得到该网站的页面分类集合<i>V</i><sub><i>j</i></sub>,<i>j</i>为页面类型,进而得到用户点击序列<i>u</i><sub><i>i</i></sub>={<i>x</i><sub><i>1</i></sub>,<i>x</i><sub><i>2</i></sub>,…,<i>x</i><sub><i>n</i></sub>},<i>i</i>为独立用户数;       
利用用户点击序列<i>u</i><sub><i>i</i></sub>={<i>x</i><sub><i>1</i></sub>,<i>x</i><sub><i>2</i></sub>,…,<i>x</i><sub><i>n</i></sub>}训练得到页面转移概率矩阵<i>P</i><sub><i>Vj</i></sub>;       
根据用户点击序列<i>u</i><sub><i>i</i></sub>={<i>x</i><sub><i>1</i></sub>,<i>x</i><sub><i>2</i></sub>,…,<i>x</i><sub><i>n</i></sub>},构造该用户所访问页面随机游走图;       
根据用户当前观测周期内的用户点击序列<i>u</i><sub><i>i</i></sub>={<i>x</i><sub><i>1</i></sub>,<i>x</i><sub><i>2</i></sub>,…,<i>x</i><sub><i>n</i></sub>}、页面转移概率矩阵<i>P</i><sub><i>Vj</i></sub>和页面随机游走图进行随机游走计算,预测得到用户下一观测周期的用户点击序列<i>u</i><sup><i>’</i></sup><sub><i>i</i></sub>={<i>x</i><sup><i>’</i></sup><sub><i>1</i></sub>,<i>x</i><sup><i>’</i></sup><sub><i>2</i></sub>,…,<i>x</i><sup><i>’</i></sup><sub><i>n</i></sub>};       
计算当前观测周期内的用户点击序列<i>u</i><sub><i>i</i></sub>={<i>x</i><sub><i>1</i></sub>,<i>x</i><sub><i>2</i></sub>,…,<i>x</i><sub><i>n</i></sub>}和下一观测周期的用户点击序列<i>u</i><sup><i>’</i></sup><sub><i>i</i></sub>={<i>x</i><sup><i>’</i></sup><sub><i>1</i></sub>,<i>x</i><sup><i>’</i></sup><sub><i>2</i></sub>,…,<i>x</i><sup><i>’</i></sup><sub><i>n</i></sub>}的序列相似度;       
根据序列相似度与阈值进行比较判断用户点击序列<i>u</i><sub><i>i</i></sub>是否正常,如果序列相似度小于阈值则表明该用户点击序列<i>u</i><sub><i>i</i></sub>为攻击序列,反之为正常访问序列。       
2.根据权利要求1所述一种针对网站的应用层DDoS攻击检测方法,其特征在于:所述得到页面分类集合<i>V</i><sub><i>j</i></sub>后,将HTTP请求与页面分类集合<i>V</i><sub><i>j</i></sub>进行匹配,进而得到用户点击序列<i>u</i><sub><i>i</i></sub>={<i>x</i><sub><i>1</i></sub>,<i>x</i><sub><i>2</i></sub>,…,<i>x</i><sub><i>n</i></sub>}。       
3.根据权利要求1所述一种针对网站的应用层DDoS攻击检测方法,其特征在于:所述随机游走计算中的概率分布向量计算公式为                                               ,其中<i>p</i>为邻接矩阵,<i>s</i><sub>0</sub>为初始概率分布向量,为跳转发生概率,<i>d</i>为发生跳转时跳转到每个顶点的概率分布向量。       
4.根据权利要求1所述一种针对网站的应用层DDoS攻击检测方法,其特征在于:所述序列相似度的计算公式为,<i>u</i><sub><i>i</i></sub>表示当前观测周期内的用户点击序列,<i>u</i><sup><i>’</i></sup>表示下一观测周期的用户点击序列。       
5.一种针对网站的应用层DDoS攻击防御系统,其特征在于:包括请求处理模块(1)、模型训练模块(2)、序列预测模块(3)和异常检测模块(4),其中,请求处理模块(1)利用
K-means聚类算法对HTTP请求按照网站进行分类,得到分类集合<i>V</i><sub><i>j</i></sub>,进而得到用户点击序列<i>u</i><sub><i>i</i></sub>,并将用户点击序列<i>u</i><sub><i>i</i></sub>传交到模型训练模块(2)和序列预测模块(3);模型训练模块(2)根据用户点击序列<i>u</i><sub><i>i</i></sub>构造随机游走图,获得网站页面转移概率矩阵<i>P</i><sub><i>Vj</i></sub>,并提交给序列检测模块(3);序列预测模块(3)在用户点击序列<i>u</i><sub><i>i</i></sub>的当前观测周期的基础上,根据随机游走图预测下一个观测周期用户点击序列<i>u</i><sup><i>’</i></sup><sub><i>i</i></sub>;异常检测模块(4)将当前观测周期内的用户点击序列<i>u</i><sub><i>i</i></sub>和下一个观测周期用户点击序列<i>u</i><sup><i>’</i></sup><sub><i>i</i></sub>进行序列相似度计算。       
说  明  书
<p>技术领域   
本发明涉及网络安全领域,尤其是涉及针对网站的应用层DDoS攻击检测方法和防御系统。   
背景技术   
分布式拒绝服务攻击(Distributed Denial of Service, DDoS),一直是互联网业务提供者-Web服务器所面临的最为严重的威胁之一。传统基于网络层或传输层的DDoS攻击方式已经被日益成熟的网络防护技术(防火墙、入侵检测技术等)很好地检测,同时计算模式的变化使得更多的服务通过Web进行交互,这加速了DDoS攻击方式向应用层发展。发生在应用层的DDoS攻击通常采用真实IP地址作为攻击节点,利用应用层协议的漏洞,向目标服务器发送大量基于HTTP合法协议的攻击请求,可轻松穿越网络防护系统,这无疑使它成为当前Web服务器急需解决的安全问题。