[发明专利]基于Web通信群体外联行为的拒绝服务攻击检测方法

说明书

技术领域

本发明涉及一种网络安全技术，尤其涉及一种基于Web通信群体外联行为的拒绝服务攻击检测方法。

背景技术

Web服务是互联网中应用最广泛的应用类型，然而由于其重要的社会和商业价值，Web服务器同时也成为互联网中最主要的被攻击目标。拒绝服务攻击(Distributed Denial-of-Service attack，DDoS)是Web服务器所面临的最重要的威胁之一，DDoS攻击是指攻击者通过傀儡主机，消耗攻击目标的计算资源，阻止目标为合法用户提供服务。可消耗的计算资源可以是CPU、内存、带宽、数据库服务器等。近年来，DDoS攻击可谓层出不穷[1-5]，Amazon，eBay，Yahoo，Sina，Baidu等国内外著名网站都曾受到DDoS攻击，造成了重大的经济损失。

针对DDoS攻击检测和控制已经进行了大量研究[6]。然而，为了规避不断完善的DDoS检测和控制技术，达到理想的攻击效果，攻击者也在不断改进其攻击技术。DDoS攻击多种多样，Mirkovic[6]等人依据攻击包的地址有效性、攻击速率等属性对DDoS攻击进行了详细分类。本发明沿用Xie[7]和肖军等人[8]的分类方法把DDoS攻击分为两大类：一类是网络层DDoS攻击，通过发送大量垃圾包，消耗受害主机处理器资源，阻塞受害主机入口链路，如SYN Flooding；另一类是应用层DDoS攻击，通过建立正常连接，向目标服务器提交大量合法服务请求，消耗服务器计算资源，如HTTP Flooding和CyberSlam[9]。当前，检测和控制网络层DDoS攻击的手段比较丰富，使这类攻击方式得到了比较有效的遏制。当网络层DDoS攻击无法取得满意效果时，攻击者往往会采用应用层DDoS攻击以规避检测。

在应用层DDoS攻击中，攻击端与被攻击目标建立TCP连接，并发送大量表面上合法的请求，传统的网络层DDoS攻击检测方法不再适用。虽然应用层DDoS攻击会使流量迅速增长，但不幸的是，由大量用户集中访问所产生的Flash Crowd具有类似的流量特征，二者很难区分开。目前已有研究人员针对应用层DDoS攻击检测和过滤开展了一些研究，但这些检测方法多适合部署于被攻击端，不能避免应用层DDoS攻击对基础网络带宽的冲击。如果能够在攻击端边界路由器或主干链路检测和过滤攻击数据流，能够有效降低攻击所造成的损害。

发明内容

本发明的目的就是为弥补现有技术的不足，提供一种基于Web通信群体外联行为的拒绝服务攻击检测方法。该检测方法把Web服务器和其客户端看作一个整体(本发明称其为通信群体)，通过分析该通信群体与外界的交互行为，发现外联行为特征参数的异常，并据此检测应用层DDoS攻击的发生。该方法不需要对报文载荷进行分析，计算复杂度低，适合部署于骨干网络。

为实现上述目的，本发明采用如下技术方案：

基于Web通信群体外联行为的拒绝服务攻击检测方法，该方法的检测步骤如下：

Step1：在网络设备上设置端口镜像，使流经该网络设备的所有网络报文被复制发送到网络监控前置机，在网络监控前置机上提取特定Web服务器的通信群体及其外联行为，发送至检测服务器；

Step2：在检测服务器中提取Step1中所述的web服务器通信群体的外联特征：客户端数量CN和与多外联节点连接的客户端数量CN_MLN；用序列{x_n}表示不同时间段内访问多外联节点的客户端数量与客户端总数的比值，{y_n}表示不同时间段内客户端总数与访问多外联节点的客户端数量的比值，{C_n}表示客户端总数，{M_n}表示访问多外联节点的客户端数量，按如下公式计算序列{x_n}与{y_n}在第n个Δt内的值x_n与y_n：