[发明专利]一种面向主干网中慢速HTTP拒绝服务攻击的检测方法

权利要求书

1.一种面向主干网中慢速HTTP拒绝服务攻击的检测方法，其特征在于，该方法包括以下步骤：

步骤(1)获取目前公开的权威主干网数据集与攻击数据集，提取其中的流量数据；根据具体的场景需求，按照的比例对流量进行系统抽样，得到抽样后的流量数据；

步骤(2)分析SHD攻击的原理，提取出若干个能够体现攻击总体特点的单向流量特征数据，并在原始特征数据的基础上，根据不同SHD攻击类型的差异，扩展出特定的单向流量特征数据，从而针对每种SHD攻击构建出特征组别；

步骤(3)在抽样后流量的基础上，按照不同的攻击类型，使用Farm哈希函数、Bitmap以及自定义的Count-min Sketch数据结构提取并存储步骤(2)所述的的特征数据，自定义的Sketch结构还减少存储开销；

步骤(4)根据流量的实际类型，为特征数据添加标签，形成一个带标签的特征向量，标签包括三种攻击流量以及正常流量；

步骤(5)为了进一步提高处理速度，选择复杂度较低的机器学习算法，并将步骤(4)得到的特征向量输入到机器学习算法中进行训练，得到三种SHD攻击的流量模型；

步骤(6)从真实的主干网节点中捕获实时的流量，并按照步骤(1)与步骤(3)的流程分别进行流量抽样与特征数据获取操作，此处的特征数据依然是从单向流量中即可获得的；

步骤(7)将实时产生的无标签的特征向量输入到步骤(5)得到的三种攻击流量模型中，并根据模型的预测输出为特征向量打上相应的标签，以标识对应的流量类型，依照产生的结果进行后续的防御工作。

2.根据权利要求1所述的一种面向主干网中慢速HTTP拒绝服务攻击的检测方法，其特征在于，所述步骤(1)具体包含如下子步骤：

(1.1)获取权威主干网数据集作为背景流量，由于目前互联网上公开的主干网数据集给出的形式并不完全统一，需要按照实际需求从中挑选或者整理出统一格式的数据，以便后续的处理；

(1.2)搭建分布式攻击环境模拟实时攻击，使用权威的SHD攻击工具实施三种类型的SHD攻击，获得攻击流量，并与(1.1)中背景流量的格式相统一；

(1.3)将背景流量与攻击流量进行合并得到混合的流量数据，根据具体的场景需求，按照的比例对混合流量进行系统抽样，得到抽样后的流量数据。

3.根据权利要求1所述的一种面向主干网中慢速HTTP拒绝服务攻击的检测方法，其特征在于，所述步骤(2)具体包含如下子步骤：

(2.1)分析SHD攻击的总体原理，观察不同攻击流量的相似行为，提取出若干个能够体现共同特点的单向流量特征数据，且这些特征不涉及应用层的具体内容，例如无载荷的TCP数据包数量、有载荷的TCP数据包数量、流量的IP，端口分布情况；

(2.2)由于不同类型的SHD攻击特点并不完全相同，需要利用它们在流量上体现出的差异，为每种攻击进一步提炼出特定的单向流量特征数据；

(2.3)根据攻击类型，将SHD的共同特点与对应的特异性特征结合起来，为每种攻击构建出特定的特征组别。

4.根据权利要求1所述的一种面向主干网中慢速HTTP拒绝服务攻击的检测方法，其特征在于，所述步骤(3)具体包含如下子步骤：

(3.1)自定义的Count-min Sketch结构中有多个存储单元，每个存储单元包含了若干Bitmap以及计数器，以保存各种类型的特征数据；每获取一个数据包，Count-min Sketch结构就会更新一次；

(3.2)对于步骤(2.1)中的流量分布情况，无法直接获得，需要将IP，端口进行哈希，为了提高处理速度并降低内存消耗，此处使用Farm哈希函数，再按照特定的处理规则将哈希值映射到自定义Sketch的Bitmap内，最后使用Bitmap中1的数量来表示流量的分布情况；

(3.3)对于步骤(2)中的其他特征，通过特定公式直接获取或者使用自定义Sketch内的计数器进行存储；

(3.4)Count-min Sketch结构中要求每个关键字对应的单元更新k次后，提取一次数据，因此，当同一协议，IP数据包对应的单元更新累积k次后，获取一个特征向量。