[发明专利]一种面向主干网中慢速HTTP拒绝服务攻击的检测方法

说明书

本发明公开了一种面向主干网中慢速HTTP拒绝服务攻击(Slow HTTP DoS，SHD)的检测方法，通过本发明提出的方法可以完成对三种不同类型的SHD攻击的检测。本发明中的检测方法分为离线训练阶段和在线检测阶段，离线训练阶段中，根据不同SHD类型的攻击特点，提取若干种具有代表性的单向流量特征数据并构建对应特征组别，这些特征均可以有效应对主干网节点存在大量单向流量的情况；对公开主干网流量数据集进行系统抽样并结合Count‑min Sketch技术存储数据，这很大程度上改善了主干网需要大计算量与高存储空间的问题；最终，使用特定的机器学习方法进行训练，得到攻击检测模型。本发明可以用于主干网等海量流量场景下的SHD攻击行为检测与预警，为维护网络的安全状况提供依据。

技术领域

本发明涉及一种面向主干网中慢速HTTP拒绝服务攻击的检测方法，属于网络空间安全技术领域。

背景技术

当今，DDoS已经成为互联网上直接危害最大、影响范围最广的攻击之一。由于传统的DDoS例如SYN Flood等，在攻击时往往会产生大量流量，现今针对这些大流量DDoS的检测技术已经日趋成熟，因而攻击者们设计出了许多新型的DDoS攻击，这些新型的攻击相较传统方式更加高级、利好攻击者。SHD就是其中一种低速率、小流量且位于应用层的隐蔽攻击。SHD的目标常常可能位于主干网络的关键节点，而通过主干网关键节点的流量是十分庞大的，使SHD流量占比更小。在主干网中检测SHD流量具有挑战性，但可以加固主干网的安全防线，并避免攻击造成的大量损失。因此，在主干网中高效地检测慢速HTTP拒绝服务攻击，具有十分重要的意义。

近几年来，已经有一些学者提出了若干针对SHD的检测方法。现有的方法，大多会观测例如上下行数据包数量、上下行TTL、上下行包间间隔等详尽的双向流数据，并从中选择一些特征以尽可能充分地刻画每条流对应的状态。这些方法在流量不大的小规模网络中能够取得比较理想的效果，但现今主干网中网络速度很快，其中重要网络节点每秒的数据量通常能达到Gbps级别甚至更高，以下几类现有SHD攻击检测方法在大流量的主干网中均存在一定的局限性。

(1)基于潜在流量模式的检测方法。

该种方法需要对SHD的攻击行为以及流量模式进行细致的观察，并通过严格的数学方法推理出SHD流量模式中潜在的数学规律，例如SHD流量的周期性规律、数据包之间长度的关系、数据包间隔时间的关系等。该种方法在非抽样的环境中能够取得较理想的效果，但在主干网这样需要大规模抽样的环境中，抽样后的流量模式会发生改变。抽样率越低，其流量模式的改变就会越大，变得不稳定，因而该种方法的检测率也会急剧下降。因此，这种方法很难应用于主干网中SHD攻击的检测。

(2)基于人工智能的检测方法。

该种方法通过利用人工智能的方法来对流量进行分类，学者们通常会手动或自动地寻找出一些SHD流量存在的特征。这种方法借助了人工智能强大的学习能力以及特定算法在分类问题上的优越性能，因此在检测准确性方面能够取得不错的效果。但现有的利用人工智能的方法很难运用到主干网中，一方面，现有的利用深度学习的检测方法，由于其算法本身的复杂性，对于主干网中的海量数据，很难实现实时的检测。另一方面，现有的利用机器学习的检测方法，基本都选取了大量的参数来作为特征数据，这会进一步增加大量的计算量，使其难以适用于主干网，过多的特征同时意味着它们不具备足够的代表性，也不利于后续防御阶段对流量的分析。此外，这几种方法均基于双向流量，未考虑到只能捕获到单向流量的情况，即非对称路由，然而非对称路由在主干网中是比较常见的。因此，现有的基于人工智能的方法难以应用于主干网中SHD攻击的检测。