[发明专利]一种基于行为触发的防御链路耗尽型CC攻击的方法

摘要

本发明涉及网络安全技术，旨在提供一种基于行为触发的防御链路耗尽型CC攻击的方法。该种基于行为触发的防御链路耗尽型CC攻击的方法包括步骤：统计攻击者对保护对象不同网站实例的访问次数，判断是否偏离预估值；对疑似IP组进行规则验证，若通过则疑似IP组中的所有IP被判定为链路耗尽型CC攻击并报警；对通过规则验证的IP组进行关联分析，对链路耗尽型CC攻击进行提前防御。本发明利用行为触发让服务器只在触发的时候进行链路耗尽型CC攻击的组规则验证，并且这些规则在有很强普适性的同时能在线性时间复杂度内被验证，最后通过关联分析使该方法有提前防御链路耗尽型CC攻击的功能。

主权项

1.一种基于行为触发的防御链路耗尽型CC攻击的方法，用于防御攻击者对保护对象进行CC攻击，其特征在于，所述基于行为触发的防御链路耗尽型CC攻击的方法具体包括下述步骤：(1)行为触发：统计攻击者在负载均衡技术下，对保护对象不同网站实例的访问次数，利用GMM拟合该攻击者的总访问次数，然后判断当前的总访问次数是否偏离预估值；当超出拟合曲线预估值的某个阈值时，即视为满足触发条件，进而进行步骤(2)的组规则验证；设GMM拟合曲线的函数为：其中，N(·)表示高斯函数，π_k，μ_k，分别是第k个高斯函数的权重、均值、方差；设当前时间点为T，则前一天T时刻的预估值为前一个星期T时刻的预估值为当天T时刻为所以T时刻的预估值为：其中，λ1+λ2+λ3＝1；设T时刻的观测值为yT，触发条件为：其中，α为大于0的可调阈值参数；(2)组规则验证：以线性时间复杂度0(N)来验证疑似IP组是否同时满足下面的4个规则：规则A：.IP总数量＞β1；规则B：规则C：规则D：其中，β1，β2，β3，β4和K1分别是可调的阈值，β1，K1取值范围为正整数，β2，β3，β4∈(0，1)；规则A表明IP总数量只有达到一定数目时才能形成有威胁的链路耗尽型CC攻击，所述IP总数量是指该保护对象的网站所有访问IP的总数量；规则B和规则C合起来表明链路耗尽型CC攻击的主要特点是少数攻击IP占据所有网站实例大量的访问量，所述疑似IP组的IP数量是指可能发起链路耗尽型CC攻击的攻击源IP数量，所述疑似IP组的总访问数是指可能发起链路耗尽型CC攻击的攻击源IP访问次数的总和，所述所有IP总访问数是指该保护对象的网站所有访问IP对其访问次数的总和；规则D表明IP攻击的集中程度，排除了访问次数高但比较分散的网络代理的影响，所述IP访问前K1的URL访问次数总和是指对每个IP的URL访问数从大到小取排在前K1的URL访问数的总和；当同时满足这4个规则时，表明通过规则验证，疑似IP组中的所有IP被判定为链路耗尽型CC攻击，然后进行报警；且对上述4个规则进行规则验证具有实时性，要在线性时间复杂度0(N)内完成验证，具体包括以下子步骤：(2.1)直接获取IP总数量，记为N，验证规则A，符合规则A则进入下一步，不符合直接结束；(2.2)利用快速排序的思想，提取每个IP的总访问数从大到小排在前K的IP及其总访问数，这里K＝β2×N，这K个IP被视为疑似IP组，此时自动符合规则B，时间复杂度为O(N)；(2.3)对疑似IP组中每个IP的总访问数进行累加，验证规则C，符合规则C则进入下一步，不符合直接结束，时间复杂度为O(K)；(2.4)对疑似IP组中每个IP的URL访问数从大到小取排在前K1的URL及其访问数，若某个IP前K1的URL访问量的总和除以这个IP所有URL总访问量的值比β3小，则加入候选集合；该子步骤的时间复杂度为O(KM)，M为该保护对象在负载平衡下的网站实例总数；(2.5)计算规则D分子和分母项，并验证规则D，时间复杂度为O(K)；若符合规则D即说明至此4个规则都同时满足，产生警报并结束；若不符合规则D即进入下一步；(2.6)该子步骤为循环，首先判断候选集是否为空，如果为空，直接结束，否则从候选集中取出一个IP，并疑似IP组中，这个IP在网站URL前K1的URL访问量以及总访问量中的访问次数，再次验证规则C和规则D，符合的话产生警报并结束，否则重复该子步骤；每次从候选集中剔除并验证规则C和规则D的时间复杂度为O(1)，候选集的大小为H，所以整个循环的时间复杂度为O(H)；所述时间复杂度：假设每次组规则验证按最长的步骤来算，总的时间复杂度为O(N)+O(K)+O(KM)+O(K)+O(H)；因为β2＜1，所以K＝β2×N＜N，再加上H≤K，M＜＜N，则时间复杂度近似为O(N)；(3)关联分析：利用FP‑Growth算法对满足步骤(2)中所有规则的IP组进行频繁项集挖掘以及关联规则分析，以实现对链路耗尽型CC攻击进行提前防御，具体包括以下子步骤：(3.1)将满足步骤(2)中所有规则的IP组作为一条记录加入数据库中，设置最小支持度阈值supmin；(3.2)使用FP‑growth算法进行频繁项集挖掘，FP‑growth算法利用高级数据结构FP‑tree和Apriori原理，只需对数据库进行两次扫描就可挖掘出频繁项集；(3.3)进行关联规则分析，一条关联规则IP1→IP2表示访问源IP1在判定为链路耗尽型CC攻击的前提下，访问源IP2为链路耗尽型CC攻击的可能性，该关联规则的可信度定义为confidence(IP1→IP2)＝support(IP1，IP2)/support(IP1)；若该关联规则的可信度大于最小可信度阈值conmin，则当访问源IP1被判定为链路耗尽型CC攻击时，访问源IP2也被判定为链路耗尽型CC攻击，需要对访问源IP2进行CC攻击的提前防御。