一种基于行为触发的防御链路耗尽型CC攻击的方法

摘要

本发明涉及网络安全技术，旨在提供一种基于行为触发的防御链路耗尽型CC攻击的方法。该种基于行为触发的防御链路耗尽型CC攻击的方法包括步骤：统计攻击者对保护对象不同网站实例的访问次数，判断是否偏离预估值；对疑似IP组进行规则验证，若通过则疑似IP组中的所有IP被判定为链路耗尽型CC攻击并报警；对通过规则验证的IP组进行关联分析，对链路耗尽型CC攻击进行提前防御。本发明利用行为触发让服务器只在触发的时候进行链路耗尽型CC攻击的组规则验证，并且这些规则在有很强普适性的同时能在线性时间复杂度内被验证，最后通过关联分析使该方法有提前防御链路耗尽型CC攻击的功能。

主权项

一种基于行为触发的防御链路耗尽型CC攻击的方法，用于防御攻击者对保护对象进行CC攻击，其特征在于，所述基于行为触发的防御链路耗尽型CC攻击的方法具体包括下述步骤：(1)行为触发：统计攻击者在负载均衡技术下，对保护对象不同网站实例的访问次数，利用GMM拟合该攻击者的总访问次数，然后判断当前的总访问次数是否偏离预估值；当超出拟合曲线预估值的某个阈值时，即视为满足触发条件，进而进行步骤(2)的组规则验证；设当前时间点为T，则T时刻的观测值为y_T，T时刻的预估值为触发条件为：$\frac{|{\hat{y}}_T-y_T|}{{\hat{y}}_T}>\alpha$其中，α为大于0的可调阈值参数；(2)组规则验证：以线性时间复杂度0(N)来验证疑似IP组是否同时满足下面的4个规则：规则A：.IP总数量＞β₁；规则B：规则C：规则D：其中，β₁，β₂，β₃，β₄和K₁分别是可调的阈值，β₁，K₁取值范围为正整数，β₂，β₃，β₄∈(0，1)；规则A表明IP总数量只有达到一定数目时才能形成有威胁的链路耗尽型CC攻击，所述IP总数量是指该保护对象的网站所有访问IP的总数量；规则B和规则C合起来表明链路耗尽型CC攻击的主要特点是少数攻击IP占据所有网站实例大量的访问量，所述疑似IP组的IP数量是指可能发起链路耗尽型CC攻击的攻击源IP数量，所述疑似IP组的总访问数是指可能发起链路耗尽型CC攻击的攻击源IP访问次数的总和，所述所有IP总访问数是指该保护对象的网站所有访问IP对其访问次数的总和；规则D表明IP攻击的集中程度，排除了访问次数高但比较分散的web proxy的影响，所述IP访问前K₁的URL访问次数总和是指对每个IP的URL访问数从大到小取排在前K₁的URL访问数的总和；当同时满足这4个规则时，表明通过规则验证，疑似IP组中的所有IP被判定为链路耗尽型CC攻击，然后进行报警；(3)关联分析：利用FP‑Growth算法对满足步骤(2)中所有规则的IP组进行frequent item sets挖掘以及association rules分析，以实现对链路耗尽型CC攻击进行提前防御，具体包括以下子步骤：(3.1)将满足步骤(2)中所有规则的IP组作为一条记录加入数据库中，设置最小支持度阈值sup_min；(3.2)使用FP‑growth算法进行frequent item sets挖掘，FP‑growth算法利用高级数据结构FP‑tree和Apriori原理，只需对数据库进行两次扫描就可挖掘出frequent item sets；(3.3)进行association rules分析，一条关联规则IP1→IP2表示访问源IP1在判定为链路耗尽型CC攻击的前提下，访问源IP2为链路耗尽型CC攻击的可能性，该关联规则的可信度定义为confidence(IP1→IP2)＝support(IP1，IP2)/support(IP1)；若该关联规则的可信度大于最小可信度阈值con_min，则当访问源IP1被判定为链路耗尽型CC攻击时，访问源IP2也被判定为链路耗尽型CC攻击，需要对访问源IP2进行CC攻击的提前防御。