主权项 |
1.基于Web通信群体外联行为的拒绝服务攻击检测方法,其特征是,该方法的检测步骤如下:Step1:在网络设备上设置端口镜像,使流经该网络设备的所有网络报文被复制发送到网络监控前置机,在网络监控前置机上提取Web服务器的通信群体及其外联行为,发送至检测服务器;Step2:在检测服务器中提取Step1中所述的web服务器通信群体的外联特征:客户端数量CN和与多外联节点连接的客户端数量CN_MLN;用序列{x<sub>n</sub>}表示不同时间段内访问多外联节点的客户端数量与客户端总数的比值,{y<sub>n</sub>}表示不同时间段内客户端总数与访问多外联节点的客户端数量的比值,{C<sub>n</sub>}表示客户端总数,{M<sub>n</sub>}表示访问多外联节点的客户端数量,按如下公式计算序列{x<sub>n</sub>}与{y<sub>n</sub>}在第n个Δt内的值x<sub>n</sub>与y<sub>n</sub>:<maths num="0001"><![CDATA[<math><mrow><msub><mi>x</mi><mi>n</mi></msub><mo>=</mo><mfrac><msub><mi>M</mi><mi>n</mi></msub><msub><mi>C</mi><mi>n</mi></msub></mfrac><mo>,</mo></mrow></math>]]></maths><maths num="0002"><![CDATA[<math><mrow><msub><mi>y</mi><mi>n</mi></msub><mo>=</mo><mfrac><msub><mi>C</mi><mi>n</mi></msub><msub><mi>M</mi><mi>n</mi></msub></mfrac><mo>,</mo><mi>n</mi><mo>=</mo><mn>1,2,3</mn><mo>.</mo><mo>.</mo><mo>.</mo></mrow></math>]]></maths>Step3:在检测服务器中利用改进的CUSUM算法分析Web群体外联特征,判断是否发生了攻击;分别计算{x<sub>n</sub>}与{y<sub>n</sub>}的第n个检测值Z<sub>n</sub><sup>x</sup>和Z<sub>n</sub><sup>y</sup>,其递推公式如下:<maths num="0003"><![CDATA[<math><mrow><msubsup><mi>Z</mi><mi>n</mi><mi>x</mi></msubsup><mo>=</mo><mi>max</mi><mo>{</mo><mn>0</mn><mo>,</mo><msubsup><mi>Z</mi><mrow><mi>n</mi><mo>-</mo><mn>1</mn></mrow><mi>x</mi></msubsup><mo>+</mo><msub><mi>x</mi><mi>n</mi></msub><mo>-</mo><msubsup><mi>δ</mi><mi>n</mi><mi>x</mi></msubsup><mo>-</mo><msup><mi>d</mi><mi>x</mi></msup><mo>}</mo><mo>,</mo><mi>n</mi><mo>=</mo><mn>1,2,3</mn><mo>,</mo><mo>.</mo><mo>.</mo><mo>.</mo></mrow></math>]]></maths><maths num="0004"><![CDATA[<math><mrow><msubsup><mi>Z</mi><mi>n</mi><mi>y</mi></msubsup><mo>=</mo><mi>max</mi><mo>{</mo><mn>0</mn><mo>,</mo><msubsup><mi>Z</mi><mrow><mi>n</mi><mo>-</mo><mn>1</mn></mrow><mi>y</mi></msubsup><mo>+</mo><msub><mi>y</mi><mi>n</mi></msub><mo>-</mo><msubsup><mi>δ</mi><mi>n</mi><mi>x</mi></msubsup><mo>-</mo><msup><mi>d</mi><mi>y</mi></msup><mo>}</mo><mo>,</mo><mi>n</mi><mo>=</mo><mn>1,2,3</mn><mo>,</mo><mo>.</mo><mo>.</mo><mo>.</mo></mrow></math>]]></maths>其中,<img file="FDA0000076183330000015.GIF" wi="160" he="65" />分别为{x<sub>n</sub>}和{y<sub>n</sub>}的指数加权移动平均,d<sup>x</sup>,d<sup>y</sup>分别是使<img file="FDA0000076183330000016.GIF" wi="169" he="64" />在正常情况下小于0的偏移值,<img file="FDA0000076183330000017.GIF" wi="72" he="50" />为序列{x<sub>n</sub>}的第n-1个检测值,<img file="FDA0000076183330000018.GIF" wi="72" he="50" />为序列{y<sub>n</sub>}的第n-1个检测值,<img file="FDA0000076183330000019.GIF" wi="50" he="50" />为序列{x<sub>n</sub>}的第n个检测值,其用于对带有外联访问行为的攻击的检测,<img file="FDA00000761833300000110.GIF" wi="52" he="51" />为序列{y<sub>n</sub>}的第n个检测值,其用于无外联访问的DDoS攻击检测;Step4:对Z<sub>n</sub><sup>x</sup>,Z<sub>n</sub><sup>y</sup>与相应的阈值<img file="FDA00000761833300000111.GIF" wi="211" he="52" /><img file="FDA00000761833300000112.GIF" wi="185" he="52" />分别比较,判断是否发生了Ddos攻击行为;Step5:在每一个时间段结束时,向网络监控终端报告是否发生了针对指定Web服务器的应用层DDoS攻击。 |