基于Web通信群体外联行为的拒绝服务攻击检测方法

摘要

本发明公开了一种基于Web通信群体外联行为的拒绝服务攻击检测方法，其步骤为：1).在网络设备上设置端口镜像，使流经该设备的所有网络报文被复制发送到攻击检测前置机；2).攻击检测前置机提取特定Web服务器的通信群体及其外联行为，发送至攻击检测服务器;3).攻击检测服务器统计Web通信群体的外联行为参数，即与多外联节点连接的客户端数量CN_MLN和客户端总数CN，并用改进的CUSUM算法监测两个参数比值的偏移，据此来判断应用层DDoS攻击行为的发生；4).在每一个时间段结束时，向网络监控终端报告是否发生了针对指定Web服务器的应用层DDoS攻击。

主权项

1.基于Web通信群体外联行为的拒绝服务攻击检测方法，其特征是，该方法的检测步骤如下：Step1：在网络设备上设置端口镜像，使流经该网络设备的所有网络报文被复制发送到网络监控前置机，在网络监控前置机上提取Web服务器的通信群体及其外联行为，发送至检测服务器；Step2：在检测服务器中提取Step1中所述的web服务器通信群体的外联特征：客户端数量CN和与多外联节点连接的客户端数量CN_MLN；用序列{x_n}表示不同时间段内访问多外联节点的客户端数量与客户端总数的比值，{y_n}表示不同时间段内客户端总数与访问多外联节点的客户端数量的比值，{C_n}表示客户端总数，{M_n}表示访问多外联节点的客户端数量，按如下公式计算序列{x_n}与{y_n}在第n个Δt内的值x_n与y_n：$x_n=\frac{M_n}{C_n},$$y_n=\frac{C_n}{M_n},n=\mathrm{1,2,3}...$Step3：在检测服务器中利用改进的CUSUM算法分析Web群体外联特征，判断是否发生了攻击；分别计算{x_n}与{y_n}的第n个检测值Z_n^x和Z_n^y，其递推公式如下：$Z_n^x=\max \{0,Z_{n-1}^x+x_n-{\delta }_n^x-d^x\},n=\mathrm{1,2,3},...$$Z_n^y=\max \{0,Z_{n-1}^y+y_n-{\delta }_n^x-d^y\},n=\mathrm{1,2,3},...$其中，分别为{x_n}和{y_n}的指数加权移动平均，d^x，d^y分别是使在正常情况下小于0的偏移值，为序列{x_n}的第n-1个检测值，为序列{y_n}的第n-1个检测值，为序列{x_n}的第n个检测值，其用于对带有外联访问行为的攻击的检测，为序列{y_n}的第n个检测值，其用于无外联访问的DDoS攻击检测；Step4：对Z_n^x，Z_n^y与相应的阈值分别比较，判断是否发生了Ddos攻击行为；Step5：在每一个时间段结束时，向网络监控终端报告是否发生了针对指定Web服务器的应用层DDoS攻击。