一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置制造方法及图纸

本发明专利技术分析了Web应用层发生HTTP‑Flood攻击和HTTP‑Post慢速连接攻击,在流量属性和用户行为特征属性上表现出的差异性和相似性。提出了基于杰卡德相似系数的Web服务器DDoS攻击检测方法及其装置，该方法可以一次使用多种属性特征进行相似性比较，模拟实验表明，该方法不仅能够有效检测出HTTP‑Flood攻击和HTTP‑Post慢速连接攻击，还能准确的区分出突发流量，具有在线检测实时性强和准确率高等特点。

【技术实现步骤摘要】

本专利技术涉及Web应用层DDoS攻击检测问题，将杰卡德相似系数应用到Web应用层DDoS攻击检测中。
技术介绍
分布式拒绝服务(Distributed Denial of Service，DDoS)攻击，一直是影响互联网安全的一个重大威胁。而近些年，应用层DDoS逐渐显示出其攻击威力来。应用层DDoS攻击与传统的DDoS攻击最大的不同就是前者是在与服务器建立连接完全正确的情况下，以消耗系统资源为目的从而达到拒绝服务。随着网络技术发迅速发展和Internet的广泛普及，Web服务已成为人们生活中的重要组成部分，针对Web应用层的DDoS攻击也日益增多，主要分为两类：一类是HTTP-Flood攻击，另一类是HTTP-Post攻击。目前，对于检测Web应用层DDoS攻击方法主要有：Kandula等人提出的基于“PUZZLE”的检测和防御方法，当服务器的资源超过预先设定的阈值时，可以怀疑是否受到攻击。由于攻击由程序生成的，不具有智能性，这时就会要求用户回答一些简单的问题判断用户的合法性，回答错误，则可确定为攻击源。但是这种方法不仅会影响合法用户的体验，且不能有效的区分突发流。Mahajan等人提出利用源地址IP熵值来判断是否发生DDoS攻击，该方法能够有效的区分突发流和HTTP-Flood洪泛攻击，但并未考虑HTTP-Post慢速连接攻击，谢逸等人提出了一种基于用户访问行为的异常方法，采用隐马尔科夫模型描述用户的正常访问行为，通过判断用户访问行为的正常程度来判断是恶意攻击程序还是合法用户的正常访问，该方法训练过程繁琐，计算复杂度很高且在线实时性较差。专利技术内容根据上文中本文提出的现有技术对DDoS攻击检测的不足，提出一种基于杰卡德相似系数的Web应用层DDoS攻击检测方法，分析发生HTTP-Flood洪泛攻击和HTTP-Post慢速攻击流量特征选取合理的多种特征建立相似性模型，以单位时间内的数据量作为计算项，通过比较与正常流量情况下的相似性阈值来判断是否发生攻击，通过实验表明该方法不仅能够有效的检测HTTP-Flood攻击和HTTP-Post慢速连接攻击，还能较好的区分出突发流，且在线实时检测性强。本专利技术为解决上述技术问题采用以下技术方案：杰卡德相似系数由jaccard提出用来度量两个集合之间的相似性，狭义的杰卡德相似系数集合元素的取值只能是0或者1，而广义的杰卡德相似系数的元素取值可以是实数，能够表达丰富的信息。而在DDoS攻击检测中我们需要用到多种属性，并且各个属性的特征值都不同，所以狭义的杰卡德相似系数并不适合用于本文中。本文使用广义杰卡德相似系数计算当前单位时间属性集合和历史正常属性集合的相似性。计算公式如下： S i m ( x , x i ) = ( x * x i ) ( | | x | | 2 + | | x i | | 2 - x * x i ) ( 0 < S i m ( x , x i ) ≤ 1 ) ]]>其中:x表示多次取不同历史正常数据计算各个属性特征取平均值组成的属性向量；xi表示当前t时间内计算出的各个属性特征组成的属性向量；当Sim(x,xi)的值越接近于1时，代表x与xi越相似，即越接近于正常流量；当且仅当x＝xi时等号成立，代表x与xi完全相似即相似值为1。为了更好的反应正常流、攻击流的相似性和识别不同攻击，在属性特征的选取上不仅需要选取攻击流与正常流有差异性，还要考虑到在发生不同攻击时，不同攻击在各个属性上的取值也要有所差异性，根据上文的分析，我们选取以下三种属性特征组成属性向量：a、源ip地址熵值1)当发生针对Web服务器的HTTP-Flood洪泛攻击时，会出现大量新IP地址，因而新IP地址的增长率会急剧增加，造成源IP地址熵值低于正常流IP熵值；而发生突发流时，大量IP地址会重复的出现，源IP熵值会高于正常流。2)发生HTTP-Post慢速连接攻击时，由于持续的保持多个连接，则源IP地址在单位时间内会重复出现，源地址IP熵值会高于正常流。计算源ip地址熵值得步骤如下：步骤a1，定义IP_all＝{IP1,IP2,...IPi,...IPn本文档来自技高网...

【技术保护点】
一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法，其特征在于，包括如下步骤：步骤一：设置时间间隔t；步骤二：以t时间间隔内的数据量作为计算项，通过使用广义杰卡德相似系数计算公式计算当前t时间间隔内属性集合和历史正常属性集合的相似性；步骤三：将步骤二中计算出的杰卡德相似系数与预先设定的相似阈值γ比较，以此为依据判断是否发生DDoS攻击。

【技术特征摘要】
1.一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法，其特征在于，包括如下步骤：步骤一：设置时间间隔t；步骤二：以t时间间隔内的数据量作为计算项，通过使用广义杰卡德相似系数计算公式计算当前t时间间隔内属性集合和历史正常属性集合的相似性；步骤三：将步骤二中计算出的杰卡德相似系数与预先设定的相似阈值γ比较，以此为依据判断是否发生DDoS攻击。2.根据权利要求1所述的一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法，其特征在于，所述的属性集合为若干属性特征组成的属性向量，步骤二中所述的广义杰卡德相似系数计算公式如下： S i m ( x , x i ) = ( x * x i ) ( | | x | | 2 + | | x i | | 2 ...

【专利技术属性】
技术研发人员：曹晓梅，史家铭，张宇，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：江苏;32