一种基于网络流量应用层DDoS攻击检测方法技术

本发明专利技术公开了一种基于网络流量应用层DDoS攻击检测方法，选取流量的变化率、新的源IP地址的变化率和源IP地址的请求分配率3个参数来进行分析网络流量，从而从FC流量中区分DDoS攻击流量，设有网络流量分析模块、DDoS攻击检测模块、攻击响应模块，网络流量发生突然改变时，网络流量分析模块就发送一个警告信号给DDoS攻击检测模块，DDoS攻击模块用于判断是FC还是DDoS攻击；当DDoS攻击被检测到时，攻击响应模块被激活，以过滤掉恶意流量并对真正的用户维持不间断的服务，能够有效地识别应用层DDoS攻击流量和FC流量的相似性，选取两者主要特征进行区别，减少误报率和漏报率，成本较低，便于推广使用。

A DDoS attack detection method based on network traffic application layer

The invention discloses a DDoS attack detection method based on the application layer of network traffic, which selects three parameters of the change rate of traffic, the change rate of new source IP address and the request allocation rate of source IP address to analyze the network traffic, so as to distinguish the DDoS attack traffic from the FC traffic, and is equipped with the network traffic analysis module, DDoS attack detection module and attack response module, so that the network traffic occurs sudden However, when it changes, the network traffic analysis module sends a warning signal to the DDoS attack detection module, which is used to determine whether it is FC or DDoS attack. When DDoS attack is detected, the attack response module is activated to filter out malicious traffic and maintain uninterrupted services for real users, which can effectively identify the similarity between application layer DDoS attack traffic and FC traffic It can reduce the false alarm rate and the missed alarm rate. The cost is low and it is easy to be popularized.

【技术实现步骤摘要】
一种基于网络流量应用层DDoS攻击检测方法
本专利技术涉及互联网
，特别涉及一种基于网络流量应用层DDoS攻击检测方法。
技术介绍
网络技术的发展给人们的工作和生活带来的极大的便利，用户数量也急剧上升，电子商务、网络游戏等业务对网络的传输速度提出了更高的要求。拒绝服务DoS(DenialofServer)攻击是指攻击者通过向目标主机发送大量数据，消耗目标主机的计算资源或网络资源而破坏目标主机向合法用户提供服务。分布式拒绝服务DDoS(DistributedDenialofServer)攻击是DoS攻击的分布形式。DDoS攻击通过分布在整个因特网上的大量主机同时向受害主机发起大量的数据包，使用多个受害系统运行几个DoS攻击，协调一致地攻击一个或者多个受害主机。随着网络层和传输层的DDoS攻击检测技术已经日渐成熟，防御措施不断加强，针对底层的DDoS攻击已难于达到攻击目的，攻击者把攻击目标转移到应用层。应用层DDoS攻击通过消耗大量服务器的计算资源，阻止合法用户的正常访问。由于应用层攻击使用高层协议，故可以使用合法的协议和服务发起攻击，尤其与突发流量FC(FlashCrowd)非常相似。因此传统用于网络层和传输层的DDoS攻击检测方法不能直接用于应用层DDoS攻击检测，研究针对应用层DDoS攻击检测方法已经成为今年来网络安全领域的新热点。目前对应用层DDoS攻击的防范主要有如下几种：一种是采用混合测度来检测流量分布的偏移，从而区分DDoS攻击和FC事件；另外还有通过分析web通信的外联行为特征的稳定性从而形成的一种应用层DDoS攻击的检测方法。在网络环境中，突发流量是指大量合法用户同时发送访问请求到服务器，它集中在某个特定的时间在网络中的某个特定的网站，如重大活动赛事、晚会都会引起FC的出现，这会导致传入流量的显著增加，从而导致服务质量QoS降级。DDoS攻击也会带来类似的结果，例如流量水平的突然改变，由大量的请求引起的网站不可用等。DDoS攻击流量和FC流量有两个共同的特征：一是它们都只有一个目标，所有的数据包都是发向该目标。二是巨大的流量持续地发往目的地足以拥塞链路和主机。在这种情况下，服务器会因为资源的限制和带宽耗尽而无法提供正常的服务。
技术实现思路
针对上述背景内容中提出的实质性缺陷和不足，本专利技术提供一种基于网络流量应用层DDoS攻击检测方法，可以解决
技术介绍
中所指出的问题。一种基于网络流量应用层DDoS攻击检测方法，选取流量的变化率、新的源IP地址的变化率和源IP地址的请求分配率3个参数来进行分析网络流量，从而从FC流量中区分DDoS攻击流量，设有网络流量分析模块、DDoS攻击检测模块、攻击响应模块，网络流量发生突然改变时，网络流量分析模块就发送一个警告信号给DDoS攻击检测模块，DDoS攻击模块用于判断是FC还是DDoS攻击；当DDoS攻击被检测到时，攻击响应模块被激活，以过滤掉恶意流量并对真正的用户维持不间断的服务；同时，检测到FC时，激活各种负载分担机制，如内容分发网络能够容纳额外的合法的客户端访问网络资源，分担网络流量，以确保网络的正常运行。在上述技术方案中，DDoS攻击模块设有源地址分析模块和DDoS攻击判定模块，通过对源IP地址进行分析来检测DDoS攻击；源IP地址分析模块从收到的网络流量中抽取源IP地址信息并判断其是一个新的还是旧的IP地址，攻击检测模块使用一个detect函数来检测攻击，其包含2个状态：有攻击和无攻击。作为上述技术方案的优选，源IP地址分析模块采用2个数组来保存源IP地址，即旧数组IPold和新数组IPnew，其中，数组IPold由已知的攻击流量样本和正常流量的源IP地址初始化；数组IPnew在系统开始启动时初始化为空，IPnew数组被用来暂时保存从未见过的源IP地址，只有当DDoS攻击判定模块中的detect函数确定系统不再遭受攻击时，才把IPnew数组中的数据复制到IPold数组中，以此保证IPold数组的安全性；如果detect函数确定系统正遭受攻击，则丢弃IPnew数组。作为上述技术方案的优选，攻击检测模块使用一个detect函数来检测攻击，具体为，设系统开始运行时是处于无攻击状态，Detect函数周期性地运行，分析从未知源IP地址传来的数据包的速率；使用状态改变函数Statechange来检测传入的数据包速率的突发性变化；在此基础上确定系统状态，即是从有攻击到无攻击，还是从无攻击到有攻击。在上述技术方案中，Detect函数代码为：在上述技术方案中，状态改变函数Statechange主要使用CUSUM算法。本专利技术提供的一种基于网络流量应用层DDoS攻击检测方法，通过巧妙的设计，根据应用层DDoS攻击流量和正常流量的特征区别，通过对源IP地址进行分析，能够有效地识别应用层DDoS攻击流量和FC流量的相似性，选取两者主要特征进行区别，减少误报率和漏报率，成本较低，便于推广使用。附图说明图1为本专利技术提供的一种基于网络流量应用层DDoS攻击检测方法的流程示意图。具体实施方式下面结合附图，对本专利技术的一个具体实施方式进行详细描述，但应当理解本专利技术的保护范围并不受具体实施方式的限制。DDoS和FC之间存在一些细微的差异，如访问意图、客户端的请求速率、源IP地址的分布情况等。DDoS和FC的区别如下表一所示：表一DDoS攻击和FC特征比较本专利申请的实施例主要选取流量的变化率，新的源IP地址的变化率和源IP地址的请求分配率3个参数来拿分析网络流量，从而从FC流量中区分DDoS攻击流量。应用层DDoS攻击检测模型应用层DDoS攻击检测模型如图1所示：由于网络环境处于正常状态时，其流量是有规律地变化的。一旦网络流量发生突然改变，网络流量分析模块就发送一个警告信号给DDoS攻击检测模块，DDoS攻击模块用于判断是FC还是DDoS攻击。当DDoS攻击被检测到时，攻击响应模块被激活，以过滤掉恶意流量并对真正的用户维持不间断的服务。另一方面，检测到FC时，激活各种负载分担机制，如内容分发网络能够容纳额外的合法的客户端访问网络资源，分担网络流量，确保网络的正常运行。DDoS攻击检测：通过对源IP地址进行分析来检测DDoS攻击。使用2个主要的模块：源地址分析模块和DDoS攻击判定模块。源IP地址分析模块从收到的网络流量中抽取源IP地址信息并判断其是一个新的还是旧的IP地址。为了实现该功能，在源IP地址分析模块采用2个数组来保存源IP地址，即IPold和IPnew。数组IPold由已知的攻击流量样本和正常流量的源IP地址初始化。数组IPnew在系统开始启动时初始化为空。IPnew数组被用来暂时保存从未见过的源IP地址，只有当DDoS攻击判定模块中的detect函数确定系统不再遭受攻击时，才把IPnew数组中的数据复制到IPold数组中，以此保证IPold数组的安全性。如果detect函数确定系统正遭受本文档来自技高网...

【技术保护点】
1.一种基于网络流量应用层DDoS攻击检测方法，其特征在于，选取流量的变化率、新的源IP地址的变化率和源IP地址的请求分配率3个参数来进行分析网络流量，从而从FC流量中区分DDoS攻击流量，设有网络流量分析模块、DDoS攻击检测模块、攻击响应模块，网络流量发生突然改变时，网络流量分析模块就发送一个警告信号给DDoS攻击检测模块，DDoS攻击模块用于判断是FC还是DDoS攻击；当DDoS攻击被检测到时，攻击响应模块被激活，以过滤掉恶意流量并对真正的用户维持不间断的服务；同时，检测到FC时，激活各种负载分担机制，如内容分发网络能够容纳额外的合法的客户端访问网络资源，分担网络流量，以确保网络的正常运行。/n

【技术特征摘要】
1.一种基于网络流量应用层DDoS攻击检测方法，其特征在于，选取流量的变化率、新的源IP地址的变化率和源IP地址的请求分配率3个参数来进行分析网络流量，从而从FC流量中区分DDoS攻击流量，设有网络流量分析模块、DDoS攻击检测模块、攻击响应模块，网络流量发生突然改变时，网络流量分析模块就发送一个警告信号给DDoS攻击检测模块，DDoS攻击模块用于判断是FC还是DDoS攻击；当DDoS攻击被检测到时，攻击响应模块被激活，以过滤掉恶意流量并对真正的用户维持不间断的服务；同时，检测到FC时，激活各种负载分担机制，如内容分发网络能够容纳额外的合法的客户端访问网络资源，分担网络流量，以确保网络的正常运行。


2.根据权利要求1所述的一种基于网络流量应用层DDoS攻击检测方法，其特征在于，DDoS攻击模块设有源地址分析模块和DDoS攻击判定模块，通过对源IP地址进行分析来检测DDoS攻击；源IP地址分析模块从收到的网络流量中抽取源IP地址信息并判断其是一个新的还是旧的IP地址，攻击检测模块使用一个detect函数来检测攻击，其包含2个状态：有攻击和无攻击。


3.根据权利要求2所述的一种基于网络流量应用层DDoS攻击检测方法，其特征在于，源IP地址分析模块采用2个数组来保存源IP地址，即旧...

【专利技术属性】
技术研发人员：刘晓光，赵子毅，张晴晴，
申请(专利权)人：北京云端智度科技有限公司，
类型：发明
国别省市：北京;11