用于过滤以连接模块为目标的攻击流的方法技术

本发明专利技术涉及一种用于过滤以接收多个传入连接流的连接模块(5)为目标的攻击流的方法，该方法包括以下步骤：‑确定多个聚合体，每个聚合体通过组合在预定义的时间段期间的多个传入连接流来产生；‑确定多个第一测量向量，这些第一测量向量各自与所述聚合体之一相关联，并且包括与之相关联的聚合体的第一特征参数的值；‑将该多个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中；‑确定通过组合在另一个时间段期间的多个传入连接流而产生的另一个聚合体；‑确定与该另一个聚合体相关联的另一个第一测量向量；‑将该另一个第一测量向量投影到至少一个子空间上；‑根据该另一个第一测量向量的投影的结果和该多个第一测量向量的投影的结果来确定异常得分，并且然后，如果该异常得分包括在有关攻击流的存在的怀疑区中，则：‑确定多个第二测量向量，该多个第二测量向量各自与所述聚合体之一相关联；‑确定与该另一个聚合体相关联的另一个第二测量向量；并且‑通过分析该另一个第二测量向量来检测攻击是否存在。

【技术实现步骤摘要】
【国外来华专利技术】用于过滤以连接模块为目标的攻击流的方法
本专利技术总体上涉及保护连接模块免遭拒绝服务攻击。更具体地，本专利技术涉及一种用于过滤以接收多个连接流入的连接模块为目标的攻击流的方法。本专利技术还涉及一种用于过滤这种攻击流的装置。
技术介绍
拒绝服务攻击(DoS攻击)和分布式拒绝服务攻击(DDoS攻击)是目的为使受攻击站点的服务不可用的网络攻击。在这些攻击破坏了受攻击站点的数据的背景下，该目的不成问题。这些攻击能够以任何服务器链接的连接模块为目标，尤其是以任何互联网服务器链接的连接模块为目标。机动车辆的连接模块通常连接到制造商的专用网络。然而，为了改善尤其是驾驶员辅助系统，或者为了在所提供的多媒体产品中提出更广泛的选择范围，可以设想将机动车辆的连接模块连接到公共互联网网络。在这种情况下，连接模块将暴露于各种攻击，尤其是暴露于分布式拒绝服务攻击。已知一种用于检测以连接模块、即诸如服务器或路由器等一件网络设备为目标的潜在攻击的机器学习方法。该已知方法是针对接收无限数量的传入连接和传出连接的多件重要网络设备而开发的。此方法的目的在于将传入的互联网流(或IP流，IP是互联网协议的首字母缩写)分类为合法流和攻击流。为此，该方法基于在多个子空间中表征传入流的参数图形分布。子空间由图形区来定义，该图形区由表征流入的两个参数来描画。例如，这可能是图表问题，该图表示出了请求(IP分组的其余部分)的平均生命周期随连接流源的数量而变化。在标称条件下，流入的参数以图形方式聚集到一个操作点附近的集群中，而在发生攻击的情况下，攻击流的参数具有异常值，并以图形方式聚集在孤立点或离群值附近。在该已知方法中，在给定的时间段内，通过源地址来聚合多个连接流入。然后，分析各个被聚合的流，并且如果(通过存在至少一个异常值)检测到攻击，则凭借所涉及处理器的强大计算能力来立即过滤被识别为非法的流入。此方法在网络设备(通常是服务器)连接到公共互联网网络的情况下有效，这是因为该多个连接流入或流出由非常大数量的连接组成，从而允许提取可靠的统计信息，并且因为用于执行处理的处理器功能很强大。由于攻击通常会导致相对于连接流入的总数而言数量很少的连接流入，因此可以区分集群和异常值，并且这种区分效果很好。相比之下，机动车辆的连接模块仅适合于接收有限数量的传入连接(通常大约十个连接)。因此，在分析流入时，合法流将会被攻击流淹没，并且攻击流将表现为集群(并且因此表现为标称状况)而不再表现为异常值。因此，上述解决方案可能不适用于保护机动车辆的连接模块。
技术实现思路
本专利技术提出改善对以连接模块为目标的攻击的检测，尤其是在机动车辆中包括的连接模块的情况下。更具体地，根据本专利技术，提出了一种诸如在引言中限定的用于过滤攻击流的方法，该方法包括以下步骤：-确定多个聚合体，每个聚合体通过组合在预定义的时间段期间接收到的多个连接流入来产生，用于确定每个聚合体所考虑的所述时间段不同于用于确定其他聚合体所考虑的时间段，并且用于确定该多个聚合体所考虑的这些时间段全部都包括在第一观察时间窗口中，-确定多个第一测量向量，该多个第一测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的第一特征参数的值，-将该多个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中，-确定通过组合在另一个时间段期间接收到的多个连接流入而产生的另一个聚合体，所述另一个时间段在该第一观察时间窗口之后，-确定与该另一个聚合体相关联的另一个第一测量向量，并且该另一个第一测量向量包含该另一个聚合体的第一特征参数的值，-将该另一个第一测量向量投影到由所述第一特征参数定义的至少一个子空间中，-根据该另一个第一测量向量的投影的结果和该多个第一测量向量的投影的结果来确定异常得分，然后，如果该异常得分包括在关于攻击流的存在的怀疑区中，则：-确定多个第二测量向量，该多个第二测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的其他特征参数的值，所述其他特征参数不同于所述第一特征参数，-确定与该另一个聚合体相关联的另一个第二测量向量，并且该另一个第二测量向量包含该另一个聚合体的其他特征参数的值，并且-通过分析该另一个第二测量向量来检测攻击是否存在。因此，根据本专利技术，在实施方式的多个不同阶段中检测攻击流，从而限制了执行这些阶段所需的计算能力。因此，可以通过不是很强大的处理器(诸如集成到车辆的连接模块中的那些处理器)来实施该实施方式。另外，使用根据与通常使用的特征参数不同且独立的其他特征参数来定义的第二测量向量允许对关于以车辆的连接模块为目标的攻击是否存在的结论进行验证。可以单独地或以任何技术上可能的组合实施的以下内容是根据本专利技术的用于过滤攻击流的方法的其他非限制性且有利特征：-为了确定该异常得分是否包括在关于攻击流的存在的怀疑区中，将该异常得分与第一阈值和第二阈值进行比较；-将该异常得分与第二阈值进行比较，并且如果该异常得分高于该第二阈值，则在该另一个时间段内检测到存在攻击；-将该异常得分与第一阈值进行比较，并且如果该异常得分低于该第一阈值，则在该另一个时间段内检测到不存在攻击；-还提供了以下步骤：-定义第二观察时间窗口，所述第二观察时间窗口对应于该第一观察时间窗口移位该另一个时间段，-确定新的聚合体，该新的聚合体通过组合在新的时间段期间接收到的多个连接流入来产生，所述新的时间段在该第二观察时间窗口之后，-确定与该新的聚合体相关联的新的第一测量向量，并且该新的第一测量向量包含所述新的聚合体的第一特征参数的值，-删除与通过组合在该时间段期间接收到的多个连接流入而产生的聚合体相关联的第一测量向量的投影，该时间段位于该第一观察时间窗口中，但在该第二观察时间窗口外部，-将该新的第一向量投影到由所述第一特征参数定义的至少所述子空间中，以及-根据所述投影的结果来确定新的异常得分；-在该投影步骤中，将该多个第一测量向量投影到多个子空间中，并且其中，根据异常函数之和来确定该异常得分，根据该多个第一测量向量的所述投影的结果、和该另一个第一测量向量的投影以及平均异常针对每个子空间确定一个异常函数，还根据该多个第一测量向量的所述投影和该另一个第一测量向量的投影来确定该平均异常；-如果检测到存在攻击，则还执行以下步骤：-对针对所有这些子空间确定的异常函数进行比较，-选择异常函数最高的至少一个子空间，-将该另一个聚合体分为多个单独的连接流，-确定该多个单独的连接流的多个标识向量，这些标识向量包含与该第一测量向量相同的第一特征参数，-将所述多个标识向量投影到所述至少一个选定的子空间中，-识别至少一个非法连接流，所述非法连接流对应于与标识向量的异常投影相关联的连接流，以及-过滤该非法连接流；-子空间由第一轴和第二轴来定义，该第一轴对应本文档来自技高网...

【技术保护点】
1.一种用于过滤以接收多个连接流入的连接模块(5)为目标的攻击流的方法，该方法包括以下步骤：/n-确定多个聚合体，每个聚合体通过组合在预定义的时间段(δt

【技术特征摘要】
【国外来华专利技术】20180417 FR 18533431.一种用于过滤以接收多个连接流入的连接模块(5)为目标的攻击流的方法，该方法包括以下步骤：
-确定多个聚合体，每个聚合体通过组合在预定义的时间段(δti)期间接收到的多个连接流入来产生，用于确定每个聚合体所考虑的所述时间段(δti)不同于用于确定其他聚合体所考虑的时间段，并且用于确定该多个聚合体所考虑的这些时间段(δti)全部都包括在第一观察时间窗口(Δt)中，
-确定多个第一测量向量(Xi)，该多个第一测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的第一特征参数的值，
-将该多个第一测量向量(Xi)投影到由所述第一特征参数定义的至少一个子空间中，
-确定通过组合在另一个时间段(δtN+1)期间接收到的多个连接流入而产生的另一个聚合体，所述另一个时间段(δtN+1)在该第一观察时间窗口(Δt)之后，
-确定与该另一个聚合体相关联的另一个第一测量向量(XN+1)，并且该另一个第一测量向量包含该另一个聚合体的第一特征参数的值，
-将该另一个第一测量向量(xN+1)投影到由所述第一特征参数定义的至少一个子空间中，
-根据该另一个第一测量向量(XN+1)的投影的结果和该多个第一测量向量(Xi)的投影的结果来确定异常得分(S(X))，
然后，如果该异常得分(S(X))包括在关于攻击流的存在的怀疑区中，则：
-确定多个第二测量向量(Yi)，该多个第二测量向量各自与所述聚合体之一相关联，并且包含与之相关联的聚合体的其他特征参数的值，所述其他特征参数不同于所述第一特征参数，
-确定与该另一个聚合体相关联的另一个第二测量向量(YN+1)，并且该另一个第二测量向量包含该另一个聚合体的其他特征参数的值，并且
-通过分析该另一个第二测量向量(YN+1)来检测攻击是否存在。


2.如权利要求1所述的用于过滤攻击流的方法，其中，为了确定该异常得分(S(X))是否包括在关于攻击流的存在的怀疑区中，将该异常得分(S(X))与第一阈值(th1)和第二阈值(th2)进行比较。


3.如权利要求1或2所述的用于过滤攻击流的方法，其中，将该异常得分(S(X))与第二阈值(th2)进行比较，并且如果该异常得分(S(X))高于该第二阈值(th2)，则在该另一个时间段(δtN+1)内检测到存在攻击。


4.如权利要求1至3中任一项所述的用于过滤攻击流的方法，其中，将该异常得分(S(X))与第一阈值(th1)进行比较，并且如果该异常得分(S(X))低于该第一阈值(th1)，则在该另一个时间段(δtN+1)内检测到不存在攻击。


5.如权利要求1至4中任一项所述的用于过滤攻击流的方法，还包括以下步骤：
-定义第二观察时间窗口(Δt′)，所述第二观察时间窗口(Δt′)对应于该第一观察时间窗口(Δt)移位所述另一个时间段(δtN+1)，
-确定新的聚合体，该新的聚合体通过组合在新时间段(δtN+2)期间接收到的多个连接流入来产生，所述新的时间段(δtN+2)在该第二观察时间窗口(Δt′)之后，
-确定与该新的聚合体相关联的新的第一测量向量(XN+2)，并且该新的第一测量向量包含所述新的聚合体的第一特征参数的值，
-删除与通过组合在该时间段期间接收到的多个连接流入而产生的聚合体相关联的第一测量向量的投影，该时间段位于该第一观察时间窗口(Δt)中，但在该第二观察时间窗口(Δt′)外部，
-将该新的第一向量(XN+2)投影到由所述第一特征参数定义的至少所述子空间中，以及
-根据所述投影的结果来确定新的异常得分。


6.如权利要求1至5中任一项所述的用于过滤攻击流的方法，其中，在该投影步骤中，将该多个第一测量向量(Xi)投影到多个子空间中，并且其中，根据异常函数(F(X，k))之和来确定该异常得分(S(X))，根据...

【专利技术属性】
技术研发人员：E·佩罗，
申请(专利权)人：雷诺股份公司，日产自动车株式会社，
类型：发明
国别省市：法国;FR