【技术实现步骤摘要】
一种分布式实时DDoS攻击防护系统及方法
本专利技术涉及网络安全
,尤其涉及一种分布式实时DDoS攻击防护系统及方法。
技术介绍
互联网作为全球经济发展的重要组成部分,如今已全面渗透到经济社会的各个领域,成为生产建设、经济贸易、科技创新、公共服务、文化传播、生活娱乐的新型平台和变革力量。而Web服务是互联网中最广泛的应用类型和内容提供方式,因此也成为网络攻击的主要攻击对象。分布式拒绝服务攻击(DistributedDenial-of-ServiceAttack,DDoS)采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,以此消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务,从而达到攻击者在商业竞争、服务绑架或经济要求的目的,是当前Web服务面临的最大威胁之一。根据电信云堤发布的“DDoS攻击态势报告”中显示,目前网络中被入侵的设备中有超过50%以上被用于发起DDoS攻击。DDoS攻击随着个人计算机的普及以及物联网设备的发展越来越频繁地出现在公众的视野并且造成了巨大的恶性后果以及经济损失。个人计算机硬件能力的提升降低了DDoS攻击的成本,网络应用的复杂度提高带来了更大的工作量不对称性,物联网设备的发展给予了黑客更多的傀儡,造成更加复杂多变的源IP以及网络UA标识,加大了DDoS攻击检测和防御的难度。而DDoS攻击发起工具如Hyenae、DDOSIM-Layer、HULK、Pyloris等下载方便,许多专业性不强的不法分子也可以发起DDoS攻击, ...
【技术保护点】
1.一种分布式实时DDoS攻击防护系统,其特征在于,包括:攻击感知模块、攻击检测模块、以及攻击防御模块,其中;/n攻击感知模块,用于实时监测系统状态指标,根据系统状态指标,判断系统是否处于DDoS攻击状态;当系统处于DDoS攻击状态时,根据触发攻击感知的系统状态指标,判断DDoS攻击的类型;/n攻击检测模块,用于对接口流量进行检测,筛选出DDoS攻击发起源的IP地址或访问频次异常的接口;/n攻击防御模块,用于对所述接口进行正常性测试,当测试结果正确,则进入后续防御处理,对发生DDoS攻击的接口进行防御处理。/n
【技术特征摘要】
1.一种分布式实时DDoS攻击防护系统,其特征在于,包括:攻击感知模块、攻击检测模块、以及攻击防御模块,其中;
攻击感知模块,用于实时监测系统状态指标,根据系统状态指标,判断系统是否处于DDoS攻击状态;当系统处于DDoS攻击状态时,根据触发攻击感知的系统状态指标,判断DDoS攻击的类型;
攻击检测模块,用于对接口流量进行检测,筛选出DDoS攻击发起源的IP地址或访问频次异常的接口;
攻击防御模块,用于对所述接口进行正常性测试,当测试结果正确,则进入后续防御处理,对发生DDoS攻击的接口进行防御处理。
2.根据权利要求1所述的分布式实时DDoS攻击防护系统,其特征在于,还包括可视化模块,所述可视化模块用于对目标Web应用服务器群状态进行状态监控,所述Web应用服务器群状态包括服务器硬件信息、软件信息、以及操作系统状态。
3.根据权利要求1所述的分布式实时DDoS攻击防护系统,其特征在于,所述攻击感知模块、攻击检测模块、以及攻击防御模块之间通过消息代理服务的通讯链路方式进行通讯。
4.一种分布式实时DDoS攻击防护方法,其特征在于,包括以下步骤:
实时监测系统状态指标,根据系统状态指标,判断系统是否处于DDoS攻击状态;
当系统处于DDoS攻击状态时,根据触发攻击感知的系统状态指标,判断DDoS攻击的类型;
对接口流量进行检测,筛选出DDoS攻击发起源的IP地址或访问频次异常的接口;
对所述接口进行正常性测试,当测试结果正确,则进入后续防御处理,对发生DDoS攻击的接口进行防御处理。
5.根据权利要求4所述的分布式实时DDoS攻击防护方法,其特征在于,
所述根据系统状态指标,判断系统是否处于DDoS攻击状态包括:
1.1、通过数据模型进行系统状态指标数值的预测;
1.2、利用预测值以及观测值获取偏离度,根据偏离度判断系统是否处于DDoS攻击状态。
6.根据权利要求5所述的分布式实时DDoS攻击防护方法,其特征在于,所述数据模型包括:AR模型、MA模型、或ARMA模型。
7.根据权利要求6所述的分布式实时DDoS攻击防护方法,其特征在于,所述通过AR模型进行系统状态指标数值的预测包括:
AR模型公式:
θ=(2-1,2-2,2-3…2-L);
L=min{10,max{3,0.3≤|lg(Vt-L/Vt-L-1)|}};
其中Vt为目标系统状态指标在时间间隔次数t的预测值;t为当前统计间隔时间的次数;St-i为系统状态指标在t-i时刻的观测值;i为1到L的时刻下标,即某一时刻;
θi为AR模型参数,这里θi可视为在预测中对t-i时刻观测值的置信程度;为了保证通用性以及提高计算效率,使用参数θ代替θi;为了保证整体系数和为1,添加了θLSt-L部分,即将最后一个参数的系数值翻倍;
L为模型的阶数,即参与预测的观测值数量Vt-L为目标系统状态指标在向前搜索时间间隔t-L次数的预测值,Vt-L-1为目标系统状态指标在向前搜索时间间隔t-L-1次数的预测值;vt-L与vt-L-1为向前搜索L个时刻的两个连续vt;e为误差的补偿值;
获得预测值后,根据预测值与观测值进行偏离程度计算,计算公式为:
即取参与预测的所有观测值的方差与预测值的差进行比较,当预测值与观测值的差超过p倍的方差时,判断为系统正遭受DDoS攻击;所述p为DDoS攻击感知算法的判断阈值。
8.根据权利要求4所述的分布式实时DDoS攻击防护方法,其特征在于,所述系统状态指标具体包括KNR、PCIR、IUR以及PUR:
根据预设时间间隔,统计关键接口与普通接口的访问次数比KNR;所述关键接口为需要配合数据库使用或等待其他第三方服务的回复功能的接口;
统计关键接口访问次数比的主成分分析的接口访问频次比PCIR;
统计关键接口访问次数与当前用户的人数比IUR;
统计访问网页页面次数与当前用户人数比PUR;
所述关键接口与普通接口的访问次数比使用KNR(KeyInterfacetoNormalInte...
【专利技术属性】
技术研发人员:代红,陈泽鑫,张媛媛,袁阳可,吴子健,孙翘楚,孟迪,徐瑶,史添玮,任玲,
申请(专利权)人:辽宁科技大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。