一种分布式实时DDoS攻击防护系统及方法技术方案

本发明专利技术公开了一种分布式实时DDoS攻击防护系统及方法，将整个DDoS防护工作分为感知、检测及防御三个部分。使DDoS攻击检测工作能在没有出现DDoS攻击时暂停，以减少算力浪费，还可以根据不同DDoS攻击类型选择检测算法，提高检测准确率。同时设计了系统自我反馈调整的机制，并规定了相应的通讯结构和存储方式等优化机制。能够判断系统是否处于DDoS攻击状态，能够预判系统处于DDoS攻击状态，同时预判DDoS攻击类型，以此面对目前应用层DDoS攻击持续时间短，发起速度快的特点，当DDoS攻击没有发生时暂停DDoS攻击检测工作，降低服务器性能消耗，感知算法所预判的DDoS攻击类型可以用于选定合适的DDoS攻击检测算法，以提高攻击检测整体的准确率。

【技术实现步骤摘要】
一种分布式实时DDoS攻击防护系统及方法
本专利技术涉及网络安全
，尤其涉及一种分布式实时DDoS攻击防护系统及方法。
技术介绍
互联网作为全球经济发展的重要组成部分，如今已全面渗透到经济社会的各个领域，成为生产建设、经济贸易、科技创新、公共服务、文化传播、生活娱乐的新型平台和变革力量。而Web服务是互联网中最广泛的应用类型和内容提供方式，因此也成为网络攻击的主要攻击对象。分布式拒绝服务攻击(DistributedDenial-of-ServiceAttack,DDoS)采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，以此消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务，从而达到攻击者在商业竞争、服务绑架或经济要求的目的，是当前Web服务面临的最大威胁之一。根据电信云堤发布的“DDoS攻击态势报告”中显示，目前网络中被入侵的设备中有超过50％以上被用于发起DDoS攻击。DDoS攻击随着个人计算机的普及以及物联网设备的发展越来越频繁地出现在公众的视野并且造成了巨大的恶性后果以及经济损失。个人计算机硬件能力的提升降低了DDoS攻击的成本，网络应用的复杂度提高带来了更大的工作量不对称性，物联网设备的发展给予了黑客更多的傀儡，造成更加复杂多变的源IP以及网络UA标识，加大了DDoS攻击检测和防御的难度。而DDoS攻击发起工具如Hyenae、DDOSIM-Layer、HULK、Pyloris等下载方便，许多专业性不强的不法分子也可以发起DDoS攻击，对服务提供商、普通用户都带来较大危害，造成了巨大的经济损失和资源浪费。据统计抗DDoS攻击的平均流量费用已达到3万/Gb，目前DDoS攻击流量峰值越来越高，而网络应用成为民众日常生活必不可少的内容，大流量DDoS攻击会导致网站服务的完全瘫痪，为了不影响用户的使用，DDoS攻击的检测实时性尤为重要。
技术实现思路
针对上述缺陷或不足，本专利技术的目的在于提供一种分布式实时DDoS攻击防护方法及系统。为达到以上目的，本专利技术的技术方案为：一种分布式实时DDoS攻击防护系统，包括：攻击感知模块、攻击检测模块、以及攻击防御模块，其中；攻击感知模块，用于实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；攻击检测模块，用于对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；攻击防御模块，用于对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理。还包括可视化模块，所述可视化模块用于对目标Web应用服务器群状态进行状态监控，所述Web应用服务器群状态包括服务器硬件信息、软件信息、以及操作系统状态。所述攻击感知模块、攻击检测模块、以及攻击防御模块之间通过消息代理服务的通讯链路方式进行通讯。一种分布式实时DDoS攻击防护方法，包括以下步骤:实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理。所述根据系统状态指标，判断系统是否处于DDoS攻击状态包括：1.1、通过数据模型进行系统状态指标数值的预测；1.2、利用预测值以及观测值获取偏离度，根据偏离度判断系统是否处于DDoS攻击状态。所述数据模型包括：AR模型、MA模型、或ARMA模型。所述通过AR模型进行系统状态指标数值的预测包括：AR模型公式：θ＝(2-1，2-2，2-3…2-L)；L＝min{10,max{3,0.3≤|lg(Vt-L/Vt-L-1)|}}；其中Vt为目标系统状态指标在时间间隔次数t的预测值；t为当前统计间隔时间的次数；St-i为系统状态指标在t-i时刻的观测值；i为1到L的时刻下标，即某一时刻；θi为AR模型参数，这里θi可视为在预测中对t-i时刻观测值的置信程度；为了保证通用性以及提高计算效率，使用参数θ代替θi；为了保证整体系数和为1，添加了θLSt-L部分，即将最后一个参数的系数值翻倍；L为模型的阶数，即参与预测的观测值数量Vt-L为目标系统状态指标在向前搜索时间间隔t-L次数的预测值，Vt-L-1为目标系统状态指标在向前搜索时间间隔t-L-1次数的预测值；vt-L与vt-L-1为向前搜索L个时刻的两个连续vt；e为误差的补偿值；获得预测值后，根据预测值与观测值进行偏离程度计算，计算公式为：即取参与预测的所有观测值的方差与预测值的差进行比较，当预测值与观测值的差超过p倍的方差时，判断为系统正遭受DDoS攻击；所述p为DDoS攻击感知算法的判断阈值。所述系统状态指标具体包括KNR、PCIR、IUR以及PUR：根据预设时间间隔，统计关键接口与普通接口的访问次数比KNR；所述关键接口为需要配合数据库使用或等待其他第三方服务的回复功能的接口；统计关键接口访问次数比的主成分分析的接口访问频次比PCIR；统计关键接口访问次数与当前用户的人数比IUR；统计访问网页页面次数与当前用户人数比PUR。所述关键接口与普通接口的访问次数比使用KNR(KeyInterfacetoNormalInterfaceRadio)表示，其计算公式：其中requestkey为关键接口的访问次数，requestnormal为其余接口的访问次数，t为算法检测的单位时间；所述统计关键接口访问次数比的主成分分析的接口访问频次比使用PCIR表示，其计算公式：PCIR＝PCA1([Interface1,Interface2...Interfacen]t)其中t表示算法检测的单位时间，Interfacen表示Web服务应用中第n个接口的请求次数；所述统计接口访问次数与当前用户的人数比使用IUR表示，其计算公式：其中t表示算法检测的单位时间，requestall表示该时刻下Web服务应用所有的HTTP请求次数，IP表示该时刻下Web服务应用所有活跃用户链接数量，即源IP数量；所述统计访问网页页面次数与当前用户人数比PUR表示，其计算公式：其中t表示算法检测的单位时间，Page表示该时间内网页页面的访问个数，IP表示该时刻下Web服务应用所有活跃用户链接数量，即源IP数量。所述当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型具体包括；当KNR出现偏离时，触发asymmetricwor本文档来自技高网...

【技术保护点】
1.一种分布式实时DDoS攻击防护系统，其特征在于，包括：攻击感知模块、攻击检测模块、以及攻击防御模块，其中；/n攻击感知模块，用于实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；/n攻击检测模块，用于对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；/n攻击防御模块，用于对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理。/n

【技术特征摘要】
1.一种分布式实时DDoS攻击防护系统，其特征在于，包括：攻击感知模块、攻击检测模块、以及攻击防御模块，其中；
攻击感知模块，用于实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；
攻击检测模块，用于对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；
攻击防御模块，用于对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理。


2.根据权利要求1所述的分布式实时DDoS攻击防护系统，其特征在于，还包括可视化模块，所述可视化模块用于对目标Web应用服务器群状态进行状态监控，所述Web应用服务器群状态包括服务器硬件信息、软件信息、以及操作系统状态。


3.根据权利要求1所述的分布式实时DDoS攻击防护系统，其特征在于，所述攻击感知模块、攻击检测模块、以及攻击防御模块之间通过消息代理服务的通讯链路方式进行通讯。


4.一种分布式实时DDoS攻击防护方法，其特征在于，包括以下步骤:
实时监测系统状态指标，根据系统状态指标，判断系统是否处于DDoS攻击状态；
当系统处于DDoS攻击状态时，根据触发攻击感知的系统状态指标，判断DDoS攻击的类型；
对接口流量进行检测，筛选出DDoS攻击发起源的IP地址或访问频次异常的接口；
对所述接口进行正常性测试，当测试结果正确，则进入后续防御处理，对发生DDoS攻击的接口进行防御处理。


5.根据权利要求4所述的分布式实时DDoS攻击防护方法，其特征在于，
所述根据系统状态指标，判断系统是否处于DDoS攻击状态包括：
1.1、通过数据模型进行系统状态指标数值的预测；
1.2、利用预测值以及观测值获取偏离度，根据偏离度判断系统是否处于DDoS攻击状态。


6.根据权利要求5所述的分布式实时DDoS攻击防护方法，其特征在于，所述数据模型包括：AR模型、MA模型、或ARMA模型。


7.根据权利要求6所述的分布式实时DDoS攻击防护方法，其特征在于，所述通过AR模型进行系统状态指标数值的预测包括：
AR模型公式：
θ＝(2-1，2-2，2-3…2-L)；
L＝min{10,max{3,0.3≤|lg(Vt-L/Vt-L-1)|}}；
其中Vt为目标系统状态指标在时间间隔次数t的预测值；t为当前统计间隔时间的次数；St-i为系统状态指标在t-i时刻的观测值；i为1到L的时刻下标，即某一时刻；
θi为AR模型参数，这里θi可视为在预测中对t-i时刻观测值的置信程度；为了保证通用性以及提高计算效率，使用参数θ代替θi；为了保证整体系数和为1，添加了θLSt-L部分，即将最后一个参数的系数值翻倍；
L为模型的阶数，即参与预测的观测值数量Vt-L为目标系统状态指标在向前搜索时间间隔t-L次数的预测值，Vt-L-1为目标系统状态指标在向前搜索时间间隔t-L-1次数的预测值；vt-L与vt-L-1为向前搜索L个时刻的两个连续vt；e为误差的补偿值；
获得预测值后，根据预测值与观测值进行偏离程度计算，计算公式为：



即取参与预测的所有观测值的方差与预测值的差进行比较，当预测值与观测值的差超过p倍的方差时，判断为系统正遭受DDoS攻击；所述p为DDoS攻击感知算法的判断阈值。


8.根据权利要求4所述的分布式实时DDoS攻击防护方法，其特征在于，所述系统状态指标具体包括KNR、PCIR、IUR以及PUR：
根据预设时间间隔，统计关键接口与普通接口的访问次数比KNR；所述关键接口为需要配合数据库使用或等待其他第三方服务的回复功能的接口；
统计关键接口访问次数比的主成分分析的接口访问频次比PCIR；
统计关键接口访问次数与当前用户的人数比IUR；
统计访问网页页面次数与当前用户人数比PUR；
所述关键接口与普通接口的访问次数比使用KNR(KeyInterfacetoNormalInte...

【专利技术属性】
技术研发人员：代红，陈泽鑫，张媛媛，袁阳可，吴子健，孙翘楚，孟迪，徐瑶，史添玮，任玲，
申请(专利权)人：辽宁科技大学，
类型：发明
国别省市：辽宁;21