一种应用层DDoS攻防效果评估方法技术

本发明专利技术提出了一种应用层DDoS攻防效果评估方法，以目标应用的计算、存储等资源指标，和服务质量指标为基础，利用主成分分析方法，对数据指标构成的空间进行降维，并提取主成分，构建攻击及防御行为产生作用的资源状态空间和服务质量状态空间，并且，将状态空间描述为微分流形，给出微分流形的黎曼度量结构，最后，利用微分几何原理，对攻击及防御行为产生的效果进行量化计算，能够准确地评估攻击及防御系统的效果，为应用层DDoS攻击的防御提供有效参考。考。考。

【技术实现步骤摘要】
一种应用层DDoS攻防效果评估方法


[0001]本专利技术涉及应用层DDoS攻防
，具体涉及一种应用层DDoS攻防效果评估方法。

技术介绍

[0002]目前针对应用层DDoS攻击的相关研究主要包括应用层DDoS攻击行为的检测与防御系统，及相应的攻防效果评估方法。对于应用层DDoS攻击行为的检测与防御，主要包含利用深度包检测技术，或CAPTCHA，识别并阻止攻击请求，进而达到抵御攻击的目的。对于应用层DDoS的攻防效果评估，主要包含通过从应用系统中采集到的数据，并建立数学模型，从而量化攻防行为的效用。
[0003]首先，目前针对应用层DDoS攻击的相关研究，大多集中在对攻击行为的检测与防御上，而对于攻防效果的评估的研究较为匮乏。现有方法大多旨在提出应用层DDoS攻击的检测与抵御系统，利用统计学和概率学等相关知识，建立正常用户或异常用户的行为模型，并以此作为检测系统内是否存在异常行为的依据。如果存在异常行为，则利用IP隔离和限速等技术对攻击行为进行抵御。尽管这些防御系统能够在一定程度上阻止攻击，并保证应用系统的可用性，但是，仍然缺乏统一的标准来比较不同的防御系统在抵御攻击行为时的具体效果，以及这些系统自身带来的资源方面以及服务质量方面的开销。
[0004]其次，现有的针对应用层DDoS攻防效果评估的研究也有较多缺陷。第一，现有技术过于依赖主观知识，导致评估结果不够客观。例如，一些方法借助专家经验，结合层次分析法等技术，对攻防效果进行评估。但是，这些方法往往只能进行定性的分析，而无法获得准确的定量评估结果。第二，现有技术基于不成立的假设，导致评估结果不具有参考价值。例如，一些方法通过采集应用系统的各项指标数据，建立数学空间模型，并计算攻防行为效用。在建立数学模型时，这些方法假设各项指标是相互独立的，进而认为这些指标构成了欧式空间。然而，网络应用系统的构成往往较为复杂，其各项指标数据也存在较大的相关性。从数学角度来说，这些指标互相之间线性相关，因此不能被看作是欧式空间的一组基底。因此，由于这些方法基于不成立的假设，其数学推导不够严谨，评估结果不具备参考价值。
[0005]综上，应用层DDoS攻击者通过发送大量应用请求，消耗目标服务器的计算、存储等资源，造成服务质量下降，甚至应用系统崩溃等严重后果。目前，已有一些针对应用层DDoS防御的相关研究，这些研究利用机器学习等方法检测攻击行为，并利用阻挡攻击IP地址或限速的方式来抵御攻击。这些防御策略在抵御攻击时有不同的防御效果。同时，针对应用层攻击的防御策略往往需要使用深度包检测技术，或CAPTCHA(全自动区分计算机和人类的图灵测试)，而这些技术本身也会一定程度上负面地影响应用系统的资源和服务质量。因此，需要对应用层DDoS攻击行为及不同的防御系统进行攻击和防御效果评估，从而选择最佳防御错略，保证网络应用的可用性和正常用户的服务质量。现有的应用层DDoS攻防效果评估方法较为主观，或是基于一些不成立的假设，导致评估结果不够准确。

技术实现思路

[0006]有鉴于此，本专利技术提出了一种应用层DDoS攻防效果评估方法，能够准确地评估攻击及防御系统的效果，为应用层DDoS攻击的防御提供有效参考。
[0007]为实现上述目的，本专利技术的技术方案为：
[0008]一种应用层DDoS攻防效果评估方法，包括如下步骤：首先，对目标应用系统进行攻防行为仿真；在攻防行为仿真的过程中，对目标应用系统进行指标数据采集，其中指标数据包含资源指标数据和服务质量指标数据两部分，所述资源指标数据反映应用系统的资源状态，所述服务质量指标数据反映应用系统的服务质量状态；在得到指标数据后，利用主成分分析法，分别对资源指标数据和服务质量指标数据进行处理，构建资源状态空间和服务质量状态空间；最后，基于微分几何原理，在微分流形中对攻防行为的效果进行计算，具体是：根据所述资源状态空间和服务质量状态空间，分别计算攻击行为对目标应用系统的资源状态和服务质量状态产生的效果，根据所述攻击行为对目标应用系统的资源状态和服务质量状态分别产生的效果，通过比较有防御与无防御时某攻击行为的效果，计算某防御策略在抵御该特定攻击行为时产生的防御效果，以此判断防御是否对该攻击有效，作为选择最佳防御策略的依据。
[0009]其中，对目标应用系统进行攻防行为仿真时，选取目标应用系统中的一个目标URL，输入到应用层DDoS攻击模拟工具中，实施攻击；当评估某个特定防御策略在抵御某个特定应用层DDoS攻击行为时，先对攻击行为进行单独仿真，然后在该攻击行为作用的同时施加防御策略，比较有防御和无防御时攻击行为的效果改变，即防御策略的效果。
[0010]其中，所述资源指标数据包括四类：计算指标数据、存储指标数据、磁盘指标数据和进程指标数据；根据不同的应用部署方式和框架，每类资源指标数据的具体指标可扩展；服务质量指标数据包括：延迟、延迟标准差、最大延迟、最小延迟和错误率。
[0011]其中，对于资源利用指标数据和服务质量指标数据，分别利用主成分分析法进行处理，得到两个降维后的具有正交坐标系的空间，分别表示资源利用状态空间以及服务质量状态空间；主成分分析法给出的正交坐标系内定义了两个向量的点积，以此给出微分流形的黎曼度量结构；最后，在微分流形数学模型中，定义攻防行为的作用以及作用导致的移动。
[0012]其中，利用攻防行为效果计算方法分别在资源状态空间和服务质量状态空间中进行计算，分别得到攻防行为对于资源状态的行为效果和攻防行为对于服务质量状态的行为效果；基于攻防效果评估，帮助应用管理员分析攻击行为对应用系统产生的效果，以及针对某个攻击行为，哪些防御策略更加有效地抵御应用层DDoS攻击。
[0013]其中，可用的应用层DDoS攻击模拟工具包括Goldeneye、HULK、JMeter和Slowhttptest；可用的应用层DDoS防御策略包括限速及其他现有的应用层DDoS防御系统；可用的指标数据采集工具包括JMeter和Prometheus。
[0014]有益效果：
[0015]1、本专利技术通过应用系统的各项指标数据计算应用层DDoS攻防行为效果，在计算攻防效果的过程中，不依赖于任何主观知识，只依据网络应用系统的客观指标数据；对资源指标数据和服务质量指标数据分别进行分析，以体现应用层DDoS攻防行为对资源利用状态和服务质量状态分别的作用效果，因此评估结果更加具体和全面。
[0016]2、本专利技术利用主成分分析法，对采集到的指标数据进行降维处理，保留数据中较为重要的特征，忽略冗余的特征，消除了指标数据间的相关关系，降低计算复杂度并提高评估效率。同时，降维后的特征之间相互独立，消除了现有技术中的假设，使得评估结果更加准确；本专利技术利用主成分分析法，通过正交变换，得到数据空间的新的正交坐标系，其中坐标轴之间两两相互独立，进而根据微分几何原理，推导并计算出应用系统中攻防行为的准确效果。
[0017]3、本专利技术基于网络应用系统的各项资源指标数据，以及服务质量指标数据，利用主成分分析法对数据进行处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种应用层DDoS攻防效果评估方法，其特征在于，包括如下步骤：首先，对目标应用系统进行攻防行为仿真；在攻防行为仿真的过程中，对目标应用系统进行指标数据采集，其中指标数据包含资源指标数据和服务质量指标数据两部分，所述资源指标数据反映应用系统的资源状态，所述服务质量指标数据反映应用系统的服务质量状态；在得到指标数据后，利用主成分分析法，分别对资源指标数据和服务质量指标数据进行处理，构建资源状态空间和服务质量状态空间；最后，基于微分几何原理，在微分流形中对攻防行为的效果进行计算，具体是：根据所述资源状态空间和服务质量状态空间，分别计算攻击行为对目标应用系统的资源状态和服务质量状态产生的效果，根据所述攻击行为对目标应用系统的资源状态和服务质量状态分别产生的效果，通过比较有防御与无防御时某攻击行为的效果，计算某防御策略在抵御该特定攻击行为时产生的防御效果，以此判断防御是否对该攻击有效，作为选择最佳防御策略的依据。2.如权利要求1所述的方法，其特征在于，对目标应用系统进行攻防行为仿真时，选取目标应用系统中的一个目标URL，输入到应用层DDoS攻击模拟工具中，实施攻击；当评估某个特定防御策略在抵御某个特定应用层DDoS攻击行为时，先对攻击行为进行单独仿真，然后在该攻击行为作用的同时施加防御策略，比较有防御和无防御时攻击行为的效果改变，即防御策略的效果。3.如权利要求1所述的方法，其特征在于，所述资...

【专利技术属性】
技术研发人员：胡昌振，王可惟，单纯，王余阳，林泽炜，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：