本发明专利技术提出了基于分布式的抗DDoS攻击及云WAF防御方法,涉及抗DDoS攻击及云WAF防御技术领域,采集流表信息,构建表征DDoS攻击的特征向量;建立BP神经网络,将所述特征向量输入BP神经网络,检测网络中是否有DDoS攻击产生;若有DDoS攻击产生,重构攻击路径,采用溯源算法实现网络攻击溯源追踪;追踪到攻击源后,将攻击主机的数据包进行过滤,从源头实现对DDoS攻击的防御。攻击的防御。攻击的防御。
【技术实现步骤摘要】
基于分布式的抗DDoS攻击及云WAF防御方法
[0001]本专利技术涉及抗DDoS攻击及云WAF防御
,具体涉及基于分布式的抗DDoS攻击及云WAF防御方法。
技术介绍
[0002]对网络攻击的响应按时间顺序分类可分为两大类,一类是检测到攻击后立即做出响应,例如在受害主机实现功能的迁移,将相应的攻击流量实现过滤或关闭相应的端口等方式实现防御;另一类则是先进行攻击溯源,追踪到攻击者的真实位置后,从源头上阻止攻击行为的持续发生,并进行网络攻击事故进行取证操作。前一种方法虽然可以快速对网络中存在的攻击做出防御响应,但这种方法不会对攻击者造成任何的威胁,可能还会导致攻击者更加的猖獗,发起更多的攻击行为,而后一种通过网络溯源找到真实的攻击源的防御方法,不但可以从源头快速的阻止攻击行为的持续发生,而且可以通过事故取证利用法律手段使攻击者得到应有的惩罚。所以说攻击溯源对网络安全有着举足轻重的作用,一方面可以定位到攻击源的真实位置,从源头及时的采取相应的防御策略以将攻击对网络的危害降到最低,另一方面还可以收集到对攻击者进行法律惩罚的依据,通过法律的方式,对攻击者起到一定的威慑作用。
[0003]DDoS(Distributed Denial of Service,分布式拒绝服务)是一种旨在耗尽被攻击主机的带宽资源或者应用资源,使合法用户无法访问服务的攻击。这种攻击易于实施,并且难于防范,同时还具有一定的隐蔽性。追踪到DDoS攻击的真实攻击源后,接下来则是对DDoS攻击进行有效的防御。传统网络环境中,防御DDoS攻击常用的方法是通过对路由器安装特定的模块实现流量过滤以及限流,但这种方法的缺陷是很难做到统一的管理。在实现DDoS攻击防御时没有考虑到全局网络的概念,无法实现统一的防护措施及实时响应。
[0004]大多数的安全漏洞都是由于利用了WAF的脆弱性而发生的。在WAF加固的服务器架构中,监测到异常流量后,如果直接拒绝访问流量,那么攻击者就会不断探寻规律寻找可能能够通过WAF的规则。
[0005]一般的网络防火墙能够对服务器进行一定的防护,但是却并不擅长应用层面的安全防护。由此,网站应用防火墙(WAF,Web Application Firewall) ,则应运而生。WAF的主要功能是保护 Web 应用不受到恶意攻击,并通过对网站的请求和响应开展高效的分析和统计,能够对网站攻击事件提供及时的报警、甚至停止响应,以保护网站服务器的安全。
技术实现思路
[0006]为了解决上述技术问题,本专利技术提出了基于分布式的抗DDoS攻击及云WAF防御方法,包括如下步骤:S1、采集流表信息,构建表征DDoS攻击的特征向量;S2、建立BP神经网络,将所述特征向量输入BP神经网络,检测网络中是否有DDoS攻击产生;
S3、若有DDoS攻击产生,重构攻击路径,采用溯源算法实现网络攻击溯源追踪;S4、追踪到攻击源后,将攻击主机的数据包进行过滤,从源头实现对DDoS攻击的防御。
[0007]进一步地,步骤S2包括:S21、初始化参数操作,完成BP神经网络参数的设置;S22、将源地址熵、目的地址熵、流表项速率和端口速率4元组特征向量作为DDoS攻击检测模型的样本输入向量,并将输出标签标记为正常为0,攻击标记为1;S23、构建从起点到层数的信息素矩阵和从层数到节点的信息素矩阵;S24、按照寻路原则,计算从起点到节点的概率;S25、更新层数和节点,对信息素浓度进行全局更新;S26、重复S23到S25,直至达到最大迭代次数;S27、输出最优层数和节点并代入BP神经网络训练,输出是否有DDoS攻击产生。
[0008]进一步地,步骤S3包括:S31:将溯源起点交换机加入攻击路径树中;S32:根据溯源起点交换机以及网络拓扑实例获得上一跳交换机ID及输入端口信息,重构出攻击路径树上的一条边;S33:将上一跳交换机作为当前溯源起点交换机,结合网络拓扑实例,重构出完整的攻击路径树;S34:重构出攻击路径树的长度大小与交换机特征集合长度大小一致,则溯源成功,否则溯源失败。
[0009]进一步地,步骤S4中,定义defense 函数,找出目的地址熵H
dip
(s)值最大的一项记为target;再找出源地址熵H
sip
(s)值中达到累计贡献的k项放入src_list;将src_list中的源地址熵H
sip
(s)值与target配对形成OD对,找出OD对所对应的序号index,并在流量矩阵和包统计矩阵中找出序号对应的项,记录在traffic
‑
list和pack
‑
list中。对 traffic_list和pack_list从大到小排序,对排序后数值最大的项对应的接入标识记录,放入DDOS
‑
list中,命令交换机收到带有DDoS_list中接入标识的数据包后直接丢弃。
[0010]进一步地,步骤S24中,按照下式的寻路原则,计算从起点到节点的概率:;其中,i、j分别为起点和节点,为时间t时由i到j的信息素浓度, A为尚未访问过的节点集合。
[0011]进一步地,步骤S25中,更新层数和节点,按照下式对信息素浓度进行全局更新:;;
为信息素增量,Q为信息素常量,A
k
为验证损失值,rho为全局信息素挥发因子。
[0012]本专利技术还提出了一种基于分布式的抗DDoS攻击及云WAF防御系统,用于实现基于分布式的抗DDoS攻击及云WAF防御方法,包括:DDoS特征项构建模块、DDoS攻击检测模块、攻击溯源模块和分布式WAF防御模块;DDoS特特征项构建模块,用于采集流表信息,构建表征DDoS攻击的特征向量;DDoS攻击检测模块,用于建立BP神经网络,将特征向量输入BP神经网络,检测网络中是否有DDoS攻击产生。
[0013]攻击溯源模块,用于当DDoS攻击产生时,重构攻击路径,采用溯源算法实现网络攻击溯源追踪。
[0014]分布式WAF防御模块,用于当追踪到攻击源后,将攻击主机的数据包进行过滤,从源头实现对DDoS攻击的防御。
[0015]相比于现有技术,本专利技术具有如下有益技术效果:基于阈值的溯源算法很好的规避了PPM和DPM溯源算法中对网络路由器的特殊要求;不需要对现有网络中的设备做任何修改,只需要将溯源模块部署在SDN架构中的应用层上即可,并且是一个独立模块,易于调试及维护;不会消耗网络中交换机设备的资源,不影响数据包的转发效率和交换机的性能。
附图说明
[0016]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0017]图1为本专利技术的基于分布式的抗DDoS攻击及云WAF防御方法流程图;图2为本专利技术的重构攻击路径流程示意图。
具体实施方式
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于分布式的抗DDoS攻击及云WAF防御方法,其特征在于,包括如下步骤:S1、采集流表信息,构建表征DDoS攻击的特征向量;S2、建立BP神经网络,将所述特征向量输入BP神经网络,检测网络中是否有DDoS攻击产生;S3、若有DDoS攻击产生,重构攻击路径,采用溯源算法实现网络攻击溯源追踪;S4、追踪到攻击源后,将攻击主机的数据包进行过滤,从源头实现对DDoS攻击的防御。2.根据权利要求1所述的基于分布式的抗DDoS攻击及云WAF防御方法,其特征在于,步骤S2包括:S21、初始化参数操作,完成BP神经网络参数的设置;S22、将源地址熵、目的地址熵、流表项速率和端口速率4元组特征向量作为DDoS攻击检测模型的样本输入向量,并将输出标签标记为正常为0,攻击标记为1;S23、构建从起点到层数的信息素矩阵和从层数到节点的信息素矩阵;S24、按照寻路原则,计算从起点到节点的概率;S25、更新层数和节点,对信息素浓度进行全局更新;S26、重复S23到S25,直至达到最大迭代次数;S27、输出最优层数和节点并代入BP神经网络训练,输出是否有DDoS攻击产生。3.根据权利要求1所述的基于分布式的抗DDoS攻击及云WAF防御方法,其特征在于,步骤S3包括:S31:将溯源起点交换机加入攻击路径树中;S32:根据溯源起点交换机以及网络拓扑实例获得上一跳交换机ID及输入端口信息,重构出攻击路径树上的一条边;S33:将上一跳交换机作为当前溯源起点交换机,结合网络拓扑实例,重构出完整的攻击路径树;S34:重构出攻击路径树的长度大小与交换机特征集合长度大小一致,则溯源成功,否则溯源失败。4.根据权利要求2所述的基于分布式的抗DDoS攻击及云WAF防御方法,其特征在于,步骤S4中,找出目的地址熵H
dip
(s)值最大的一项记为target,找出源地址熵H
sip
(s)值中达到累计贡献的k项放入src_list;将s...
【专利技术属性】
技术研发人员:武盛,张宇,庄磊,
申请(专利权)人:天津市亿人科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。