一种面向主干网的制造技术

本发明专利技术公开了一种面向主干网的

【技术实现步骤摘要】
一种面向主干网的HTTP/2多路复用非对称攻击检测方法


[0001]本专利技术涉及一种面向主干网的
HTTP/2
多路复用非对称攻击检测方法，属于网络空间安全

。

技术介绍

[0002]应用层的非对称攻击是
HTTP Flooding DDoS
攻击的一种变种
。
不同于
HTTP Flooding DDoS
攻击以高于正常会话的速率发送随机的请求，非对称攻击通过对目标网站进行分析，筛选出需要占用大量服务器
CPU
资源的高负载请求，并利用这些精心筛选的高负载请求在使用比
HTTP Flooding DDoS
攻击更低请求速率的情况下达到使目标服务器拒绝服务的效果
。
与传统的
DDoS
攻击相比，非对称攻击利用了正常的
HTTP
请求，攻击的行为模式与正常访问相似；请求速率较低，攻击流量较小，攻击的流量常常淹没在正常访问流量中，检测难度大
。
[0003]HTTP/2
多路复用非对称攻击是使用
HTTP/2
协议的非对称攻击，具有易实施
、
难检测
、
危害大的特点
。
与
HTTP/1.1
相比，
HTTP/2
协议引入了流和帧
、
多路复用等新特性
。
流是虚拟的
、
双向的通信通道，r/>HTTP
消息
(
请求或响应
)
组成了流，每条消息被进一步分解成帧
。
多路复用通过多个流复用一条
TCP
连接，达到并发效果
。HTTP/2
利用这些新特性使数据传输更加高效，可以在单个连接上并发处理多个请求和响应，与
HTTP/1.1
只有在上一个请求和响应被处理后，才继续处理下一个请求的机制相比，大大提高了网站性能和加载速度
。
但是与它的意图相反，
HTTP/2
的新特性也可能被攻击者滥用从而引起网络安全问题
。
通过多路复用，攻击者可以在单个
TCP
连接中同时发起多个高负载请求，这意味着攻击者能够在使用更少僵尸主机的情况下达到与在
HTTP/1.1
下相同的攻击效果
。HTTP/2
协议还改变了
HTTP
请求流的模式，
HTTP/1.1
中稳定的请求流已经被包含多个请求的突发流量所取代，这就要求
Web
服务器必须提供比以前所需更多的并发请求，这使得正常用户访问与攻击行为的界限更加模糊
。
[0004]HTTP/2
多路复用非对称攻击的目标常常位于主干网络的关键节点
。
主干网中关键节点的流量十分庞大，使用全流量检测的方法会消耗大量的资源并且无法达到实时检测的目的，所以需要使用抽样技术减少需要处理的分组，而抽样后的流量模式会发生变化；同时由于负载均衡
、
拓扑变化
、
故障恢复等原因，主干网数据包在正向路径和反向路径上可能会采用不同的路由，这导致在主干网的单个节点可能只能捕获到一些应用单向的流量，许多基于双向流的检测方法不再适用
。
在主干网中检测
HTTP/2
多路复用非对称攻击具有挑战性，但是其是网络安全态势感知，主干网网络安全防线中的关键一环
。
因此，在主干网中准确高效地检测
HTTP/2
多路复用非对称攻击具有重要意义
。
[0005]近年来，虽然有一些学者提出了一些针对
HTTP/2
多路复用非对称攻击的检测方法，但是这些都是基于日志的用户行为学建模方法
。
这些方法需要建立正常用户有效请求集合
。
当普通用户访问特定的网页时，会产生并发送一组特定的请求，以确保正确渲染结果页面
。
这些请求都是相互关联的，因为它们需要同时发出，以正确地呈现所请求的页面
。
通
过对
web
服务器的日志进行分析，对请求集进行建模，建立区分有效和无效请求集的信任评分机制
。
但是用户请求只能在端系统获得，
HTTP/2
协议承载的请求内容在网络中是加密传输的，在无法得到端系统协助的情况下，从主干网数据采集节点获得请求报文并解密流量是不可能的，因此该种方法无法应用于主干网中
。
[0006]目前已有使用人工智能方法对加密的攻击进行识别的方法
。
例如使用机器学习方法对加密
web shell
流量进行识别
。
这类方法需要寻求用户正常访问流量和恶意攻击流量的区别
。
通过科学统计方法学习到正常的用户访问的行为模式，当某种未知的行为模式极大偏离学习到的正常行为模式时就认为其是恶意攻击
。
这种方法不依赖于报文的具体内容，因此可以应用于主干网中
。
这种方法需要针对特定的攻击类型构建分类模型，由于
HTTP/2
多路复用非对称攻击的高隐蔽性，目前尚未有对应的分类模型
。
[0007]在主干网中对
HTTP/2
多路复用非对称攻击进行检测，目前存在的困难可总结如下：
(1)
基于日志的方法需要获取请求的明文报文，这在主干网节点难以实现；
(2)HTTP/2
多路复用非对称攻击时产生流量相较于
HTTP Flooding
更少，远低于传统传输层
DDoS
攻击产生的流量
。
在主干网抽样环境中更加具有隐蔽性，难以检测；
(3)
主干网中常见的非对称路由现象导致采集的流量可能仅有单向流，不能使用数据流的双向特征构建分类模型
。

技术实现思路

[0008]为解决上述问题，本专利技术公开了一种面向主干网的
HTTP/2
多路复用非对称攻击检测方法
。
使用本专利技术提出的方法能够在只使用单向流
(
客户端请求数据或者服务器响应数据
)
的情况下实现对攻击的检测
。
本专利技术的方法分为模型训练阶段和在线检测阶段
。
在模型训练阶段，通过搭建
web
服务器并使用攻击攻击采集攻击流量，使用权威主干网数据集作为主干网背景流量，使用系统抽样方法对所获得的流量数据集进行抽样并结合
Sketch
技术存储数据，改善了在主干网中检测攻击流量需要大计算量与高存储空间的问题；根据
HTTP/2
多路复用非对称攻击的特点，提取本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种面向主干网的
HTTP/2
多路复用非对称攻击检测方法，其特征在于，该方法包括以下步骤：步骤
(1)
获取主干网流量数据集和
HTTP/2
多路复用非对称攻击数据集，并根据具体的场景需求按照一定的比例进行系统抽样，得到抽样后的流量数据；步骤
(2)
分析
HTTP/2
协议特点以及
HTTP/2
多路复用非对称攻击原理，选择若干能够体现
HTTP/2
多路复用非对称攻击特点的单向特征，并根据客户端恶意攻击请求行为和对应服务器返回数据包行为的差异，构建出前向和反向流特征；步骤
(3)
使用基于
Sketch
的流特征提取软件从步骤
(1)
所获取抽样流量数据中提取步骤
(2)
所选择的特征数据，并根据流量的实际类型对其进行数据标注，形成带标签的用于模型训练的特征向量；步骤
(4)
使用步骤
(3)
中提取到的特征向量进行模型训练，选择复杂度较低，预测速度快的机器学习算法，得到攻击检测模型；步骤
(5)
在主干网节点中部署基于
Sketch
的流特征提取软件实时获取通过节点的流特征，将提取的流特征数据写入
Redis
数据库；步骤
(6)
从
Redis
数据库中读取特征向量输入到步骤
(4)
得到的攻击检测模型中，根据预测结果标识攻击流量和正常访问流量，保存识别结果；步骤
(7)
根据识别结果实行相关防御措施，根据服务器白名单或者标识为攻击流量
IP
之间的连接关系判断恶意攻击客户端和服务器，对恶意攻击客户端
IP
进行封堵等操作
。2.
根据权利要求1所述的一种面向主干网的
HTTP/2
多路复用非对称攻击检测方法，其特征在于，所述步骤
(1)
具体包含如下子步骤：
(1.1)
获取主干网背景流量数据，具有代表性的是
MAWI(Measurement and Analysis on the WIDE Internet)
数据集，使用
MAWI
数据集作为主干网背景流量；
(1.2)
获取攻击流量数据，在局域网环境中搭建
web
服务器和分布式攻击环境，发起
HTTP/2
多路复用非对称攻击，采集攻击流量；
(1.3)
将
MAWI
背景流量和采集到的攻击流量进行混合，根据不同的场景需求选择1至的比例进行系统抽样，得到抽样后的混合流量数据集
。3.
根据权利要求1所述的一种面向主干网的
HTTP/2
多路复用非对称攻击检测方法，其特征在于，所述步骤
(2)
具体包含如下子步骤：
(2.1)
根据
HTTP/2
多路复用非对称攻击的总体特点，从单向流里提取若干个能够体现攻击特点的流量特征；
(2.2)
将
HTTP/2
多路复用非对称攻击的共同特点与前向和反向流对应的特异性特征结合起来，构建出特定的特征组别
。4.
根据权利要求1所述的...

【专利技术属性】
技术研发人员：吴桦，杨富豪，程光，胡晓艳，
申请(专利权)人：东南大学，
类型：发明
国别省市：