【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种用于分布式拒绝服务攻击的监控检测系统。
技术介绍
1、分布式拒绝服务攻击是指借助于客户/服务器技术,木马病毒技术,僵尸网络技术等将多台计算机、服务器、网络设备联合起来作为攻击平台,对一个或多个网络目标发动分布式拒绝服务攻击。攻击者通过控制软件、程序控制多台网络设备在同一时间对某个网络设备重复发送大量畸形报文、连接请求、服务请求造成被攻击的网络设备带宽拥挤、硬件资源耗尽、服务瘫痪达到攻击者的破坏目的。
2、网络层ddos攻击对云服务商和互联网数据中心服务商影响更大,由于云服务商和idc服务商通过集中的互联网出入口为多租户提供网络服务,当某一个ip被攻击,如果不及时处理,都有可能影响到其他所有租户的网络服务。在现有技术中,为了防止这种ddos攻击,通常采用动态基线的检测方法来检测是否受到ddos攻击。通过模型预测得到某个预测值,再以该预测值作为参考,来计算实际观测值与该预测值偏离大小,如果偏离超出一定范围认为受到攻击,当网络流量出现与攻击类似的正常突变流量时,则极易导致检测算法的误判,导致将正常突变流量也判定为攻击异常流量,影响正常用户的实际体验。
技术实现思路
1、本专利技术的目的在于提供一种用于分布式拒绝服务攻击的监控检测系统,解决以下技术问题:
2、当网络流量出现与攻击类似的正常突变流量则极易导致检测算法的误判,导致将正常突变流量也判定为攻击异常流量,影响正常用户的实际体验。
3、本专利技术的目的可以通过以下
4、一种用于分布式拒绝服务攻击的监控检测系统,包括被控对象、观测器、控制器和应用服务器,其特征在于,所述观测器与控制器连接,应用服务器设置于观测器与控制器之间且分别与观测器与控制器相连,还包括:
5、流量获取模块,用于实时获取单位时间t内网络系统中的通信流量;
6、流量监控模块,用于将所述通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量并向应用服务器发出预警信息;所述攻击阈值包括流量带宽阈值和传输包数阈值;
7、流量检测模块,用于根据目标ip地址,将待定通信流量划分为若干子通信流量,根据划分后的子通信流量大小对目标ip地址进行依次进行排序,依次获取目标ip地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标ip所对应的通信流量为异常流量;所述请求状态信息为建立连接和半连接和关闭连接;
8、结果生成模块,用于若存在异常流量,则向所述应用服务器发出异常警报信息,若不存在异常流量,则向所述应用服务器发出取消预警信息。
9、作为本专利技术进一步的方案:所述流量检测模块中,访问请求的第一概率计算过程为:
10、获取单位时间t内目标ip地址服务器所有半连接的次数和对应的半连接时间并标记为t1,t2,...,tn,t≤t,n为正整数,根据所述连接时间计算第一概率。
11、作为本专利技术进一步的方案:所述流量检测模块中,所述流量检测模块中,所述半连接时间熵的计算过程为:
12、
13、h为半连接熵,pi为任一半连接时间对应的连接概率。
14、作为本专利技术进一步的方案:所述流量检测模块中,若半连接熵大于等于预设阈值,获取该目标ip地址对应服务器的每个访问请求的连接时长,及所述总连接时长,确定每个连接时长对应的第一概率,根据每个所述第一概率,计算访问时间熵,若所述访问时间熵小于预设阈值,则判断目标ip所对应的通信流量为异常流量,若所述访问时间熵大于等于预设阈值,则判断目标ip所对应的通信流量为正常流量。
15、作为本专利技术进一步的方案:所述连接时长的第一概率的计算过程为:
16、获取目标ip地址服务器与任一源ip建立连接时长和次数,并按连接时长依次进行排序,生成连接时间序列,计算每个连接时长所占总连接时长的比例,得到任一连接时长的第一概率。
17、作为本专利技术进一步的方案:所述结果生成模块中,当检测得到首个目的ip地址所对应的通信流量为异常流量时,则向控制器发出目标ip地址流量控制信息。
18、作为本专利技术进一步的方案:当检测得到首个目的ip地址所对应的通信流量为异常流量时,依次继续下一目标ip地址的通信流量检测,当存在异常流量时,向所述应用服务器继续发出下一目标ip地址的异常警报信息,当不存在异常流量时,则向所述应用服务器发出取消预警信息。
19、作为本专利技术进一步的方案:当所述控制器目标ip地址流量控制信息时,对所述目标ip地址的访问流量进行阻断。
20、本专利技术的有益效果:
21、本专利技术通过实时获取网络系统中的通信流量,并将通信流量与预设攻击阈值进行对比,当所述通信流量大于预设攻击阈值,则将该通信流量标定为待定通信流量,并向应用服务器发出预警信息,对待定通信流量进行检测,依次获取目标ip地址服务器的访问请求状态数据,得到任一访问请求的连接状态和连接时间,计算半连接访问请求的第一概率,通过信息熵公式计算半连接熵,若半连接熵小于预设阈值,则判定目标ip所对应的通信流量为异常流量,若存在异常流量,则向所述应用服务器发出异常警报信息,通过对目标ip地址服务器的连接请求数据进行行为识别,并根据当服务器受到ddos攻击时,服务器会接收到大量的异常半连接申请,而服务器必须等待一段时间超时后才能断开这些半连接,导致当前检测时间内半连接熵偏离正常熵这一现象,来确定服务器在检测周期内受到ddos攻击,实现了对ddos攻击的精准识别,降低了误检率。
本文档来自技高网...【技术保护点】
1.一种用于分布式拒绝服务攻击的监控检测系统,包括被控对象、观测器、控制器和应用服务器,其特征在于,所述观测器与控制器连接,应用服务器设置于观测器与控制器之间且分别与观测器与控制器相连,还包括:
2.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,访问请求的第一概率计算过程为:
3.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,所述流量检测模块中,所述半连接时间熵的计算过程为:
4.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,若半连接熵大于等于预设阈值,获取该目标IP地址对应服务器的每个访问请求的连接时长,及总连接时长,确定每个连接时长对应的第一概率,根据每个所述第一概率,计算访问时间熵,若所述访问时间熵小于预设阈值,则判断目标IP所对应的通信流量为异常流量,若所述访问时间熵大于等于预设阈值,则判断目标IP所对应的通信流量为正常流量。
5.根据权利要求3所述的一种用于分布式拒绝服务攻击的监控
6.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述结果生成模块中,当检测得到首个目的IP地址所对应的通信流量为异常流量时,则向控制器发出目标IP地址流量控制信息。
7.根据权利要求6所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,当检测得到首个目的IP地址所对应的通信流量为异常流量时,依次继续下一目标IP地址的通信流量检测,当存在异常流量时,向所述应用服务器继续发出下一目标IP地址的异常警报信息。
8.根据权利要求7所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,当所述控制器接收信息为目标IP地址流量控制信息时,则对所述目标IP地址的访问流量进行阻断。
...【技术特征摘要】
1.一种用于分布式拒绝服务攻击的监控检测系统,包括被控对象、观测器、控制器和应用服务器,其特征在于,所述观测器与控制器连接,应用服务器设置于观测器与控制器之间且分别与观测器与控制器相连,还包括:
2.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,访问请求的第一概率计算过程为:
3.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,所述流量检测模块中,所述半连接时间熵的计算过程为:
4.根据权利要求1所述的一种用于分布式拒绝服务攻击的监控检测系统,其特征在于,所述流量检测模块中,若半连接熵大于等于预设阈值,获取该目标ip地址对应服务器的每个访问请求的连接时长,及总连接时长,确定每个连接时长对应的第一概率,根据每个所述第一概率,计算访问时间熵,若所述访问时间熵小于预设阈值,则判断目标ip所对应的通信流量为异常流量,若所...
【专利技术属性】
技术研发人员:王东,赵宁,刘晴,张亮,李明,范真苡,黄语希,熊士杰,秦天运,
申请(专利权)人:渤海大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。