申请/专利权人：安徽大学

申请日：2022-07-04

公开（公告）日：2024-05-03

公开（公告）号：CN115225353B

主分类号：H04L9/40

分类号：H04L9/40;H04L67/02

优先权：

专利状态码：有效-授权

法律状态：2024.05.03#授权;2022.11.08#实质审查的生效;2022.10.21#公开

摘要：本发明公开一种兼顾DoSDDoS洪泛和慢速HTTPDoS的攻击检测方法，先采用Packet_IN报文和sFlow协议在边缘交换机的边缘端口进行数据收集；DoSDDoS洪泛攻击检测中，使用香农熵和条件熵一起来表征当前流量的整体特征，然后用流量的整体特征进行DoSDDoS洪泛攻击检测，若没有检测出DoSDDoS洪泛攻击流量，则进入慢速HTTPDoS检测，否则，本轮检测周期结束，输出受害服务器的IP地址以及离攻击者最近的边缘交换机；在慢速HTTPDoS检测中，首先按目的IP地址将相关数据聚合，然后再提取相关特征进行攻击检测，当检测到慢速HTTPDoS攻击时，输出受害服务器的IP地址以及离攻击者最近的边缘交换机。本发明对于DoSDDoS洪泛攻击和慢速HTTPDoS攻击均有检测能力，且针对慢速HTTPDoS的检测延迟较短。

主权项：1.一种兼顾DoSDDoS洪泛和慢速HTTPDoS的攻击检测方法，其特征在于：先进行数据收集，根据收集的数据进行DoSDDoS洪泛攻击检测，如果检测出存在DoSDDoS洪泛攻击流量，则输出受害服务器IP和离攻击者最近的边缘交换机，如果未检测出存在DoSDDoS洪泛攻击流量，则接着进行慢速HTTPDoS检测，如果未检测出存在慢速HTTPDoS流量，则重新收集数据，如果检测出存在慢速HTTPDoS攻击流量，则输出受害服务器IP和离攻击者最近的边缘交换机；具体包括以下步骤：1、数据收集，收集边缘端口输入的数据包触发的Packet_IN报文，并采用sFlow协议在边缘交换机的边缘端口进行数据收集，如果收集到的Packet_IN报文含有HTTP数据，则在HTTPLIST列表中保存该Packet_IN报文中的源地址、目的地址、源端口、目的端口；2、DoSDDoS洪泛攻击检测，具体方法为：2.1、计算每个边缘端口的Packet_IN报文的源地址香农熵、目的地址香农熵、源端口香农熵和目的端口香农熵；计算每个边缘端口的sFlow报文中的若干条件熵，分别是条件熵HIPsrc|IPdst、条件熵HPortsrc|IPdst以及条件熵HPortdst|IPdst；其中，条件熵HIPsrc|IPdst是指目的IP给定的情况下，源IP条件概率分布对目的IP的数学期望；条件熵HPortsrc|IPdst是指目的IP给定的情况下，源端口条件概率分布对目的IP的数学期望；条件熵HPortdst|IPdst是指目的IP给定的情况下，目的端口条件概率分布对目的IP的数学期望；IPsrc代表源IP地址，IPdst代表目的IP地址，Portsrc代表源端口，Portdst代表目的端口号；2.2、对步骤2.1所得香农熵和条件熵进行归一化，然后对步骤2.1所得香农熵和条件熵进行标准化处理并作为提取特征；2.3、重放真实正常流量和攻击流量收集数据后，采用SMOTE过采样法生成一个样本均衡的数据集，来训练检测DoSDDoS洪泛攻击的支持向量机SVM模型，得到DoSDDoS洪泛攻击检测模型；2.4、在SDN控制器中载入预训练好的DoSDDoS洪泛攻击检测模型，然后计算相关特征，采用DoSDDoS洪泛攻击检测模型来检测是否存在DoSDDoS洪泛攻击流量；3、慢速HTTPDoS检测3.1、按目的IP地址为每个边缘端口聚合从Packet_IN收集到的Packet_IN报文数据；对于某目的IP地址，先判断HTTPLIST中是否存在该目的地址的记录，如果存在，计算以该IP地址为目的地址的Packet_IN数目以及本周期内总的Packet_IN数目NPacket_IN；然后判断不等式NPacket_IN是否成立，sThr是指的最低值，e为比例系数，范围在0,1内；3.2对于符合步骤3.1不等式的目的IP地址，分别进行以下操作：从以该IP地址为目的地址的Packet_IN报文中计算源地址香农熵、源端口香农熵、目的端口香农熵、数据包大小香农熵，归一化后进行标准化处理；从HTTPLIST中提取以该IP地址为目的地址的HTTP记录数，记为httpf；从HTTPLIST中提取以该IP地址为源地址的对偶HTTP记录数，记为httpr；接着将httpf与httpr作差，并进行标准化处理；统计HTTPLIST里的Packet_IN存在对偶Packet_IN的数目，记为Npaired；计算Npaired与的比值，并进行标准化处理；3.3重放真实正常流量以及攻击流量收集相关数据后，采用SMOTE过采样法生成一个样本均衡的数据集，来训练检测慢速HTTPDoS攻击的SVM模型，得到慢速HTTPDoS攻击检测模型；3.4通过SDN控制器载入预训练好的慢速HTTPDoS攻击检测模型，计算相关特征后，采用慢速HTTPDoS攻击检测模型进行慢速HTTPDoS攻击检测，检测是否存在慢速HTTPDoS流量；3.5当所有目的IP地址检测结束后，判断HTTPLIST是否满足清空存储内容的要求，如果满足要求，则清空HTTPLIST存储的内容。

全文数据：

权利要求：

百度查询： 安徽大学 兼顾DoS/DDoS洪泛和慢速HTTP DoS的攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD