一种Web服务器的DDos攻击检测方法与流程
本发明属于计算机网络安全技术领域,特别是涉及一种web服务器的ddos攻击检测方法。
背景技术:
internet的攻击当中,ddos攻击已经成为一种流行的破坏计算机或者网络资源可用性的攻击形式,它是internet目前面临的最严峻的威胁之一。近年来,ddos攻击的数量一直呈快速增长的趋势。译
ddos攻击发起容易导致了ddos攻击的广泛发生,根据报道,全球每周有12000起的ddos攻击。国外很多著名网站都遭受过ddos攻击,2000年2月7日,美国的yahoo、buy.corn、ebay、amazon、新闻网站cnn等众多网站相继受到身份不明的黑客发起的ddos攻击,系统瘫痪达几十个小时之久,造成了高达12亿美元的经济损失。因此,如何有效地抵御ddos攻击成为目前网络安全技术领域中一个重要的研究课题。译
目前关于ddos攻击的抵御机制可以分为四个方面:预防、检测、攻击源追踪、响应。其中ddos攻击的检测是关键的一个环节。
技术实现要素:
本发明的目的在于提供一种web服务器的ddos攻击检测方法,通过采用owcd时间序列判断和重尾特性判断对网络流量进复合检测,保证了检测结果的有效性,并且避免了误判;在web服务器遭受ddos攻击时能够计时检测出来,保证了web服务器的安全性,并通过累积欧几里得距离计算公式计算攻击强度;帮助工作人员快速评估攻击信息。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种web服务器的ddos攻击检测方法,包括如下步骤:
步骤一,参数设定
将泛洪ddos攻击和roq攻击的参数输入到数据库中;
其中,参数值包括owcd(单边连接密度)时间序列的均值、方差、自相关系数和功率谱密度,参数值还包括重尾参数;
步骤二,owcd时间序列判断
ss01、对网络流量进行实时抓包采样;其中,采样持续时间为10s,采样间隔0.1s,采用点为100个;
ss02、对网络流量的实时采样数据的owcd时间序列进行计算后与数据库中的攻击参数进行比对;
owcd时间序列的计算公式如下:
其中,pn为n个有序ip包的集合;sk为pn中的k个单边连接包的集合;
ss03、对owcd时间序列进行计算;将owcd时间序列的均值、方差、自相关系数和功率谱密度计算出来;其中,
均值的计算公式为:
方差的计算公式为:
在采样数据中,取自相关系数的前k个值;计算公式为:
对owcd时间序列的功率谱计算,对于离散随机序列,其功率谱密度函数是其自相关函数的离散傅里叶变换,计算公式为:
其中,γk为序列{xt}的自相关函数,若序列{xt}为不相关随机序列,其方差为σ2,则其功率谱密度是常数,且等于σ2;若出现泛洪ddos攻击功率谱密度同样为常数,且等于σ2;若出现roq攻击功率谱密度则不稳定,出现尖峰;
步骤三,重尾特性判断
根据步骤二中的对采样数据的owcd时间序列计算数值与数据库中的参数值进行比对后,可以判断出网络流量为正常流量或者泛洪ddos攻击;
通过计算出采样数据的重尾参数与数据库中的参数值进行比对,判断出网络流量为突发性流量或者roq攻击;
其中,根据重尾分布定义,采样数据具有累积分布函数(cdf):f(x)=p[x≤x]和余累积分布函数(ccdf):
如果
其中c为正常数,a(x)~b(x)表示
其中,pareto分布的概率密度函数(pdf)计算公式为:
p(x)=αkαx-α-1,0<k≤x;
它的cdf为:f(x)=p[x≤x]=1-(k/x)α,其中,正常数k便是随机变量最小的取值;
根据上式计算处重尾参数:
当重尾参数的值大于2时,网络流量的大小不符合重尾分布,网络流量的重尾特性遭到破坏,即web服务器遭到roq攻击;
步骤四,计算攻击强度
通过累积欧几里得公式计算出ddos攻击的强度;其中,设两个向量xn和yn,xn为owcd时间序列的集合,yn为建立双边连接的集合;
累积欧几里得距离计算公式为:
当da值在600-900之间时则为轻度攻击,当da值在900-1200之间时则为中度攻击;当da值在1200-1800之间时则为重度攻击,当da值在超过1800时则为耗尽带宽。
本发明具有以下有益效果:
本发明通过采用owcd时间序列判断和重尾特性判断对网络流量进复合检测,保证了检测结果的有效性,并且避免了误判;在web服务器遭受ddos攻击时能够计时检测出来,保证了web服务器的安全性,并通过累积欧几里得距离计算公式计算攻击强度;帮助工作人员快速评估攻击信息。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种web服务器的ddos攻击检测方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种web服务器的ddos攻击检测方法,包括如下步骤:
步骤一,参数设定
将泛洪ddos攻击和roq攻击的参数输入到数据库中;
其中,参数值包括owcd(单边连接密度)时间序列的均值、方差、自相关系数和功率谱密度,参数值还包括重尾参数;
步骤二,owcd时间序列判断
ss01、对网络流量进行实时抓包采样;其中,采样持续时间为10s,采样间隔0.1s,采用点为100个;
ss02、对网络流量的实时采样数据的owcd时间序列进行计算后与数据库中的攻击参数进行比对;
owcd时间序列的计算公式如下:
其中,pn为n个有序ip包的集合;sk为pn中的k个单边连接包的集合;
ss03、对owcd时间序列进行计算;将owcd时间序列的均值、方差、自相关系数和功率谱密度计算出来;其中,
均值的计算公式为:
方差的计算公式为:
在采样数据中,取自相关系数的前k个值;计算公式为:
对owcd时间序列的功率谱计算,对于离散随机序列,其功率谱密度函数是其自相关函数的离散傅里叶变换,计算公式为:
其中,γk为序列{xt}的自相关函数,若序列{xt}为不相关随机序列,其方差为σ2,则其功率谱密度是常数,且等于σ2;若出现泛洪ddos攻击功率谱密度同样为常数,且等于σ2;若出现roq攻击功率谱密度则不稳定,出现尖峰;
步骤三,重尾特性判断
根据步骤二中的对采样数据的owcd时间序列计算数值与数据库中的参数值进行比对后,可以判断出网络流量为正常流量或者泛洪ddos攻击;
通过计算出采样数据的重尾参数与数据库中的参数值进行比对,判断出网络流量为突发性流量或者roq攻击;
其中,根据重尾分布定义,采样数据具有累积分布函数(cdf):f(x)=p[x≤x]和余累积分布函数(ccdf):
如果
其中c为正常数,a(x)~b(x)表示
其中,pareto分布的概率密度函数(pdf)计算公式为:
p(x)=αkαx-α-1,0<k≤x;
它的cdf为:f(x)=p[x≤x]=1-(k/x)α,其中,正常数k便是随机变量最小的取值;
根据上式计算处重尾参数:
当重尾参数的值大于2时,网络流量的大小不符合重尾分布,网络流量的重尾特性遭到破坏,即web服务器遭到roq攻击;
步骤四,计算攻击强度
通过累积欧几里得公式计算出ddos攻击的强度;其中,设两个向量xn和yn,xn为owcd时间序列的集合,yn为建立双边连接的集合;
累积欧几里得距离计算公式为:
当da值在600-900之间时则为轻度攻击,当da值在900-1200之间时则为中度攻击;当da值在1200-1800之间时则为重度攻击,当da值在超过1800时则为耗尽带宽。
值得注意的是,上述系统实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如rom/ram、磁盘或光盘等。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
- 还没有人留言评论。精彩留言会获得点赞!