一种基于行为触发的防御链路耗尽型CC攻击的方法技术

本发明专利技术涉及网络安全技术，旨在提供一种基于行为触发的防御链路耗尽型CC攻击的方法。该种基于行为触发的防御链路耗尽型CC攻击的方法包括步骤：统计攻击者对保护对象不同网站实例的访问次数，判断是否偏离预估值；对疑似IP组进行规则验证，若通过则疑似IP组中的所有IP被判定为链路耗尽型CC攻击并报警；对通过规则验证的IP组进行关联分析，对链路耗尽型CC攻击进行提前防御。本发明专利技术利用行为触发让服务器只在触发的时候进行链路耗尽型CC攻击的组规则验证，并且这些规则在有很强普适性的同时能在线性时间复杂度内被验证，最后通过关联分析使该方法有提前防御链路耗尽型CC攻击的功能。

【技术实现步骤摘要】

本专利技术是关于网络安全
，特别涉及一种基于行为触发的防御链路耗尽型CC攻击的方法。
技术介绍
CC(Challenge Collapsar)攻击是一种针对应用层WEB服务的攻击方法。链路耗尽型CC攻击通过发送大量满负载垃圾数据包到目标服务器，使链路带宽耗尽，从而达到影响正常业务服务的目的。常见的攻击类型包括UDPFLOOD，ICMPFLOOD等。链路耗尽型CC攻击的原理并不复杂，攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC攻击的目标通常定位于网站中需要进行动态生成和数据库访问的页面，例如以.asp，.jsp，.php，.cgi，.dll等结尾的页面资源。在2015年11月，黑客对阿里云某互联网金融用户发起了超大规模HTTPS/SSL CC流量攻击，总攻击量达到了5亿次请求，峰值95万QPS(HTTPS)。此次攻击也是迄今为止全球有统计数据的最大的HTTPS SSL/CC攻击。由于对HTTPS协议的处理相对HTTP会消耗更多的资源，因此无论是网站运营者还是安全服务商在面对HTTPS CC攻击时，防护能力都会面临巨大挑战。目前对CC攻击的检测大多是通过测量IP的请求速率来实现的，当IP的请求速率达到设定阈值时，判定为攻击。但是现在的CC攻击一般是利用僵尸网络或者分布式web proxy来对网站进行大量访问请求，平均到每个web proxy或僵尸IP，访问请求的速率不一定很高。所以仅仅检测单IP请求速率的模型往往很难凑效。再者，这类模型需要每时每刻进行检测，对计算机资源的消耗非常巨大。另一方面，传统的CC攻击检测技术在公有CDN应用过程中无法进行有效识别。同一组织因为Load Balance的原因可能会在公有CDN上部署多个网站实例，攻击者通过多个攻击源同时向这些实例发起攻击。虽然各个网站受到的攻击是相互独立的，但由于实例属于公有CDN上的同一组织，仅对单一实例进行统计的传统CC攻击检测技术在该类应用场景中将无法有效定位攻击者源IP。最后，当前防御CC攻击的模型都是在检测到攻击后，才会采取Redirect等措施拒绝服务。对于一些暂时还没有发动CC攻击，但有很大概率之后会发动CC攻击的IP没有提前防御的功能。因此，需要一种更加准确高效智能的链路耗尽型CC攻击检测与防御方法。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足，提供一种能准确高效智能地，提前防御链路耗尽型CC攻击的方法。为解决上述技术问题，本专利技术的解决方案是：提供一种基于行为触发的防御链路耗尽型CC攻击的方法，用于防御攻击者对保护对象进行CC攻击，所述基于行为触发的防御链路耗尽型CC攻击的方法具体包括下述步骤：(1)行为触发：统计攻击者在负载均衡技术(Load Balance)下，对保护对象不同网站实例的防问次数，利用GMM拟合该攻击者的总访问次数，然后判断当前的总访问次数是否偏离预估值；当超出拟合曲线预估值的某个阈值时，即视为满足触发条件，进而进行步骤(2)的组规则验证；设当前时间点为T，则T时刻的观测值为yT，T时刻的预估值为触发条件为： | y ^ T - y T | y ^ T > α ]]>其中，α为大于0的可调阈值参数；(2)组规则验证：以线性时间复杂度O(N)来验证疑似IP组(疑似IP组是指可能发起链路耗尽型CC攻击的攻击源IP的一个临时集合)是否同时满足下面的4个规则：规则A：IP总数量＞β1；规则B：规则C：规则D：其中，β1，β2，β3，β4和K1分别是可调的阈值，β1，K1取值范围为正整数，β2，β3，β4∈(0，1)；规则A表明IP总数量只有达到一定数目时才能形成有威胁的链路耗尽型CC攻击，所述IP总数量是指该保护对象的网站所有访问IP的总数量；规则B和规则C合起来表明链路耗尽型CC攻击的主要特点是少数攻击IP占据所有网站实例大量的访问量，所述疑似IP组的IP数量是指可能发起链路耗尽型CC攻击的攻击源IP数量，所述疑似IP组的总访问数是指可能发起链路耗尽型CC攻击的攻击源IP访问次数的总和，所述所有IP总访问数是指该保护对象的网站所有访问IP对其访问次数的总和；规则D表明IP攻击的集中程度，排除了访问次数高但比较分散的web proxy的影响，所述IP访问前K1的URL访问次数总和是指对每个IP的URL访问数从大到小取排在前K1的URL访问数的总和；当同时满足这4个规则时，表明通过规则验证，疑似IP组中的所有IP被判定为链路耗尽型CC攻击，然后进行报警；(3)关联分析：利用FP-Growth算法对满足步骤(2)中所有规则的IP组进行frequent item sets挖掘以及association rules分析，以实现对链路耗尽型CC攻击进行提前防御，具体包括以下子步骤：(3.1)将满足步骤(2)中所有规则的IP组作为一条记录加入数据库中，设置最小支持度阈值suPmin；(3.2)使用FP-growth算法进行frequent item sets挖掘，FP-growth算法利用高级数据结构FP-tree和Apriori原理(如果某个项集是频繁的，那么它的所有子集也是频繁的；如果一个项集是非频繁的，那么它的所有超集也是非频繁的)，只需对数据库进行两次扫描就可挖掘出frequent item sets；(3.3)进行association rules分析，一条关联规则IP1→IP2表示访问源IP1在判定为链路耗尽型CC攻击的前提下，访问源IP2为链路耗尽型CC攻击的可能性，该关联规则的可信度定义为confidence(IP1→IP2)＝support(IP1，IP2)/support(IP1)；若该关联规则的可信度大于最小可信度阈值conmin，则当访问源IP1被判定为链路耗尽型CC攻击时，访问源IP2也被判定为链路耗尽型CC攻击，需要对访问源IP2进行CC攻击的提前防御。在本专利技术中，所述步骤(1)中，T时刻的预估值会和前一天相同时刻的预估值，前一个星期相同时刻的预估值，以及当天相同时刻的预估值产生比较强的关联，所以需要综合考虑这三个因素，设GMM拟合曲线的函数为： y ^ = f ( t ) = Σ k = 1 K π k N ( t | μ k , 本文档来自技高网...

【技术保护点】
一种基于行为触发的防御链路耗尽型CC攻击的方法，用于防御攻击者对保护对象进行CC攻击，其特征在于，所述基于行为触发的防御链路耗尽型CC攻击的方法具体包括下述步骤：(1)行为触发：统计攻击者在负载均衡技术下，对保护对象不同网站实例的访问次数，利用GMM拟合该攻击者的总访问次数，然后判断当前的总访问次数是否偏离预估值；当超出拟合曲线预估值的某个阈值时，即视为满足触发条件，进而进行步骤(2)的组规则验证；设当前时间点为T，则T时刻的观测值为yT，T时刻的预估值为触发条件为：|y^T-yT|y^T>α]]>其中，α为大于0的可调阈值参数；(2)组规则验证：以线性时间复杂度0(N)来验证疑似IP组是否同时满足下面的4个规则：规则A：.IP总数量＞β1；规则B：规则C：规则D：其中，β1，β2，β3，β4和K1分别是可调的阈值，β1，K1取值范围为正整数，β2，β3，β4∈(0，1)；规则A表明IP总数量只有达到一定数目时才能形成有威胁的链路耗尽型CC攻击，所述IP总数量是指该保护对象的网站所有访问IP的总数量；规则B和规则C合起来表明链路耗尽型CC攻击的主要特点是少数攻击IP占据所有网站实例大量的访问量，所述疑似IP组的IP数量是指可能发起链路耗尽型CC攻击的攻击源IP数量，所述疑似IP组的总访问数是指可能发起链路耗尽型CC攻击的攻击源IP访问次数的总和，所述所有IP总访问数是指该保护对象的网站所有访问IP对其访问次数的总和；规则D表明IP攻击的集中程度，排除了访问次数高但比较分散的web proxy的影响，所述IP访问前K1的URL访问次数总和是指对每个IP的URL访问数从大到小取排在前K1的URL访问数的总和；当同时满足这4个规则时，表明通过规则验证，疑似IP组中的所有IP被判定为链路耗尽型CC攻击，然后进行报警；(3)关联分析：利用FP‑Growth算法对满足步骤(2)中所有规则的IP组进行frequent item sets挖掘以及association rules分析，以实现对链路耗尽型CC攻击进行提前防御，具体包括以下子步骤：(3.1)将满足步骤(2)中所有规则的IP组作为一条记录加入数据库中，设置最小支持度阈值supmin；(3.2)使用FP‑growth算法进行frequent item sets挖掘，FP‑growth算法利用高级数据结构FP‑tree和Apriori原理，只需对数据库进行两次扫描就可挖掘出frequent item sets；(3.3)进行association rules分析，一条关联规则IP1→IP2表示访问源IP1在判定为链路耗尽型CC攻击的前提下，访问源IP2为链路耗尽型CC攻击的可能性，该关联规则的可信度定义为confidence(IP1→IP2)＝support(IP1，IP2)/support(IP1)；若该关联规则的可信度大于最小可信度阈值conmin，则当访问源IP1被判定为链路耗尽型CC攻击时，访问源IP2也被判定为链路耗尽型CC攻击，需要对访问源IP2进行CC攻击的提前防御。...

【技术特征摘要】
1.一种基于行为触发的防御链路耗尽型CC攻击的方法，用于防御攻击者对保护对象进行CC攻击，其特征在于，所述基于行为触发的防御链路耗尽型CC攻击的方法具体包括下述步骤：(1)行为触发：统计攻击者在负载均衡技术下，对保护对象不同网站实例的访问次数，利用GMM拟合该攻击者的总访问次数，然后判断当前的总访问次数是否偏离预估值；当超出拟合曲线预估值的某个阈值时，即视为满足触发条件，进而进行步骤(2)的组规则验证；设当前时间点为T，则T时刻的观测值为yT，T时刻的预估值为触发条件为： | y ^ T - y T | y ^ T > α ]]>其中，α为大于0的可调阈值参数；(2)组规则验证：以线性时间复杂度0(N)来验证疑似IP组是否同时满足下面的4个规则：规则A：.IP总数量＞β1；规则B：规则C：规则D：其中，β1，β2，β3，β4和K1分别是可调的阈值，β1，K1取值范围为正整数，β2，β3，β4∈(0，1)；规则A表明IP总数量只有达到一定数目时才能形成有威胁的链路耗尽型CC攻击，所述IP总数量是指该保护对象的网站所有访问IP的总数量；规则B和规则C合起来表明链路耗尽型CC攻击的主要特点是少数攻击IP占据所有网站实例大量的访问量，所述疑似IP组的IP数量是指可能发起链路耗尽型CC攻击的攻击源IP数量，所述疑似IP组的总访问数是指可能发起链路耗尽型CC攻击的攻击源IP访问次数的总和，所述所有IP总访问数是指该保护对象的网站所有访问IP对其访问次数的总和；规则D表明IP攻击的集中程度，排除了访问次数高但比较分散的web proxy的影响，所述IP访问前K1的URL访问次数总和是指对每个IP的URL访问数从大到小取排在前K1的URL访问数的总和；当同时满足这4个规则时，表明通过规则验证，疑似IP组中的所有IP被判定为链路耗尽型CC攻击，然后进行报警；(3)关联分析：利用FP-Growth算法对满足步骤(2)中所有规则的IP组进行frequent item sets挖掘以及association rules分析，以实现对链路耗尽型CC攻击进行提前防御，具体包括以下子步骤：(3.1)将满足步骤(2)中所有规则的IP组作为一条记录加入数据库中，设置最小支持度阈值supmin；(3.2)使用FP-growth算法进行frequent item sets挖掘，FP-growth算法利用高级数据结构FP-tree和Apriori原理，只需对数据库进行两次扫描就可挖掘出frequent item sets；(3.3)进行association rules分析，一条关联规则IP1→IP2表示访问源IP1在判定为链路耗尽型CC攻击的前提下，访问源IP2为链路耗尽型CC攻击的可能性，该关联规则的可信度定义为confidence(IP1→IP2)＝support(IP1，IP2)/support(IP1)；若该关联规则的可信度大于最小可信度阈值conmin，则当访问源IP1被判定为链路耗尽型CC攻击时，访问源IP2也被判定为链路耗尽型CC攻击，需要对访问源IP2进行CC攻击的提前防御。2.根据权利要求1所述的一种基于行为触发的防御链路耗尽型CC攻击的方法，其特征在于，所述步骤(1)中，T时刻的预估值会和前一天相同时刻的预估值，前一个星期相同时刻的预估值，以及当天相同时刻的预估值产生比较强的关联，所以需要综合考虑这三个因素，设GMM拟合曲线的函数为： y ^ = ...

【专利技术属性】
技术研发人员：范渊，杨勃，王吉文，莫凡，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江;33