[发明专利]一种针对网站的应用层DDoS攻击检测方法和防御系统

摘要

本发明涉及一种应用层DDoS攻击检测方法及防御系统，涉及网络安全，特别是应用层DDoS攻击检测与防御。本发明通过对用户访问行为进行分析，提出了基于用户点击序列预测的检测方法与防御系统。首先提取网站的页面URL，利用聚类算法进行聚类，得到该网站的页面分类V_j和用户点击序列；然后利用用户点击序列构建随机游走图，通过随机游走过程计算用户下一观测周期点击序列；最后计算预测序列与点击序列的序列相似度，通过训练阈值来判断用户点击序列的异常性。本发明能有效检测应用层DDoS攻击，特别是模拟正常用户行为的攻击请求，可广泛应用于数据中心网站服务器安全防御。

主权项

一种针对网站的应用层DDoS攻击检测方法，其特征在于，包括如下步骤：提取网站的页面URL，根据URL深度、URL流行度和用户忠诚度,利用K‑means聚类算法对HTTP请求按照网站进行分类，得到该网站的页面分类集合V_j，j为页面类型，通过IP区分一个用户，进而得到该用户一次会话中的用户点击序列u_i={x₁,x₂,…,x_n}，i为独立用户数；利用所有用户的用户点击序列u_i={x₁,x₂,…,x_n}训练得到页面转移概率矩阵P_Vj；根据用户点击序列u_i={x₁,x₂,…,x_n}，构造该用户所访问页面随机游走图；根据用户当前观测周期内的用户点击序列u_i={x₁,x₂,…,x_n}、页面转移概率矩阵P_Vj和页面随机游走图进行随机游走计算，预测得到用户下一观测周期的用户点击序列u^’_i={x^’₁,x^’₂,…,x^’_n}；计算当前观测周期内的用户点击序列u_i={x₁,x₂,…,x_n}和下一观测周期的用户点击序列u^’_i={x^’₁,x^’₂,…,x^’_n}的序列相似度，计算公式为，u_i表示当前观测周期内的用户点击序列，u^’表示下一观测周期的用户点击序列；根据序列相似度与阈值进行比较判断用户点击序列u_i是否正常，如果序列相似度小于阈值则表明该用户点击序列u_i为攻击序列，反之为正常访问序列。