语义Web应用中检测DoS攻击的方法与系统

摘要

本发明提供了一种语义Web应用中检测DoS攻击的方法及系统，其中的方法包括：通过RDF陈述具体化的方式，对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述，将具体化描述的访问行为特征记录在访问历史本体库中；基于历史本体库分别对访问主体、访问客体以及访问控制域所发生的访问行为特征进行学习，统计并记录这三类学习阈值；根据这三类学习阈值，分别确定相应的DoS攻击检测策略规则的策略阈值；然后根据策略阈值，对访问控制域内发生的DoS攻击行为进行检测。通过本发明能够解决当前的DoS检测和防御机制一方面不支持语义Web技术，另一方面不支持利用语义Web技术本身的安全缺陷而发起的新型DoS攻击行为的检测和防御问题。

说明书

技术领域

本发明涉及网络安全技术领域，更为具体地，涉及一种语义Web应用中 检测DoS攻击的方法与系统。

背景技术

现有的互联网网络是网页的集合，而语义Web是计算机和互联网对网络 下一阶段发展所做出的术语化定义，其基本含义即基于网络建立任何微小数 据的连接。

语义Web通过采用形式化的、机器可处理的语义Web语言来标注Web 资源的语义，最终让机器代替人做更多的工作，实现Internet上不同Web资 源的自动发现、自动集成、共享和重用，并支持通过互联网的信任交互。随 着语义Web技术和相关标准的发布和语义Web技术的成熟，基于语义Web 技术的应用也开始涌现。

目前的语义Web标准主要集中在数据操作和元数据的描述功能等方面， 而在安全方面仅釆用了XML传统的数字签名和加密标准。因此，语义Web 在安全防御方面的研究明显滞后于元数据描述和数据互操作的发展。

但是，在拒绝服务和分布式拒绝服务网络攻击愈演愈烈的今天，传统的 网络设备或者边界安全设备都不具备完善的拒绝服务防御能力，在安全防御 明显滞后于元数据描述和数据互操作的发展的情况下，语义Web很容易被恶 意攻击者利用。例如，如下的SPARQL（Simple Protocol and RDF Query  Language，简单协议和RDF查询语言）查询：

这个查询的目的是遍历整个本体知识库，对于语义Web这种分布式知识 模型，这样的查询显然是没有意义的。而且虽然只发起了一次会话请求，但 却足以耗尽整个服务器和网络资源，从而影响正常用户的访问请求，导致DoS 攻击。

虽然当前一些开放的SPARQL查询端点对如上的SPARQL查询语句不做 任何响应，比如DBPedia语义知识库提供的SPARQL查询端点，但基于图模 式匹配的SPARQL查询语句可以变换多种写法。比如，上述的SPARQL查询 语句可以变换为如下写法：

上述只是对SPARQL查询的其中一种变换，当然还可以有很多类似的变 换，甚至是限定三元组中的某个元素，其查询所得到的结果的数据仍是惊人 的，而且很多语义知识库提供的查询服务并不对此进行检查和约束。

虽然检查SPARQL查询语句的图模式可以发现一些不当或者恶意的查 询，但这样的检查是远远不够的，不足以发现大量伪装的恶意访问行为，比 如不断动态变换访问主体身份或者访问目标的查询。

由于传统的DoS攻击检测和防御机制并不支持语义Web技术，也不支持 利用语义Web技术本身的安全缺陷而发起的新型攻击行为的检测，因此，传 统的DoS攻击检测和防御机制无法识别出上述的恶意查询。虽然当前基于语 义Web技术的访问控制机制支持语义Web的相关技术标准，但其却只是用来 解决因传统的访问控制机制无法防御语义Web环境下由推理而引发的安全问 题和策略一致性问题，其并不提供语义Web环境下的DoS攻击检测功能，因 而也不能对访问主体所发起的恶意访问行为进行DoS攻击的检测和防御。

发明内容

鉴于上述问题，本发明的目的是提供一种语义Web应用中检测DoS攻击 的方法与系统，以解决当前的DoS攻击检测和防御机制不支持语义Web技术， 以及基于语义Web技术的访问控制机制不支持语义Web环境下利用语义Web 技术本身的安全缺陷而发起的DoS攻击检测和防御问题。

根据本发明的一个方面，提供一种语义Web应用中检测DoS攻击的方法， 包括：

在语义Web应用中，通过RDF陈述具体化的方式，对访问主体在访问控 制域内访问访问客体的访问行为特征进行具体化描述，将具体化描述的访问 行为特征记录在访问历史本体库中；

基于所述访问历史本体库，在预设的学习周期内，分别对访问主体的访 问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特 征进行学习，统计与三类访问行为特征相对应的学习阈值，并将与三类访问 行为特征相对应的学习阈值记录在攻击检测本体库中；

基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈 值，通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈 值；其中，将策略阈值记录在相应的DoS攻击检测策略规则中，然后将DoS 攻击检测策略规则保存在攻击检测规则库中；

基于所确定的相应的DoS攻击检测策略规则的策略阈值，对在访问控制 域内发生的DoS攻击行为进行检测。

其中，在基于攻击检测本体库中所记录的与三类访问行为特征相对应的 学习阈值，通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的 策略阈值的过程中，

将与三类访问行为特征相对应的学习阈值替换设定的策略阈值，作为相 应的DoS攻击检测策略规则的策略阈值；或者，

取与三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大 者，作为相应的DoS攻击检测策略规则的策略阈值；或者，

基于与三类访问行为特征相对应的学习阈值和设定的策略阈值，通过加 权平均的方式，将加权平均的结果作为相应的DoS攻击检测策略规则的策略 阈值。

其中，对在访问控制域内发生的DoS攻击行为进行检测的过程中，当检 测到在访问控制域内发生DoS攻击行为时，立即对DoS攻击行为进行防御， 防御的过程包括：

统计同一访问主体在预设的访问周期内访问所有访问客体的次数；其中， 当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时， 禁止访问主体的访问行为，并对访问主体的访问状态进行记录；

统计同一访问客体在预设的访问周期内被所有访问主体访问的次数；其 中，当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值 时，访问客体的被访问状态将被禁止，同时记录访问客体的被访问状态；

在预设的访问周期内，统计访问控制域内所发生的所有访问客体被所有 访问主体访问的次数；其中，当所有访问客体的被访问次数大于或等于相应 的DoS攻击检测策略规则的策略阈值时，根据访问主体的状态拒绝访问主体 的访问请求或者限制访问主体的访问速率。

另一方面，本发明还提供一种语义Web应用中检测DoS攻击的系统，包 括：

具体化单元，用于在语义Web应用中，通过RDF陈述具体化的方式，对 访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述，将 具体化描述的访问行为特征记录在访问历史本体库中；

策略阈值学习单元，用于基于访问历史本体库，在预设的学习周期内， 对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发 生的访问行为特征进行学习，统计与三类访问行为特征相对应的学习阈值， 并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中；

策略阈值调整单元，用于基于攻击检测本体库中所记录的与三类访问行 为特征相对应的学习阈值，通过策略阈值调整算法，分别确定相应的DoS攻 击检测策略规则的策略阈值，其中，将策略阈值记录在相应的DoS攻击检测 策略规则中，然后将DoS攻击检测策略规则保存在攻击检测规则库中；

攻击检测单元，用于基于所确定的相应的DoS攻击检测策略规则的策略 阈值，对在访问控制域内发生的DoS攻击行为进行检测。

利用上述根据本发明的语义Web应用中检测DoS攻击的方法与系统，通 过从访问主体的访问行为入手去检测和防御DoS攻击行为，从而能够屏蔽语 义Web应用中，因语义Web技术本身存在的安全缺陷而引入的DoS攻击，保 证合法用户的正常访问，并且能够对访问主体在访问控制域内发起的并发访 问请求进行访问速率限制，保证查询引擎的查询性能，改善合法用户的访问 体验；同时，自学习访问控制域内的访问行为特征，并将其作为攻击检测主 体的策略阈值，防止放行用户的非法访问请求而阻止合法访问请求的情况发 生。

为了实现上述以及相关目的，本发明的一个或多个方面包括后面将详细 说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发 明的某些示例性方面。然而，这些方面指示的仅仅是可使用本发明的原理的 各种方式中的一些方式。此外，本发明旨在包括所有这些方面以及它们的等 同物。

附图说明

通过参考以下结合附图的说明及权利要求书的内容，并且随着对本发明 的更全面理解，本发明的其它目的及结果将更加明白及易于理解。在附图中：

图1为根据本发明实施例的语义Web应用中检测DoS攻击的方法流程示 意图；

图2为根据本发明实施例的以访问主体为DoS攻击检测主体进行DoS攻 击检测和防御的流程示意图；

图3为根据本发明实施例的语义Web应用中检测DoS攻击的系统逻辑结 构；

图4为根据本发明实施例的对访问主体的访问行为特征进行学习的流程 示意图。

在所有附图中相同的标号指示相似或相应的特征或功能。

具体实施方式

以下将结合附图对本发明的具体实施例进行详细描述。

针对前述当前基于语义Web技术的访问控制机制不提供语义Web环境下 的DoS检测功能，无法对恶意的DoS攻击行为进行检测和防御的问题。本发 明通过将访问主体在访问控制域内的访问行为具体化，并将被具体化的访问 行为记录在访问历史本体库中，然后基于该历史本体库，对访问控制域内的 访问行为特征进行学习，记录学习阈值，确定DoS攻击检测主体的策略阈值； 基于所确定的策略阈值，对访问主体的访问行为进行DoS攻击检测。通过本 发明能够解决当前的DoS检测和防御机制一方面不支持语义Web技术，另一 方面不支持利用语义Web技术本身的安全缺陷而发起的新型DoS攻击行为的 检测和防御问题；以及当前基于语义Web技术的访问控制机制虽然支持语义 Web相关技术标准，但不提供语义Web环境下的DoS攻击检测功能，无法对 恶意的DoS攻击行为进行检测和防御的问题。

为了能够说明本发明提供的语义Web应用中检测DoS攻击的方法，图1 示出了根据本发明实施例的语义Web应用中检测DoS攻击的方法流程。

如图1所示，本发明提供的语义Web应用中检测DoS攻击的方法包括：

S110：在语义Web应用中，通过RDF陈述具体化的方式，对访问主体在 访问控制域内访问访问客体的访问行为特征进行具体化描述，将具体化描述 的访问行为特征记录在访问历史本体库中。

需要说明的是，在对访问主体在访问控制域内访问访问客体的访问行为 特征进行具体化描述之前，还包括构建语义知识库，该语义知识库中包括领 域知识库和为检测DoS恶意攻击行为而构建的攻击检测知识库。其中，该攻 击检测知识库包括访问历史本体库、攻击检测本体库和攻击检测规则库，领 域知识库里存储的是被保护的数据，而攻击检测知识库存储的则是为保护领 域知识库里的数据而采取的保护措施。其中，所述语义知识库（包括访问历 史本体库、攻击检测本体库和攻击检测规则库）用RDF模型和语义网描述语 言进行描述，并采用基于图模型的数据结构进行存储。

也就是说，访问历史本体库、攻击检测本体库和攻击检测规则库采用RDF 模型和语义网描述语言进行描述，并采用基于图模型的数据结构进行存储。 其中，采用基于图模型的数据结构进行存储的优点将在介绍完DoS攻击检测 和防御的过程之后进行详细说明。

具体地，在基于RDF（Resource Description Framework，资源描述框架） 模型的语义知识库中，一切资源（包括属性资源）都具有上下文语义关系， 它们的基本单元是三元组，又称为陈述。在同一名称空间（例如 http://www.example.com/ontologies/2013/5/dso.owl#）中，资源的ID（例如 p0001a）是唯一的，但本身是没有任何含义的（尽管有时候采用以某种语言 表示的可识别名称），它只是机器可读的。资源的语义是通过与资源关联的上 下文语义关系来表达的，上下文语义关系越丰富，对资源的语义描述也就越 准确。在本发明的一个示例中，假设该语义知识库的名称空间为ds。

其中，通过RDF陈述具体化的方式，将访问主体在访问控制域内访问访 问客体的访问行为特征进行具体化描述。例如，张三进了书店，张三即为访 问主体，书店即为访问控制域，张三进书店看书或者是买书的行为，即是对 张三进了书店的这一访问行为特征的具体化描述。其中，具体化描述的访问 行为特征包括：访问主体、访问客体、访问操作、访问时间和访问位置。

其中，在将访问主体访问访问客体的访问行为特征进行具体化描述时， 主要包括对访问客体的访问操作、访问时间、访问场所（即访问位置）的具 体化。

具体地，在语义Web应用中，访问主体所访问的任何内容都是一个三元 组，比如张三的身份信息、张三患有某种疾病、张三的主治医生、李四的会 员等。为了记录这些访问客体，需要对这些三元组进行具体化描述。这样， 某个访问主体在访问控制域内的访问行为信息便可以作为这些陈述的具体化 描述信息，并且也被语义化为三元组的元数据。

例如，在本发明一个示例中，将访问主体所访问的访问客体 “ds:hasDisease(ds:p0001a,，ds:m.0c58k)”和“ds:owns(ds:p0001a，ds:PR_张三)” 分别具体化为访问客体ah:triple0001a和ah:triple0001b。其中，ah为访问历史 本体库的名称空间。将访问主体的访问操作“ah:hasAccessed(ds:p0001b， ah:triple0001a)”具体化为访问客体ah:triple0002a，并基于该访问客体记录本次 操作的其他上下文信息，包括访问时间、访问位置等信息。每记录一个访问 时间，就代表对该访问客体进行了一次访问。

S120：基于访问历史本体库，在预设的学习周期内，分别对访问主体的 访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为 特征进行学习，统计与三类访问行为特征相对应的学习阈值，并将与三类访 问行为特征相对应的学习阈值记录在攻击检测本体库中。

具体地，访问行为特征涉及三类对象的访问行为，包括访问主体、访问 客体和访问控制域三类，对应的，访问行为特征的学习也包括三种，即对访 问主体的访问行为特征、访问客体的访问行为特征和访问控制域所发生的访 问行为特征进行学习，统计并记录在预设的学习周期内这三种访问行为特征 的学习阈值。即统计并记录在预设的学习周期内，同一访问主体访问所有访 问客体的次数、同一访问客体被所有访问主体访问的次数和在访问控制域内 发生的所有访问客体被所有访问主体访问的次数。其中，统计并记录的次数 即为学习阈值。为了区分这三类访问行为特征的学习阈值，通过第一学习阈 值、第二学习阈值和第三学习阈值对其进行区分。

也就是说，在分别对上述三类访问行为特征进行学习的过程中，将同一 访问主体访问所有访问客体的次数，记录为第一学习阈值；将同一访问客体 被所有访问主体访问的次数，记录为第二学习阈值；将在访问控制域内发生 的所有访问客体被所有访问主体访问的次数，记录为第三学习阈值。

S130：基于攻击检测本体库中所记录的与三类访问行为特征相对应的学 习阈值，通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策 略阈值；其中，将策略阈值记录在相应的DoS攻击检测策略规则中，然后将 DoS攻击检测策略规则保存在攻击检测规则库中。

其中，将策略阈值记录在相应的DoS攻击检测策略规则中是指将基于攻 击检测本体库中所记录的与三类访问行为特征相对应的学习阈值，通过策略 阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值分别记录在 相应的DoS攻击检测策略规则中。即将相应的策略阈值记录在相应的DoS攻 击检测策略规则中。

需要说明的是，在基于攻击检测本体库中所记录的与三类访问行为特征 相对应的学习阈值，通过策略阈值调整算法分别确定相应的DoS攻击检测策 略规则的策略阈值时，一类访问行为特征的学习阈值对应的确定一类DoS攻 击检测策略规则的策略阈值。

也就是说，对访问主体的访问行为特征进行学习所得到的学习阈值用于 确定基于同一访问主体的DoS攻击检测策略规则的策略阈值；对访问客体的 访问行为特征进行学习所得到的学习阈值用于确定基于同一访问客体的DoS 攻击检测策略规则的策略阈值；对在访问控制域内发生的访问行为特征进行 学习所得到的学习阈值用于确定基于访问控制域内的DoS攻击检测策略规则 的策略阈值。

其中，在基于攻击检测本体库中所记录的与三类访问行为特征相对应的 学习阈值，通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的 策略阈值的过程中，将与三类访问行为特征相对应的学习阈值替换设定的策 略阈值，作为DoS攻击检测策略规则的策略阈值；或者，取与三类访问行为 特征相对应的学习阈值和设定的策略阈值中的较大者，作为DoS攻击检测策 略规则的策略阈值；或者，基于与三类访问行为特征相对应的学习阈值和设 定的策略阈值，通过加权平均的方式，将加权平均的结果作为DoS攻击检测 策略规则的策略阈值。

S140：基于所确定的相应的DoS攻击检测策略规则的策略阈值，对在访 问控制域内发生的DoS攻击行为进行检测。需要说明的是，与访问行为特征 相对应，DoS攻击检测主体也包括访问主体、访问客体和访问控制域三类， 其中，在对DoS攻击检测主体的访问行为进行检测时，

1、统计同一访问主体每分钟访问所有访问客体的次数。

2、统计同一访问客体每分钟被所有访问主体访问的次数。

3、统计访问控制域内每分钟发生的所有访问客体被所有访问主体访问的 次数。

其中，每分钟即为预设的访问周期，当然也可以以小时或者天数为预设 访问周期。需要说明的是，上述三种DoS攻击检测主体与访问行为特征的分 类一致。也就是说，其分别以访问主体、访问客体和访问控制域为DoS攻击 检测主体，并行对在访问控制域内发生的这三类访问行为进行DoS攻击检测。

其中，对在访问控制域内发生的DoS攻击行为进行检测的过程中，（即并 行对在访问控制域内发生的这三类访问行为进行DoS攻击的检测的过程中）， 当检测到在访问控制域内发生DoS攻击行为时，立即对DoS攻击行为进行防 御，防御过程包括：

统计同一访问主体在预设的访问周期内访问所有访问客体的次数；其中， 当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时， 禁止所述访问主体的访问行为，并对访问主体的访问状态进行记录；

统计同一访问客体在预设的访问周期内被所有访问主体访问的次数；其 中，当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值 时，该访问客体的被访问状态将被禁止，同时记录该访问客体的被访问状态；

在预设的访问周期内，统计访问控制域内所发生的所有访问客体被所有 访问主体访问的次数；其中，当所有访问客体的被访问次数大于或等于所确 定的相应的DoS攻击检测策略规则的策略阈值时，根据访问主体的状态拒绝 访问主体的访问请求或者限制访问主体的访问速率。

另外需要说明的是，攻击检测规则库中包含对所述三类访问行为的检测 规则集，针对每一类访问行为检测的规则集中的规则之间可能存在规则依赖 关系，在进行规则匹配时，将按照规则依赖顺序对规则集中的每条规则进行 判断，当满足规则依赖顺序中最后一条规则的规则体中的合取条件集时，才 能得到攻击检测结果。

通过图1所示的流程可以看出，本发明所提供的语义Web应用中检测DoS 攻击的方法，能够屏蔽语义Web应用中，因语义Web技术本身存在的安全缺 陷而引入的DoS攻击，保证合法用户的正常访问；同时，自学习访问控制域 内的访问行为特征，并将其作为攻击检测主体的策略阈值，防止放行用户的 非法访问请求而阻止合法访问请求的情况发生。

为了更为清楚地说明本发明所提供的语义Web应用中检测DoS攻击的方 法，下述将分别对访问控制域内的访问行为特征的学习过程和DoS攻击检测 和防御的过程作详细描述。

在本发明所提供的语义Web应用中检测DoS攻击的方法中，为了有效地 避免放行恶意的攻击行为或阻止正常的访问请求的情况发生，通过对访问控 制域内的访问行为特征的学习，周期性的记录访问主体的访问行为，并将所 学习到的学习阈值作为确定DoS攻击检测策略规则的策略阈值的依据，从而 对偏离正常访问行为的恶意访问操作进行有效检测和防御。

其中，在上述的流程说明中，预设的学习周期的单位为分钟，可以设置 天、小时和分钟值，预设的学习周期可以是这三个值的累加。由于不同的访 问主体的需求不同，不同的访问客体于访问主体的作用也不同，因此通过对 同一访问主体和同一访问客体这种类别的访问行为特征的学习，能够针对不 同的访问主体和访问客体建立不同的策略阈值。

对访问控制域内的访问行为特征进行学习，是为了控制总体的访问流量， 一旦总的访问流量达到策略阈值，将限制新的访问请求，通过此种设计能够 保证正在进行中的访问请求正常完成。例如，在一个访问控制域内，设定的 策略阈值为300（即在每分钟内只允许访问客体被访问300次），如果在某一 分钟内，访问客体的访问次数超过了300，那么此时将限制新的访问主体所发 起的访问请求，从而保证正在进行中的访问主体的访问请求的正常完成。

在进行学习之前，首先需要设定学习周期，以及为上述三种学习阈值赋 一个初始值。下述以同一访问主体这类访问行为特征的学习为例对访问行为 特征的学习作详细说明。

图4示出了根据本发明实施例的对访问主体的访问行为特征进行学习的 流程。如图4所示，

S410：基于访问历史本体库为访问主体启动定时器。

S420：统计并记录预设的学习周期内同一访问主体访问访问客体的次数。

其中，统计方法是，比较访问主体操作的具体化属性中的访问时间（该 访问时间在访问历史本体库中），将访问时间大于等于学习周期开始时间而小 于学习周期结束时间的所有时间代表的访问次数进行累加，其中每个访问时 间代表一次访问。通过此种方法即可得到访问主体在该学习周期内的访问次 数（即学习阈值）。

S430：基于学习到的阈值（即所记录的次数）和设定的策略阈值（即设 定的初始值），通过策略阈值调整算法确定相应的DoS攻击检测策略规则的策 略阈值。

其中，将所学习到的阈值记录在攻击检测本体库中，将所确定的相应的 DoS攻击检测策略规则的策略阈值记录在攻击检测规则库中。

其中，策略阈值调整算法有三种选择：

1、始终用学习到的阈值（此处为第一学习阈值）替换设定的策略阈值（其 中该设定的策略阈值为初始值或者为前一次所确定的策略阈值）；

2、比较学习到的阈值和设定的策略阈值，取其中较大者；

3、通过加权平均算法得到策略阈值。其中，加权平均算法如下：

new-threshold=(learned-threshold*weight+current-threshold*(100– weight))/100

其中，current-threshold表示设定的策略阈值，learned-threshold表示学习 到的阈值，new-threshold表示通过策略调整所得到的策略阈值。weight为权 重，取值范围为[0-100]。当weight为100的时候，表示每次取学习到的值为 新的策略阈值，当weight为0的时候表示保留原始策略阈值，当weight为50 的是否，表示取二者的平均。其他两种访问行为特征的学习和策略阈值的确 定方法类似，此处不再赘述。

在确定了DoS攻击检测策略规则的策略阈值之后，基于所确定的策略阈 值，并行对在访问控制域内发生的DoS攻击行为进行检测和防御。其中，为 了更为清楚的描述DoS攻击检测和防御的过程，下面将分别对三种DoS攻击 检测主体的检测和防御过程作更为详细的描述。

图2示出了根据本发明实施例的以访问主体为DoS攻击检测主体进行 DoS攻击检测和防御的流程。

如图2所示，以访问主体为DoS攻击检测主体进行DoS攻击检测和防御 的过程为：

S210：当有访问主体发起访问时，查询访问结果并进行具体化，同时启 动定时器进行攻击检测。

S220：该定时器以分钟为频率对该访问主体访问访问客体的数量进行统 计（即统计访问主体的访问次数）。

S230：将所统计的次数与确定的相应的策略阈值进行比较，当所统计的 次数大于策略阈值时，进入步骤S240，否则返回步骤S220。

S240：立即终止该访问主体的访问，同时记录访问主体的禁止访问状态 与禁用时间。

也就是说，一旦检测到攻击（即统计的数量超过确定的策略阈值），立即 终止该访问主体的访问，同时记录该访问主体的禁止访问状态和禁用时间（初 始化参数）。禁用访问时间到了以后，将禁用访问状态置为false，但不删除禁 用状态记录。

当该访问主体再次发起访问时，首先获取该访问主体的访问状态，如果 该访问主体的禁止访问状态为真，将拒绝该访问主体的本次访问请求。

以访问客体为DoS攻击检测主体进行DoS攻击检测和防御的过程，与上 述以访问主体为DoS攻击检测主体进行DoS攻击检测和防御的过程类似，当 所统计的次数超过所确定的DoS攻击检测主体的策略阈值时，该访问客体的 被访问状态将被禁止，同时记录该访问客体的被访问状态。

需要说明的是，在以访问控制域为DoS攻击检测主体进行DoS攻击的检 测和防御时，需要根据预设的条件来处理访问主体的访问请求。其中，预设 的条件即为对访问主体的状态的判断。具体地，访问主体的状态包括访问主 体的禁止访问状态、访问主体的历史访问记录以及访问主体信用度。

具体地，以访问控制域为DoS攻击检测主体进行DoS攻击检测和防御的 过程如下：

统计在预设的访问周期内，访问控制域所发生的访问客体的被访问次数； 当访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则 的策略阈值时，根据预设的条件拒绝访问主体的访问请求或者限制访问主体 的访问速率。

其中，预设的条件是根据访问主体的状态设定的，具体地：

1、当访问主体的禁止访问状态为false时，限制该访问主体的访问速率， 或者拒绝该访问主体的访问请求。

2、当访问主体无任何历史访问记录时，拒绝该访问主体的访问请求。

3、当访问主体有历史访问记录但没有任何禁止访问状态时（即受信任的 访问主体），接受该访问主体的访问请求，但限制其访问速率。

需要说明的是，无论是确定策略阈值还是进行攻击检测，都需要对访问 主体的访问记录进行查询和统计，而语义知识库是由三元组构成的一张语义 网（有向图），该语义网遵循RDF标准，传统的关系数据存储依赖于正确定 义的、静态的结构来提升性能，由于灵活的RDF模型和传统的关系数据存储 无法很好地兼容工作，因此，如何高效地存储和访问（即查询）RDF就成为 了一个极受关注的研究领域。

基于关系数据库的RDF存储使用数据表来存储主语、谓语和宾语构成的 三元组，为了提供对常见陈述的快速检索，本发明采用基于图模型的RDF存 储来对语义知识库中所包含的陈述进行持久化。基本思路如下：

基于图模型的RDF存储是一种能够更加直接地对RDF数据的结构进行建 模的数据结构，它可以缓解基于关系模型存储的性能问题。给定一条特定的 陈述，基于图的存储能够提供一种高效方式来定位与之共享相同资源（主语、 谓语和宾语）的陈述，因为按照这种设计，它们会以高度的区域性（这就是 说它们的存储位置相互临近）进行存储。

常见的基于图的RDF存储的实现使用了相互链接的陈述列表，这样每条 共享相同资源（这些资源可能作为陈述主语、谓语或者宾语）的陈述就被安 置到了一个连续的链接列表中，或者使用特殊的索引数据结构来链接在RDF 图中相邻（连接）的陈述。这样就提供了一种机制，可以快速遍历包含某一 特定资源（在陈述中作为主语、谓语或者宾语）的所有陈述。这种设计的特 性与RDB（Relational Database，关系数据库）方法中的列索引和附加表十分 类似，并且基于图的实现方法为一般的用途，不需要用到与数据一同存储的 高级知识。

因此本发明采用基于图模型的RDF存储来对语义知识库中所包含的陈述 进行持久化，而在对用户的访问记录进行查询统计时也采用基于图的语义层 查询，能够实现高效地存储和访问RDF。

与上述方法相对应，本发明还提供一种语义Web应用中检测DoS攻击的 系统。图3示出了根据本发明实施例的语义Web应用中检测DoS攻击的系统 逻辑结构。

如图3所示，本发明提供语义Web应用中检测DoS攻击的系统300包括 具体化单元310、策略阈值学习单元320、策略阈值调整单元330和攻击检测 单元340。

其中，具体化单元310用于在语义Web应用中，通过RDF陈述具体化的 方式，对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化 描述，将具体化描述的访问行为特征记录在访问历史本体库中。

其中，具体化单元310通过RDF陈述具体化的方式，将访问主体在访问 控制域内访问访问客体的访问行为特征进行具体化描述。其中，具体化描述 的访问行为特征包括：访问主体、访问客体、访问操作、访问时间和访问位 置。

策略阈值学习单元320用于基于访问历史本体库，在预设的学习周期内， 分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域 所发生的访问行为特征进行学习，统计与三类访问行为特征相对应的学习阈 值，并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中。

其中，访问行为特征涉及三类对象的访问行为，包括访问主体、访问客 体和访问控制域三类，对应的，访问行为特征的学习也包括三种，即对访问 主体的访问行为特征、访问客体的访问行为特征和访问控制域所发生的访问 行为特征进行学习，统计并记录在预设的学习周期内这三种访问行为特征的 学习阈值。

其中，策略阈值学习单元320在分别对上述三类访问行为特征进行学习 的过程中，将同一访问主体访问所有访问客体的次数，记录为第一学习阈值； 将同一访问客体被所有访问主体访问的次数，记录为第二学习阈值；将在访 问控制域内发生的所有访问客体被所有访问主体访问的次数，记录为第三学 习阈值。

策略阈值调整单元330用于基于攻击检测本体库中所记录的与三类访问 行为特征相对应的学习阈值，通过策略阈值调整算法分别确定相应的DoS攻 击检测策略规则的策略阈值，其中，将策略阈值记录在相应的DoS攻击检测 策略规则中，然后将DoS攻击检测策略规则保存在攻击检测规则库中。

其中，策略阈值调整单元330在基于攻击检测本体库中所记录的与三类 访问行为特征相对应的学习阈值，通过策略阈值调整算法分别确定相应的DoS 攻击检测策略规则的策略阈值的过程中，将与三类访问行为特征相对应的学 习阈值替换设定的策略阈值，作为相应的DoS攻击检测策略规则的策略阈值； 或者，取与三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大 者，作为相应的DoS攻击检测策略规则的策略阈值；或者，基于与三类访问 行为特征相对应的学习阈值和设定的策略阈值，通过加权平均的方式，将加 权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。

攻击检测单元340用于基于所确定的相应的DoS攻击检测策略规则的策 略阈值，对在访问控制域内发生的DoS攻击行为进行检测。

其中，攻击检测单元340对在访问控制域内发生的DoS攻击行为进行检 测的过程中，当检测到访问控制域内发生DoS攻击行为时，立即对DoS攻击 行为进行防御，防御过程包括：

统计同一访问主体在预设的访问周期内访问所有访问客体的次数；其中， 当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时， 禁止访问主体的访问行为，并对访问主体的访问状态进行记录；

统计同一访问客体在预设的访问周期内被所有访问主体访问的次数；其 中，当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值 时，该访问客体的被访问状态将被禁止，同时记录访问客体的被访问状态；

在预设的访问周期内，统计访问控制域内所发生的所有访问客体被所有 访问主体访问的次数；其中，当访问客体的被访问次数大于或等于所确定的 相应的DoS攻击检测策略规则的策略阈值时，根据访问主体的状态拒绝访问 主体的访问请求或者限制访问主体的访问速率。

其中，当访问主体的禁止访问状态为false时，限制该访问主体的访问速 率，或者拒绝该访问主体的访问请求；当访问主体无任何历史访问记录时， 拒绝该访问主体的访问请求；当访问主体有历史访问记录但没有任何禁止访 问状态时（即受信任的访问主体），接受该访问主体的访问请求，但限制其访 问速率。

通过本发明所提供的语义Web应用中检测DoS攻击的方法及系统，能够 屏蔽语义Web应用中，因语义Web技术本身存在的安全缺陷而引入的DoS 攻击，保证合法用户的正常访问；并且能够对访问主体在访问控制域内发起 的并发访问请求进行访问速率限制，保证查询引擎的查询性能，改善合法用 户的访问体验；同时，自学习访问控制域内的访问行为特征，并将其作为攻 击检测的策略阈值，防止放行用户的非法访问请求而阻止合法访问请求的情 况发生。

如上参照附图以示例的方式描述了根据本发明的语义Web应用中检测 DoS攻击的方法及系统。但是，本领域技术人员应当理解，对于上述本发明 所提出的语义Web应用中检测DoS攻击的方法及系统，还可以在不脱离本发 明内容的基础上做出各种改进。因此，本发明的保护范围应当由所附的权利 要求书的内容确定。