一种面向Slow HTTP POST攻击的数据包检测系统

摘要

本发明涉及检测Slow HTTP POST攻击技术领域，且公开了一种面向Slow HTTP POST攻击的数据包检测系统，包括：运行在Web服务器上的数据包检测系统软件，该软件由数据包预处理模块、检测模型训练模块、攻击检测模块组成；数据包预处理模块对数据包属性状态向量中元素的样本值进行无量纲的标准化处理；检测模型训练模块对正常用户访问Web服务器时所发送数据包的数据样本进行模型训练，得到正常访问下的数据包行为模型；攻击检测模块先对明显不可能是Slow HTTP POST攻击的数据包进行过滤，再将待检测数据包与训练模型进行比较并进行阈值分析，当结果与模型产生偏离并且次数超过设定的阈值时，表示待检测数据包为攻击数据包。本发明解决了如何针对Slow HTTP POST攻击进行有效检测的问题。

说明书

技术领域

本发明涉及检测Slow HTTP POST攻击技术领域，具体为一种面向Slow HTTP POST攻击的数据包检测系统。

背景技术

Slow HTTP POST攻击是一种新型的应用层慢速HTTP拒绝服务攻击的一种子类型，其主要利用了HTTP协议持久连接以及HTTP POST请求需等待客户端传送完毕数据的特性，在向服务器发送HTTP POST请求报文时，在首部中设置了极大的内容长度值(Content-Length)。然而之后客户端在进行实际的数据传输时，却在传输主体中设置了极小的数据传输大小，并缓慢地发送至服务器，导致Web服务器认为请求数据没有传输完毕，继续保持当前请求连接。在攻击端向Web服务器发送多个这样的攻击请求之后，Web服务器的连接资源池将会被占满，造成服务器拒绝服务。

Slow HTTP POST攻击仅使用少量攻击流量，现有失衡比例流量检测法难以对其进行探测；在传入的数据包分组上做签名的方法只适用于攻击请求中的数据包分组与正常合法请求中的数据包分组有区别的情况，不适用于发送与合法请求数据分组结构一致的攻击请求的Slow HTTP POST攻击；而采用最大熵估计法检测网络流量异常误报率高。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供一种面向Slow HTTP POST攻击的数据包检测系统，以解决如何针对Slow HTTP POST攻击进行有效检测的技术问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种面向Slow HTTP POST攻击的数据包检测系统，包括：安装并运行在Web服务器上的数据包检测系统软件，该数据包检测系统由数据包预处理模块、检测模型训练模块、以及攻击检测模块组成；

其中，数据包预处理模块用于对用户访问Web服务器时所发送的数据包进行属性提取，并且对数据包属性状态向量中的元素的样本值进行无量纲的标准化处理；

检测模型训练模块使用具有快速收敛特性的K-means聚类对正常用户访问Web服务器时所发送数据包的数据样本进行模型训练，得到正常访问下的数据包行为模型；

攻击检测模块包括粗粒度检测子模块和细粒度检测子模块，粗粒度检测子模块对明显不可能是Slow HTTP POST攻击的数据包进行过滤，细粒度检测子模块通过聚类分析将待检测数据包与训练模型进行比较并进行阈值分析，当结果与模型产生偏离并且次数超过设定的阈值时，表示待检测数据包为攻击数据包。

进一步的，所述数据包预处理模块采集正常用户访问Web服务器时所发送的数据包，提取出数据包的三个基本属性，将三个基本属性组成数据包属性状态集，统计各属性对应的值得到数据包属性状态向量，对数据包属性状态向量中的元素的样本值进行无量纲的标准化处理。

进一步的，所述数据包的三个基本属性具体为：Web服务器发往客户端方向的平均报文长度Ls、客户端发往Web服务器方向的平均报文长度Lc、到达Web服务器报文的平均时间间隔Δt。

进一步的，所述检测模型训练模块的训练方法，具体如下：

Step1，在数据包属性状态向量的数据集X＝{X

Step2，对于X

Step3，对所有标记为i的点，重新计算C[i]＝{所有标记为i的点的数据包属性状态向量之和/标记为i的点的个数}；

Step4，重复Step2至Step3，直至准则函数收敛。

(三)有益的技术效果

与现有技术相比，本发明具备以下有益的技术效果：

本发明的数据包预处理模块对正常用户访问Web服务器时所发送的数据包进行属性提取，并且通过统计各属性对应的值得到数据包属性状态向量，对数据包属性状态向量中的元素的样本值进行无量纲的标准化处理之后输入检测模型训练模块中进行训练，得到正常访问下的数据包行为模型，粗粒度检测子模块在粗粒度层次上对所有与Web服务器建立的连接进行异常检测，对明显不可能是Slow HTTP POST攻击的数据包进行过滤，细粒度检测子模块通过聚类分析将待检测数据包与训练模型进行比较并进行阈值分析，当结果与模型产生偏离并且次数超过设定的阈值时，表示待检测数据包为攻击数据包；

从而解决了如何针对Slow HTTP POST攻击进行有效检测的技术问题。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种面向Slow HTTP POST攻击的数据包检测系统，包括：安装并运行在Web服务器上的数据包检测系统软件，该数据包检测系统由数据包预处理模块、检测模型训练模块、以及攻击检测模块组成；

其中，数据包预处理模块用于对用户访问Web服务器时所发送的数据包进行属性提取，并且通过统计各属性对应的值得到数据包属性状态向量，对数据包属性状态向量中的元素的样本值进行无量纲的标准化处理；

检测模型训练模块使用具有快速收敛特性的K-means聚类对正常用户访问Web服务器时所发送数据包的数据样本进行模型训练，得到正常访问下的数据包行为模型；

攻击检测模块包括粗粒度检测子模块和细粒度检测子模块，粗粒度检测子模块在粗粒度层次上对所有与Web服务器建立的连接进行异常检测，对明显不可能是Slow HTTPPOST攻击的数据包进行过滤，细粒度检测子模块通过聚类分析将待检测数据包与训练模型进行比较并进行阈值分析，当结果与模型产生偏离并且次数超过设定的阈值时，表示待检测数据包为攻击数据包；

数据包检测系统针对数据包的检测方法包括以下步骤：

步骤一，数据包预处理模块采集正常用户访问Web服务器时所发送的数据包，提取出数据包的三个基本属性，将三个基本属性组成数据包属性状态集，统计各属性对应的值得到数据包属性状态向量，对数据包属性状态向量中的元素的样本值进行无量纲的标准化处理；

其中，数据包的三个基本属性具体为：Web服务器发往客户端方向的平均报文长度Ls、客户端发往Web服务器方向的平均报文长度Lc、到达Web服务器报文的平均时间间隔Δt；

数据包属性状态向量中某个元素G的样本值Gi的标准化方法为：

上式中，Pi为样本中Gi标准化之后的结果，

步骤二，将标准化处理之后的数据包属性状态向量输入检测模型训练模块的训练模型中，使用具有快速收敛特性的K-means聚类对数据样本进行模型训练，得到正常访问下的数据包行为模型，具体如下：

Step1，在数据包属性状态向量的数据集X＝{X

Step2，对于X

Step3，对所有标记为i的点，重新计算C[i]＝{所有标记为i的点的数据包属性状态向量之和/标记为i的点的个数}；

Step4，重复Step2至Step3，直至准则函数收敛；

步骤三，攻击检测模块的粗粒度检测子模块通过对数据包持续时间的统计，在粗粒度层次上对所有与Web服务器建立的连接进行异常检测，对明显不可能是Slow HTTPPOST攻击的数据包进行过滤，对于持续时间超过一定阈值的数据包，再转入细粒度异常检测子模块；

步骤三，攻击检测模块的细粒度检测子模块通过聚类分析将待检测数据包与训练模型进行比较并进行阈值分析，当结果与模型产生偏离并且次数超过设定的阈值时，表示待检测数据包为攻击数据包，系统对相关数据进行统计，产生报警信息。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。