語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法與系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法及系統(tǒng)，其中的方法包括：通過(guò)RDF陳述具體化的方式，對(duì)訪問(wèn)主體在訪問(wèn)控制域內(nèi)訪問(wèn)訪問(wèn)客體的訪問(wèn)行為特征進(jìn)行具體化描述，將具體化描述的訪問(wèn)行為特征記錄在訪問(wèn)歷史本體庫(kù)中；基于歷史本體庫(kù)分別對(duì)訪問(wèn)主體、訪問(wèn)客體以及訪問(wèn)控制域所發(fā)生的訪問(wèn)行為特征進(jìn)行學(xué)習(xí)，統(tǒng)計(jì)并記錄這三類學(xué)習(xí)閾值；根據(jù)這三類學(xué)習(xí)閾值，分別確定相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；然后根據(jù)策略閾值，對(duì)訪問(wèn)控制域內(nèi)發(fā)生的DoS攻擊行為進(jìn)行檢測(cè)。通過(guò)本發(fā)明能夠解決當(dāng)前的DoS檢測(cè)和防御機(jī)制一方面不支持語(yǔ)義Web技術(shù)，另一方面不支持利用語(yǔ)義Web技術(shù)本身的安全缺陷而發(fā)起的新型DoS攻擊行為的檢測(cè)和防御問(wèn)題。
【專利說(shuō)明】語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法與系統(tǒng)
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，更為具體地，涉及一種語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法與系統(tǒng)。
【背景技術(shù)】
[0002]現(xiàn)有的互聯(lián)網(wǎng)網(wǎng)絡(luò)是網(wǎng)頁(yè)的集合，而語(yǔ)義Web是計(jì)算機(jī)和互聯(lián)網(wǎng)對(duì)網(wǎng)絡(luò)下一階段發(fā)展所做出的術(shù)語(yǔ)化定義，其基本含義即基于網(wǎng)絡(luò)建立任何微小數(shù)據(jù)的連接。
[0003]語(yǔ)義Web通過(guò)采用形式化的、機(jī)器可處理的語(yǔ)義Web語(yǔ)言來(lái)標(biāo)注Web資源的語(yǔ)義，最終讓機(jī)器代替人做更多的工作，實(shí)現(xiàn)Internet上不同Web資源的自動(dòng)發(fā)現(xiàn)、自動(dòng)集成、共享和重用，并支持通過(guò)互聯(lián)網(wǎng)的信任交互。隨著語(yǔ)義Web技術(shù)和相關(guān)標(biāo)準(zhǔn)的發(fā)布和語(yǔ)義Web技術(shù)的成熟，基于語(yǔ)義Web技術(shù)的應(yīng)用也開(kāi)始涌現(xiàn)。
[0004]目前的語(yǔ)義Web標(biāo)準(zhǔn)主要集中在數(shù)據(jù)操作和元數(shù)據(jù)的描述功能等方面，而在安全方面僅釆用了 XML傳統(tǒng)的數(shù)字簽名和加密標(biāo)準(zhǔn)。因此，語(yǔ)義Web在安全防御方面的研究明顯滯后于元數(shù)據(jù)描述和數(shù)據(jù)互操作的發(fā)展。
[0005]但是，在拒絕服務(wù)和分布式拒絕服務(wù)網(wǎng)絡(luò)攻擊愈演愈烈的今天，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備或者邊界安全設(shè)備都不具備完善的拒絕服務(wù)防御能力，在安全防御明顯滯后于元數(shù)據(jù)描述和數(shù)據(jù)互操作的發(fā)展的情況下，語(yǔ)義Web很容易被惡意攻擊者利用。例如，如下的SPARQL(Simple Protocol and RDF Query Language,簡(jiǎn)單協(xié)議和 RDF 查詢語(yǔ)言)查詢:
[0006]
[0007]
【權(quán)利要求】
1.一種語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法，包括:在語(yǔ)義Web應(yīng)用中，通過(guò)RDF陳述具體化的方式，對(duì)訪問(wèn)主體在訪問(wèn)控制域內(nèi)訪問(wèn)訪問(wèn)客體的訪問(wèn)行為特征進(jìn)行具體化描述，將具體化描述的訪問(wèn)行為特征記錄在訪問(wèn)歷史本體庫(kù)中； 基于所述訪問(wèn)歷史本體庫(kù)，在預(yù)設(shè)的學(xué)習(xí)周期內(nèi)，分別對(duì)訪問(wèn)主體的訪問(wèn)行為特征、訪問(wèn)客體的訪問(wèn)行為特征以及訪問(wèn)控制域所發(fā)生的訪問(wèn)行為特征進(jìn)行學(xué)習(xí)，統(tǒng)計(jì)與三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值，并將與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值記錄在攻擊檢測(cè)本體庫(kù)中； 基于所述攻擊檢測(cè)本體庫(kù)中所記錄的與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值，通過(guò)策略閾值調(diào)整算法分別確定相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；其中，將所述策略閾值記錄在相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則中，然后將所述DoS攻擊檢測(cè)策略規(guī)則保存在攻擊檢測(cè)規(guī)則庫(kù)中； 基于所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值，對(duì)在訪問(wèn)控制域內(nèi)發(fā)生的DoS攻擊行為進(jìn)行檢測(cè)。
2.如權(quán)利要求1所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法，其中，所述具體化描述的訪問(wèn)行為特征包括:訪問(wèn)主體、訪問(wèn)客體、訪問(wèn)操作、訪問(wèn)時(shí)間和訪問(wèn)位置。
3.如權(quán)利要求1所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法，其中，在分別對(duì)訪問(wèn)主體的訪問(wèn)行為特征、訪問(wèn)客體的訪問(wèn)行為特征以及訪問(wèn)控制域所發(fā)生的訪問(wèn)行為特征進(jìn)行學(xué)習(xí)的過(guò)程中， 將同一訪問(wèn)主體訪問(wèn)所有訪問(wèn)客體的次數(shù)，記錄為第一學(xué)習(xí)閾值； 將同一訪問(wèn)客體被所有訪問(wèn)主體訪問(wèn)的次數(shù)，記錄為第二學(xué)習(xí)閾值； 將在所述訪問(wèn)控制域內(nèi)發(fā)生的所有訪問(wèn)客體被所有訪問(wèn)主體訪問(wèn)的次數(shù)，記錄為第三學(xué)習(xí)閾值。
4.如權(quán)利要求1所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法，其中，在基于所述攻擊檢測(cè)本體庫(kù)中所記錄的與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值，通過(guò)策略閾值調(diào)整算法分別確定相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值的過(guò)程中， 將與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值替換設(shè)定的策略閾值，作為相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；或者， 取與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值和設(shè)定的策略閾值中的較大者，作為相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；或者， 基于與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值和設(shè)定的策略閾值，通過(guò)加權(quán)平均的方式，將加權(quán)平均的結(jié)果作為相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值。
5.如權(quán)利要求1所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法，其中，對(duì)在訪問(wèn)控制域內(nèi)發(fā)生的DoS攻擊行為進(jìn)行檢測(cè)的過(guò)程中，當(dāng)檢測(cè)到在所述訪問(wèn)控制域內(nèi)發(fā)生DoS攻擊行為時(shí)，立即對(duì)所述DoS攻擊行為進(jìn)行防御，所述防御的過(guò)程包括: 統(tǒng)計(jì)同一訪問(wèn)主體在預(yù)設(shè)的訪問(wèn)周期內(nèi)訪問(wèn)所有訪問(wèn)客體的次數(shù)；其中，當(dāng)所統(tǒng)計(jì)的次數(shù)超過(guò)所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值時(shí),禁止所述訪問(wèn)主體的訪問(wèn)行為，并對(duì)所述訪問(wèn)主體的訪問(wèn)狀態(tài)進(jìn)行記錄； 統(tǒng)計(jì)同一訪問(wèn)客體在預(yù)設(shè)的訪問(wèn)周期內(nèi)被所有訪問(wèn)主體訪問(wèn)的次數(shù)；其中，當(dāng)所統(tǒng)計(jì)的次數(shù)超過(guò)所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值時(shí)，所述訪問(wèn)客體的被訪問(wèn)狀態(tài)將被禁止，同時(shí)記錄所述訪問(wèn)客體的被訪問(wèn)狀態(tài)； 在預(yù)設(shè)的訪問(wèn)周期內(nèi)，統(tǒng)計(jì)所述訪問(wèn)控制域內(nèi)所發(fā)生的所有訪問(wèn)客體被所有訪問(wèn)主體訪問(wèn)的次數(shù)；其中，當(dāng)所有訪問(wèn)客體的被訪問(wèn)次數(shù)大于或等于所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值時(shí)，根據(jù)訪問(wèn)主體的狀態(tài)拒絕訪問(wèn)主體的訪問(wèn)請(qǐng)求或者限制訪問(wèn)主體的訪問(wèn)速率。
6.如權(quán)利要求1所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的方法，其中，所述訪問(wèn)歷史本體庫(kù)、所述攻擊檢測(cè)本體庫(kù)和所述攻擊檢測(cè)規(guī)則庫(kù)采用RDF模型和語(yǔ)義網(wǎng)描述語(yǔ)言進(jìn)行描述，并采用基于圖模型的數(shù)據(jù)結(jié)構(gòu)進(jìn)行存儲(chǔ)。
7.一種語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的系統(tǒng)，包括: 具體化單元，用于在語(yǔ)義Web應(yīng)用中，通過(guò)RDF陳述具體化的方式，對(duì)訪問(wèn)主體在訪問(wèn)控制域內(nèi)訪問(wèn)訪問(wèn)客體的訪問(wèn)行為特征進(jìn)行具體化描述，將具體化描述的訪問(wèn)行為特征信息記錄在訪問(wèn)歷史本體庫(kù)中； 策略閾值學(xué)習(xí)單元，用于基于所述訪問(wèn)歷史本體庫(kù)，在預(yù)設(shè)的學(xué)習(xí)周期內(nèi)，對(duì)訪問(wèn)主體的訪問(wèn)行為特征、訪問(wèn)客體的訪問(wèn)行為特征以及訪問(wèn)控制域所發(fā)生的訪問(wèn)行為特征進(jìn)行學(xué)習(xí)，統(tǒng)計(jì)與三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值，并將與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值記錄在攻擊檢測(cè)本體庫(kù)中； 策略閾值調(diào)整單元，用于基于所述攻擊檢測(cè)本體庫(kù)中所記錄的與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值，通過(guò)策略閾值調(diào)整算法，分別確定相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；其中，將所述策略閾值記錄在相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則中，然后將所述DoS攻擊檢測(cè)策略規(guī)則保存在攻擊檢測(cè)規(guī)則庫(kù)中； 攻擊檢測(cè)單元，用于基于所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值，對(duì)在訪問(wèn)控制域內(nèi)發(fā)生的DoS攻擊行為進(jìn)行檢測(cè)。
8.如權(quán)利要求7所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的系統(tǒng)，其中，所述具體化單元具體化描述的訪問(wèn)行為特征包括:訪問(wèn)主體、訪問(wèn)客體、訪問(wèn)操作、訪問(wèn)時(shí)間和訪問(wèn)位置。
9.如權(quán)利要求7所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的系統(tǒng)，其中，所述策略閾值調(diào)整單元在基于所述攻擊檢測(cè)本體庫(kù)中所記錄的與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值，通過(guò)策略閾值調(diào)整算法分別確定相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值的過(guò)程中， 將與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值替換設(shè)定的策略閾值，作為相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；或者， 取與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值和設(shè)定的策略閾值中的較大者，作為相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值；或者， 基于與所述三類訪問(wèn)行為特征相對(duì)應(yīng)的學(xué)習(xí)閾值和設(shè)定的策略閾值，通過(guò)加權(quán)平均的方式，將加權(quán)平均的結(jié)果作為相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值。
10.如權(quán)利要求7所述的語(yǔ)義Web應(yīng)用中檢測(cè)DoS攻擊的系統(tǒng)，其中，當(dāng)所述攻擊檢測(cè)單元檢測(cè)到在所述訪問(wèn)控制域內(nèi)發(fā)生DoS攻擊行為時(shí)，立即對(duì)所述DoS攻擊行為進(jìn)行防御，所述防御的過(guò)程包括: 統(tǒng)計(jì)同一訪問(wèn)主體在預(yù)設(shè)的訪問(wèn)周期內(nèi)訪問(wèn)所有訪問(wèn)客體的次數(shù)；其中，當(dāng)所統(tǒng)計(jì)的次數(shù)超過(guò)所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值時(shí),禁止所述訪問(wèn)主體的訪問(wèn)行為，并對(duì)所述訪問(wèn)主體的訪問(wèn)狀態(tài)進(jìn)行記錄；統(tǒng)計(jì)同一訪問(wèn)客體在預(yù)設(shè)的訪問(wèn)周期內(nèi)被所有訪問(wèn)主體訪問(wèn)的次數(shù)；其中，當(dāng)所統(tǒng)計(jì)的次數(shù)超過(guò)所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值時(shí)，所述訪問(wèn)客體的被訪問(wèn)狀態(tài)將被禁止，同時(shí)記錄所述訪問(wèn)客體的被訪問(wèn)狀態(tài)； 在預(yù)設(shè)的訪問(wèn)周期內(nèi)，統(tǒng)計(jì)所述訪問(wèn)控制域內(nèi)所發(fā)生的所有訪問(wèn)客體的被訪問(wèn)次數(shù)；其中，當(dāng)所有訪問(wèn)客體的被訪問(wèn)次數(shù)大于或等于所確定的相應(yīng)的DoS攻擊檢測(cè)策略規(guī)則的策略閾值時(shí)，根據(jù)訪問(wèn)主體的狀態(tài)拒絕訪問(wèn)主體的訪問(wèn)請(qǐng)求或者限制訪問(wèn)主體的訪問(wèn)速率。`
【文檔編號(hào)】H04L29/06GK103746987SQ201310751402
【公開(kāi)日】2014年4月23日 申請(qǐng)日期:2013年12月31日 優(yōu)先權(quán)日:2013年12月31日
【發(fā)明者】陳德彥, 張霞, 趙宏, 趙立軍, 平安, 蔣理成 申請(qǐng)人:東軟集團(tuán)股份有限公司