CN103746987B - 语义Web应用中检测DoS攻击的方法与*** - Google Patents
语义Web应用中检测DoS攻击的方法与*** Download PDFInfo
- Publication number
- CN103746987B CN103746987B CN201310751402.0A CN201310751402A CN103746987B CN 103746987 B CN103746987 B CN 103746987B CN 201310751402 A CN201310751402 A CN 201310751402A CN 103746987 B CN103746987 B CN 103746987B
- Authority
- CN
- China
- Prior art keywords
- access
- accessing
- dos
- attack detecting
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种语义Web应用中检测DoS攻击的方法及***,其中的方法包括:通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中;基于历史本体库分别对访问主体、访问客体以及访问控制域所发生的访问行为特征进行学习,统计并记录这三类学习阈值;根据这三类学习阈值,分别确定相应的DoS攻击检测策略规则的策略阈值;然后根据策略阈值,对访问控制域内发生的DoS攻击行为进行检测。通过本发明能够解决当前的DoS检测和防御机制一方面不支持语义Web技术,另一方面不支持利用语义Web技术本身的安全缺陷而发起的新型DoS攻击行为的检测和防御问题。
Description
技术领域
本发明涉及网络安全技术领域,更为具体地,涉及一种语义Web应用中检测DoS攻击的方法与***。
背景技术
现有的互联网网络是网页的集合,而语义Web是计算机和互联网对网络下一阶段发展所做出的术语化定义,其基本含义即基于网络建立任何微小数据的连接。
语义Web通过采用形式化的、机器可处理的语义Web语言来标注Web资源的语义,最终让机器代替人做更多的工作,实现Internet上不同Web资源的自动发现、自动集成、共享和重用,并支持通过互联网的信任交互。随着语义Web技术和相关标准的发布和语义Web技术的成熟,基于语义Web技术的应用也开始涌现。
目前的语义Web标准主要集中在数据操作和元数据的描述功能等方面,而在安全方面仅釆用了XML传统的数字签名和加密标准。因此,语义Web在安全防御方面的研究明显滞后于元数据描述和数据互操作的发展。
但是,在拒绝服务和分布式拒绝服务网络攻击愈演愈烈的今天,传统的网络设备或者边界安全设备都不具备完善的拒绝服务防御能力,在安全防御明显滞后于元数据描述和数据互操作的发展的情况下,语义Web很容易被恶意攻击者利用。例如,如下的SPARQL(Simple Protocol and RDF Query Language,简单协议和RDF查询语言)查询:
这个查询的目的是遍历整个本体知识库,对于语义Web这种分布式知识模型,这样的查询显然是没有意义的。而且虽然只发起了一次会话请求,但却足以耗尽整个服务器和网络资源,从而影响正常用户的访问请求,导致DoS攻击。
虽然当前一些开放的SPARQL查询端点对如上的SPARQL查询语句不做任何响应,比如DBPedia语义知识库提供的SPARQL查询端点,但基于图模式匹配的SPARQL查询语句可以变换多种写法。比如,上述的SPARQL查询语句可以变换为如下写法:
上述只是对SPARQL查询的其中一种变换,当然还可以有很多类似的变换,甚至是限定三元组中的某个元素,其查询所得到的结果的数据仍是惊人的,而且很多语义知识库提供的查询服务并不对此进行检查和约束。
虽然检查SPARQL查询语句的图模式可以发现一些不当或者恶意的查询,但这样的检查是远远不够的,不足以发现大量伪装的恶意访问行为,比如不断动态变换访问主体身份或者访问目标的查询。
由于传统的DoS攻击检测和防御机制并不支持语义Web技术,也不支持利用语义Web技术本身的安全缺陷而发起的新型攻击行为的检测,因此,传统的DoS攻击检测和防御机制无法识别出上述的恶意查询。虽然当前基于语义Web技术的访问控制机制支持语义Web的相关技术标准,但其却只是用来解决因传统的访问控制机制无法防御语义Web环境下由推理而引发的安全问题和策略一致性问题,其并不提供语义Web环境下的DoS攻击检测功能,因而也不能对访问主体所发起的恶意访问行为进行DoS攻击的检测和防御。
发明内容
鉴于上述问题,本发明的目的是提供一种语义Web应用中检测DoS攻击的方法与***,以解决当前的DoS攻击检测和防御机制不支持语义Web技术,以及基于语义Web技术的访问控制机制不支持语义Web环境下利用语义Web技术本身的安全缺陷而发起的DoS攻击检测和防御问题。
根据本发明的一个方面,提供一种语义Web应用中检测DoS攻击的方法,包括:
在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中;
基于所述访问历史本体库,在预设的学习周期内,分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中;
基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值;其中,将策略阈值记录在相应的DoS攻击检测策略规则中,然后将DoS攻击检测策略规则保存在攻击检测规则库中;
基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
其中,在基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值的过程中,
将与三类访问行为特征相对应的学习阈值替换设定的策略阈值,作为相应的DoS攻击检测策略规则的策略阈值;或者,
取与三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大者,作为相应的DoS攻击检测策略规则的策略阈值;或者,
基于与三类访问行为特征相对应的学***均的方式,将加权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。
其中,对在访问控制域内发生的DoS攻击行为进行检测的过程中,当检测到在访问控制域内发生DoS攻击行为时,立即对DoS攻击行为进行防御,防御的过程包括:
统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止访问主体的访问行为,并对访问主体的访问状态进行记录;
统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,访问客体的被访问状态将被禁止,同时记录访问客体的被访问状态;
在预设的访问周期内,统计访问控制域内所发生的所有访问客体被所有访问主体访问的次数;其中,当所有访问客体的被访问次数大于或等于相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。
另一方面,本发明还提供一种语义Web应用中检测DoS攻击的***,包括:
具体化单元,用于在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中;
策略阈值学习单元,用于基于访问历史本体库,在预设的学习周期内,对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中;
策略阈值调整单元,用于基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法,分别确定相应的DoS攻击检测策略规则的策略阈值,其中,将策略阈值记录在相应的DoS攻击检测策略规则中,然后将DoS攻击检测策略规则保存在攻击检测规则库中;
攻击检测单元,用于基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
利用上述根据本发明的语义Web应用中检测DoS攻击的方法与***,通过从访问主体的访问行为入手去检测和防御DoS攻击行为,从而能够屏蔽语义Web应用中,因语义Web技术本身存在的安全缺陷而引入的DoS攻击,保证合法用户的正常访问,并且能够对访问主体在访问控制域内发起的并发访问请求进行访问速率限制,保证查询引擎的查询性能,改善合法用户的访问体验;同时,自学习访问控制域内的访问行为特征,并将其作为攻击检测主体的策略阈值,防止放行用户的非法访问请求而阻止合法访问请求的情况发生。
为了实现上述以及相关目的,本发明的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。然而,这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外,本发明旨在包括所有这些方面以及它们的等同物。
附图说明
通过参考以下结合附图的说明及权利要求书的内容,并且随着对本发明的更全面理解,本发明的其它目的及结果将更加明白及易于理解。在附图中:
图1为根据本发明实施例的语义Web应用中检测DoS攻击的方法流程示意图;
图2为根据本发明实施例的以访问主体为DoS攻击检测主体进行DoS攻击检测和防御的流程示意图;
图3为根据本发明实施例的语义Web应用中检测DoS攻击的***逻辑结构;
图4为根据本发明实施例的对访问主体的访问行为特征进行学习的流程示意图。
在所有附图中相同的标号指示相似或相应的特征或功能。
具体实施方式
以下将结合附图对本发明的具体实施例进行详细描述。
针对前述当前基于语义Web技术的访问控制机制不提供语义Web环境下的DoS检测功能,无法对恶意的DoS攻击行为进行检测和防御的问题。本发明通过将访问主体在访问控制域内的访问行为具体化,并将被具体化的访问行为记录在访问历史本体库中,然后基于该历史本体库,对访问控制域内的访问行为特征进行学习,记录学习阈值,确定DoS攻击检测主体的策略阈值;基于所确定的策略阈值,对访问主体的访问行为进行DoS攻击检测。通过本发明能够解决当前的DoS检测和防御机制一方面不支持语义Web技术,另一方面不支持利用语义Web技术本身的安全缺陷而发起的新型DoS攻击行为的检测和防御问题;以及当前基于语义Web技术的访问控制机制虽然支持语义Web相关技术标准,但不提供语义Web环境下的DoS攻击检测功能,无法对恶意的DoS攻击行为进行检测和防御的问题。
为了能够说明本发明提供的语义Web应用中检测DoS攻击的方法,图1示出了根据本发明实施例的语义Web应用中检测DoS攻击的方法流程。
如图1所示,本发明提供的语义Web应用中检测DoS攻击的方法包括:
S110:在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中。
需要说明的是,在对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述之前,还包括构建语义知识库,该语义知识库中包括领域知识库和为检测DoS恶意攻击行为而构建的攻击检测知识库。其中,该攻击检测知识库包括访问历史本体库、攻击检测本体库和攻击检测规则库,领域知识库里存储的是被保护的数据,而攻击检测知识库存储的则是为保护领域知识库里的数据而采取的保护措施。其中,所述语义知识库(包括访问历史本体库、攻击检测本体库和攻击检测规则库)用RDF模型和语义网描述语言进行描述,并采用基于图模型的数据结构进行存储。
也就是说,访问历史本体库、攻击检测本体库和攻击检测规则库采用RDF模型和语义网描述语言进行描述,并采用基于图模型的数据结构进行存储。其中,采用基于图模型的数据结构进行存储的优点将在介绍完DoS攻击检测和防御的过程之后进行详细说明。
具体地,在基于RDF(Resource Description Framework,资源描述框架)模型的语义知识库中,一切资源(包括属性资源)都具有上下文语义关系,它们的基本单元是三元组,又称为陈述。在同一名称空间(例如http://www.example.com/ontologies/2013/5/dso.owl#)中,资源的ID(例如p0001a)是唯一的,但本身是没有任何含义的(尽管有时候采用以某种语言表示的可识别名称),它只是机器可读的。资源的语义是通过与资源关联的上下文语义关系来表达的,上下文语义关系越丰富,对资源的语义描述也就越准确。在本发明的一个示例中,假设该语义知识库的名称空间为ds。
其中,通过RDF陈述具体化的方式,将访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述。例如,张三进了书店,张三即为访问主体,书店即为访问控制域,张三进书店看书或者是买书的行为,即是对张三进了书店的这一访问行为特征的具体化描述。其中,具体化描述的访问行为特征包括:访问主体、访问客体、访问操作、访问时间和访问位置。
其中,在将访问主体访问访问客体的访问行为特征进行具体化描述时,主要包括对访问客体的访问操作、访问时间、访问场所(即访问位置)的具体化。
具体地,在语义Web应用中,访问主体所访问的任何内容都是一个三元组,比如张三的身份信息、张三患有某种疾病、张三的主治医生、李四的会员等。为了记录这些访问客体,需要对这些三元组进行具体化描述。这样,某个访问主体在访问控制域内的访问行为信息便可以作为这些陈述的具体化描述信息,并且也被语义化为三元组的元数据。
例如,在本发明一个示例中,将访问主体所访问的访问客体“ds:hasDisease(ds:p0001a,,ds:m.0c58k)”和“ds:owns(ds:p0001a,ds:PR_张三)”分别具体化为访问客体ah:triple0001a和ah:triple0001b。其中,ah为访问历史本体库的名称空间。将访问主体的访问操作“ah:hasAccessed(ds:p0001b,ah:triple0001a)”具体化为访问客体ah:triple0002a,并基于该访问客体记录本次操作的其他上下文信息,包括访问时间、访问位置等信息。每记录一个访问时间,就代表对该访问客体进行了一次访问。
S120:基于访问历史本体库,在预设的学习周期内,分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中。
具体地,访问行为特征涉及三类对象的访问行为,包括访问主体、访问客体和访问控制域三类,对应的,访问行为特征的学习也包括三种,即对访问主体的访问行为特征、访问客体的访问行为特征和访问控制域所发生的访问行为特征进行学习,统计并记录在预设的学习周期内这三种访问行为特征的学习阈值。即统计并记录在预设的学习周期内,同一访问主体访问所有访问客体的次数、同一访问客体被所有访问主体访问的次数和在访问控制域内发生的所有访问客体被所有访问主体访问的次数。其中,统计并记录的次数即为学习阈值。为了区分这三类访问行为特征的学习阈值,通过第一学习阈值、第二学习阈值和第三学习阈值对其进行区分。
也就是说,在分别对上述三类访问行为特征进行学习的过程中,将同一访问主体访问所有访问客体的次数,记录为第一学习阈值;将同一访问客体被所有访问主体访问的次数,记录为第二学习阈值;将在访问控制域内发生的所有访问客体被所有访问主体访问的次数,记录为第三学习阈值。
S130:基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值;其中,将策略阈值记录在相应的DoS攻击检测策略规则中,然后将DoS攻击检测策略规则保存在攻击检测规则库中。
其中,将策略阈值记录在相应的DoS攻击检测策略规则中是指将基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值分别记录在相应的DoS攻击检测策略规则中。即将相应的策略阈值记录在相应的DoS攻击检测策略规则中。
需要说明的是,在基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值时,一类访问行为特征的学习阈值对应的确定一类DoS攻击检测策略规则的策略阈值。
也就是说,对访问主体的访问行为特征进行学习所得到的学习阈值用于确定基于同一访问主体的DoS攻击检测策略规则的策略阈值;对访问客体的访问行为特征进行学习所得到的学习阈值用于确定基于同一访问客体的DoS攻击检测策略规则的策略阈值;对在访问控制域内发生的访问行为特征进行学习所得到的学习阈值用于确定基于访问控制域内的DoS攻击检测策略规则的策略阈值。
其中,在基于攻击检测本体库中所记录的与三类访问行为特征相对应的学***均的方式,将加权平均的结果作为DoS攻击检测策略规则的策略阈值。
S140:基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。需要说明的是,与访问行为特征相对应,DoS攻击检测主体也包括访问主体、访问客体和访问控制域三类,其中,在对DoS攻击检测主体的访问行为进行检测时,
1、统计同一访问主体每分钟访问所有访问客体的次数。
2、统计同一访问客体每分钟被所有访问主体访问的次数。
3、统计访问控制域内每分钟发生的所有访问客体被所有访问主体访问的次数。
其中,每分钟即为预设的访问周期,当然也可以以小时或者天数为预设访问周期。需要说明的是,上述三种DoS攻击检测主体与访问行为特征的分类一致。也就是说,其分别以访问主体、访问客体和访问控制域为DoS攻击检测主体,并行对在访问控制域内发生的这三类访问行为进行DoS攻击检测。
其中,对在访问控制域内发生的DoS攻击行为进行检测的过程中,(即并行对在访问控制域内发生的这三类访问行为进行DoS攻击的检测的过程中),当检测到在访问控制域内发生DoS攻击行为时,立即对DoS攻击行为进行防御,防御过程包括:
统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止所述访问主体的访问行为,并对访问主体的访问状态进行记录;
统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,该访问客体的被访问状态将被禁止,同时记录该访问客体的被访问状态;
在预设的访问周期内,统计访问控制域内所发生的所有访问客体被所有访问主体访问的次数;其中,当所有访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。
另外需要说明的是,攻击检测规则库中包含对所述三类访问行为的检测规则集,针对每一类访问行为检测的规则集中的规则之间可能存在规则依赖关系,在进行规则匹配时,将按照规则依赖顺序对规则集中的每条规则进行判断,当满足规则依赖顺序中最后一条规则的规则体中的合取条件集时,才能得到攻击检测结果。
通过图1所示的流程可以看出,本发明所提供的语义Web应用中检测DoS攻击的方法,能够屏蔽语义Web应用中,因语义Web技术本身存在的安全缺陷而引入的DoS攻击,保证合法用户的正常访问;同时,自学习访问控制域内的访问行为特征,并将其作为攻击检测主体的策略阈值,防止放行用户的非法访问请求而阻止合法访问请求的情况发生。
为了更为清楚地说明本发明所提供的语义Web应用中检测DoS攻击的方法,下述将分别对访问控制域内的访问行为特征的学习过程和DoS攻击检测和防御的过程作详细描述。
在本发明所提供的语义Web应用中检测DoS攻击的方法中,为了有效地避免放行恶意的攻击行为或阻止正常的访问请求的情况发生,通过对访问控制域内的访问行为特征的学习,周期性的记录访问主体的访问行为,并将所学习到的学习阈值作为确定DoS攻击检测策略规则的策略阈值的依据,从而对偏离正常访问行为的恶意访问操作进行有效检测和防御。
其中,在上述的流程说明中,预设的学习周期的单位为分钟,可以设置天、小时和分钟值,预设的学习周期可以是这三个值的累加。由于不同的访问主体的需求不同,不同的访问客体于访问主体的作用也不同,因此通过对同一访问主体和同一访问客体这种类别的访问行为特征的学习,能够针对不同的访问主体和访问客体建立不同的策略阈值。
对访问控制域内的访问行为特征进行学习,是为了控制总体的访问流量,一旦总的访问流量达到策略阈值,将限制新的访问请求,通过此种设计能够保证正在进行中的访问请求正常完成。例如,在一个访问控制域内,设定的策略阈值为300(即在每分钟内只允许访问客体被访问300次),如果在某一分钟内,访问客体的访问次数超过了300,那么此时将限制新的访问主体所发起的访问请求,从而保证正在进行中的访问主体的访问请求的正常完成。
在进行学习之前,首先需要设定学习周期,以及为上述三种学习阈值赋一个初始值。下述以同一访问主体这类访问行为特征的学习为例对访问行为特征的学习作详细说明。
图4示出了根据本发明实施例的对访问主体的访问行为特征进行学习的流程。如图4所示,
S410:基于访问历史本体库为访问主体启动定时器。
S420:统计并记录预设的学习周期内同一访问主体访问访问客体的次数。
其中,统计方法是,比较访问主体操作的具体化属性中的访问时间(该访问时间在访问历史本体库中),将访问时间大于等于学习周期开始时间而小于学习周期结束时间的所有时间代表的访问次数进行累加,其中每个访问时间代表一次访问。通过此种方法即可得到访问主体在该学习周期内的访问次数(即学习阈值)。
S430:基于学习到的阈值(即所记录的次数)和设定的策略阈值(即设定的初始值),通过策略阈值调整算法确定相应的DoS攻击检测策略规则的策略阈值。
其中,将所学习到的阈值记录在攻击检测本体库中,将所确定的相应的DoS攻击检测策略规则的策略阈值记录在攻击检测规则库中。
其中,策略阈值调整算法有三种选择:
1、始终用学习到的阈值(此处为第一学习阈值)替换设定的策略阈值(其中该设定的策略阈值为初始值或者为前一次所确定的策略阈值);
2、比较学习到的阈值和设定的策略阈值,取其中较大者;
3、通过加权平均算法得到策略阈值。其中,加权平均算法如下:
new-threshold=(learned-threshold*weight+current-threshold*(100–weight))/100
其中,current-threshold表示设定的策略阈值,learned-threshold表示学***均。其他两种访问行为特征的学习和策略阈值的确定方法类似,此处不再赘述。
在确定了DoS攻击检测策略规则的策略阈值之后,基于所确定的策略阈值,并行对在访问控制域内发生的DoS攻击行为进行检测和防御。其中,为了更为清楚的描述DoS攻击检测和防御的过程,下面将分别对三种DoS攻击检测主体的检测和防御过程作更为详细的描述。
图2示出了根据本发明实施例的以访问主体为DoS攻击检测主体进行DoS攻击检测和防御的流程。
如图2所示,以访问主体为DoS攻击检测主体进行DoS攻击检测和防御的过程为:
S210:当有访问主体发起访问时,查询访问结果并进行具体化,同时启动定时器进行攻击检测。
S220:该定时器以分钟为频率对该访问主体访问访问客体的数量进行统计(即统计访问主体的访问次数)。
S230:将所统计的次数与确定的相应的策略阈值进行比较,当所统计的次数大于策略阈值时,进入步骤S240,否则返回步骤S220。
S240:立即终止该访问主体的访问,同时记录访问主体的禁止访问状态与禁用时间。
也就是说,一旦检测到攻击(即统计的数量超过确定的策略阈值),立即终止该访问主体的访问,同时记录该访问主体的禁止访问状态和禁用时间(初始化参数)。禁用访问时间到了以后,将禁用访问状态置为false,但不删除禁用状态记录。
当该访问主体再次发起访问时,首先获取该访问主体的访问状态,如果该访问主体的禁止访问状态为真,将拒绝该访问主体的本次访问请求。
以访问客体为DoS攻击检测主体进行DoS攻击检测和防御的过程,与上述以访问主体为DoS攻击检测主体进行DoS攻击检测和防御的过程类似,当所统计的次数超过所确定的DoS攻击检测主体的策略阈值时,该访问客体的被访问状态将被禁止,同时记录该访问客体的被访问状态。
需要说明的是,在以访问控制域为DoS攻击检测主体进行DoS攻击的检测和防御时,需要根据预设的条件来处理访问主体的访问请求。其中,预设的条件即为对访问主体的状态的判断。具体地,访问主体的状态包括访问主体的禁止访问状态、访问主体的历史访问记录以及访问主体信用度。
具体地,以访问控制域为DoS攻击检测主体进行DoS攻击检测和防御的过程如下:
统计在预设的访问周期内,访问控制域所发生的访问客体的被访问次数;当访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据预设的条件拒绝访问主体的访问请求或者限制访问主体的访问速率。
其中,预设的条件是根据访问主体的状态设定的,具体地:
1、当访问主体的禁止访问状态为false时,限制该访问主体的访问速率,或者拒绝该访问主体的访问请求。
2、当访问主体无任何历史访问记录时,拒绝该访问主体的访问请求。
3、当访问主体有历史访问记录但没有任何禁止访问状态时(即受信任的访问主体),接受该访问主体的访问请求,但限制其访问速率。
需要说明的是,无论是确定策略阈值还是进行攻击检测,都需要对访问主体的访问记录进行查询和统计,而语义知识库是由三元组构成的一张语义网(有向图),该语义网遵循RDF标准,传统的关系数据存储依赖于正确定义的、静态的结构来提升性能,由于灵活的RDF模型和传统的关系数据存储无法很好地兼容工作,因此,如何高效地存储和访问(即查询)RDF就成为了一个极受关注的研究领域。
基于关系数据库的RDF存储使用数据表来存储主语、谓语和宾语构成的三元组,为了提供对常见陈述的快速检索,本发明采用基于图模型的RDF存储来对语义知识库中所包含的陈述进行持久化。基本思路如下:
基于图模型的RDF存储是一种能够更加直接地对RDF数据的结构进行建模的数据结构,它可以缓解基于关系模型存储的性能问题。给定一条特定的陈述,基于图的存储能够提供一种高效方式来定位与之共享相同资源(主语、谓语和宾语)的陈述,因为按照这种设计,它们会以高度的区域性(这就是说它们的存储位置相互临近)进行存储。
常见的基于图的RDF存储的实现使用了相互链接的陈述列表,这样每条共享相同资源(这些资源可能作为陈述主语、谓语或者宾语)的陈述就被安置到了一个连续的链接列表中,或者使用特殊的索引数据结构来链接在RDF图中相邻(连接)的陈述。这样就提供了一种机制,可以快速遍历包含某一特定资源(在陈述中作为主语、谓语或者宾语)的所有陈述。这种设计的特性与RDB(Relational Database,关系数据库)方法中的列索引和附加表十分类似,并且基于图的实现方法为一般的用途,不需要用到与数据一同存储的高级知识。
因此本发明采用基于图模型的RDF存储来对语义知识库中所包含的陈述进行持久化,而在对用户的访问记录进行查询统计时也采用基于图的语义层查询,能够实现高效地存储和访问RDF。
与上述方法相对应,本发明还提供一种语义Web应用中检测DoS攻击的***。图3示出了根据本发明实施例的语义Web应用中检测DoS攻击的***逻辑结构。
如图3所示,本发明提供语义Web应用中检测DoS攻击的***300包括具体化单元310、策略阈值学习单元320、策略阈值调整单元330和攻击检测单元340。
其中,具体化单元310用于在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中。
其中,具体化单元310通过RDF陈述具体化的方式,将访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述。其中,具体化描述的访问行为特征包括:访问主体、访问客体、访问操作、访问时间和访问位置。
策略阈值学习单元320用于基于访问历史本体库,在预设的学习周期内,分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与三类访问行为特征相对应的学习阈值记录在攻击检测本体库中。
其中,访问行为特征涉及三类对象的访问行为,包括访问主体、访问客体和访问控制域三类,对应的,访问行为特征的学习也包括三种,即对访问主体的访问行为特征、访问客体的访问行为特征和访问控制域所发生的访问行为特征进行学习,统计并记录在预设的学习周期内这三种访问行为特征的学习阈值。
其中,策略阈值学习单元320在分别对上述三类访问行为特征进行学习的过程中,将同一访问主体访问所有访问客体的次数,记录为第一学习阈值;将同一访问客体被所有访问主体访问的次数,记录为第二学习阈值;将在访问控制域内发生的所有访问客体被所有访问主体访问的次数,记录为第三学习阈值。
策略阈值调整单元330用于基于攻击检测本体库中所记录的与三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值,其中,将策略阈值记录在相应的DoS攻击检测策略规则中,然后将DoS攻击检测策略规则保存在攻击检测规则库中。
其中,策略阈值调整单元330在基于攻击检测本体库中所记录的与三类访问行为特征相对应的学***均的方式,将加权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。
攻击检测单元340用于基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
其中,攻击检测单元340对在访问控制域内发生的DoS攻击行为进行检测的过程中,当检测到访问控制域内发生DoS攻击行为时,立即对DoS攻击行为进行防御,防御过程包括:
统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止访问主体的访问行为,并对访问主体的访问状态进行记录;
统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,该访问客体的被访问状态将被禁止,同时记录访问客体的被访问状态;
在预设的访问周期内,统计访问控制域内所发生的所有访问客体被所有访问主体访问的次数;其中,当访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。
其中,当访问主体的禁止访问状态为false时,限制该访问主体的访问速率,或者拒绝该访问主体的访问请求;当访问主体无任何历史访问记录时,拒绝该访问主体的访问请求;当访问主体有历史访问记录但没有任何禁止访问状态时(即受信任的访问主体),接受该访问主体的访问请求,但限制其访问速率。
通过本发明所提供的语义Web应用中检测DoS攻击的方法及***,能够屏蔽语义Web应用中,因语义Web技术本身存在的安全缺陷而引入的DoS攻击,保证合法用户的正常访问;并且能够对访问主体在访问控制域内发起的并发访问请求进行访问速率限制,保证查询引擎的查询性能,改善合法用户的访问体验;同时,自学习访问控制域内的访问行为特征,并将其作为攻击检测的策略阈值,防止放行用户的非法访问请求而阻止合法访问请求的情况发生。
如上参照附图以示例的方式描述了根据本发明的语义Web应用中检测DoS攻击的方法及***。但是,本领域技术人员应当理解,对于上述本发明所提出的语义Web应用中检测DoS攻击的方法及***,还可以在不脱离本发明内容的基础上做出各种改进。因此,本发明的保护范围应当由所附的权利要求书的内容确定。
Claims (10)
1.一种语义Web应用中检测DoS攻击的方法,包括:在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中;
基于所述访问历史本体库,在预设的学习周期内,分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与所述三类访问行为特征相对应的学习阈值记录在攻击检测本体库中;其中,所统计的与三类访问行为特征相对应的学习阈值为:同一访问主体访问所有访问客体的次数、同一访问客体被所有访问主体访问的次数、在所述访问控制域内发生的所有访问客体被所有访问主体访问的次数;
基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值;其中,将所述策略阈值记录在相应的DoS攻击检测策略规则中,然后将所述DoS攻击检测策略规则保存在攻击检测规则库中;
基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
2.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,所述具体化描述的访问行为特征包括:访问主体、访问客体、访问操作、访问时间和访问位置。
3.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,在分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习的过程中,
将同一访问主体访问所有访问客体的次数,记录为第一学习阈值;
将同一访问客体被所有访问主体访问的次数,记录为第二学习阈值;
将在所述访问控制域内发生的所有访问客体被所有访问主体访问的次数,记录为第三学习阈值。
4.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,在基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值的过程中,
将与所述三类访问行为特征相对应的学习阈值替换设定的策略阈值,作为相应的DoS攻击检测策略规则的策略阈值;或者,
取与所述三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大者,作为相应的DoS攻击检测策略规则的策略阈值;或者,
基于与所述三类访问行为特征相对应的学***均的方式,将加权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。
5.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,对在访问控制域内发生的DoS攻击行为进行检测的过程中,当检测到在所述访问控制域内发生DoS攻击行为时,立即对所述DoS攻击行为进行防御,所述防御的过程包括:
统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止所述访问主体的访问行为,并对所述访问主体的访问状态进行记录;
统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,所述访问客体的被访问状态将被禁止,同时记录所述访问客体的被访问状态;
在预设的访问周期内,统计所述访问控制域内所发生的所有访问客体被所有访问主体访问的次数;其中,当所有访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。
6.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,所述访问历史本体库、所述攻击检测本体库和所述攻击检测规则库采用RDF模型和语义网描述语言进行描述,并采用基于图模型的数据结构进行存储。
7.一种语义Web应用中检测DoS攻击的***,包括:
具体化单元,用于在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征信息记录在访问历史本体库中;
策略阈值学习单元,用于基于所述访问历史本体库,在预设的学习周期内,对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与所述三类访问行为特征相对应的学习阈值记录在攻击检测本体库中;其中,所统计的与三类访问行为特征相对应的学习阈值为:同一访问主体访问所有访问客体的次数、同一访问客体被所有访问主体访问的次数、在所述访问控制域内发生的所有访问客体被所有访问主体访问的次数;
策略阈值调整单元,用于基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法,分别确定相应的DoS攻击检测策略规则的策略阈值;其中,将所述策略阈值记录在相应的DoS攻击检测策略规则中,然后将所述DoS攻击检测策略规则保存在攻击检测规则库中;
攻击检测单元,用于基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
8.如权利要求7所述的语义Web应用中检测DoS攻击的***,其中,所述具体化单元具体化描述的访问行为特征包括:访问主体、访问客体、访问操作、访问时间和访问位置。
9.如权利要求7所述的语义Web应用中检测DoS攻击的***,其中,所述策略阈值调整单元在基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值的过程中,
将与所述三类访问行为特征相对应的学习阈值替换设定的策略阈值,作为相应的DoS攻击检测策略规则的策略阈值;或者,
取与所述三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大者,作为相应的DoS攻击检测策略规则的策略阈值;或者,
基于与所述三类访问行为特征相对应的学***均的方式,将加权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。
10.如权利要求7所述的语义Web应用中检测DoS攻击的***,其中,当所述攻击检测单元检测到在所述访问控制域内发生DoS攻击行为时,立即对所述DoS攻击行为进行防御,所述防御的过程包括:
统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止所述访问主体的访问行为,并对所述访问主体的访问状态进行记录;
统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,所述访问客体的被访问状态将被禁止,同时记录所述访问客体的被访问状态;
在预设的访问周期内,统计所述访问控制域内所发生的所有访问客体的被访问次数;其中,当所有访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310751402.0A CN103746987B (zh) | 2013-12-31 | 2013-12-31 | 语义Web应用中检测DoS攻击的方法与*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310751402.0A CN103746987B (zh) | 2013-12-31 | 2013-12-31 | 语义Web应用中检测DoS攻击的方法与*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103746987A CN103746987A (zh) | 2014-04-23 |
| CN103746987B true CN103746987B (zh) | 2017-02-01 |
Family
ID=50503974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310751402.0A Active CN103746987B (zh) | 2013-12-31 | 2013-12-31 | 语义Web应用中检测DoS攻击的方法与*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103746987B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107592300A (zh) * | 2017-08-16 | 2018-01-16 | 中国银行股份有限公司 | 一种防机器人攻击的方法及*** |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187224B (zh) * | 2014-06-17 | 2018-05-01 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
| CN105656843B (zh) * | 2014-11-11 | 2020-07-24 | 腾讯数码(天津)有限公司 | 基于验证的应用层防护方法、装置及网络设备 |
| CN104462476A (zh) * | 2014-12-19 | 2015-03-25 | 科大国创软件股份有限公司 | 基于控制时间窗服务访问频度实施服务保护的方法 |
| CN104954188B (zh) * | 2015-06-30 | 2018-05-01 | 北京奇安信科技有限公司 | 基于云的网站日志安全分析方法、装置和*** |
| CN104935609A (zh) * | 2015-07-17 | 2015-09-23 | 北京京东尚科信息技术有限公司 | 网络攻击检测方法及检测设备 |
| CN108737351B (zh) * | 2017-04-25 | 2021-03-16 | ***通信有限公司研究院 | 一种分布式拒绝服务攻击防御控制方法和调度设备 |
| CN107948197A (zh) * | 2017-12-26 | 2018-04-20 | 北京星河星云信息技术有限公司 | 防御半连接攻击的方法和半连接攻击防御平台 |
| CN114244564B (zh) * | 2021-11-16 | 2024-04-16 | 北京网宿科技有限公司 | 攻击防御方法、装置、设备及可读存储介质 |
| CN116708013B (zh) * | 2023-07-25 | 2024-06-11 | 深圳市锐速云计算有限公司 | 一种DDoS防护方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635703A (zh) * | 2008-07-24 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 一种web服务异常检测方法 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120066465A (ko) * | 2010-12-14 | 2012-06-22 | 한국전자통신연구원 | 서비스 거부 공격 차단 방법 |
-
2013
- 2013-12-31 CN CN201310751402.0A patent/CN103746987B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635703A (zh) * | 2008-07-24 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 一种web服务异常检测方法 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107592300A (zh) * | 2017-08-16 | 2018-01-16 | 中国银行股份有限公司 | 一种防机器人攻击的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103746987A (zh) | 2014-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103746987B (zh) | 语义Web应用中检测DoS攻击的方法与*** | |
| da Silva et al. | Heuristic-based strategy for Phishing prediction: A survey of URL-based approach | |
| Liang et al. | Anomaly-based web attack detection: a deep learning approach | |
| US20220336290A1 (en) | User Model-Based Data Loss Prevention | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| US9336388B2 (en) | Method and system for thwarting insider attacks through informational network analysis | |
| Moynihan | The application of international law to state cyberattacks | |
| Morel | Artificial intelligence and the future of cybersecurity | |
| CN109299135A (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
| CN103336927A (zh) | 一种基于数据分类的数据防泄漏方法及其*** | |
| Yamada et al. | Exploiting privacy policy conflicts in online social networks | |
| CN109684072A (zh) | 基于机器学习模型管理用于检测恶意文件的计算资源的***和方法 | |
| CN109587151A (zh) | 访问控制方法、装置、设备及计算机可读存储介质 | |
| Henry et al. | Governing image-based sexual abuse: Digital platform policies, tools, and practices | |
| CN106850675A (zh) | 一种网络攻击行为的确定方法及装置 | |
| Kebande et al. | Active machine learning adversarial attack detection in the user feedback process | |
| Sun et al. | A matrix decomposition based webshell detection method | |
| CN108134774B (zh) | 基于内容隐私和用户安全分级的隐私保护方法及装置 | |
| CN116668197B (zh) | 信息流无干扰策略的网络强制访问控制实现方法及装置 | |
| Ro et al. | Detection Method for Distributed Web‐Crawlers: A Long‐Tail Threshold Model | |
| Chertoff et al. | Policing the Dark Web: Legal Challenges in the 2015 Playpen Case | |
| Suthaharan et al. | An approach for automatic selection of relevance features in intrusion detection systems | |
| Möller | Cyberattacker Profiles, Cyberattack Models and Scenarios, and Cybersecurity Ontology | |
| Boruah et al. | An MEBN framework as a dynamic firewall's knowledge flow architecture | |
| Taylor | Defending Against Typosquatting Attacks In Programming Language-Based Package Repositories |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |