语义Web应用中检测DoS攻击的方法与系统的制作方法
【专利摘要】本发明提供了一种语义Web应用中检测DoS攻击的方法及系统,其中的方法包括:通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中;基于历史本体库分别对访问主体、访问客体以及访问控制域所发生的访问行为特征进行学习,统计并记录这三类学习阈值;根据这三类学习阈值,分别确定相应的DoS攻击检测策略规则的策略阈值;然后根据策略阈值,对访问控制域内发生的DoS攻击行为进行检测。通过本发明能够解决当前的DoS检测和防御机制一方面不支持语义Web技术,另一方面不支持利用语义Web技术本身的安全缺陷而发起的新型DoS攻击行为的检测和防御问题。
【专利说明】语义Web应用中检测DoS攻击的方法与系统
【技术领域】
[0001 ] 本发明涉及网络安全【技术领域】,更为具体地,涉及一种语义Web应用中检测DoS攻击的方法与系统。
【背景技术】
[0002]现有的互联网网络是网页的集合,而语义Web是计算机和互联网对网络下一阶段发展所做出的术语化定义,其基本含义即基于网络建立任何微小数据的连接。
[0003]语义Web通过采用形式化的、机器可处理的语义Web语言来标注Web资源的语义,最终让机器代替人做更多的工作,实现Internet上不同Web资源的自动发现、自动集成、共享和重用,并支持通过互联网的信任交互。随着语义Web技术和相关标准的发布和语义Web技术的成熟,基于语义Web技术的应用也开始涌现。
[0004]目前的语义Web标准主要集中在数据操作和元数据的描述功能等方面,而在安全方面仅釆用了 XML传统的数字签名和加密标准。因此,语义Web在安全防御方面的研究明显滞后于元数据描述和数据互操作的发展。
[0005]但是,在拒绝服务和分布式拒绝服务网络攻击愈演愈烈的今天,传统的网络设备或者边界安全设备都不具备完善的拒绝服务防御能力,在安全防御明显滞后于元数据描述和数据互操作的发展的情况下,语义Web很容易被恶意攻击者利用。例如,如下的SPARQL(Simple Protocol and RDF Query Language,简单协议和 RDF 查询语言)查询:
[0006]
[0007]
【权利要求】
1.一种语义Web应用中检测DoS攻击的方法,包括:在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征记录在访问历史本体库中; 基于所述访问历史本体库,在预设的学习周期内,分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与所述三类访问行为特征相对应的学习阈值记录在攻击检测本体库中; 基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值;其中,将所述策略阈值记录在相应的DoS攻击检测策略规则中,然后将所述DoS攻击检测策略规则保存在攻击检测规则库中; 基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
2.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,所述具体化描述的访问行为特征包括:访问主体、访问客体、访问操作、访问时间和访问位置。
3.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,在分别对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习的过程中, 将同一访问主体访问所有访问客体的次数,记录为第一学习阈值; 将同一访问客体被所有访问主体访问的次数,记录为第二学习阈值; 将在所述访问控制域内发生的所有访问客体被所有访问主体访问的次数,记录为第三学习阈值。
4.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,在基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值的过程中, 将与所述三类访问行为特征相对应的学习阈值替换设定的策略阈值,作为相应的DoS攻击检测策略规则的策略阈值;或者, 取与所述三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大者,作为相应的DoS攻击检测策略规则的策略阈值;或者, 基于与所述三类访问行为特征相对应的学习阈值和设定的策略阈值,通过加权平均的方式,将加权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。
5.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,对在访问控制域内发生的DoS攻击行为进行检测的过程中,当检测到在所述访问控制域内发生DoS攻击行为时,立即对所述DoS攻击行为进行防御,所述防御的过程包括: 统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止所述访问主体的访问行为,并对所述访问主体的访问状态进行记录; 统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,所述访问客体的被访问状态将被禁止,同时记录所述访问客体的被访问状态; 在预设的访问周期内,统计所述访问控制域内所发生的所有访问客体被所有访问主体访问的次数;其中,当所有访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。
6.如权利要求1所述的语义Web应用中检测DoS攻击的方法,其中,所述访问历史本体库、所述攻击检测本体库和所述攻击检测规则库采用RDF模型和语义网描述语言进行描述,并采用基于图模型的数据结构进行存储。
7.一种语义Web应用中检测DoS攻击的系统,包括: 具体化单元,用于在语义Web应用中,通过RDF陈述具体化的方式,对访问主体在访问控制域内访问访问客体的访问行为特征进行具体化描述,将具体化描述的访问行为特征信息记录在访问历史本体库中; 策略阈值学习单元,用于基于所述访问历史本体库,在预设的学习周期内,对访问主体的访问行为特征、访问客体的访问行为特征以及访问控制域所发生的访问行为特征进行学习,统计与三类访问行为特征相对应的学习阈值,并将与所述三类访问行为特征相对应的学习阈值记录在攻击检测本体库中; 策略阈值调整单元,用于基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法,分别确定相应的DoS攻击检测策略规则的策略阈值;其中,将所述策略阈值记录在相应的DoS攻击检测策略规则中,然后将所述DoS攻击检测策略规则保存在攻击检测规则库中; 攻击检测单元,用于基于所确定的相应的DoS攻击检测策略规则的策略阈值,对在访问控制域内发生的DoS攻击行为进行检测。
8.如权利要求7所述的语义Web应用中检测DoS攻击的系统,其中,所述具体化单元具体化描述的访问行为特征包括:访问主体、访问客体、访问操作、访问时间和访问位置。
9.如权利要求7所述的语义Web应用中检测DoS攻击的系统,其中,所述策略阈值调整单元在基于所述攻击检测本体库中所记录的与所述三类访问行为特征相对应的学习阈值,通过策略阈值调整算法分别确定相应的DoS攻击检测策略规则的策略阈值的过程中, 将与所述三类访问行为特征相对应的学习阈值替换设定的策略阈值,作为相应的DoS攻击检测策略规则的策略阈值;或者, 取与所述三类访问行为特征相对应的学习阈值和设定的策略阈值中的较大者,作为相应的DoS攻击检测策略规则的策略阈值;或者, 基于与所述三类访问行为特征相对应的学习阈值和设定的策略阈值,通过加权平均的方式,将加权平均的结果作为相应的DoS攻击检测策略规则的策略阈值。
10.如权利要求7所述的语义Web应用中检测DoS攻击的系统,其中,当所述攻击检测单元检测到在所述访问控制域内发生DoS攻击行为时,立即对所述DoS攻击行为进行防御,所述防御的过程包括: 统计同一访问主体在预设的访问周期内访问所有访问客体的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,禁止所述访问主体的访问行为,并对所述访问主体的访问状态进行记录;统计同一访问客体在预设的访问周期内被所有访问主体访问的次数;其中,当所统计的次数超过所确定的相应的DoS攻击检测策略规则的策略阈值时,所述访问客体的被访问状态将被禁止,同时记录所述访问客体的被访问状态; 在预设的访问周期内,统计所述访问控制域内所发生的所有访问客体的被访问次数;其中,当所有访问客体的被访问次数大于或等于所确定的相应的DoS攻击检测策略规则的策略阈值时,根据访问主体的状态拒绝访问主体的访问请求或者限制访问主体的访问速率。`
【文档编号】H04L29/06GK103746987SQ201310751402
【公开日】2014年4月23日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】陈德彦, 张霞, 赵宏, 赵立军, 平安, 蒋理成 申请人:东软集团股份有限公司