本發明涉及檢測Slow HTTP POST攻擊技術領域，且公開了一種面向Slow HTTP POST攻擊的數據包檢測系統，包括：運行在Web服務器上的數據包檢測系統軟件，該軟件由數據包預處理模塊、檢測模型訓練模塊、攻擊檢測模塊組成；數據包預處理模塊對數據包屬性狀態向量中元素的樣本值進行無量綱的標準化處理；檢測模型訓練模塊對正常用戶訪問Web服務器時所發送數據包的數據樣本進行模型訓練，得到正常訪問下的數據包行為模型；攻擊檢測模塊先對明顯不可能是Slow HTTP POST攻擊的數據包進行過濾，再將待檢測數據包與訓練模型進行比較并進行閾值分析，當結果與模型產生偏離并且次數超過設定的閾值時，表示待檢測數據包為攻擊數據包。本發明解決了如何針對Slow HTTP POST攻擊進行有效檢測的問題。

技術領域

本發明涉及檢測Slow HTTP POST攻擊技術領域，具體為一種面向Slow HTTP POST攻擊的數據包檢測系統。

背景技術

Slow HTTP POST攻擊是一種新型的應用層慢速HTTP拒絕服務攻擊的一種子類型，其主要利用了HTTP協議持久連接以及HTTP POST請求需等待客戶端傳送完畢數據的特性，在向服務器發送HTTP POST請求報文時，在首部中設置了極大的內容長度值(Content-Length)。然而之后客戶端在進行實際的數據傳輸時，卻在傳輸主體中設置了極小的數據傳輸大小，并緩慢地發送至服務器，導致Web服務器認為請求數據沒有傳輸完畢，繼續保持當前請求連接。在攻擊端向Web服務器發送多個這樣的攻擊請求之后，Web服務器的連接資源池將會被占滿，造成服務器拒絕服務。

Slow HTTP POST攻擊僅使用少量攻擊流量，現有失衡比例流量檢測法難以對其進行探測；在傳入的數據包分組上做簽名的方法只適用于攻擊請求中的數據包分組與正常合法請求中的數據包分組有區別的情況，不適用于發送與合法請求數據分組結構一致的攻擊請求的Slow HTTP POST攻擊；而采用最大熵估計法檢測網絡流量異常誤報率高。

發明內容

(一)解決的技術問題

針對現有技術的不足，本發明提供一種面向Slow HTTP POST攻擊的數據包檢測系統，以解決如何針對Slow HTTP POST攻擊進行有效檢測的技術問題。

(二)技術方案

為實現上述目的，本發明提供如下技術方案：

一種面向Slow HTTP POST攻擊的數據包檢測系統，包括：安裝并運行在Web服務器上的數據包檢測系統軟件，該數據包檢測系統由數據包預處理模塊、檢測模型訓練模塊、以及攻擊檢測模塊組成；

其中，數據包預處理模塊用于對用戶訪問Web服務器時所發送的數據包進行屬性提取，并且對數據包屬性狀態向量中的元素的樣本值進行無量綱的標準化處理；

檢測模型訓練模塊使用具有快速收斂特性的K-means聚類對正常用戶訪問Web服務器時所發送數據包的數據樣本進行模型訓練，得到正常訪問下的數據包行為模型；

攻擊檢測模塊包括粗粒度檢測子模塊和細粒度檢測子模塊，粗粒度檢測子模塊對明顯不可能是Slow HTTP POST攻擊的數據包進行過濾，細粒度檢測子模塊通過聚類分析將待檢測數據包與訓練模型進行比較并進行閾值分析，當結果與模型產生偏離并且次數超過設定的閾值時，表示待檢測數據包為攻擊數據包。

進一步的，所述數據包預處理模塊采集正常用戶訪問Web服務器時所發送的數據包，提取出數據包的三個基本屬性，將三個基本屬性組成數據包屬性狀態集，統計各屬性對應的值得到數據包屬性狀態向量，對數據包屬性狀態向量中的元素的樣本值進行無量綱的標準化處理。

進一步的，所述數據包的三個基本屬性具體為：Web服務器發往客戶端方向的平均報文長度Ls、客戶端發往Web服務器方向的平均報文長度Lc、到達Web服務器報文的平均時間間隔Δt。