CN105591832B - 应用层慢速攻击检测方法和相关装置 - Google Patents
应用层慢速攻击检测方法和相关装置 Download PDFInfo
- Publication number
- CN105591832B CN105591832B CN201410640483.1A CN201410640483A CN105591832B CN 105591832 B CN105591832 B CN 105591832B CN 201410640483 A CN201410640483 A CN 201410640483A CN 105591832 B CN105591832 B CN 105591832B
- Authority
- CN
- China
- Prior art keywords
- application layer
- internet protocol
- server
- protocol address
- gateway interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了应用层慢速攻击检测方法和相关装置。其中,一种应用层慢速攻击检测方法,包括:获取进入服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。本发明实施例的技术方案有利于期提高应用层慢速攻击告警准确度。
Description
技术领域
本发明涉及图像处理技术领域,具体涉及应用层慢速攻击检测方法和相关装置。
背景技术
目前,网络攻击经常出现,可以说是无处不在。互联网中隐匿着大量的黑客和各类计算机病毒。对于提供网络业务的一些服务器而言,当其受到网络攻击时往往就难以正常提供服务。
应用层慢速攻击是一种常见的网络攻击方式,这种攻击方式对服务器正常工作造成了较大的障碍,因此,如何能够慢速准确的检测出服务器当前是否遭受应用层慢速攻击变得很重要。
本发明的发明人在研究和实践过程中发现,现有的应用层慢速攻击检测算法一般是仅通过对超文本传送协议请求中的公共网关接口的统计结果来判断服务器当前是否遭受应用层慢速攻击,然而实践发现这种检测算法的误报率是相当高的。
发明内容
本发明实施例提供应用层慢速攻击检测方法和相关装置,以期提高应用层慢速攻击告警准确度。
本发明实施例的第一方面提供一种应用层慢速攻击检测方法,包括:
获取进入服务器的流量;
基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;
若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于1的正整数。
本发明第二方面提供一种应用层慢速攻击检测装置,包括:
获取单元,用于获取进入服务器的流量;
统计单元,用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;
攻击告警单元,用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于1的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
本发明第三方面提供一种通信***,包括:
服务器和检测装置;
所述检测装置用于,获取进入所述服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于1的正整数。
可以看出,本实施例应用层慢速攻击检测装置基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,降低错误告警率,可见上述技术方案有利于提高应用层慢速攻击告警准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种应用层慢速攻击检测方法的流程示意图;
图2是本发明实施例提供的另一种流量基线的更新方法的流程示意图;
图3-a是本发明实施例提供的另一种应用层慢速攻击检测方法的流程示意图;
图3-b是本发明实施例提供的一种通信***的架构示意图;
图3-c是本发明实施例提供的另一种通信***的架构示意图;
图3-d是本发明实施例提供的一种检测装置的模块架构示意图;
图4-a是本发明实施例提供的另一种应用层慢速攻击检测方法的流程示意图;
图4-b是本发明实施例提供的另一种通信***的架构示意图;
图5是本发明实施例提供的一种应用层慢速攻击检测装置的示意图;
图6是本发明实施例提供的另一种应用层慢速攻击检测装置的示意图;
图7是本发明实施例提供的一种通信***的示意图。
具体实施方式
本发明实施例提供应用层慢速攻击检测方法和相关装置,以期提高应用层慢速攻击告警准确度。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明应用层慢速攻击检测方法的一个实施例。其中,一种应用层慢速攻击检测方法可包括:获取进入服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议(IP,Internet Protocol)地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于1的正整数。
参见图1,图1为本发明的一个实施例提供的一种应用层慢速攻击检测方法的流程示意图。如图1所示,本发明的一个实施例提供的一种应用层慢速攻击检测方法可以包括:
101、获取进入服务器的流量。
其中,例如可通过旁路方式获取进入服务器的流量或者可通过截留方式获取进入服务器的流量。或者,也可以直接由服务器自身来获取进入该服务器的流量。
例如,在服务器与核心交换机互联的情况下,则可以获取通过核心交换进入服务器的流量。
102、基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量。
其中,所述传输层空链接例如可为所承载数据包的数量小于或者第四阈值的传输层链接。例如某个传输层链接只承载了极其少量的数据包(例如只承载了SYN包或包括SYN包在内的三五个数据包),则可将该传输层链接标记为传输层空链接。也就是说,第四阈值例如可等于1、2、3、4、5、6、8、10或其他值。
其中,上述预设时长例如可等于2分钟、3分钟、5分钟、6分钟、10分钟或其他时长。
103、若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警。
其中,第一阈值例如可等于20、50、100、150或其他值。
其中,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。所述K为大于或等于1的正整数。例如所述K等于1、2、3、4、6、21或其他值。
其中,所述公共网关接口标识j可为进入所述服务器的应用层数据包所携带的任意一个公共网关接口标识,或者所述公共网关接口标识j也可为进入所述服务器的应用层数据包所携带的某特定一个公共网关接口标识。
其中,当所述K大于或等于2,所述K个时段例如可为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
其中,所述K个时段的时长可相等或部分相等或互不相等。上述K个时段中的任意一个时段的时长例如可为1分钟、2分钟、3分钟、5分钟、10分钟或其他时长。
可以看出,本实施例检测装置基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警。由于告警一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
研究过程中发现,应用层慢速攻击经常是以占用连接为主要特点,因此参考传输层空连接的统计值有利于更准确的判定服务器是否遭受到了应用层慢速攻击。
可选的,在本发明一些可能的实施方式中,所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,包括:在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段x为所述K个时段之中的任意一个时段。
可以理解,由于在告警时还一并参考了进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量,实践证明,对源网际互联协议地址这一维度的进一步关注有利于进一步提高应用层慢速攻击告警准确度。
其中,第二阈值例如可等于20、51、100、125、150、500或其他值。
可选的,在本发明的一些可能的实施方式中,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他任意一个源网际互联协议地址的应用层数据包的数量。这也就是说,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,所述源网际互联协议地址k的应用层数据包的数量不少于携带其他任意一个源网际互联协议地址的应用层数据包的数量。
可选的,在本发明一些可能的实施方式中,所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址或任意一个源网际互联协议地址。
可选的,在本发明一些可能的实施方式中,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
其中,第三阈值例如可等于50、90、100、125、150、300、500、800或其他值。
又可选的,在本发明一些可能的实施方式中,时段x为所述K个时段之中的任意一个时段。所述预设阈值条件例如可包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段x具有映射关系的时段的应用层数据包的数量。
其中,若上述预设阈值条件中引入所述公共网关接口标识j对应的当前流量基线中的记录数量,那么就相当于引入了动态阈值,不同K个时段中的不同时段所对应的动态阈值可能不经相同,而且以当前流量基线中记录的相应时段的应用层数据包的数量作为动态阈值,有利于更准确的判定该时段是否可能出现应用层慢速攻击。
举例来说,假设流量基线的监控周期为1周,且单位时段长度为1天,与所述公共网关接口标识j对应的当前流量基线中可以记录了1周中的各日进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如,假设时段x为周一,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的周一的应用层数据包的数量。又具体例如,假设当前时段为周三,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的周三的应用层数据包的数量。
又例如,假设流量基线的监控周期为1天,且单位时段长度为1小时,则与所述公共网关接口标识j对应的流量基线中可以记录了1天中的0点至24点中各小时内进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,具体例如,假设时段x为9点至10点,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的9点至10点的应用层数据包的数量。又具体例如,假设时段x为13点至14点,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的13点至14点的应用层数据包的数量。
又例如,假设流量基线的监控周期为1天,且单位时段长度为1分钟,则与所述公共网关接口标识j对应的流量基线中可以记录了1天中的0点至24点中的每分钟进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如假设时段x为5点35分至36分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的5点35分至36分的应用层数据包的数量。又具体例如,假设时段x为15点58分至59分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的15点58分至59分的应用层数据包的数量,以此类推。
又例如假设流量基线的监控周期为1小时,且单位时段长度为1分钟,则与所述公共网关接口标识j对应的流量基线中可以记录了1小时中的每分钟进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如假设时段x为35分至36分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的35分至36分的应用层数据包的数量。又具体例如,假设时段x为58分至59分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的58分至59分的应用层数据包的数量,以此类推。
下面还举例一种流量基线的更新方法。
参见图2,图2为本发明的另一个实施例提供的另一种流量基线的更新方法的流程示意图。如图1所示,本发明的另一个实施例提供的另一种流量基线的更新方法可以包括:
201、计算当前时段进入服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量和第一参考时段的应用层数据包的数量的方差。其中,所述第一参考时段的应用层数据包的数量为当前流量基线中记录的与当前时段具有映射关系的参考时段的应用层数据包的数量。
若所述方差大于第一阈值或小于第二阈值,则执行步骤202。
若所述方差小于第一阈值且于第二阈值,则执行步骤203。
其中,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
其中,所述公共网关接口标识j可为进入所述服务器的应用层数据包所携带的任意一个公共网关接口标识,或者所述公共网关接口标识j也可为进入所述服务器的应用层数据包所携带的某特定一个公共网关接口标识。
202、利用最近N个监控周期中在与所述当前时段具有映射关系的N个历史时段进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,计算得到当前时段的第一期望数量,利用所述第一期望数量和所述N个历史时段中的N-1个历史时段的应用层数据包的数量,计算得到第一参考时段的第二期望数量,利用第二期望数量更新公共网关接口标识j对应的当前流量基线中记录的第一参考时段的应用层数据包的数量,所述N个历史时段可为最近N个监控周期中与当前时段序号相同的时段(例如当前时段为周1,所述N个历史时段为最近N周中的周1;又例如当前时段为周3,所述N个历史时段为最近N周中的周3,以此类推)。其中,所述N-1个历史时段与所述当前时段的时差,可小于所述N个历史时段中除所述N-1个历史时段之外的剩余时段与所述当前时段的时差(其中,例如所述N个历史时段为最近7周中的周1,则所述N-1个历史时段可为最近6周中的周1,又例如,假设所述N个历史时段为最近10周中的周1,则所述N-1个历史时段可为最近9周中的周1,以此类推)。
203、利用最近N-1个监控周期中在与所述当前时段具有映射关系的N-1个历史时段进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,以及所述当前时段进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,计算得到第一参考时段的第三期望数量,利用所述第三期望数量更新公共网关接口标识j对应的当前流量基线中记录的第一参考时段的应用层数据包的数量。
例如,假设公共网关接口标识j对应的流量基线的监控周期为1周,且单位时段长度为1天,所述公共网关接口标识j对应的当前流量基线中可以记录了1周中的各日的进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如,假设时段x为周一,则与时段x具有映射关系的参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的周一的应用层数据包的数量。又例如假设当前时段为周三,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的周三的应用层数据包的数量。
所述N为大于1的正整数。例如所述N可以等于2、3、4、7、6、10、21或其他值。
可以看出,上述流量基线更新方法是一种基于无监督学习方法的流量基线更新方法,通过对比当前时段流量与流量基线相应时段流量值,有利于尽量消除流量突增、锐减带来的影响,进而有利于进一步提高基于流量基线进行流量异常判决的灵活性。
为便于更好的理解和实施本发明实施例的上述技术方案,下面结合一些具体的应用场景进行进一步说明。
参见图3-a、图3-b和图3-c,图3-a为本发明的另一个实施例提供的一种应用层慢速攻击检测方法的流程示意图。图3-a所举例的方法可在图3-b或图3-c所示的网络架构中具体实施。如图3-a所示,本发明的另一个实施例提供的一种应用层慢速攻击检测方法可以包括:
301、检测装置通过旁路方式获取通过核心交换机进入服务器的流量。
其中,检测装置可直接与核心交换机链接,或者检测装置也可通过分光交换机与核心交换机链接。
302、检测装置基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量。
其中,所述传输层空链接例如可为所承载数据包的数量小于或者第四阈值的传输层链接。例如某个传输层链接只承载了极其少量的数据包(例如只承载了SYN包或包括SYN包在内的三五个数据包),则可将该传输层链接标记为传输层空链接。也就是说,第四阈值例如可等于1、2、3、4、5、6、8、10或其他值。
303、若统计出的所述传输层空链接的数量大于或等于第一阈值,检测装置统计K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。
检测装置统计K个时段中的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包中,携带有源网际互联协议地址k的应用层数据包的数量。所述时段x为所述K个时段之中的任意一个时段。
304、检测装置若统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合了预设阈值条件,并且在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或者等于第二阈值的情况下,可以针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警。
其中,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。所述K为大于或等于1的正整数。例如所述K等于1、2、3、4、6、21或其他值。
其中,当所述K大于或等于2,所述K个时段例如可为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
其中,所述K个时段的时长可相等或部分相等或互不相等。上述K个时段中的任意一个时段的时长例如可为1分钟、2分钟、3分钟、5分钟、10分钟或其他时长。
其中,第二阈值例如可等于20、51、100、125、150、500或其他值。
可选的,在本发明一些可能的实施方式中,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。
可选的,在本发明一些可能的实施方式中,所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址或任意一个源网际互联协议地址。
可选的,在本发明一些可能的实施方式中,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
其中,第三阈值例如可等于50、90、100、125、150、300、500、800或其他值。
又可选的,在本发明一些可能的实施方式中,时段x为所述K个时段之中的任意一个时段。所述预设阈值条件例如可包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段x具有映射关系的时段的应用层数据包的数量。
其中,若上述预设阈值条件中引入所述公共网关接口标识j对应的当前流量基线中的记录数量,那么就相当于引入了动态阈值,不同K个时段中的不同时段所对应的动态阈值可能不经相同,而且以当前流量基线中记录的相应时段的应用层数据包的数量作为动态阈值,有利于更准确的判定该时段是否可能出现应用层慢速攻击。
举例来说,假设流量基线的监控周期为1周,且单位时段长度为1天,与所述公共网关接口标识j对应的当前流量基线中可以记录了1周中的各日的进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如,假设时段x为周一,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的周一的应用层数据包的数量。又具体例如,假设当前时段为周三,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的周三的应用层数据包的数量。
又例如,假设流量基线的监控周期为1天,且单位时段长度为1小时,则与所述公共网关接口标识j对应的流量基线中可以记录了1天中的0点至24点中各小时的进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,具体例如,假设时段x为9点至10点,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的9点至10点的应用层数据包的数量。又具体例如,假设时段x为13点至14点,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的13点至14点的应用层数据包的数量。
又例如,假设流量基线的监控周期为1天,且单位时段长度为1分钟,则与所述公共网关接口标识j对应的流量基线中可以记录了1天中的0点至24点中的每分钟进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如假设时段x为5点35分至36分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的5点35分至36分的应用层数据包的数量。又具体例如,假设时段x为15点58分至59分,则参考时段x'的应用层数据包的数量可以为所述公共网关接口标识j对应的当前流量基线中记录的15点58分至59分的应用层数据包的数量,以此类推。
又例如假设流量基线的监控周期为1小时,且单位时段长度为1分钟,则与所述公共网关接口标识j对应的流量基线中可以记录了1小时中的每分钟进入所述服务器的流量中携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。具体例如假设时段x为35分至36分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的35分至36分的应用层数据包的数量。又具体例如,假设时段x为58分至59分,则参考时段x'的应用层数据包的数量为所述公共网关接口标识j对应的当前流量基线中记录的58分至59分的应用层数据包的数量,以此类推。
可以看出,本实施例检测装置基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
可以理解,由于在告警时还一并参考了进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量,实践证明,对源网际互联协议地址这一维度的进一步关注有利于进一步提高应用层慢速攻击告警准确度。
进一步的,参见图3-d,检测装置例如可具有图3-d所示内部模块架构,若干个四层模块用于统计传输层空连接的数量,若干个七层模块用于统计携带目的IP地址和不同公共网关接口标识的应用层数据包的数量,以及统计携带不同公共网关接口标识的应用层数据包中,携带不同源IP地址的应用层数据包的数量等等,汇总模块用于将各四层模块和七层模块的统计结果进行汇总,告警模块则用于更加汇总结构进行应用层慢速攻击的告警处理。
参见图4-a和图4-b,图4-a为本发明的另一个实施例提供的一种应用层慢速攻击检测方法的流程示意图。图4-a所举例的方法可在图4-b所示的网络架构中具体实施。如图4-a所示,本发明的另一个实施例提供的一种应用层慢速攻击检测方法可以包括:
401、服务器获取通过核心交换机进入服务器的流量。
也就是说,应用层慢速攻击检测装置部署于服务器之中。
402、服务器基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量。
其中,所述传输层空链接例如可为所承载数据包的数量小于或者第四阈值的传输层链接。例如某个传输层链接只承载了极其少量的数据包(例如只承载了SYN包或包括SYN包在内的三五个数据包),则可将该传输层链接标记为传输层空链接。也就是说,第四阈值例如可等于1、2、3、4、5、6、8、10或其他值。
403、若统计出的所述传输层空链接的数量大于或等于第一阈值,服务器统计K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量。
服务器统计K个时段中的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包中,携带有源网际互联协议地址k的应用层数据包的数量。所述时段x为所述K个时段之中的任意一个时段。
404、服务器若统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合了预设阈值条件,并且在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或者等于第二阈值的情况下,可以针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警。
其中,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。所述K为大于或等于1的正整数。例如所述K等于1、2、3、4、6、21或其他值。
其中,当所述K大于或等于2,所述K个时段例如可为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
其中,所述K个时段的时长可相等或部分相等或互不相等。上述K个时段中的任意一个时段的时长例如可为1分钟、2分钟、3分钟、5分钟、10分钟或其他时长。
其中,第二阈值例如可等于20、51、100、125、150、500或其他值。
可选的,在本发明一些可能的实施方式中,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。
可选的,在本发明一些可能的实施方式中,所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址或任意一个源网际互联协议地址。
可选的,在本发明一些可能的实施方式中,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
其中,第三阈值例如可等于50、90、100、125、150、300、500、800或其他值。
又可选的,在本发明一些可能的实施方式中,时段x为所述K个时段之中的任意一个时段。所述预设阈值条件例如可包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段x具有映射关系的时段的应用层数据包的数量。
其中,若上述预设阈值条件中引入所述公共网关接口标识j对应的当前流量基线中的记录数量,那么就相当于引入了动态阈值,不同K个时段中的不同时段所对应的动态阈值可能不经相同,而且以当前流量基线中记录的相应时段的应用层数据包的数量作为动态阈值,有利于更准确的判定该时段是否可能出现应用层慢速攻击。
可以看出,本实施例服务器基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
可以理解,由于在告警时还一并参考了进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量,实践证明,对源网际互联协议地址这一维度的进一步关注有利于进一步提高应用层慢速攻击告警准确度。
本发明实施例还提供一种应用层慢速攻击检测装置500,包括:
获取单元510,用于获取进入服务器的流量。
统计单元520,用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量。
攻击告警单元530,用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于1的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
可选的,在本发明一些可能的实施方式中,在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,攻击告警单元具体用于,在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段x为所述K个时段之中的任意一个时段。
可选的,在本发明一些可能的实施方式中,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。
或者,
所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。
可选的,在本发明一些可能的实施方式中,时段x为所述K个时段之中的任意一个时段;其中,
所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段x具有映射关系的时段的应用层数据包的数量;
或者,
所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
可选的,在本发明一些可能的实施方式中,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
可选的,在本发明一些可能的实施方式中,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
可以理解的是,本实施例的检测装置500的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例应用层慢速攻击检测装置500基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,并且,统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
参见图6,图6是本发明另一实施例提供的检测装置600的结构框图。
其中,检测装置600可以包括:至少1个处理器601,存储器605和至少1个通信总线602。通信总线602用于实现这些组件之间的连接通信。其中,该检测装置600可选的包含用户接口603,包括显示器(例如触摸屏、液晶显示器、全息成像(英文:Holographic)或者投影(英文:Projector)等)、点击设备(例如鼠标、轨迹球(英文:trackball)触感板或触摸屏等)、摄像头和/或拾音装置等。
其中,该检测装置600还可包括至少1个网络接口604。
其中,存储器605可以包括只读存储器和随机存取存储器,并向处理器601提供指令和数据。其中,存储器605中的一部分还可以包括非易失性随机存取存储器。
在一些实施方式中,存储器605存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
操作***6051,包含各种***程序,用于实现各种基础业务以及处理基于硬件的任务。
应用程序模块6052,包含各种应用程序,用于实现各种应用业务。
在本发明实施例中,通过调用存储器605存储的程序或指令,处理器601获取进入服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于1的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
可选的,在本发明一些可能的实施方式中,在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,处理器601具体用于,在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段x为所述K个时段之中的任意一个时段。
可选的,在本发明一些可能的实施方式中,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量;
或者,
所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址;
可选的,在本发明一些可能的实施方式中,时段x为所述K个时段之中的任意一个时段;其中,
所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段x具有映射关系的时段的应用层数据包的数量;
或者,
所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
可选的,在本发明一些可能的实施方式中,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
可选的,在本发明一些可能的实施方式中,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
可以理解的是,本实施例的检测装置600的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例检测装置600基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
参见图7,图7是本发明另一实施例提供的通信***的框图。
其中,通信***包括服务器710和检测装置720。
其中,检测装置720用于获取进入服务器710的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于1的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
可选的,在本发明一些可能的实施方式中,在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,检测装置720具体用于,在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段x为所述K个时段之中的任意一个时段。
可选的,在本发明一些可能的实施方式中,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量;
或者,
所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址;
可选的,在本发明一些可能的实施方式中,时段x为所述K个时段之中的任意一个时段;其中,
所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段x具有映射关系的时段的应用层数据包的数量;
或者,
所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
可选的,在本发明一些可能的实施方式中,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
可选的,在本发明一些可能的实施方式中,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
可以看出,本实施例检测装置720基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任何一种应用层慢速攻击检测方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (13)
1.一种应用层慢速攻击检测方法,其特征在于,包括:
获取进入服务器的流量;
基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;
若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于1的正整数;
时段x为所述K个时段之中的任意一个时段;其中,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段x'的应用层数据包的数量,其中,所述参考时段x'与所述时段x具有映射关系;或者,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
2.根据权利要求1所述的方法,其特征在于,所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,包括:在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段x为所述K个时段之中的任意一个时段。
3.根据权利要求2所述的方法,其特征在于,所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。
4.根据权利要求2所述的方法,其特征在于,
所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
7.一种应用层慢速攻击检测装置,其特征在于,包括:
获取单元,用于获取进入服务器的流量;
统计单元,用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;
攻击告警单元,用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于1的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址;
时段x为所述K个时段之中的任意一个时段;其中,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段x'的应用层数据包的数量,其中,所述参考时段x'与所述时段x具有映射关系;或者,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
8.根据权利要求7所述的装置,其特征在于,
在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,所述攻击告警单元具体用于,在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段x为所述K个时段之中的任意一个时段。
9.根据权利要求8所述的装置,其特征在于,
所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量;
或者,
所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。
10.根据权利要求7至9任一项所述的装置,其特征在于,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
11.根据权利要求7至9任一项所述的装置,其特征在于,所述传输层空链接为所承载数据包的数量小于或第四阈值的传输层链接。
12.一种通信***,其特征在于,包括:
服务器和检测装置;
所述检测装置用于,获取进入所述服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于1的正整数;时段x为所述K个时段之中的任意一个时段;其中,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段x'的应用层数据包的数量,其中,所述参考时段x'与所述时段x具有映射关系;或者,所述预设阈值条件包括:所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
13.一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序用于执行权利要求1-6任一项所述的应用层慢速攻击检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410640483.1A CN105591832B (zh) | 2014-11-13 | 2014-11-13 | 应用层慢速攻击检测方法和相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410640483.1A CN105591832B (zh) | 2014-11-13 | 2014-11-13 | 应用层慢速攻击检测方法和相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105591832A CN105591832A (zh) | 2016-05-18 |
CN105591832B true CN105591832B (zh) | 2019-12-10 |
Family
ID=55931089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410640483.1A Active CN105591832B (zh) | 2014-11-13 | 2014-11-13 | 应用层慢速攻击检测方法和相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105591832B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474570A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测慢速攻击的方法及*** |
CN108234516B (zh) * | 2018-01-26 | 2021-01-26 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
CN109150838A (zh) * | 2018-07-24 | 2019-01-04 | 湖南大学 | 一种针对慢速拒绝服务攻击的综合检测方法 |
CN110417624B (zh) * | 2019-08-30 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 请求的统计方法、装置及存储介质 |
CN116074083B (zh) * | 2023-01-28 | 2023-06-23 | 天翼云科技有限公司 | 慢速攻击识别方法、装置、电子设备及存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465760A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种检测拒绝服务攻击的方法和*** |
CN102523202B (zh) * | 2011-12-01 | 2014-10-08 | 华北电力大学 | 钓鱼网页的深度学习智能检测方法 |
CN102438025B (zh) * | 2012-01-10 | 2015-03-25 | 中山大学 | 一种基于Web代理的间接分布式拒绝服务攻击抵御方法及*** |
US8844019B2 (en) * | 2012-11-21 | 2014-09-23 | Check Point Software Technologies Ltd. | Penalty box for mitigation of denial-of-service attacks |
CN103179132B (zh) * | 2013-04-09 | 2016-03-02 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
-
2014
- 2014-11-13 CN CN201410640483.1A patent/CN105591832B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN105591832A (zh) | 2016-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110121876B (zh) | 用于通过使用行为分析检测恶意设备的***和方法 | |
US9565203B2 (en) | Systems and methods for detection of anomalous network behavior | |
CN105591832B (zh) | 应用层慢速攻击检测方法和相关装置 | |
CN109829310B (zh) | 相似攻击的防御方法及装置、***、存储介质、电子装置 | |
AU2017268608B2 (en) | Method, device, server and storage medium of detecting DoS/DDoS attack | |
CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
CN108965347B (zh) | 一种分布式拒绝服务攻击检测方法、装置及服务器 | |
EP3068095A2 (en) | Monitoring apparatus and method | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
CN111083157B (zh) | 报文过滤规则的处理方法和装置 | |
EP2854362B1 (en) | Software network behavior analysis and identification system | |
CN112738099B (zh) | 一种检测慢速攻击的方法、装置、存储介质和电子设备 | |
CN109561097B (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
CN105656848B (zh) | 应用层快速攻击检测方法和相关装置 | |
US10129277B1 (en) | Methods for detecting malicious network traffic and devices thereof | |
CN108737344A (zh) | 一种网络攻击防护方法和装置 | |
CN115296904B (zh) | 域名反射攻击检测方法及装置、电子设备、存储介质 | |
CN111478860A (zh) | 一种网络控制方法、装置、设备及机器可读存储介质 | |
WO2020157561A1 (en) | Port scan detection | |
US20120110665A1 (en) | Intrusion Detection Within a Distributed Processing System | |
TW201928747A (zh) | 伺服器及其監控方法 | |
CN110162969B (zh) | 一种流量的分析方法和装置 | |
WO2019123449A1 (en) | A system and method for analyzing network traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |