CN109474570A - 一种检测慢速攻击的方法及*** - Google Patents

一种检测慢速攻击的方法及*** Download PDF

Info

Publication number
CN109474570A
CN109474570A CN201711473589.7A CN201711473589A CN109474570A CN 109474570 A CN109474570 A CN 109474570A CN 201711473589 A CN201711473589 A CN 201711473589A CN 109474570 A CN109474570 A CN 109474570A
Authority
CN
China
Prior art keywords
slow speed
attack
interactive
interaction
hash table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201711473589.7A
Other languages
English (en)
Inventor
余磊
韩文奇
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ahtech Network Safe Technology Ltd
Original Assignee
Beijing Ahtech Network Safe Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ahtech Network Safe Technology Ltd filed Critical Beijing Ahtech Network Safe Technology Ltd
Priority to CN201711473589.7A priority Critical patent/CN109474570A/zh
Publication of CN109474570A publication Critical patent/CN109474570A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种检测慢速攻击的方法及***,包括:通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。本发明可在第一时间检出慢速攻击,并提供有效应对措施,有效降低由于攻击而造成的损失。

Description

一种检测慢速攻击的方法及***
技术领域
本发明涉及信息安全技术领域,尤其涉及一种检测慢速攻击的方法及***。
背景技术
慢速攻击属于DDoS攻击下CC攻击的一种,DDoS攻击凭借其严重的后果以及简单的操作,一直都是攻防中黑客所采用的重要攻击方式。随着DDoS攻击的演变,信息安全的防御也在同步升级。发展到今天,DDoS攻击已经多种多样。CC攻击的本名叫做HTTP-FLOOD,是一种专门针对于Web的应用层FLOOD攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量http request攻击,直到服务器带宽被打满,造成了拒绝服务。由于伪造的http请求和客户正常请求没有区别,对于没有流量清洗设备的用户来说,这无疑就是噩梦。而慢速攻击就是CC攻击的一个变种。
慢速攻击与通常的CC攻击方式不同,其以反其道而行之的方式即以慢著称,以至于攻击目标悄无声息,直到被攻击的主机突然死去。表面看上去他与普通的通信交互没太多区别,也因此导致维护人员很难发现这种攻击。且目前缺少对慢速攻击进行有效检测的技术手段。
发明内容
针对上述现有技术中存在的问题,本发明提出了一种检测慢速攻击的方法及***,具体发明内容包括:
一种检测慢速攻击的方法,包括:
通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;
实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;
根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。
进一步地,所述基础特征包括:交互连接的平均时长、平均资源占用情况、平均发送字节数、平均每次交互发送的包数、平均每次交互请求的IP总数。
进一步地,所述异常交互,包括:请求连接时长大于交互连接的平均时长的规定倍数;交互过程中以固定形式发送数据,且时间间隔大于规定值;交互过程中占用资源大于平局资源占用的规定倍数。
进一步地,所述判断环境中是否存在慢速攻击,具体为:若某次交互中同时具备所有的所述异常交互情况,则判断此次交互中对同一IP的请求次数是否大于规定阈值,若是则环境中存在慢速攻击,否则继续对交互情况进行监控。
进一步地,若环境中存在慢速攻击,则从哈希表中取出对应交互信息,形成攻击日志并上报,并发出报警信号。
进一步地,根据每次的监控判断结果,动态更新哈希表数据,并根据攻击行为匹配将攻击进行分类。
一种检测慢速攻击的***,包括:
统计模块,用于通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;
监控模块,用于实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;
判定模块,用于根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。
进一步地,所述基础特征包括:交互连接的平均时长、平均资源占用情况、平均发送字节数、平均每次交互发送的包数、平均每次交互请求的IP总数。
进一步地,所述异常交互,包括:请求连接时长大于交互连接的平均时长的规定倍数;交互过程中以固定形式发送数据,且时间间隔大于规定值;交互过程中占用资源大于平局资源占用的规定倍数。
进一步地,所述判断环境中是否存在慢速攻击,具体为:若某次交互中同时具备所有的所述异常交互情况,则判断此次交互中对同一IP的请求次数是否大于规定阈值,若是则环境中存在慢速攻击,否则继续对交互情况进行监控。
进一步地,还包括报警模块,用于:若环境中存在慢速攻击,则从哈希表中取出对应交互信息,形成攻击日志并上报,并发出报警信号。
进一步地,根据每次的监控判断结果,动态更新哈希表数据,并根据攻击行为匹配将攻击进行分类。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的检测方法。
一种计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行所述的检测方法。
本发明的有益效果是:
本发明可在第一时间检出慢速攻击,并提供有效应对措施,有效降低由于攻击而造成的损失;本发明可根据目前的攻击方式匹配所有慢速攻击,也能利用攻击行为数据分析的方式学习攻击行为,并实时更新检测阈值,提高检测的准确性,并能灵活的增加和修改攻击特征匹配方式。有效的解决已有实现方案中攻击行为匹配针对性太强,不能自学习攻击行为,也不能有效的管理攻击行为等缺点。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种检测慢速攻击的方法流程图;
图2为本发明一种检测慢速攻击的***结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种检测慢速攻击的方法实施例,如图1所示,包括:
S101:通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;
S102:实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;
S103:根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。
优选地,所述基础特征包括:交互连接的平均时长、平均资源占用情况、平均发送字节数、平均每次交互发送的包数、平均每次交互请求的IP总数。
优选地,所述异常交互,包括:请求连接时长大于交互连接的平均时长的规定倍数,例如3倍以上;交互过程中以固定形式发送数据,且时间间隔大于规定值,例如10秒;交互过程中占用资源大于平局资源占用的规定倍数,例如3倍以上。
优选地,所述判断环境中是否存在慢速攻击,具体为:若某次交互中同时具备所有的所述异常交互情况,则判断此次交互中对同一IP的请求次数是否大于规定阈值,如占比大于总请求IP数的1/20,若是则环境中存在慢速攻击,否则继续对交互情况进行监控。
优选地,若环境中存在慢速攻击,则从哈希表中取出对应交互信息,形成攻击日志并上报,并发出报警信号。
优选地,根据每次的监控判断结果,动态更新哈希表数据,并根据攻击行为匹配将攻击进行分类;若慢速攻击出现新的行为时,可将指定的行为写入哈希表,形成新的行为匹配统计;若再次匹配到相似攻击,记录信息并重新进行统计计算,提高检测的准确性。
本发明还给出了一种检测慢速攻击的***实施例,如图2所示,包括:
统计模块201,用于通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;
监控模块202,用于实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;
判定模块203,用于根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。
优选地,所述基础特征包括:交互连接的平均时长、平均资源占用情况、平均发送字节数、平均每次交互发送的包数、平均每次交互请求的IP总数。
优选地,所述异常交互,包括:请求连接时长大于交互连接的平均时长的规定倍数;交互过程中以固定形式发送数据,且时间间隔大于规定值;交互过程中占用资源大于平局资源占用的规定倍数。
优选地,所述判断环境中是否存在慢速攻击,具体为:若某次交互中同时具备所有的所述异常交互情况,则判断此次交互中对同一IP的请求次数是否大于规定阈值,若是则环境中存在慢速攻击,否则继续对交互情况进行监控。
优选地,还包括报警模块,用于:若环境中存在慢速攻击,则从哈希表中取出对应交互信息,形成攻击日志并上报,并发出报警信号。
优选地,根据每次的监控判断结果,动态更新哈希表数据,并根据攻击行为匹配将攻击进行分类。
另,本发明给出了一种实施例的计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现上述实施例中的检测方法;同时还可能包括用于存储器和处理器通信的通信接口;所述存储器可能包含RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器;所述处理器可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路;所述存储器、处理器可以独立部署,也可以集成在一块芯片上。
为了实现上述实施例,本发明还给出了一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中的检测方法。
1.本说明书中方法的实施例采用递进的方式描述,对于***的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出了一种检测慢速攻击的方法及***,包括:通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。本发明可在第一时间检出慢速攻击,并提供有效应对措施,有效降低由于攻击而造成的损失;本发明可根据目前的攻击方式匹配所有慢速攻击,也能利用攻击行为数据分析的方式学习攻击行为,并实时更新检测阈值,提高检测的准确性,并能灵活的增加和修改攻击特征匹配方式。有效的解决已有实现方案中攻击行为匹配针对性太强,不能自学习攻击行为,也不能有效的管理攻击行为等缺点。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (7)

1.一种检测慢速攻击的方法,其特征在于,包括:
通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;
实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;
根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。
2.如权利要求1所述的方法,其特征在于,所述基础特征包括:交互连接的平均时长、平均资源占用情况、平均发送字节数、平均每次交互发送的包数、平均每次交互请求的IP总数。
3.如权利要求2所述的方法,其特征在于,所述异常交互,包括:请求连接时长大于交互连接的平均时长的规定倍数;交互过程中以固定形式发送数据,且时间间隔大于规定值;交互过程中占用资源大于平局资源占用的规定倍数。
4.如权利要求3所述的方法,其特征在于,所述判断环境中是否存在慢速攻击,具体为:若某次交互中同时具备所有的所述异常交互情况,则判断此次交互中对同一IP的请求次数是否大于规定阈值,若是则环境中存在慢速攻击,否则继续对交互情况进行监控。
5.如权利要求4所述的方法,其特征在于,若环境中存在慢速攻击,则从哈希表中取出对应交互信息,形成攻击日志并上报,并发出报警信号。
6.如权利要求4或5所述的方法,其特征在于,根据每次的监控判断结果,动态更新哈希表数据,并根据攻击行为匹配将攻击进行分类。
7.一种检测慢速攻击的***,其特征在于,包括:
统计模块,用于通过智能学习过程统计客户端与服务端的数据交互情况,形成基础特征,并存入哈希表;
监控模块,用于实时监控客户端与服务端的数据交互情况,当发现异常交互时,获取交互信息,并存入哈希表;
判定模块,用于根据异常交互的具体交互情况,判断环境中是否存在慢速攻击。
CN201711473589.7A 2017-12-29 2017-12-29 一种检测慢速攻击的方法及*** Withdrawn CN109474570A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711473589.7A CN109474570A (zh) 2017-12-29 2017-12-29 一种检测慢速攻击的方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711473589.7A CN109474570A (zh) 2017-12-29 2017-12-29 一种检测慢速攻击的方法及***

Publications (1)

Publication Number Publication Date
CN109474570A true CN109474570A (zh) 2019-03-15

Family

ID=65658036

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711473589.7A Withdrawn CN109474570A (zh) 2017-12-29 2017-12-29 一种检测慢速攻击的方法及***

Country Status (1)

Country Link
CN (1) CN109474570A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101557394A (zh) * 2009-04-10 2009-10-14 无锡智高志科技有限公司 一种蜜网主动防御***中的数据控制方法
CN105553974A (zh) * 2015-12-14 2016-05-04 中国电子信息产业集团有限公司第六研究所 一种http慢速攻击的防范方法
CN105591832A (zh) * 2014-11-13 2016-05-18 腾讯数码(天津)有限公司 应用层慢速攻击检测方法和相关装置
US20170324757A1 (en) * 2016-05-04 2017-11-09 University Of North Carolina At Charlotte Multiple detector methods and systems for defeating low and slow application ddos attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101557394A (zh) * 2009-04-10 2009-10-14 无锡智高志科技有限公司 一种蜜网主动防御***中的数据控制方法
CN105591832A (zh) * 2014-11-13 2016-05-18 腾讯数码(天津)有限公司 应用层慢速攻击检测方法和相关装置
CN105553974A (zh) * 2015-12-14 2016-05-04 中国电子信息产业集团有限公司第六研究所 一种http慢速攻击的防范方法
US20170324757A1 (en) * 2016-05-04 2017-11-09 University Of North Carolina At Charlotte Multiple detector methods and systems for defeating low and slow application ddos attacks

Similar Documents

Publication Publication Date Title
CN106411934B (zh) DoS/DDoS攻击检测方法和装置
CN104519032B (zh) 一种互联网账号的安全策略及***
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
EP3068095A2 (en) Monitoring apparatus and method
CN107682345B (zh) Ip地址的检测方法、检测装置及电子设备
CN107623685B (zh) 快速检测SYN Flood攻击的方法及装置
EP3108399A1 (en) Scoring for threat observables
EP3085023B1 (en) Communications security
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
Cao et al. Entropy‐based denial‐of‐service attack detection in cloud data center
CN104360924A (zh) 一种在云数据中心环境下对虚拟机进行监控等级划分的方法
CN107040405B (zh) 网络环境下被动式多维度主机指纹模型构建方法及其装置
CN113518057A (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
CN112019533A (zh) 一种缓解CDN***被DDoS攻击的方法及***
CN110944016A (zh) DDoS攻击检测方法、装置、网络设备及存储介质
CN110519266B (zh) 一种基于统计学方法的cc攻击检测的方法
CN109246157B (zh) 一种http慢速请求dos攻击的关联检测方法
CN109474570A (zh) 一种检测慢速攻击的方法及***
CN114172707B (zh) Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN109862016A (zh) 一种针对云计算自动扩容Yo-Yo攻击的对抗方法
CN112688970B (zh) 一种基于可编程芯片的大流量DDoS攻击检测方法及***
CN112560085B (zh) 业务预测模型的隐私保护方法及装置
US11444966B2 (en) Automatic detection of network strain using response time metrics
JP2022191649A (ja) サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム
CN110162969B (zh) 一种流量的分析方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20190315