CN114221813B - Http慢速攻击的检测方法、***、设备及存储介质 - Google Patents
Http慢速攻击的检测方法、***、设备及存储介质 Download PDFInfo
- Publication number
- CN114221813B CN114221813B CN202111540537.3A CN202111540537A CN114221813B CN 114221813 B CN114221813 B CN 114221813B CN 202111540537 A CN202111540537 A CN 202111540537A CN 114221813 B CN114221813 B CN 114221813B
- Authority
- CN
- China
- Prior art keywords
- data
- ratio
- server
- session
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 34
- 230000002159 abnormal effect Effects 0.000 claims abstract description 31
- 238000013145 classification model Methods 0.000 claims abstract description 10
- 239000000284 extract Substances 0.000 claims description 5
- 230000001934 delay Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000013075 data extraction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种HTTP慢速攻击的检测方法、***、设备及存储介质,所述方法包括步骤:服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据;所述网络流量数据包含有至少一第一数据包和至少一session会话;所述服务器或网关设备提取关于所述第一数据包的第一特征数据;所述服务器或网关设备基于所述第一特征数据,判断所述网络流量数据是否为异常流量;若是异常流量,服务器或网关设备获取关于所述session会话的第二特征数据,并将所述第二特征数据作为训练过的预设分类模型的输入,得到分类结果;本申请解决了现有检测方法耗时长,误报率高的问题,提高了HTTP慢速攻击的检测效率以及准确率。
Description
技术领域
本发明涉及网络安全技术领域,具体地说,涉及一种HTTP慢速攻击的检测方法、***、设备及存储介质。
背景技术
HTTP慢速攻击也叫slow http attack,是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求,就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。
相比于传统的DoS攻击,HTTP慢速攻击消耗带宽小,攻击效率高,攻击成本低,隐蔽性强,可以绕过大多数传统的DoS检测***。一台普通计算机可以以单线程的方式建立的Socket连接在3000个以上,HTTP协议在收到request前无法对请求内容作校验,攻击流量与真实数据流特征类似,很难防范。所以,如何有效快速识别HTTP慢速攻击,是面前的一个问题。
发明内容
针对现有技术中的问题,本发明的目的在于提供一种HTTP慢速攻击的检测方法、***、设备及存储介质,解决现有检测方法耗时长,误报率高的问题。
为实现上述目的,本发明提供了一种HTTP慢速攻击的检测方法,所述方法包括以下步骤:
服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据;所述网络流量数据包含有至少一第一数据包和至少一session会话;所述网关设备分别连接服务器以及客户端;
所述服务器或网关设备提取关于所述第一数据包的第一特征数据;
所述服务器或网关设备基于所述第一特征数据,判断所述网络流量数据是否为异常流量;
若是异常流量,服务器或网关设备获取关于所述session会话的第二特征数据,并将所述第二特征数据作为训练过的预设分类模型的输入,得到分类结果。
可选地,所述第一特征数据包含所述第一数据包的HTTP报文中的正文内容长度、有效载荷长度、IP地址字段的数量和协议类型字段的数量。
可选地,所述方法包括:
所述服务器或网关设备基于第一比值和第二比值,判断所述网络流量数据是否为异常流量;所述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值;所述第二比值为IP地址字段的数量和协议类型字段的数量的比值;
当所述第一比值大于第一预设阈值,或者所述第二比值大于第二预设阈值时,判定所述网络流量数据为异常流量。
可选地,所述session会话中包含有多个第二数据包;
所述第二特征数据包括关联所述session会话的第三比值,所述第三比值为所述session会话中所有第二数据包对应的第二平均延时,与所述预设时间窗口内所有第一数据包对应的第一平均延时之间的比值。
可选地,所述第一平均延时的计算公式为:
其中,T1表示第一平均延时,k表示所述预设时间窗口内第一数据包的数量,ti所述预设时间窗口内第i个所述第一数据包的到达时间。
可选地,所述session会话中包含有多个第二数据包;
所述第二特征数据包括关联所述session会话的第四比值,所述第四比值为所述session会话中所有第二数据包对应的第二总长度,与所述预设时间窗口内所有第一数据包对应的第一总长度之间的比值。
可选地,所述第二特征数据包括所述网络流量数据中所有session会话的持续时间的和。
可选地,所述第二特征数据包括所述网络流量数据中所有session会话的平均连接速率。
可选地,所述第二特征数据包括所述第一比值。
本发明还提供了一种HTTP慢速攻击的检测***,用于实现上述HTTP慢速攻击的检测方法,所述***包括:
网络流量数据获取模块,服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据;所述网络流量数据包含有至少一第一数据包和至少一session会话;
第一特征数据提取模块,所述服务器或网关设备提取关于所述第一数据包的第一特征数据;
异常流量判断模块,所述服务器或网关设备基于所述第一特征数据,判断所述网络流量数据是否为异常流量;
检测分类模块,若是异常流量,服务器或网关设备获取关于所述session会话的第二特征数据,并将所述第二特征数据作为训练过的预设分类模型的输入,得到分类结果。
本发明还提供了一种HTTP慢速攻击的检测设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行上述任意一项HTTP慢速攻击的检测方法的步骤。
本发明还提供了一种计算机可读存储介质,用于存储程序,所述程序被处理器执行时实现上述任意一项HTTP慢速攻击的检测方法的步骤。
本发明与现有技术相比,具有以下优点及突出性效果:
本发明提供的HTTP慢速攻击的检测方法、***、设备及存储介质在基于数据包的特征数据判定网络流量数据为异常流量后,再基于session会话的特征数据基于异常流量识别是否存在HTTP慢速攻击或者该攻击的类别,因为数据包流量比较隐蔽,因此本申请区别于现有技术直接使用HTTP数据包流量作为模型的输入,进行分类,解决了现有检测方法耗时长,误报率高的问题,提高了HTTP慢速攻击的检测效率以及准确率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1为本发明一实施例公开的一种HTTP慢速攻击的检测方法的示意图;
图2为本发明另一实施例公开的一种HTTP慢速攻击的检测方法的示意图;
图3为本发明一实施例公开的一种HTTP慢速攻击的检测***的结构示意图;
图4为本发明另一实施例公开的一种HTTP慢速攻击的检测***的结构示意图;
图5为本发明一实施例公开的一种HTTP慢速攻击的检测设备的结构示意图;
图6为本发明一实施例公开的一种计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
HTTP慢速攻击具有三种攻击方式:Slow headers(也称slowloris)、Slow body(也称Slow HTTP POST)以及Slow read(也称Slow Read attack)。
Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,Web服务器再没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续等待客户端发送数据,消耗服务器的连接和内存资源。
Slow body:攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大,使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。
Slow read:客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。
如图1所示,本发明一实施例公开了一种HTTP慢速攻击的检测方法,本实施例公开的检测方法可以由服务器负责执行,也可以由网关设备进行执行。该方法包括以下步骤:
S110,服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据。上述网络流量数据包含有至少一第一数据包和至少一session会话。所述网关设备分别连接服务器以及客户端。该网关设备可以用于转发处理客户端与服务器之间的网络流量。
S120,上述服务器或网关设备提取关于上述第一数据包的第一特征数据。也即,基于上述网络流量数据,提取第一数据包的第一特征数据。
上述第一特征数据包含上述第一数据包的HTTP报文中正文内容的长度(即Content-Length)、有效载荷(即Payload)长度、IP地址字段的数量和协议类型字段(即Protocol字段)的数量。上述IP地址字段的数量包含但不限于所有源ip地址和目的ip地址的数量。
本实施例中,上述第一特征数据还包含源ip地址、目的ip地址、第一数据包的长度、目的端口以及每个第一数据包的到达时间。
S130,上述服务器或网关设备基于上述第一特征数据,判断上述网络流量数据是否为异常流量。具体而言,如图2所示,在本申请的一实施例中,该步骤S130可以为:
上述服务器或网关设备基于第一比值和第二比值,判断上述网络流量数据是否为异常流量。其中,第一比值和第二比值是基于第一特征数据计算得到。上述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值。上述第二比值为IP地址字段的数量和协议类型字段的数量的比值。协议类型字段的数量也即为HTTP请求的数量。
当上述第一比值大于第一预设阈值,或者上述第二比值大于第二预设阈值时,服务器或网关设备判定上述网络流量数据为异常流量。否则,上述网络流量数据就不是异常流量。
示例性地,第一预设阈值和第二预设阈值都可以为0.7,本申请不以此为限。
若是异常流量,则执行步骤S140:服务器或网关设备基于上述网络流量数据,获取关于上述session会话的第二特征数据,并将上述第二特征数据作为训练过的预设分类模型的输入,得到分类结果。若上述网络流量数据不是异常流量,则执行步骤S150:结束流程。
上述分类结果用于表征是否存在HTTP慢速攻击,以及当存在HTTP慢速攻击时对应的攻击类别。该攻击类别为Slow headers、Slow body或者Slow read。
本实施例中,每一个session会话中包含有多个第二数据包。
上述第二特征数据包括关联上述session会话的第三比值。上述第三比值为上述session会话中所有第二数据包对应的第二平均延时与上述预设时间窗口内所有第一数据包对应的第一平均延时之间的比值。
上述第一平均延时的计算公式为:
其中,T1表示第一平均延时,k表示上述预设时间窗口内第一数据包的数量,ti上述预设时间窗口内的第i个第一数据包的到达时间。第二平均延时为session会话中所有第二数据包对应的到达时间的平均值。上述网络流量数据中包含有所有第二数据包对应的到达时间。
本实施例中,上述第二特征数据包括关联上述session会话的第四比值。上述第四比值为上述session会话中所有第二数据包对应的第二总长度与上述预设时间窗口内所有第一数据包对应的第一总长度之间的比值。
在本申请的另一实施例中,上述第二特征数据还可以包括上述网络流量数据中所有session会话的持续时间的和、以及上述网络流量数据中所有session会话的平均连接速率。
在本申请的另一实施例中,上述第二特征数据还可以包括上述第一比值、上述session会话中所有第二数据包对应的第二总长度以及上述session会话中所有第二数据包对应的第二平均延时。
本实施例中,上述预设分类模型以及模型的训练过程可以采用现有技术实现,预设分类模型比如可以采用现有的神经网络分类模型。
需要说明的是,本申请中公开的上述所有实施例可以进行自由组合,组合后得到的技术方案也在本申请的保护范围之内。
如图3所示,本发明一实施例还公开了一种HTTP慢速攻击的检测***3,该检测***可以设置于服务器或者网关设备处。网关设备分别连接服务器以及客户端。该***包括:
网络流量数据获取模块31,服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据;上述网络流量数据包含有至少一第一数据包和至少一session会话;
第一特征数据提取模块32,上述服务器或网关设备提取关于上述第一数据包的第一特征数据;
异常流量判断模块33,上述服务器或网关设备基于上述第一特征数据,判断上述网络流量数据是否为异常流量;
检测分类模块34,若是异常流量,服务器或网关设备获取关于上述session会话的第二特征数据,并将上述第二特征数据作为训练过的预设分类模型的输入,得到分类结果。
可以理解的是,本发明的HTTP慢速攻击的检测***还包括其他支持HTTP慢速攻击的检测***运行的现有功能模块。图3显示的HTTP慢速攻击的检测***仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本实施例中的HTTP慢速攻击的检测***用于实现上述的HTTP慢速攻击的检测的方法,因此对于HTTP慢速攻击的检测***的具体实施步骤可以参照上述对HTTP慢速攻击的检测的方法的描述,此处不再赘述。
如图4所示,本发明一实施例还公开了一种HTTP慢速攻击的检测***4,该***在包含上述网络流量数据获取模块31、第一特征数据提取模块32以及检测分类模块34的基础上,还包含:
第二判断模块43,上述服务器基于第一比值和第二比值,判断上述网络流量数据是否为异常流量。上述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值。上述第二比值为IP地址字段的数量和协议类型字段的数量的比值。当上述第一比值大于第一预设阈值,或者上述第二比值大于第二预设阈值时,判定上述网络流量数据为异常流量。
本发明一实施例还公开了一种HTTP慢速攻击的检测设备,包括处理器和存储器,其中存储器存储有所述处理器的可执行程序;处理器配置为经由执行可执行程序来执行上述HTTP慢速攻击的检测方法中的步骤。图5是本发明公开的HTTP慢速攻击的检测设备的结构示意图。下面参照图5来描述根据本发明的这种实施方式的电子设备600。图5显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述HTTP慢速攻击的检测方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储平台等。
本发明还公开了一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述HTTP慢速攻击的检测方法中的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述HTTP慢速攻击的检测方法中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的计算机可读存储介质的程序在执行时,在基于数据包的特征数据判定网络流量数据为异常流量后,再基于session会话的特征数据基于异常流量识别是否存在HTTP慢速攻击或者该攻击的类别,因为数据包流量比较隐蔽,因此本申请区别于现有技术直接使用HTTP数据包流量作为模型的输入,进行分类,解决了现有检测方法耗时长,误报率高的问题,提高了HTTP慢速攻击的检测效率以及准确率。
图6是本发明的计算机可读存储介质的结构示意图。参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例提供的HTTP慢速攻击的检测方法、***、设备及存储介质在基于数据包的特征数据判定网络流量数据为异常流量后,再基于session会话的特征数据基于异常流量识别是否存在HTTP慢速攻击或者该攻击的类别,因为数据包流量比较隐蔽,因此本申请区别于现有技术直接使用HTTP数据包流量作为模型的输入,进行分类,解决了现有检测方法耗时长,误报率高的问题,提高了HTTP慢速攻击的检测效率以及准确率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种HTTP慢速攻击的检测方法,其特征在于,包括以下步骤:
服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据;所述网络流量数据包含有至少一第一数据包和至少一session会话;所述网关设备分别连接服务器以及客户端;
所述服务器或网关设备提取关于所述第一数据包的第一特征数据,所述第一特征数据包含所述第一数据包的HTTP报文中的正文内容长度、有效载荷长度、IP地址字段的数量和协议类型字段的数量;
所述服务器或网关设备基于第一比值和第二比值,判断所述网络流量数据是否为异常流量;所述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值;所述第二比值为IP地址字段的数量和协议类型字段的数量的比值;当所述第一比值大于第一预设阈值,或者所述第二比值大于第二预设阈值时,判定所述网络流量数据为异常流量;
若是异常流量,服务器或网关设备获取关于所述session会话的第二特征数据,并将所述第二特征数据作为训练过的预设分类模型的输入,得到分类结果。
2.如权利要求1所述的HTTP慢速攻击的检测方法,其特征在于,所述session会话中包含有多个第二数据包;
所述第二特征数据包括关联所述session会话的第三比值,所述第三比值为所述session会话中所有第二数据包对应的第二平均延时,与所述预设时间窗口内所有第一数据包对应的第一平均延时之间的比值。
3.如权利要求2所述的HTTP慢速攻击的检测方法,其特征在于,所述第一平均延时的计算公式为:
其中,T1表示第一平均延时,k表示所述预设时间窗口内第一数据包的数量,ti所述预设时间窗口内第i个所述第一数据包的到达时间。
4.如权利要求1所述的HTTP慢速攻击的检测方法,其特征在于,所述session会话中包含有多个第二数据包;
所述第二特征数据包括关联所述session会话的第四比值,所述第四比值为所述session会话中所有第二数据包对应的第二总长度,与所述预设时间窗口内所有第一数据包对应的第一总长度之间的比值。
5.如权利要求1所述的HTTP慢速攻击的检测方法,其特征在于,所述第二特征数据包括所述网络流量数据中所有session会话的持续时间的和。
6.如权利要求1所述的HTTP慢速攻击的检测方法,其特征在于,所述第二特征数据包括所述网络流量数据中所有session会话的平均连接速率。
7.如权利要求1所述的HTTP慢速攻击的检测方法,其特征在于,所述第二特征数据包括所述第一比值。
8.一种HTTP慢速攻击的检测***,其特征在于,所述***包括:
网络流量数据获取模块,服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据;所述网络流量数据包含有至少一第一数据包和至少一session会话,所述网关设备分别连接服务器以及客户端;
第一特征数据提取模块,所述服务器或网关设备提取关于所述第一数据包的第一特征数据,所述第一特征数据包含所述第一数据包的HTTP报文中的正文内容长度、有效载荷长度、IP地址字段的数量和协议类型字段的数量;
第二判断模块,所述服务器或网关设备基于第一比值和第二比值,判断所述网络流量数据是否为异常流量;所述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值;所述第二比值为IP地址字段的数量和协议类型字段的数量的比值;当所述第一比值大于第一预设阈值,或者所述第二比值大于第二预设阈值时,判定所述网络流量数据为异常流量;
检测分类模块,若是异常流量,服务器或网关设备获取关于所述session会话的第二特征数据,并将所述第二特征数据作为训练过的预设分类模型的输入,得到分类结果。
9.一种HTTP慢速攻击的检测设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行程序;
其中,所述处理器配置为经由执行所述可执行程序来执行权利要求1至7中任意一项所述HTTP慢速攻击的检测方法的步骤。
10.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任意一项所述HTTP慢速攻击的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111540537.3A CN114221813B (zh) | 2021-12-16 | 2021-12-16 | Http慢速攻击的检测方法、***、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111540537.3A CN114221813B (zh) | 2021-12-16 | 2021-12-16 | Http慢速攻击的检测方法、***、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114221813A CN114221813A (zh) | 2022-03-22 |
| CN114221813B true CN114221813B (zh) | 2024-01-30 |
Family
ID=80702864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111540537.3A Active CN114221813B (zh) | 2021-12-16 | 2021-12-16 | Http慢速攻击的检测方法、***、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114221813B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246157A (zh) * | 2018-11-16 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种http慢速请求dos攻击的关联检测方法 |
| CN110519265A (zh) * | 2019-08-27 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| CN111478893A (zh) * | 2020-04-02 | 2020-07-31 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
| WO2021170141A1 (zh) * | 2020-02-28 | 2021-09-02 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
-
2021
- 2021-12-16 CN CN202111540537.3A patent/CN114221813B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109246157A (zh) * | 2018-11-16 | 2019-01-18 | 杭州安恒信息技术股份有限公司 | 一种http慢速请求dos攻击的关联检测方法 |
| CN110519265A (zh) * | 2019-08-27 | 2019-11-29 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
| WO2021170141A1 (zh) * | 2020-02-28 | 2021-09-02 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| CN111478893A (zh) * | 2020-04-02 | 2020-07-31 | 中核武汉核电运行技术股份有限公司 | 一种慢速http攻击的检测方法 |
| CN112738099A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种检测慢速攻击的方法、装置、存储介质和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114221813A (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2538292C1 (ru) | Способ обнаружения компьютерных атак на сетевую компьютерную систему | |
| US9838404B2 (en) | Method and an apparatus to perform multi-connection traffic analysis and management | |
| US7817560B2 (en) | Acknowledging packet receipt based on expected size of sender's congestion window | |
| US8886927B2 (en) | Method, apparatus and system for preventing DDoS attacks in cloud system | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| US10298613B2 (en) | Mitigation of distributed denial-of-service attacks | |
| US20150047042A1 (en) | Techniques for validating distributed denial of service attacks based on social media content | |
| CN114448830B (zh) | 一种设备检测***及方法 | |
| WO2015078388A1 (zh) | 针对拒绝服务攻击的处理方法及装置 | |
| CN112600908A (zh) | 一种通信链路的获取方法、装置、设备及存储介质 | |
| US10489720B2 (en) | System and method for vendor agnostic automatic supplementary intelligence propagation | |
| EP3331213A1 (en) | Access to data on a remote device | |
| CN113688291A (zh) | 一种流媒体网络数据的异常行为检测方法和装置 | |
| CN112134870B (zh) | 一种网络安全威胁阻断方法、装置、设备和存储介质 | |
| CN114221813B (zh) | Http慢速攻击的检测方法、***、设备及存储介质 | |
| US20130067591A1 (en) | Method for filtering web page content and network equipment with web page content filtering function | |
| CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN106961393B (zh) | 网络会话中udp报文的检测方法及装置 | |
| CN114070633A (zh) | 一种地址扫描行为检测方法及装置 | |
| CN114598675A (zh) | 基于arp实现主机阻断的控制方法、装置、设备及介质 | |
| US20060107324A1 (en) | Method to prevent denial of service attack on persistent TCP connections | |
| CN115086068B (zh) | 一种网络入侵检测方法和装置 | |
| US20070055788A1 (en) | Method for forwarding network file system requests and responses between network segments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |