CN115242551A - 慢速攻击的防御方法、装置、电子设备及存储介质 - Google Patents

慢速攻击的防御方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115242551A
CN115242551A CN202211147095.0A CN202211147095A CN115242551A CN 115242551 A CN115242551 A CN 115242551A CN 202211147095 A CN202211147095 A CN 202211147095A CN 115242551 A CN115242551 A CN 115242551A
Authority
CN
China
Prior art keywords
target
request
current request
address
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211147095.0A
Other languages
English (en)
Other versions
CN115242551B (zh
Inventor
梁攀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD
Original Assignee
BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD filed Critical BEIJING ZHONGKE WANGWEI INFORMATION TECHNOLOGY CO LTD
Priority to CN202211147095.0A priority Critical patent/CN115242551B/zh
Publication of CN115242551A publication Critical patent/CN115242551A/zh
Application granted granted Critical
Publication of CN115242551B publication Critical patent/CN115242551B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种慢速攻击的防御方法、装置、电子设备及存储介质,涉及计算机技术领域,该方法包括:在确定当前请求满足预设条件且确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并获取目标会话内的数据传输速率;基于数据传输速率,更新第一目标时长,并在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话;预设条件包括当前请求的IP地址不在请求罚时链表中,或上述IP地址在请求罚时链表中,但当前时刻不在上述IP地址对应的罚时时段内。本发明提供的慢速攻击的防御方法、装置、电子设备及存储介质,能以较小的计算开销进行有针对性的慢速攻击防御,能在防御慢速攻击的同时,最大限度的保证正常请求的响应。

Description

慢速攻击的防御方法、装置、电子设备及存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种慢速攻击的防御方法、装置、电子设备及存储介质。
背景技术
随着网络的高速发展,网络安全问题也日渐增多。DdoS(Distributed Denial ofService,分布式拒绝服务)攻击是目前最强大、最难防御的攻击之一,其主要目的是让指定目标无法提供正常服务。
HTTP(Hypertext transfer protocol,超文本传输协议)慢速攻击,是DoS攻击中的一种。由于HTTP请求底层使用TCP(Transmission Control Protocol,传输控制协议)网络连接进行会话,因此如果Web(World Wide Web,全球广域网)服务对连接会话管理无特殊防护措施,并且HTTP在发送请求的时候采用慢速发送HTTP请求,就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。
现有技术中,可以通过限制每一互联网协议地址(Internet Protocol Address,IP地址)的连接数量、限制请求数据的长度以及限制连接超时的时间等方式防御HTTP慢速攻击。但是,上述现有的HTTP慢速攻击防御方法在进行HTTP慢速攻击防御的过程中,对正常业务的影响较大。因此,如何在不影响正常业务的基础上防御HTTP慢速攻击,是本领域亟待解决的技术问题。
发明内容
本发明提供一种慢速攻击的防御方法、装置、电子设备及存储介质,用以解决现有技术中在进行HTTP慢速攻击防御的过程中,对正常业务的影响较大的缺陷,实现在不影响正常业务的基础上防御HTTP慢速攻击。
本发明提供一种慢速攻击的防御方法,包括:
接收当前请求,在确定所述当前请求满足预设条件的情况下,确定所述当前请求是否为慢速攻击;
在确定所述当前请求不为慢速攻击的情况下,建立所述当前请求对应的目标会话,并获取所述目标会话内的数据传输速率;
基于所述数据传输速率,更新第一目标时长,并在所述目标会话的持续时长超过所述第一目标时长的情况下,关闭所述目标会话;
其中,所述预设条件包括所述当前请求的互联网协议IP地址不在请求罚时链表中,或者,所述IP地址在所述请求罚时链表中,但当前时刻不在所述IP地址对应的罚时时段内。
根据本发明提供的一种慢速攻击的防御方法,所述基于所述数据传输速率,更新第一目标时长,包括:
在所述数据传输速率低于第一目标速率阈值的情况下,减少所述第一目标时长;
其中,所述第一目标速率阈值基于所述当前请求的统一资源***URL类型确定。
根据本发明提供的一种慢速攻击的防御方法,所述确定所述当前请求是否为慢速攻击,包括:
在接收所述当前请求的头部数据的时长超过第二目标时长的情况下,将所述当前请求确定为慢速攻击,
或者,
在未完整接收到所述当前请求的头部数据的情况下,若接收到的所述头部数据的数据量超过数据容量阈值,则将所述当前请求确定为慢速攻击。
根据本发明提供的一种慢速攻击的防御方法,所述获取所述目标会话内的数据传输速率之后,还包括;
在所述数据传输速率高于第二目标速率阈值的情况下,增加所述第二目标时长;
其中,所述第二目标速率阈值基于所述第一目标速率阈值确定。
根据本发明提供的一种慢速攻击的防御方法,所述接收当前请求之后,还包括:
在确定所述IP地址在所述请求罚时链表中,但当前时刻不在所述IP地址对应的罚时时段内的情况下,从所述请求罚时链表中删除所述IP地址。
根据本发明提供的一种慢速攻击的防御方法,所述预设条件,还包括:当前时刻并发连接的会话数量小于数量阈值,和/或,所述IP地址的请求频率不大于频率阈值。
根据本发明提供的一种慢速攻击的防御方法,所述接收当前请求之后,还包括:
在所述IP地址的请求频率大于频率阈值的情况下,将所述IP地址及所述IP地址对应的罚时时段添加至所述请求罚时链表中。
本发明还提供一种慢速攻击的防御装置,包括:
攻击确定模块,用于接收当前请求,在确定所述当前请求满足预设条件的情况下,确定所述当前请求是否为慢速攻击;
时长更新模块,用于在确定所述当前请求不为慢速攻击的情况下,建立所述当前请求对应的目标会话,并获取所述目标会话内的数据传输速率;
会话监控模块,用于基于所述数据传输速率,更新第一目标时长,并在所述目标会话的持续时长超过所述第一目标时长的情况下,关闭所述目标会话;
其中,所述预设条件包括所述当前请求的互联网协议地址IP地址不在请求罚时链表中,或者,所述IP地址在所述请求罚时链表中,但当前时刻不在所述IP地址对应的罚时时段内。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述慢速攻击的防御方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述慢速攻击的防御方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述慢速攻击的防御方法。
本发明提供的慢速攻击的防御方法、装置、电子设备及存储介质,通过在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击,在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并基于目标会话内的数据传输速率更新第一目标时长,在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话,能基于数据传输速率对目标会话的持续时长进行动态处置,能以较小的计算开销进行有针对性的慢速攻击防御,能在防御慢速攻击的同时,最大限度的保证正常请求的响应。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的慢速攻击的防御方法的流程示意图之一;
图2是本发明提供的慢速攻击的防御方法的流程示意图之二;
图3是本发明提供的慢速攻击的防御装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
需要说明的是,HTTP慢速攻击也叫Slow http attack。利用Web服务器存在的安全漏洞,采用HTTP慢速攻击的方式,可导致Web服务资源消耗,从而引发拒绝服务的问题。
HTTP慢速攻击主要的攻击方式包括Slow headers方式、Slow body方式和Slowread方式。
Slow headers方式中,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部。若Web服务器未接收到2个连续的“\r\n”,则Web服务器认为攻击客户端并未发送完所有的HTTP头部,会持续等待攻击客户端发送数据,从而造成服务器的连接资源以及内存资源的消耗。
Slow body方式中,攻击客户端向Web服务器发送一个HTTP POST请求,该请求的Content-Length头部值很大,使得Web服务器认为攻击客户端将发送很大的数据。Web服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,从而消耗Web服务器的连接资源和内存资源。
Slow read方式中,攻击客户端与Web服务器建立连接之后,攻击客户端发送完整的HTTP请求给Web服务器,然后一直保持这个连接,以很低的速度读取Response,例如在较长的一段时间内,攻击客户端不读取任何数据,并通过发送Zero Window到Web服务器,让Web服务器误认为攻击客户端处于忙碌状态,直到连接接近超时前才读取一个字节,从而消耗Web服务器的连接资源和内存资源。
表1 传统的HTTP慢速攻击防御方法
Figure 205650DEST_PATH_IMAGE001
通常情况下,不同类型的Web服务器所采用的传统的HTTP慢速攻击防御方法如表1所示。
基于表1可知,传统的HTTP慢速攻击防御方法通常通过限制每一IP地址的连接数量、限制请求数据的长度以及限制连接超时的时间等方式防御HTTP慢速攻击,其中,限制连接超时的时间的方式还可以包括静态超时时间阈值设置的方式(例如:Weblogic/IIS/Nginx),以及流量速率阈值限制超时时间的方式(例如:Apache/HIS)。
但是,传统的HTTP慢速攻击防御方法存在以下缺点,一方面,上述传统的HTTP慢速攻击防御方法虽然保证了Web服务器本身的稳定性,但会导致出现Web服务器无法响应正常请求的问题。例如,在单纯限制连接数目及连接频率的情况下,若攻击会话已被Web服务所响应,且没有超时机制,则正常的请求会由于连接数目的限制以及连接频率的限制而得不到响应;
另一方面,单纯通过全局静态阈值限制与每连接所处理的业务类型无适配,对于具有复杂业务的服务***的不同请求处理难以做到一个可权衡的通用配置,例如数据下载传输类业务、认证保活类业务,在连接内速率及传输频率存在不同,且差异较大。通用限制条件的设置难以结合不同业务的特点进行调整,若设置不合理会影响正常业务的请求处理。
对此,本发明提供一种慢速攻击的防御方法、装置、电子设备及存储介质,通过结合静态阈值与动态超时,引入请求罚时机制,并结合请求的业务特点自定义用于速率阈值,可以以较小的计算开销进行有针对性的慢速攻击防御,可以基于数据传输速率进行访问罚时处置,使得攻击产生的同时,有效的保证正常请求的处理,可以在发生慢速攻击的情况下,最大限度的保证正常请求的响应,可以结合业务***不同特点,自定义控制会话连接传输的检测阈值,从而实现在防护攻击的同时,满足不同类型业务请求的实际需求。
图1是本发明提供的慢速攻击的防御方法的流程示意图。下面结合图1描述本发明的慢速攻击的防御方法。如图1所示,该方法包括:步骤101、接收当前请求,在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击。
其中,预设条件包括当前请求的互联网协议地址IP地址不在请求罚时链表中,或者,IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内。
需要说明的是,本发明实施例的执行主体为慢速攻击的防御装置。上述慢速攻击的防御装置可以为Web服务器。
具体地,当前请求可以为Web服务器当前时刻接收到的请求。
Web服务器接收到当前请求之后,可以通过判断上述当前请求是否满足预设条件,对当前请求是否慢速攻击进行初步判断。
需要说明的是,预设条件可以是基于先验知识和/或实际需求预先确定的。本发明实施例中的预设条件,至少包括当前请求的IP地址不在请求罚时链表中,或者,当前请求的IP地址在上述请求罚时链表中,但当前时刻不在当前请求的IP地址对应的罚时时段内。其中,上述请求罚时链表可以是预先生成的,还可以是Web服务器在运行过程中动态产生的。
在当前请求不满足预设条件的情况下,可以将当前请求确定为慢速攻击,并可以拒绝当前请求。
在当前请求满足预设条件的情况下,可以进一步确定当前请求是否为慢速攻击。
需要说明的是,本发明实施例中可以通过多种方式确定当前请求是否为慢速攻击,例如:可以基于接收并解析当前请求的头部数据的情况,确定当前请求是否为慢速攻击。本发明实施例中对确定当前请求是否为慢速攻击的方式不作限定。
步骤102、在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并获取目标会话内的数据传输速率。
具体地,在确定当前为慢速攻击的情况下,可以关闭与当前请求之间的连接,释放会话资源。
在确定当前请求不为慢速攻击的情况下,可以建立当前请求对应的目标会话,并可以获取上述目标会话内的数据传输速率。
可以理解的是,上述目标会话内的数据传输速率是动态变化的。
可选地,可以每隔固定周期,获取目标会话内的数据传输速率。
步骤103、基于数据传输速率,更新第一目标时长,并在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话。
具体地,基于第一目标时长可以确定是否关闭目标会话。
基于目标会话内的数据传输速率,可以对第一目标时长进行动态更新,从而可以结合当前请求具体的业务特点,自定义当前请求对应的目标会话的持续时长,实现在防护攻击的同时,满足不同类型的业务请求的实际使用场景。
需要说明的是,第一目标时长的初始值可以是根据实际情况和/或先验知识预先确定的。本发明实施例中对第一目标时长的初始值不作具体限定。
可选地,第一目标时长的初始值可以在7分钟至9分钟之间,例如,第一目标时长的初始值可以为7分钟、8分钟或9分钟。
优选地,第一目标时长的初始值可以为8分钟。
若当前请求对应的目标会话的持续时长超过第一目标时长,则可以关闭上述目标会话。
本发明实施例通过在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击,在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并基于目标会话内的数据传输速率更新第一目标时长,在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话,能基于数据传输速率对目标会话的持续时长进行动态处置,能以较小的计算开销进行有针对性的慢速攻击防御,能在防御慢速攻击的同时,最大限度的保证正常请求的响应。
基于上述各实施例的内容,基于数据传输速率,更新第一目标时长,包括:在数据传输速率低于第一目标速率阈值的情况下,减少第一目标时长。
其中,第一目标速率阈值基于当前请求的统一资源***URL类型确定。
具体地,基于当前请求的URL类型,根据URL类型与不同速率阈值之间的对应关系,可以确定当前请求对应的第一目标速率阈值。
需要说明的是,URL类型与不同速率阈值之间的对应关系可以是基于先验知识和/或实际情况预先获取的。上述对应关系实现区分处理不同URL类型的请求对应的速率阈值,从而可以实现根据不同请求的处理特点来区分处理会话的监测机制。例如:相对于认证保活类的请求,可以为数据传输类的请求配置更高的速率阈值,对于特定的低流量会话请求,也能保持正常的请求响应。
可选地,当前请求对应的第一目标速率阈值可以为200Bytes/s。
在当前请求对应的目标会话内的数据传输速率低于上述第一目标速率阈值的情况下,可以减少上述第一目标时长。
可选地,在当前请求对应的目标会话内的数据传输速率低于上述第一目标速率阈值的情况下,可以将上述第一目标时长减半。
例如:在当前请求对应的目标会话内的数据传输速率第一次低于上述第一目标速率阈值的情况下,可以将上述第一目标时长的初始值减半,即上述第一目标时长由8分钟减半为4分钟;在当前请求对应的目标会话内的数据传输速率第二次低于上述第一目标速率阈值的情况下,可以再次将上述第一目标时长的初始值减半,即上述第一目标时长由4分钟减半为2分钟。
本发明实施例通过基于当前请求的URL类型确定当前请求对应的第一目标速率阈值,并在当前请求对应的目标会话内的数据传输速率低于上述第一目标速率阈值的情况下,减小第一目标时长,能结合请求的不同业务特点,自定义控制检测阈值,能实现在防护攻击的同时,满足不同类型业务请求的实际需求。
基于上述各实施例的内容,确定当前请求是否为慢速攻击,包括:在接收当前请求的头部数据的时长超过第二目标时长的情况下,将当前请求确定为慢速攻击,或者,在当前请求的头部数据未接收完成的情况下,若接收到的头部数据的数据量超过数据容量阈值,则将当前请求确定为慢速攻击。
具体地,本发明实施例中,若当前请求满足以下任一种情况,则可以确定当前请求为慢速攻击。
上述情况包括:接收当前请求的头部数据的时长超过第二目标时长,以及在未完整接收到当前请求的头部数据的情况下,接收到的上述头部数据的数据量超过数据容量阈值。
需要说明的是,第二目标时长可以是基于先验知识和/或实际情况预先确定的;第二目标时长还可以基于当前请求对应的目标会话内的数据传输速率确定。本发明实施例中对第二目标时长不作具体限定。
需要说明的是,数据容量阈值可以是基于先验知识和/或实际情况预先确定的。本发明实施例中对数据容量阈值不作具体限定。
可选地,数据容量阈值的取值范围可以在3K至5K之间,例如:数据容量阈值可以为3K、4K或5K。
优选地,数据容量阈值可以为4K。
本发明实施例通过在接收当前请求的头部数据的时长超过第二目标时长的情况下,将当前请求确定为慢速攻击,或者,在当前请求的头部数据未接收完成的情况下,若接收到的头部数据的数据量超过数据容量阈值,则将当前请求确定为慢速攻击,能更准确、更高效的确定当前请求是否为慢速攻击。
基于上述各实施例的内容,获取目标会话内的数据传输速率之后,还包括:在数据传输速率高于第二目标速率阈值的情况下,增加第二目标时长。
其中,第二目标速率阈值基于第一目标速率阈值确定。
需要说明的是,第二目标时长的初始值可以是根据实际情况和/或先验知识预先确定的。本发明实施例中对第二目标时长的初始值不作具体限定。
可选地,第二目标时长的初始值可以在15秒至25秒之间,例如,第二目标时长的初始值可以为15秒、20秒或25秒。
优选地,第二目标时长的初始值可以为20秒。
具体地,在当前请求对应的目标会话内的数据传输速率高于上述第二目标速率阈值的情况下,可以增加上述第二目标时长。
需要说明的是,第二目标速率阈值可以是基于第一目标速率阈值确定的。
可选地,第二目标速率阈值,可以为第一目标速率阈值与预设倍数的乘积,上述预设倍数的取值范围可以在4至6之间,例如:第二目标速率阈值可以为第一目标速率阈值的4倍、5倍或6倍。
优选地,第二目标速率阈值,可以为第一目标速率阈值的5倍。
可选地,在当前请求对应的目标会话内的数据传输速率高于上述第二目标速率阈值的情况下,可以为上述第二目标时长增加目标增量。其中,上述目标增量可以基于先验知识和/或实际情况确定。上述目标增量的取值范围可以在8秒至12秒之间。本发明实施例中对目标增量的具体取值不作限定。
例如,在当前请求对应的目标会话内的数据传输速率第一次高于上述第二目标速率阈值的情况下,可以为上述第二目标时长的初始值增加10秒,即上述第二目标时长由20秒增加至30秒分钟;在当前请求对应的目标会话内的数据传输速率第二次高于上述第二目标速率阈值的情况下,可以再次为上述第二目标时长的初始值增加10秒,即上述第二目标时长由30秒增加至40秒。
本发明实施例通过在当前请求对应的目标会话内的数据传输速率高于第二目标速率阈值的情况下,增加第二目标时长,从而能基于第二目标时长确定当前请求是否为慢速攻击,能进一步提高确定当前请求是否为慢速攻击的准确率。
基于上述各实施例的内容,预设条件,还包括:当前时刻并发连接的会话数量小于数量阈值,和/或,IP地址的请求频率不大于频率阈值。
需要说明的是,上述数量阈值可以基于先验知识和/或实际情况预先确定。本发明实施例中对上述数量阈值不作具体限定。
需要说明的是,上述频率阈值可以基于先验知识和/或实际情况预先确定。本发明实施例中对上述频率阈值不作具体限定。
本发明实施例通过进一步判断当前时刻并发连接的会话数量是否小于数量阈值,和/或当前请求的IP地址的请求频率是否大于频率阈值,能进一步提高确定当前请求是否为慢速攻击的准确率。
基于上述各实施例的内容,接收当前请求之后,还包括:在IP地址的请求频率大于频率阈值的情况下,将IP地址及IP地址对应的罚时时段添加至请求罚时链表中。
具体地,在确定当前请求的IP地址的请求频率大于频率阈值的情况下,可以根据预设的罚时规则,确定当前请求的IP地址对应的罚时时段,从而可以将上述IP地址及上述IP地址对应的罚时时段添加至上述请求罚时链表中。
需要说明的是,上述罚时规则可以是根据实际情况和/或先验知识预先确定的。
可选地,在对上述请求罚时链表进行更新的过程中,若达到上述请求罚时链表的限制,则可以老化上述请求罚时链表中添加时间最早的记录项,上述记录项包括某一IP地址及上述IP地址对应的罚时时段。
本发明实施例通过结合静态阈值与动态超时,引入请求罚时机制,能以较小的计算开销进行有针对性的慢速攻击防御。
基于上述各实施例的内容,接收当前请求之后,还包括:在确定IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内的情况下,从请求罚时链表中删除IP地址。
具体地,在确定当前请求的IP地址在请求罚时链表中,但当前时刻不在当前请求的IP地址对应的罚时时段内的情况下,可以从上述请求罚时链表中删除当前请求的IP地址。
本发明实施例中基于当前请求是否满足预设条件,对请求罚时链表进行更新,能进一步提高确定当前请求是否为慢速攻击的准确率。
为了便于对本发明提供的慢速攻击的防御方法的理解,以下通过一个实例说明本发明提供的慢速攻击的防御方法。图2是本发明提供的慢速攻击的防御方法的流程示意图之二。如图2所示,Web服务器接收到当前请求之后,可以判断当前请求是否满足预设条件。
上述预设条件包括Web服务器当前时刻并发连接的会话数量小于数量阈值。若Web服务器当前时刻并发连接的会话数量不小于数量阈值,则拒绝当前请求。
上述预设条件还包括当前请求的IP地址不在请求罚时链表中,或者,当前请求的IP地址在请求罚时链表中,但当前时刻不在上述IP地址对应的罚时时段内。若当前请求的IP地址在请求罚时链表中,且当前时刻在上述IP地址对应的罚时时段内,则拒绝当前请求。若当前请求的IP地址在请求罚时链表中,但当前时刻不在上述IP地址对应的罚时时段内,则从请求罚时链表中删除上述IP地址。
上述预设条件还包括当前请求的IP地址每秒内的请求频率不大于频率阈值。若当前请求的IP地址每秒内的请求频率大于频率阈值,则拒绝当前请求,并将当前请求的IP地址以及上述IP地址对应的罚时时段添加至上述请求罚时链表中。
在当前请求满足预设条件的情况下,当前服务被Web服务器接收,Web服务器可以对当前请求进行响应处理,并在响应处理的过程中,进一步确定当前请求是否为慢速攻击。
Web服务器可以基于接收并解析当前请求的头部数据的情况,确定当前请求是否为慢速攻击。
在接收当前请求的头部数据的时长超过第二目标时长的情况下,可以将当前请求确定为慢速攻击;或者,在当前请求的头部数据未接收完成的情况下,若接收到的头部数据的数据量超过数据容量阈值,则也可以将当前请求确定为慢速攻击。
其中,第二目标时长的初始值为20秒;数据容量阈值为4K。
在确定当前请求不为慢速攻击的情况下,可以建立当前请求对应的目标会话,并对上述目标会话内的数据传输进行监控,周期性(每隔10s)的获取目标会话内的数据传输速率。
若目标会话内的数据传输速率低于第一目标速率阈值(200Bytes/s),则将第一目标时长减半;若目标会话内的数据传输速率高于第二目标速率阈值(200Bytes/s的五倍),则为第二目标时长增加10秒。其中,第一目标时长的初始值为8分钟;第一目标速率阈值基于当前请求的URL类型确定。
在目标会话的持续时长超过上述第一目标时长的情况下,关闭目标会话,释放会话资源。
图3是本发明提供的慢速攻击的防御装置的结构示意图。下面结合图3对本发明提供的慢速攻击的防御装置进行描述,下文描述的慢速攻击的防御装置与上文描述的本发明提供的慢速攻击的防御方法可相互对应参照。如图3所示,该装置包括:攻击确定模块301、时长更新模块302和会话监控模块303。
攻击确定模块301,用于接收当前请求,在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击;
时长更新模块302,用于在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并获取目标会话内的数据传输速率;
会话监控模块303,用于基于数据传输速率,更新第一目标时长,并在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话;
其中,预设条件包括当前请求的互联网协议IP地址不在请求罚时链表中,或者,IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内。
需要说明的是,本发明实施例中的慢速攻击的防御装置,可以为Web服务器。
具体地,攻击确定模块301、时长更新模块302和会话监控模块303电连接。
攻击确定模块301可以用于接收到当前请求之后,可以通过判断上述当前请求是否满足预设条件,对当前请求是否慢速攻击进行初步确定。
攻击确定模块301还可以用于在确定当前请求满足预设条件的情况下,可以进一步确定当前请求是否为慢速攻击。
时长更新模块302可以用于在确定当前请求不为慢速攻击的情况下,可以建立当前请求对应的目标会话,并可以获取上述目标会话内的数据传输速率。
会话监控模块303可以用于基于目标会话内的数据传输速率,对第一目标时长进行动态更新,从而可以结合当前请求具体的业务特点,自定义当前请求对应的目标会话的持续时长,实现在防护攻击的同时,满足不同类型的业务请求的实际使用场景。
可选地,时长更新模块302还可以用于在数据传输速率低于第一目标速率阈值的情况下,减少第一目标时长;其中,第一目标速率阈值基于当前请求的统一资源***URL类型确定。
可选地,攻击确定模块301可以具体用于在接收当前请求的头部数据的时长超过第二目标时长的情况下,将当前请求确定为慢速攻击,或者,在未完整接收到当前请求的头部数据的情况下,若接收到的头部数据的数据量超过数据容量阈值,则将当前请求确定为慢速攻击。
可选地,时长更新模块302还可以用于在数据传输速率高于第二目标速率阈值的情况下,增加第二目标时长;其中,第二目标速率阈值基于第一目标速率阈值确定。
可选地,慢速攻击的防御装置还包括列表更新模块。
列表更新模块可以用于在确定IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内的情况下,从请求罚时链表中删除IP地址。
列表更新模块还可以用于在IP地址的请求频率大于频率阈值的情况下,将IP地址及IP地址对应的罚时时段添加至请求罚时链表中。
本发明实施例中的慢速攻击的防御装置,通过在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击,在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并基于目标会话内的数据传输速率更新第一目标时长,在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话,能基于数据传输速率对目标会话的持续时长进行动态处置,能以较小的计算开销进行有针对性的慢速攻击防御,能在防御慢速攻击的同时,最大限度的保证正常请求的响应。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行慢速攻击的防御方法,该方法包括:接收当前请求,在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击;在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并获取目标会话内的数据传输速率;基于数据传输速率,更新第一目标时长,并在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话;其中,预设条件包括当前请求的互联网协议地址IP地址不在请求罚时链表中,或者,IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的慢速攻击的防御方法,该方法包括:接收当前请求,在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击;在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并获取目标会话内的数据传输速率;基于数据传输速率,更新第一目标时长,并在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话;其中,预设条件包括当前请求的互联网协议地址IP地址不在请求罚时链表中,或者,IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的慢速攻击的防御方法,该方法包括:接收当前请求,在确定当前请求满足预设条件的情况下,确定当前请求是否为慢速攻击;在确定当前请求不为慢速攻击的情况下,建立当前请求对应的目标会话,并获取目标会话内的数据传输速率;基于数据传输速率,更新第一目标时长,并在目标会话的持续时长超过第一目标时长的情况下,关闭目标会话;其中,预设条件包括当前请求的互联网协议地址IP地址不在请求罚时链表中,或者,IP地址在请求罚时链表中,但当前时刻不在IP地址对应的罚时时段内。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种慢速攻击的防御方法,其特征在于,包括:
接收当前请求,在确定所述当前请求满足预设条件的情况下,确定所述当前请求是否为慢速攻击;
在确定所述当前请求不为慢速攻击的情况下,建立所述当前请求对应的目标会话,并获取所述目标会话内的数据传输速率;
基于所述数据传输速率,更新第一目标时长,并在所述目标会话的持续时长超过所述第一目标时长的情况下,关闭所述目标会话;
其中,所述预设条件包括所述当前请求的互联网协议IP地址不在请求罚时链表中,或者,所述IP地址在所述请求罚时链表中,但当前时刻不在所述IP地址对应的罚时时段内。
2.根据权利要求1所述的慢速攻击的防御方法,其特征在于,所述基于所述数据传输速率,更新第一目标时长,包括:
在所述数据传输速率低于第一目标速率阈值的情况下,减少所述第一目标时长;
其中,所述第一目标速率阈值基于所述当前请求的统一资源***URL类型确定。
3.根据权利要求2所述的慢速攻击的防御方法,其特征在于,所述确定所述当前请求是否为慢速攻击,包括:
在接收所述当前请求的头部数据的时长超过第二目标时长的情况下,将所述当前请求确定为慢速攻击,
或者,
在未完整接收到所述当前请求的头部数据的情况下,若接收到的所述头部数据的数据量超过数据容量阈值,则将所述当前请求确定为慢速攻击。
4.根据权利要求3所述的慢速攻击的防御方法,其特征在于,所述获取所述目标会话内的数据传输速率之后,还包括;
在所述数据传输速率高于第二目标速率阈值的情况下,增加所述第二目标时长;
其中,所述第二目标速率阈值基于所述第一目标速率阈值确定。
5.根据权利要求1所述的慢速攻击的防御方法,其特征在于,所述接收当前请求之后,还包括:
在确定所述IP地址在所述请求罚时链表中,但当前时刻不在所述IP地址对应的罚时时段内的情况下,从所述请求罚时链表中删除所述IP地址。
6.根据权利要求1至5任一所述的慢速攻击的防御方法,其特征在于,所述预设条件,还包括:当前时刻并发连接的会话数量小于数量阈值,和/或,所述IP地址的请求频率不大于频率阈值。
7.根据权利要求6所述的慢速攻击的防御方法,其特征在于,所述接收当前请求之后,还包括:
在所述IP地址的请求频率大于频率阈值的情况下,将所述IP地址及所述IP地址对应的罚时时段添加至所述请求罚时链表中。
8.一种慢速攻击的防御装置,其特征在于,包括:
攻击确定模块,用于接收当前请求,在确定所述当前请求满足预设条件的情况下,确定所述当前请求是否为慢速攻击;
时长更新模块,用于在确定所述当前请求不为慢速攻击的情况下,建立所述当前请求对应的目标会话,并获取所述目标会话内的数据传输速率;
会话监控模块,用于基于所述数据传输速率,更新第一目标时长,并在所述目标会话的持续时长超过所述第一目标时长的情况下,关闭所述目标会话;
其中,所述预设条件包括所述当前请求的互联网协议IP地址不在请求罚时链表中,或者,所述IP地址在所述请求罚时链表中,但当前时刻不在所述IP地址对应的罚时时段内。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述慢速攻击的防御方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述慢速攻击的防御方法。
CN202211147095.0A 2022-09-21 2022-09-21 慢速攻击的防御方法、装置、电子设备及存储介质 Active CN115242551B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211147095.0A CN115242551B (zh) 2022-09-21 2022-09-21 慢速攻击的防御方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211147095.0A CN115242551B (zh) 2022-09-21 2022-09-21 慢速攻击的防御方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN115242551A true CN115242551A (zh) 2022-10-25
CN115242551B CN115242551B (zh) 2022-12-06

Family

ID=83680910

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211147095.0A Active CN115242551B (zh) 2022-09-21 2022-09-21 慢速攻击的防御方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115242551B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074083A (zh) * 2023-01-28 2023-05-05 天翼云科技有限公司 慢速攻击识别方法、装置、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130055375A1 (en) * 2011-08-29 2013-02-28 Arbor Networks, Inc. Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring
CN105991509A (zh) * 2015-01-27 2016-10-05 杭州迪普科技有限公司 会话处理方法及装置
CN108199898A (zh) * 2018-01-12 2018-06-22 中国民航大学 一种增强LDoS攻击效能的方法
CN108390870A (zh) * 2018-02-09 2018-08-10 北京天融信网络安全技术有限公司 一种防御网络攻击的方法、装置、存储介质及设备
CN109040140A (zh) * 2018-10-16 2018-12-18 杭州迪普科技股份有限公司 一种慢速攻击检测方法及装置
US20220129186A1 (en) * 2020-10-23 2022-04-28 Arm Limited Controlling access requests of request nodes
CN114866350A (zh) * 2022-07-06 2022-08-05 南京明博互联网安全创新研究院有限公司 Sdn数据平面低速率攻击检测方法及***

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130055375A1 (en) * 2011-08-29 2013-02-28 Arbor Networks, Inc. Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring
CN105991509A (zh) * 2015-01-27 2016-10-05 杭州迪普科技有限公司 会话处理方法及装置
CN108199898A (zh) * 2018-01-12 2018-06-22 中国民航大学 一种增强LDoS攻击效能的方法
CN108390870A (zh) * 2018-02-09 2018-08-10 北京天融信网络安全技术有限公司 一种防御网络攻击的方法、装置、存储介质及设备
CN109040140A (zh) * 2018-10-16 2018-12-18 杭州迪普科技股份有限公司 一种慢速攻击检测方法及装置
US20220129186A1 (en) * 2020-10-23 2022-04-28 Arm Limited Controlling access requests of request nodes
CN114866350A (zh) * 2022-07-06 2022-08-05 南京明博互联网安全创新研究院有限公司 Sdn数据平面低速率攻击检测方法及***

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074083A (zh) * 2023-01-28 2023-05-05 天翼云科技有限公司 慢速攻击识别方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN115242551B (zh) 2022-12-06

Similar Documents

Publication Publication Date Title
US11122067B2 (en) Methods for detecting and mitigating malicious network behavior and devices thereof
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
WO2018121331A1 (zh) 攻击请求的确定方法、装置及服务器
US20190034631A1 (en) System and method for malware detection
EP2289221B1 (en) Network intrusion protection
US8856913B2 (en) Method and protection system for mitigating slow HTTP attacks using rate and time monitoring
US8800039B2 (en) System and method for determining application layer-based slow distributed denial of service (DDoS) attack
EP2904539B1 (en) Server with mechanism for reducing internal resources associated with a selected client connection
EP3633948B1 (en) Anti-attack method and device for server
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CN105959313A (zh) 一种防范http代理攻击的方法及装置
CN115242551B (zh) 慢速攻击的防御方法、装置、电子设备及存储介质
WO2024060408A1 (zh) 网络攻击检测方法和装置、设备及存储介质
KR20110022141A (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
US20180295151A1 (en) Methods for mitigating network attacks through client partitioning and devices thereof
CN114553730A (zh) 一种应用识别方法、装置、电子设备及存储介质
CN113242260A (zh) 攻击检测方法、装置、电子设备及存储介质
CN106656912B (zh) 一种检测拒绝服务攻击的方法及装置
CN106961393B (zh) 网络会话中udp报文的检测方法及装置
KR20190130766A (ko) 네트워크 보안 방법 및 이를 수행하는 시스템
CN112202821B (zh) 一种cc攻击的识别防御***及方法
KR20230118635A (ko) 서비스 거부 공격들의 자동 검출 및 완화
CN115037528B (zh) 一种异常流量检测方法及装置
US20240169061A1 (en) Techniques for accurate learning of baselines for the detection of advanced application layer flood attack tools
US20230328085A1 (en) Mitigating malicious network traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant