网络攻击检测方法及检测设备的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,具体涉及一种网络攻击检测方法及检测设备。
【背景技术】
[0002]网络安全的基本属性主要表现为机密性、完整性、合法性和可用性。而网络攻击者就是通过一切可能的方法和手段来破坏网络安全的属性。
[0003]近年,在互联网业务中,Web服务已经占有越来越大的比例,因此针对Web服务的网络攻击危害也越来越大。在针对Web服务的网络攻击中,分布式拒绝服务攻击(Distributed Denialof Service,简称为 DDoS)最为盛行且危害极大。例如,HTTP-Flood攻击,是针对使用超文本传输协议(Hypertext Transfer Protocol,简称为HTTP)的Web服务器的网页,采用分布式拒绝服务攻击(Distributed Denialof Service,简称为DDoS)来破坏Web应用的可用性的一种DDoS攻击。
[0004]HTTP-Flood攻击发生时,攻击者利用工具伪造或劫持浏览器向特定的网站的URL (统一资源定位符,Uniform Resource Locator,简称为URL)发送大量的HTTP请求,使服务器忙于向攻击者提供资源而无法响应其他合法用户的服务请求,进而使网站达到处理瓶颈,从而达到网站拒绝服务的目的。
[0005]现有技术中的网络攻击(例如,ΗΤΤΡ-Flood)防护方案都是从网站提供的服务来考虑,进行访问频率的检测或控制。当某个IP地址的访问在一定时间内超过某个次数,就认为是网络攻击。还有些更精细化的方案,是将频率的统计限制在某些指定的URL上或者指定的Cookie值上。
[0006]然而,现有的网络攻击防护方案采用单纯的IP地址访问频率的统计,对于共享IP出口的NAT (Network Address Translat1n,网络地址转换)用户,仅采用访问频率一个指标作为攻击的判定标准还会很容易导致NAT用户被误杀。
[0007]而且,现有的网络攻击防护方案,无法检测例如分布式的HTTP-Flood攻击,因为单个攻击IP地址(肉鸡)的访问频率都不高,无法达到攻击的频率,但大量通过肉鸡同时发起请求的攻击方式,也会导致网站拒绝服务。
[0008]此外,现有的网络攻击防护方案,有些还需要指定特定的URL或者Cookie才能进行统计,因此与网站业务具有高耦合的特性,在URL数量比较大的网站,部署和运维成本较尚O
【发明内容】
[0009]本发明是鉴于现有网络攻击防护技术的上述问题而做出的,其目的在于提供一种能精确且有效地检测对网站的网络攻击(例如,ΗΤΤΡ-Flood)的网络攻击检测方法及检测设备。
[0010]本发明的一个方面的网络攻击检测方法,是针对利用工具脚本或程序自动向网站发起访问请求来进行网络攻击的网络攻击检测方法,包括:访问数据采集步骤Si,在第一预定时间内采集每次所述访问请求的时间信息,根据所述时间信息来计算出各个相邻的两次访问请求之间的访问时间间隔数据,以构成访问时间间隔数据组;访问数据离散程度计算步骤S2,根据所述访问时间间隔数据组,来计算所述访问时间间隔数据组的离散程度;和攻击数据判定步骤S3,当所述离散程度在预定的攻击数据离散范围内时,判定为所述访问请求是网络攻击,当所述离散程度不在所述预定的攻击数据离散范围内时,判定为所述访问请求不是网络攻击,并输出该判定结果作为最终检测结果,所述预定的攻击数据离散范围是根据所述网站的网络环境来预先确定的,且所述离散程度在该预定的攻击数据离散范围内是指:所述访问时间间隔数据组中的各个所述访问时间间隔数据能够被视为常数。
[0011]根据本发明的一个方面的网络攻击检测方法,所述访问时间间隔数据组的离散程度是利用统计学运算来计算的。
[0012]根据本发明的一个方面的网络攻击检测方法,所述统计学运算是利用方差、标准差或平均差的运算。
[0013]根据本发明的一个方面的网络攻击检测方法,所述访问数据离散程度计算步骤S2包括:常数波动范围确定步骤S2-1,根据通过所述访问数据采集步骤SI构成的所述访问时间间隔数据组,计算出所有访问时间间隔数据的平均值,以作为常数期望值,并采用下列公式(I)来确定常数波动范围;常数数量计数步骤S2-2,根据通过所述常数波动范围确定步骤S2-1确定的所述常数波动范围,判断所述访问时间间隔数据中的每个所述访问时间间隔数据是否在所述常数波动范围内,并对在所述常数波动范围内的所述访问时间间隔数据进行计数,计算出符合所述常数波动范围的所述访问时间间隔数据的数据数量,以作为常数数量;和离散程度计算步骤S2-3,根据通过所述常数数量计数步骤S2-2计算出的所述常数数量,采用下列公式(2)来计算出所述访问时间间隔数据组的离散程度,其中,所述公式(I)为:常数波动范围<常数期望值X (I 土预定的方差),所述公式(2)为:离散程度=(1-常数数量/访问时间间隔数据组的数据总量)X 100%。
[0014]根据本发明的一个方面的网络攻击检测方法,所述预定的方差是根据所述网站的网络环境来预先确定的。
[0015]根据本发明的一个方面的网络攻击检测方法,所述预定的方差为8%。
[0016]根据本发明的一个方面的网络攻击检测方法,O <所述预定的攻击数据离散范围彡 20%。
[0017]根据本发明的一个方面的网络攻击检测方法,在所述访问数据采集步骤SI之前,包括:既存网络攻击处理步骤SS1,根据预先设置的存储有已被确定为网络攻击的访问请求的信息的网络攻击信息表,来判定所述访问请求是否是既存网络攻击,并进行分支处理,即:当所述访问请求存在于所述网络攻击信息表中时,判定为所述访问请求是既存网络攻击,并直接判定为所述访问请求是网络攻击,而不进行所述访问数据采集步骤Si及其之后的步骤的动作;当所述访问请求不存在于所述网络攻击信息表中时,判定为所述访问请求不是既存网络攻击,接着进行所述访问数据采集步骤SI。
[0018]根据本发明的一个方面的网络攻击检测方法,所述攻击数据判定步骤(S3)包括:
[0019]网络攻击信息追加步骤SS3,在所述攻击数据判定步骤S3的所述判定结果为所述访问请求是网络攻击时,将所述访问请求的信息追加入所述网络攻击信息表中。
[0020]根据本发明的一个方面的网络攻击检测方法,在所述访问数据采集步骤SI之前,包括:网络攻击预侦测步骤SA1,计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集步骤Si,当所述访问频率未超过所述可疑访问频率阈值时,不进行所述访问数据采集步骤SI及其之后的步骤,而直接判定为所述访问请求不是网络攻击。
[0021]根据本发明的一个方面的网络攻击检测方法,在所述既存网络攻击处理步骤SSl之前,包括:网络攻击预侦测步骤SA1,计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述既存网络攻击处理步骤SS1,当所述访问频率未超过所述可疑访问频率阈值时,不进行所述既存网络攻击处理步骤SSl及其之后的步骤,而直接判定为所述访问请求不是网络攻击。
[0022]根据本发明的一个方面的网络攻击检测方法,所述可疑访问频率阈值是根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值。
[0023]根据本发明的一个方面的网络攻击检测方法,所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低的值。
[0024]根据本发明的一个方面的网络攻击检测方法,所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低20%的值。
[0025]根据本发明的一个方面的网络攻击检测方法,所述第一预定时间与所述第二预定时间相同。
[0026]根据本发明的一个方面的网络攻击检测方法,所述网络攻击是分布式拒绝服务攻击。
[0027]根据本发明的一个方面的网络攻击检测方法,所述分布式拒绝服务攻击是ΗΤΤΡ-Flood 攻击。
[0028]根据本发明的一个方面的网络攻击检测方法,所述访问请求是相同IP地址的访问请求。
[0029]本发明的另一方面的网络攻击检测设备,是针对利用工具脚本或程序自动向网站发起访问请求来进行网络攻击的网络攻击检测设备,包括:访问数据采集单元,在第一预定时间内采集每次所述访问请求的时间信息,根据所述时间信息来计算出各个相邻的两次访问请求之间的访问时间间隔数据,以构成访问时间间隔数据组;访问数据离散程度计算单元,根据所述访问时间间隔数据组,来计算所述访问时间间隔数据组的离散程度;和攻击数据判定单元,当所述离散程度在预定的攻击数据离散范围内时,判定为所述访问请求是网络攻击,当所述离散程度不在所述预定的攻击数据离散范围内时,判定为所述访问请求不是网络攻击,并输出该判定结果作为最终检测结果,所述预定的攻击数据离散范围是根据所述网站的网络环境来预先确定