网络攻击行为检测方法和装置的制造方法
【技术领域】
[0001] 本发明涉及攻击检测领域,具体而言,涉及一种网络攻击行为检测方法和装置。
【背景技术】
[0002] 随着互联网的快速发展,互联网已经成为人们生活中的一部分。然而互联网中的 服务器常常会受到一些恶意攻击,造成服务器停止服务或者痛疾,例如CC攻击,其中,CC为 化allengeCollapsar缩写,其前身名为化忧Oy攻击,是利用不断对服务器发送连接请求致 使形成拒绝服务的一种攻击方式。因此,服务器的安全防护成为互联网服务中比较重要的 一个环节。
[0003] 目前,针对服务器攻击如CC攻击的防护,通常采用简单的阔值触发对源IP进行限 速的方案,W达到对攻击行为的阻断目的,其具体防护方式如下:
[0004] 首先由管理员配置服务器的访问阔值,在攻击者发起对服务器的攻击行为时,防 护设备根据管理员配置的访问阔值,检测并发现攻击行为;防护设备对访问服务器的源IP 进行限速。
[0005] 然而,上述防护方式存在W下问题:不同业务的服务器需要配置不同的阔值,因此 管理员需要对不同的服务器配置相应地访问阔值。当需要更改访问阔值时,管理员需要手 动设置更改,访问阔值的配置不灵活。另外,由于现有的防护方式主要通过短时间内访问量 暴增超过阔值来触发攻击检测,因此无法检测长期连续缓慢的慢速攻击行为。
[0006] 针对现有技术中无法检测慢速攻击行为的问题,目前尚未提出有效的解决方案。
【发明内容】
[0007] 本发明实施例提供了一种网络攻击行为检测方法和装置,W至少解决现有技术中 无法检测慢速攻击行为的技术问题。
[000引根据本发明实施例的一个方面,提供了一种网络攻击行为检测方法,包括;检测目 标时间段内网络访问服务器的访问量;判断所述目标时间段内的访问量是否超过预设阔 值,其中,所述预设阔值为根据所述目标时间段之前预设时间段内的访问量得到的阔值,所 述预设时间段随着所述目标时间段的变化进行动态调整;如果判断出所述目标时间段内的 访问量超过所述预设阔值,则提取访问所述服务器的访问行为的行为特征;判断提取的行 为特征是否符合正常访问特征,其中,所述正常访问特征为根据非攻击行为提取的行为特 征;W及如果提取的行为特征不符合正常访问特征,则确定所述访问行为是攻击行为。
[0009] 根据本发明实施例的另一方面,还提供了一种网络攻击行为检测装置,包括:第一 检测单元,用于检测目标时间段内网络访问服务器的访问量;第一判断单元,用于判断所述 目标时间段内的访问量是否超过预设阔值,其中,所述预设阔值为根据所述目标时间段之 前预设时间段内的访问量得到的阔值,预设时间段随着目标时间段的变化进行动态调整; 提取单元,用于如果判断出所述目标时间段内的访问量超过所述预设阔值,则提取访问所 述服务器的访问行为的行为特征;第二判断单元,用于判断提取的行为特征是否符合正常 访问特征,其中,所述正常访问特征为根据非攻击行为提取的行为特征;W及第一确定单 元,用于如果提取的行为特征不符合正常访问特征,则确定所述访问行为是攻击行为。
[0010] 根据本发明实施例,通过提取访问行为的行为特征,判断该行为特征是否符合正 常访问特征来检测攻击行为,送样,既能够检测出快速的暴力攻击也可W识别出长期连续 缓慢的慢速攻击,从而解决了现有技术中无法检测慢速攻击行为的技术问题,达到了准确 识别慢速攻击行为的效果。
【附图说明】
[0011] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0012] 图1是根据本发明实施例的一种防护系统的示意图;
[0013] 图2是根据本发明实施例的网络攻击行为检测方法的流程图;
[0014] 图3是根据本发明实施例的网络攻击行为检测方法的时序图;
[0015] 图4是根据本发明实施例优选的网络攻击行为检测方法的流程图;
[0016] 图5是根据本发明实施例的另一种防护系统的示意图;
[0017] 图6是根据本发明实施例的网络攻击行为检测装置的示意图;
[0018] 图7是根据本发明实施例优选的网络攻击行为检测装置的示意图;W及
[0019] 图8是根据本发明实施例的检测设备的示意图。
【具体实施方式】
[0020] 在描述本发明实施例的之前,首先对本发明实施例中涉及到的专业属于进行解 释:
[0021] TCP ;全称为Transmission Control Protocol,传输控制协议TCP是一种面向连 接(连接导向)的、可靠的、基于字节流的传输层(Transport layer)通信协议,由IETF的 RFC 793说明(specified)。TCP在IP报文的协议号是6。在简化的计算机网络OSI模型中, 它完成第四层传输层所指定的功能。
[0022] HTTP ;超文本传输协议(HTTP-Hype;rtext transfer protocol)是一种详细规定 了浏览器和万维网服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协 议。
[002引 CC攻击;CC =化allengeCollapsar,其前身名为化忧oy攻击,是利用不断对网站 发送连接请求致使形成拒绝服务的目的。
[0024] 访问行为;一个客户端对服务器的访问,具有时间和空间上的特征。
[0025] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范 围。
[0026] 需要说明的是,本发明的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解送样使用 的数据在适当情况下可W互换,W便送里描述的本发明的实施例能够W除了在送里图示或 描述的郝些W外的顺序实施。此外,术语"包括"和"具有"W及他们的任何变形,意图在于 覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限 于清楚地列出的郝些步骤或单元,而是可包括没有清楚地列出的或对于送些过程、方法、产 品或设备固有的其它步骤或单元。
[0027] 实施例1
[0028] 根据本发明实施例,提供了一种网络攻击行为检测方法。
[0029] 可选地,在本实施例中,该网络攻击行为检测方法可W应用于如图1所示的防护 系统中,该防护系统包括服务器101、防护设备102和网关路由器103,其中,客户端104可 W通过网络访问服务器101。客户端104可W是一个也可W是多个,服务器101也可W是一 个或者多个。上述网络包括但不限于;广域网、城域网或局域网。需要说明的是,本发明实 施例中的客户端104可W是如图1所示的个人电脑(PC),也可W是手机、PDA、平板电脑、游 戏机等终端。具体地,该网络攻击行为检测方法可W由检测设备来执行,其中,检测设备可 W设置在图1中的防护设备102上。
[0030] 如图2所示,本发明实施例的网络攻击行为检测方法包括W下步骤:
[003。 步骤S202,检测目标时间段内网络访问服务器的访问量。
[0032]目标时间段可W使当前的一个时间段,也可W是任意的一个时间段,在该目标时 间段内,不同的用户可W利用客户端104通过网络访问服务器101,向服务器101请求资源。 该服务器101可W是网站服务器,例如,web服务器、化化服务器等。检测目标时间段内访 问服务器的访问量,W便于监控在该目标时间段内该服务器101的访问行为中是否存在攻 击行为。
[003引步骤S204,判断目标时间段内的访问量是否超过预设阔值。其中,预设阔值为根据 目标时间段之前预设时间段内的访问量得到的阔值,预设时间段随着目标时间段的变化进 行动态调整。
[0034] 在检测到目标时间段内的访问服务器101的访问量之后,将该访问量与预设阔值 进行比较,W判断该阔值是否超过预设阔值。其中,该预设阔值为根据预设时间段内统计的 服务器101的访问量得到的阔值,不同业务的服务器其预设阔值可W相同也可W不同。预 设时间段可W是目标时间段之前的一段时间。当目标时间段在改变时,预设时间段可W进 行相应地调整,及预设时间段随着目标时间段的变化来调整,其中,预设阔值可W由调整后 的预设时间段内的访问量计算得到。送样,可W使得预设阔值无需通过人工设置,直接由预 设时间段内服务器101的访问量计算得到,同时随着目标时间段的变化,进行动态调整。
[0035] 步骤S206,如果判断出目标时间段内的访问量超过预设阔值,则提取访问服务器 的访问行为的行为特征。
[0036] 提取的访问行为的行为特征可W是任意源IP访问服务器101的访问量和该源IP 访问服务器101所请求的资源,提取送些访问行为的行为特征W便于根据该特征确定访问 行为是否为攻击行为。
[0037] 步骤S208,判断提取的行为特征是否符合正常访问特征,其中,正常访问特征为根 据非攻击行为提取的行为特征。
[003引正常访问特征可W是根据正常