HTTPGetFlood攻击的检测方法、装置、电子设备及介质与流程

本公开涉及信息安全，具体涉及一种http get flood攻击的检测方法、装置、电子设备、介质和程序产品。

背景技术：

1、ddos(distributed denial of service，分布式拒绝服务)攻击作为目前一种流行的攻击方式，产生的危害包括：网络带宽耗尽、服务器/客户端资源耗尽等危害。http getflood攻击，是攻击者模仿正常用户访问web服务器，利用代理服务器向web服务器发送大量的http get请求，使web服务器负载极高，无法响应正常用户请求。2004年的mydoom蠕虫就是一种http get flooding型攻击。

2、与传统的基于低层协议的ddos攻击相比，应用层ddos具有更加显著的攻击效果，而且更加难以检测，可以预计未来基于应用层的ddos攻击将有更多不同的形式。因此，研究应用层ddos的检测防御方法是非常重要的。

3、现有的应用层ddos检测方法及其相应缺陷主要有以下三种：

4、(1)基于数据包特征的入侵检测技术：构造攻击特征库，然后通过捕获数据包与特征库中攻击信息比较，检测是否发生攻击。由于目前的http get flood型攻击采用的负载信息与正常用户行为相同，所以该方法难以检测此类攻击。

5、(2)流量限制：当http get流量超过警戒线，就阻塞所有的web请求信息。不足之处明显，正常用户也无法访问。

6、(3)基于访问频率的检测方法：如果在给定时间内访问相同web页面的次数超过阈值，发生攻击，通过web服务器上的日志文件，阻断该ip地址。不足之处是，攻击者可以通过改变攻击参数(如，攻击时间间隔)，逃避该检测技术。

7、由此可见，这些方法在检测应用层ddos攻击(如：http get flood)攻击时，普遍存在检测率不高或者检测速度较慢的问题。

技术实现思路

1、鉴于上述问题，本公开提供了一种http get flood攻击的检测方法、装置、电子设备、介质和程序产品，将http get flood攻击检测效果得到明显改善。

2、根据本公开的第一个方面，提供了一种http get flood攻击的检测方法，包括：获取针对web服务器的日志文件和多个网络流量数据包，每个网络流量数据包来自一个用户ip地址；识别多个网络流量数据包中的http数据流；从http数据流和日志文件中提取出每个用户ip地址的访问行为数据；使用隐半马尔科夫模型对多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址；生成每个用户ip地址的攻击检测结果。

3、根据本公开的实施例，识别多个网络流量数据包中的http数据流，包括针对多个网络流量数据包中的任一网络流量数据包，执行以下操作：提取网络流量数据包中的网络端口和目的ip地址；在网络端口和目的ip地址分别与web服务器的指定端口和指定ip地址相匹配时，确定网络流量数据包属于http数据流。

4、根据本公开的实施例，识别多个网络流量数据包中的http数据流，还包括针对多个网络流量数据包中的任一网络流量数据包，执行以下操作：提取网络流量数据包的报文，报文包括请求报文或响应报文；在报文中出现相邻设置的指定http协议版本字段和换行符的情况下，确定网络流量数据包属于http数据流。

5、根据本公开的实施例，每个访问行为数据包括：在预定时间段内，每个用户ip地址对不存在的url的http get请求数量；每个用户ip地址的http get data字段；每个用户ip地址对web服务器的多个web页面的访问次序；每个用户ip地址按照访问次序，对相邻两个web页面的访问时间间隔；每个用户ip地址对web服务器的多个web页面的浏览时间和每个web页面包含的信息量。

6、根据本公开的实施例，用户ip地址包括第一用户ip地址；使用隐半马尔科夫模型对多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址，包括：在确定预定时间段内第一用户ip地址对不存在的url的http get请求数量超过预设的请求数量阈值，或者第一用户ip地址的http get data字段包含无意义信息的情况下，将第一用户ip地址确定为目标ip地址。

7、根据本公开的实施例，用户ip地址还包括第二用户ip地址；使用隐半马尔科夫模型对多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址，还包括：在确定多个第二用户ip地址对web服务器的多个web页面的访问次序相同，且多个第二用户ip地址按照访问次序，对相邻两个web页面的访问时间间隔相同的情况下，将多个第二用户ip地址确定为目标ip地址。

8、根据本公开的实施例，用户ip地址还包括第三用户ip地址；使用隐半马尔科夫模型对多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址，还包括针对多个web页面的每个web页面，执行以下操作：确定web页面包含的信息量；根据信息量，设定web页面的正常浏览时间和预定比例，将正常浏览时间与预定比例的乘积作为web页面的浏览时间阈值；在确定第三用户ip地址对web页面的实际浏览时间少于浏览时间阈值的情况下，将第三用户ip地址确定为目标ip地址。

9、根据本公开的实施例，该方法还包括：对来自目标ip地址的网络流量数据包进行阻断；或者对每个用户ip地址的攻击检测结果和对应的防御措施进行可视化展示。

10、本公开的第二方面提供了一种http get flood攻击的检测装置，包括：数据包获取模块，用于获取针对web服务器的日志文件和多个网络流量数据包，每个网络流量数据包来自一个用户ip地址；http数据流识别模块，用于识别多个网络流量数据包中的http数据流；访问行为数据提取模块，用于从http数据流和日志文件中提取出每个用户ip地址的访问行为数据；攻击检测模块，用于使用隐半马尔科夫模型对多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址；检测结果生成模块，用于生成每个用户ip地址的攻击检测结果。

11、本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述http get flood攻击的检测方法。

12、本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述http get flood攻击的检测方法。

13、本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述http get flood攻击的检测方法。

技术特征：

1.一种http get flood攻击的检测方法，包括：

2.根据权利要求1所述的方法，其中，所述识别所述多个网络流量数据包中的http数据流，包括针对所述多个网络流量数据包中的任一网络流量数据包，执行以下操作：

3.根据权利要求1所述的方法，其中，所述识别所述多个网络流量数据包中的http数据流，还包括针对所述多个网络流量数据包中的任一网络流量数据包，执行以下操作：

4.根据权利要求1所述的方法，其中，每个所述访问行为数据包括：

5.根据权利要求4所述的方法，其中，所述用户ip地址包括第一用户ip地址；所述使用隐半马尔科夫模型对所述多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址，包括：

6.根据权利要求4所述的方法，其中，所述用户ip地址还包括第二用户ip地址；所述使用隐半马尔科夫模型对所述多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址，还包括：

7.根据权利要求4所述的方法，其中，所述用户ip地址还包括第三用户ip地址；所述使用隐半马尔科夫模型对所述多个访问行为数据进行检测，确定存在http get flood攻击的目标ip地址，还包括针对所述多个web页面的每个web页面，执行以下操作：

8.根据权利要求1所述的方法，其中，所述方法还包括：

9.一种http get flood攻击的检测装置，包括：

10.一种电子设备，包括：

11.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～8中任一项所述的方法。

12.一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现根据权利要求1～8中任一项所述的方法。

技术总结
本公开提供了一种HTTP Get Flood攻击的检测方法，涉及信息安全技术领域。该方法包括：获取针对Web服务器的日志文件和多个网络流量数据包，每个网络流量数据包来自一个用户IP地址；识别多个网络流量数据包中的HTTP数据流；从HTTP数据流和日志文件中提取出每个用户IP地址的访问行为数据；使用隐半马尔科夫模型对多个访问行为数据进行检测，确定存在HTTP Get Flood攻击的目标IP地址；生成每个用户IP地址的攻击检测结果。本公开还提供了一种HTTP Get Flood攻击的检测装置、电子设备、存储介质和程序产品。

技术研发人员：王佳音,蒋晓晶
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：
技术公布日：2024/1/15