针对网络攻击的处理方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种针对网络攻击的处理方法和装置。
【背景技术】
[0002]目前针对运营商互联网数据中心(Internet Data Center,IDC)的网络攻击中,flooding分布式拒绝服务攻击(Distributed Denial of Service,DD0S)是最常见的攻击手段,尤其是针对应用层的DD0S攻击,例如HTTP flooding攻击或者超文本传输协议(Hyper Text Transfer Protocol,HTTP)主机资源耗尽式攻击。HTTP flooding 攻击指的是,攻击侧向被攻击侧发送大量request请求,包括正常请求、redirected page、headerinformat1n等内容进行攻击。HTTP主机资源耗尽式攻击指的是,攻击侧向被攻击侧发送请求大数据量的response包或者请求高复杂度运算能力的request请求,以实现主机资源耗尽。
[0003]现有技术中,针对应用层的DD0S攻击的处理方法是,统计来自各个客户端的request请求的数量,若预设时间段内某个客户端的request请求的数量超过预设阈值,贝lj确定受到DD0S攻击,并确定该客户端为攻击侧,丢弃来自客户端的大量request请求。
[0004]然而现有技术中,DD0S攻击一般是通过一个主客户端控制多个从客户端同时向被攻击侧发送大量的request请求或者请求大数据量的response包的request请求来实现攻击,只根据单个客户端的request请求的数量来确定客户端是否为攻击侧,可能将部分DD0S攻击判断为正常访问,或者将DD0S攻击中的部分从客户端判断为正常客户端,难以对DD0S攻击进行有效的防御,导致DD0S攻击的检测准确度较低,检测效率较差,防御效果较差。
【发明内容】
[0005]本发明提供一种针对网络攻击的处理方法和装置,用于解决现有技术中DD0S攻击的检测准确度较低,检测效率较差,防御效果较差的问题。
[0006]本发明的第一个方面是提供一种针对网络攻击的处理方法,包括:
[0007]获取待监测时间段内接收到的访问请求的相关信息;
[0008]根据所述相关信息,判断所述待监测时间段内是否受到网络攻击;
[0009]若受到网络攻击,根据所述相关信息中客户端的标识,获取在所述待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小;
[0010]根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端;
[0011]对所述疑似攻击客户端再次发送的访问请求进行丢弃处理。
[0012]进一步地,所述根据所述相关信息,判断所述待监测时间段内是否受到网络攻击,包括:
[0013]若所述相关信息为在所述待监测时间段内接收到的访问请求的次数和对应的时间点,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;
[0014]若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,则判断出所述待监测时间段内受到网络攻击;
[0015]若在所述待监测时间段内,随着时间点的递增,其对应的访问请求的次数不是持续递增,则判断出所述待监测时间段内没有受到网络攻击。
[0016]进一步地,所述根据所述相关信息,判断所述待监测时间段内是否受到网络攻击,包括:
[0017]若所述相关信息为在所述待监测时间段内接收到的访问请求中访问数据包的大小,则依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值;
[0018]判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量;
[0019]若判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击;
[0020]若判断出波动值大于所述预设阈值的访问数据包的数量小于所述预设数量,则判断出所述待监测时间段内没有受到网络攻击。
[0021]进一步地,所述根据所述相关信息,判断所述待监测时间段内是否受到网络攻击,包括:
[0022]若所述相关信息为在所述待监测时间段内接收到的访问请求的次数、对应的时间点以及访问请求中访问数据包的大小,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;并依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值;判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量;
[0023]若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,且判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击。
[0024]本发明的另一个方面提供一种针对网络攻击的处理装置,包括:
[0025]获取模块,用于获取待监测时间段内接收到的访问请求的相关信息;
[0026]判断模块,用于根据所述相关信息,判断所述待监测时间段内是否受到网络攻击;
[0027]所述获取模块,还用于在受到网络攻击时,根据所述相关信息中客户端的标识,获取在所述待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小;
[0028]所述获取模块,还用于根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端;
[0029]丢弃模块,用于对所述疑似攻击客户端再次发送的访问请求进行丢弃处理。
[0030]进一步地,所述判断模块具体用于,
[0031 ] 若所述相关信息为在所述待监测时间段内接收到的访问请求的次数和对应的时间点,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;
[0032]若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,则判断出所述待监测时间段内受到网络攻击;
[0033]若在所述待监测时间段内,随着时间点的递增,其对应的访问请求的次数不是持续递增,则判断出所述待监测时间段内没有受到网络攻击。
[0034]进一步地,所述判断模块具体用于,
[0035]若所述相关信息为在所述待监测时间段内接收到的访问请求中访问数据包的大小,则依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值;
[0036]判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量;
[0037]若判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击;
[0038]若判断出波动值大于所述预设阈值的访问数据包的数量小于所述预设数量,则判断出所述待监测时间段内没有受到网络攻击。
[0039]进一步地,所述判断模块具体用于,
[0040]若所述相关信息为在所述待监测时间段内接收到的访问请求的次数、对应的时间点以及访问请求中访问数据包的大小,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;并依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值;判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量;
[0041]若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,且判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击。
[0042]本发明中,通过获取待监测时间段内接收到的访问请求的相关信息,根据相关信息,判断待监测时间段内是否