受到网络攻击,若受到网络攻击,根据相关信息中客户端的标识,获取在待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小;根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端;对疑似攻击客户端再次发送的访问请求进行丢弃处理,从而能够结合待检测时间段内接收到的所有客户端的访问请求来确定是否受到攻击,能够在主客户端控制多个从客户端进行DD0S攻击时准确地识别出该攻击并进行防御,从而提高了 DD0S攻击的检测准确度,提高了检测效率和防御效果。
【附图说明】
[0043]图1为本发明提供的针对网络攻击的处理方法一个实施例的流程图;
[0044]图2为IDC机房在不同时间段内接收到的访问请求的次数的分布图;
[0045]图3为访问数据包的波动大小的分布图;
[0046]图4为本发明提供的针对网络攻击的处理方法又一个实施例的流程图;
[0047]图5为访问IDC机房的部分客户端为攻击者时IDC机房接收到的访问请求的次数的分布图。
[0048]图6为本发明提供的针对网络攻击的处理方法又一个实施例的流程图;
[0049]图7为本发明提供的针对网络攻击的处理方法又一个实施例的流程图;
[0050]图8为本发明提供的针对网络攻击的处理装置一个实施例的结构示意图。
【具体实施方式】
[0051]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0052]图1为本发明提供的针对网络攻击的处理方法一个实施例的流程图,如图1所示,具体包括以下步骤:
[0053]101、获取待监测时间段内接收到的访问请求的相关信息。
[0054]本发明提供的针对网络攻击的处理方法的执行主体为针对网络攻击的处理装置,针对网络攻击的处理装置可以为运营商互联网数据中心(Internet Data Center,IDC)、月艮务器、实现服务器功能的终端等可以接收多个客户端的访问请求并将客户端所访问的数据包等返回给客户端的设备。访问请求可以为客户端浏览网页、使用应用、下载视频、图片或其他资源时所发送的请求。访问请求中可以携带:客户端标识、请求时间、所请求的数据包的大小、访问目的地等。其中,客户端标识具体可以为客户端的IP地址或客户端对应的主机的编号等。访问目的地可以为目的IP地址。
[0055]访问请求的相关信息可以为IDC机房接收到的访问请求的数量、IDC机房接收到的访问请求中访问数据包的大小等。待监测时间段可以为任意时间段,例如每天9:00-10:00、每天12:00-14:00,12:05-12:45等,可以根据需要或者IDC机房在各个时间段接收到的访问请求的数量进行设定,此处不做限定。
[0056]102、根据相关信息,判断待监测时间段内是否受到网络攻击。
[0057]在访问IDC机房的客户端均为正常用户的情况下,IDC机房在不同时间段内接收到的访问请求的次数一般呈现高斯分布,如图2所示。而在访问IDC机房的部分客户端为攻击者的情况下,由于攻击者大多发送随机生成的或重复的简单的访问请求来形成攻击流,因此,攻击者发送的访问请求会导致IDC机房接收到的访问请求的次数呈上升趋势,直至IDC机房资源耗尽或者几乎耗尽,因此,根据IDC机房在待监测时间段内接收到的访问请求的次数的走势可以判断待监测时间段内是否受到网络攻击。
[0058]另外,在访问IDC机房的客户端均为正常用户的情况下,IDC机房在不同时间段内接收到的访问请求中的访问数据包的大小中,正常的访问数据包大小平均值设定为S,每次访问数据包大小假设为α (η),则每次数据包大小波动为(δ-α (η)),该波动大小的分布在大样本中也是符合高斯分布的,如图3所示。而在访问IDC机房的部分客户端为攻击者的情况下,为了耗尽IDC机房的资源,攻击者大多发送访问极大的数据包的访问请求,使得IDC机房将极大的数据包反馈给攻击者,因此,攻击者发送的访问极大的数据包的访问请求会导致IDC机房接收到的访问请求中大部分访问数据包的大小远远大于正常的访问数据包大小,使得波动大小的分布在大样本中不符合高斯分布。因此,根据IDC机房在待监测时间段内接收到的访问请求中访问数据包的大小可以判断待监测时间段内是否受到网络攻击。
[0059]另外,结合IDC机房在待监测时间段内接收到的访问请求的次数的走势,以及IDC机房在待监测时间段内接收到的访问请求中访问数据包的大小可以更好的判断待监测时间段内是否受到网络攻击。
[0060]103、若受到网络攻击,根据相关信息中客户端的标识,获取在待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小。
[0061]104、根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端。
[0062]其中,在客户端为攻击者的情况下,客户端对应的访问请求的次数会超过正常次数阈值,客户端发送的访问请求中大部分访问数据包的大小也会超过正常的访问数据包的大小。根据上述两点中的任意一点或两点,可以判断访问IDC机房的哪一个客户端为攻击者。
[0063]进一步地,在根据客户端对应的访问请求的次数判断客户端是否为攻击者的过程中,可以获取客户端在一秒钟内、一分钟内、几分钟内发送的访问请求的次数,若对应的访问请求的次数大于预设次数阈值的时间段的数量超过正常数量时,或者对应的访问请求的次数大于预设次数阈值的时间段的总长度与待监测时间段的长度的比例大于预设比例时,可以判断获知访问IDC机房的该客户端为攻击者。
[0064]进一步地,在根据客户端发送的访问请求中访问数据包的大小判断客户端是否为攻击者的过程中,可以获取客户端在一秒钟内、一分钟内、几分钟内发送的访问请求中访问数据包的大小,并获取访问数据包与正常的访问数据包之间的波动值,若波动值大于预设波动阈值的数量超过正常数量时,或者波动值大于预设波动阈值的数量与客户端发送的访问请求的总数量的比例大于预设比例时,可以判断获知访问IDC机房的该客户端为攻击者。
[0065]105、对疑似攻击客户端再次发送的访问请求进行丢弃处理。
[0066]其中,此处的丢弃处理可以指:对疑似攻击客户端再次发送的所有访问请求都进行丢弃处理,或者对疑似攻击客户端再次发送的大部分访问请求进行丢弃处理。例如丢弃到疑似攻击客户端再次发送的9成以上的访问请求。
[0067]本实施例中,通过获取待监测时间段内接收到的访问请求的相关信息,根据相关信息,判断待监测时间段内是否受到网络攻击,若受到网络攻击,根据相关信息中客户端的标识,获取在待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小;根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端;对疑似攻击客户端再次发送的访问请求进行丢弃处理,从而能够结合待检测时间段内接收到的所有客户端的访问请求来确定是否受到攻击,能够在主客户端控制多个从客户端进行DD0S攻击时准确地识别出该攻击并进行防御,从而提高了 DD0S攻击的检测准确度,提高了检测效率和防御效果。
[0068]图4为本发明提供的针对网络攻击的处理方法又一个实施例的流程图,如图4所示,在图1所示实施例的基础上,步骤102具体可以包括:
[0069]1021、若相关信息为在待监测时间段内接收到的访问请求的次数和对应的时间点,则根据在待监测时间段内接收到的访问请求的次数和对应的时间点,判断在待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增。
[0070]其中,如图5所示,为访问IDC机房的部分客户端为攻击者时IDC机房接收到的访问请求的次数的分布图。需要进行说明的是,由于访问IDC机房的还有部分正常客户端,因此,随时间点的递增,对应的访问请求的次数