用于,
[0102]若相关信息为在待监测时间段内接收到的访问请求的次数、对应的时间点以及访问请求中访问数据包的大小,则根据在待监测时间段内接收到的访问请求的次数和对应的时间点,判断在待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;并依次获取每个访问数据包的大小和预配置的访问数据包的大小的波动值;判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量;
[0103]若在待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,且判断出波动值大于预设阈值的访问数据包的数量大于或等于预设数量,则判断出待监测时间段内受到网络攻击。
[0104]本实施例中,通过获取待监测时间段内接收到的访问请求的相关信息,根据相关信息,判断待监测时间段内是否受到网络攻击,若受到网络攻击,根据相关信息中客户端的标识,获取在待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小;根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端;对疑似攻击客户端再次发送的访问请求进行丢弃处理,从而能够结合待检测时间段内接收到的所有客户端的访问请求来确定是否受到攻击,能够在主客户端控制多个从客户端进行DD0S攻击时准确地识别出该攻击并进行防御,从而提高了 DD0S攻击的检测准确度,提高了检测效率和防御效果。
[0105]最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【主权项】
1.一种针对网络攻击的处理方法,其特征在于,包括: 获取待监测时间段内接收到的访问请求的相关信息; 根据所述相关信息,判断所述待监测时间段内是否受到网络攻击; 若受到网络攻击,根据所述相关信息中客户端的标识,获取在所述待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小; 根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端; 对所述疑似攻击客户端再次发送的访问请求进行丢弃处理。2.根据权利要求1所述的方法,其特征在于,所述根据所述相关信息,判断所述待监测时间段内是否受到网络攻击,包括: 若所述相关信息为在所述待监测时间段内接收到的访问请求的次数和对应的时间点,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增; 若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,则判断出所述待监测时间段内受到网络攻击; 若在所述待监测时间段内,随着时间点的递增,其对应的访问请求的次数不是持续递增,则判断出所述待监测时间段内没有受到网络攻击。3.根据权利要求1所述的方法,其特征在于,所述根据所述相关信息,判断所述待监测时间段内是否受到网络攻击,包括: 若所述相关信息为在所述待监测时间段内接收到的访问请求中访问数据包的大小,则依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值; 判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量; 若判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击; 若判断出波动值大于所述预设阈值的访问数据包的数量小于所述预设数量,则判断出所述待监测时间段内没有受到网络攻击。4.根据权利要求1所述的方法,其特征在于,所述根据所述相关信息,判断所述待监测时间段内是否受到网络攻击,包括: 若所述相关信息为在所述待监测时间段内接收到的访问请求的次数、对应的时间点以及访问请求中访问数据包的大小,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;并依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值;判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量; 若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,且判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击。5.一种针对网络攻击的处理装置,其特征在于,包括: 获取模块,用于获取待监测时间段内接收到的访问请求的相关信息; 判断模块,用于根据所述相关信息,判断所述待监测时间段内是否受到网络攻击; 所述获取模块,还用于在受到网络攻击时,根据所述相关信息中客户端的标识,获取在所述待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小; 所述获取模块,还用于根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端; 丢弃模块,用于对所述疑似攻击客户端再次发送的访问请求进行丢弃处理。6.根据权利要求5所述的装置,其特征在于,所述判断模块具体用于, 若所述相关信息为在所述待监测时间段内接收到的访问请求的次数和对应的时间点,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增; 若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,则判断出所述待监测时间段内受到网络攻击; 若在所述待监测时间段内,随着时间点的递增,其对应的访问请求的次数不是持续递增,则判断出所述待监测时间段内没有受到网络攻击。7.根据权利要求5所述的装置,其特征在于,所述判断模块具体用于, 若所述相关信息为在所述待监测时间段内接收到的访问请求中访问数据包的大小,则依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值; 判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量; 若判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击; 若判断出波动值大于所述预设阈值的访问数据包的数量小于所述预设数量,则判断出所述待监测时间段内没有受到网络攻击。8.根据权利要求5所述的装置,其特征在于,所述判断模块具体用于, 若所述相关信息为在所述待监测时间段内接收到的访问请求的次数、对应的时间点以及访问请求中访问数据包的大小,则根据所述在所述待监测时间段内接收到的访问请求的次数和对应的时间点,判断在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数是否持续递增;并依次获取每个所述访问数据包的大小和预配置的访问数据包的大小的波动值;判断波动值大于预设阈值的访问数据包的数量是否大于或等于预设数量; 若在所述待监测时间段内,随时间点的递增,其对应的访问请求的次数持续递增,且判断出波动值大于所述预设阈值的访问数据包的数量大于或等于所述预设数量,则判断出所述待监测时间段内受到网络攻击。
【专利摘要】本发明提供一种针对网络攻击的处理方法和装置,其中方法包括:通过获取待监测时间段内接收到的访问请求的相关信息,根据相关信息,判断待监测时间段内是否受到网络攻击,若受到网络攻击,根据相关信息中客户端的标识,获取在待监测时间段内,每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小;根据每个客户端的标识对应的访问请求的次数和/或访问请求中访问数据包的大小,获取疑似攻击客户端并对其再次发送的访问请求进行丢弃处理,从而能够结合待监测时间段内接收到的所有客户端的访问请求来确定是否受到攻击,能够准确地识别出该攻击并进行防御,从而提高了DDOS攻击的检测准确度,提高了检测效率和防御效果。
【IPC分类】H04L29/06
【公开号】CN105337966
【申请号】CN201510673219
【发明人】朱峰
【申请人】中国联合网络通信集团有限公司
【公开日】2016年2月17日
【申请日】2015年10月16日