应用层慢速攻击检测方法和相关装置的制造方法

应用层慢速攻击检测方法和相关装置的制造方法
【技术领域】
[0001]本发明涉及图像处理技术领域，具体涉及应用层慢速攻击检测方法和相关装置。
【背景技术】
[0002]目前，网络攻击经常出现，可以说是无处不在。互联网中隐匿着大量的黑客和各类计算机病毒。对于提供网络业务的一些服务器而言，当其受到网络攻击时往往就难以正常提供服务。
[0003]应用层慢速攻击是一种常见的网络攻击方式，这种攻击方式对服务器正常工作造成了较大的障碍，因此，如何能够慢速准确的检测出服务器当前是否遭受应用层慢速攻击变得很重要。
[0004]本发明的发明人在研究和实践过程中发现，现有的应用层慢速攻击检测算法一般是仅通过对超文本传送协议请求中的公共网关接口的统计结果来判断服务器当前是否遭受应用层慢速攻击，然而实践发现这种检测算法的误报率是相当高的。

【发明内容】

[0005]本发明实施例提供应用层慢速攻击检测方法和相关装置，以期提高应用层慢速攻击告警准确度。
[0006]本发明实施例的第一方面提供一种应用层慢速攻击检测方法，包括:
[0007]获取进入服务器的流量；
[0008]基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；
[0009]若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址，所述K为大于或等于I的正整数。
[0010]本发明第二方面提供一种应用层慢速攻击检测装置，包括:
[0011]获取单元，用于获取进入服务器的流量；
[0012]统计单元，用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；
[0013]攻击告警单元，用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值，并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述K为大于或等于I的正整数，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
[0014]本发明第三方面提供一种通信系统，包括:
[0015]服务器和检测装置；
[0016]所述检测装置用于，获取进入所述服务器的流量；基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址，所述K为大于或等于I的正整数。
[0017]可以看出，本实施例应用层慢速攻击检测装置基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量，若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，其中，由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据，实践发现这样有利于更准确的进行应用层慢速攻击告警，降低错误告警率，可见上述技术方案有利于提高应用层慢速攻击告警准确度。
【附图说明】
[0018]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0019]图1是本发明实施例提供的一种应用层慢速攻击检测方法的流程示意图；
[0020]图2是本发明实施例提供的另一种流量基线的更新方法的流程示意图；
[0021]图3_a是本发明实施例提供的另一种应用层慢速攻击检测方法的流程示意图；
[0022]图3_b是本发明实施例提供的一种通信系统的架构示意图；
[0023]图3-c是本发明实施例提供的另一种通信系统的架构示意图；
[0024]图3-d是本发明实施例提供的一种检测装置的模块架构示意图；
[0025]图4_a是本发明实施例提供的另一种应用层慢速攻击检测方法的流程示意图；
[0026]图4_b是本发明实施例提供的另一种通信系统的架构示意图；
[0027]图5是本发明实施例提供的一种应用层慢速攻击检测装置的示意图；
[0028]图6是本发明实施例提供的另一种应用层慢速攻击检测装置的示意图；
[0029]图7是本发明实施例提供的一种通信系统的示意图。
【具体实施方式】
[0030]本发明实施例提供应用层慢速攻击检测方法和相关装置，以期提高应用层慢速攻击告警准确度。
[0031 ] 为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0032]以下分别进行详细说明。
[0033]本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0034]本发明应用层慢速攻击检测方法的一个实施例。其中，一种应用层慢速攻击检测方法可包括:获取进入服务器的流量；基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议(IP, Internet Protocol)地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址，所述K为大于或等于I的正整数。
[0035]参见图1，图1为本发明的一个实施例提供的一种应用层慢速攻击检测方法的流程示意图。如图1所示，本发明的一个实施例提供的一种应用层慢速攻击检测方法可以包括:
[0036]11、获取进入服务器的流量。
[0037]其中，例如可通过旁路方式获取进入服务器的流量或者可通过截留方式获取进入服务器的流量。或者，也可以直接由服务器自身来获取进入该服务器的流量。
[0038]例如，在服务器与核心交换机互联的情况下，则可以获取通过核心交换进入服务器的流量。
[0039]102、基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量。
[0040]其中，所述传输层空链接例如可为所承载数据包的数量小于或者第四阈值的传输层链接。例如某个传输层链接只承载了极其少量的数据包(例如只承载了 SYN包或包括SYN包在内的三五个数据包)，则可将该传输层链接标记为传输层空链接。也就是说，第四阈值例如可等于1、2、3、4、5、6、8、10或其他值。
[0041]其中，上述预设时长例如可等于2分钟、3分钟、5分钟、6分钟、10分钟或其他时长。
[0042]103、若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警。
[0043]其中，第一阈值例如可等于20、50、100、150或其他值。
[0044]其中，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。所述K为大于或等于I的正整数。例如所述K等于1、2、3、4、6、21或其他值。
[0045]其中，所述公共网关接口标识j可为进入所述服务器的应用层数据包所携带的任意一个公共网关接口标识，或者所述公共网关接口标识j也可为进入所述服务器的应用层数据包所携带的某特定一个公共网关接口标识。
[0046]其中，当所述K大于或等于2，所述K个时段例如可为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
[0047]其中，所述K个时段的时长可相等或部分相等或互不相等。上述K个时段中的任意一个时段的时长例如可为I分钟、2分钟、3分钟、5分钟、10分钟或其他时长。
[0048]可以看出，本实施例检测装置基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量，若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警。由于告警一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据，实践发现这样有利于更准确的进行应用层慢速攻击告警，可见这有利于提高应用层慢速攻击告警准确度。
[0049]研究过程中发现，应用层慢速攻击经常是以占用连接为主要特点，因此参考传输层空连接的统计值有利于更准确的判定服务器是否遭受到了应用层慢速攻击。
[0050]可选的，在本发明一些可能的实施方式中，所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，包括:在统计出的时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中，携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述时段X为所述K个时段之中的任意一个时段。
[0051]可以理解，由于在告警时还一并参考了进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中，携带有源网际互联协议地址k的应用层数据包的数量，实践证明，对源网际互联协议地址这一维度的进一步关注有