有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量,实践证明,对源网际互联协议地址这一维度的进一步关注有利于进一步提高应用层慢速攻击告警准确度。
[0121]本发明实施例还提供一种应用层慢速攻击检测装置500,包括:
[0122]获取单元510,用于获取进入服务器的流量。
[0123]统计单元520,用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量。
[0124]攻击告警单元530,用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于I的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
[0125]可选的,在本发明一些可能的实施方式中,在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,攻击告警单元具体用于,在统计出的时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段X为所述K个时段之中的任意一个时段。
[0126]可选的,在本发明一些可能的实施方式中,所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。
[0127]或者,
[0128]所述源网际互联协议地址k为所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。
[0129]可选的,在本发明一些可能的实施方式中,时段X为所述K个时段之中的任意一个时段;其中,
[0130]所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段X具有映射关系的时段的应用层数据包的数量;
[0131]或者,
[0132]所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
[0133]可选的,在本发明一些可能的实施方式中,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
[0134]可选的,在本发明一些可能的实施方式中,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
[0135]可以理解的是,本实施例的检测装置500的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0136]可以看出,本实施例应用层慢速攻击检测装置500基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,并且,统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
[0137]参见图6,图6是本发明另一实施例提供的检测装置600的结构框图。
[0138]其中,检测装置600可以包括:至少I个处理器601,存储器605和至少I个通信总线602。通信总线602用于实现这些组件之间的连接通信。其中,该检测装置600可选的包含用户接口 603,包括显示器(例如触摸屏、液晶显示器、全息成像(英文:Holographic)或者投影(英文:Projector)等)、点击设备(例如鼠标、轨迹球(英文:trackball)触感板或触摸屏等)、摄像头和/或拾音装置等。
[0139]其中,该检测装置600还可包括至少I个网络接口 604。
[0140]其中,存储器605可以包括只读存储器和随机存取存储器,并向处理器601提供指令和数据。其中,存储器605中的一部分还可以包括非易失性随机存取存储器。
[0141]在一些实施方式中,存储器605存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
[0142]操作系统6051,包含各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
[0143]应用程序模块6052,包含各种应用程序,用于实现各种应用业务。
[0144]在本发明实施例中,通过调用存储器605存储的程序或指令,处理器601获取进入服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于I的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
[0145]可选的,在本发明一些可能的实施方式中,在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,处理器601具体用于,在统计出的时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段X为所述K个时段之中的任意一个时段。
[0146]可选的,在本发明一些可能的实施方式中,所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量;
[0147]或者,
[0148]所述源网际互联协议地址k为所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址;
[0149]可选的,在本发明一些可能的实施方式中,时段X为所述K个时段之中的任意一个时段;其中,
[0150]所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的与所述时段X具有映射关系的时段的应用层数据包的数量;
[0151]或者,
[0152]所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
[0153]可选的,在本发明一些可能的实施方式中,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
[0154]可选的,在本发明一些可能的实施方式中,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
[0155]可以理解的是,本实施例的检测装置600的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
[0156]可以看出,本实施例检测装置600基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
[0157]参见图7,图7是本发明另一实施例提供的通信系统的框图。
[0158]其中,通信系统包括服务器710和检测装置720。
[0159]其中,检测装置720用于获取进入服务器710的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于I的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。
[0160]可选的,在本发明一些可能的实施方式中,在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,检测装置720具体用于,在统计出的时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段X为所述K个时段之中的任意一个时段。
[0161]可选的,在本发明一些可能的实施方式中,所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量;
[0162]或者,
[0163]所述源网际互联协议地址k为所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址;
[0164]可选的,在本发明一些可能的实施方式中,时段X为所述K个时段之中的任意一个时段;其中,
[0165]所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记