录的与所述时段X具有映射关系的时段的应用层数据包的数量;
[0166]或者,
[0167]所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。
[0168]可选的,在本发明一些可能的实施方式中,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。
[0169]可选的,在本发明一些可能的实施方式中,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。
[0170]可以看出,本实施例检测装置720基于获取的进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量,若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,其中,由于一并参考了传输层空链接数量、携带了网际互联协议地址i和公共网关接口标识j的应用层数据包的数量等几个方面的统计数据,实践发现这样有利于更准确的进行应用层慢速攻击告警,可见这有利于提高应用层慢速攻击告警准确度。
[0171 ] 本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任何一种应用层慢速攻击检测方法的部分或全部步骤。
[0172]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0173]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0174]在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
[0175]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0176]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0177]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM, Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0178]以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【主权项】
1.一种应用层慢速攻击检测方法,其特征在于,包括: 获取进入服务器的流量; 基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量; 若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于I的正整数。2.根据权利要求1所述的方法,其特征在于,所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,包括:在统计出的时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段X为所述K个时段之中的任意一个时段。3.根据权利要求2所述的方法,其特征在于,所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。4.根据权利要求2所述的方法,其特征在于, 所述源网际互联协议地址k为所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。5.根据权利要求1至4任一项所述的方法,其特征在于,时段X为所述K个时段之中的任意一个时段;其中, 所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段X丨的应用层数据包的数量,其中,所述参考时段X ;与所述时段X具有映射关系; 或者, 所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。6.根据权利要求1至5任一项所述的方法,其特征在于,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。7.根据权利要求1至6任一项所述的方法,其特征在于,所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。8.一种应用层慢速攻击检测装置,其特征在于,包括: 获取单元,用于获取进入服务器的流量; 统计单元,用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量; 攻击告警单元,用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值,并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述K为大于或等于I的正整数,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。9.根据权利要求8所述的装置,其特征在于, 在所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警的方面,所述攻击告警单元具体用于,在统计出的时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述时段X为所述K个时段之中的任意一个时段。10.根据权利要求9所述的装置,其特征在于, 所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中,携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量; 或者, 所述源网际互联协议地址k为所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。11.根据权利要求8至10任一项所述的装置,其特征在于,时段X为所述K个时段之中的任意一个时段;其中, 所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量,大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段X '的应用层数据包的数量,所述参考时段X ;与所述时段X具有映射关系; 或者, 所述预设阈值条件包括:所述时段X内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。12.根据权利要求8至11任一项所述的装置,其特征在于,所述K大于或者等于2,所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。13.根据权利要求8至12任一项所述的装置,其特征在于,所述传输层空链接为所承载数据包的数量小于或第四阈值的传输层链接。14.一种通信系统,其特征在于,包括: 服务器和检测装置; 所述检测装置用于,获取进入所述服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址,所述K为大于或等于I的正整数。
【专利摘要】本发明实施例公开了应用层慢速攻击检测方法和相关装置。其中,一种应用层慢速攻击检测方法,包括:获取进入服务器的流量;基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量;若统计出的所述传输层空链接的数量大于或等于第一阈值,且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件,针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警,所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。本发明实施例的技术方案有利于期提高应用层慢速攻击告警准确度。
【IPC分类】H04L29/06, H04L12/26
【公开号】CN105591832
【申请号】CN201410640483
【发明人】闫帅帅, 周志彬
【申请人】腾讯数码(天津)有限公司
【公开日】2016年5月18日
【申请日】2014年11月13日