【技术实现步骤摘要】
一种慢速攻击检测方法及装置
本说明书实施例涉及网络通信
,尤其涉及一种慢速攻击检测方法及装置。
技术介绍
随着网络的高速发展,网络安全问题也日渐增多。DDoS(DistributedDenialofService,分布式拒绝服务)攻击是目前最强大、最难防御的攻击之一,其主要目的是让指定目标无法提供正常服务。以往的DDoS攻击主要以单一报文的大流量攻击为主,近几年来已演变为慢速攻击,该慢速攻击更具有隐蔽性,是对正常网络协议的变形,完全符合协议要求,因此,对慢速攻击的防护更加困难。慢速攻击主要是通过以较小的数据量、较低的速率,维持与服务器的连接,从而消耗服务器资源。现有技术中对慢速攻击的检测,主要通过检测请求数据的大小、服务器响应的时间与速率等属性,判断是否为慢速攻击,因此存在一定的误报率。
技术实现思路
有鉴于此,本说明书实施例提供一种慢速攻击检测方法及装置,技术方案如下:一种慢速攻击检测方法,其特征在于,所述方法包括:根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;比较所计算...
【技术保护点】
1.一种慢速攻击检测方法,其特征在于,所述方法包括:根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;比较所计算的攻击值是否大于预设攻击阈值;在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文,并计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。
【技术特征摘要】
1.一种慢速攻击检测方法,其特征在于,所述方法包括:根据预设的攻击值计算规则,确定用于计算攻击值的预设攻击特征;确定接收到的报文中各预设攻击特征的值,并根据所述特征值计算所述报文的攻击值;比较所计算的攻击值是否大于预设攻击阈值;在所计算的攻击值大于预设攻击阈值的情况下,确定所述报文为慢速攻击报文,并计算新攻击阈值;所述新攻击阈值用于后续的慢速攻击检测,且所述新攻击阈值不大于旧攻击阈值。2.根据权利要求1所述的方法,其特征在于,所述确定接收到的报文中各预设攻击特征的值,包括:确定接收到的报文的长度;判断所确定的报文长度是否为预设长度值;在所确定的报文长度为预设长度值的情况下,判断所述报文是否为确认报文及所述报文的接收窗口值是否为预设窗口值;在所述报文为确认报文且接收窗口值为预设窗口值的情况下,根据所述预设长度值、确认报文类型及预设窗口值,得到对应的攻击特征的值。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:在所确定的报文长度不为预设长度值的情况下,判断所述报文是否包括预设字符串;在所述报文包括预设字符串的情况下,判断所述报文中是否包括头信息与负载;在所述报文中仅包括负载的情况下,确定所述报文对应的上一请求报文;根据本报文的负载长度与所述上一请求报文的负载长度,得到总负载长度;比较总负载长度与所述上一请求报文的头信息中的预设字段值,并根据比较结果与所述包括预设字符串,得到对应的攻击特征的值。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:在所述报文中仅包括头信息的情况下,记录所述头信息中的预设字段值;和/或在所述报文中包括头信息与负载的情况下,记录所述头信息中的预设字段值及所包括负载长度的值。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:在所述报文不包括预设字符串的情况下,确定所述报文的最大分段长度;比较所述报文长度是否小于所述最大分段长度,若是,则根据所述报文长度与所述最大分段长度,得到对应的攻击特征的值。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:在确定所述报文为...
【专利技术属性】
技术研发人员:许雪峰,吴庆,王树太,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。