一种HTTP慢速请求DOS攻击的关联检测方法技术

本发明专利技术涉及一种HTTP慢速请求DOS攻击的关联检测方法，采集WEB服务器的进流量数据包和出流量数据包并解析，以T为时间单位，筛选得到HTTP协议数据包集合，对流量数据包集合的慢速攻击特征和返回码进行分析，分别得到并关联具有慢速攻击特征的数据包总数和服务器无法访问的数据包总数，检测得到服务器对外提供HTTP服务的状态。本发明专利技术能快速识别具有HTTP慢速请求特征的数据包，支持冷启动，及时告警，在安全事件发生之前及时止损；检测到服务器资源耗尽，无法正常提供服务时，对服务错误快速响应，提高检测准确率，减少误告警；统计时间窗口短，检测及时，在数据量较大的情况下也能及时处理，不会造成过多性能损耗或计算延迟。

【技术实现步骤摘要】
一种HTTP慢速请求DOS攻击的关联检测方法
本专利技术涉及特别适用于特定功能的数字计算设备或数据处理设备或数据处理方法的
，特别涉及一种HTTP慢速请求DOS攻击的关联检测方法。
技术介绍
DoS攻击(Denial-of-serviceattack)是一种网络攻击，攻击者通过暂时或者长时间的对服务器发起攻击，导致服务器或者网络源无法正常向用户提供服务。一般攻击者为了利用有限的资源发起较大的攻击，通常会将单个肉鸡的每秒查询速度设定到较大的值，例如每秒5到10次，这种攻击通常针对网络堆栈中的较低层，一般是传输层，而HTTP慢速请求攻击利用了HTTP协议的缺陷，通过第七层发起攻击。HTTPPost方法就是利用了1.1版本的HTTP协议的长连接缺陷，攻击者在数据包的内容长度中声明一个很大的值，但是以非常缓慢的速率发送剩余的数据，导致连接一直被占用，一般用户无法获取到服务器的资源。专利申请号为CN201610556957.3的专利公开了一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置，通过使用杰卡德相似系数计算公式计算时间间隔内属性集合和历史正常属性集合的相似性，与预先设定的阈值做比较，检测Http慢速请求攻击。此专利技术的缺陷在于需要对历史流量进行计算学习、模型训练花费较多时间且计算复杂。专利申请号为CN201510925630.4的专利公开了一种HTTP慢速攻击的防范方法，首先依赖流量学习，对正常访问的被保护主机的流量进行智能学习，利用访问的时间差值从而能够识别哪些页面是耗费资源的页面，记录下来这些页面的信息，然后利用这些消耗资源的页面URL构建URL哈希监控表，具统计每个周期内各源IP对各耗资源页面的访问次数和其访问该网站的总次数，然后在周期时间截至时进行汇总，计算每个源IP的耗时页面访问次数；如果连续几个周期内，出现一些源IP访问的耗资源的页面次数超过设定的阈值，则说明这几个源IP一直在从事低流量而获取大计算量的服务器资源，则进行限制其访问。此专利技术的缺陷在于哈希表会随时间推移越来越大，且判断阈值难以确定，容易产生误报。
技术实现思路
本专利技术解决了现有技术中，HTTP慢速请求DOS攻击检测需要对历史流量进行计算学习、模型训练花费较多时间且计算复杂，而哈希表会随时间推移越来越大，且判断阈值难以确定，容易产生误报的问题，本专利技术提供了一种优化的HTTP慢速请求DOS攻击的关联检测方法。本专利技术所采用的技术方案是，一种HTTP慢速请求DOS攻击的关联检测方法，所述方法包括以下步骤：步骤1：分别采集WEB服务器的进流量数据包和出流量数据包；步骤2：对进流量数据包和出流量数据包进行解析，以T为时间单位，筛选得到HTTP协议数据包集合Di＝{X1,X2,X3,……Xm}，其中m为数据包的个数；步骤3：对流量数据包集合Di的慢速攻击特征进行分析，得到具有慢速攻击特征的数据包总数Spost；步骤4：对流量数据包集合Di的返回码进行分析，得到服务器无法访问的数据包总数Serror；步骤5：对Spost和Serror进行关联，检测得到服务器对外提供HTTP服务的状态。优选地，所述步骤2中，T为10分钟。优选地，所述步骤3中，慢速攻击特征为SlowHTTPPOST特征。优选地，所述步骤3包括以下步骤：步骤3.1：令t＝1；步骤3.2：若数据包Xt的请求头符合内容长度大于5000且连接状态为激活，则对Xt赋值为1，否则，赋值为0；t＝t+1，若t＞m，则进行下一步，否则重复步骤3.2；步骤3.3：以步骤3.2得到的具有相同源IP的所有赋值为集合RsrcIP＝{r1,r2,r3,……rn}，RsrcIP中的值与数据包的赋值一致；步骤3.4：得到具有HTTP慢速请求攻击特征的数据包总数为优选地，所述步骤4包括以下步骤：步骤4.1：令t＝1；步骤4.2：若数据包Xt的的返回码大于等于200且小于500，则赋值为0，否则赋值为1；t＝t+1，若t＞m，则进行下一步，否则重复步骤4.2；步骤4.3：以步骤4.2得到的具有相同源IP的所有赋值为集合CsrcIP＝{c1,c2,c3,……cn}，CsrcIP中的值与数据包的赋值一致；步骤4.4：得到服务器无法访问的数据包总数为优选地，所述步骤5包括以下步骤：步骤5.1：当Spost＞150时，则产生一次安全事件Event1srcIP；步骤5.2：当Serror＞100时，则产生一次安全事件Event2srcIP；步骤5.3：对于每个请求方，若同时产生Event1srcIP和Event2srcIP，则判断为HTTP慢速请求DOS攻击造成服务器无法正常提供服务；若只产生Event1srcIP，则判断所述请求方尝试进行HTTP慢速请求DOS攻击但尚未造成损害；若只产生Event2srcIP，则判断判断服务器已无法正常提供服务；若未产生Event1srcIP和Event2srcIP，则服务器正常。本专利技术提供了一种优化的HTTP慢速请求DOS攻击的关联检测方法，通过采集WEB服务器的进流量数据包和出流量数据包并解析，以T为时间单位，筛选得到HTTP协议数据包集合Di，对流量数据包集合Di的慢速攻击特征和返回码进行分析，分别得到并关联具有慢速攻击特征的数据包总数Spost和服务器无法访问的数据包总数Serror，检测得到服务器对外提供HTTP服务的状态。本专利技术具有以下有益效果：(1)能够快速识别具有HTTP慢速请求特征的数据包，支持冷启动，在发起攻击的初步阶段就能做到及时告警，在安全事件发生之前及时止损；(2)采用因果关联的方法，在检测到服务器资源耗尽，无法正常提供服务时，辨别是否是HTTP慢速请求DOS攻击导致的，能对服务错误进行快速响应，提高检测的准确率，减少误告警；(3)能做到准实时检测，统计时间窗口短，检测及时，在数据量较大的情况下，也能做到及时处理，不会造成过多性能损耗或计算延迟。具体实施方式下面结合实施例对本专利技术做进一步的详细描述，但本专利技术的保护范围并不限于此。本专利技术涉及一种HTTP慢速请求DOS攻击的关联检测方法，首先对数据包进行采集后进行分析，筛选符合条件的数据包集合进行计算和关联，检测出以HTTP慢速请求方式进行DoS攻击且造成服务器无法访问的行为。所述方法包括以下步骤。步骤1：分别采集WEB服务器的进流量数据包和出流量数据包。步骤2：对进流量数据包和出流量数据包进行解析，以T为时间单位，筛选得到HTTP协议数据包集合Di＝{X1,X2,X3,……Xm}，其中m为数据包的个数。所述步骤2中，T为10分钟。本专利技术中，T的实际取值可以依据本领域技术人员对于实际的情况分析并自主配置。步骤3：对流量数据包集合Di的慢速攻击特征进行分析，得到具有慢速攻击特征的数据包总数Spost。所述步骤3中，慢速攻击特征为SlowHTTPPOST特征。所述步骤3包括以下步骤：步骤3.1：令t＝1；步骤3.2：若数据包Xt的请求头符合内容长度大于5000且连接状态为激活，则对Xt赋值为1，否则，赋值为0；t＝t+1，若t＞m，则进行下一步，否则重复步骤3.2；步骤3.3：以步骤3.2得到的具有相同源IP的所有赋值为集合RsrcIP＝{r1,r2,r3,……rn}，RsrcIP中的值与本文档来自技高网...

【技术保护点】
1.一种HTTP慢速请求DOS攻击的关联检测方法，其特征在于：所述方法包括以下步骤：步骤1：分别采集WEB服务器的进流量数据包和出流量数据包；步骤2：对进流量数据包和出流量数据包进行解析，以T为时间单位，筛选得到HTTP协议数据包集合Di＝{X1，X2，X3，......Xm}，其中m为数据包的个数；步骤3：对流量数据包集合Di的慢速攻击特征进行分析，得到具有慢速攻击特征的数据包总数Spost；步骤4：对流量数据包集合Di的返回码进行分析，得到服务器无法访问的数据包总数Serror；步骤5：对Spost和Serror进行关联，检测得到服务器对外提供HTTP服务的状态。

【技术特征摘要】
1.一种HTTP慢速请求DOS攻击的关联检测方法，其特征在于：所述方法包括以下步骤：步骤1：分别采集WEB服务器的进流量数据包和出流量数据包；步骤2：对进流量数据包和出流量数据包进行解析，以T为时间单位，筛选得到HTTP协议数据包集合Di＝{X1，X2，X3，......Xm}，其中m为数据包的个数；步骤3：对流量数据包集合Di的慢速攻击特征进行分析，得到具有慢速攻击特征的数据包总数Spost；步骤4：对流量数据包集合Di的返回码进行分析，得到服务器无法访问的数据包总数Serror；步骤5：对Spost和Serror进行关联，检测得到服务器对外提供HTTP服务的状态。2.根据权利要求1所述的一种HTTP慢速请求DOS攻击的关联检测方法，其特征在于：所述步骤2中，T为10分钟。3.根据权利要求1所述的一种HTTP慢速请求DOS攻击的关联检测方法，其特征在于：所述步骤3中，慢速攻击特征为SlowHTTPPOST特征。4.根据权利要求3所述的一种HTTP慢速请求DOS攻击的关联检测方法，其特征在于：所述步骤3包括以下步骤：步骤3.1：令t＝1；步骤3.2：若数据包Xt的请求头符合内容长度大于5000且连接状态为激活，则对Xt赋值为1，否则，赋值为0；t＝t+1，若t>m，则进行下一步，否则重复步骤3.2；步骤3.3：以步骤3.2得到的具有相同源IP的所有赋值为集合RsrcIP＝{r1，r2，r3，.....

【专利技术属性】
技术研发人员：郎朗，范渊，莫凡，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33