本公开提供了一种拒绝服务攻击的检测方法,包括:获取访问请求;将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。本公开还提供了一种拒绝服务攻击的检测装置、电子设备、可读存储介质和计算机程序产品。
Detection methods, devices, electronic devices and media of denial of service attacks
【技术实现步骤摘要】
拒绝服务攻击的检测方法、装置、电子设备和介质
本公开涉及计算机
,更具体地,涉及一种拒绝服务攻击的检测方法和一种拒绝服务攻击的检测装置、电子设备和介质。
技术介绍
拒绝服务攻击是指通过向服务器发送大量垃圾信息或者干扰信息的方式,导致服务器无法向正常用户提供服务的现象。因此,对于拒绝服务攻击的检测和防御是一件势在必行的事情。在实现本公开构思的过程中,专利技术人发现相关技术中至少存在如下问题:拒绝服务攻击的检测不准确,容易出现误检测的情况。
技术实现思路
有鉴于此,本公开提供了一种拒绝服务攻击的检测方法和一种拒绝服务攻击的检测装置、电子设备和介质。本公开的一个方面提供了一种拒绝服务攻击的检测方法,包括:获取访问请求;将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。根据本公开的实施例,确定针对访问请求的访问流量阈值包括:确定与访问请求相符的异常访问特征;基于与访问请求相符的异常访问特征,确定访问请求所属的异常访问的异常访问类型;将异常访问类型的访问流量阈值作为针对访问请求的访问流量阈值。根据本公开的实施例,该方法还可以包括获取多个异常访问类型各自的历史访问流量;基于历史访问流量,利用机器学习确定多个异常访问类型各自的访问流量阈值。根据本公开的实施例,将访问请求的访问特征与行为知识库比对包括:将访问请求所属的协议类型,和/或生成访问请求的应用的应用信息,和/或生成访问请求的设备信息,分别与行为知识库中的相应项目进行比对。根据本公开的实施例,将访问请求的访问特征与行为知识库比对,以确定访问请求是否是异常访问包括:确定访问请求所属的协议类型;确定访问请求的数据包的数量和数据包的内容;以及基于协议类型、数据包的数量和数据包的内容确定访问请求是否是异常访问。本公开的另一个方面提供了一种拒绝服务攻击的检测装置,包括:第一获取模块,用于获取访问请求;分析模块,用于将访问请求的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;第一确定模块,用于在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及第二确定模块,用于在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。根据本公开的实施例,第一确定模块包括:第一确定子模块,用于确定与访问请求相符的异常访问特征;第二确定子模块,用于基于与访问请求相符的异常访问特征,确定访问请求所属的异常访问的异常访问类型;第三确定子模块,用于将异常访问类型的访问流量阈值作为针对访问请求的访问流量阈值。根据本公开的实施例,该装置还可以包括第二获取模块,用于获取多个异常访问类型各自的历史访问流量;第三确定模块,用于基于历史访问流量,利用机器学习确定多个异常访问类型各自的访问流量阈值。本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行上述任意一项的方法。本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上的方法。本公开的另一方面提供了一种计算机程序产品,计算机程序包括计算机可执行指令,指令在被执行时用于实现如上的方法。根据本公开的实施例,可以至少部分地解决拒绝服务攻击检测不准确问题,并因此可以实现提高检测拒绝服务攻击的准确度,至少部分地避免误检测情况发生的技术效果。附图说明通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:图1示意性示出了根据本公开实施例的可以应用拒绝服务攻击的检测的示例性系统架构;图2示意性示出了根据本公开实施例的拒绝服务攻击的检测方法的流程图;图3示意性示出了根据本公开实施例的在操作确定针对访问请求的访问流量阈值的方法流程图;图4示意性示出了根据本公开另一实施例的检测方法的流程图;图5示意性示出了根据本公开另一实施例的确定访问请求是否是异常访问的方法流程图;图6示意性示出了根据本公开实施例的行为知识库的示例性示意图;图7示意性示出了根据本公开实施例的拒绝服务攻击的检测装置的框图;以及图8示意性示出了根据本公开实施例的电子设备的方框图。具体实施方式以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。本公开的实施例提供了一种拒绝服务攻击的检测方法,包括:获取访问请求;将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。图1示意性示出了根据本公开实施例的可以应用拒绝服务攻击的检测的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的
技术实现思路
,但并不意味着本公开实施例不可以用于其他设备本文档来自技高网...
【技术保护点】
1.一种拒绝服务攻击的检测方法,包括:/n获取访问请求;/n将所述访问请求中的访问特征与行为知识库进行比对,以确定所述访问请求是否是异常访问,其中,所述行为知识库是根据多个历史异常访问的异常访问特征而生成的;/n在确定所述访问请求是异常访问的情况下,确定针对所述访问请求的访问流量阈值;以及/n在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下,确定所述访问请求为拒绝服务攻击。/n
【技术特征摘要】
1.一种拒绝服务攻击的检测方法,包括:
获取访问请求;
将所述访问请求中的访问特征与行为知识库进行比对,以确定所述访问请求是否是异常访问,其中,所述行为知识库是根据多个历史异常访问的异常访问特征而生成的;
在确定所述访问请求是异常访问的情况下,确定针对所述访问请求的访问流量阈值;以及
在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下,确定所述访问请求为拒绝服务攻击。
2.根据权利要求1所述的检测方法,其中,所述确定针对所述访问请求的访问流量阈值包括:
确定与所述访问请求相符的异常访问特征;
基于与所述访问请求相符的异常访问特征,确定所述访问请求所属的异常访问的异常访问类型;
将所述异常访问类型的访问流量阈值作为针对所述访问请求的访问流量阈值。
3.根据权利要求2所述的检测方法,还包括:
获取多个异常访问类型各自的历史访问流量;
基于所述历史访问流量,利用机器学习确定所述多个异常访问类型各自的访问流量阈值。
4.根据权利要求1所述的检测方法,其中,所述将所述访问请求的访问特征与行为知识库比对包括:
将所述访问请求所属的协议类型,和/或,生成所述访问请求的应用的应用信息,和/或,生成所述访问请求的设备信息,分别与行为知识库中的相应项目进行比对。
5.根据权利要求1所述的检测方法,其中,所述将所述访问请求的访问特征与行为知识库比对,以确定所述访问请求是否是异常访问包括:
确定所述访问请求所属的协议类型;
确定所述访问请求的数据包的数量和所述数据包的内容;以及
基于所述...
【专利技术属性】
技术研发人员:张盼,谈文彬,于凯民,王利新,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。