一种CC攻击的检测方法、装置及网络设备制造方法及图纸

本申请提供一种CC攻击的检测方法、装置及网络设备，包括：针对服务器的每一请求事件，基于本设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；所述请求报文和响应报文为基于传输层协议的报文；基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。使用本申请提供的方法，可以提高CC攻击检测的准确率，还可以提高CC攻击检测的适用场景范围。

【技术实现步骤摘要】
一种CC攻击的检测方法、装置及网络设备
本申请涉及计算机通信领域，尤其涉及一种CC攻击的检测方法、装置及网络设备。
技术介绍
CC(ChallengeCollapsar，挑战黑洞)攻击是DDOS：(DistributedDenialofService，分布式拒绝服务)攻击的一种类型。攻击者使用代理服务器或者控制某些主机向受害服务器发送大量貌似合法的请求，造成服务器资源耗尽，从而导致正常的访问被终止处理。现有的CC攻击检测方式通常是检测基于HTTP（HyperTextTransferProtocol，超文本传输协议）协议的网站服务的CC攻击。具体地，统计访问Web（WorldWideWeb，万维网）页面的请求频率，将该频率与预设的阈值做比较，如果发现统计的请求频率已经超过阈值，则判定检测到了CC攻击。然而请求频率很难准确反映服务器的负载情况。例如，黑客可以使用低频针对特别耗费资源的URL（UniformResourceLocator，统一资源定位符）发起攻击（例如大量数据库查询），来绕过该高频请求检测。现有的CC攻击的检测方式的准确性较低。
技术实现思路
有鉴于此，本申请提供一种CC攻击的检测方法、装置及网络设备，用于提高CC攻击检测的准确性、以及CC攻击检测的适用范围。具体地，本申请是通过如下技术方案实现的：根据本申请的第一方面，提供一种CC攻击的检测方法，所述方法应用于网络设备，包括：针对服务器的每一请求事件，基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；所述请求报文和响应报文为基于传输层协议的报文；基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。可选的，所述基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延，包括：基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻；基于所述第一时刻、所述第二时刻，确定所述服务器响应该请求事件的响应时延。可选的，所述基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻；包括：在接收与该请求事件对应的请求报文时，若该请求报文是非重传请求报文，则将已记录的该请求事件对应的请求接收时刻变量的取值，更新为该请求报文的接收时刻，若该请求报文是重传请求报文，则维持已记录的请求接收时刻变量；所述非重传请求报文包括：首个非重传请求报文或非首个非重传请求报文；在接收到与该请求事件对应的响应报文时，若该响应报文是首个非重传响应报文，则将该请求事件对应的响应接收时刻变量的取值，更新为该响应报文的接收时刻；若该响应报文是重传响应报文，或者是非首个非重传响应报文，则维持已记录的响应接收时刻；在对响应接收时刻变量进行更新后，将当前记录的请求接收时刻变量的取值作为第一时刻，将当前记录的响应接收时刻变量的取值作为第二时刻。可选的，所述请求报文的类型通过如下方式确定：若该请求报文的序列号范围不在已记录的、且与该请求事件对应的请求序列号范围内或者所述请求报文未携带序列号、并且预配置的交互标志为第一值，则确定所述请求报文为首个非重传请求报文；所述第一值表示未开始所述请求事件的报文交互；若该请求报文的序列号范围不在已记录的所述请求序列号范围内或者所述请求报文未携带序列号、并且预配置的交互标志为第二值，则确定所述请求报文为非首个非重传请求报文；所述第二值表示已开始所述请求事件的报文交互；若该请求报文的序列号范围在已记录的所述请求序列号范围内，则确定所述请求报文为重传报文。可选的，所述方法还包括：在确定所述请求报文为首个非重传请求报文后，将该交互标志更新为第二值，并在该请求报文携带序列号时，将该请求报文的序列号范围合并到已记录的请求序列号范围中；在确定所述请求报文为非首个非重传请求报文后，维持该交互标志，并在该请求报文携带序列号时，将该请求报文的序列号范围合并到已记录的请求序列号范围中；在确定所述请求报文为重传请求报文后，维持该交互标志以及已记录的请求序列号范围。可选的，所述响应报文的类型通过如下方式确定：若所述响应报文序列号范围在已记录的，且与该响应报文对应的响应序列号范围内，则确定所述响应报文为重传响应报文；若所述响应报文序列号范围不在所述响应序列号范围内或者所述响应报文未携带序列号、且预配置的交互标志为第二值，则确定所述响应报文为首个非重传响应报文；若所述响应报文序列号范围不在所述响应序列号范围内或者所述响应报文未携带序列号、且所述交互标志为第一值，则确定该响应报文为非首个非重传响应报文。可选的，所述方法还包括：若确定所述响应报文为首个非重传响应报文，则将所述交互标志更新为第一值，以及在该响应报文携带序列号时，将该响应报文的序列号范围合并到已记录的响应序列号范围中；若确定所述响应报文为非首个非重传响应报文，则维持该交互标志，以及在该响应报文携带序列号时，将该响应报文的序列号范围合并到已记录的响应序列号范围中；若确定所述响应报文为重传响应报文，则维持该交互标志、以及已记录的响应序列号范围。根据本申请的第二方面，提供一种CC攻击的检测装置，所述装置应用于网络设备，包括：第一确定单元，用于针对服务器的每一请求事件，基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；所述请求报文和响应报文为基于传输层协议的报文；第二确定单元，用于基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；检测单元，用于若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。可选的，所述第一确定单元，在基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延时，用于基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻；基于所述第一时刻、所述第二时刻，确定所述服务器响应该请求事件的响应时延。根据本申请的第三方面，提供一种网络设备，所述网络设备包括可读存储介质和处理器；其中，所述可读存储介质，用于存储机器可执行指令；所述处理器，用于读取所述可读存储介质上的所述机器可执行指令，并执行所述指令以实现所述方法。由上述描述可知，由于服务器的平均响应时延可以更为准确地反映服务器的负载状态，所以通过平均响应时延来确定服务器本文档来自技高网...

【技术保护点】
1.一种CC攻击的检测方法，其特征在于，所述方法应用于网络设备，包括：/n针对服务器的每一请求事件，基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；其中，所述请求报文和响应报文为基于传输层协议的报文；/n基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；/n若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。/n

【技术特征摘要】
1.一种CC攻击的检测方法，其特征在于，所述方法应用于网络设备，包括：
针对服务器的每一请求事件，基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；其中，所述请求报文和响应报文为基于传输层协议的报文；
基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；
若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。


2.根据权利要求1所述的方法，其特征在于，所述基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延，包括：
基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；
基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻；
基于所述第一时刻、所述第二时刻，确定所述服务器响应该请求事件的响应时延。


3.根据权利要求1所述的方法，其特征在于，所述基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻，包括：
在接收与该请求事件对应的请求报文时，若该请求报文是非重传请求报文，则将已记录的该请求事件对应的请求接收时刻变量的取值，更新为该请求报文的接收时刻，若该请求报文是重传请求报文，则维持已记录的请求接收时刻变量；所述非重传请求报文包括：首个非重传请求报文或非首个非重传请求报文；
在接收到与该请求事件对应的响应报文时，若该响应报文是首个非重传响应报文，则将该请求事件对应的响应接收时刻变量的取值，更新为该响应报文的接收时刻；若该响应报文是重传响应报文，或者是非首个非重传响应报文，则维持已记录的响应接收时刻；
在对响应接收时刻变量进行更新后，将当前记录的请求接收时刻变量的取值作为第一时刻，将当前记录的响应接收时刻变量的取值作为第二时刻。


4.根据权利要求3所述的方法，其特征在于，所述请求报文的类型通过如下方式确定：
若该请求报文的序列号范围不在已记录的、且与该请求事件对应的请求序列号范围内或者所述请求报文未携带序列号、并且预配置的交互标志为第一值，则确定所述请求报文为首个非重传请求报文；所述第一值表示未开始所述请求事件的报文交互；
若该请求报文的序列号范围不在已记录的所述请求序列号范围内或者所述请求报文未携带序列号、并且预配置的交互标志为第二值，则确定所述请求报文为非首个非重传请求报文；所述第二值表示已开始所述请求事件的报文交互；
若该请求报文的序列号范围在已记录的所述请求序列号范围内，则确定所述请求报文为重传报文。


5.根据权利要求4所述的方法，其特征在于，所述方法还包括：
在确定所述请求报文为首个非重传请求报文后，将该交互标志更...

【专利技术属性】
技术研发人员：蓝维宇，程行峰，
申请(专利权)人：杭州圆石网络安全技术有限公司，
类型：发明
国别省市：浙江;33