【技术实现步骤摘要】
一种流量攻击检测方法及装置
本申请涉及网络安全
,尤其涉及一种流量攻击检测方法及装置。
技术介绍
传统的分布式拒绝服务攻击(Distributeddenialofserviceattack,DDoS)攻击流量通常是逐步攀升的,近几年上百G的攻击越来越多。针对现网中此类攻击,已有专业的抗DDoS攻击设备及云清洗。尤其在2017年一种“脉冲波”DDoS攻击的出现,黑客控制若干傀儡机(肉鸡)仅需数秒便达到峰值,且攻击模式高度重复,由每十分钟一次或多次脉冲组成,持续数小时或者数天,峰值可达350Gbps。现有的防攻击方法大致为下述过程:网络核心设备将流量复制或采样至检测设备处进行DDoS攻击检测,检测设备将攻击信息上报至管理中心,管理中心向清洗设备下发防御策略和引流规则。网络核心设备将流量牵引至清洗设备(也可称为抗DDoS攻击设备)进行清洗操作,由清洗设备丢弃攻击流量,并将正常流量回注至网络核心设备,然后网络核心设备将正常流量转发至目的地。也就是说,上述方法是通过引流回注的方式,在攻击开始后,将攻击流量引流给清洗设备处...
【技术保护点】
1.一种流量攻击检测方法,其特征在于,应用于检测设备中,所述方法,包括:/n获取本次的待检测流量;/n计算所述待检测流量的流量攻击信息;/n判断所述流量攻击信息是否符合脉冲波攻击条件;/n若符合所述脉冲波攻击条件,则确认所述待检测流量为脉冲波攻击流量。/n
【技术特征摘要】
1.一种流量攻击检测方法,其特征在于,应用于检测设备中,所述方法,包括:
获取本次的待检测流量;
计算所述待检测流量的流量攻击信息;
判断所述流量攻击信息是否符合脉冲波攻击条件;
若符合所述脉冲波攻击条件,则确认所述待检测流量为脉冲波攻击流量。
2.根据权利要求1所述的方法,其特征在于,所述流量攻击信息至少包括以下一项:单次攻击流量峰值、单次攻击持续时长和距离上一次的攻击时间间隔。
3.根据权利要求2所述的方法,其特征在于,判断所述流量攻击信息是否符合脉冲波攻击条件,包括:
计算本次的单次攻击持续时长与上一次的单次攻击持续时长之间的时长差;
计算本次的攻击时间间隔与上一次的攻击时间间隔之间的时间间隔差;
判断所述单次攻击流量峰值是否超过设定的最大攻击流量峰值;
判断所述时长差是否在第一设定范围内;
判断所述时间间隔差是否在第二设定范围内;
若各个判断结果均为是,则确认所述攻击流量信息符合脉冲波攻击条件。
4.根据权利要求2所述的方法,其特征在于,判断所述流量攻击信息是否符合脉冲波攻击条件,包括:
判断所述单次攻击流量峰值是否超过设定的单次攻击流量峰值的最小值;
判断所述单次攻击持续时长是否在单次攻击时长范围内;
判断所述攻击时间间隔是否在攻击时间间隔范围内;
若各个判断结果均为是,则确认所述攻击流量信息符合脉冲波攻击条件。
5.根据权利要求1所述的方法,其特征在于,还包括:
若连续N次确认所述待检测流量为脉冲波攻击流量,则确定遭受脉冲波攻击。
6.根据权利要求5所述的方法,其特征在于,还包括:
在确认遭受脉冲波攻击时,向清洗设备发送引流开始消息;
当检测到不存在脉冲波攻击时,向清洗设...
【专利技术属性】
技术研发人员:田佳星,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。