【技术实现步骤摘要】
一种网络攻击检测的方法和装置
[0001]本申请涉及网络安全
,特别涉及一种网络攻击检测的方法和装置。
技术介绍
[0002]在网络攻击中,传输控制协议连接洪流(Transmission Control Protocol connection flood,TCP connection flood)攻击是较为常见的一种方式。TCP connection flood攻击通过控制主机向服务器频繁发起TCP连接,以消耗服务器连接资源。
[0003]目前,通常在服务器对应的防火墙配置源端连接数阈值来检测检测TCP connection flood攻击。例如,可以在服务器配置5秒内同一源地址建立连接数阈值为100次,当检测到某源地址5秒内建立连接数超过100次时,则认为该源地址对应的主机为攻击主机,则可以断开该源地址对应的连接,并将该源地址加入黑名单,再检测到该源地址对应的主机建立连接时,则进行拦截,使其不能与服务器建立连接。
[0004]在实现本申请的过程中,专利技术人发现相关技术中至少存在以下问题:
[...
【技术保护点】
【技术特征摘要】
1.一种网络攻击检测的方法,其特征在于,所述方法包括:在终端和服务器连接建立后,获取所述终端向所述服务器发送的报文,作为待检测报文;基于所述待检测报文的载荷中各数据的出现情况,确定所述待检测报文的信息特征值;基于所述待检测报文的信息特征值和存储的参考信息特征值,确定所述待检测报文是否为攻击报文。2.根据权利要求1所述的方法,其特征在于,所述获取终端向服务器发送的报文,作为待检测报文,包括:每当达到检测周期,获取当前检测周期内所述终端向所述服务器发送的报文,作为待检测报文。3.根据权利要求1或2所述的方法,其特征在于,所述基于确定出的信息特征值和存储的参考信息特征值,确定所述待检测报文是否为攻击报文,包括:确定所述待检测报文对应的目标业务标识信息;在存储的业务标识信息和正常报文参考信息特征值范围的对应关系中,确定所述目标业务标识信息对应的正常报文参考信息特征值范围;如果所述待检测报文的载荷的信息特征值在所述目标业务标识信息对应的正常报文信息特征值范围内,则将所述待检测报文确定为正常报文;如果所述待检测报文的载荷的信息特征值不在所述目标业务标识信息对应的正常报文参考信息特征值范围内,则将所述待检测报文确定为攻击报文。4.根据权利要求1或2所述的方法,其特征在于,所述基于确定出的信息特征值和存储的参考信息特征值,确定所述待检测报文是否为攻击报文,包括:如果所述待检测报文的载荷的信息特征值在存储的攻击报文参考信息特征值范围内,则将所述待检测报文确定为攻击报文;如果所述待检测报文的载荷的信息特征值不在存储的攻击报文参考信息特征值范围内,则将所述待检测报文确定为正常报文。5.根据权利要求3或4所述的方法,其特征在于,所述将所述待检测报文确定为正常报文,之后,所述方法还包括:如果预设数目个检测周期获取的待检测报文均被确定为正常报文,则将所述待检测报文中携带的源地址加入白名单;所述确定所述待检测报文的载荷的信息特征值,包括:如果所述待检测报文中携带的源地址不在所述白名单中,则确定所述待检测报文的载荷的信息特征值。6.根据权利要求3-5中任一项所述的方法,其特征在于,所述将所述待检测报文确定为攻击报文之后,所述方法还包括:停止获取待检测报文,确定所述终端与所述服务器之间的连接为异常连接,分别向所述终端与所述服务器发送复位RST报文;如果所述待检测报文中携带的源地址对应的异常连接次数达到预设次数,则将所述待检测报文中携带的源地址加入黑名单。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述出现情况为出现概率,所述信息特征值为信息熵。8.一种网络攻击检测的装置,其特征在于,所述装置包括:获取模块,用于在终端和服务器连接建立后,...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。