网络攻击处理方法、装置、电子设备和介质制造方法及图纸

本公开提供了一种网络攻击处理方法、装置、电子设备和介质，涉及网络安全技术领域。其中，网络攻击处理方法包括：基于滑动窗口机制进行网络流量预测，得到基于预测窗口的预测流量；监测到所述预测窗口的实际流量大于所述预测流量，并且所述实际流量与所述预测流量之间的差值大于参考流量，基于所述实际流量确定进行HTTP Flood攻击的可疑源IP；对所述可疑源IP地址进行攻击性筛选，基于筛选结果确定所述网络攻击的攻击源IP。通过本公开的技术方案，通过直接对流量数据进行监测和分析，即可有效区分HTTP Flood攻击流量和正常流量，因此能够保证对网络攻击处理的效率。证对网络攻击处理的效率。证对网络攻击处理的效率。

【技术实现步骤摘要】
网络攻击处理方法、装置、电子设备和介质


[0001]本公开涉及网络安全
，尤其涉及一种网络攻击处理方法、装置、电子设备和存储介质。

技术介绍

[0002]HTTP Flood攻击(针对Web服务在应用层发起的攻击)又被称为CC(Challenge Collapsar)攻击，属于DDoS(Distributed denial of service attack，分布式拒绝服务攻击)攻击的一种，攻击者通过代理或僵尸主机向目标服务器发起大量HTTP报文等合法请求，实现DDOS和伪装，请求涉及数据库操作和/或CPU等其它消耗系统资源的URI(Universal Resource Identifier，通用资源标识符)，导致造成目标服务器资源耗尽，无法响应正常请求。
[0003]相关技术中，针对HTTP Flood攻击，通过直接将可疑IP进行三层拦截的方式进行处理，但是存在以下缺陷：一方面，该处理方式涉及到CDN(Content Delivery Network，内容分发网络)业务托管，而CDN业务托管业务较复杂，导致影响攻击处理的效率，另一方面，由于存在局域网用户使用相同IP上网的情况，因此直接对IP进行封禁也易造成误杀，导致影响正常用户的网络业务。
[0004]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0005]本公开的目的在于提供一种网络攻击处理方法、装置、存储介质及电子设备，至少在一定程度上克服由于相关技术中对HTTP Flood攻击的处理效果不佳的问题。
[0006]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0007]根据本公开的一个方面，提供一种网络攻击处理方法，包括：基于滑动窗口机制进行网络流量预测，得到基于预测窗口的预测流量；监测到所述预测窗口的实际流量大于所述预测流量，并且所述实际流量与所述预测流量之间的差值大于参考流量，基于所述实际流量确定进行HTTP Flood攻击的可疑源IP；对所述可疑源IP地址进行攻击性筛选，基于筛选结果确定所述网络攻击的攻击源IP。
[0008]在一个实施例中，所述基于滑动窗口机制进行网络流量预测，得到基于预测窗口的预测流量包括：统计所述预测窗口内的网络流量序列；将所述预测窗口的网络流量序列输入流量趋势预测模型，以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值；基于所述滑动窗口机制滑动所述预测窗口，直至滑动长度达到所述预测窗口的长度，以得到多个所述趋势预测值，并基于多个所述趋势预测值得到所述基于预测窗口的预测流量。
[0009]在一个实施例中，所述流量趋势预测模型为EWMA预测模型，所述将所述预测窗口
的网络流量序列输入流量趋势预测模型，以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值包括：基于所述EWMA预测模型对所述网络流量序列进行趋势预测，得到历史趋势预测值；基于所述EWMA预测模型对所述历史趋势预测值和预测时刻的流量值进行指数加权移动平均运算，得到所述趋势预测值；其中，所述指数加权移动平均运算基于公式V
t
＝βV
t
‑1+(1
‑
β)θ
t
执行，t为所述预测时刻，θ
t
为所述预测时刻t的流量值，β表示加权下降速率，V
t
为针对t的趋势预测值，V
t
‑1为历史趋势预测值。
[0010]在一个实施例中，在监测到所述预测窗口的实际流量大于所述预测流量之前，还包括：所述实际流量包括实际趋势值，将所述预测时刻的所述趋势预测值和所述实际趋势值进行比较，在多个所述预测时刻的所述趋势预测值均大于所述实际趋势值，并且所述趋势预测值和所述实际趋势值之间的差值大于所述参考流量，确定所述实际流量与所述预测流量之间的差值大于所述参考流量。
[0011]在一个实施例中，所述基于所述实际流量确定进行HTTP Flood攻击的可疑源IP包括：基于所述实际流量获取对统一资源定位符URL进行访问的访问请求；提取所述访问请求携带的访问信息，所述访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种；对所述用户代理和所述HTTP Referer进行相似性检测，以检测是否属于同一访问源IP；基于所述相似性检测的结果统计每个所述访问源IP访问每个所述URL的访问频度；将所述访问频度大于频度阈值的所述访问源IP确定为所述可疑源IP，并将所述可疑源IP放入可疑源列表。
[0012]在一个实施例中，所述对所述可疑源IP地址进行攻击性筛选，基于筛选结果确定所述网络攻击的攻击源IP包括：基于白名单清洗对所述可疑源列表进行攻击性筛选，以将不在所述白名单中的所述可疑源IP确定为待认证IP；对所述待认证IP进行重定向认证，以将未认证通过的所述待认证IP确定为所述攻击源IP，并加入黑名单。
[0013]在一个实施例中，所述基于白名单清洗对所述可疑源列表进行攻击性筛选，以将不在所述白名单中的所述可疑源IP确定为待认证IP包括：获取所述可疑源IP发送的访问请求中的所述用户代理；检测所述用户代理是否为对搜索引擎蜘蛛爬虫的模仿操作；若不是所述模仿操作，则将所述可疑源IP放入白名单；若是所述模仿操作，则将所述可疑源IP确定为所述待认证IP。
[0014]在一个实施例中，所述对所述待认证IP进行重定向认证，以将未认证通过的所述待认证IP确定为所述攻击源IP包括：确定与所述待认证IP的访问请求对应的目标页面；检测到所述目标页面与页面的内嵌资源不在同一服务器上，并且所述内嵌资源的服务器异常，则对所述内嵌资源的服务器启动302重定向防御，以探测所述待认证IP的访问请求是否基于真实浏览器发送；基于探测结果确定所述待认证IP未完成重定向过程，则确认所述访问请求不是基于真实浏览器发送，并将所述待认证IP确定为所述攻击源IP。
[0015]在一个实施例中，还包括：在网络接入处部署流量探测设备或检测软件，以监测所述实际流量。
[0016]根据本公开的第二方面，提供一种网络攻击处理装置，包括：预测模块，用于基于滑动窗口机制进行网络流量预测，得到基于预测窗口的预测流量；确定模块，用于监测到所述预测窗口的实际流量大于所述预测流量，并且所述实际流量与所述预测流量之间的差值大于参考流量，基于所述实际流量确定进行HTTP Flood攻击的可疑源IP；筛选模块，用于对
所述可疑源IP地址进行攻击性筛选，基于筛选结果确定所述网络攻击的攻击源IP。
[0017]根据本公开的第三方面，提供一种电子设备，包括：处理器；以及存储器，用于存储处理器的可执行指令；所述处理器配置为经由执行所述可执行指令来执行上述的网络攻击处理方法。
[0018]根据本公开的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击处理方法，其特征在于，包括：基于滑动窗口机制进行网络流量预测，得到基于预测窗口的预测流量；监测到所述预测窗口的实际流量大于所述预测流量，并且所述实际流量与所述预测流量之间的差值大于参考流量，基于所述实际流量确定进行HTTP Flood攻击的可疑源IP；对所述可疑源IP地址进行攻击性筛选，基于筛选结果确定所述网络攻击的攻击源IP。2.根据权利要求1所述的网络攻击处理方法，其特征在于，所述基于滑动窗口机制进行网络流量预测，得到基于预测窗口的预测流量包括：统计所述预测窗口内的网络流量序列；将所述预测窗口的网络流量序列输入流量趋势预测模型，以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值；基于所述滑动窗口机制滑动所述预测窗口，直至滑动长度达到所述预测窗口的长度，以得到多个所述趋势预测值，并基于多个所述趋势预测值得到所述基于预测窗口的预测流量。3.根据权利要求2所述的网络攻击处理方法，其特征在于，所述流量趋势预测模型为EWMA预测模型，所述将所述预测窗口的网络流量序列输入流量趋势预测模型，以由所述流量趋势预测模型输出针对所述预测窗口的趋势预测值包括：基于所述EWMA预测模型对所述网络流量序列进行趋势预测，得到历史趋势预测值；基于所述EWMA预测模型对所述历史趋势预测值和预测时刻的流量值进行指数加权移动平均运算，得到所述趋势预测值；其中，所述指数加权移动平均运算基于公式V
t
＝βV
t
‑1+(1
‑
β)θ
t
执行，t为所述预测时刻，θ
t
为所述预测时刻t的流量值，β表示加权下降速率，V
t
为针对t的趋势预测值，V
t
‑1为所述历史趋势预测值。4.根据权利要求2所述的网络攻击处理方法，其特征在于，在监测到所述预测窗口的实际流量大于所述预测流量之前，还包括：所述实际流量包括实际趋势值，将所述预测时刻的所述趋势预测值和所述实际趋势值进行比较，在多个所述预测时刻的所述趋势预测值均大于所述实际趋势值，并且所述趋势预测值和所述实际趋势值之间的差值大于所述参考流量，确定所述实际流量与所述预测流量之间的差值大于所述参考流量。5.根据权利要求1所述的网络攻击处理方法，其特征在于，所述基于所述实际流量确定进行HTTP Flood攻击的可疑源IP包括：基于所述实际流量获取对统一资源定位符URL进行访问的访问请求；提取所述访问请求携带的访问信息，所述访问信息包括访问源IP、用户代理User_Agent和HTTP Referer中的至少一种；对所述用户代理和所述HTTP Referer进行相似性检...

【专利技术属性】
技术研发人员：李岳昆，金华敏，汪来富，刘东鑫，常力元，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：