慢速攻击识别方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供了慢速攻击识别方法、装置、电子设备及存储介质，涉及网络通信技术领域。该方法包括：接收请求对应的数据包；网络系统的传输层，在所述数据包满足预设的慢速攻击条件的情况下，将所述数据包确定为慢速攻击数据包，并在所述请求对应的数据包中包括慢速攻击数据包的情况下，将所述请求确定为慢速攻击请求。在网络系统的传输层就完成了慢速攻击数据包、慢速攻击请求的识别，无需在应用层进行慢速攻击请求的识别，无需占用应用层的资源，使得应用层对于应用具有更高的处理性能。传输层比应用层更靠前，尽早识别有助于尽早防护，保障了后端应用服务的资源利用，免去了各个应用均一一识别慢速攻击的操作，降低了运维工作量。量。量。

【技术实现步骤摘要】
慢速攻击识别方法、装置、电子设备及存储介质


[0001]本专利技术属于网络通信
，特别是涉及慢速攻击识别方法、装置、电子设备及存储介质。

技术介绍

[0002]随着网络的快速发展，网络安全问题日渐严峻，其中，慢速攻击是较为难以防御的一种攻击。慢速攻击主要是指通过较小的数据量、较低的速率，维持与网络系统的链接，从而消耗网络系统的资源。
[0003]中国专利CN109040140A公开了一种慢速攻击检测方法及装置，该专利中对于慢速攻击的防御主要是在网络系统的应用层进行识别并拦截等。
[0004]然而，在应用层对慢速攻击进行识别等，占用了应用层的较多资源，使得应用层对于应用处理性能欠佳。

技术实现思路

[0005]本专利技术提供一种慢速攻击识别方法、装置、电子设备及存储介质，旨在解决在应用层对慢速攻击进行识别等，占用了应用层的较多资源的问题。
[0006]第一方面，本专利技术提供一种慢速攻击识别方法，应用于网络系统，包括：接收请求对应的数据包；所述网络系统的传输层，在所述数据包满足预设的慢速攻击条件的情况下，将所述数据包确定为慢速攻击数据包，并在所述请求对应的数据包中包括慢速攻击数据包的情况下，将所述请求确定为慢速攻击请求。
[0007]第二方面，本专利技术提供一种慢速攻击识别装置，应用于网络系统，包括：接收模块，用于接收请求对应的数据包；识别模块，用于所述网络系统的传输层，在所述数据包满足预设的慢速攻击条件的情况下，将所述数据包确定为慢速攻击数据包，并在所述请求对应的数据包中包括慢速攻击数据包的情况下，将所述请求确定为慢速攻击请求。
[0008]第三方面，本专利技术提供一种电子设备，包括：处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现上述慢速攻击识别方法。
[0009]第四方面，本专利技术提供一种可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得电子设备能够执行上述慢速攻击识别方法。
[0010]在本专利技术实施例中，在网络系统的传输层就将满足预设的慢速攻击条件的数据包确定为慢速攻击数据包，在网络系统的传输层，将包括慢速攻击数据包的请求，确定为慢速攻击请求，也就是说在网络系统的传输层就完成了慢速攻击数据包、慢速攻击请求的识别，无需在应用层进行慢速攻击请求的识别，应用层无需解析协议等，进而识别慢速攻击无需占用应用层的资源，使得应用层对于应用具有更高的处理性能。而且，传输层比应用层更靠
前，在传输层就实现了对慢速攻击的识别，一方面，尽早识别有助于尽早防护，保障了后端应用服务的资源利用，另一方面，免去了后端的各个应用服务均一一识别慢速攻击的操作，大大降低了运维工作量。
附图说明
[0011]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0012]图1是本专利技术实施例提供的一种慢速攻击识别方法的步骤流程图；图2是本专利技术实施例提供的另一种慢速攻击识别方法的步骤流程图；图3是本专利技术实施例提供的一种慢速攻击识别装置的结构图；图4示出了本专利技术实施例提供的一种网络系统的局部架构示意图；图5示出了本专利技术实施例提供的一种网络系统的初始化流程示意图；图6示出了本专利技术实施例提供的一种网络系统的慢速攻击的流程示意图；图7是本专利技术实施例提供的一种电子设备的结构图。
具体实施方式
[0013]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0014]图1是本专利技术实施例提供的一种慢速攻击识别方法的步骤流程图，该方法应用于网络系统，网络系统的网络模型可以为七层模型（Open System Interconnection，OSI）或四层模型等，七层模型从下至上为：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。四层模型从下至上为：链路层、网络层、传输层和应用层。
[0015]本申请中所提及的慢速攻击主要分为三种，分别为：Slow read（慢速读取）攻击、Slow headers（慢速头部）攻击、Slow body（慢速主体）攻击。Slow read攻击是指攻击者建立链接后发送完整的请求给网络系统，然后一直保持这个链接，以很低的速度读取Response或者让网络系统误以为客户端很忙，以消耗网络系统的链接和内存资源。Slow headers攻击是指攻击者对网络系统发起一个HTTP（Hyper Text Transfer Protocol，超文本传输协议）请求，一直不停地发送HTTP头部，而网络系统在处理之前需要先接收完所有的HTTP头部，这样就消耗了网络系统的链接和内存资源。Slow body攻击是指攻击者发送一个HTTP POST请求，表示要发送大量数据，此时网络系统会保持链接准备接收数据，但攻击客户端每次只发送很少量的数据，以此消耗网络系统的链接和内存资源。
[0016]如图1所示，该方法可以包括如下步骤。
[0017]步骤101、接收请求对应的数据包。
[0018]该网络系统可以提供网络数据服务，各个客户端可以向网络系统发送请求对应的数据包。该请求对应的数据包用于向网络系统请求网络数据服务。对于一个请求对应的数
据包的数量不作具体限定。
[0019]步骤102、所述网络系统的传输层，在所述数据包满足预设的慢速攻击条件的情况下，将所述数据包确定为慢速攻击数据包，并在所述请求对应的数据包中包括慢速攻击数据包的情况下，将所述请求确定为慢速攻击请求。
[0020]网络系统的传输层，在请求对应的数据包中包括至少一个慢速攻击数据包的情况下，就将该请求确定为慢速攻击请求。就是说网络系统的传输层，在请求对应的数据包中只要包括慢速攻击数据包的情况下，就将该请求确定为慢速攻击请求。
[0021]专利技术人发现，现有技术在网络系统的应用层才识别慢速攻击，则不同的应用服务需要各自识别慢速攻击，并且，如果慢速攻击有改变，各个不同的应用服务还需要针对上述改变后的慢速攻击进行升级、更改配置等，使得运维的工作量很大。例如，若网络系统包括基于线程（thread
‑
base）的应用服务Apache，以及应用服务Httpd。该网络系统还包括基于事件（event
‑
base）的应用服务Nginx，以及应用服务lighttpd。 该网络系统还包括其他的应用服务，如应用服务falsk、应用服务gin等，若采用现有技术在网络系统的应用层才识别慢速攻击，则应用服务Apache、应用服务Httpd、应用服务Nginx、应用服务lighttpd本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种慢速攻击识别方法，其特征在于，应用于网络系统，所述方法包括：接收请求对应的数据包；所述网络系统的传输层，在所述数据包满足预设的慢速攻击条件的情况下，将所述数据包确定为慢速攻击数据包，并在所述请求对应的数据包中包括慢速攻击数据包的情况下，将所述请求确定为慢速攻击请求。2.根据权利要求1所述的慢速攻击识别方法，其特征在于，所述网络系统的传输层，在所述数据包满足预设的慢速攻击条件的情况下，将所述数据包确定为慢速攻击数据包，包括下述步骤中的至少一种：所述网络系统的传输层，在连续的各个数据包均是小数据包，且所述连续的各个数据包的第一总数量，大于或等于第一预设数量的情况下，将所述连续的各个数据包，均确定为慢速攻击数据包；所述小数据包的长度，小于或等于预设长度；所述网络系统的传输层，在同一请求对应的相邻两个数据包的接收时刻之间的间隔时长，大于或等于预设时长的情况下，将所述相邻两个数据包，均确定为慢速攻击数据包；所述网络系统的传输层，在所述请求对应的SYN数据包中的窗口值小于或等于预设窗口值的情况下，将所述SYN数据包确定为慢速攻击数据包；所述网络系统的传输层，在连续的各个数据包均是零窗口数据包，且所述连续的各个数据包的第二总数量，大于或等于第二预设数量的情况下，将所述连续的各个数据包，均确定为慢速攻击数据包；所述零窗口数据包中的窗口值为0。3.根据权利要求1所述的慢速攻击识别方法，其特征在于，所述方法还包括：在所述请求为慢速攻击请求的情况下，针对所述请求进行防护操作。4.根据权利要求3所述的慢速攻击识别方法，其特征在于，所述在所述请求为慢速攻击请求的情况下，针对所述请求进行防护操作，包括：在所述请求为慢速攻击请求的情况下，所述网络系统的传输层，针对所述请求进行防护操作。5.根据权利要求4所述的慢速攻击识别方法，其特征在于，所述在所述请求为慢速攻击请求的情况下，所述网络系统的传输层，针对所述请求进行防护操作，包括下述步骤中的至少一种：在所述请求为慢速攻击请求的情况下，所述网络系统的传输层，丢弃所述请求对应的数据包；在所述请求为慢速攻击请求的情况下，所述网络系统的传输层，断开所述请求对应的链接；在所述请求为慢速攻击请求的情况下，所述网络系统的传输层，将所述请求对应的源IP地址拉进黑名单；在所述请求为慢速攻击请求的情况下，所述网络系统的传输层，增加所述请求为慢速攻击请求的日志记录。6.根据权利要求3所述的慢速攻击识别方法，其特征在于，所述在所述请求为慢速攻击请求的情况下，针对所述请求进行防护操作，包括：在所述请求为慢速攻击请求，且所述请求对应的数据包中慢速攻击数据包的第三总数量大于或等于第三预设数量的情况下，针对所述请求进行防护操作。
7.根据权利要求6所述的慢速攻击识别方法，其特征在于，所述在所述请求为慢速攻击请求，且所述请求对应的数据包中...

【专利技术属性】
技术研发人员：李竞佳，林顺东，陈晓裕，林漳坤，李可惟，
申请(专利权)人：天翼云科技有限公司，
类型：发明
国别省市：