检测攻击流量的方法及相关设备技术

本申请公开了一种检测攻击流量的方法及相关设备。该方法可以应用于安全防护设备。安全防护设备获取第一时段内第一流量的第一速率表征值，第一流量包括至少一条第一数据流，每条第一数据流的目的IP地址均相同，或者，至少一条第一数据流的目的IP地址属于一个IP组。之后，安全防护设备根据第一速率表征值生成至少一个指纹，每个指纹是基于至少一条第一数据流中的一条第一数据流的报文字段生成的，任一指纹用于检测与任一指纹匹配的数据流是否为攻击流量。利用该方法可提高攻击流量的检测准确性。

【技术实现步骤摘要】

本申请涉及网络安全，尤其涉及一种检测攻击流量的方法及相关设备。

技术介绍

1、近年来，基于安全传输层协议(transport layer security,tls)加密的数据流(以下简称为tls数据流)对服务器展开的分布式拒绝服务(distributed denial ofservice attack,ddos)攻击变得愈加频繁。为了确保服务器的正常运行，需要安全防护设备(例如，防火墙)对发往服务器的tls数据流进行过滤。即，安全防护设备检测tls数据流是否为攻击流量。当tls数据流不是攻击流量时，安全防护设备将该tls数据流转发送至服务器。当tls数据流流是攻击流量时，安全防护设备阻断该tls数据流。

2、安全防护设备可以通过将tls数据流的指纹与预设指纹库进行匹配来确定该tls数据流是否为攻击流量，预设指纹库是通过对已知的ddos攻击工具进行分析得到的。但是，预设指纹库的准确性不高，导致对攻击流量的检测的准确率较低。

技术实现思路

1、本申请提供了一种检测攻击流量的方法及相关设备，能够提高攻击本文档来自技高网...

【技术保护点】

1.一种检测攻击流量的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述至少一个指纹包括至少一个第一类指纹，所述根据所述第一速率表征值生成至少一个指纹，包括：

3.根据权利要求2所述的方法，其特征在于，所述生成所述至少一个第一类指纹，包括：

4.根据权利要求3所述的方法，其特征在于，所述第一条件包括以下任一项或多项：

5.根据权利要求2至4任一所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述更新所述至少一个第一类指纹，包括：

7.根据权利要求5或6...

【技术特征摘要】

1.一种检测攻击流量的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述至少一个指纹包括至少一个第一类指纹，所述根据所述第一速率表征值生成至少一个指纹，包括：

3.根据权利要求2所述的方法，其特征在于，所述生成所述至少一个第一类指纹，包括：

4.根据权利要求3所述的方法，其特征在于，所述第一条件包括以下任一项或多项：

5.根据权利要求2至4任一所述的方法，其特征在于，所述方法还包括：

6.根据权利要求5所述的方法，其特征在于，所述更新所述至少一个第一类指纹，包括：

7.根据权利要求5或6所述的方法，其特征在于，所述第二时段晚于所述第一时段且所述第二时段与所述第一时段相邻，或者，所述第二时段晚于所述第一时段且所述第二时段与所述第一时段均包括一个共同的时段。

8.根据权利要求5所述的方法，其特征在于，所述至少一个指纹还包括至少一个第二类指纹，所述方法还包括：

9.根据权利要求8所述的方法，其特征在于，所述生成所述至少一个第二类指纹，包括：

10.根据权利要求1所述的方法，其特征在于，所述至少一个指纹包括至少一个第二类指纹，所述根据所述第一速率表征值生成至少一个指纹，包括：

11.根据权利要求10所述的方法，其特征在于，所述生成所述至少一个第二类指纹，包括：

12.根据权利要求11所述的方法，其特征在于，所述方法还包括：

13.根据权利要求12所述的方法，其特征在于，所述更新所述至少一个第二类指纹，包括：

14.根据权利要求9至13任一所述的方法，其特征在于，所述方法还包括：

15.根据权利要求14所述的方法，其特征在于，所述根据所述至少一个第二类指纹生成至少一个黑名单，包括：

16.根据权利要求9至15任一所述的方法，其特征在于，所述方法还包括：

17.一种检测攻击流量的方法，其特征在于，所述方法包括：

18.一种安全防护设备，其特征在于，所述安全防护...

【专利技术属性】
技术研发人员：吴波，章海刚，杨莉，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：