CN108243149A - 一种网络攻击检测方法及装置 - Google Patents
一种网络攻击检测方法及装置 Download PDFInfo
- Publication number
- CN108243149A CN108243149A CN201611208546.1A CN201611208546A CN108243149A CN 108243149 A CN108243149 A CN 108243149A CN 201611208546 A CN201611208546 A CN 201611208546A CN 108243149 A CN108243149 A CN 108243149A
- Authority
- CN
- China
- Prior art keywords
- url
- http request
- period
- request message
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络攻击检测方法及装置,用以解决现有技术中通过防火墙设备进行网络攻击检测造成的网络资源浪费,以及在网络中增加防火墙设备造成高成本的问题。在该方法中,分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目;根据多个周期的统计结果,确定被攻击URL。由于通过分析处理设备和网络设备实现网络攻击检测,因此无需增加防火墙设备,降低了成本消耗;且所述分析处理设备和所述网络设备均在网络传输链路中,可以在网络传输链路中实现网络攻击检测,避免被攻击的URL对应的HTTP请求报文传输到网络末端,避免网络资源浪费。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络攻击检测方法及装置。
背景技术
随着互联网的不断发展,应用互联网的网络业务日益增多,但是网络安全问题也日益凸显,其中,网络攻击是造成网络安全问题的主要原因之一。例如,超文本传输协议(HyperText Transfer Protocol,HTTP)-查询(Get)洪水(Flood)攻击主要是黑客通过多个请求设备同时向服务器提交大量请求报文,使所述服务器在处理所述请求报文时消耗自身大量资源而导致所述服务器拒绝服务,所述服务器拒绝服务表现为网站网速极慢、连接数据库失败等。因此,如何及时检测到网络攻击成为网络安全研究中亟待解决的问题。
目前,常用的网络攻击检测方法是通过在服务器前增加特定防火墙设备。例如,在采用上述方法检测所述HTTP-Get Flood攻击时,包括:所述防火墙设备统计每秒钟的HTTP-Get请求报文数,将所述HTTP-Get请求报文数与设定阈值进行比较,若所述HTTP-Get请求报文数大于所述设定阈值,则判定检测到网络攻击。
但是,在上述方法中,需要在服务器前增加防火墙设备,导致网络攻击检测的成本高,代价大;另外,所述防火墙设备只能在网络末端检测网络攻击,导致攻击报文仍传输到网络末端,造成网络资源浪费。
发明内容
本发明实施例提供一种网络攻击检测方法及装置,用以解决现有技术中通过防火墙设备进行网络攻击检测造成的网络资源浪费,以及在网络中增加防火墙设备造成高成本的问题。
本发明实施例提供的具体技术方案如下:
第一方面,本发明实施例提供了一种网络攻击检测方法,该方法应用于包括至少一个请求设备、网络设备、分析处理设备和服务器的数据传输系统,该方法包括:
分析处理设备持续接收网络设备发送的针对多种统一资源定位符(UniformResource Locator,URL)的HTTP请求报文的数目后,统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果,并根据多个周期的统计结果,确定被攻击URL。
通过上述方法,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
在一个可能的设计中,所述分析处理设备确定的所述被攻击URL符合以下两种情况:
第一种情况:在所述多个周期内的任一个周期中,所述被攻击URL对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值,其中,所述第一增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第一参考数目的增量,所述第一参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第一设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
第二种情况:在所述多个周期内的任一个周期中,所述被攻击URL对应的占比增量超过设定占比阈值,且所述被攻击URL对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值;其中,所述占比增量为在所述周期内所述URL对应的占比相对于参考占比的增量,所述参考占比为所述周期中所述被攻击URL对应的占比的预测值,所述设定占比阈值为针对所述周期中所述被攻击URL对应的占比设定的;所述第二增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第二参考数目的增量,所述第二参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第二设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
通过上述方法,所述分析处理设备可以在多种URL中确定符合上述两种情况的URL,将确定的URL作为被攻击URL,这样可以准确地确定所述被攻击URL,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,避免所述被攻击URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
在一个可能的设计中,所述分析处理设备可以通过以下步骤确定所述被攻击URL:
所述分析处理设备根据所述多个周期内接收的URL的统计结果,确定在所述多个周期中每个周期内每种URL对应的HTTP请求报文的数目的第一增量后,筛选出在任一个周期内对应的HTTP请求报文的数目的第一增量超过对应的第一设定数目阈值的URL,将筛选出的URL作为所述被攻击URL。
通过上述方法,所述分析处理设备可以准确地确定所述被攻击URL,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,避免所述被攻击URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
在一个可能的设计中,所述分析处理设备可以通过以下步骤确定所述被攻击URL:
所述分析处理设备首先根据每个周期内接收的针对每种URL的HTTP请求报文的数目,确定每个周期中每种URL对应的占比;然后根据多个周期内接收的URL对应的占比,以及所述多个周期内接收的URL的统计结果,筛选出在所述多个周期中任一个周期内对应的占比增量超过设定占比阈值,且在所述周期内对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值的URL;最后将筛选出的URL作为所述被攻击URL;其中,任意一个周期内任一种URL的占比为所述周期内接收的针对所述URL的HTTP请求报文的数目与所述周期内接收的HTTP请求报文的总数目的比值。
通过上述方法,所述分析处理设备可以准确地确定所述被攻击URL,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,避免所述被攻击URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
在一个可能的设计中,任一个周期中任一种URL对应的第一参考数目可以为根据长期对所述URL对应的HTTP请求报文的数目的统计预测的;任一个周期中任一种URL对应的第一设定数目阈值可以根据所述周期中所述URL对应的HTTP请求报文的第一参考数目进行设置,例如可以将所述周期中所述URL对应的第一设定数目阈值设置为对所述周期中所述URL对应的第一参考数目加权之后的值,例如所述第一参考数目的15%、20%等。
在一个可能的设计中,任一周期中任一种URL对应的第二参考数目与所述URL在所述周期中对应的第一参考数目相同。
在一个可能的设计中,任一个周期中任一种URL对应的参考占比可以为根据长期对所述URL对应的占比的统计预测的;任一个周期中任一种URL对应的设定占比阈值可以根据所述周期中所述URL对应的参考占比进行设置,例如可以将所述周期中所述URL对应的设定占比阈值设置为对所述周期中所述URL对应的参考占比加权之后的值,例如所述参考占比的15%、20%等。
在一个可能的设计中,所述分析处理设备得到的每个周期的统计结果除了包括针对每种URL的HTTP请求报文的数目外,还可以包括每个周期接收的HTTP请求报文的总数目,以使所述分析处理设备根据每个周期的统计结果确定每个周期中每种URL对应的占比。
在一个可能的设计中,所述分析处理设备可以先根据多个周期的统计结果,对多种URL对应的HTTP请求报文的数目进行排序,筛选出排序最高的设定个数种URL,再在所述设定个数种URL中确定所述被攻击URL。这样,所述分析处理设备无需对所有URL进行筛选,提高工作效率。
在一个可能的设计中,所述分析处理设备接收所述网络设备发送的每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文,其中所述URL的标识可以为所述URL的散列值或摘要值。
通过上述方法,所述分析处理设备在接收到每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文后,确定所述被攻击URL,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,避免所述被攻击URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
在一个可能的设计中,所述分析处理设备接收所述网络设备发送的每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文后,所述分析处理设备在确定所述被攻击URL时,首先确定出被攻击URL的标识,然后在所述多个HTTP请求报文的URL标识中筛选与所述被攻击URL的标识相同的URL,即确定了所述被攻击URL。
通过上述方法,所述分析处理设备可以准确地确定所述被攻击URL,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,避免所述被攻击URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
第二方面,本发明实施例还提供了一种网络攻击检测方法,该方法应用于包括至少一个请求设备、网络设备、分析处理设备和服务器的数据传输系统,该方法包括:
网络设备获取多个HTTP请求报文后,确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目,并将针对每种URL的HTTP请求报文的数目发送给分析处理设备。
通过上述方法,所述网络设备将针对每种URL的HTTP请求报文的数目发送给分析处理设备,以使所述分析处理设备统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,并根据统计的结果确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
在一个可能的设计中,所述网络设备可以通过以下步骤获取所述多个HTTP请求报文:
所述网络设备解析多个数据包,确定所述多个HTTP请求报文;其中,所述多个数据包为至少一个请求设备向服务器发送的。
通过上述方法,所述网络设备可以准确地确定所述多个HTTP请求报文,以便后续根据所述多个HTTP请求报文确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目。
在一个可能的设计中,所述网络设备解析的所述多个数据包,可以是所述网络设备通过采样技术采集的。例如,所述采样技术可以为网际协议(Internet Protocol,IP)数据流信息输出(Flow Information Export,FIX)流采样技术,所述网络设备可以基于所述IPFIX流采样技术对所述至少一个请求设备向所述服务器发送的所述多个数据包进行采集。
通过上述方法,所述网络设备可以准确地获取所述多个数据包,以使所述网络设备根据所述多个数据包确定所述多个HTTP请求报文。
在一个可能的设计中,所述网络设备可以通过确定每种URL的标识确定针对每种URL的HTTP请求报文的数目,具体可以包括以下步骤:
所述网络设备确定目标URL的标识,以及所述多个HTTP请求报文中每个HTTP请求报文中包含的URL的标识,并在所述多个HTTP请求报文中筛选出包含的URL的标识与所述目标URL的标识相同的HTTP请求报文后,将筛选出的HTTP请求报文的数目作为所述目标URL对应的HTTP请求报文的数目;其中,所述目标URL为多种URL中的任一种;所述多种URL为所述多个HTTP请求报文中包含的URL。
通过上述方法,所述网络设备利用每种URL的标识来确定所述URL的HTTP请求报文的数目,可以节省所述网络设备的资源空间,避免所述网络设备在获取到所述多个HTTP请求报文后无法正常保存所述多个HTTP请求报文中的多种URL。
在一个可能的设计中,所述URL的标识可以但不限于是所述URL的散列值、摘要值等,其中所述URL的散列值可以通过哈希(hash)算法对所述URL进行hash处理得到hash值(即所述散列值);所述URL的摘要值可以通过消息摘要算法第五版(Message DigestAlgorithm 5,MD5)得到。
通过上述方法,所述网络设备可以准确地确定所述URL的标识,以使后续所述网络设备根据所述URL的标识确定所述URL对应的HTTP请求报文的数目。
在一个可能的设计中,所述网络设备在确定所述URL的标识时,可以根据获取的HTTP请求报文的实际字节长度情况对所述URL进行处理,例如,在所述网络设备计算所述URL的hash值时,当HTTP请求报文截短时,所述网络设备可以选取所述URL的部分字节(例如所述URL的前30个字节)计算hash值,作为所述URL的标识;当所述HTTP请求报文实际字节长度正常时,所述网络设备可以对所述URL的全部字节进行hash计算。
通过上述方法,所述网络设备可以准确地确定所述URL的标识,以使后续所述网络设备根据所述URL的标识确定所述URL对应的HTTP请求报文的数目。
在一个可能的设计中,当所述网络设备通过确定URL的标识来确定针对每种URL的HTTP请求报文的数目时,可以将每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文发送给所述分析处理设备,以使所述分析处理设备确定被攻击URL的标识,再在所述多个HTTP请求报文的多种URL中匹配与所述被攻击URL的标识相同的URL,从而确定被攻击URL。
第三方面,本发明实施例还提供了一种分析处理设备,该分析处理设备具有实现上述方法实例中分析处理设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,所述分析处理设备的结构中包括接收单元和处理单元,这些单元可以执行上述方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
在一种可能的设计中,所述分析处理设备的结构中包括收发器、处理器、总线以及存储器,所述收发器用于与数据传输系统中的其他设备进行通信交互,所述处理器被配置为支持所述分析处理设备执行上述方法中相应的功能。所述存储器与所述处理器耦合,其保存所述分析处理设备必要的程序指令和数据。
第四方面,本发明实施例还提供了一种网络设备,该网络设备具有实现上述方法实例中网络设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,所述网络设备的结构中包括获取单元、处理单元和发送单元,这些单元可以执行上述方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
在一种可能的设计中,所述网络设备的结构中包括收发器、处理器、总线以及存储器,所述收发器用于与数据传输系统中的其他设备进行通信交互,所述处理器被配置为支持所述网络设备执行上述方法中相应的功能。所述存储器与所述处理器耦合,其保存所述网络设备必要的程序指令和数据。
第五方面,本发明实施例还提供了一种数据传输系统,该数据传输系统包括至少一个请求设备、网络设备、分析处理设备和服务器。
采用本发明实施例提供的网络攻击检测方法,分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
附图说明
图1为本发明实施例提供的一种数据传输系统的架构图;
图2为本发明实施例提供的一种网络攻击检测方法的流程图;
图3为本发明实施例提供的数据包的示意图;
图4为本发明实施例提供的HTTP请求报文的示意图;
图5为本发明实施例提供的确定被攻击URL的示意图;
图6为本发明实施例提供的一种分析处理设备的结构示意图;
图7为本发明实施例提供的一种网络设备的结构示意图;
图8为本发明实施例提供的一种分析处理设备的结构图;
图9为本发明实施例提供的一种网络设备的结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
本发明实施例提供一种网络攻击检测方法及装置,用以解决现有技术中需要在服务器前增加防火墙设备,导致网络攻击检测的成本高,代价大;另外,所述防火墙设备只能在网络末端检测网络攻击,导致攻击报文仍传输到网络末端,造成网络资源浪费的问题。其中,本发明所述方法、装置和系统基于同一发明构思,由于方法、装置和系统解决问题的原理相似,因此装置、系统与方法的实施可以相互参见,重复之处不再赘述。
本发明实施例的技术方案中,分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
以下,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
1)、本发明实施例涉及的网络设备,用于获取多个HTTP请求报文,并确定针对每种URL的HTTP请求报文的数目。所述网络设备可以但不限于是路由设备、交换机、服务器等。
2)、本发明实施例涉及的分析处理设备,可以称之为大数据分析平台,用于统计每个设定周期内接收的所述网络设备发送的针对每种URL的HTTP请求报文的数目,并根据多个周期的统计结果确定被攻击URL。所述分析处理设备可以包括至少一个服务器。
3)、本发明实施例涉及的请求设备,用于向所述服务器发送数据包,可以但不限于是终端设备,例如手机、电脑等。
4)、本发明实施例涉及的多个,是指两个或两个以上。
5)、在本发明的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
为了更加清晰地描述本发明实施例的技术方案,下面结合附图,对本发明实施例提供的网络攻击检测方法及装置进行详细说明。
图1示出了本发明实施例提供的网络攻击检测方法适用的一种可能的数据传输系统,所述数据传输系统的架构包括:至少一个请求设备、网络设备、分析处理设备和服务器。其中,
所述至少一个请求设备,用于向所述服务器发送多个数据包;例如,图中所示的请求设备A、请求设备B和请求设备C向所述服务器发送所述多个数据包;
所述服务器,用于接收到所述多个数据包后,根据所述多个数据包中部分数据包内封装的HTTP请求报文向所述部分数据包的发送设备(所述至少一个请求设备)返回相应的响应信息;
所述网络设备,用于根据所述多个数据包,确定针对每种URL的HTTP请求报文的数目,具体包括以下步骤:首先解析所述多个数据包,得到所述多个数据包内封装的多个HTTP请求报文;然后确定所述多个HTTP请求报文中包含的URL的种类,并确定所述多个HTTP请求报文中包含每种URL的HTTP请求报文的数目;
所述网络设备在确定针对每种URL的HTTP请求报文的数目之后,将针对每种URL的HTTP请求报文的数目发送给所述分析处理设备;
所述分析处理设备,用于接收到所述网络设备发送的针对每种URL的HTTP请求报文的数目后,确定被攻击URL,具体包括以下步骤:持续接收所述网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;然后根据多个周期的统计结果,确定所述被攻击URL。
其中,所述网络设备和所述分析处理设备均在网络传输链路中,这样可以使所述分析处理设备在网络传输链路中及时确定所述被攻击URL,以避免所述被攻击URL对应的HTTP请求报文继续传输到所述服务器,避免了网络资源浪费,且避免所述服务器处理所述URL对应的HTTP请求报文时消耗自身大量资源而导致所述服务器瘫痪。
本发明实施例提供了一种网络攻击检测方法,适用于如图1所示的数据传输系统,参阅图2所示,该方法的具体流程包括:
步骤201:网络设备获取多个HTTP请求报文。
可选的,所述网络设备执行步骤201时,可以通过以下步骤获取所述多个HTTP请求报文:
所述网络设备解析多个数据包,确定所述多个HTTP请求报文;其中,所述多个数据包为至少一个请求设备向服务器发送的。
在上述方法中,所述网络设备解析的所述多个数据包,可以是所述网络设备通过采样技术采集的。可选的,所述采样技术可以为IPFIX流采样技术,所述网络设备可以基于所述IPFIX流采样技术对所述至少一个请求设备向所述服务器发送的所述多个数据包进行采集。
众所周知,HTTP请求报文是通过传输控制协议(Transmission ControlProtocol,TCP)封装为数据包的,图3为数据包的示意图;且由图4所示的HTTP请求报文的示意图可知,一个HTTP请求报文由请求行、请求头部、空行和请求数据四部分组成,其中所述请求行中的协议版本字段包含“HTTP”。因此,所述网络设备在解析所述多个数据包,确定所述多个HTTP请求报文时,可以通过以下方法确定:所述网络设备对所述多个数据包的每个数据包从HTTP请求报文的第一个字节开始匹配“HTTP”,若匹配成功,且图4所示的“请求方法”字段是“GET”、“传送(POST)”等请求方式时,则可以确定是HTTP请求报文。
步骤202:所述网络设备确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目。
由于,所述多个HTTP请求报文中的每个HTTP请求报文中包含URL字段,如图4所示的HTTP请求报文,且所述多个HTTP请求报文中包含的URL可能为同一种的URL,也可能为不同种的URL,因此,所述网络设备首先可以根据所述多个HTTP请求报文确定包含的URL的多种种类,然后在所述多个HTTP请求报文中确定针对每种URL的HTTP请求报文的数目。
可选的,所述网络设备在执行步骤202时,可以直接对所述多个HTTP请求报文中的URL进行分类统计;还可以通过确定每种URL的标识(例如散列值、摘要值等)确定针对每种URL的HTTP请求报文的数目,具体可以包括以下步骤:
所述网络设备确定目标URL的标识,其中,所述目标URL为多种URL中的任一种;所述多种URL为所述多个HTTP请求报文中包含的URL;
所述网络设备确定多个HTTP请求报文中每个HTTP请求报文中包含的URL的标识;
所述网络设备在所述多个HTTP请求报文中筛选出包含的URL的标识与所述目标URL的标识相同的HTTP请求报文;
所述网络设备将筛选出的HTTP请求报文的数目作为所述目标URL对应的HTTP请求报文的数目。
通过上述方法,所述网络设备利用每种URL的标识来确定所述URL的HTTP请求报文的数目,可以节省所述网络设备的资源空间,避免所述网络设备在获取到所述多个HTTP请求报文后无法正常保存所述多个HTTP请求报文中的多种URL。
可选的,在上述方法中所述URL的标识可以但不限于是所述URL的散列值、摘要值等,其中所述URL的散列值可以通过哈希(hash)算法对所述URL进行hash处理得到hash值(即所述散列值);所述URL的摘要值可以通过MD5得到。在确定所述URL的标识时,所述网络设备可以根据获取的HTTP请求报文的实际字节长度情况对所述URL进行处理,例如,在所述网络设备计算所述URL的hash值时,当HTTP请求报文截短时,所述网络设备可以选取所述URL的部分字节(例如所述URL的前30个字节)计算hash值,作为所述URL的标识;当所述HTTP请求报文实际字节长度正常时,所述网络设备可以对所述URL的全部字节进行hash计算。
步骤203:所述网络设备将针对每种URL的HTTP请求报文的数目发送给分析处理设备。
可选的,当所述网络设备通过确定URL的标识来确定针对每种URL的HTTP请求报文的数目时,可以将每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文发送给所述分析处理设备,以使所述分析处理设备确定被攻击URL的标识,再在所述多个HTTP请求报文的多种URL中匹配与所述被攻击URL的标识相同的URL,从而确定被攻击URL。
步骤204:所述分析处理设备持续接收所述网络设备发送的针对多种URL的HTTP请求报文的数目。
通过所述分析处理设备执行步骤204,可以使所述分析处理设备后续对针对每种URL的HTTP请求报文的数目进行统计,从而确定被攻击URL。
步骤205:所述分析处理设备统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果。
可选的,所述设定周期可以为所述分析处理设备根据经验值自行设定的,例如,所述设定周期可以为30秒钟、1分钟、15分钟等。所述分析处理设备在步骤205中得到的每个周期的统计结果除了包括针对每种URL的HTTP请求报文的数目外,还可以包括每个周期接收的HTTP请求报文的总数目。
同理,可选的,当所述网络设备向所述分析处理设备发送的是每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文时,所述分析处理设备可以通过统计每个设定周期内接收的每种URL的标识对应的HTTP请求报文的数目,得到每个周期的统计结果,每个周期的统计结果除了每种URL的标识对应的HTTP请求报文的数目以外,还可以包括每个周期接收的HTTP请求报文的总数目。
步骤206:所述分析处理设备根据多个周期的统计结果,确定被攻击URL。
可选的,所述分析处理设备确定的所述被攻击URL,可以符合以下两种情况:
第一种情况:在所述多个周期内的任一个周期中,所述被攻击URL对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值,其中,所述第一增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第一参考数目的增量,所述第一参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第一设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
可选的,所述分析处理设备可以通过以下步骤确定所述被攻击URL:
所述分析处理设备根据所述多个周期内接收的URL的统计结果,确定在所述多个周期中每个周期内每种URL对应的HTTP请求报文的数目的第一增量;
所述处理分析设备筛选出在任一个周期内对应的HTTP请求报文的数目的第一增量超过对应的第一设定数目阈值的URL;
所述处理分析设备将筛选出的URL作为所述被攻击URL。
其中,任一个周期中任一种URL对应的第一参考数目可以为根据长期对所述URL对应的HTTP请求报文的数目的统计预测的;任一个周期中任一种URL对应的第一设定数目阈值可以根据所述周期中所述URL对应的HTTP请求报文的第一参考数目进行设置,例如可以将所述周期中所述URL对应的第一设定数目阈值设置为对所述周期中所述URL对应的第一参考数目加权之后的值,例如所述第一参考数目的15%、20%等。
例如,图5为采用上述方法确定被攻击URL的示意图,其中上边图像为多个周期内被攻击URL的统计结果示意图,下边图像为所述被攻击URL在多个周期中每个周期中对应的HTTP请求报文的第一参考数目的示意图。从图5中两图像的对比可以看出:在周期759时,所述被攻击URL对应的HTTP请求报文的数目为554000,所述被攻击URL对应的HTTP请求报文的第一参考数目为92333,前者相对于后者的增量为461667,超过了所述第一参考数目的20%(18467),即超过了第一设定数目阈值。
第二种情况:在所述多个周期内的任一个周期中,所述被攻击URL对应的占比增量超过设定占比阈值,且所述被攻击URL对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值,其中,所述占比增量为在所述周期内所述URL对应的占比相对于参考占比的增量,所述参考占比为所述周期中所述被攻击URL对应的占比的预测值,所述设定占比阈值为针对所述周期中所述被攻击URL对应的占比设定的;所述第二增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第二参考数目的增量,所述第二参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第二设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
其中,任一周期中任一种URL对应的第二参考数目与所述URL在上述第一种情况中对应的第一参考数目相同。
可选的,所述分析处理设备可以通过以下步骤确定所述被攻击URL:
所述分析处理设备根据每个周期内接收的针对每种URL的HTTP请求报文的数目,确定每个周期中每种URL对应的占比,其中,任意一个周期内任一种URL的占比为所述周期内接收的针对所述URL的HTTP请求报文的数目与所述周期内接收的HTTP请求报文的总数目的比值;
所述分析处理设备根据多个周期内接收的URL对应的占比,以及所述多个周期内接收的URL的统计结果,筛选出在所述多个周期中任一个周期内对应的占比增量超过设定占比阈值,且在所述周期内对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值的URL;
所述处理分析设备将筛选出的URL作为所述被攻击URL。
可选的,在上述方法中,所述分析处理设备筛选在所述多个周期中任一个周期内对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值的URL的方法,与上述第一种情况中筛选在所述多个周期中任一个周期内,对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值的URL的方法相同,此处不再赘述。
其中,任一周期中的任一种URL对应的第二设定数目阈值与上述第一种情况中的所述周期中所述URL对应的第一设定数目阈值可以相同。
所述分析处理设备筛选出在所述多个周期中任一个周期内对应的占比增量超过设定占比阈值的URL,具体方法可以为:
所述分析处理设备根据所述多个周期内接收的URL对应的占比,确定在所述多个周期中每个周期内每种URL对应的占比增量;
所述处理分析设备筛选出在任一个周期内对应的占比增量超过设定占比阈值的URL;
所述处理分析设备将筛选出的URL作为所述被攻击URL。
其中,任一个周期中任一种URL对应的参考占比可以为根据长期对所述URL对应的占比的统计预测的;任一个周期中任一种URL对应的设定占比阈值可以根据所述周期中所述URL对应的参考占比进行设置,例如可以将所述周期中所述URL对应的设定占比阈值设置为对所述周期中所述URL对应的参考占比加权之后的值,例如所述参考占比的15%、20%等。
通过上述两种方法,所述分析处理设备可以准确地确定所述被攻击URL,避免所述被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
可选的,在所述分析处理设备执行步骤206时,所述分析处理设备可以先根据多个周期的统计结果,对多种URL对应的HTTP请求报文的数目进行排序,筛选出排序最高的设定个数种URL,再在所述设定个数种URL中通过上述两种方法确定所述被攻击URL。这样,所述分析处理设备无需对所有URL进行筛选,提高工作效率。
可选的,当在步骤204中,所述网络设备向所述分析处理设备发送的是每种URL的标识对应的HTTP请求报文的数目以及所述多个HTTP请求报文时,所述分析处理设备在执行步骤206时,通过上述方法确定出被攻击URL的标识,然后在所述多个HTTP请求报文的URL标识中筛选与所述被攻击URL的标识相同的URL,即确定了所述被攻击URL。
此外,除了通过上述两种方法确定被攻击URL之外,还可以根据其他方法确定所述被攻击URL,具体实施过程此处不再赘述。
采用本发明实施例提供的网络攻击检测方法,分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
基于以上实施例,本发明实施例还提供了一种分析处理设备,该分析处理设备应用于如图1所示的数据传输系统,用于实现如图2所示的网络攻击检测方法。参阅图6所示,该分析处理设备600包括:接收单元601和处理单元602,其中,
所述接收单元601,用于持续接收网络设备发送的针对多种统一资源定位符URL的超文本传输协议HTTP请求报文的数目;
所述处理单元602,用于统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;以及
根据多个周期的统计结果,确定被攻击URL。
可选的,所述处理单元602确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值,其中,所述第一增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第一参考数目的增量,所述第一参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第一设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
可选的,所述处理单元602,在根据所述多个周期的统计结果,确定所述被攻击URL之前,还用于:
根据每个周期内接收的针对每种URL的HTTP请求报文的数目,确定每个周期中每种URL对应的占比,其中,任意一个周期内任一种URL的占比为所述周期内接收的针对所述URL的HTTP请求报文的数目与所述周期内接收的HTTP请求报文的总数目的比值;
所述处理单元602确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的占比增量超过设定占比阈值,且所述被攻击URL对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值;
其中,所述占比增量为在所述周期内所述URL对应的占比相对于参考占比的增量,所述参考占比为所述周期中所述被攻击URL对应的占比的预测值,所述设定占比阈值为针对所述周期中所述被攻击URL对应的占比设定的;
所述第二增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第二参考数目的增量,所述第二参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第二设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
采用本发明实施例提供的分析处理设备,持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
基于以上实施例,本发明实施例还提供了一种网络设备,该网络设备应用于如图1所示的数据传输系统,用于实现如图2所示的网络攻击检测方法。参阅图7所示,该网络设备700包括:获取单元701、处理单元702和发送单元703,其中,
所述获取单元701,用于获取多个超文本传输协议HTTP请求报文;
所述处理单元702,用于确定所述多个HTTP请求报文中针对每种统一资源定位符URL的HTTP请求报文的数目;
所述发送单元703,用于将针对每种URL的HTTP请求报文的数目发送给分析处理设备。
可选的,所述获取单元701,在获取所述多个HTTP请求报文时,具体用于:
解析多个数据包,确定所述多个HTTP请求报文;其中,所述多个数据包为至少一个请求设备向服务器发送的。
可选的,所述处理单元702,在确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目时,具体用于:
确定目标URL的标识,其中,所述目标URL为多种URL中的任一种;
确定多个HTTP请求报文中每种HTTP请求报文中包含的URL的标识;
在所述多个HTTP请求报文中筛选出包含的URL的标识与所述目标URL的标识相同的HTTP请求报文;
将筛选出的HTTP请求报文的数目作为所述目标URL对应的HTTP请求报文的数目。
可选的,所述URL的标识为所述URL的散列值或摘要值。
采用本发明实施例提供的网络设备,获取多个HTTP请求报文后,确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目,并将针对每种URL的HTTP请求报文的数目发送给分析处理设备。以使所述分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。在本申请的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
基于以上实施例,本申请实施例还提供了一种分析处理设备,该分析处理设备应用于如图1所示的数据传输系统,参阅图8所示,该分析处理设备800包括:收发器801、处理器802、总线803以及存储器804,其中,
所述收发器801、所述处理器802以及所述存储器804通过所述总线803相互连接;所述总线803可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述收发器801,用于与所述数据传输系统中的与所述分析处理设备800相连的其他设备进行通信交互。
所述处理器802,用于实现如图2所示的网络攻击检测方法,包括:
持续接收网络设备发送的针对多种统一资源定位符URL的超文本传输协议HTTP请求报文的数目;
统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;
根据多个周期的统计结果,确定被攻击URL。
可选的,所述处理器802确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值,其中,所述第一增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第一参考数目的增量,所述第一参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第一设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
可选的,所述处理器802,在根据所述多个周期的统计结果,确定所述被攻击URL之前,还用于:
根据每个周期内接收的针对每种URL的HTTP请求报文的数目,确定每个周期中每种URL对应的占比,其中,任意一个周期内任一种URL的占比为所述周期内接收的针对所述URL的HTTP请求报文的数目与所述周期内接收的HTTP请求报文的总数目的比值;
所述处理器802确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的占比增量超过设定占比阈值,且所述被攻击URL对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值;
其中,所述占比增量为在所述周期内所述URL对应的占比相对于参考占比的增量,所述参考占比为所述周期中所述被攻击URL对应的占比的预测值,所述设定占比阈值为针对所述周期中所述被攻击URL对应的占比设定的;
所述第二增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第二参考数目的增量,所述第二参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第二设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
所述存储器804,用于存放程序等。具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。所述存储器804可能包含RAM,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。所述处理器802执行所述存储器804所存放的应用程序,实现上述功能,从而实现如图2所示的网络攻击检测方法。
采用本发明实施例提供的分析处理设备,持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
基于以上实施例,本申请实施例还提供了一种网络设备,该网络设备应用于如图1所示的数据传输系统,参阅图9所示,该网络设备900包括:收发器901、处理器902、总线903以及存储器904,其中,
所述收发器901、所述处理器902以及所述存储器904通过所述总线903相互连接;所述总线903可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述收发器901,用于与所述数据传输系统中的与所述网络设备900相连的其他设备进行通信交互。
所述处理器902,用于实现如图2所示的网络攻击检测方法,包括:
获取多个超文本传输协议HTTP请求报文;
确定所述多个HTTP请求报文中针对每种统一资源定位符URL的HTTP请求报文的数目;
将针对每种URL的HTTP请求报文的数目发送给分析处理设备。
可选的,所述处理器902,在获取所述多个HTTP请求报文时,具体用于:
解析多个数据包,确定所述多个HTTP请求报文;其中,所述多个数据包为至少一个请求设备向服务器发送的。
可选的,所述处理器902,在确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目时,具体用于:
确定目标URL的标识,其中,所述目标URL为多种URL中的任一种;
确定多个HTTP请求报文中每种HTTP请求报文中包含的URL的标识;
在所述多个HTTP请求报文中筛选出包含的URL的标识与所述目标URL的标识相同的HTTP请求报文;
将筛选出的HTTP请求报文的数目作为所述目标URL对应的HTTP请求报文的数目。
可选的,所述URL的标识为所述URL的散列值或摘要值。
所述存储器904,用于存放程序等。具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。所述存储器904可能包含RAM,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。所述处理器902执行所述存储器904所存放的应用程序,实现上述功能,从而实现如图2所示的网络攻击检测方法。
采用本发明实施例提供的网络设备,获取多个HTTP请求报文后,确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目,并将针对每种URL的HTTP请求报文的数目发送给分析处理设备。以使所述分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
综上所述,本发明实施例中提供的网络攻击检测方法及装置,网络设备获取多个HTTP请求报文后,确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目,并将针对每种URL的HTTP请求报文的数目发送给分析处理设备。以使所述分析处理设备持续接收网络设备发送的针对多种URL的HTTP请求报文的数目,并统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;最后,根据多个周期的统计结果,确定被攻击URL。在上述方法中,由于在互联网中可以通过所述分析处理设备和所述网络设备实现网络攻击检测,因此无需在服务器前增加高成本的防火墙设备,降低了成本消耗;另外,所述分析处理设备和所述网络设备均在网络传输链路中,这样所述分析处理设备可以在网络传输链路中实现网络攻击检测,进而对所述被攻击URL对应的HTTP请求报文执行清洗或丢弃操作,可以避免被攻击的URL对应的HTTP请求报文传输到网络末端,从而避免了网络资源浪费。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种网络攻击检测方法,其特征在于,包括:
分析处理设备持续接收网络设备发送的针对多种统一资源定位符URL的超文本传输协议HTTP请求报文的数目;
所述分析处理设备统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;
所述分析处理设备根据多个周期的统计结果,确定被攻击URL。
2.如权利要求1所述的方法,其特征在于,所述分析处理设备确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值,其中,所述第一增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第一参考数目的增量,所述第一参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第一设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
3.如权利要求1所述的方法,其特征在于,所述分析处理设备根据所述多个周期的统计结果,确定所述被攻击URL之前,还包括:
所述分析处理设备根据每个周期内接收的针对每种URL的HTTP请求报文的数目,确定每个周期中每种URL对应的占比,其中,任意一个周期内任一种URL的占比为所述周期内接收的针对所述URL的HTTP请求报文的数目与所述周期内接收的HTTP请求报文的总数目的比值;
所述分析处理设备确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的占比增量超过设定占比阈值,且所述被攻击URL对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值;
其中,所述占比增量为在所述周期内所述URL对应的占比相对于参考占比的增量,所述参考占比为所述周期中所述被攻击URL对应的占比的预测值,所述设定占比阈值为针对所述周期中所述被攻击URL对应的占比设定的;
所述第二增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第二参考数目的增量,所述第二参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第二设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
4.一种网络攻击检测方法,其特征在于,包括:
网络设备获取多个超文本传输协议HTTP请求报文;
所述网络设备确定所述多个HTTP请求报文中针对每种统一资源定位符URL的HTTP请求报文的数目;
所述网络设备将针对每种URL的HTTP请求报文的数目发送给分析处理设备。
5.如权利要求4所述的方法,其特征在于,所述网络设备获取所述多个HTTP请求报文,包括:
所述网络设备解析多个数据包,确定所述多个HTTP请求报文;其中,所述多个数据包为至少一个请求设备向服务器发送的。
6.如权利要求4或5所述的方法,其特征在于,所述网络设备确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目,包括:
所述网络设备确定目标URL的标识,其中,所述目标URL为多种URL中的任一种;
所述网络设备确定多个HTTP请求报文中每种HTTP请求报文中包含的URL的标识;
所述网络设备在所述多个HTTP请求报文中筛选出包含的URL的标识与所述目标URL的标识相同的HTTP请求报文;
所述网络设备将筛选出的HTTP请求报文的数目作为所述目标URL对应的HTTP请求报文的数目。
7.如权利要求6所述的方法,其特征在于,所述URL的标识为所述URL的散列值或摘要值。
8.一种分析处理设备,其特征在于,包括:
接收单元,用于持续接收网络设备发送的针对多种统一资源定位符URL的超文本传输协议HTTP请求报文的数目;
处理单元,用于统计在每个设定周期内接收的针对每种URL的HTTP请求报文的数目,得到每个周期的统计结果;以及
根据多个周期的统计结果,确定被攻击URL。
9.如权利要求8所述的分析处理设备,其特征在于,所述处理单元确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的HTTP请求报文的数目的第一增量超过第一设定数目阈值,其中,所述第一增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第一参考数目的增量,所述第一参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第一设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
10.如权利要求8所述的分析处理设备,其特征在于,所述处理单元,在根据所述多个周期的统计结果,确定所述被攻击URL之前,还用于:
根据每个周期内接收的针对每种URL的HTTP请求报文的数目,确定每个周期中每种URL对应的占比,其中,任意一个周期内任一种URL的占比为所述周期内接收的针对所述URL的HTTP请求报文的数目与所述周期内接收的HTTP请求报文的总数目的比值;
所述处理单元确定的所述被攻击URL满足:
在所述多个周期内的任一个周期中,所述被攻击URL对应的占比增量超过设定占比阈值,且所述被攻击URL对应的HTTP请求报文的数目的第二增量超过第二设定数目阈值;
其中,所述占比增量为在所述周期内所述URL对应的占比相对于参考占比的增量,所述参考占比为所述周期中所述被攻击URL对应的占比的预测值,所述设定占比阈值为针对所述周期中所述被攻击URL对应的占比设定的;
所述第二增量为在所述周期内所述URL对应的HTTP请求报文的数目相对于第二参考数目的增量,所述第二参考数目为所述周期中所述被攻击URL对应的请求报文的数目的预测值,所述第二设定数目阈值为针对所述周期中所述被攻击URL对应的HTTP请求报文的数目设定的。
11.一种网络设备,其特征在于,包括:
获取单元,用于获取多个超文本传输协议HTTP请求报文;
处理单元,用于确定所述多个HTTP请求报文中针对每种统一资源定位符URL的HTTP请求报文的数目;
发送单元,用于将针对每种URL的HTTP请求报文的数目发送给分析处理设备。
12.如权利要求11所述的网络设备,其特征在于,所述获取单元,在获取所述多个HTTP请求报文时,具体用于:
解析多个数据包,确定所述多个HTTP请求报文;其中,所述多个数据包为至少一个请求设备向服务器发送的。
13.如权利要求11或12所述的网络设备,其特征在于,所述处理单元,在确定所述多个HTTP请求报文中针对每种URL的HTTP请求报文的数目时,具体用于:
确定目标URL的标识,其中,所述目标URL为多种URL中的任一种;
确定多个HTTP请求报文中每种HTTP请求报文中包含的URL的标识;
在所述多个HTTP请求报文中筛选出包含的URL的标识与所述目标URL的标识相同的HTTP请求报文;
将筛选出的HTTP请求报文的数目作为所述目标URL对应的HTTP请求报文的数目。
14.如权利要求13所述的网络设备,其特征在于,所述URL的标识为所述URL的散列值或摘要值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611208546.1A CN108243149A (zh) | 2016-12-23 | 2016-12-23 | 一种网络攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611208546.1A CN108243149A (zh) | 2016-12-23 | 2016-12-23 | 一种网络攻击检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108243149A true CN108243149A (zh) | 2018-07-03 |
Family
ID=62704195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611208546.1A Pending CN108243149A (zh) | 2016-12-23 | 2016-12-23 | 一种网络攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108243149A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
-
2016
- 2016-12-23 CN CN201611208546.1A patent/CN108243149A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
CN103916379A (zh) * | 2013-12-04 | 2014-07-09 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
CN105939342A (zh) * | 2016-03-31 | 2016-09-14 | 杭州迪普科技有限公司 | Http攻击检测方法及装置 |
CN105939361A (zh) * | 2016-06-23 | 2016-09-14 | 杭州迪普科技有限公司 | 防御cc攻击的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
CN104601601B (zh) | 网络爬虫的检测方法及装置 | |
CN107528749A (zh) | 基于云防护日志的网站可用性检测方法、装置及系统 | |
CN110609937A (zh) | 一种爬虫识别方法及装置 | |
US11188941B2 (en) | Methods and apparatus to collect and process browsing history | |
CN107967488B (zh) | 一种服务器的分类方法及分类系统 | |
CN104219230B (zh) | 识别恶意网站的方法及装置 | |
CN112769633B (zh) | 一种代理流量检测方法、装置、电子设备及可读存储介质 | |
CN106850687A (zh) | 用于检测网络攻击的方法和装置 | |
CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
CN108737193A (zh) | 一种故障预测方法及装置 | |
CN114422211A (zh) | 基于图注意力网络的http恶意流量检测方法及装置 | |
CN112887333A (zh) | 一种异常设备检测方法、装置、电子设备及可读存储介质 | |
JP4504346B2 (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
CN109977328A (zh) | 一种url分类方法及装置 | |
CN104219219B (zh) | 一种数据处理的方法、服务器及系统 | |
CN108243149A (zh) | 一种网络攻击检测方法及装置 | |
CN113824797B (zh) | 一种授课资源自适应同步方法及装置 | |
CN116055092A (zh) | 一种隐蔽隧道攻击行为检测方法和装置 | |
CN109246157A (zh) | 一种http慢速请求dos攻击的关联检测方法 | |
CN113014555A (zh) | 一种攻击事件的确定方法、装置、电子设备和存储介质 | |
CN113542044A (zh) | 网络质量监测方法、装置及计算设备 | |
CN116896514B (zh) | 基于深度学习的网络资产识别方法、装置、设备和介质 | |
CN110162969A (zh) | 一种流量的分析方法和装置 | |
CN110719260B (zh) | 智能网络安全分析方法、装置及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180703 |
|
RJ01 | Rejection of invention patent application after publication |