CN111478893B - 一种慢速http攻击的检测方法 - Google Patents
一种慢速http攻击的检测方法 Download PDFInfo
- Publication number
- CN111478893B CN111478893B CN202010255249.2A CN202010255249A CN111478893B CN 111478893 B CN111478893 B CN 111478893B CN 202010255249 A CN202010255249 A CN 202010255249A CN 111478893 B CN111478893 B CN 111478893B
- Authority
- CN
- China
- Prior art keywords
- request
- http
- message
- request end
- slow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及工业控制安全技术领域,具体涉及一种慢速HTTP攻击的检测方法。现有技术缺陷在于需要对历史流量进行计算学习、模型训练花费较多时间且计算复杂;或者哈希表会随时间推移越来越大,且判断阈值难以确定,容易产生误报。本发明包括步骤一:接收网络数据报文;步骤二:分析ICMP应答报文;步骤三:分析HTTP请求端报文;步骤四:系统判定处理本发明提供一种结合被动检测和主动探测的HTTP慢速攻击检测方法,改变现有检测方法耗时长、误报率高的问题。
Description
技术领域
本发明涉及工业控制安全技术领域,具体涉及一种慢速HTTP攻击的检测方法。
背景技术
慢速HTTP攻击主要有三种类型:慢速报头攻击;慢速BODY攻击;慢速读攻击。三种类型攻击都是利用HTTP合法机制,在建立连接后,尽量长时间保持连接,不释放,达到对HTTP服务攻击的目的。
专利申请号为CN201610556957.3的专利公开了一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置,通过使用杰卡德相似系数计算公式计算时间间隔内属性集合和历史正常属性集合的相似性,与预先设定的阈值做比较,检测Http慢速请求攻击。此专利技术的缺陷在于需要对历史流量进行计算学习、模型训练花费较多时间且计算复杂。
专利申请号为CN201510925630.4的专利公开了一种HTTP慢速攻击的防范方法,首先依赖流量学习,对正常访问的被保护主机的流量进行智能学习,利用访问的时间差值从而能够识别哪些页面是耗费资源的页面,记录下来这些页面的信息,然后利用这些消耗资源的页面URL构建URL哈希监控表,具统计每个周期内各源IP对各耗资源页面的访问次数和其访问该网站的总次数,然后在周期时间截至时进行汇总,计算每个源IP的耗时页面访问次数;如果连续几个周期内,出现一些源IP访问的耗资源的页面次数超过设定的阈值,则说明这几个源IP一直在从事低流量而获取大计算量的服务器资源,则进行限制其访问。此专利技术的缺陷在于哈希表会随时间推移越来越大,且判断阈值难以确定,容易产生误报。
发明内容
1.目的:
提供一种结合被动检测和主动探测的HTTP慢速攻击检测方法,改变现有检测方法耗时长、误报率高的问题。
2.技术方案:
本发明解决了现有技术中,HTTP慢速攻击检测需要对历史流量进行计算学习、模型训练花费较多时间且计算复杂,而哈希表会随时间推移越来越大,且判断阈值难以确定,容易产生误报的问题,本发明提供了一种优化的HTTP慢速攻击的检测方法。所述方法包括以下步骤:
步骤一:接收网络数据报文;
(1)系统被动采集请求报文平均长度、请求端链路RTT、请求端RTO、请求端接收缓冲区大小等关键数据;
(2)主动注入探测报文,增加数据采集的有效性。
步骤二:分析ICMP应答报文;
(1)系统检测到HTTP请求超时未完成,主动发送ICMP请求报文,探测请求端链路状况;
(2)计算请求端链路RTT,小于请求端RTO时,系统判定为慢速HTTP攻击。
步骤三:分析HTTP请求端报文;
(1)计算分段平均长度,计算请求端RTO;
(2)分段平均长度小于二分之一MSS时,系统判定为HTTP慢速攻击;
(3)分段平均长度大于等于二分之一MSS时,开启链路探测定时任务,RTO时间后,请求仍未完成则向请求端发送ICMP请求报文,探测链路状况。
步骤四:系统判定处理;
(1)HTTP请求完成后,请求端接收服务器数据;
(2)系统分析请求端接收窗口,检测到零窗口通告,如果请求端已被标记为繁忙,系统判定为慢速HTTP攻击;否则标记请端端繁忙。
(3)处理HTTP服务端报文,服务端开始传送数据,标记请求完成;
(4)同时,检查到请求端繁忙时,缓存服务端数据报文2秒钟。
3.效果:
此方法根据TCP传输过程中的多个参数关联分析来识慢速HTTP攻击,相比较现有的统计建模检测方法,检测结果更加准确;同时,主动探测技术可以主动获取网络传输状况,缩短检测时间。已应用到中核工业入侵检测系统,并在电网入侵检测项目中得到验证。
附图说明
图1数据接收流程图
图2非HTTP报文处理流程图
图3HTTP报文处理流程图
图4HTTP请求端报文处理流程图
图5HTTP请求分段处理流程图
图6HTTP请求完成处理流程图
图7HTTP服务端报文处理流程图
具体实施方式
参见附图说明,整个系统抱括数据采集、报文注入、关联分析等功能模块。通过报文注入,丰富了采集的数据,给关联分析提供更多的依据。具体步骤如下:
1.系统被动采集请求报文平均长度、请求端链路RTT、请求端RTO、请求端接收缓冲区大小等关键数据。
2.主动注入探测报文,增加数据采集的有效性。发生HTTP慢速报头攻击时,请求端发送完不完整的请求分段后停止发送数据,系统无法判断是网络故障或是攻击行为,通过注入链路探测报文,增加数据采集能力。
3.关联分析系统采集的数据,检测网络传输是否正常。
1)正常情况下,内核发送TCP分段报文时,都会以MSS为长度封装数据。但发生慢速BODY攻击时,攻击方故意将请求数据封装成小包发送,以延长连接保持时间来达到攻击目的。系统检查到请求报文平均长度严重偏离MSS,判定为慢速HTTP攻击。
2)连接建立后,服务器会准备足够大的缓冲区来接收请求端的数据。所HTTP请求能在很短时间内传输完成。但发生慢速报头攻击时,攻击方发送一个不完整的请求分段后,不再发送后续数据,导致服务端长时间等待。系统检查请求报文的传输时延,后续请求报文分段到达时间严重偏离发送端RTT时,判定为HTTP慢速攻击。
3)请求完成,服务端开始向请求端传输数据。请求端通常都能及时完成接收,清空接收缓冲区。但在发生慢速读攻击时,攻击方故意停止接收或慢速接收。延长服务器传输时间来达到攻击目的。系统检查请求方窗口大小,在请求端通告零窗口时,暂缓向请求端提交数据,观察请求端接收窗口能否重新打开。请求端持续通告零窗口,判定为HTTP慢速攻击。
Claims (2)
1.一种慢速HTTP攻击的检测方法,其特征在于:包括步骤一:接收网络数据报文;步骤二:分析ICMP应答报文;步骤三:分析HTTP请求端报文;步骤四:系统判定处理;其中,
所述的步骤二:分析ICMP应答报文,具体包括如下步骤:
(1)系统检测到HTTP请求超时未完成,主动发送ICMP请求报文,探测请求端链路状况;
(2)计算请求端链路RTT,小于请求端RTO时,系统判定为慢速HTTP攻击;
步骤三:分析HTTP请求端报文,具体包括如下步骤:
(1)计算分段平均长度,计算请求端RTO;
(2)分段平均长度小于二分之一MSS时,系统判定为HTTP慢速攻击;
(3)分段平均长度大于等于二分之一MSS时,开启链路探测定时任务,RTO时间后,请求仍未完成则向请求端发送ICMP请求报文,探测链路状况;
所述的步骤四:系统判定处理,具体包括如下步骤:
(1)HTTP请求完成后,请求端接收服务器数据;
(2)系统分析请求端接收窗口,检测到零窗口通告,如果请求端已被标记为繁忙,系统判定为慢速HTTP攻击;否则标记请端端繁忙;
(3)处理HTTP服务端报文,服务端开始传送数据,标记请求完成;
(4)同时,检查到请求端繁忙时,缓存服务端数据报文2秒钟。
2.如权利要求1所述的一种慢速HTTP攻击的检测方法,其特征在于:所述的步骤一:接收网络数据报文,具体包括如下步骤:
(1)系统被动采集请求报文平均长度、请求端链路RTT、请求端RTO、请求端接收缓冲区大小关键数据;
(2)主动注入探测报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010255249.2A CN111478893B (zh) | 2020-04-02 | 2020-04-02 | 一种慢速http攻击的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010255249.2A CN111478893B (zh) | 2020-04-02 | 2020-04-02 | 一种慢速http攻击的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111478893A CN111478893A (zh) | 2020-07-31 |
| CN111478893B true CN111478893B (zh) | 2022-06-28 |
Family
ID=71749759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010255249.2A Active CN111478893B (zh) | 2020-04-02 | 2020-04-02 | 一种慢速http攻击的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111478893B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532610B (zh) * | 2020-11-24 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种基于tcp分段的入侵防御检测方法及装置 |
| CN112866233B (zh) * | 2021-01-14 | 2022-05-24 | 华南理工大学 | 一种防护慢速ddos攻击的方法、设备及介质 |
| CN114221813B (zh) * | 2021-12-16 | 2024-01-30 | 中国电信股份有限公司 | Http慢速攻击的检测方法、系统、设备及存储介质 |
| CN116074083B (zh) * | 2023-01-28 | 2023-06-23 | 天翼云科技有限公司 | 慢速攻击识别方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457489A (zh) * | 2010-10-26 | 2012-05-16 | 中国民航大学 | 低速率拒绝服务LDoS攻击、检测和防御模块 |
| CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
| CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN106464598A (zh) * | 2014-04-23 | 2017-02-22 | 贝匡特有限公司 | 用于基于传输速率梯度的网络拥塞控制的方法和装置 |
| CN108199898A (zh) * | 2018-01-12 | 2018-06-22 | 中国民航大学 | 一种增强LDoS攻击效能的方法 |
| CN109040140A (zh) * | 2018-10-16 | 2018-12-18 | 杭州迪普科技股份有限公司 | 一种慢速攻击检测方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001237882A (ja) * | 2000-02-23 | 2001-08-31 | Nec Corp | パケットデータ転送におけるパケットサイズ制御装置及びその制御方法 |
| KR20140122044A (ko) * | 2013-04-09 | 2014-10-17 | 한국전자통신연구원 | 슬로우 리드 도스 공격 탐지 장치 및 방법 |
-
2020
- 2020-04-02 CN CN202010255249.2A patent/CN111478893B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457489A (zh) * | 2010-10-26 | 2012-05-16 | 中国民航大学 | 低速率拒绝服务LDoS攻击、检测和防御模块 |
| CN106464598A (zh) * | 2014-04-23 | 2017-02-22 | 贝匡特有限公司 | 用于基于传输速率梯度的网络拥塞控制的方法和装置 |
| CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
| CN106209861A (zh) * | 2016-07-14 | 2016-12-07 | 南京邮电大学 | 一种基于广义杰卡德相似系数Web应用层DDoS攻击检测方法及装置 |
| CN108199898A (zh) * | 2018-01-12 | 2018-06-22 | 中国民航大学 | 一种增强LDoS攻击效能的方法 |
| CN109040140A (zh) * | 2018-10-16 | 2018-12-18 | 杭州迪普科技股份有限公司 | 一种慢速攻击检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 一类慢速拒绝服务攻击的防御方法;董阔;《中国科学技术大学学报》;20100131;第40卷(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111478893A (zh) | 2020-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111478893B (zh) | 一种慢速http攻击的检测方法 | |
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| US20190034631A1 (en) | System and method for malware detection | |
| US8844034B2 (en) | Method and apparatus for detecting and defending against CC attack | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN104113519A (zh) | 网络攻击检测方法及其装置 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN107332723B (zh) | 隐蔽通道的检测方法和检测设备 | |
| CN111245848B (zh) | 一种分层依赖关系建模的工控入侵检测方法 | |
| CN101789931A (zh) | 一种基于数据挖掘的网络入侵检测系统及方法 | |
| CN114124478A (zh) | 电力系统工控流量异常检测方法及系统 | |
| CN101150586A (zh) | Cc攻击防范方法及装置 | |
| CN114362368B (zh) | 智能变电站网络流量异常行为监测方法与系统 | |
| CN104734916A (zh) | 一种基于tcp协议的高效多级异常流量检测方法 | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN109462580B (zh) | 训练流量检测模型、检测业务流量异常的方法及装置 | |
| CN103634284B (zh) | 一种网络flood攻击的侦测方法及装置 | |
| CN112953910B (zh) | 基于软件定义网络的DDoS攻击检测方法 | |
| Wang et al. | HTTP-SoLDiER: An HTTP-flooding attack detection scheme with the large deviation principle | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| Chun-Tao et al. | An algorithm of detecting and defending CC attack in real time | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN114499917B (zh) | Cc攻击检测方法及cc攻击检测装置 | |
| Deng et al. | Abnormal traffic detection of IoT terminals based on Bloom filter |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |