CN112532617B - 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 - Google Patents

一种针对HTTP Flood攻击的检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN112532617B
CN112532617B CN202011352034.9A CN202011352034A CN112532617B CN 112532617 B CN112532617 B CN 112532617B CN 202011352034 A CN202011352034 A CN 202011352034A CN 112532617 B CN112532617 B CN 112532617B
Authority
CN
China
Prior art keywords
flow
network
value
traffic
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011352034.9A
Other languages
English (en)
Other versions
CN112532617A (zh
Inventor
王立逗
袁玫
叶晓虎
刘波
何坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Lvmeng Chengdu Technology Co ltd
Original Assignee
Shenzhou Lvmeng Chengdu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhou Lvmeng Chengdu Technology Co ltd filed Critical Shenzhou Lvmeng Chengdu Technology Co ltd
Priority to CN202011352034.9A priority Critical patent/CN112532617B/zh
Publication of CN112532617A publication Critical patent/CN112532617A/zh
Application granted granted Critical
Publication of CN112532617B publication Critical patent/CN112532617B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种针对HTTP Flood攻击的检测方法、装置、设备及介质,用以解决现有技术中对当前网络流量中是否存在HTTP Flood攻击检测不够准确的问题。由于本发明实施例可以在判断第一网络流量不位于当前保存的流量阈值范围内时,可以对该第一流量阈值进行更新,并基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,本发明实施例中当前保存的第一流量阈值可以随着当前网络流量的改变而自适应的进行调整,相比现有采用固定不变的第一流量阈值,可以提高检测当前网络流量中是否存在HTTP Flood攻击的准确性。

Description

一种针对HTTP Flood攻击的检测方法、装置、设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种针对HTTP Flood攻击的检测方法、装置、设备及介质。
背景技术
超文本传输协议洪水(Hyper Text Transfer Protocol Flood,HTTP Flood)攻击是一种主要针对服务器进行攻击的方式。目前,针对HTTP Flood攻击的防护方法是在客户端与服务器中间设置防护设备,当客户端与服务器建立传输控制协议(TransmissionControl Protocol,TCP)连接后,防护设备会获取由客户端发送给服务器的HTTP请求,防护设备在获取到该HTTP请求后,采用预设的防护策略对HTTP请求进行验证,验证通过后再将该HTTP请求发送给服务器,否则对该HTTP请求进行拦截,从而防止当客户端为攻击端时,服务器可能受到的HTTP Flood攻击。
其中防护设备预设的防护策略可以为:预先设置固定的流量阈值,当判断当前网络流量超过该设定的流量阈值后,再用设定的HTTP Flood攻击检测方式检测当前网络流量中是否存在HTTP Flood攻击。
然而由于网络流量是不断实时变化的,如果基于固定的流量阈值检测当前网络流量中是否存在HTTP Flood攻击时,就存在不能准确的检测到当前网络流量是否存在异常,进而不能准确的对当前网络流量中是否存在HTTP Flood攻击进行检测的问题。
发明内容
本发明提供了一种针对HTTP Flood攻击的检测方法、装置、设备及介质,用以解决现有技术中对当前网络流量中是否存在HTTP Flood攻击检测不够准确的问题。
本发明的一方面提供了一种针对超文本传输协议洪水HTTP Flood攻击的检测方法,所述方法包括:
获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
若否,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
进一步的,所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,所述方法还包括:
判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,所述方法还包括:
基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
进一步的,基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击包括:
若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击。
进一步的,确定HTTP Flood攻击检测方式的过程包括:
当所述第一网络流量大于所述最大流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;
当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
进一步的,所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,所述方法还包括:
判断当前保存的第一流量阈值是否大于所述流量离散度;
若是,则进行后续步骤。
进一步的,若判断当前保存的第一流量阈值小于所述流量离散度,所述方法还包括:
按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据所述每个第三网络流量,确定所述每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;
确定所述每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
本发明的再一方面提供了一种针对超文本传输协议洪水HTTP Flood攻击的检测装置,所述装置包括:
获取模块,用于获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
更新模块,用于若判断所述第一网络流量不位于当前保存的流量阈值范围内,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
检测模块,用于基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
进一步的,所述更新模块,还用于所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,触发所述检测模块,所述检测模块,还用于基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
进一步的,所述检测模块,具体用于若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTPFlood攻击。
进一步的,所述检测模块,具体用于当所述第一网络流量大于所述最大流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
进一步的,所述获取模块,还用于所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,判断当前保存的第一流量阈值是否大于所述流量离散度;若是,则进行后续步骤。
进一步的,所述获取模块,还用于若判断当前保存的第一流量阈值小于所述流量离散度,按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据所述每个第三网络流量,确定所述每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;确定所述每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
本发明的再一方面提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现上述任一所述针对超文本传输协议洪水HTTP Flood攻击的检测方法的步骤。
本发明的再一方面提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述针对超文本传输协议洪水HTTP Flood攻击的检测方法的步骤。
由于本发明实施例可以在判断第一网络流量不位于当前保存的流量阈值范围内时,可以对该第一流量阈值进行更新,并基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,本发明实施例中当前保存的第一流量阈值可以随着当前网络流量的改变而自适应的进行调整,相比现有采用固定不变的第一流量阈值,可以提高检测当前网络流量中是否存在HTTP Flood攻击的准确性。
附图说明
图1为本发明实施例提供的第一种针对HTTP Flood攻击的检测过程示意图;
图2为本发明实施例提供的第二种针对HTTP Flood攻击的检测过程示意图;
图3为本发明实施例提供的一种针对超文本传输协议洪水HTTP Flood攻击的检测装置示意图;
图4为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了准确的检测当前网络流量中是否存在HTTP Flood攻击,本发明实施例提供了一种针对HTTP Flood攻击的检测方法、装置、设备及介质。
实施例1:
图1为本发明实施例提供的第一种针对HTTP Flood攻击的检测过程示意图,该过程包括以下步骤:
S101:获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和。
本发明实施例提供的针对HTTP Flood攻击的检测方法应用于电子设备,该电子设备例如可以是设置在客户端和服务器中间的防护设备。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击又被称之为“洪水式攻击”,其是将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。
常见的攻击手段有超文本传输协议洪泛(Hyper Text Transfer ProtocolFlood,HTTP Flood)、SYN洪泛(Synchronize Flood,SYN Flood)、确认字符洪泛(Acknowledgement Flood,ACK Flood)、用户数据报协议洪泛(User Datagram ProtocolFlood,UDP Flood)、Internet控制报文协议洪泛(Internet Control Message ProtocolFlood,ICMP Flood)、传输控制协议洪泛(Transmission Control Protocol Flood,TCPFlood)、连接耗尽攻击(Connections Flood)、Script Flood、Proxy Flood等。为了防护服务器等终端遭到DDoS攻击,一般会在网络中部署抗DDoS防护产品,抗DDoS防护产品作用有:在网络流量到达终端之前过滤掉恶意攻击流,保证正常业务流量准确到达终端;监控终端业务流量等。随着物联网、5G等新技术的推广,网络中可被利用的攻击资源愈加丰富,因此如何在高带宽前提下更精准的防护DDoS攻击是从业者不断努力的方向。
其中,HTTP Flood攻击是一种主要针对服务器进行攻击的方式,攻击者利用大量看似合法的HTTP GET或POST请求消耗网页服务器资源,最终导致其无法响应真正合法的请求。
在本发明实施例中,为了检测当前网络流量中是否存在HTTP Flood攻击,可以获取设定时长的第一网络流量,其中可以采用现有技术获取设定时长的第一网络流量,在此不再赘述。获取设定时长的第一网络流量后,为了确定是否需要对当前保存的第一流量阈值进行更新,在本发明实施例中,设置有流量阈值范围,其中流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,流量阈值范围的最大流量值为当前保存的第一流量阈值与当前保存的流量离散度的和。为方便理解,将当前保存的第一流量阈值用X表示,将当前保存的流量离散度用Y表示,则流量阈值范围的最小流量值为X-Y,最大流量值为X+Y,也就是说流量阈值范围为[X-Y,X+Y]。
S102:若否,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新。
在本发明实施例中,可以通过判断设定时长的第一网络流量是否位于当前保存的流量阈值范围内,从而确定是否需要对当前保存的第一流量阈值进行调整。具体的,当该设定时长的第一网络流量不位于当前保存的流量阈值范围内时,可以认为当前保存的第一流量阈值可能已经不适用于当前网络环境。在一种可能的实施方式中,可以在判断第一网络流量不位于当前保存的流量阈值范围内时,对该第一流量阈值进行更新,以更准确的对下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击进行检测。
在本发明实施例中,可以基于粗糙集理论对当前保存的第一流量阈值进行更新。具体的,可以是在当该设定时长的第一网络流量大于流量阈值范围的最大流量值时,认为当前网络环境中的网络流量较多,为了准确的对当前网络环境中的网络流量,即下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击进行检测,在一种可能的实施方式中,可以采用该最大流量值对当前保存的第一流量阈值进行更新,即将当前保存的第一流量阈值更新为该最大流量值。
另外,在对当前保存的第一流量阈值进行更新时,还可以是在当该设定时长的第一网络流量小于流量阈值范围的最小流量值时,认为当前网络环境中的网络流量较少,为了准确的对当前网络环境中的网络流量,即下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击进行检测,在一种可能的实施方式中,可以采用该最小流量值对当前保存的第一流量阈值进行更新,即将当前保存的第一流量阈值更新为该最小流量值。
为方便理解,将第一网络流量用Xi表示,将当前保存的第一流量阈值用X表示,将当前保存的流量离散度用Y表示,当前保存的流量阈值范围的最小流量值用X-Y表示,当前保存的流量阈值范围的最大流量值用X+Y表示;
当第一网络流量Xi大于当前保存的最大流量值X+Y时,可以将当前保存的第一流量阈值更新为X+Y;
当第一网络流量Xi小于当前保存的最大流量值X-Y时,可以将当前保存的第一流量阈值更新为X-Y。
可以理解的,当判断第一网络流量位于当前保存的流量阈值范围内时,可以认为当前保存的第一流量阈值还适用于当前网络环境。可以不对该第一流量阈值进行调整,继续采用该第一流量阈值对下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击进行检测。具体的,采用该第一流量阈值对下一相邻设定时长的第二网络流量是否存在HTTPFlood攻击进行检测时,可以是在当下一相邻设定时长的第二网络流量超过该第一流量阈值时,采用设定的HTTP Flood攻击检测方式检测第二网络流量是否存在HTTP Flood攻击。具体的,检测网络流量中是否存在HTTP Flood攻击的原理与现有技术相同,如可以在网络流量超过当前保存的第一流量阈值后,采用设定的连接层检测方式或应用层检测方式等对网络流量中是否存在HTTP Flood攻击进行检测,本发明实施例在此不再赘述。
S103:基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
当对当前保存的第一流量阈值进行更新后,可以是在当下一相邻设定时长的第二网络流量超过该更新后的第一流量阈值时,采用设定的HTTP Flood攻击检测方式检测第二网络流量是否存在HTTP Flood攻击。具体的,检测第二网络流量中是否存在HTTP Flood攻击的原理与上述实施例相同,在此不再赘述。
由于本发明实施例可以在判断第一网络流量不位于当前保存的流量阈值范围内时,可以对该第一流量阈值进行更新,并基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,本发明实施例中当前保存的第一流量阈值可以随着当前网络流量的改变而自适应的进行调整,相比现有采用固定不变的第一流量阈值,可以提高检测当前网络流量中是否存在HTTP Flood攻击的准确性。
实施例2:
为了准确的对第一流量阈值进行更新,在上述实施例的基础上,在本发明实施例中,所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,所述方法还包括:
判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,所述方法还包括:
基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
在本发明实施例中,为了准确的对第一流量阈值进行更新,可以在当第一网络流量大于最大流量值时,采用该最大流量值对第一流量阈值进行更新之前,以及,当第一网络流量小于最小流量值时,采用该最小流量值对第一流量阈值进行更新之前,先判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP。具体的,可以统计第一网络流量中所有流量数据的源IP,从而确定其中最高流量数据的第一源IP,进而判断该第一源IP是否为信任IP。在判断该第一源IP是否为信任IP时,可以采用设定的连接层检测方式或应用层检测方式等对该第一源IP是否为信任IP进行检测,在此不再赘述。
当判断当前第一网络流量中最高流量数据的第一源IP为信任IP时,可以认为当前网络流量很大概率不存在HTTP Flood攻击,第一网络流量没有位于当前保存的流量阈值范围内很大可能是当前网络环境中的网络流量发生了改变而导致的,为了可以准确的对下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击进行检测,可以在当第一网络流量大于最大流量值时,采用最大流量值对第一流量阈值进行更新;在当第一网络流量小于最小流量值时,采用该最小流量值对第一流量阈值进行更新。
而如果判断当前第一网络流量中最高流量数据的第一源IP不为信任IP时,则可以认为当前网络流量存在HTTP Flood攻击,第一网络流量没有位于当前保存的流量阈值范围内的原因很大可能是因为存在HTTP Flood攻击的异常网络流量导致的,在本发明实施例中,可以不对当前保存的第一流量阈值进行更新,基于该当前保存的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
由于本发明实施例可以在判断当前第一网络流量中最高流量数据的第一源IP为信任IP时,进行后续对当前保存的第一流量阈值进行更新的步骤;而在判断当前第一网络流量中最高流量数据的第一源IP不为信任IP时,可以不对当前保存的第一流量阈值进行更新,从而可以灵活准确的选择适合当前网络流量的第一流量阈值,进一步提高检测网络流量中是否存在HTTP Flood攻击的准确性。
实施例3:
为了检测网络流量中是否存在HTTP Flood攻击,在上述各实施例的基础上,在本发明实施例中,基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击包括:
若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击。
在本发明实施例中,若基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击时,可以先判断该第二网络流量是否大于该更新后的第一流量阈值,若大于,则可以认为该第二网络流量可能存在HTTP Flood攻击,可以通过确定的HTTP Flood攻击检测方式,对该第二网络流量是否存在HTTP Flood攻击进行检测。
其中,该HTTP Flood攻击检测方式可以是预先设定固定不变的HTTP Flood攻击检测方式,如预先将应用层检测方式设置为HTTP Flood攻击检测方式,则在第二网络流量大于更新后的第一流量阈值时,通过应用层检测方式,检测第二网络流量中是否存在HTTPFlood攻击。同样的,如果预先将连接层检测方式设置为HTTP Flood攻击检测方式,则在第二网络流量大于更新后的第一流量阈值时,通过连接层检测方式,检测第二网络流量中是否存在HTTP Flood攻击。
实施例4:
为了提高检测网络流量中是否存在HTTP Flood攻击的检测性,在上述各实施例的基础上,在本发明实施例中,确定HTTP Flood攻击检测方式的过程包括:
当所述第一网络流量大于所述最大流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;
当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
在本发明实施例中,为了提高检测网络流量中是否存在HTTP Flood攻击的准确性,HTTP Flood攻击检测方式可以根据不同的网络环境进行自适应调整。具体的,为了可以针对不同的网络环境选择适合该网络环境的HTTP Flood攻击检测方式,在本发明实施例中设置了三个不同等级的HTTP Flood攻击检测方式。其中第一等级为连接层检测方式,连接层检测方式相对较简单快捷,耗时少,但不能对报文负载内容进行解析验证,可能会透过部分异常攻击流量,检测HTTP Flood攻击的准确性不是很高,适合较简单的网络环境。第二等级为应用层检测方式,应用层检测方式可以解析验证报文负载的内容,适合中等复杂的网络环境,检测HTTP Flood攻击的准确性相对较高,但应用层检测方式解析验证报文负载的内容的过程耗时相对较多。第三等级为连接层检测方式以及应用层检测方式,即同时采用连接层检测方式以及应用层检测方式对当前网络流量中是否存在HTTP Flood攻击进行检测,同时采用连接层检测方式以及应用层检测方式时,检测HTTP Flood攻击的准确性最高,适合较复杂的网络环境。
在针对不同的网络环境确定适合当前网络环境的HTTP Flood攻击检测方式的过程如下:
当第一网络流量大于当前保存的流量阈值范围的最大流量值,且当前第一网络流量中最高流量数据的第一源IP为信任IP时,可以认为当前网络流量很大概率不存在HTTPFlood攻击且当前网络环境中网络流量较高,当前网络环境为中等复杂的网络环境,为了准确检测当前网络流量中是否存在HTTP Flood攻击,可以确定HTTP Flood攻击检测方式为应用层检测方式。
当第一网络流量大于当前保存的流量阈值范围的最大流量值,且第一源IP不为信任IP时,可以认为当前网络流量很大概率存在HTTP Flood攻击且当前网络环境中网络流量较高,当前网络环境较复杂,为了准确检测当前网络流量中是否存在HTTP Flood攻击,可以确定HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式。
当第一网络流量小于当前保存的流量阈值范围的最小流量值,且第一源IP为信任IP时,可以认为当前网络流量很大概率不存在HTTP Flood攻击且当前网络环境中网络流量较低,当前网络环境较简单,为了在可以检测当前网络流量中是否存在HTTP Flood攻击的同时,减少耗时,可以确定HTTP Flood攻击检测方式为连接层检测方式。
当第一网络流量小于当前保存的流量阈值范围的最小流量值,且第一源IP不为信任IP时,可以认为当前网络流量存在HTTP Flood攻击且当前网络环境中网络流量较低,当前网络环境为中等复杂的网络环境,为了准确检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,可以确定HTTP Flood攻击检测方式为应用层检测方式。
由于本发明实施例可以针对不同的网络环境自适应的调整HTTP Flood攻击检测方式,相比采用固定不变的HTTP Flood攻击检测方式,可以进一步提高检测网络流量中是否存在HTTP Flood攻击的准确性。
实施例5:
为了准确的判断第一流量阈值是否适用于当前网络环境,在上述各实施例的基础上,在本发明实施例中,所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,所述方法还包括:
判断当前保存的第一流量阈值是否大于所述流量离散度;
若是,则进行后续步骤。
在本发明实施例中,当判断当前保存的第一流量阈值大于流量离散度时,可以认为该第一流量阈值以及流量离散度还适用于当前网络环境,可以采用该第一流量阈值和流量离散度对网络流量中是否存在HTTP Flood攻击进行检测。
为方面理解,下面通过一个具体实施例对本发明实施例提供的针对超文本传输协议洪水HTTP Flood攻击的检测过程进行说明。图2为本发明实施例提供的第二种针对HTTPFlood攻击的检测过程示意图,如图2所示:
S201:获取设定时长的第一网络流量。
S202:判断当前保存的第一流量阈值是否大于流量离散度,若否,则进行S203;若是,则进行S204。
S203:按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据每个第三网络流量,确定每个第三网络流量的流量均值,将该流量均值确定为当前保存的第一流量阈值;确定每个第三网络流量的流量标准差,将该流量标准差确定为当前保存的所述流量离散度。
S204:判断第一网络流量是否位于当前保存的流量阈值范围内,若是,则进行S205;若否,则进行步骤S206。
S205:基于当前保存的第一流量阈值以及HTTP Flood攻击检测方式,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
S206:判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,若是,当第一网络流量大于最大流量值时,进行S207;当第一网络流量小于最小流量值时,进行S208;
若否,当第一网络流量大于最大流量值时,进行S209;当第一网络流量小于最小流量值时,进行S210。
S207:当第一网络流量大于最大流量值,且第一源IP为信任IP时,采用最大流量值对第一流量阈值进行更新;并确定HTTP Flood攻击检测方式为应用层检测方式;基于更新后的第一流量阈值和确定的HTTP Flood攻击检测方式,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
S208:当第一网络流量小于最小流量值,且第一源IP为信任IP时,采用最小流量值对第一流量阈值进行更新;并确定HTTP Flood攻击检测方式为连接层检测方式;基于更新后的第一流量阈值和确定的HTTP Flood攻击检测方式,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
S209:当第一网络流量大于最大流量值,且第一源IP不为信任IP时,确定HTTPFlood攻击检测方式为连接层检测方式以及应用层检测方式;基于当前保存的第一流量阈值和确定的HTTP Flood攻击检测方式,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
S210:当第一网络流量小于最小流量值,且第一源IP不为信任IP时,确定HTTPFlood攻击检测方式为应用层检测方式;基于当前保存的第一流量阈值和确定的HTTPFlood攻击检测方式,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
实施例6:
为了确定第一流量阈值和流量离散度,在上述各实施例的基础上,在本发明实施例中,若判断当前保存的第一流量阈值小于所述流量离散度,所述方法还包括:
按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据所述每个第三网络流量,确定所述每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;
确定所述每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
当判断当前保存的第一流量阈值小于流量离散度时,可以认为当前保存的第一流量阈值和流量离散度已经不适用于当前网络环境,为了准确的检测当前网络流量中是否存在HTTP Flood攻击,可以提示用户重新确定第一流量阈值和流量离散度,即可以重新确定初始化的第一流量阈值和流量离散度。
在本发明实施例中,确定初始化的第一流量阈值和流量离散度时,可以是基于无HTTP Flood攻击的网络流量进行的,即可以基于网络流量基线确定初始化的第一流量阈值和流量离散度。
具体的,可以按照设定的频率,获取至少两个无HTTP Flood攻击的第三网络流量,然后根据每个第三网络流量,确定每个第三网络流量的流量均值,将该流量均值确定为当前保存的第一流量阈值。其中,设定的频率可以根据需求灵活设置。示例性的,在一定时长内,如30S内,共获取了n个第三网络流量,第三网络流量分别为X1、X2、…、Xn,则每个第三网络流量的流量均值:
Figure BDA0002801588010000161
将该流量均值确定为当前保存的第一流量阈值,即初始化的第一流量阈值X为
Figure BDA0002801588010000162
流量标准差为:
Figure BDA0002801588010000163
将该流量标准差确定为当前保存的流量离散度Y,即流量离散度Y=s。
实施例7:
在上述各实施例的基础上,本发明实施例提供了一种针对超文本传输协议洪水HTTP Flood攻击的检测装置,图3为本发明实施例提供的一种针对超文本传输协议洪水HTTP Flood攻击的检测装置示意图,如图3所示,所述装置包括:
获取模块31,用于获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
更新模块32,用于若判断所述第一网络流量不位于当前保存的流量阈值范围内,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
检测模块33,用于基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,所述更新模块32,还用于所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,触发所述检测模块33,所述检测模块33,还用于基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,所述检测模块33,具体用于若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,所述检测模块33,具体用于当所述第一网络流量大于所述最大流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
在一种可能的实施方式中,所述获取模块31,还用于所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,判断当前保存的第一流量阈值是否大于所述流量离散度;若是,则进行后续步骤。
在一种可能的实施方式中,所述获取模块31,还用于若判断当前保存的第一流量阈值小于所述流量离散度,按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据所述每个第三网络流量,确定所述每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;确定所述每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
由于本发明实施例可以在判断第一网络流量不位于当前保存的流量阈值范围内时,可以对该第一流量阈值进行更新,并基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,本发明实施例中当前保存的第一流量阈值可以随着当前网络流量的改变而自适应的进行调整,相比现有采用固定不变的第一流量阈值,可以提高检测当前网络流量中是否存在HTTP Flood攻击的准确性。
实施例8:
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,图4为本发明实施例提供的一种电子设备结构示意图,如图4所示,该电子设备包括:处理器41、通信接口42、存储器43和通信总线44,其中,处理器41,通信接口42,存储器43通过通信总线44完成相互间的通信;
所述存储器43中存储有计算机程序,当所述程序被所述处理器41执行时,使得所述处理器41执行如下步骤:
获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
若否,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,处理器41,还用于所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,所述方法还包括:
判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,所述方法还包括:
基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
进一步的,基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击包括:
若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,处理器41,具体用于当所述第一网络流量大于所述最大流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;
当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
在一种可能的实施方式中,处理器41,还用于所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,所述方法还包括:
判断当前保存的第一流量阈值是否大于所述流量离散度;
若是,则进行后续步骤。
在一种可能的实施方式中,处理器41,还用于若判断当前保存的第一流量阈值小于所述流量离散度,所述方法还包括:
按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据所述每个第三网络流量,确定所述每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;
确定所述每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
由于上述电子设备解决问题的原理与针对超文本传输协议洪水HTTP Flood攻击的检测方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口42用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
由于本发明实施例可以在判断第一网络流量不位于当前保存的流量阈值范围内时,可以对该第一流量阈值进行更新,并基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,本发明实施例中当前保存的第一流量阈值可以随着当前网络流量的改变而自适应的进行调整,相比现有采用固定不变的第一流量阈值,可以提高检测当前网络流量中是否存在HTTP Flood攻击的准确性。
实施例9:
在上述各实施例的基础上,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
若否,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,所述方法还包括:
判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,所述方法还包括:
基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击包括:
若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击。
在一种可能的实施方式中,确定HTTP Flood攻击检测方式的过程包括:
当所述第一网络流量大于所述最大流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;
当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
在一种可能的实施方式中,所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,所述方法还包括:
判断当前保存的第一流量阈值是否大于所述流量离散度;
若是,则进行后续步骤。
在一种可能的实施方式中,若判断当前保存的第一流量阈值小于所述流量离散度,所述方法还包括:
按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据所述每个第三网络流量,确定所述每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;
确定所述每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
由于本发明实施例可以在判断第一网络流量不位于当前保存的流量阈值范围内时,可以对该第一流量阈值进行更新,并基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击,本发明实施例中当前保存的第一流量阈值可以随着当前网络流量的改变而自适应的进行调整,相比现有采用固定不变的第一流量阈值,可以提高检测当前网络流量中是否存在HTTP Flood攻击的准确性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (8)

1.一种针对HTTP Flood攻击的检测方法,其特征在于,所述方法包括:
获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
若否,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTPFlood攻击;
所述基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击包括:
若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击;
其中,确定HTTP Flood攻击检测方式的过程包括:
当所述第一网络流量大于所述最大流量值,且第一源IP为信任IP时,确定所述HTTPFlood攻击检测方式为应用层检测方式;
当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;
当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
2.根据权利要求1所述的方法,其特征在于,所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,所述方法还包括:
判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,所述方法还包括:
基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
3.根据权利要求1所述的方法,其特征在于,所述判断所述第一网络流量是否位于当前保存的流量阈值范围内之前,所述方法还包括:
判断当前保存的第一流量阈值是否大于所述流量离散度;
若是,则进行后续步骤。
4.根据权利要求3所述的方法,其特征在于,若判断当前保存的第一流量阈值小于所述流量离散度,所述方法还包括:
按照设定的频率,获取至少两个设定的无HTTP Flood攻击的第三网络流量,根据每个第三网络流量,确定每个第三网络流量的流量均值,将所述流量均值确定为当前保存的第一流量阈值;
确定每个第三网络流量的流量标准差,将所述流量标准差确定为当前保存的流量离散度。
5.一种针对HTTP Flood攻击的检测装置,其特征在于,所述装置包括:
获取模块,用于获取设定时长的第一网络流量,判断所述第一网络流量是否位于当前保存的流量阈值范围内,其中所述流量阈值范围的最小流量值为当前保存的第一流量阈值与当前保存的流量离散度的差,所述流量阈值范围的最大流量值为所述第一流量阈值与所述流量离散度的和;
更新模块,用于若判断所述第一网络流量不位于当前保存的流量阈值范围内,当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新;
检测模块,用于基于更新后的第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击;
所述检测模块,具体用于若所述第二网络流量大于所述更新后的第一流量阈值,通过确定的HTTP Flood攻击检测方式,检测所述第二网络流量是否存在HTTP Flood攻击;
所述检测模块,具体用于当所述第一网络流量大于所述最大流量值,且第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式;当所述第一网络流量大于所述最大流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式以及应用层检测方式;当所述第一网络流量小于所述最小流量值,且所述第一源IP为信任IP时,确定所述HTTP Flood攻击检测方式为连接层检测方式;当所述第一网络流量小于所述最小流量值,且所述第一源IP不为信任IP时,确定所述HTTP Flood攻击检测方式为应用层检测方式。
6.根据权利要求5所述的装置,其特征在于,所述更新模块,还用于所述当所述第一网络流量大于所述最大流量值时,采用所述最大流量值对所述第一流量阈值进行更新,当所述第一网络流量小于所述最小流量值时,采用所述最小流量值对所述第一流量阈值进行更新之前,判断当前第一网络流量中最高流量数据的第一源IP是否为信任IP,如果是,进行后续步骤;
如果否,触发所述检测模块,所述检测模块,还用于基于当前保存的所述第一流量阈值,检测下一相邻设定时长的第二网络流量是否存在HTTP Flood攻击。
7.一种电子设备,其特征在于,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-4中任一所述针对HTTP Flood攻击的检测方法的步骤。
8.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4中任一所述针对HTTP Flood攻击的检测方法的步骤。
CN202011352034.9A 2020-11-27 2020-11-27 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 Active CN112532617B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011352034.9A CN112532617B (zh) 2020-11-27 2020-11-27 一种针对HTTP Flood攻击的检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011352034.9A CN112532617B (zh) 2020-11-27 2020-11-27 一种针对HTTP Flood攻击的检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112532617A CN112532617A (zh) 2021-03-19
CN112532617B true CN112532617B (zh) 2022-09-23

Family

ID=74994592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011352034.9A Active CN112532617B (zh) 2020-11-27 2020-11-27 一种针对HTTP Flood攻击的检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112532617B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113381945B (zh) * 2021-05-17 2022-08-30 中国人民解放军国防科技大学 基于冷热分离的流量处理方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9141789B1 (en) * 2013-07-16 2015-09-22 Go Daddy Operating Company, LLC Mitigating denial of service attacks
CN103428224B (zh) * 2013-08-29 2016-08-31 上海瀛联体感智能科技有限公司 一种智能防御DDoS攻击的方法和装置
US10063578B2 (en) * 2015-05-28 2018-08-28 Cisco Technology, Inc. Network-centric visualization of normal and anomalous traffic patterns
CN104935609A (zh) * 2015-07-17 2015-09-23 北京京东尚科信息技术有限公司 网络攻击检测方法及检测设备
CN107666473B (zh) * 2016-07-29 2020-07-17 深圳市信锐网科技术有限公司 一种攻击检测的方法及控制器
CN108123849B (zh) * 2017-12-20 2020-08-28 国网冀北电力有限公司信息通信分公司 检测网络流量的阈值的确定方法、装置、设备及存储介质
CN108768942B (zh) * 2018-04-20 2020-10-30 武汉绿色网络信息服务有限责任公司 一种基于自适应阈值的DDoS攻击检测方法和检测装置
CN111181932B (zh) * 2019-12-18 2022-09-27 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质

Also Published As

Publication number Publication date
CN112532617A (zh) 2021-03-19

Similar Documents

Publication Publication Date Title
US9386078B2 (en) Controlling application programming interface transactions based on content of earlier transactions
US9661013B2 (en) Manipulating API requests to indicate source computer application trustworthiness
US9461963B2 (en) Systems and methods for detecting undesirable network traffic content
US9749340B2 (en) System and method to detect and mitigate TCP window attacks
CN109274637B (zh) 确定分布式拒绝服务攻击的系统和方法
US20200304853A1 (en) Internet anti-attack method and authentication server
US9282116B1 (en) System and method for preventing DOS attacks utilizing invalid transaction statistics
US9462011B2 (en) Determining trustworthiness of API requests based on source computer applications' responses to attack messages
US20150213449A1 (en) Risk-based control of application interface transactions
CN110166408B (zh) 防御泛洪攻击的方法、装置和系统
CN110719299A (zh) 防御网络攻击的蜜罐构建方法、装置、设备及介质
CN112532617B (zh) 一种针对HTTP Flood攻击的检测方法、装置、设备及介质
US10721148B2 (en) System and method for botnet identification
US11178177B1 (en) System and method for preventing session level attacks
Oo et al. Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model
KR101042226B1 (ko) 화이트 리스트를 모니터링하는 네트워크 필터와 더미 웹 서버를 이용한 분산서비스거부 공격 차단 방법
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
CN109150871B (zh) 安全检测方法、装置、电子设备及计算机可读存储介质
Alaria Analysis of WAF and Its Contribution to Improve Security of Various Web Applications: Benefits Challenges
Ďurčeková et al. Detection of attacks causing network service denial
CN117811847B (zh) 一种基于公网与内网结合的人机验证方法以及装置
US20240169061A1 (en) Techniques for accurate learning of baselines for the detection of advanced application layer flood attack tools
US11888893B2 (en) Characterization of HTTP flood DDoS attacks
US11916956B2 (en) Techniques for generating signatures characterizing advanced application layer flood attack tools

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant