CN113014555B - 一种攻击事件的确定方法、装置、电子设备和存储介质 - Google Patents

一种攻击事件的确定方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN113014555B
CN113014555B CN202110185072.8A CN202110185072A CN113014555B CN 113014555 B CN113014555 B CN 113014555B CN 202110185072 A CN202110185072 A CN 202110185072A CN 113014555 B CN113014555 B CN 113014555B
Authority
CN
China
Prior art keywords
session
http
materialized view
access
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110185072.8A
Other languages
English (en)
Other versions
CN113014555A (zh
Inventor
孙意凡
王兴顺
赵雷
孟宝权
傅强
蔡琳
梁彧
田野
王杰
杨满智
金红
陈晓光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN202110185072.8A priority Critical patent/CN113014555B/zh
Publication of CN113014555A publication Critical patent/CN113014555A/zh
Application granted granted Critical
Publication of CN113014555B publication Critical patent/CN113014555B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种攻击事件的确定方法、装置、电子设备和存储介质,包括:创建物化视图,其中,物化视图中配置会话参数类型;按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话;基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。通过创建物化视图从采集的流量中提取HTTP会话,基于物化视图对提取的会话实时进行聚类,根据聚类结果按照预设规则筛选出攻击事件,从而能够及时确定出攻击事件,并且过程计算量少而无需消耗较大的计算资源。

Description

一种攻击事件的确定方法、装置、电子设备和存储介质
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种攻击事件的确定方法、装置、电子设备和存储介质。
背景技术
拒绝服务(Denial of Service,DOS)是一种网络攻击,攻击者通过暂时或者长时间的对服务器发起攻击,导致服务器或网络源无法正常向用户提供服务。而HTTP慢访问DOS攻击则是利用HTTP1.1版本中对长连接响应机制的缺陷,即服务器在请求完全接收数据后才会进行处理,期间会一直占用长连接对应的资源,加大了资源消耗。攻击者在数据包的内容长度中声明一个很大的值,但是以非常缓慢的速率发送剩余的数据,导致连接一直被占用,致使其他用户无法获取到服务器的资源。
目前针对HTTP慢访问DOS攻击事件的确定方式是将流量采集设备还原产生的HTTP会话单保存至数据库中,并相应的部署一个流式分析或定时统计的服务,但是通过部署定时统计的服务将对应事件窗口内的数据进行过滤统计分析,会具有一定的延迟性;而通过部署流式分析服务进行分析则需要消耗较大的计算资源。
发明内容
本发明实施例提供了一种攻击事件的确定方法、装置、电子设备和存储介质,以实现在消耗较少资源的情况下及时确定出攻击事件。
第一方面,本发明实施例提供了一种攻击事件的确定方法,包括:创建物
化视图,其中,物化视图中配置会话参数类型;
按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话;
基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
第二方面,本发明实施例提供了一种攻击事件的确定装置,包括:物化视图创建模块,用于创建物化视图,其中,物化视图中配置会话参数类型;
会话获取模块,用于按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话;
攻击事件筛选模块,用于基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
第三方面,本发明实施例还提供了一种电子设备,电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本发明任意实施例的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例的方法。
在本发明实施例中,通过创建物化视图从采集的流量中提取HTTP会话,基于物化视图对提取的会话实时进行聚类,根据聚类结果按照预设规则筛选出攻击事件,从而能够及时确定出攻击事件,并且过程计算量少而无需消耗较大的计算资源。
附图说明
图1是本发明实施例一提供的攻击事件的确定方法流程图;
图2是本发明实施例二提供的攻击事件的确定方法的流程图;
图3是本发明实施例三提供的攻击事件的确定装置结构示意图;
图4是本发明实施例四提供的一种电子设备的结构框图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1是本发明实施例提供的攻击事件的确定方法的流程图,本实施例可适用于对攻击事件进行确定的情况,该方法可以由本发明实施例中的攻击事件的确定装置来执行,该装置可以通过软件和/或硬件的方式实现,本发明实施例的方法具体包括如下步骤:
步骤S101,创建物化视图,其中,物化视图中配置会话参数类型。
物化视图是一种特殊的物理表,是占有数据库磁盘空间的,并且能够预先计算并保存表连接或者聚集等比较耗时操作的结果。本实施方式中在获取采集的流量之前首先完成物化视图的创建,并且在创建过程中需要为物化视图配置会话参数类型。
其中,会话参数类型包括:会话参数类型包括:发生时间、协议类型、源 IP、源端口、目的IP、目的端口、上行包数和上行包大小。此时在所创建的物化视图中仅包含参数类型,而并不包含实际的数值,在后续获取到所采集的流量时,会按照所配置的会话参数类型从流量中还原出访问日志。
步骤S102,按照会话参数类型从采集的流量中提取超文本传输协议HTTP 会话。
可选的,按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话,包括:获取采集的流量中所包含的原始会话日志数据;按照会话参数类型从原始会话日志数据中进行筛选;根据筛选结果获取HTTP会话。
具体的说,在获取到采集设备所传输采集的流量,即原始流量时,会从采集的流量中还原出原始会话日志,原始会话日志中通常包含不同类型参数所对应的数值,为了简化数据的处理,此时仅按照物化视图中所配置的会话参数类型从原始会话日志数据中进行筛选,并根据筛选结果获取超文本传输协议 (Hypertext Transfer Protocol,HTTP)会话。
其中,针对每一个HTTP会话分别包含发生时间、协议类型、源IP、源端口、目的IP、目的端口、上行包数和上行包大小的具体数值,如下表1所示为所获取的HTTP会话的示意:
表1
Figure BDA0002942763780000041
Figure BDA0002942763780000051
其中,所获取的HTTP会话的个数非常多,但是由于篇幅限制,表1中仅是以3个HTTP会话为例进行说明,本实施方式中并不限定从采集的流量中所提取超文本传输协议HTTP会话的具体数量。
步骤S103,基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
可选的,基于物化视图对HTTP会话进行聚类获取访问事件,可以包括:从会话参数类型中确定出指定参数类型,其中,指定参数类型包括协议类型、源 IP、目的IP和目的端口;基于物化视图在单位时间内按照指定参数类型对HTTP 会话进行聚类获取访问事件。
可选的,访问事件中还包括:访问次数、上行包总大小和上行包总数。
具体的说,本实施方式中会基于所创建的物化视图对表1所示的HTTP会话进行聚类,并且进行聚类的具体原则是首先确定出指定参数类型,例如指定参数类型包括协议类型、源IP、目的IP和目的端口,并且具体是在单位时间内按照上述所确定的指定类型对上述表1所示的HTTP会话进行聚类,其中,单位时间具体可以是1秒,即在1秒内将具有相同协议类型、源IP、目的IP和目的端口的HTTP协议进行聚类获得所对应的访问事件。例如,在对表1所示的 HTTP会话进行聚类所获取的访问事件如下表2所示:
表2
Figure BDA0002942763780000061
其中,序号为1的访问事件,所表示的是协议类型为1,源IP为 192.168.49.14的访问者,在2021-01-27 11:36:33所对应的1秒内访问目的 IP 112.33.58.73中的目的端口50080的访问次数共41次,所对应的上行包总大小为24852,上行包总数为250。
可选的,预设规则包括:拆包倍数大于第一预设阈值,以及访问次数大于第二预设阈值,其中,拆包倍数为上行包总数与上行包总大小的比值。
可选的,攻击事件包括HTTP慢访问拒绝服务DOS攻击事件。
具体的说,本实施方式中在通过聚类获取访问事件之后,会按照预设规则从访问事件中筛选出攻击事件,例如,拆包倍数=上行包总数/(上行包总大小 /1500),第一预设阈值可以设置为10,第二预设阈值可以设置为120,即针对每一个访问事件,在确定拆包倍数大于10,并且在1秒内目的IP和目的端口,被同一源IP访问次数大于120次,则确定该访问事件为攻击事件。并且根据攻击事件的特征可以确定该攻击事件具体为HTTP慢访问DOS攻击事件。
需要说明的是,本实施方式中是进行实时聚类的,并且在基于物化视图进行聚类获取访问事件时,如果1秒内出现大量满足预设规则的访问事件时,会立即从数据体现出来。
在本发明实施例中,通过创建物化视图从采集的流量中提取HTTP会话,基于物化视图对提取的会话实时进行聚类,根据聚类结果按照预设规则筛选出攻击事件,从而能够及时确定出攻击事件,并且过程计算量少而无需消耗较大的计算资源。
实施例二
图2是本发明实施例提供的攻击事件的确定方法的流程图,本实施例以上述实施例为基础,在按照预设规则从访问事件中筛选出攻击事件之后,还包括:针对攻击事件进行告警提示。
如图2所示,本公开实施例的方法具体包括:
步骤S201,创建物化视图,其中,物化视图中配置会话参数类型。
步骤S202,按照会话参数类型从采集的流量中提取超文本传输协议HTTP 会话。
可选的,按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话,包括:获取采集的流量中所包含的原始会话日志数据;按照会话参数类型从原始会话日志数据中进行筛选;根据筛选结果获取HTTP会话。
步骤S203,基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
可选的,基于物化视图对HTTP会话进行聚类获取访问事件,可以包括:从会话参数类型中确定出指定参数类型,其中,指定参数类型包括协议类型、源 IP、目的IP和目的端口;基于物化视图在单位时间内按照指定参数类型对HTTP 会话进行聚类获取访问事件。
可选的,访问事件中还包括:访问次数、上行包总大小和上行包总数。
可选的,预设规则包括:拆包倍数大于第一预设阈值,以及访问次数大于第二预设阈值,其中,拆包倍数为上行包总数与上行包总大小的比值。
可选的,攻击事件包括HTTP慢访问拒绝服务DOS攻击事件。
步骤S204,针对攻击事件进行告警提示。
具体的说,在筛选出攻击事件之后,会将所确定出的攻击事件进行展示,并用特殊符号进行明显标记,如下表3所示为所确定的攻击事件的示意:
表3
Figure BDA0002942763780000091
其中,以序号为14的访问事件为例,在确定访问次数为398,大于120,并且拆包倍数为25大于10时,则确定该访问事件为HTTP慢访问DOS攻击事件,并且在序号位置用“!”进行明显标记,通过添加标记以对用户进行告警提示,当然本实施方式中并不限定进行标记的特殊符号的具体形式。
另外,还会采用语音播报的形式将所确定出的攻击事件进行告警提示,从而在用户没有看到标记的情况下,也能够及时查收到当前所确定出的HTTP慢访问DOS攻击事件,并且还可以获知具体发生时间,以便于用户及时针对具体时间所对应的攻击事件进行系统检修和维护。
在本发明实施例中,通过创建物化视图从采集的流量中提取HTTP会话,基于物化视图对提取的会话实时进行聚类,根据聚类结果按照预设规则筛选出攻击事件,从而能够及时确定出攻击事件,并且过程计算量少而无需消耗较大的计算资源。并且在确定出攻击事件之后通过针对攻击事件进行告警提示,以便于用户及时针对具体时间所对应的攻击事件进行系统检修和维护。
实施例三
图3是本发明实施例提供的一种攻击事件的确定装置结构示意图,具体包括:物化视图创建模块310、会话获取模块320和攻击事件筛选模块330。
其中,物化视图创建模块310,用于创建物化视图,其中,物化视图中配置会话参数类型;
会话获取模块320,用于按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话;
攻击事件筛选模块330,用于基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
可选的,会话参数类型包括:发生时间、协议类型、源IP、源端口、目的 IP、目的端口、上行包数和上行包大小。
可选的,会话获取模块,用于获取采集的流量中所包含的原始会话日志数据;
按照会话参数类型从原始会话日志数据中进行筛选;
根据筛选结果获取HTTP会话。
可选的,攻击事件筛选模块,用于从会话参数类型中确定出指定参数类型,其中,指定参数类型包括协议类型、源IP、目的IP和目的端口;
基于物化视图在单位时间内按照指定参数类型对HTTP会话进行聚类获取访问事件。
可选的,访问事件中还包括:访问次数、上行包总大小和上行包总数;
预设规则包括:拆包倍数大于第一预设阈值,以及访问次数大于第二预设阈值,其中,拆包倍数为上行包总数与上行包总大小的比值。
可选的,攻击事件包括HTTP慢访问拒绝服务DOS攻击事件。
可选的,装置还包括告警提示模块,用于针对攻击事件进行告警提示。
上述装置可执行本发明任意实施例所提供的攻击事件的确定方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的方法。
实施例四
图4是本发明实施例提供的一种电子设备的结构示意图。图4示出了适用于用来实现本发明实施方式的示例性电子设备412的框图。图4显示的电子设备412仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备412以通用计算设备的形式出现。电子设备412的组件可以包括但不限于:一个或者多个处理器412,存储器428,连接不同系统组件(包括存储器428和处理器416)的总线418。
总线418表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构 (ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备412典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备412访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器428用于存储指令。存储器428可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)430和/或高速缓存存储器432。电子设备412可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统434可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线418相连。存储器428可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块442的程序/实用工具440,可以存储在例如存储器428中,这样的程序模块442包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块442通常执行本发明所描述的实施例中的功能和/或方法。
电子设备412也可以与一个或多个外部设备414(例如键盘、指向设备、显示器424等)通信,还可与一个或者多个使得用户能与该电子设备412交互的设备通信,和/或与使得该电子设备412能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口422进行。并且,电子设备412还可以通过网络适配器420与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器420通过总线418与电子设备412的其它模块通信。应当明白,尽管图4中未示出,可以结合电子设备412使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器416通过运行存储在存储器428中的指令,从而执行攻击事件的确定方法:创建物化视图,其中,物化视图中配置会话参数类型;按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话;基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
实施例五
本发明实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行攻击事件的确定方法,该方法包括:
创建物化视图,其中,物化视图中配置会话参数类型;按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话;基于物化视图对HTTP会话进行聚类获取访问事件,并按照预设规则从访问事件中筛选出攻击事件。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器 (Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的攻击事件的确定方法。
值得注意的是,上述实施例中所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (7)

1.一种攻击事件的确定方法,其特征在于,包括:
创建物化视图,其中,所述物化视图中配置会话参数类型;
按照所述会话参数类型从采集的流量中提取超文本传输协议HTTP会话;
基于所述物化视图对所述HTTP会话进行聚类获取访问事件,并按照预设规则从所述访问事件中筛选出攻击事件;
其中,所述会话参数类型包括:发生时间、协议类型、源IP、源端口、目的IP、目的端口、上行包数和上行包大小;
其中,所述基于所述物化视图对所述HTTP会话进行聚类获取访问事件,包括:
从所述会话参数类型中确定出指定参数类型,其中,所述指定参数类型包括协议类型、源IP、目的IP和目的端口;
基于所述物化视图在单位时间内按照所述指定参数类型对所述HTTP会话进行聚类获取所述访问事件;
其中,所述访问事件中还包括:访问次数、上行包总大小和上行包总数;
所述预设规则包括:拆包倍数大于第一预设阈值,以及所述访问次数大于第二预设阈值,其中,所述拆包倍数为上行包总数与上行包总大小的比值。
2.根据权利要求1所述的方法,其特征在于,所述按照所述会话参数类型从采集的流量中提取超文本传输协议HTTP会话,包括:
获取采集的流量中所包含的原始会话日志数据;
按照所述会话参数类型从所述原始会话日志数据中进行筛选;
根据筛选结果获取所述HTTP会话。
3.根据权利要求1所述的方法,其特征在于,所述攻击事件包括HTTP慢访问拒绝服务DOS攻击事件。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述按照预设规则从所述访问事件中筛选出攻击事件之后,还包括:
针对所述攻击事件进行告警提示。
5.一种攻击事件的确定装置,其特征在于,所述装置包括:
物化视图创建模块,用于创建物化视图,其中,所述物化视图中配置会话参数类型;
会话获取模块,用于按照所述会话参数类型从采集的流量中提取超文本传输协议HTTP会话;
攻击事件筛选模块,用于基于所述物化视图对所述HTTP会话进行聚类获取访问事件,并按照预设规则从所述访问事件中筛选出攻击事件;
其中,会话参数类型包括:发生时间、协议类型、源IP、源端口、目的IP、目的端口、上行包数和上行包大小;
其中,还包括,攻击事件筛选模块,用于从会话参数类型中确定出指定参数类型,其中,指定参数类型包括协议类型、源IP、目的IP和目的端口;基于物化视图在单位时间内按照指定参数类型对HTTP会话进行聚类获取访问事件;
其中,访问事件中还包括:访问次数、上行包总大小和上行包总数;预设规则包括:拆包倍数大于第一预设阈值,以及访问次数大于第二预设阈值,其中,拆包倍数为上行包总数与上行包总大小的比值。
6.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的方法。
CN202110185072.8A 2021-02-10 2021-02-10 一种攻击事件的确定方法、装置、电子设备和存储介质 Active CN113014555B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110185072.8A CN113014555B (zh) 2021-02-10 2021-02-10 一种攻击事件的确定方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110185072.8A CN113014555B (zh) 2021-02-10 2021-02-10 一种攻击事件的确定方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN113014555A CN113014555A (zh) 2021-06-22
CN113014555B true CN113014555B (zh) 2022-10-14

Family

ID=76402344

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110185072.8A Active CN113014555B (zh) 2021-02-10 2021-02-10 一种攻击事件的确定方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN113014555B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113824730A (zh) * 2021-09-29 2021-12-21 恒安嘉新(北京)科技股份公司 一种攻击分析方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112069164A (zh) * 2019-06-10 2020-12-11 北京百度网讯科技有限公司 数据查询方法、装置、电子设备及计算机可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8316227B2 (en) * 2006-11-01 2012-11-20 Microsoft Corporation Health integration platform protocol

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112069164A (zh) * 2019-06-10 2020-12-11 北京百度网讯科技有限公司 数据查询方法、装置、电子设备及计算机可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"网络安全OLAP分析中数据立方体技术的研究与实现";杨庆民;《中国优秀硕士学位论文全文数据库 信息科技辑》;20100515;正文第四章 *

Also Published As

Publication number Publication date
CN113014555A (zh) 2021-06-22

Similar Documents

Publication Publication Date Title
CN107992398B (zh) 一种业务系统的监控方法和监控系统
US9591007B2 (en) Detection of beaconing behavior in network traffic
CN107273267A (zh) 基于elastic组件的日志分析方法
CN108600172B (zh) 撞库攻击检测方法、装置、设备及计算机可读存储介质
CN114095567A (zh) 数据访问请求的处理方法、装置、计算机设备及介质
CN110825731A (zh) 数据存储方法、装置、电子设备及存储介质
CN114640504B (zh) Cc攻击防护方法、装置、设备和存储介质
CN113014555B (zh) 一种攻击事件的确定方法、装置、电子设备和存储介质
CN110572402B (zh) 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质
CN113872810A (zh) 一种业务仿真方法、装置、电子设备及存储介质
JP4504346B2 (ja) トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置
CN111726352A (zh) 可视化监测探针状态的方法、装置、计算机设备和介质
Lee et al. ATMSim: An anomaly teletraffic detection measurement analysis simulator
CN113472798A (zh) 一种网络数据包的回溯解析方法、装置、设备及介质
CN115296904B (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN112769739A (zh) 数据库操作违规处理方法、装置及设备
CN109889399A (zh) RocketMQ客户端连接数监控方法、装置、电子设备及存储介质
CN113225325B (zh) 一种ip黑名单确定方法、装置、设备及存储介质
CN115396128A (zh) 恶意流量检测方法、装置、存储介质及电子设备
CN111753162A (zh) 数据爬取方法、装置、服务器及存储介质
CN111800409A (zh) 接口攻击检测方法及装置
CN111198900A (zh) 工业控制网络的数据缓存方法、装置、终端设备及介质
CN110719260B (zh) 智能网络安全分析方法、装置及计算机可读存储介质
CN115396319B (zh) 数据流分片方法、装置、设备及存储介质
CN112804070A (zh) 业务障碍定位方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant