網(wǎng)絡(luò)攻擊行為檢測方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及攻擊檢測領(lǐng)域��,具體而言���,涉及一種網(wǎng)絡(luò)攻擊行為檢測方法和裝置���。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的快速發(fā)展��,互聯(lián)網(wǎng)已經(jīng)成為人們生活中的一部分�����。然而互聯(lián)網(wǎng)中的 服務(wù)器常常會受到一些惡意攻擊�,造成服務(wù)器停止服務(wù)或者痛疾����,例如CC攻擊,其中�����,CC為 化allengeCollapsar縮寫,其前身名為化憂Oy攻擊�����,是利用不斷對服務(wù)器發(fā)送連接請求致 使形成拒絕服務(wù)的一種攻擊方式。因此�,服務(wù)器的安全防護成為互聯(lián)網(wǎng)服務(wù)中比較重要的 一個環(huán)節(jié)��。
[0003] 目前����,針對服務(wù)器攻擊如CC攻擊的防護����,通常采用簡單的闊值觸發(fā)對源IP進行限 速的方案�����,W達到對攻擊行為的阻斷目的,其具體防護方式如下:
[0004] 首先由管理員配置服務(wù)器的訪問闊值��,在攻擊者發(fā)起對服務(wù)器的攻擊行為時����,防 護設(shè)備根據(jù)管理員配置的訪問闊值�,檢測并發(fā)現(xiàn)攻擊行為�;防護設(shè)備對訪問服務(wù)器的源IP 進行限速。
[0005] 然而,上述防護方式存在W下問題:不同業(yè)務(wù)的服務(wù)器需要配置不同的闊值��,因此 管理員需要對不同的服務(wù)器配置相應(yīng)地訪問闊值��。當需要更改訪問闊值時���,管理員需要手 動設(shè)置更改����,訪問闊值的配置不靈活��。另外�����,由于現(xiàn)有的防護方式主要通過短時間內(nèi)訪問量 暴增超過闊值來觸發(fā)攻擊檢測,因此無法檢測長期連續(xù)緩慢的慢速攻擊行為�。
[0006] 針對現(xiàn)有技術(shù)中無法檢測慢速攻擊行為的問題���,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明實施例提供了一種網(wǎng)絡(luò)攻擊行為檢測方法和裝置����,W至少解決現(xiàn)有技術(shù)中 無法檢測慢速攻擊行為的技術(shù)問題�����。
[000引根據(jù)本發(fā)明實施例的一個方面,提供了一種網(wǎng)絡(luò)攻擊行為檢測方法���,包括����;檢測目 標時間段內(nèi)網(wǎng)絡(luò)訪問服務(wù)器的訪問量;判斷所述目標時間段內(nèi)的訪問量是否超過預(yù)設(shè)闊 值���,其中��,所述預(yù)設(shè)闊值為根據(jù)所述目標時間段之前預(yù)設(shè)時間段內(nèi)的訪問量得到的闊值��,所 述預(yù)設(shè)時間段隨著所述目標時間段的變化進行動態(tài)調(diào)整;如果判斷出所述目標時間段內(nèi)的 訪問量超過所述預(yù)設(shè)闊值�����,則提取訪問所述服務(wù)器的訪問行為的行為特征�;判斷提取的行 為特征是否符合正常訪問特征��,其中,所述正常訪問特征為根據(jù)非攻擊行為提取的行為特 征����;W及如果提取的行為特征不符合正常訪問特征����,則確定所述訪問行為是攻擊行為�����。
[0009] 根據(jù)本發(fā)明實施例的另一方面�,還提供了一種網(wǎng)絡(luò)攻擊行為檢測裝置�,包括:第一 檢測單元����,用于檢測目標時間段內(nèi)網(wǎng)絡(luò)訪問服務(wù)器的訪問量�;第一判斷單元���,用于判斷所述 目標時間段內(nèi)的訪問量是否超過預(yù)設(shè)闊值,其中�����,所述預(yù)設(shè)闊值為根據(jù)所述目標時間段之 前預(yù)設(shè)時間段內(nèi)的訪問量得到的闊值,預(yù)設(shè)時間段隨著目標時間段的變化進行動態(tài)調(diào)整�; 提取單元�,用于如果判斷出所述目標時間段內(nèi)的訪問量超過所述預(yù)設(shè)闊值�����,則提取訪問所 述服務(wù)器的訪問行為的行為特征;第二判斷單元����,用于判斷提取的行為特征是否符合正常 訪問特征��,其中,所述正常訪問特征為根據(jù)非攻擊行為提取的行為特征����;W及第一確定單 元����,用于如果提取的行為特征不符合正常訪問特征�,則確定所述訪問行為是攻擊行為�����。
[0010] 根據(jù)本發(fā)明實施例���,通過提取訪問行為的行為特征,判斷該行為特征是否符合正 常訪問特征來檢測攻擊行為���,送樣,既能夠檢測出快速的暴力攻擊也可W識別出長期連續(xù) 緩慢的慢速攻擊�,從而解決了現(xiàn)有技術(shù)中無法檢測慢速攻擊行為的技術(shù)問題�,達到了準確 識別慢速攻擊行為的效果。
【附圖說明】
[0011] 此處所說明的附圖用來提供對本發(fā)明的進一步理解����,構(gòu)成本申請的一部分��,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明����,并不構(gòu)成對本發(fā)明的不當限定。在附圖中:
[0012] 圖1是根據(jù)本發(fā)明實施例的一種防護系統(tǒng)的示意圖�;
[0013] 圖2是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)攻擊行為檢測方法的流程圖��;
[0014] 圖3是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)攻擊行為檢測方法的時序圖;
[0015] 圖4是根據(jù)本發(fā)明實施例優(yōu)選的網(wǎng)絡(luò)攻擊行為檢測方法的流程圖�����;
[0016] 圖5是根據(jù)本發(fā)明實施例的另一種防護系統(tǒng)的示意圖�;
[0017] 圖6是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)攻擊行為檢測裝置的示意圖��;
[0018] 圖7是根據(jù)本發(fā)明實施例優(yōu)選的網(wǎng)絡(luò)攻擊行為檢測裝置的示意圖���;W及
[0019] 圖8是根據(jù)本發(fā)明實施例的檢測設(shè)備的示意圖����。
【具體實施方式】
[0020] 在描述本發(fā)明實施例的之前��,首先對本發(fā)明實施例中涉及到的專業(yè)屬于進行解 釋:
[0021] TCP ;全稱為Transmission Control Protocol,傳輸控制協(xié)議TCP是一種面向連 接(連接導向)的�����、可靠的、基于字節(jié)流的傳輸層(Transport layer)通信協(xié)議�,由IETF的 RFC 793說明(specified)��。TCP在IP報文的協(xié)議號是6。在簡化的計算機網(wǎng)絡(luò)OSI模型中��, 它完成第四層傳輸層所指定的功能。
[0022] HTTP ;超文本傳輸協(xié)議(HTTP-Hype;rtext transfer protocol)是一種詳細規(guī)定 了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則��,通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié) 議�����。
[002引 CC攻擊��;CC =化allengeCollapsar,其前身名為化憂oy攻擊���,是利用不斷對網(wǎng)站 發(fā)送連接請求致使形成拒絕服務(wù)的目的。
[0024] 訪問行為�;一個客戶端對服務(wù)器的訪問��,具有時間和空間上的特征�。
[0025] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實施例中的 附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述�,顯然,所描述的實施例僅僅是 本發(fā)明一部分的實施例����,而不是全部的實施例��?���;诒景l(fā)明中的實施例��,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都應(yīng)當屬于本發(fā)明保護的范 圍����。
[0026] 需要說明的是�����,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"�����、"第 二"等是用于區(qū)別類似的對象����,而不必用于描述特定的順序或先后次序��。應(yīng)該理解送樣使用 的數(shù)據(jù)在適當情況下可W互換�����,W便送里描述的本發(fā)明的實施例能夠W除了在送里圖示或 描述的郝些W外的順序?qū)嵤?����。此外����,術(shù)語"包括"和"具有"W及他們的任何變形�,意圖在于 覆蓋不排他的包含,例如�,包含了一系列步驟或單元的過程��、方法����、系統(tǒng)、產(chǎn)品或設(shè)備不必限 于清楚地列出的郝些步驟或單元����,而是可包括沒有清楚地列出的或?qū)τ谒托┻^程�、方法、產(chǎn) 品或設(shè)備固有的其它步驟或單元��。
[0027] 實施例1
[0028] 根據(jù)本發(fā)明實施例���,提供了一種網(wǎng)絡(luò)攻擊行為檢測方法���。
[0029] 可選地�����,在本實施例中����,該網(wǎng)絡(luò)攻擊行為檢測方法可W應(yīng)用于如圖1所示的防護 系統(tǒng)中�����,該防護系統(tǒng)包括服務(wù)器101���、防護設(shè)備102和網(wǎng)關(guān)路由器103,其中�,客戶端104可 W通過網(wǎng)絡(luò)訪問服務(wù)器101���?�?蛻舳?04可W是一個也可W是多個����,服務(wù)器101也可W是一 個或者多個��。上述網(wǎng)絡(luò)包括但不限于��;廣域網(wǎng)、城域網(wǎng)或局域網(wǎng)����。需要說明的是�,本發(fā)明實 施例中的客戶端104可W是如圖1所示的個人電腦(PC)����,也可W是手機���、PDA、平板電腦�����、游 戲機等終端��。具體地,該網(wǎng)絡(luò)攻擊行為檢測方法可W由檢測設(shè)備來執(zhí)行���,其中����,檢測設(shè)備可 W設(shè)置在圖1中的防護設(shè)備102上��。
[0030] 如圖2所示���,本發(fā)明實施例的網(wǎng)絡(luò)攻擊行為檢測方法包括W下步驟:
[003�����。 步驟S202,檢測目標時間段內(nèi)網(wǎng)絡(luò)訪問服務(wù)器的訪問量。
[0032]目標時間段可W使當前的一個時間段��,也可W是任意的一個時間段,在該目標時 間段內(nèi)���,不同的用戶可W利用客戶端104通過網(wǎng)絡(luò)訪問服務(wù)器101�,向服務(wù)器101請求資源��。 該服務(wù)器101可W是網(wǎng)站服務(wù)器����,例如���,web服務(wù)器、化化服務(wù)器等�。檢測目標時間段內(nèi)訪 問服務(wù)器的訪問量��,W便于監(jiān)控在該目標時間段內(nèi)該服務(wù)器101的訪問行為中是否存在攻 擊行為。
[003引步驟S204,判斷目標時間段內(nèi)的訪問量是否超過預(yù)設(shè)闊值。其中�,預(yù)設(shè)闊值為根據(jù) 目標時間段之前預(yù)設(shè)時間段內(nèi)的訪問量得到的闊值,預(yù)設(shè)時間段隨著目標時間段的變化進 行動態(tài)調(diào)整�����。
[0034] 在檢測到目標時間段內(nèi)的訪問服務(wù)器101的訪問量之后,將該訪問量與預(yù)設(shè)闊值 進行比較,W判斷該闊值是否超過預(yù)設(shè)闊值��。其中�����,該預(yù)設(shè)闊值為根據(jù)預(yù)設(shè)時間段內(nèi)統(tǒng)計的 服務(wù)器101的訪問量得到的闊值�����,不同業(yè)務(wù)的服務(wù)器其預(yù)設(shè)闊值可W相同也可W不同。預(yù) 設(shè)時間段可W是目標時間段之前的一段時間�。當目標時間段在改變時�,預(yù)設(shè)時間段可W進 行相應(yīng)地調(diào)整���,及預(yù)設(shè)時間段隨著目標時間段的變化來調(diào)整,其中,預(yù)設(shè)闊值可W由調(diào)整后 的預(yù)設(shè)時間段內(nèi)的訪問量計算得到��。送樣,可W使得預(yù)設(shè)闊值無需通過人工設(shè)置��,直接由預(yù) 設(shè)時間段內(nèi)服務(wù)器101的訪問量計算得到�,同時隨著目標時間段的變化��,進行動態(tài)調(diào)整。
[0035] 步驟S206,如果判斷出目標時間段內(nèi)的訪問量超過預(yù)設(shè)闊值�����,則提取訪問服務(wù)器 的訪問行為的行為特征��。
[0036] 提取的訪問行為的行為特征可W是任意源IP訪問服務(wù)器101的訪問量和該源IP 訪問服務(wù)器101所請求的資源,提取送些訪問行為的行為特征W便于根據(jù)該特征確定訪問 行為是否為攻擊行為�����。
[0037] 步驟S208,判斷提取的行為特征是否符合正常訪問特征,其中��,正常訪問特征為根 據(jù)非攻擊行為提取的行為特征�����。
[003引正常訪問特征可W是根據(jù)正常