[发明专利]对不完整会话攻击进行检测的方法和装置

权利要求书

1.一种对不完整会话攻击进行检测的方法，其特征在于，包括：

获取在一个不完整会话攻击的检测周期内，用户发起的会话初始请求数量和收到的成功建立会话的响应数量；

根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击。

2.根据权利要求1所述的方法，其特征在于，所述的用户发起的会话初始请求数量和收到的成功建立会话的响应数量包括：

已注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量；

或者，

特定的用户接入网段中的未注册用户发起的会话初始请求数量和收到的成功建立会话的响应数量。

3.根据权利要求1所述的方法，其特征在于，所述的不完整会话攻击的检测周期大于一个会话的超时时长。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述的根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击包括：

确定所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量之间的差值，判断所述差值是否大于预定的第一阀值，如果是，则确定所述用户发起了不完整会话攻击。

5.根据权利要求1至3任一项所述的方法，其特征在于，所述的根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击包括：

计算所述用户发起的会话初始请求数量session_setup_initial_request[n]和收到的成功建立会话的响应数量session_setup_final_response[n]之间的差值Δ[n]，所述Δ[n]的计算方法如下：

Δ[n]＝session_setup_initial_request[n]-session_setup_final_response[n]

(n＝0，1，2...)

对所述Δ[n]进行平滑处理得到X[n]，所述X[n]的计算方法如下：

smoothed_fn[0]＝0；

smoothed_fn[n]＝α*smoothed_fn[n-1]+(1-α)*session_setup_final_response[n]

(n＝1，2，...n)

X[n]＝Δ[n]/smoothed_fn[n]

所述α∈[0..1]，为预定义常量；

计算X2[n]＝X[n]-max_avg_X，其中max_avg_X为网络不含攻击情况下的X[n]期望的最大值，设置判定序列Y[n]，所述Y[n]的计算方法如下：

Y[0]＝0，当Y[n-1]+X2[n]＞0时，Y[n]＝Y[n-1]+X2[n]；当Y[n-1]+X2[n]＜＝0时，则Y[n]＝0；

判断所述Y[n]是否大于预定的第二阀值，如果是，则判断所述用户发起了不完整会话攻击；否则，则判断所述用户没有发起不完整会话攻击。

6.根据权利要求5所述的方法，其特征在于，所述的方法还包括：

当所述Y[n]大于预定的第二阀值，并判断所述用户发起了不完整会话攻击后，对所述Y[n]进行减少处理，使所述Y[n]在下个检测周期到来前，低于所述预定的第二阀值。

7.根据权利要求1至3任一项所述的方法，其特征在于，所述的方法还包括：

在判断所述用户发起了不完整会话攻击后，对所述用户发起的会话进行取消或拒绝处理；或者，

在安全日志中记录所述用户的攻击行为，上报不完整会话攻击告警。

8.一种对不完整会话攻击进行检测的方法，其特征在于，包括：

确定用户发起的处于会话建立中的会话总数，所述处于会话建立中的会话类型包括：已经被用户发起的会话、或者未被成功建立的会话、或者未因为建立失败而退出的会话；

判断所述处于会话建立中的会话总数是否大于预先设定的第三阀值，如果是，则确定所述用户发起了不完整会话攻击。

9.根据权利要求8所述的对不完整会话攻击进行检测的方法，其特征在于，所述方法还包括：

在确定所述用户发起了不完整会话攻击后，拒绝所述用户发起的新的会话请求。