[发明专利]应用层慢速攻击检测方法和相关装置

权利要求书

1.一种应用层慢速攻击检测方法，其特征在于，包括：

获取进入服务器的流量；

基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；

若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址，所述K为大于或等于1的正整数；

时段x为所述K个时段之中的任意一个时段；其中，所述预设阈值条件包括：所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量，大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段x＇的应用层数据包的数量，其中，所述参考时段x＇与所述时段x具有映射关系；或者，所述预设阈值条件包括：所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。

2.根据权利要求1所述的方法，其特征在于，所述针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，包括：在统计出的时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中，携带有源网际互联协议地址k的应用层数据包的数量大于或等于第二阈值的情况下，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述时段x为所述K个时段之中的任意一个时段。

3.根据权利要求2所述的方法，其特征在于，所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包之中，携带有所述源网际互联协议地址k的应用层数据包的数量大于或者等于携带有其他源网际互联协议地址的应用层数据包的数量。

4.根据权利要求2所述的方法，其特征在于，

所述源网际互联协议地址k为所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包所携带的其中一个源网际互联协议地址。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述K大于或者等于2，所述K个时段为连续的K个时段或所述K个时段为相邻时段之间的间隔时长小于或等于间隔阈值的K个时段。

6.根据权利要求1至4任一项所述的方法，其特征在于，所述传输层空链接为所承载数据包的数量小于或者第四阈值的传输层链接。

7.一种应用层慢速攻击检测装置，其特征在于，包括：

获取单元，用于获取进入服务器的流量；

统计单元，用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；

攻击告警单元，用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值，并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述K为大于或等于1的正整数，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址；

时段x为所述K个时段之中的任意一个时段；其中，所述预设阈值条件包括：所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量，大于或者等于与所述公共网关接口标识j对应的当前流量基线中记录的参考时段x＇的应用层数据包的数量，其中，所述参考时段x＇与所述时段x具有映射关系；或者，所述预设阈值条件包括：所述时段x内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量大于或者等于第三阈值。