[发明专利]应用层慢速攻击检测方法和相关装置

说明书

本发明实施例公开了应用层慢速攻击检测方法和相关装置。其中，一种应用层慢速攻击检测方法，包括：获取进入服务器的流量；基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。本发明实施例的技术方案有利于期提高应用层慢速攻击告警准确度。

技术领域

本发明涉及图像处理技术领域，具体涉及应用层慢速攻击检测方法和相关装置。

背景技术

目前，网络攻击经常出现，可以说是无处不在。互联网中隐匿着大量的黑客和各类计算机病毒。对于提供网络业务的一些服务器而言，当其受到网络攻击时往往就难以正常提供服务。

应用层慢速攻击是一种常见的网络攻击方式，这种攻击方式对服务器正常工作造成了较大的障碍，因此，如何能够慢速准确的检测出服务器当前是否遭受应用层慢速攻击变得很重要。

本发明的发明人在研究和实践过程中发现，现有的应用层慢速攻击检测算法一般是仅通过对超文本传送协议请求中的公共网关接口的统计结果来判断服务器当前是否遭受应用层慢速攻击，然而实践发现这种检测算法的误报率是相当高的。

发明内容

本发明实施例提供应用层慢速攻击检测方法和相关装置，以期提高应用层慢速攻击告警准确度。

本发明实施例的第一方面提供一种应用层慢速攻击检测方法，包括：

获取进入服务器的流量；

基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；

若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址，所述K为大于或等于1的正整数。

本发明第二方面提供一种应用层慢速攻击检测装置，包括：

获取单元，用于获取进入服务器的流量；

统计单元，用于基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；

攻击告警单元，用于若所述统计单元统计出的所述传输层空链接的数量大于或者等于第一阈值，并且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述K为大于或等于1的正整数，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址。

本发明第三方面提供一种通信系统，包括：

服务器和检测装置；

所述检测装置用于，获取进入所述服务器的流量；基于获取的所述进入服务器的流量统计预设时长内向所述服务器发起的传输层空链接的数量；若统计出的所述传输层空链接的数量大于或等于第一阈值，且统计出的K个时段内进入所述服务器的流量中的携带有目的网际互联协议地址i和公共网关接口标识j的应用层数据包的数量符合预设阈值条件，针对所述目的网际互联协议地址i和所述公共网关接口标识j进行应用层慢速攻击告警，所述目的网际互联协议地址i为所述服务器的其中一个网际互联协议地址，所述K为大于或等于1的正整数。