[发明专利]一种脉冲式攻击的防御方法、装置及设备

权利要求书

1.一种脉冲式攻击的防御方法，其特征在于，所述方法包括：

当检测到脉冲式攻击时，计算下一轮攻击的开启时间；

在所述开启时间进入脉冲式攻击防御模式；

在处于所述脉冲式攻击防御模式时，将接收到的报文与预先生成的黑名单进行匹配；其中，所述黑名单用于存储本次攻击中预先收集的攻击报文的源IP地址；

如果所述报文与所述黑名单匹配成功，则将所述报文丢弃；

所述计算下一轮攻击的开启时间，包括：

基于预先记录的每轮攻击的开启时间的真实值，以及利用随机梯度上升算法模型，计算下一轮攻击的开启时间；以及，基于最近前N轮攻击的开启时间的真实值和计算值，确定所述计算值的准确率；其中，N为正整数；

相应的，所述在所述开启时间进入脉冲式攻击防御模式，具体为：

在确定所述准确率大于预设阈值时，在所述开启时间进入脉冲式攻击防御模式；

所述方法还包括：

在确定所述准确率不大于预设阈值时，确定所述开启时间无效。

2.根据权利要求1所述的方法，其特征在于，所述方法应用于多核系统，所述多核系统包括转发核和配置核；

所述基于预先记录的每轮攻击的开启时间的真实值，以及利用随机梯度上升算法模型，计算下一轮攻击的开启时间；以及，基于最近前N轮攻击的开启时间的真实值和计算值，确定所述计算值的准确率，包括：

所述配置核基于所述转发核上传的预先记录的每轮攻击的开启时间的真实值，并利用随机梯度上升算法模型，计算下一轮攻击的开启时间；以及，所述配置核基于最近前N轮攻击的开启时间的真实值和计算值，确定所述计算值的准确率。

3.根据权利要求1所述的方法，其特征在于，所述计算下一轮攻击的开启时间，包括：

以上一轮攻击的结束时间为起始节点，统计每接收到预设固定个数报文所用的时间t1，并判断所述t1是否小于预设第一阈值；或者，以当前时间为截止节点，确定所述当前时间之前接收到预设固定个数报文所用的时间t1是否小于预设第一阈值；

当确定所述t1小于所述第一阈值时，将当前时间确定为下一轮攻击的开启时间。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

以上一轮攻击的结束时间为起始节点，统计每完成所述预设固定个数的三次握手报文的时间t2，并判断所述t2与所述t1的比值是否超过预设第二阈值；或者，以当前时间为截止节点，确定所述当前时间之前完成所述预设固定个数的三次握手报文的时间t2是否超过预设第二阈值；

相应的，所述当确定所述t1小于所述第一阈值时，将当前时间确定为下一轮攻击的开启时间，具体为：

当确定所述t1小于所述第一阈值，且所述t2与所述t1的比值超过所述预设第二阈值时，将当前时间确定为下一轮攻击的开启时间。

5.根据权利要求1所述的方法，其特征在于，所述计算下一轮攻击的开启时间，包括：

如果接收到的任一报文与预先生成的黑名单匹配成功，则确定当前时间为下一轮攻击的开启时间。

6.根据权利要求1所述的方法，其特征在于，所述当检测到本次攻击为脉冲式攻击时，计算下一轮攻击的开启时间之前，还包括：

当检测到预设时间内发生攻击的次数超出预设次数，则确定发生脉冲式攻击。