[发明专利]一种网络攻击检测的方法和装置

说明书

本申请实施例公开了一种网络攻击检测的方法和装置，属于网络安全技术领域。所述方法包括：在终端和服务器连接建立后，获取所述终端向所述服务器发送的报文，作为待检测报文；基于所述待检测报文的载荷中各数据的出现情况，确定所述待检测报文的信息特征值；基于所述待检测报文的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文。采用本申请，可以较为准确的确定出待检测报文是否为攻击报文，即可以较为有效的对网络攻击进行检测。

技术领域

本申请涉及网络安全技术领域，特别涉及一种网络攻击检测的方法和装置。

背景技术

在网络攻击中，传输控制协议连接洪流(Transmission Control Protocolconnection flood，TCP connection flood)攻击是较为常见的一种方式。TCP connectionflood攻击通过控制主机向服务器频繁发起TCP连接，以消耗服务器连接资源。

目前，通常在服务器对应的防火墙配置源端连接数阈值来检测检测TCPconnection flood攻击。例如，可以在服务器配置5秒内同一源地址建立连接数阈值为100次，当检测到某源地址5秒内建立连接数超过100次时，则认为该源地址对应的主机为攻击主机，则可以断开该源地址对应的连接，并将该源地址加入黑名单，再检测到该源地址对应的主机建立连接时，则进行拦截，使其不能与服务器建立连接。

在实现本申请的过程中，发明人发现相关技术中至少存在以下问题：

对于正常主机而言，不同主机和服务器之间建立连接的次数可能存在较大差异，因此，仅以连接数来检测TCP connection flood攻击无法找到一个合适的连接数阈值来作为基准进行检测，检测效果较差。

发明内容

为了解决相关技术中对于TCP connection flood检测效果差的问题，本申请实施例提供了一种网络攻击检测的方法和装置。所述技术方案如下：

第一方面、提供了一种网络攻击检测的方法，所述方法包括：

在终端和服务器连接建立后，获取所述终端向所述服务器发送的报文，作为待检测报文；

基于所述待检测报文的载荷中各数据的出现情况，确定所述待检测报文的信息特征值；

基于所述待检测报文的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文。

本申请实施例所示的方案中，终端和服务器之间的连接可以为传输控制协议(Transmission Control Protocol，TCP)连接，超文本传输协议(Hyper Text TransferProtocol，HTTP)连接等。在获取到待检测报文后，可以根据待检测报文的载荷中各数据的出现情况，确定待检测报文的载荷的信息特征值。其中，载荷中的各数据可以指载荷中的各字节的字符。出现情况可以为出现概率，信息特征值可以为信息熵。由于同一业务下不同连接中的报文的载荷的信息特征值相对比较接近，而与攻击报文的载荷的信息特征值相差较远，则根据待检测报文的载荷的信息特征值可以较为准确的判断出待检测报文是否为攻击报文，从而判断是否存在网络攻击。

在一种可能的实现方式中，所述获取终端向服务器发送的报文，作为待检测报文，包括：

每当达到检测周期，获取当前检测周期内所述终端向所述服务器发送的报文，作为待检测报文。

本申请实施例所示的方案中，可以按照检测周期获取报文作为待检测报文，并且还可以配置最大检测周期数。这样可以不用对待检测报文全部进行检测，可以节省计算资源，检测效率也会相对更高。

在一种可能的实现方式中，所述基于确定出的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文文，包括：

确定所述待检测报文对应的目标业务标识信息；