[发明专利]一种CC攻击的检测方法、装置及网络设备

说明书

本申请提供一种CC攻击的检测方法、装置及网络设备，包括：针对服务器的每一请求事件，基于本设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；所述请求报文和响应报文为基于传输层协议的报文；基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。使用本申请提供的方法，可以提高CC攻击检测的准确率，还可以提高CC攻击检测的适用场景范围。

技术领域

本申请涉及计算机通信领域，尤其涉及一种CC攻击的检测方法、装置及网络设备。

背景技术

CC(Challenge Collapsar，挑战黑洞)攻击是DDOS：(Distributed Denial ofService，分布式拒绝服务)攻击的一种类型。攻击者使用代理服务器或者控制某些主机向受害服务器发送大量貌似合法的请求，造成服务器资源耗尽，从而导致正常的访问被终止处理。

现有的CC攻击检测方式通常是检测基于HTTP（HyperText Transfer Protocol，超文本传输协议）协议的网站服务的CC攻击。具体地，统计访问Web（World Wide Web，万维网）页面的请求频率，将该频率与预设的阈值做比较，如果发现统计的请求频率已经超过阈值，则判定检测到了CC攻击。

然而请求频率很难准确反映服务器的负载情况。例如，黑客可以使用低频针对特别耗费资源的URL（Uniform Resource Locator，统一资源定位符）发起攻击（例如大量数据库查询），来绕过该高频请求检测。现有的CC攻击的检测方式的准确性较低。

发明内容

有鉴于此，本申请提供一种CC攻击的检测方法、装置及网络设备，用于提高CC攻击检测的准确性、以及CC攻击检测的适用范围。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种CC攻击的检测方法，所述方法应用于网络设备，包括：

针对服务器的每一请求事件，基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延；所述请求报文和响应报文为基于传输层协议的报文；

基于所述服务器响应各请求事件的响应时延，确定所述服务器的平均响应时延；

若所述平均响应时延大于或等于预设阈值，则确定所述服务器遭受CC攻击。

可选的，所述基于所述网络设备接收到的与该请求事件对应的请求报文和响应报文，确定该服务器响应该请求事件的响应时延，包括：

基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；

基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻；

基于所述第一时刻、所述第二时刻，确定所述服务器响应该请求事件的响应时延。

可选的，所述基于已接收到的该请求事件的请求报文的接收时刻，确定接收到完整的该请求事件的第一时刻；基于已接收到的该请求事件的响应报文的接收时刻，确定接收到该请求事件的响应的第二时刻；包括：

在接收与该请求事件对应的请求报文时，若该请求报文是非重传请求报文，则将已记录的该请求事件对应的请求接收时刻变量的取值，更新为该请求报文的接收时刻，若该请求报文是重传请求报文，则维持已记录的请求接收时刻变量；所述非重传请求报文包括：首个非重传请求报文或非首个非重传请求报文；