[发明专利]一种检测慢速攻击的方法、装置、存储介质和电子设备

说明书

本申请实施例提供一种检测慢速攻击的方法、装置、存储介质和电子设备，该方法包括：接收待检测报文；在确定用于向目标服务器发送待检测报文的目标连接已经建立的情况下，获取自身记录的所有客户端和目标服务器的连接的总连接数；在总连接数大于等于连接阈值的情况下，获取目标连接的建立时长；在建立时长大于等于预设建立时长的情况下，检测第一预设时段内与目标连接对应的报文的总大小；在总大小小于等于预设大小的情况下，确定待检测报文为慢速攻击报文。借助于上述技术方案，本申请实施例解决了现有技术中存在着的不够灵活的问题，即便是报文的特征发生了变化依然可以检测出慢速攻击报文。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种检测慢速攻击的方法、装置、存储介质和电子设备。

背景技术

随着网络的高速发展，网络安全问题也日渐增多。分布式拒绝服务(DistributedDenial of Service，DDoS)攻击是目前最强大、最难防御的攻击之一，其主要目的是让指定目标无法提供正常服务。以往的DDoS攻击主要以单一报文的大流量攻击为主，近几年来已演变为慢速攻击，该慢速攻击更具有隐蔽性，是对正常网络协议的变形，完全符合协议要求。因此，对慢速攻击的防护更加困难。

现有的检测慢速攻击的方法是建立行为特征库，然后将提取的报文的特征和行为特征库进行匹配，在匹配到的情况下，则可确定该报文为慢速攻击报文，并丢弃该报文。

在实现本发明的过程中，发明人发现现有技术中存在如下问题：现有的检测慢速攻击的方法存在着不够灵活的问题。例如，当报文的特征发生变化时无法检测出特征变化的慢速攻击报文。

发明内容

本申请实施例的目的在于提供一种检测慢速攻击的方法、装置、存储介质和电子设备，以解决现有的检测慢速攻击的方法存在着不够灵活的问题。

第一方面，本申请实施例提供了一种检测慢速攻击的方法，该方法包括：接收待检测报文；在确定用于向目标服务器发送待检测报文的目标连接已经建立的情况下，获取自身记录的所有客户端和目标服务器的连接的总连接数；在总连接数大于等于连接阈值的情况下，获取目标连接的建立时长；在建立时长大于等于预设建立时长的情况下，检测第一预设时段内与目标连接对应的报文的总大小；在总大小小于等于预设大小的情况下，确定待检测报文为慢速攻击报文。

因此，本申请实施例通过接收待检测报文，随后在确定用于向目标服务器发送待检测报文的目标连接已经建立的情况下，获取安全检测设备记录的所有客户端和目标服务器的连接的总连接数，随后在总连接数大于等于连接阈值的情况下，获取目标连接的建立时长，随后在建立时长大于等于预设建立时长的情况下，检测第一预设时段内与目标连接对应的报文的总大小，随后在总大小小于等于预设大小的情况下，确定待检测报文为慢速攻击报文，从而解决了现有技术中存在着的不够灵活的问题，即便是报文的特征发生了变化依然可以检测出慢速攻击报文。

在一个可能的实施例中，在接收待检测报文之前，方法还包括：对第二预设时段内的历史连接数进行自学习，以获得目标时段对应的连接阈值。

因此，本申请实施例可通过自学习的方式生成动态的连接阈值，从而更够更精准的保护目标服务器。

在一个可能的实施例中，第二预设时段包括多个子时段，每个子时段均包括第一时段和第二时段，每个子时段内第一时段和目标时段为不同周期内的同一时段，每个子时段内的第二时段均早于对应的第一时段；