[发明专利]一种攻击事件的确定方法、装置、电子设备和存储介质

说明书

本发明公开了一种攻击事件的确定方法、装置、电子设备和存储介质，包括：创建物化视图，其中，物化视图中配置会话参数类型；按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话；基于物化视图对HTTP会话进行聚类获取访问事件，并按照预设规则从访问事件中筛选出攻击事件。通过创建物化视图从采集的流量中提取HTTP会话，基于物化视图对提取的会话实时进行聚类，根据聚类结果按照预设规则筛选出攻击事件，从而能够及时确定出攻击事件，并且过程计算量少而无需消耗较大的计算资源。

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种攻击事件的确定方法、装置、电子设备和存储介质。

背景技术

拒绝服务(Denial of Service，DOS)是一种网络攻击，攻击者通过暂时或者长时间的对服务器发起攻击，导致服务器或网络源无法正常向用户提供服务。而HTTP慢访问DOS攻击则是利用HTTP1.1版本中对长连接响应机制的缺陷，即服务器在请求完全接收数据后才会进行处理，期间会一直占用长连接对应的资源，加大了资源消耗。攻击者在数据包的内容长度中声明一个很大的值，但是以非常缓慢的速率发送剩余的数据，导致连接一直被占用，致使其他用户无法获取到服务器的资源。

目前针对HTTP慢访问DOS攻击事件的确定方式是将流量采集设备还原产生的HTTP会话单保存至数据库中，并相应的部署一个流式分析或定时统计的服务，但是通过部署定时统计的服务将对应事件窗口内的数据进行过滤统计分析，会具有一定的延迟性；而通过部署流式分析服务进行分析则需要消耗较大的计算资源。

发明内容

本发明实施例提供了一种攻击事件的确定方法、装置、电子设备和存储介质，以实现在消耗较少资源的情况下及时确定出攻击事件。

第一方面，本发明实施例提供了一种攻击事件的确定方法，包括：创建物

化视图，其中，物化视图中配置会话参数类型；

按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话；

基于物化视图对HTTP会话进行聚类获取访问事件，并按照预设规则从访问事件中筛选出攻击事件。

第二方面，本发明实施例提供了一种攻击事件的确定装置，包括：物化视图创建模块，用于创建物化视图，其中，物化视图中配置会话参数类型；

会话获取模块，用于按照会话参数类型从采集的流量中提取超文本传输协议HTTP会话；

攻击事件筛选模块，用于基于物化视图对HTTP会话进行聚类获取访问事件，并按照预设规则从访问事件中筛选出攻击事件。

第三方面，本发明实施例还提供了一种电子设备，电子设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序；

当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现本发明任意实施例的方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明任意实施例的方法。

在本发明实施例中，通过创建物化视图从采集的流量中提取HTTP会话，基于物化视图对提取的会话实时进行聚类，根据聚类结果按照预设规则筛选出攻击事件，从而能够及时确定出攻击事件，并且过程计算量少而无需消耗较大的计算资源。

附图说明

图1是本发明实施例一提供的攻击事件的确定方法流程图；

图2是本发明实施例二提供的攻击事件的确定方法的流程图；

图3是本发明实施例三提供的攻击事件的确定装置结构示意图；