一种网络攻击检测的方法和装置制造方法及图纸

本申请实施例公开了一种网络攻击检测的方法和装置，属于网络安全技术领域。所述方法包括：在终端和服务器连接建立后，获取所述终端向所述服务器发送的报文，作为待检测报文；基于所述待检测报文的载荷中各数据的出现情况，确定所述待检测报文的信息特征值；基于所述待检测报文的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文。采用本申请，可以较为准确的确定出待检测报文是否为攻击报文，即可以较为有效的对网络攻击进行检测。进行检测。进行检测。

【技术实现步骤摘要】
一种网络攻击检测的方法和装置


[0001]本申请涉及网络安全
，特别涉及一种网络攻击检测的方法和装置。

技术介绍

[0002]在网络攻击中，传输控制协议连接洪流(Transmission Control Protocol connection flood，TCP connection flood)攻击是较为常见的一种方式。TCP connection flood攻击通过控制主机向服务器频繁发起TCP连接，以消耗服务器连接资源。
[0003]目前，通常在服务器对应的防火墙配置源端连接数阈值来检测检测TCP connection flood攻击。例如，可以在服务器配置5秒内同一源地址建立连接数阈值为100次，当检测到某源地址5秒内建立连接数超过100次时，则认为该源地址对应的主机为攻击主机，则可以断开该源地址对应的连接，并将该源地址加入黑名单，再检测到该源地址对应的主机建立连接时，则进行拦截，使其不能与服务器建立连接。
[0004]在实现本申请的过程中，专利技术人发现相关技术中至少存在以下问题：
[0005]对于正常主机而言，不同主机和服务器之间建立连接的次数可能存在较大差异，因此，仅以连接数来检测TCP connection flood攻击无法找到一个合适的连接数阈值来作为基准进行检测，检测效果较差。

技术实现思路

[0006]为了解决相关技术中对于TCP connection flood检测效果差的问题，本申请实施例提供了一种网络攻击检测的方法和装置。所述技术方案如下：<br/>[0007]第一方面、提供了一种网络攻击检测的方法，所述方法包括：
[0008]在终端和服务器连接建立后，获取所述终端向所述服务器发送的报文，作为待检测报文；
[0009]基于所述待检测报文的载荷中各数据的出现情况，确定所述待检测报文的信息特征值；
[0010]基于所述待检测报文的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文。
[0011]本申请实施例所示的方案中，终端和服务器之间的连接可以为传输控制协议(Transmission Control Protocol，TCP)连接，超文本传输协议(Hyper Text Transfer Protocol，HTTP)连接等。在获取到待检测报文后，可以根据待检测报文的载荷中各数据的出现情况，确定待检测报文的载荷的信息特征值。其中，载荷中的各数据可以指载荷中的各字节的字符。出现情况可以为出现概率，信息特征值可以为信息熵。由于同一业务下不同连接中的报文的载荷的信息特征值相对比较接近，而与攻击报文的载荷的信息特征值相差较远，则根据待检测报文的载荷的信息特征值可以较为准确的判断出待检测报文是否为攻击报文，从而判断是否存在网络攻击。
[0012]在一种可能的实现方式中，所述获取终端向服务器发送的报文，作为待检测报文，
包括：
[0013]每当达到检测周期，获取当前检测周期内所述终端向所述服务器发送的报文，作为待检测报文。
[0014]本申请实施例所示的方案中，可以按照检测周期获取报文作为待检测报文，并且还可以配置最大检测周期数。这样可以不用对待检测报文全部进行检测，可以节省计算资源，检测效率也会相对更高。
[0015]在一种可能的实现方式中，所述基于确定出的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文文，包括：
[0016]确定所述待检测报文对应的目标业务标识信息；
[0017]在存储的业务标识信息和正常报文参考信息特征值范围的对应关系中，确定所述目标业务标识信息对应的正常报文参考信息特征值范围；
[0018]如果所述待检测报文的载荷的信息特征值在所述目标业务标识信息对应的正常报文信息特征值范围内，则将所述待检测报文确定为正常报文；
[0019]如果所述待检测报文的载荷的信息特征值不在所述目标业务标识信息对应的正常报文参考信息特征值范围内，则将所述待检测报文确定为攻击报文。
[0020]本申请实施例所示的方案中，该网络设备可能连接有多个用于实现不同业务的服务器，而不同业务的报文的载荷的信息特征值可能存在较大差异。那么，可以确定待检测报文所属的业务，再确定出该业务对应的正常报文参考信息特征值范围，基于该业务对应的报文参考信息特征值范围对待检测报文进行判断。这样，判断结果可以更加准确。
[0021]在一种可能的实现方式中，所述确定所述待检测报文对应的目标业务标识信息，包括：
[0022]通过深度报文检测，确定所述待检测报文对应的目标业务标识信息。
[0023]在一种可能的实现方式中，所述确定所述待检测报文对应的目标业务标识信息，包括：
[0024]获取所述待检测报文中携带的目的端口号，作为所述待检测报文对应的目标业务标识信息。
[0025]由于不同业务对应有不同的目的端口号，那么，可以将目的端口号直接作为业务标识信息来区别不同业务。对于该网络设备所连接的服务器所支持的每个业务，技术人员可以预先确定该业务对应的目的端口号，作为该业务的业务标识信息。这样，无需对待检测报文的载荷进行计算，即可确定出待检测报文的目标业务标识信息，可以节省计算资源，检测效率也会相对更高。
[0026]在一种可能的实现方式中，所述基于确定出的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文，包括：
[0027]如果所述待检测报文的载荷的信息特征值在存储的攻击报文参考信息特征值范围内，则将所述待检测报文确定为攻击报文；
[0028]如果所述待检测报文的载荷的信息特征值不在存储的攻击报文参考信息特征值范围内，则将所述待检测报文确定为正常报文。
[0029]本申请实施例所示的方案中，由于正常业务的报文的载荷的信息特征值和攻击报文的信息特征值存在较大差异，那么，也可以根据攻击报文参考信息特征值范围，来判断待
检测报文是否为攻击报文，并且，此方法不用区分待检测报文的业务，可以提高检测效率。
[0030]在一种可能的实现方式中，所述将所述待检测报文确定为正常报文，之后，所述方法还包括：
[0031]如果预设数目个检测周期获取的待检测报文均被确定为正常报文，则将所述待检测报文中携带的源地址加入白名单；
[0032]所述确定所述待检测报文的载荷的信息特征值，包括：
[0033]如果所述待检测报文中携带的源地址不在所述白名单中，则确定所述待检测报文的载荷的信息特征值。
[0034]本申请实施例所示的方案中，为了尽量避免误检，可以在预设数目个检测周期获取的待检测报文均被确定为正常报文，再将连接确定为正常连接。也即是，确定该连接中的终端是正常终端，那么，可以将待检测报文中携带的源地址(即该连接中的终端的地址)加入白名单。后续，在接收到携带该源地址的报文，则可以不进行检测直接转发。
[0035]在一种可能的实现方式中，所述将所述待检测报文确定为攻击报文之后，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击检测的方法，其特征在于，所述方法包括：在终端和服务器连接建立后，获取所述终端向所述服务器发送的报文，作为待检测报文；基于所述待检测报文的载荷中各数据的出现情况，确定所述待检测报文的信息特征值；基于所述待检测报文的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文。2.根据权利要求1所述的方法，其特征在于，所述获取终端向服务器发送的报文，作为待检测报文，包括：每当达到检测周期，获取当前检测周期内所述终端向所述服务器发送的报文，作为待检测报文。3.根据权利要求1或2所述的方法，其特征在于，所述基于确定出的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文，包括：确定所述待检测报文对应的目标业务标识信息；在存储的业务标识信息和正常报文参考信息特征值范围的对应关系中，确定所述目标业务标识信息对应的正常报文参考信息特征值范围；如果所述待检测报文的载荷的信息特征值在所述目标业务标识信息对应的正常报文信息特征值范围内，则将所述待检测报文确定为正常报文；如果所述待检测报文的载荷的信息特征值不在所述目标业务标识信息对应的正常报文参考信息特征值范围内，则将所述待检测报文确定为攻击报文。4.根据权利要求1或2所述的方法，其特征在于，所述基于确定出的信息特征值和存储的参考信息特征值，确定所述待检测报文是否为攻击报文，包括：如果所述待检测报文的载荷的信息特征值在存储的攻击报文参考信息特征值范围内，则将所述待检测报文确定为攻击报文；如果所述待检测报文的载荷的信息特征值不在存储的攻击报文参考信息特征值范围内，则将所述待检测报文确定为正常报文。5.根据权利要求3或4所述的方法，其特征在于，所述将所述待检测报文确定为正常报文，之后，所述方法还包括：如果预设数目个检测周期获取的待检测报文均被确定为正常报文，则将所述待检测报文中携带的源地址加入白名单；所述确定所述待检测报文的载荷的信息特征值，包括：如果所述待检测报文中携带的源地址不在所述白名单中，则确定所述待检测报文的载荷的信息特征值。6.根据权利要求3-5中任一项所述的方法，其特征在于，所述将所述待检测报文确定为攻击报文之后，所述方法还包括：停止获取待检测报文，确定所述终端与所述服务器之间的连接为异常连接，分别向所述终端与所述服务器发送复位RST报文；如果所述待检测报文中携带的源地址对应的异常连接次数达到预设次数，则将所述待检测报文中携带的源地址加入黑名单。
7.根据权利要求1-6中任一项所述的方法，其特征在于，所述出现情况为出现概率，所述信息特征值为信息熵。8.一种网络攻击检测的装置，其特征在于，所述装置包括：获取模块，用于在终端和服务器连接建立后，...

【专利技术属性】
技术研发人员：张浩浩，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：