【技术实现步骤摘要】
扫段攻击检测方法及装置
[0001]本申请涉及计算机信息处理领域,具体而言,涉及一种扫段攻击检测方法及装置。
技术介绍
[0002]随着网络技术的迅速发展,网络攻击手段也层出不穷。尤其是近几年出现的新型攻击,扫段攻击。与以往攻击手段不同的是,它不停地在变换攻击IP,持续时间短,单IP流量少,总流量大。以往的攻击手段大都针对单个IP进行各种类型的攻击,并且流量大,持续时间长。因此采用的检测方法通常是针对某个单IP的流量进行监测,当有某个IP流量出现异常突增时,有可能出现了某个类型攻击,进而查看该IP哪种类型的流量突增了,从而发现攻击行为。但是这种常规的检测方式不适用于扫段,因为扫段攻击发生时,单个IP的流量通常不大,仅仅通过监测单IP无法识别是否是扫段攻击。
[0003]现有技术中虽然存在多种流量检测方案,但是,常规检测方案,由于需要检测单IP的流量,通常需要实时监测每个IP的流量走向,在IP个数非常多并且没有发生攻击行为的情况下,这种实时监测非常消耗设备性能;其次,常规的单IP监测流量的方法无法检测出扫段攻击。
[0004]因此,需要一种新的扫段攻击检测方法及装置。
[0005]在所述
技术介绍
部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0006]有鉴于此,本申请提供一种扫段攻击检测方法及装置,能够填补行业空白,实现扫段攻击检测,大大提高了设备的攻击检测性能,为网络安全进一步奠定了基础。>[0007]本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0008]根据本申请的一方面,提出一种扫段攻击检测方法,该方法包括:获取目标网段对应的总流量;确定总流量阈值;在总流量超过所述总流量阈值时,获取流量类型;基于所述流量类型进行单IP流量检测;在单IP流量检测的结果满足预设策略时,确定所述目标网络遭受了扫段攻击。
[0009]在本申请的一种示例性实施例中,确定总流量阈值,包括:将所述总流量按照流量类型进行划分,生成多个子流量;确定每个子流量对应的子流量阈值;基于所述多个子流量对应的子流量阈值生成所述总流量阈值。
[0010]在本申请的一种示例性实施例中,确定每个子流量对应的子流量阈值,包括:对总流量中每种流量类型对应的子流量进行自学习;通过自学习的结果生成当前每个子流量对应的子流量阈值。
[0011]在本申请的一种示例性实施例中,在总流量超过所述总流量阈值时,获取流量类型,包括:在总流量超过所述总流量阈值时,获取超过子流量阈值的子流量对应的流量类
型。
[0012]在本申请的一种示例性实施例中,基于所述流量类型进行单IP流量检测,包括:获取所述目标网段中每个IP的IP流量;进行单IP的特定流量检测;在所述特定流量检测超限时,基于所述流量类型进行单IP的流量类型检测。
[0013]在本申请的一种示例性实施例中,进行单IP的特定流量检测,包括:提取每个IP的IP流量中的特定流量;在每个IP的特定流量大于流量比例时,确定特定流量检测超限。
[0014]在本申请的一种示例性实施例中,基于所述流量类型进行单IP的流量类型检测,包括:确定所述目标网段中每个IP的流量类型契合度;确定所述目标网段中每个IP的流量类型递增度;在所述契合度和所述递增度满足条件时,确定流量类型检测超限。
[0015]在本申请的一种示例性实施例中,在所述契合度和所述递增度满足条件时,确定流量类型检测超限,包括:在所述目标网段中每个IP的所述契合度一致且递增度一致时,确定流量类型检测超限。
[0016]在本申请的一种示例性实施例中,在单IP流量检测的结果满足预设策略时,确定所述目标网络遭受了扫段攻击,包括:在单IP流量检测中特定流量检测超限且流量类型检测超限时,确定所述目标网络遭受了扫段攻击。
[0017]根据本申请的一方面,提出一种扫段攻击检测装置,该装置包括:流量模块,用于获取目标网段对应的总流量;阈值模块,用于确定总流量阈值;类型模块,用于在总流量超过所述总流量阈值时,获取流量类型;检测模块,用于基于所述流量类型进行单IP流量检测;攻击模块,用于在单IP流量检测的结果满足预设策略时,确定所述目标网络遭受了扫段攻击。
[0018]根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
[0019]根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
[0020]根据本申请的扫段攻击检测方法及装置,通过获取目标网段对应的总流量;确定总流量阈值;在总流量超过所述总流量阈值时,获取流量类型;基于所述流量类型进行单IP流量检测;在单IP流量检测的结果满足预设策略时,确定所述目标网络遭受了扫段攻击的方式,能够填补行业空白,实现扫段攻击检测,大大提高了设备的攻击检测性能,为网络安全进一步奠定了基础。
[0021]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
[0022]通过参照附图详细描述其示例实施例,本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0023]图1是根据一示例性实施例示出的一种扫段攻击检测方法及装置的系统框图。
[0024]图2是根据一示例性实施例示出的一种扫段攻击检测方法的流程图。
[0025]图3是根据另一示例性实施例示出的一种扫段攻击检测方法的流程图。
[0026]图4是根据另一示例性实施例示出的一种扫段攻击检测方法的流程图。
[0027]图5是根据一示例性实施例示出的一种扫段攻击检测装置的框图。
[0028]图6是根据一示例性实施例示出的一种电子设备的框图。
[0029]图7是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
[0030]现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本申请将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
[0031]此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种扫段攻击检测方法,其特征在于,包括:获取目标网段对应的总流量;确定总流量阈值;在总流量超过所述总流量阈值时,获取流量类型;基于所述流量类型进行单IP流量检测;在单IP流量检测的结果满足预设策略时,确定所述目标网络遭受了扫段攻击。2.如权利要求1所述的方法,其特征在于,确定总流量阈值,包括:将所述总流量按照流量类型进行划分,生成多个子流量;确定每个子流量对应的子流量阈值;基于所述多个子流量和其对应的子流量阈值生成所述总流量阈值。3.如权利要求2所述的方法,其特征在于,确定每个子流量对应的子流量阈值,包括:对总流量中每种流量类型对应的子流量进行自学习;通过自学习的结果生成当前每个子流量对应的子流量阈值。4.如权利要求1所述的方法,其特征在于,在总流量超过所述总流量阈值时,获取流量类型,包括:在总流量超过所述总流量阈值时,获取超过子流量阈值的子流量对应的流量类型。5.如权利要求1所述的方法,其特征在于,基于所述流量类型进行单IP流量检测,包括:获取所述目标网段中每个IP的IP流量;进行单IP的特定流量检测;在所述特定流量检测超限时,基于所述流量类型进行单IP的流量类型检测。6.如权利要求5所述的方法,其特征在于,进行单IP的特定流量检测,...
【专利技术属性】
技术研发人员:边明霞,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。