[发明专利]一种网络泛洪攻击的检测方法及装置

说明书

本申请公开了一种网络泛洪攻击的检查方法及装置，涉及计算机网络技术领域，为解决现有技术中泛洪攻击的检测过程中阈值配置不准确的问题。该方法包括：设置检测启动参数，检测启动参数包括待检测服务器的网络互联协议IP地址和预置防护阈值；根据IP地址，统计预置学习时间内待检测服务器建立传输控制协议TCP连接的最大频率值，最大频率值为在预置周期内建立的TCP连接的最大值；根据最大频率值，计算待检测服务器的检测阈值；按照预置周期，统计待检测服务器建立TCP连接的实时频率；判断实时频率是否大于检测阈值；如果判断结果为是，则确定待检测服务器发生泛洪攻击。本申请主要应用于防止网络泛洪攻击的过程中。

技术领域

本申请涉及计算机网络技术领域，尤其涉及一种网络泛洪攻击的检测方法及装置。

背景技术

计算机网络通常包括交换数据和共享资源的互联计算设备的集合，包括web服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机以及其他设备。为了异种计算机互连提供一个共同的基础和标准框架，并为保持相关标准的一致性和兼容性提供共同的参考，设计了开放式系统互联(OSI)参考模型。OSI模型是为实现开放系统互连所建立的通信功能分层模型，从低到高分别为：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。各种设备可以执行大量不同的服务和通信协议，以实现不同网络设备之间的通信。每一种服务和通信协议都使网络暴露不同的安全漏洞。

恶意用户在OSI参考模型的各层上实施网络攻击。在OSI参考模型的第四层常见的网络攻击包括：握手信号SYN泛洪、确认字符ACK泛洪和重置RST泛洪。SYN泛洪，利用TCP协议的三次握手的特性，攻击者发送TCP SYN，SYN是TCP三次握手中的第一个数据包，而当服务器返回ACK后，该攻击者就不对其进行再确认，那这个TCP连接就处于挂起状态，也就是所谓的半连接状态，服务器收不到再确认的话，还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接，由于每一个都没法完成三次握手，所以在服务器上，这些TCP连接会因为挂起状态而消耗CPU和内存，最后服务器可能死机，就无法为正常用户提供服务了。

为了防止恶意用户的攻击，Web防火墙是信息安全的第一道防线。随着网络技术的快速更新，新的黑客技术也层出不穷，为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面，硬规则在灵活的黑客面前，很容易被绕过；另一方面，攻防对抗水涨船高，防守方规则的构造和维护门槛高、成本大。传统的网络泛洪攻击检测方式是：管理员根据经验配置一个阈值，当网络中的连接超过配置的阈值的时候就认为是攻击，这要求管理员要有丰富的经验和对现网流量非常了解，一旦网络拓扑发生变化，阈值配置是否准确就会被质疑。

发明内容

本申请提供了一种网络泛洪攻击的检测方法及装置，以解决现有技术中泛洪攻击的检测过程中阈值配置不准确的问题。

第一方面，本申请提供了一种网络泛洪攻击的检测方法，该方法包括：设置检测启动参数，所述检测启动参数包括待检测服务器的网络互联协议IP地址和预置防护阈值；根据所述IP地址，统计预置学习时间内所述待检测服务器建立传输控制协议TCP连接的最大频率值，所述最大频率值为在预置周期内建立的TCP连接的最大值；根据所述最大频率值，计算所述待检测服务器的检测阈值；按照所述预置周期，统计所述待检测服务器建立TCP连接的实时频率；判断所述实时频率是否大于所述检测阈值；如果判断结果为是，则确定所述待检测服务器发生泛洪攻击。

结合第一方面，在第一方面第一种可能的实现方式中，所述根据所述最大频率值，计算所述待检测服务器的检测阈值，包括：确定所述检测阈值为所述最大频率值。