[发明专利]一种流量攻击检测方法及装置

权利要求书

1.一种流量攻击检测方法，其特征在于，应用于检测设备中，所述方法，包括：

获取本次的待检测流量；

计算所述待检测流量的流量攻击信息；

判断所述流量攻击信息是否符合脉冲波攻击条件；

计算本次的单次攻击持续时长与上一次的单次攻击持续时长之间的时长差；

计算本次的攻击时间间隔与上一次的攻击时间间隔之间的时间间隔差；

判断所述单次攻击流量峰值是否超过设定的最大攻击流量峰值；

判断所述时长差是否在第一设定范围内；

判断所述时间间隔差是否在第二设定范围内；

若各个判断结果均为是，则确认所述攻击流量信息符合脉冲波攻击条件；

若符合所述脉冲波攻击条件，则确认所述待检测流量为脉冲波攻击流量。

2.根据权利要求1所述的方法，其特征在于，所述流量攻击信息至少包括以下一项：单次攻击流量峰值、单次攻击持续时长和距离上一次的攻击时间间隔。

3.根据权利要求2所述的方法，其特征在于，判断所述流量攻击信息是否符合脉冲波攻击条件，包括：

判断所述单次攻击流量峰值是否超过设定的单次攻击流量峰值的最小值；

判断所述单次攻击持续时长是否在单次攻击时长范围内；

判断所述攻击时间间隔是否在攻击时间间隔范围内；

若各个判断结果均为是，则确认所述攻击流量信息符合脉冲波攻击条件。

4.根据权利要求1所述的方法，其特征在于，还包括：

若连续N次确认所述待检测流量为脉冲波攻击流量，则确定遭受脉冲波攻击。

5.根据权利要求4所述的方法，其特征在于，还包括：

在确认遭受脉冲波攻击时，向清洗设备发送引流开始消息；

当检测到不存在脉冲波攻击时，向清洗设备发送引流停止消息。

6.一种流量攻击检测装置，其特征在于，应用于检测设备中，所述装置，包括：

获取模块，用于获取本次的待检测流量；

计算模块，用于计算所述待检测流量的流量攻击信息；

判断模块，用于判断所述流量攻击信息是否符合脉冲波攻击条件；所述判断模块，具体用于计算本次的单次攻击持续时长与上一次的单次攻击持续时长之间的时长差；计算本次的攻击时间间隔与上一次的攻击时间间隔之间的时间间隔差；判断所述单次攻击流量峰值是否超过设定的最大攻击流量峰值；判断所述时长差是否在第一设定范围内；判断所述时间间隔差是否在第二设定范围内；若各个判断结果均为是，则确认所述攻击流量信息符合脉冲波攻击条件；

确认模块，用于若所述判断模块的判决结果为符合所述脉冲波攻击条件，则确认所述待检测流量为脉冲波攻击流量。

7.根据权利要求6所述的装置，其特征在于，所述流量攻击信息至少包括以下一项：单次攻击流量峰值、单次攻击持续时长和距离上一次的攻击时间间隔。

8.根据权利要求7所述的装置，其特征在于，

所述判断模块，具体用于判断所述单次攻击流量峰值是否超过设定的单次攻击流量峰值的最小值；判断所述单次攻击持续时长是否在单次攻击时长范围内；判断所述攻击时间间隔是否在攻击时间间隔范围内；若各个判断结果均为是，则确认所述攻击流量信息符合脉冲波攻击条件。

9.根据权利要求6所述的装置，其特征在于，还包括：

确定模块，用于若连续N次确认所述待检测流量为脉冲波攻击流量，则确定遭受脉冲波攻击。

10.根据权利要求9所述的装置，其特征在于，还包括：

发送模块，用于在确认遭受脉冲波攻击时，向清洗设备发送引流开始消息；

当检测到不存在脉冲波攻击时，向清洗设备发送停止引流停止消息。