[发明专利]一种流量攻击检测方法及装置

说明书

本申请提供了一种流量攻击检测方法及装置，应用于检测设备中，所述方法，包括：获取本次的待检测流量；计算所述待检测流量的流量攻击信息；判断所述流量攻击信息是否符合脉冲波攻击条件；若符合所述脉冲波攻击条件，则确认所述待检测流量为脉冲波攻击流量。采用上述方法，可以准确地检测并识别出脉冲波攻击流量。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种流量攻击检测方法及装置。

背景技术

传统的分布式拒绝服务攻击(Distributed denial of service attack，DDoS)攻击流量通常是逐步攀升的，近几年上百G的攻击越来越多。针对现网中此类攻击，已有专业的抗DDoS攻击设备及云清洗。尤其在2017年一种“脉冲波”DDoS攻击的出现，黑客控制若干傀儡机(肉鸡)仅需数秒便达到峰值，且攻击模式高度重复，由每十分钟一次或多次脉冲组成，持续数小时或者数天，峰值可达350Gbps。

现有的防攻击方法大致为下述过程：网络核心设备将流量复制或采样至检测设备处进行DDoS攻击检测，检测设备将攻击信息上报至管理中心，管理中心向清洗设备下发防御策略和引流规则。网络核心设备将流量牵引至清洗设备(也可称为抗DDoS攻击设备)进行清洗操作，由清洗设备丢弃攻击流量，并将正常流量回注至网络核心设备，然后网络核心设备将正常流量转发至目的地。也就是说，上述方法是通过引流回注的方式，在攻击开始后，将攻击流量引流给清洗设备处理，当检测到攻击结束后，删除引流规则。但是该方法对于脉冲波攻击不适用，当遇到脉冲波攻击时，由于单次攻击达到波峰的速度很快，若采用上述方法则每次攻击都需要进行引流回注，而引流回注一般需要3到10秒左右，这样会导致无法及时响应攻击事件，导致受保护主机被攻击成功。

因此，如何检测脉冲波攻击流量是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种攻击检测方法及装置，用以准确地检测脉冲波攻击流量。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种流量攻击检测方法，应用于检测设备中，所述方法，包括：

获取本次的待检测流量；

计算所述待检测流量的流量攻击信息；

判断所述流量攻击信息是否符合脉冲波攻击条件；

若符合所述脉冲波攻击条件，则确认所述待检测流量为脉冲波攻击流量。

可选地，本申请中的流量攻击信息至少包括以下一项：单次攻击流量峰值、单次攻击持续时长和距离上一次的攻击时间间隔。

可选地，判断所述流量攻击信息是否符合脉冲波攻击条件，包括：

计算本次的单次攻击持续时长与上一次的单次攻击持续时长之间的时长差；

计算本次的攻击时间间隔与上一次的攻击时间间隔之间的时间间隔差；

判断所述单次攻击流量峰值是否超过设定的最大攻击流量峰值；

判断所述时长差是否在第一设定范围内；

判断所述时间间隔差是否在第二设定范围内；

若各个判断结果均为是，则确认所述攻击流量信息符合脉冲波攻击条件。

可选地，判断所述流量攻击信息是否符合脉冲波攻击条件，包括：

判断所述单次攻击流量峰值是否超过设定的单次攻击流量峰值的最小值；

判断所述单次攻击持续时长是否在单次攻击时长范围内；

判断所述攻击时间间隔是否在攻击时间间隔范围内；