[发明专利]HTTP慢速攻击的检测方法、系统、设备及存储介质

权利要求书

1.一种HTTP慢速攻击的检测方法，其特征在于，包括以下步骤：

服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据；所述网络流量数据包含有至少一第一数据包和至少一session会话；所述网关设备分别连接服务器以及客户端；

所述服务器或网关设备提取关于所述第一数据包的第一特征数据；

所述服务器或网关设备基于所述第一特征数据，判断所述网络流量数据是否为异常流量；

若是异常流量，服务器或网关设备获取关于所述session会话的第二特征数据，并将所述第二特征数据作为训练过的预设分类模型的输入，得到分类结果。

2.如权利要求1所述的HTTP慢速攻击的检测方法，其特征在于，所述第一特征数据包含所述第一数据包的HTTP报文中的正文内容长度、有效载荷长度、IP地址字段的数量和协议类型字段的数量。

3.如权利要求2所述的HTTP慢速攻击的检测方法，其特征在于，所述方法包括：

所述服务器或网关设备基于第一比值和第二比值，判断所述网络流量数据是否为异常流量；所述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值；所述第二比值为IP地址字段的数量和协议类型字段的数量的比值；

当所述第一比值大于第一预设阈值，或者所述第二比值大于第二预设阈值时，判定所述网络流量数据为异常流量。

4.如权利要求1所述的HTTP慢速攻击的检测方法，其特征在于，所述session会话中包含有多个第二数据包；

所述第二特征数据包括关联所述session会话的第三比值，所述第三比值为所述session会话中所有第二数据包对应的第二平均延时，与所述预设时间窗口内所有第一数据包对应的第一平均延时之间的比值。

5.如权利要求4所述的HTTP慢速攻击的检测方法，其特征在于，所述第一平均延时的计算公式为：

其中，T₁表示第一平均延时，k表示所述预设时间窗口内第一数据包的数量，t_i所述预设时间窗口内第i个所述第一数据包的到达时间。

6.如权利要求1所述的HTTP慢速攻击的检测方法，其特征在于，所述session会话中包含有多个第二数据包；

所述第二特征数据包括关联所述session会话的第四比值，所述第四比值为所述session会话中所有第二数据包对应的第二总长度，与所述预设时间窗口内所有第一数据包对应的第一总长度之间的比值。

7.如权利要求1所述的HTTP慢速攻击的检测方法，其特征在于，所述第二特征数据包括所述网络流量数据中所有session会话的持续时间的和。

8.如权利要求1所述的HTTP慢速攻击的检测方法，其特征在于，所述第二特征数据包括所述网络流量数据中所有session会话的平均连接速率。

9.如权利要求3所述的HTTP慢速攻击的检测方法，其特征在于，所述第二特征数据包括所述第一比值。

10.一种HTTP慢速攻击的检测系统，用于实现如权利要求1所述的HTTP慢速攻击的检测方法，其特征在于，所述系统包括：

网络流量数据获取模块，服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据；所述网络流量数据包含有至少一第一数据包和至少一session会话；

第一特征数据提取模块，所述服务器或网关设备提取关于所述第一数据包的第一特征数据；

异常流量判断模块，所述服务器或网关设备基于所述第一特征数据，判断所述网络流量数据是否为异常流量；

检测分类模块，若是异常流量，服务器或网关设备获取关于所述session会话的第二特征数据，并将所述第二特征数据作为训练过的预设分类模型的输入，得到分类结果。