[发明专利]HTTP慢速攻击的检测方法、系统、设备及存储介质

说明书

本发明提供了一种HTTP慢速攻击的检测方法、系统、设备及存储介质，所述方法包括步骤：服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据；所述网络流量数据包含有至少一第一数据包和至少一session会话；所述服务器或网关设备提取关于所述第一数据包的第一特征数据；所述服务器或网关设备基于所述第一特征数据，判断所述网络流量数据是否为异常流量；若是异常流量，服务器或网关设备获取关于所述session会话的第二特征数据，并将所述第二特征数据作为训练过的预设分类模型的输入，得到分类结果；本申请解决了现有检测方法耗时长，误报率高的问题，提高了HTTP慢速攻击的检测效率以及准确率。

技术领域

本发明涉及网络安全技术领域，具体地说，涉及一种HTTP慢速攻击的检测方法、系统、设备及存储介质。

背景技术

HTTP慢速攻击也叫slow http attack，是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话，因此如果中间件对会话超时时间设置不合理，并且HTTP在发送请求的时候采用慢速发HTTP请求，就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。

相比于传统的DoS攻击，HTTP慢速攻击消耗带宽小，攻击效率高，攻击成本低，隐蔽性强，可以绕过大多数传统的DoS检测系统。一台普通计算机可以以单线程的方式建立的Socket连接在3000个以上，HTTP协议在收到request前无法对请求内容作校验，攻击流量与真实数据流特征类似，很难防范。所以，如何有效快速识别HTTP慢速攻击，是面前的一个问题。

发明内容

针对现有技术中的问题，本发明的目的在于提供一种HTTP慢速攻击的检测方法、系统、设备及存储介质，解决现有检测方法耗时长，误报率高的问题。

为实现上述目的，本发明提供了一种HTTP慢速攻击的检测方法，所述方法包括以下步骤：

服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据；所述网络流量数据包含有至少一第一数据包和至少一session会话；所述网关设备分别连接服务器以及客户端；

所述服务器或网关设备提取关于所述第一数据包的第一特征数据；

所述服务器或网关设备基于所述第一特征数据，判断所述网络流量数据是否为异常流量；

若是异常流量，服务器或网关设备获取关于所述session会话的第二特征数据，并将所述第二特征数据作为训练过的预设分类模型的输入，得到分类结果。

可选地，所述第一特征数据包含所述第一数据包的HTTP报文中的正文内容长度、有效载荷长度、IP地址字段的数量和协议类型字段的数量。

可选地，所述方法包括：

所述服务器或网关设备基于第一比值和第二比值，判断所述网络流量数据是否为异常流量；所述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值；所述第二比值为IP地址字段的数量和协议类型字段的数量的比值；

当所述第一比值大于第一预设阈值，或者所述第二比值大于第二预设阈值时，判定所述网络流量数据为异常流量。

可选地，所述session会话中包含有多个第二数据包；

所述第二特征数据包括关联所述session会话的第三比值，所述第三比值为所述session会话中所有第二数据包对应的第二平均延时，与所述预设时间窗口内所有第一数据包对应的第一平均延时之间的比值。

可选地，所述第一平均延时的计算公式为：

其中，T₁表示第一平均延时，k表示所述预设时间窗口内第一数据包的数量，t_i所述预设时间窗口内第i个所述第一数据包的到达时间。