一種檢測拒絕服務攻擊的方法及裝置制造方法及圖紙

本申請公開了一種檢測拒絕服務攻擊的方法及裝置，涉及通信領域，用于解決現有技術對拒絕服務攻擊的檢測不夠精確的技術問題。該方法包括：網關設備接收服務器發送的基于應用層協議的響應消息；所述響應消息用于對來自于客戶端的基于應用層協議的資源訪問請求消息進行響應，所述資源訪問請求消息攜帶所述服務器提供的資源的統一資源定位符URL；獲取所述響應消息的特征信息；根據所述特征信息確定所述服務器是否受到拒絕服務攻擊。該方法用于檢測拒絕服務攻擊。

【技術實現步驟摘要】
一種檢測拒絕服務攻擊的方法及裝置
本申請涉及通信領域，尤其涉及一種檢測拒絕服務攻擊的方法及裝置。
技術介紹
拒絕服務(英文全稱：DistributedDenialofService，簡稱：DOS)攻擊是指攻擊者向服務器發起大量的互聯網控制報文協議(英文全稱：InternetControlMessageProtocol，簡稱：ICMP)、同步(英文全稱：synchronous，簡稱：SYN)信號、用戶數據報協議(英文全稱：UserDatagramProtocol，簡稱：UDP)等連接請求，使得服務器忙于處理這些突增請求而無法正常響應合法用戶請求，從而造成服務器癱瘓的攻擊手段。更嚴重的，攻擊者可以非法侵入一些主機，將這些主機作為主控主機，攻擊者在主控主機上面安裝特定程序，使得主控主機可以接受攻擊者發來的特殊指令，并且可以把這些命令發送到其他受感染的主機上，也就是說，攻擊者可以利用主控主機做跳板，控制大量受感染而被控制的主機組成攻擊網絡來對服務器進行大規模的DOS攻擊。這種攻擊被稱為分布式拒絕服務(英文全稱：DistributedDenialofService，簡稱：DDOS)攻擊，其往往能把單個攻擊者的攻擊效果進行放大，從而對服務器造成重大影響，對網絡也會造成嚴重擁塞。現有技術通常是通過流量異常檢測技術或者發包頻率異常檢測技術，來確定服務器是否受到拒絕服務攻擊。具體地，設置服務器的流量閾值或者發包頻率閾值，當檢測到服務器當前流量大于流量閾值，或者檢測到當前的發包頻率大于頻率閾值時，則認為服務器收到了拒絕服務攻擊。但是，對于小流量下的拒絕服務攻擊，服務器的流量和發包頻率短期內變化不是特別大，因此，流量異常檢測技術和發包頻率異常檢測技術不能準確檢測出小流量下的拒絕服務攻擊，容易出現漏報。另外，對于一些合法用戶的正常請求，例如，代理請求或網絡地址轉換(英文全稱：NetworkAddressTranslation，簡稱NAT)服務請求，也有可能在短時間內流量和發包頻率很大，此時，流量異常檢測技術和發包頻率異常檢測技術容易出現誤報。由此可知，現有技術對拒絕服務攻擊的檢測不夠精確。
技術實現思路
本申請的目的在于提供一種檢測拒絕服務攻擊的方法及裝置，用于解決現有技術對拒絕服務攻擊的檢測不夠精確的技術問題。為了達到上述目的，本申請實施例采用如下的技術方案：第一方面，提供一種檢測拒絕服務攻擊的方法，包括：網關設備接收服務器發送的基于應用層協議的響應消息；所述響應消息用于對來自于客戶端的基于應用層協議的資源訪問請求消息進行響應，所述資源訪問請求消息攜帶所述服務器提供的資源的統一資源定位符URL；獲取所述響應消息的特征信息；根據所述特征信息確定所述服務器是否受到拒絕服務攻擊。采用上述方案，網關設備基于應用層服務質量來確定服務器是否受到拒絕服務攻擊，值得說明的是，所述服務器發送的基于應用層協議的響應消息的特征信息即可表明應用層的服務質量，例如，服務器對訪問同一URL的資源訪問請求消息的響應時長，或者，在預設時間段內，來自于所述服務器的請求失敗消息。由于服務器在受到拒絕服務攻擊時，其應用層的服務質量必然發生變化，并且服務器受到的拒絕服務攻擊與應用層的服務質量之間的相關性，強于服務器受到的拒絕服務攻擊與傳輸層或網絡層的流量之間的相關性。因此，相對于現有技術基于傳輸層的流量檢測來確定服務器是否受到拒絕服務攻擊，本申請基于應用層的服務質量來確定服務器是否受到拒絕服務攻擊提高了對拒絕服務攻擊進行檢測的精確度。在結合第一方面的第一種可能的實現方式中，所述特征信息為響應時長；所述獲取所述響應報文的特征信息，包括：確定在預設時間段內，所述服務器對訪問同一個URL的資源訪問請求消息進行響應的響應時長并記錄；所述根據所述特征信息確定所述服務器是否受到拒絕服務攻擊，包括：確定所述預設時間段內，響應時長超過第一時長閾值的訪問同一個URL的資源訪問請求消息的數目；若所述數目不小于第一閾值，則確定所述服務器受到拒絕服務攻擊。值的說明的是，服務器在受到拒絕服務攻擊時，服務器針對發起攻擊的客戶端訪問URL的資源訪問請求消息進行響應的響應時長必然會快速增加。采用上述方案，網關設備在預設時間段內，在確定響應時長超過第一時長閾值的訪問同一個URL的資源訪問請求消息的數目不小于第一閾值時，即可確定所述服務器受到拒絕服務攻擊。其中，所述第一時長閾值的初始設置是在確保服務器不會受到拒絕服務攻擊的場景下進行的，所述第一閾值可以根據實際應用預先進行設置。這樣，相比現有技術通過檢測服務器總的流量或者發包速率判斷是否受到拒絕服務攻擊，由于服務器受到拒絕服務攻擊時，服務器的總流量或者發包速率不一定快速增加，因此，上述方案提高了對拒絕服務攻擊進行檢測的精確度。結合第一方面或者第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述確定在預設時間段內，所述服務器對訪問同一個URL的資源訪問請求消息進行響應的響應時長，包括：在所述預設時間段內，針對訪問同一個URL的每條資源訪問請求消息，執行：記錄接收到所述資源訪問請求消息的第一時刻，并將所述資源訪問請求消息發送至所述服務器；記錄接收到所述服務器用于對所述資源訪問請求消息進行響應而發送的響應消息的第二時刻；根據所述第一時刻以及所述第二時刻，確定所述服務器對所述資源訪問請求消息的響應時長。上述方案提供了網關設備確定響應時長的一種實現方式，具體是由所述網關設備自身記錄所述第一時刻以及所述第二時刻并通過計算確定所述響應時長。可選地，在另一種實現方式中，服務器記錄接收到資源訪問請求消息的時刻，并在對所述資源訪問請求消息進行響應的響應消息中攜帶所述服務器接收到所述資源訪問請求消息的時刻，以及發送所述響應消息的時刻，這樣，網關設備在接收到所述響應消息后，也可以根據所述服務器接收到所述資源訪問請求消息的時刻，以及發送所述響應消息的時刻計算得到響應時長。結合第一方面至第一方面的第二種可能的實現方式中的任一種可能的實現方式，在第一方面的第三種可能的實現方式中，所述預設時間段包括順序連接且互不重合的至少兩個子時間段；所述確定在預設時間段內，服務器對訪問同一個URL的每條資源訪問請求消息進行響應的響應時長并記錄，還包括：針對訪問同一個URL的每條資源訪問請求消息，所述網關設備記錄接收到所述資源訪問請求消息的時刻與所述服務器對所述資源訪問請求消息進行響應的響應時長的對應關系；所述確定所述預設時間段內，響應時長超過第一時長閾值的訪問同一個URL的資源訪問請求消息的數目，包括：針對所述預設時間段中包括的每個子時間段，執行：從預先存儲的子時間段與第二時長閾值的對應關系中，查找到所述子時間段對應的第二時長閾值；根據記錄的接收到資源訪問請求消息的時刻與響應時長的對應關系，確定在所述子時間段內接收到的所有資源訪問請求消息中，響應時長超過所述第二時長閾值的訪問同一個URL的資源訪問請求消息的數目；將響應時長超過各子時間段對應的第二時長閾值的訪問同一個URL的資源訪問請求消息的數目進行求和，將求和的結果作為所述預設時間段內響應時長超過所述第一時長閾值的訪問同一個URL的資源訪問請求消息的數目。上述方案表明了不同的子時間段對應的第二時長本文檔來自技高網...

【技術保護點】
一種檢測拒絕服務攻擊的方法，其特征在于，包括：網關設備接收服務器發送的基于應用層協議的響應消息；所述響應消息用于對來自于客戶端的基于應用層協議的資源訪問請求消息進行響應，所述資源訪問請求消息攜帶所述服務器提供的資源的統一資源定位符URL；獲取所述響應消息的特征信息；根據所述特征信息確定所述服務器是否受到拒絕服務攻擊。

【技術特征摘要】
1.一種檢測拒絕服務攻擊的方法，其特征在于，包括：網關設備接收服務器發送的基于應用層協議的響應消息；所述響應消息用于對來自于客戶端的基于應用層協議的資源訪問請求消息進行響應，所述資源訪問請求消息攜帶所述服務器提供的資源的統一資源定位符URL；獲取所述響應消息的特征信息；根據所述特征信息確定所述服務器是否受到拒絕服務攻擊。2.根據權利要求1所述的方法，其特征在于，所述特征信息為響應時長；所述獲取所述響應報文的特征信息，包括：確定在預設時間段內，所述服務器對訪問同一個URL的資源訪問請求消息進行響應的響應時長并記錄；所述根據所述特征信息確定所述服務器是否受到拒絕服務攻擊，包括：確定所述預設時間段內，響應時長超過第一時長閾值的訪問同一個URL的資源訪問請求消息的數目；若所述數目不小于第一閾值，則確定所述服務器受到拒絕服務攻擊。3.根據權利要求2所述的方法，其特征在于，所述確定在預設時間段內，所述服務器對訪問同一個URL的資源訪問請求消息進行響應的響應時長，包括：在所述預設時間段內，針對訪問同一個URL的每條資源訪問請求消息，執行：記錄接收到所述資源訪問請求消息的第一時刻，并將所述資源訪問請求消息發送至所述服務器；記錄接收到所述服務器用于對所述資源訪問請求消息進行響應而發送的響應消息的第二時刻；根據所述第一時刻以及所述第二時刻，確定所述服務器對所述資源訪問請求消息的響應時長。4.根據權利要求2或3所述的方法，其特征在于，所述預設時間段包括順序連接且互不重合的至少兩個子時間段；所述確定在預設時間段內，服務器對訪問同一個URL的每條資源訪問請求消息進行響應的響應時長并記錄，還包括：針對訪問同一個URL的每條資源訪問請求消息，所述網關設備記錄接收到所述資源訪問請求消息的時刻與所述服務器對所述資源訪問請求消息進行響應的響應時長的對應關系；所述確定所述預設時間段內，響應時長超過第一時長閾值的訪問同一個URL的資源訪問請求消息的數目，包括：針對所述預設時間段中包括的每個子時間段，執行：從預先存儲的子時間段與第二時長閾值的對應關系中，查找到所述子時間段對應的第二時長閾值；根據記錄的接收到資源訪問請求消息的時刻與響應時長的對應關系，確定在所述子時間段內接收到的所有資源訪問請求消息中，響應時長超過所述第二時長閾值的訪問同一個URL的資源訪問請求消息的數目；將響應時長超過各子時間段對應的第二時長閾值的訪問同一個URL的資源訪問請求消息的數目進行求和，將求和的結果作為所述預設時間段內響應時長超過所述第一時長閾值的訪問同一個URL的資源訪問請求消息的數目。5.根據權利要求4所述的方法，其特征在于，還包括：若所述數目小于所述第一閾值，針對所述預設時間段中包括的每個子時間段，執行：根據記錄的接收到資源訪問請求消息的時刻與響應時長的對應關系，計算所述子時間段內接收到的所有資源訪問請求消息的響應時長的平均值；根據所述平均值調整所述子時間段對應的第二時長閾值。6.根據權利要求1所述的方法，其特征在于，所述響應消息是來自于所述服務器的請求失敗消息，所述特征信息為預設時間段內響應消息的數目；所述獲取所述響應消息的特征信息，包括：在所述預設時間段內，計算接收到來自于所述服務器的請求失敗消息的數目；所述根據所述特...

【專利技術屬性】
技術研發人員：蔣武，
申請(專利權)人：華為技術有限公司，
類型：發明
國別省市：廣東,44