本發明提出了一種檢測慢速攻擊的方法及系統，包括：通過智能學習過程統計客戶端與服務端的數據交互情況，形成基礎特征，并存入哈希表；實時監控客戶端與服務端的數據交互情況，當發現異常交互時，獲取交互信息，并存入哈希表；根據異常交互的具體交互情況，判斷環境中是否存在慢速攻擊。本發明可在第一時間檢出慢速攻擊，并提供有效應對措施，有效降低由于攻擊而造成的損失。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種檢測慢速攻擊的方法及系統。

背景技術

慢速攻擊屬于DDoS攻擊下CC攻擊的一種，DDoS攻擊憑借其嚴重的后果以及簡單的操作，一直都是攻防中黑客所采用的重要攻擊方式。隨著DDoS攻擊的演變，信息安全的防御也在同步升級。發展到今天，DDoS攻擊已經多種多樣。CC攻擊的本名叫做HTTP-FLOOD，是一種專門針對于Web的應用層FLOOD攻擊，攻擊者操縱網絡上的肉雞，對目標Web服務器進行海量http request攻擊，直到服務器帶寬被打滿，造成了拒絕服務。由于偽造的http請求和客戶正常請求沒有區別，對于沒有流量清洗設備的用戶來說，這無疑就是噩夢。而慢速攻擊就是CC攻擊的一個變種。

慢速攻擊與通常的CC攻擊方式不同，其以反其道而行之的方式即以慢著稱，以至于攻擊目標悄無聲息，直到被攻擊的主機突然死去。表面看上去他與普通的通信交互沒太多區別，也因此導致維護人員很難發現這種攻擊。且目前缺少對慢速攻擊進行有效檢測的技術手段。

發明內容

針對上述現有技術中存在的問題，本發明提出了一種檢測慢速攻擊的方法及系統，具體發明內容包括：

一種檢測慢速攻擊的方法，包括：

通過智能學習過程統計客戶端與服務端的數據交互情況，形成基礎特征，并存入哈希表；

實時監控客戶端與服務端的數據交互情況，當發現異常交互時，獲取交互信息，并存入哈希表；

根據異常交互的具體交互情況，判斷環境中是否存在慢速攻擊。

進一步地，所述基礎特征包括：交互連接的平均時長、平均資源占用情況、平均發送字節數、平均每次交互發送的包數、平均每次交互請求的IP總數。

進一步地，所述異常交互，包括：請求連接時長大于交互連接的平均時長的規定倍數；交互過程中以固定形式發送數據，且時間間隔大于規定值；交互過程中占用資源大于平局資源占用的規定倍數。

進一步地，所述判斷環境中是否存在慢速攻擊，具體為：若某次交互中同時具備所有的所述異常交互情況，則判斷此次交互中對同一IP的請求次數是否大于規定閾值，若是則環境中存在慢速攻擊，否則繼續對交互情況進行監控。

進一步地，若環境中存在慢速攻擊，則從哈希表中取出對應交互信息，形成攻擊日志并上報，并發出報警信號。

進一步地，根據每次的監控判斷結果，動態更新哈希表數據，并根據攻擊行為匹配將攻擊進行分類。

一種檢測慢速攻擊的系統，包括：

統計模塊，用于通過智能學習過程統計客戶端與服務端的數據交互情況，形成基礎特征，并存入哈希表；

監控模塊，用于實時監控客戶端與服務端的數據交互情況，當發現異常交互時，獲取交互信息，并存入哈希表；

判定模塊，用于根據異常交互的具體交互情況，判斷環境中是否存在慢速攻擊。

進一步地，所述基礎特征包括：交互連接的平均時長、平均資源占用情況、平均發送字節數、平均每次交互發送的包數、平均每次交互請求的IP總數。

進一步地，所述異常交互，包括：請求連接時長大于交互連接的平均時長的規定倍數；交互過程中以固定形式發送數據，且時間間隔大于規定值；交互過程中占用資源大于平局資源占用的規定倍數。