本申請提供了一種流量攻擊檢測方法及裝置，應用于檢測設備中，所述方法，包括：獲取本次的待檢測流量；計算所述待檢測流量的流量攻擊信息；判斷所述流量攻擊信息是否符合脈沖波攻擊條件；若符合所述脈沖波攻擊條件，則確認所述待檢測流量為脈沖波攻擊流量。采用上述方法，可以準確地檢測并識別出脈沖波攻擊流量。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種流量攻擊檢測方法及裝置。

背景技術

傳統的分布式拒絕服務攻擊(Distributed denial of service attack，DDoS)攻擊流量通常是逐步攀升的，近幾年上百G的攻擊越來越多。針對現網中此類攻擊，已有專業的抗DDoS攻擊設備及云清洗。尤其在2017年一種“脈沖波”DDoS攻擊的出現，黑客控制若干傀儡機(肉雞)僅需數秒便達到峰值，且攻擊模式高度重復，由每十分鐘一次或多次脈沖組成，持續數小時或者數天，峰值可達350Gbps。

現有的防攻擊方法大致為下述過程：網絡核心設備將流量復制或采樣至檢測設備處進行DDoS攻擊檢測，檢測設備將攻擊信息上報至管理中心，管理中心向清洗設備下發防御策略和引流規則。網絡核心設備將流量牽引至清洗設備(也可稱為抗DDoS攻擊設備)進行清洗操作，由清洗設備丟棄攻擊流量，并將正常流量回注至網絡核心設備，然后網絡核心設備將正常流量轉發至目的地。也就是說，上述方法是通過引流回注的方式，在攻擊開始后，將攻擊流量引流給清洗設備處理，當檢測到攻擊結束后，刪除引流規則。但是該方法對于脈沖波攻擊不適用，當遇到脈沖波攻擊時，由于單次攻擊達到波峰的速度很快，若采用上述方法則每次攻擊都需要進行引流回注，而引流回注一般需要3到10秒左右，這樣會導致無法及時響應攻擊事件，導致受保護主機被攻擊成功。

因此，如何檢測脈沖波攻擊流量是值得考慮的技術問題之一。

發明內容

有鑒于此，本申請提供一種攻擊檢測方法及裝置，用以準確地檢測脈沖波攻擊流量。

具體地，本申請是通過如下技術方案實現的：

根據本申請的第一方面，提供一種流量攻擊檢測方法，應用于檢測設備中，所述方法，包括：

獲取本次的待檢測流量；

計算所述待檢測流量的流量攻擊信息；

判斷所述流量攻擊信息是否符合脈沖波攻擊條件；

若符合所述脈沖波攻擊條件，則確認所述待檢測流量為脈沖波攻擊流量。

可選地，本申請中的流量攻擊信息至少包括以下一項：單次攻擊流量峰值、單次攻擊持續時長和距離上一次的攻擊時間間隔。

可選地，判斷所述流量攻擊信息是否符合脈沖波攻擊條件，包括：

計算本次的單次攻擊持續時長與上一次的單次攻擊持續時長之間的時長差；

計算本次的攻擊時間間隔與上一次的攻擊時間間隔之間的時間間隔差；

判斷所述單次攻擊流量峰值是否超過設定的最大攻擊流量峰值；

判斷所述時長差是否在第一設定范圍內；

判斷所述時間間隔差是否在第二設定范圍內；

若各個判斷結果均為是，則確認所述攻擊流量信息符合脈沖波攻擊條件。

可選地，判斷所述流量攻擊信息是否符合脈沖波攻擊條件，包括：

判斷所述單次攻擊流量峰值是否超過設定的單次攻擊流量峰值的最小值；

判斷所述單次攻擊持續時長是否在單次攻擊時長范圍內；

判斷所述攻擊時間間隔是否在攻擊時間間隔范圍內；