本發明提供一種基于網絡元數據存儲的SHDoS攻擊檢測方法、系統、存儲介質和電子設備，涉及網絡安全檢測領域。本發明包括獲取單位時間內網絡的旁路流量；在所述旁路流量上采用深度報文分析方法進行數據采集、分析，獲取并存儲TCP協議的網絡元數據特征值；過濾所述網絡元數據特征值；根據過濾后的網絡元數據特征值，采用預設的攻擊檢測模型檢測該單位時間內是否發生SHDoS攻擊，所述攻擊檢測模型基于SHDoS攻擊的行為特征構建。只需要解析TCP流量即可完成攻擊檢測，因為不需要解析應用層流量，有效地提高了算法檢測效率，可以做到實時檢測，所以該檢測方法可普遍適用于準確的、第一級的檢測SHDoS攻擊。

技術領域

本發明涉及網絡安全檢測領域，具體涉及一種基于網絡元數據存儲的SHDoS攻擊檢測方法、系統、存儲介質和電子設備。

背景技術

拒絕服務攻擊的根本目的是使目標網絡或主機無法及時響應服務請求，從而導致網絡或者目標計算機無法及時提供正常的服務。慢速HTTP拒絕服務攻擊(Slow HTTPDenial of Service,SHDoS)是一種應用層的DDoS攻擊手段，應用層SHDoS攻擊由于其攻擊代價小、發送的請求為正常合法可以穿過防火墻、難以被檢測等特征，逐漸成為黑客們更為青睞的攻擊工具之一。即使是單一攻擊源的SHDoS攻擊就已經能對普通網站造成拒絕服務，若攻擊者成功部署分布式SHDoS攻擊，造成的損失將難以估計。

SHDoS攻擊的原理是利用較少的攻擊成本長時間占用服務器資源造成服務器拒絕服務。與常見的DoS攻擊偽造大量虛假請求不同，SHDoS攻擊所發送的攻擊請求都是合法請求，傳統的數據包標記檢測等方法很難將其與正常的用戶請求區分開來。慢速HTTP DDoS攻擊分為3種類型：Slow Header(又稱Slowloris)攻擊、Slow HTTP POST攻擊以及Slow Read攻擊；其原理都是通過構造并發送能夠持續消耗資源池中連接資源的合法HTTP請求造成服務器資源耗盡而拒絕服務。

目前SHDoS攻擊檢測主要存在兩個方面的問題：其一是由于SHDoS攻擊所發送的攻擊請求都是合法請求，傳統的DoS檢測方法難以檢測SHDoS攻擊；其二是已有的SHDoS攻擊檢測方法普遍存在檢測準確度不高，要求進行HTTP層的協議分析，因而算法復雜、計算量大，實時性弱等缺點。

發明內容

(一)解決的技術問題

針對現有技術的不足，本發明提供了一種基于網絡元數據存儲的SHDoS攻擊檢測方法、系統、存儲介質和電子設備，解決了現有SHDoS攻擊檢測方法準確率低的技術問題。

(二)技術方案

為實現以上目的，本發明通過以下技術方案予以實現：

一種基于網絡元數據存儲的SHDoS攻擊檢測方法，包括：

S1、獲取單位時間內網絡的旁路流量；

S2、在所述旁路流量上采用深度報文分析方法進行數據采集、分析，獲取并存儲TCP協議的網絡元數據特征值；

S3、過濾所述網絡元數據特征值；

S4、根據過濾后的網絡元數據特征值，采用預設的攻擊檢測模型檢測該單位時間內是否發生SHDoS攻擊，所述攻擊檢測模型基于SHDoS攻擊的行為特征構建。

優選的，所述S1中采用端口映射技術在網絡設備上實時獲取所述旁路流量。

優選的，所述S2中將所述網絡元數據特征值存儲在區塊鏈中。

優選的，所述S3中采用大數據分析方法過濾所述網絡元數據特征值。

優選的，所述S4中的所述SHDoS攻擊的行為特征具體包括：

(1)相同IP地址請求量很大，且其并發連接數也表現異常；