一种防护慢速DDOS攻击的方法、设备及介质

本发明涉及ddos攻击防护技术领域，尤其涉及一种防护慢速ddos攻击的方法、设备及介质。

背景技术：

对任何一个开放了http(一个简单的请求-响应协议，它通常运行在tcp之上)访问的web应用服务器，慢速ddos攻击(distributeddenialofservice，分布式拒绝服务攻击)方通过ip先建立一个tcp连接，然后以非常低的发包速度向web服务器发送较小的数据，即每个请求报文均很小，例如1-5s内只发一个字节，维持住这种tcp连接一直不断开，如果慢速ddos攻击方的一个客户端以单线程方式持续不断的建立大量这样无用的tcp连接，那么服务器上可用的连接将一点一点被占满，导致服务器资源被耗尽，无法对外提供正常的服务，从而导致拒绝服务，若通过“肉机群”(已被攻击者控制的多台计算机)进行分布式拒绝服务攻击(ddos,distributeddenialofservice)，则很快就会对目标web服务器造成致命的攻击；上述攻击过程即为慢速ddos攻击。目前对于慢速ddos攻击的防护只是通过在服务器端设置单一的请求报文接收超时时长阈值，当接收请求包时长超过阈值之后强制断开或者封禁ip，这种通过单一的阈值辨认慢速攻击的特征，触发单一的时长阈值时就直接判断为慢速攻击，很容易出现漏报或者误报，从而导致正常业务ip被封禁，会造成客户投诉和业务故障。

技术实现要素：

为了克服现有技术的不足，本发明的目的之一在于提供一种防护慢速ddos攻击的方法，其能解决目前通过单一的时间阈值辨认慢速攻击的特征，触发单一的时长阈值时就直接判断为慢速攻击，很容易出现漏报或者误报，从而导致正常业务ip被封禁，会造成客户投诉和业务故障的问题。

本发明的目的之二在于提供一种电子设备，其能解决目前通过单一的时间阈值辨认慢速攻击的特征，触发单一的时长阈值时就直接判断为慢速攻击，很容易出现漏报或者误报，从而导致正常业务ip被封禁，会造成客户投诉和业务故障的问题。

本发明的目的之三在于提供一种计算机可读存储介质，其能解决目前通过单一的时间阈值辨认慢速攻击的特征，触发单一的时长阈值时就直接判断为慢速攻击，很容易出现漏报或者误报，从而导致正常业务ip被封禁，会造成客户投诉和业务故障的问题。

本发明的目的之一采用以下技术方案实现：

一种防护慢速ddos攻击的方法，包括以下步骤：

s1、生成初始超时时长阈值和预设报文阈值，通过预设机器学习算法对已存储的样本网络请求流量数据进行学习，得到合理时长以及合理网络速率，将合理时长作为初始超时时长阈值，并将合理时长与合理网络速率的乘积作为预设报文阈值；

s2、生成最大超时时长阈值，通过预设机器学习算法对样本慢速ddos攻击数据进行学习，得到最大超时时长阈值；

s3、接收请求报文，接收目标ip当前时刻发送的当前目标请求报文，并记录接收完整的当前目标请求报文所用的当前接收时间；

s4、判断超时，判断当前接收时间是否大于预设超时时长阈值，若否，则保持目标ip的链接，若是，则进入步骤s5；

s5、判断报文大小，判断完整的当前目标请求报文是否大于或等于预设报文阈值，若是，则进入步骤s6，若否，则目标ip对应的当前目标请求报文发送超时，断开目标ip的链接，并更新目标ip对应的超时次数；

s6、判断超时时长阈值，对预设超时时长阈值进行累加处理，并判断经过累加处理后的预设超时时长阈值是否大于最大超时时长阈值，若是，则进入步骤s7，若否，则返回步骤s3；

s7、判断超时次数，判断目标ip对应的超时次数是否大于或等于预设超时次数阈值，若是，则封禁目标ip的链接，若否，则断开目标ip的链接，并更新目标ip对应的超时次数。

本发明的目的之二采用以下技术方案实现：

一种电子设备，包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时实现如本发明所述的一种防护慢速ddos攻击的方法的步骤。

本发明的目的之三采用以下技术方案实现：

一种计算机可读存储介质，计算机可读存储介质上存储计算机程序，计算机程序被处理器执行时实现如本发明所述的一种防护慢速ddos攻击的方法的步骤。

本发明与现有技术相比，具有如下优点和有益效果：

本发明一种防护慢速ddos攻击的方法，通过判断当前接收时间是否大于预设超时时长阈值，若否，则保持目标ip的链接，若是，则执行判断报文大小；再判断完整的当前目标请求报文是否大于或等于预设报文阈值，若是，则执行判断超时次数，若否，则目标ip对应的当前目标请求报文发送超时，断开目标ip的链接，并更新目标ip对应的超时次数；并判断目标ip对应的超时次数是否大于或等于预设超时次数阈值，若是，则封禁目标ip的链接，若否，则断开目标ip的链接，并更新目标ip对应的超时次数；根据目标ip的请求报文的时长以及当前请求报文的大小等多个参量来判断是否收到来自目标ip的慢速ddos攻击，因此不会仅仅根据单一的参量超过阈值时来封禁目标ip，避免了因为出现漏报或者误报，从而导致正常业务ip被封禁，会造成客户投诉和业务故障的问题，提高了慢速ddos攻击防护的精准率。

附图说明

图1是本发明方法的流程图。

具体实施方式

下面，结合附图以及具体实施方式，对本发明做进一步描述，需要说明的是，在不相冲突的前提下，以下描述的各实施例之间或各技术特征之间可以任意组合形成新的实施例。

如图1所示，本实施例中的一种防护慢速ddos攻击的方法，具体包括以下步骤：

s1、生成初始超时时长阈值和预设报文阈值，通过预设机器学习算法对已存储的样本网络请求流量数据进行学习，得到合理时长以及合理网络速率，将合理时长作为初始超时时长阈值，并将合理时长与合理网络速率的乘积作为预设报文阈值。

s2、生成最大超时时长阈值，通过预设机器学习算法对样本慢速ddos攻击数据进行学习，得到最大超时时长阈值。

在本实施例中，样本慢速ddos攻击数据包括慢速ddos攻击数据和模拟慢速ddos攻击数据。

s3、接收请求报文，接收目标ip当前时刻发送的当前目标请求报文，并记录接收完整的当前目标请求报文所用的当前接收时间。

在本实施例中，若当前时刻为初始接收目标ip的请求报文时，则此时目标ip对应的超时次数为零；

在本实施例中，目标ip与服务器均是通过tcp协议链接，并传输目标请求报文。

s4、判断超时，判断当前接收时间是否大于预设超时时长阈值，若否，则保持目标ip的链接，若是，则进入步骤s5。

在本实施例中，若当前时刻为初始时刻时，则预设超时时长阈值为初始超时时长阈值。

s5、判断报文大小，判断完整的当前目标请求报文是否大于或等于预设报文阈值，若是，则进入步骤s6，若否，则目标ip对应的当前目标请求报文发送超时，断开目标ip的链接，并更新目标ip对应的超时次数。

在本实施例中，更新目标ip对应的超时次数具体为将目标ip对应的超时次数在原数值的基础上增加1；以下举例说明：令当前时刻目标ip对应的超时次数为1，则更新后的超时次数为2。

s6、判断超时时长阈值，对预设超时时长阈值进行累加处理，并判断经过累加处理后的预设超时时长阈值是否大于最大超时时长阈值，若是，则进入步骤s7，若否，则返回步骤s3。

在本实施例中，对预设超时时长阈值进行累加处理具体为：将预设时间步长作为累加量对预设超时时长阈值进行累加。

在本实施例中，预设时间步长实质为超时时长阈值的累加间隔值，具体值根据实际的超时时长范围以及目标ip发送的请求报文的数量共同决定，当超时时长范围较小或请求报文的数量较小时，预设时间步长的数值就相对较小，反之，预设时间步长的数值相对较大。

s7、判断超时次数，判断目标ip对应的超时次数是否大于或等于预设超时次数阈值，若是，则封禁目标ip的链接，若否，则断开目标ip的链接，并更新目标ip对应的超时次数。

在本实施例中，步骤s7中的更新目标ip的对应的超时次数与步骤s5中更新目标ip对应的超时次数更新方法一致，均是统计目标ip的超时次数的数值。

本发明实施例还提供一种电子设备，包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时实现如本发明所述的一种防护慢速ddos攻击的方法的步骤。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储计算机程序，计算机程序被处理器执行时实现如本发明所述的一种防护慢速ddos攻击的方法的步骤。

本发明实施例中的一种防护慢速ddos攻击的方法，通过判断所述当前接收时间是否大于预设超时时长阈值，若否，则保持目标ip的链接，若是，则执行判断报文大小；再判断完整的所述当前目标请求报文是否大于或等于预设报文阈值，若是，则执行判断超时次数，若否，则目标ip对应的当前目标请求报文发送超时，断开目标ip的链接，并更新目标ip对应的超时次数；并判断目标ip对应的超时次数是否大于或等于预设超时次数阈值，若是，则封禁目标ip的链接，若否，则断开目标ip的链接，并更新目标ip对应的超时次数；根据目标ip的请求报文的时长以及当前请求报文的大小等多个参量来判断是否收到来自目标ip的慢速ddos攻击，因此不会仅仅根据单一的参量超过阈值时来封禁目标ip，避免了因为出现漏报或者误报，从而导致正常业务ip被封禁，会造成客户投诉和业务故障的问题，提高了慢速ddos攻击防护的精准率。在本实施例中通过对预设超时时长阈值进行累加处理，相当于设定了一个弹性的冗余机制，并反复执行统一目标ip的慢速ddos判断过程，使慢速ddos的防护过程变为动态的防护过程，以防止由于网络短时间不稳定或个别极端请求现象而导致误防，实现更高识别度、更高准确度的辨识慢速攻击，从而整体有效的提高防护效率，进一步降低漏防和误防的概率，避免了因设定单一的静态防护参量阈值造成误防现象的发生。

以上，仅为本发明的较佳实施例而已，并非对本发明作任何形式上的限制；凡本行业的普通技术人员均可按说明书附图所示和以上而顺畅地实施本发明；但是,凡熟悉本专业的技术人员在不脱离本发明技术方案范围内，利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化，均为本发明的等效实施例；同时,凡依据本发明的实质技术对以上实施例所作的任何等同变化的更动、修饰与演变等，均仍属于本发明的技术方案的保护范围之内。