[发明专利]攻击检测方法、装置、电子设备及存储介质

说明书

本发明提供一种攻击检测方法、装置、电子设备及存储介质，考虑到传输层具有尽力传输的运行特性，在接收Http报文的过程中，对于包体中待检测的目标数据包，能够从包头和包体内其他数据包中确定作为其对比基准的目标对象，进而通过对比目标数据包和目标对象的数据量即可确定Http报文是否正在尽力传输，由此实现慢速Http拒绝服务攻击的检测。基于本发明，能够准确、快速的检测慢速Http拒绝服务攻击，提高检测的稳定性。

技术领域

本发明涉及软件技术领域，更具体地说，涉及一种攻击检测方法、装置、电子设备及存储介质。

背景技术

DDoS(Distributed Denial of Service，分布式拒绝服务攻击)已成为当今网络安全领域一个重要的威胁。DDoS攻击的发生通常没有任何先兆，并且攻击者只付出极少的代价就可以使目标服务器的资源耗尽。

作为行内权益系统，与对接的外部服务商之间通过Http方式进行信息交互，当Http链接被劫持时，则有可能遭受到Http Post泛洪攻击。而Slow Http Post(慢速Http拒绝服务攻击)就是其中的一种。

因此，如何有效检测Slow Http Post这一类型的攻击是亟需解决的问题。

发明内容

有鉴于此，为解决上述问题，本发明提供一种攻击检测方法、装置、电子设备及存储介质，技术方案如下：

本发明一方面提供一种攻击检测方法，所述方法包括：

接收传输中的Http报文，所述Http报文包括包头和包体，所述包体由多个数据包组成；

针对待检测的目标数据包，从所述包头和所述包体内的其他数据包中确定作为其对比基准的目标对象；

通过对比所述目标数据包和所述目标对象的数据量，检测所述Http报文是否存在慢速Http拒绝服务攻击。

优选的，所述方法还包括：

提取所述包头中目标字段的字段值，所述目标字段用于表征所述包体的整体数据量；

如果所述字段值所对应的整体数据量大于预设的数据量阈值，则执行所述针对待检测的目标数据包，从所述包头和所述包体内的其他数据包中确定作为其对比基准的目标对象，这一步骤。

优选的，所述目标数据包的类型为首次接收到的第一数据包；

相应的，所述从所述包头和所述包体内的其他数据包中确定作为其对比基准的目标对象，包括：

将所述包头作为所述第一数据包对应的目标对象；

相应的，所述通过对比所述目标数据包和所述目标对象的数据量，检测所述Http报文是否存在慢速Http拒绝服务攻击，包括：

如果所述第一数据包的数据量小于等于所述包头的数据量，则确定所述Http报文存在慢速Http拒绝服务攻击。

优选的，所述目标数据包的类型为非首次、且非尾次接收到的第二数据包；

相应的，所述从所述包头和所述包体内的其他数据包中确定作为其对比基准的目标对象，包括：

将首次接收到的第一数据包作为所述第二数据包对应的目标对象；

相应的，所述通过对比所述目标数据包和所述目标对象的数据量，检测所述Http报文是否存在慢速Http拒绝服务攻击，包括：

如果所述第二数据包的数据量大于第一数据包的数据量、或者所述第一数据包与所述第二数据包的数据量差量大于预设的数据量差量阈值，则确定所述Http报文存在慢速Http拒绝服务攻击。

本发明另一方面提供一种攻击检测装置，所述装置包括：