(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111540537.3 (22)申请日 2021.12.16 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 田云帆　汪来富　陈茂飞　刘东鑫　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　阚梓瑄 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 67/14(2022.01) (54)发明名称 HTTP慢速攻击的检测方法、 系统、 设备及存 储介质 (57)摘要 本发明提供了一种HTTP慢速攻击的检测方 法、 系统、 设备及存储介质， 所述方法包括步骤： 服务器或网关设备获取与客户端之间的一预设 时间窗口的网络流量数据； 所述网络流量数据包 含有至少一第一数据包和至少一session会话； 所述服务器或网关设备提取关于所述第一数据 包的第一特征数据； 所述服务器或 网关设备基于 所述第一特征数据， 判断所述网络流量数据是否 为异常流量； 若是异常流量， 服务器或网关设备 获取关于所述session会话的第二特征数据， 并 将所述第二特征数据作为训练过的预设分类模 型的输入， 得到分类结果； 本申请解决了现有检 测方法耗时长， 误报率高的问题， 提高了HTTP慢 速攻击的检测效率以及准确率。 权利要求书2页 说明书7页 附图4页 CN 114221813 A 2022.03.22 CN 114221813 A 1.一种HT TP慢速攻击的检测方法， 其特 征在于， 包括以下步骤： 服务器或网关设备获取与客户端之间的一预设时间窗口的网络流量数据； 所述网络流 量数据包含有至少一第一数据包和 至少一session会话； 所述网关设备分别 连接服务器以 及客户端； 所述服务器或网关 设备提取关于所述第一数据包的第一特 征数据； 所述服务器或网关设备基于所述第 一特征数据， 判断所述网络流量数据 是否为异常流 量； 若是异常流量， 服务器或网关设备获取关于所述session会话的第二特征数据， 并将所 述第二特 征数据作为训练过的预设 分类模型的输入， 得到分类结果。 2.如权利要求1所述的HTTP慢速攻击的检测方法， 其特征在于， 所述第 一特征数据包含 所述第一数据包的HTTP报文中的正文内容长度、 有效载荷长度、 IP地址字段的数量和协议 类型字段的数量。 3.如权利要求2所述的HT TP慢速攻击的检测方法， 其特 征在于， 所述方法包括： 所述服务器或网关设备基于第 一比值和第 二比值， 判断所述网络流量数据是否为异常 流量； 所述第一比值为HTTP报文中的正文内容长度和有效载荷长度的比值； 所述第二比值 为IP地址字段的数量和协议类型字段的数量的比值； 当所述第一比值大于第一预设阈值， 或者所述第二比值大于第二预设阈值时， 判定所 述网络流 量数据为异常流 量。 4.如权利要求1所述的HTTP慢速攻击的检测方法， 其特征在于， 所述session会话中包 含有多个第二数据包； 所述第二特征数据包括关联所述session会话的第三比值， 所述第三比值为所述 session会话中所有第二数据包对应的第二平均延时， 与所述预设时间窗口内所有第一数 据包对应的第一平均延时之间的比值。 5.如权利要求4所述的HTTP慢速攻击的检测方法， 其特征在于， 所述第 一平均延时的计 算公式为： 其中， T1表示第一平均延时， k表示所述预设时间窗 口内第一数据包的数量， ti所述预设 时间窗口内第i个所述第一数据包的到 达时间。 6.如权利要求1所述的HTTP慢速攻击的检测方法， 其特征在于， 所述session会话中包 含有多个第二数据包； 所述第二特征数据包括关联所述session会话的第四比值， 所述第四比值为所述 session会话中所有第二数据包对应的第二总长度， 与所述预设时间窗口内所有第一数据 包对应的第一总长度之间的比值。 7.如权利要求1所述的HTTP慢速攻击的检测方法， 其特征在于， 所述第 二特征数据包括 所述网络流 量数据中所有ses sion会话的持续时间的和。 8.如权利要求1所述的HTTP慢速攻击的检测方法， 其特征在于， 所述第 二特征数据包括 所述网络流 量数据中所有ses sion会话的平均连接 速率。权　利　要　求　书 1/2 页 2 CN 114221813 A 29.如权利要求3所述的HTTP慢速攻击的检测方法， 其特征在于， 所述第 二特征数据包括 所述第一比值。 10.一种HTTP慢速攻击的检测系统， 用于实现如权利要求1所述的HTTP慢速攻击的检测 方法， 其特 征在于， 所述系统包括： 网络流量数据获取模块， 服务器或网关设备获取与客户端之间的一预设时间窗口的网 络流量数据； 所述网络流 量数据包 含有至少一第一数据包和至少一ses sion会话； 第一特征数据提取模块， 所述服务器或网关设备提取关于所述第 一数据包的第 一特征 数据； 异常流量判断模块， 所述服务器或网关设备基于所述第一特征数据， 判断所述网络流 量数据是否为异常流 量； 检测分类模块， 若是异常流量， 服务器或网关设备获取关于所述session会话的第二特 征数据， 并将所述第二特 征数据作为训练过的预设 分类模型的输入， 得到分类结果。 11.一种HT TP慢速攻击的检测设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行程序； 其中， 所述处理器配置为经由执行所述可执行程序来执行权利要求1至9中任意一项所 述HTTP慢速攻击的检测方法的步骤。 12.一种计算机可读存储介质， 用于存储程序， 其特征在于， 所述程序被处理器执行时 实现权利要求1至9中任意 一项所述HT TP慢速攻击的检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114221813 A 3