对不完整会话攻击进行检测的方法和装置

摘要

本发明实施例提供了一种对不完整会话攻击进行检测的方法、装置和系统。该方法包括：获取在一个不完整会话攻击的检测周期内，用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量，根据所述用户主动发起的会话初始请求数量和收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击。通过本发明实施例，可以判断出该已注册的用户或特定的用户接入网段中的未注册用户是否发起了不完整会话攻击，从而有效地对已注册的用户或特定的用户接入网段中的未注册用户发起的不完整会话攻击进行防护。

主权项

一种对不完整会话攻击进行检测的方法，其特征在于，包括：获取在一个不完整会话攻击的检测周期内，用户发起的会话初始请求数量和收到的成功建立会话的响应数量；根据所述用户发起的会话初始请求数量和收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击；所述的根据所述用户发起的会话初始请求数量和所述用户收到的成功建立会话的响应数量，以及预定的阈值，检测所述用户是否发起了不完整会话攻击包括：计算所述用户发起的会话初始请求数量session_setup_initial_request[n]和收到的成功建立会话的响应数量session_setup_final_response[n]之间的差值Δ[n]，所述Δ[n]的计算方法如下：Δ[n]＝session_setup_initial_request[n]‑session_setup_final_response[n]n＝0,1,2...对所述Δ[n]进行平滑处理得到X[n]，所述X[n]的计算方法如下：smoothed_fn[0]＝0;smoothed_fn[n]＝α*smoothed_fn[n‑1]+(1‑α)*session_setup_final_response[n]n＝1,2...nX[n]＝Δ[n]/smoothed_fn[n]所述α∈[0..1]，为预定义常量；计算X2[n]＝X[n]‑max_avg_X，其中max_avg_X为网络不含攻击情况下的X[n]期望的最大值，设置判定序列Y[n]，所述Y[n]的计算方法如下：Y[0]=0，当Y[n‑1]+X2[n]>0时，Y[n]＝Y[n‑1]+X2[n]；当Y[n‑1]+X2[n]<=0时，则Y[n]＝0；判断所述Y[n]是否大于预定的第二阈值，如果是，则判断所述用户发起了不完整会话攻击；否则，则判断所述用户没有发起不完整会话攻击。