CN101437030B - 一种防止服务器被攻击的方法、检测装置及监控设备 - Google Patents
一种防止服务器被攻击的方法、检测装置及监控设备 Download PDFInfo
- Publication number
- CN101437030B CN101437030B CN2008102177782A CN200810217778A CN101437030B CN 101437030 B CN101437030 B CN 101437030B CN 2008102177782 A CN2008102177782 A CN 2008102177782A CN 200810217778 A CN200810217778 A CN 200810217778A CN 101437030 B CN101437030 B CN 101437030B
- Authority
- CN
- China
- Prior art keywords
- url
- normalization
- time period
- visited
- handled
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明实施方式公开了一种防止服务器被攻击的方法,包括:确定发送至服务器的请求访问的数据包中的目的URL为需要验证的URL;将数据包中的URL进行归一化处理,并统计数据包到达时间相对应的时段的归一化处理后的URL被访问的次数;判断时段的所述归一化处理后的URL被访问的次数是否超过时段的所述归一化处理后的URL被访问的门限值;若超过,则阻断数据包的访问请求。本发明实施方式还提供一种监控设备及检测装置,对被访问的URL的连接次数进行限制,无论对被访问的URL的连接是否来自于匿名代理或傀儡主机或正常代理主机,当次数超过某一时段的门限值,认为服务器受到攻击,可达到防御来自于匿名代理或傀儡主机的攻击,并不会阻断正常的代理主机的访问。
Description
技术领域
本发明实施例涉及通信技术领域,特别是涉及一种防止服务器被攻击的方法、检测装置及监控设备。
背景技术
随着互联网的快速发展,网络的安全保障越来越受到关注。在一般情况下,网络的安全问题主要涉及如何防止网络中的服务器被攻击,而一般的服务器被攻击,主要表现为通过服务请求占用服务器过多的服务资源,导致服务器超载,从而无法响应其它的请求,最终造成服务器资源消耗殆尽,以达到拒绝服务的目的。同时,越来越多的商家通过服务器来提供服务来获取利润,若服务器不断的受到攻击,必然影响商家的经济利益。
在通常情况下,服务器被攻击主要为针对网页的应用层分布式拒绝服务(Distributed Denial of Service,DDOS)攻击,通过精心选择的URL请求以较少连接达到拒绝服务的目的,而这种CC攻击通常通过代理主机发起。由于代理主机发起的超文本传送协议(HyperText TransferProtocol,HTTP)请求报文通常会包含一些固定格式的字符串,如“HTTP-X-FORWARDED-FOR”字段,用于向服务器提供一些必要的信息,服务器可以通过这些字符串识别对方是否为代理主机,还是为代理主机的客户机,并获取IP地址以做过滤处理,最终来防止服务器被攻击。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺点:现有技术会阻断正常的代理访问,并且无法防御来自于匿名代理(没有代理信息字段)或傀儡主机的攻击。
发明内容
本发明实施例提供一种防止服务器被攻击的方法、检测装置及监控设备,以防御来自于匿名代理或傀儡主机的攻击。
根据本发明的一方面,提供一种防止服务器被攻击的方法,包括:
确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator,URL)为需要验证的URL;
将所述数据包中的URL进行归一化处理,并统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数;所述归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽;
判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值;
若超过,则阻断所述数据包的访问请求;
其中,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值,包括:
将所述时间段的最大允许被访问的次数与所述时间段的平均被访问次数的比值以获取阈值;
将所述时间段的平均被访问次数与所述阈值比值进行相乘以获取所述时间段的被访问的门限值。。
根据本发明的另一方面,还提供一种应用于防止服务器被攻击的检测装置,包括:
运算模块,用于当确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator,URL)为需要验证的URL时,将所述数据包中的URL进行归一化处理,并统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数;所述归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽;
判断模块,用于判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值,当判断超过时,判断所述服务器被所述数据包攻击;
其中,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值,包括:
将所述时间段的最大允许被访问的次数与所述时间段的平均被访问次数的比值以获取阈值;
将所述时间段的平均被访问次数与所述阈值比值进行相乘以获取所述时间段的被访问的门限值。
根据本发明的另一方面,还提供一种应用于防止服务器被攻击的监控设备,终端通过接入设备与监控设备通信连接,所述监控设备与服务器通信连接,包括:
检测装置,用于检测所述服务器是否被所述终端发送至所述服务器的访问请求的数据包攻击;
发送装置,用于当检测所述服务器没有被所述终端发送至所述服务器的访问请求的数据包攻击时,转发所述数据包至所述服务器;
所述检测装置还用于当确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator,URL)为需要验证的URL时,将所述数据包中的URL进行归一化处理,并统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数,及判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值;所述归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽;
其中,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值,包括:
将所述时间段的最大允许被访问的次数与所述时间段的平均被访问次数的比值以获取阈值;
将所述时间段的平均被访问次数与所述阈值比值进行相乘以获取所述时间段的被访问的门限值。
采用上述提供的防止服务器被攻击的方法、检测装置及监控设备,对被访问的URL的连接次数进行限制,无论对被访问的URL的连接是否来自于匿名代理或傀儡主机或正常的代理主机,当次数超过某一时段的门限值,认为服务器受到攻击,可达到防御来自于匿名代理或傀儡主机的攻击,并且不会阻断正常的代理主机的访问。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的防止服务器被攻击的方法;
图2为本发明实施例的图1中的步骤S104的第一种实施方式;
图3为本发明实施例的图1中的步骤S104的第二种实施方式;
图4为本发明实施例的图1中的步骤S106的具体流程图;
图5为本发明实施例的监控设备的应用环境图;
图6为本发明实施例的监控设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的防止服务器被攻击的方法。在本实施方式中,该检测方法对发送至服务器的请求访问的数据包进行检测,以防止服务器被攻击。
步骤S100,获取发送至服务器的请求访问的HTTP数据包,并获取该数据包的目的统一资源定位(Uniform Resource Locator,URL)。
步骤S102,判断该URL是否为需要验证的URL。在本实施方式中,通过预设或根据URL的负载情况的方式来指定需要验证的URL。在本实施方式中,通过根据URL的请求和响应之间的时间间隔长短来确定该URL的负载情况。在本实施方式中,若URL的请求和响应之间的时间间隔大于某一个门限值,则认为URL的请求和响应之间的时间间隔长,并确定该URL为超负载,若URL的请求和响应之间的时间间隔不大于该门限值,则认为URL的请求和响应之间的时间间隔短,并确定该URL不为超负载,其中,该门限值可以根据网络的实际情况进行设定。当该URL为超负载时,则需要对该URL进行验证,反之则不需要对该URL进行验证。
当判断该URL为需要验证的URL,则进入步骤S104。当判断该URL为不需要验证的URL,则进入步骤S110。
步骤S104,将该数据包对应的URL进行归一化处理,并统计该数据包到达时间相对应的时段的该归一化处理后的URL被访问的次数。在本实施方式中,时段可以但不限于以半小时为单位,也可以以一小时为单位。
步骤S106,判断该时段的该归一化处理后的URL被访问的次数是否超过该时段的归一化处理后的URL被访问的门限值。若判断超过该时段的归一化处理后的URL被访问的门限值,即相当于认为此时段对归一化处理后的URL进行恶意攻击,也就是此时归一化处理前的URL对应的数据包对服务器进行攻击,则进入步骤S108。若判断未超过该门限值,即相当于认为此时段对归一化处理后的URL不进行恶意攻击,也就是此时归一化处理前 的URL对应的数据包对服务器不进行攻击,则进入步骤S110。
步骤S108,阻断该数据包的访问请求。
步骤S110,转发该数据包至该服务器。
图2为本发明实施例的图1中的步骤S104的第一种实施方式。在本实施方式中,步骤S200,对获取的该URL进行归一化处理。在本实施方式中的归一化处理可以但不限于公知技术中的归一化处理。在本实施方式中,归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽,即不同的URL可以为访问同一个页面,比如,访问同一页面的两个URL分别为:http://www.aaa.com/bbs/?uid=1&inde=10和http://www.aaa.com/bbs/?uid=2&inde=20,其差异参数为uid=1&inde=10和uid=2&inde=20,因此,经过归一化处理后,就将差异参数屏蔽掉,归一化处理后的URL为http://www.aaa.com/bbs。在本实施方式中,URL中的“?”后面的参数认为是差异参数。
步骤S202,根据当前URL被访问的时间确定该归一化处理后的URL被访问的时间段,并根据归一化处理后的URL及被访问的时间段获取该归一化处理后的URL在该时间段的当天被访问的次数。在本实施方式中,可以直接将归一化处理后的URL通过哈希算法获取该归一化处理后的URL在该时间段的当天被访问的次数,也可以先将归一化处理后的URL转换为一个唯一标识该归一化处理后的URL的标识,再将该标识通过哈希算法获取该归一化处理后的URL在该时间段的当天被访问的次数,其中,这个标识可以为URL指纹。
步骤S204,将该归一化处理后的URL在该时间段的当天被访问的次数加1。
图3为本发明实施例的图1中的步骤S104的第二种实施方式。
在本实施方式中,步骤S300与图2中的步骤S200相同,此处不重复描述。
步骤S302,根据归一化处理后的URL获取该归一化处理后的URL的被访问的次数。在本步骤中的被访问的次数可以包括但不限于当天的多个时间段的被访问的次数或多天的多个时间段的被访问的次数。在本实施方式中,可以直接将归一化处理后的URL通过哈希算法获取该归一化处理后的URL的被访问的次数,也可以先将归一化处理后的URL转换为一个唯一标识该归一化处理后的URL的标识,再将该标识通过哈希算法获取该归一化处理后的URL的被访问的次数,其中,这个标识可以为URL指纹。
步骤S304,根据当前URL被访问的时间确定该归一化处理后的URL被访问的时间段。在本实施方式中,当前URL被访问的时间为数据包到达时间。
步骤S306,判断该归一化处理后的URL前一次被访问的时间是否属于该归一化处理后的URL被访问的时间段。若该归一化处理后的URL前一次被访问的时间不属于该归一化处理后的URL被访问的时间段,即在当天的该归一化处理后的URL被访问的时间段中,该归一化处理后的URL还没有被访问,则进入步骤S308。若该归一化处理后的URL前一次被访问的时间属于该归一化处理后的URL被访问的时间段,即在当天的该归一化处理后的URL被访问的时间段中,该归一化处理后的URL已经被访问过,则执行步骤S310。
步骤S308,将该归一化处理后的URL在该被访问的时间段的次数清0。在本实施方式中,由于在步骤S302中,获取的该归一化处理后的URL的被访问的次数可能不是当天被访问的次数,因此,需要进行清0,以记录当天该时间段被访问的次数。
步骤S310,将该归一化处理后的URL在该时间段的当天被访问的次数加1。
步骤S312,更新该归一化处理后的URL当天的被访问的时间。
图4为本发明实施例的图1中的步骤S106的具体流程图。
在本实施方式中,步骤S400,判断该归一化处理后的URL在当天被访问前是否有7天的该归一化处理后的URL在该时段被访问的统计次数。在本实施方式中,7天的该归一化处理后的URL在该时段被访问的统计次数可以为7天的该归一化处理后的URL在工作日的该时段被访问的统计次数,也可以为7天的该归一化处理后的URL在非工作日的该时段被访问的统计次数,其中,工作日是指星期一至星期五,非工作日为星期六和星期日。在本实施方式中,7天的该归一化处理后的URL在该时段被访问的统计次数还可以为连续7天的该归一化处理后的URL在该时段被访问的统计次数,也可以为非连续7天的该归一化处理后的URL在该时段被访问的统计次数,其中,非连续7天的情况是指设备由于未工作或断电或死机造成的该天或多天没有数据纪录的情况,该非连续7天的统计次数为离当天最近的7天的统计次数。在本实施方式中,本周的星期一和上周的星期五为连续工作日。
若判断有7天的统计次数,则进入步骤S402;若判断没有7天的统计次数,则进入步骤S412。
步骤S402,累加该7天的该归一化处理后的URL在该时段的被访问统计次数。
步骤S404,减去该7天中的该归一化处理后的URL在该时段的被访问的最大统计次数。
步骤S406,获取该7天的该归一化处理后的URL在该时段的平均被访问次数。在本实施方式中,可以包括获取该7天的该归一化处理后的URL在工作日的该时段的平均被访问次数,也可以包括获取该7天的该归一化处理后的URL在非工作日的该时段的平均被访问次数。在本实施方式中,该归一化处理后的URL在该时段的平均被访问次数是不断的进行更新,即这7天的该归一化处理后的URL在该时段的被访问统计次数是不断更新,从而致使平均被访问次数也是不断的进行更新。
步骤S408,根据该时段的平均被访问次数获取该归一化处理后的URL在该时段的被访问的门限值。在本实施方式中,将该时段的平均被访问次数与阈值比值进行相乘以获取该时段的被访问的门限值,其中,将该时段的最大允许被访问的次数与该时段的平均被访问次数的比值以获取该阈值,该比值总是大于1。在本实施方式中,该时段的最大允许被访问的次数为预设值,也可以根据实际操作情况进行调整。由于该归一化处理后的URL在该时段的平均被访问次数是不断的进行更新,因此,该归一化处理后的URL在该时段的被访问的门限值也是不断的进行更新。
步骤S410,判断该时段的平均被访问次数是否超过该时段的被访问的门限值。
步骤S412,不获取该归一化处理后的URL在该时段的被访问的门限值。由于此时没有该归一化处理后的URL在该时段的被访问的门限值,因此,可以认为该归一化处理后的URL在该时段的被访问的次数没有超过该门限值,即可以转发归一化处理前的URL对应的数据包至服务器。
本发明实施例提供的防止服务器被攻击的方法,先获取发送至服务器的数据包的需要验证的URL并进行归一化处理,统计数据包到时刻相对应的时段的该归一化处理后的URL被访问的次数,并判断该次数是否超过该时段的门限值,从而判断该服务器是否被攻击,也就是无论对被访问的URL的连接是否来自于匿名代理或傀儡主机或正常的代理主机,本实施例对被访问的URL的连接次数进行限制,当次数超过某一时段的门限值,认为服务器受到攻击,与现有技术相比,可达到防御来自于匿名代理或傀儡主机的攻击,并且不会阻断正常的代理主机的访问,另一方面,由于门限值是不断的随时进行更新,可使在防御攻击时具有良好的自适应性,并且,将一天中的多个时段分别设定被访问的URL的连接次数的门限值,从而有较高的准确性。
图5为本发明实施例的监控设备的应用环境图。在本实施方式中,终 端5通过接入设备6与监控设备7通信连接,监控设备7与服务器8通信连接,用于检测发送至服务器8的请求访问的数据包是否对服务器8进行攻击。在本实施方式中,终端5可以为代理主机,也可以为代理主机的客户机,也可以为主机,通过接入设备6发送至请求访问的数据包至服务器8。
图6为本发明实施例的监控设备的结构图。在本实施方式中,监控设备7包括检测装置71和发送装置72。检测装置71用于获取发送至服务器8的请求访问的数据包,并检测发送至服务器8的请求访问的数据包是否对服务器8进行攻击。发送装置72用于当检测装置71检测发送至服务器8的请求访问的数据包不会对服务器8进行攻击时,则转发该数据包至服务器8。
检测装置71包括获取模块710、判断模块712、存储模块714、运算模块716及阻断模块718。
获取模块710用于获取发送至服务器8的请求访问的数据包,并获取该数据包的目的URL。在本实施方式中,该数据包为HTTP数据包。
判断模块712用于判断获取模块710获取的该URL是否为需要验证的URL。在本实施方式中,判断模块712通过查询存储模块714存储的需要验证的URL列表以判断该获取模块710获取的该URL是否为需要验证的URL。
发送装置72还用于当判断模块712判断获取模块710获取的该URL为不需要验证的URL时,转发该URL对应的数据包至服务器8。
运算模块716用于当判断模块712判断获取模块710获取的该URL为需要验证的URL时,将该数据包对应的URL进行归一化处理,并统计该数据包到达时间相对应的时段的该归一化处理后的URL被访问的次数。
运算模块716还用于根据数据包到达时间确定该归一化处理后的URL被访问的时间段,并根据归一化处理后的URL及被访问的时间段获取该归 一化处理后的URL在该时间段的当天被访问的次数,及将该归一化处理后的URL在该时间段的当天被访问的次数加1。
运算模块716还可用于先根据归一化处理后的URL获取该归一化处理后的URL的被访问的次数,再根据当前URL被访问的时间确定该归一化处理后的URL被访问的时间段,并经由判断模块712判断该归一化处理后的URL前一次被访问的时间是否属于该归一化处理后的URL被访问的时间段。在本实施方式中,在本步骤中的被访问的次数可以包括但不限于当天的多个时间段的被访问的次数或多天的多个时间段的被访问的次数。若该归一化处理后的URL前一次被访问的时间不属于该归一化处理后的URL被访问的时间段,即在当天的该归一化处理后的URL被访问的时间段中,该归一化处理后的URL还没有被访问;若该归一化处理后的URL前一次被访问的时间属于该归一化处理后的URL被访问的时间段,即在当天的该归一化处理后的URL被访问的时间段中,该归一化处理后的URL已经被访问过。在本实施方式中,判断模块710还用于通过查询存储装置714存储的该归一化处理后的URL被访问的时间来判断该归一化处理后的URL前一次被访问的时间是否属于该归一化处理后的URL被访问的时间段。
运算模块716还用于当判断该归一化处理后的URL前一次被访问的时间不属于该归一化处理后的URL被访问的时间段时,将该归一化处理后的URL在该被访问的时间段的次数清0以重新统计,并将该归一化处理后的URL在该时间段的当天被访问的次数加1。
判断模块712还用于当运算模块716统计该数据包到时间相对应的时段的该归一化处理后的URL被访问的次数后,判断该归一化处理后的URL在当天被访问前是否有7天的该归一化处理后的URL在该时段被访问的统计次数。
运算模块716还用于当判断模块712判断该归一化处理后的URL在当天被访问前有7天的该归一化处理后的URL在该时段被访问的统计次数 时,获取该7天的该归一化处理后的URL在该时段的平均被访问次数,及根据该时段的平均被访问次数获取该归一化处理后的URL在该时段的被访问的门限值。
判断模块712还用于判断该时段的该归一化处理后的URL被访问的次数是否超过该时段的归一化处理后的URL被访问的门限值。若判断超过该时段的归一化处理后的URL被访问的门限值,即相当于认为此时段对归一化处理后的URL进行恶意攻击,也就是此时对服务器进行攻击,此时,通知阻断模块718阻断此时的归一化处理前的URL对应的该数据包对服务器8的访问请求。阻断模块718用于阻断该数据包的对服务器8的访问请求。
发送装置72用于当判断未超过该门限值时,即相当于认为此时段对归一化处理后的URL不进行恶意攻击,也就是此时归一化处理前的URL对应的数据包对服务器8不进行攻击,转发该数据包至服务器8。
本发明实施例提供的监控设备和检测装置,先获取发送至服务器的数据包的需要验证的URL并进行归一化处理,统计数据包到时刻相对应的时段的该归一化处理后的URL被访问的次数,并判断该次数是否超过该时段的门限值,从而判断该服务器是否被攻击,也就是无论对被访问的URL的连接是否来自于匿名代理或傀儡主机或正常的代理主机,本实施例对被访问的URL的连接次数进行限制,当次数超过某一时段的门限值,认为服务器受到攻击,与现有技术相比,可达到防御来自于匿名代理或傀儡主机的攻击,并且不会阻断正常的代理主机的访问,另一方面,由于门限值是不断的随时进行更新,可使在防御攻击时具有良好的自适应性,并且,将一天中的多个时段分别设定访问的URL的连接次数的门限值,从而有较高的准确性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法 的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (19)
1.一种防止服务器被攻击的方法,其特征在于,包括:
确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator,URL)为需要验证的URL;
将所述数据包中的URL进行归一化处理,并统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数;所述归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽;
判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值;
若超过,则阻断所述数据包的访问请求;
其中,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值,包括:
将所述时间段的最大允许被访问的次数与所述时间段的平均被访问次数的比值以获取阈值;
将所述时间段的平均被访问次数与所述阈值比值进行相乘以获取所述时间段的被访问的门限值。
2.根据权利要求1所述的方法,其特征在于,所述统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数的步骤包括:
根据所述数据包到达时间确定所述归一化处理后的URL被访问的时间段;
根据所述归一化处理后的URL及被访问的时间段获取所述归一化处理后的URL在所述时间段的当天被访问的次数;
将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。
3.根据权利要求1所述的方法,其特征在于,所述统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数的步骤还包括:
根据所述归一化处理后的URL获取所述归一化处理后的URL的被访问的次数;
根据所述数据包到达时间确定所述归一化处理后的URL被访问的时间段;
判断所述归一化处理后的URL前一次被访问的时间是否属于所述归一化处理后的URL被访问的时间段;
若不属于,则将所述归一化处理后的URL在所述被访问的时间段的次数清0,并将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。
4.根据权利要求3所述的方法,其特征在于,所述判断所述归一化处理后的URL前一次被访问的时间是否属于所述归一化处理后的URL被访问的时间段的步骤还包括:
若属于,则将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。
5.根据权利要求1所述的方法,其特征在于,所述判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值的步骤包括:
判断所述归一化处理后的URL在当天被访问前是否有7天的所述归一化处理后的URL在所述时间段被访问的统计次数;
若有,则获取所述7天的所述归一化处理后的URL在所述时间段的平均被访问次数;
根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值;
判断所述时间段的平均被访问次数是否超过所述时间段的被访问的门限值。
6.根据权利要求5所述的方法,其特征在于,所述获取所述7天的所述归一化处理后的URL在所述时间段的平均被访问次数的步骤包括:
累加所述7天的所述归一化处理后的URL在所述时间段的被访问统计次数;
减去所述7天中的所述归一化处理后的URL在所述时间段的被访问的最大统计次数。
7.根据权利要求1所述的方法,其特征在于,所述确定发送至服务器的请求访问的数据包中的目的URL为需要验证的URL的步骤包括:
获取发送至所述服务器的请求访问的HTTP数据包;
获取所述数据包的目的URL;
判断所述URL是否为需要验证的URL。
8.根据权利要求7所述的方法,其特征在于,所述判断所述URL是否为需要验证的URL的步骤包括:
通过预设或根据URL的负载情况的方式来指定需要验证的URL,其中,通过根据所述URL的请求和响应之间的时间间隔长短来确定所述URL的负载情况。
9.一种应用于防止服务器被攻击的检测装置,其特征在于,包括:
运算模块,用于当确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator,URL)为需要验证的URL时,将所述数据包中的URL进行归一化处理,并统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数;所述归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽;
判断模块,用于判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值,当判断超过时,判断所述服务器被所述数据包攻击;
其中,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值,包括:
将所述时间段的最大允许被访问的次数与所述时间段的平均被访问次数的比值以获取阈值;
将所述时间段的平均被访问次数与所述阈值比值进行相乘以获取所述时间段的被访问的门限值。
10.根据权利要求9所述的装置,其特征在于,所述运算模块还用于根据所述数据包到达时间确定所述归一化处理后的URL被访问的时间段,根据所述归一化处理后的URL及被访问的时间段获取所述归一化处理后的URL在所述时间段的当天被访问的次数,将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。
11.根据权利要求9所述的装置,其特征在于,所述判断模块还用于判断所述归一化处理后的URL前一次被访问的时间是否属于所述归一化处理后的URL被访问的时间段。
12.根据权利要求11所述的装置,其特征在于,所述运算模块还用于先根据所述归一化处理后的URL获取所述归一化处理后的URL的被访问的次数,再根据所述数据包到达时间确定所述归一化处理后的URL被访问的时间段,并当所述判断模块判断所述归一化处理后的URL前一次被访问的时间不属于所述归一化处理后的URL被访问的时间段时,将所述归一化处理后的URL在所述被访问的时间段的次数清0,并将所述归一化处理后的URL在所述时间段的当天被访问的次数加1。
13.根据权利要求9所述的装置,其特征在于,所述判断模块还用于判断所述归一化处理后的URL在当天被访问前是否有7天的所述归一化处理后的URL在所述时间段被访问的统计次数。
14.根据权利要求13所述的装置,其特征在于,所述运算模块还用于当判断所述归一化处理后的URL在当天被访问前有7天的所述归一化处理后的URL在所述时间段被访问的统计次数时,获取所述7天的所述归一化处理后的URL在所述时间段的平均被访问次数,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值。
15.根据权利要求14所述的装置,其特征在于,所述运算模块还用于通过累加所述7天的所述归一化处理后的URL在所述时间段的被访问统计次数,并减去所述7天中的所述归一化处理后的URL在所述时间段的被访问的最大统计次数来获取所述7天的所述归一化处理后的URL在所述时间段的平均被访问次数。
16.根据权利要求9所述的装置,其特征在于,还包括:
获取模块,用于获取发送至所述服务器的请求访问的HTTP数据包,并获取所述数据包的目的URL。
17.根据权利要求9所述的装置,其特征在于,还包括:
阻断模块,用于当所述判断模块判断超过时,阻断所述数据包的访问请求。
18.一种应用于防止服务器被攻击的监控设备,其特征在于,终端通过接入设备与监控设备通信连接,所述监控设备与服务器通信连接,包括:
检测装置,用于检测所述服务器是否被所述终端发送至所述服务器的访问请求的数据包攻击;
发送装置,用于当检测所述服务器没有被所述终端发送至所述服务器的访问请求的数据包攻击时,转发所述数据包至所述服务器;所述检测装置还用于当确定发送至服务器的请求访问的数据包中的目的统一资源定位(Uniform Resource Locator,URL)为需要验证的URL时,将所述数据包中的URL进行归一化处理,并统计所述数据包到达时间相对应的时间段的所述归一化处理后的URL被访问的次数,及判断所述时间段的所述归一化处理后的URL被访问的次数是否超过所述时间段的所述归一化处理后的URL被访问的门限值;所述归一化处理的目的在于将访问同一页面的不同URL的差异参数进行屏蔽;
其中,根据所述时间段的平均被访问次数获取所述归一化处理后的URL在所述时间段的被访问的门限值,包括:
将所述时间段的最大允许被访问的次数与所述时间段的平均被访问次数的比值以获取阈值;
将所述时间段的平均被访问次数与所述阈值比值进行相乘以获取所述时间段的被访问的门限值。
19.根据权利要求18所述的监控设备,其特征在于,所述检测装置还用于当判断超过时,判断所述服务器被所述数据包攻击,并阻断所述数据包的访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102177782A CN101437030B (zh) | 2008-11-29 | 2008-11-29 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102177782A CN101437030B (zh) | 2008-11-29 | 2008-11-29 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101437030A CN101437030A (zh) | 2009-05-20 |
| CN101437030B true CN101437030B (zh) | 2012-02-22 |
Family
ID=40711252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102177782A Expired - Fee Related CN101437030B (zh) | 2008-11-29 | 2008-11-29 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101437030B (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143484A (zh) * | 2010-12-20 | 2011-08-03 | 华为技术有限公司 | 资源分配处理方法、装置和网络服务系统 |
| CN102624677B (zh) * | 2011-01-27 | 2014-12-10 | 阿里巴巴集团控股有限公司 | 一种网络用户行为监控方法及服务器 |
| CN102325148B (zh) * | 2011-05-25 | 2013-11-27 | 重庆新媒农信科技有限公司 | 一种WebService服务调用方法 |
| CN102957571B (zh) * | 2011-08-22 | 2015-04-29 | 华为技术有限公司 | 用于网络流量监控的方法和系统 |
| CN103379099B (zh) * | 2012-04-19 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及系统 |
| CN104113519B (zh) * | 2013-04-16 | 2017-07-14 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104378327B (zh) * | 2013-08-12 | 2018-12-28 | 深圳市腾讯计算机系统有限公司 | 网络攻击防护方法、装置及系统 |
| CN103455924A (zh) * | 2013-08-28 | 2013-12-18 | 小米科技有限责任公司 | 一种验证交易请求的方法、装置及服务器 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| CN103685294B (zh) * | 2013-12-20 | 2017-02-22 | 北京奇安信科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN104580216B (zh) | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN104580228A (zh) * | 2015-01-16 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 对来自网络的访问请求产生黑名单的系统和方法 |
| CN104954384B (zh) * | 2015-06-24 | 2018-04-27 | 浙江大学 | 一种保护Web应用安全的url拟态方法 |
| CN105991640B (zh) * | 2015-07-16 | 2019-06-04 | 杭州迪普科技股份有限公司 | 处理http请求的方法及装置 |
| CN104967629B (zh) * | 2015-07-16 | 2018-11-27 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
| CN106453208A (zh) * | 2015-08-07 | 2017-02-22 | 北京奇虎科技有限公司 | 广告物料数据网址验证方法和装置 |
| CN105225145A (zh) * | 2015-09-30 | 2016-01-06 | 努比亚技术有限公司 | 数据处理方法和装置 |
| CN106656912B (zh) * | 2015-10-28 | 2020-03-20 | 华为技术有限公司 | 一种检测拒绝服务攻击的方法及装置 |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| CN105553974A (zh) * | 2015-12-14 | 2016-05-04 | 中国电子信息产业集团有限公司第六研究所 | 一种http慢速攻击的防范方法 |
| CN106899549B (zh) * | 2015-12-18 | 2020-02-07 | 北京奇虎科技有限公司 | 一种网络安全检测方法及装置 |
| CN107085576A (zh) * | 2016-02-15 | 2017-08-22 | 阿里巴巴集团控股有限公司 | 一种流式数据统计算法及装置 |
| CN105827615A (zh) * | 2016-04-22 | 2016-08-03 | 浪潮电子信息产业股份有限公司 | 一种Smart Rack防止DDOS攻击的优化方法 |
| CN107454041B (zh) * | 2016-05-31 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 防止服务器被攻击的方法及装置 |
| CN105930528B (zh) * | 2016-06-03 | 2020-09-08 | 腾讯科技(深圳)有限公司 | 一种网页缓存的方法及服务器 |
| CN108234383B (zh) * | 2016-12-09 | 2021-01-08 | 中国电信股份有限公司 | 信息访问方法及安全访问服务器 |
| CN108243149A (zh) * | 2016-12-23 | 2018-07-03 | 北京华为数字技术有限公司 | 一种网络攻击检测方法及装置 |
| CN107172046A (zh) * | 2017-05-16 | 2017-09-15 | 郑州云海信息技术有限公司 | 一种信息管理方法、设备及系统 |
| CN108234341B (zh) * | 2018-01-25 | 2021-06-11 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态被动限流方法及系统 |
| CN108234342B (zh) * | 2018-01-25 | 2021-08-13 | 北京搜狐新媒体信息技术有限公司 | 基于设备指纹的Nginx动态主动限流方法及系统 |
| CN110213393B (zh) * | 2018-04-17 | 2021-09-17 | 腾讯科技(深圳)有限公司 | 报文处理方法及计算机设备 |
| CN110784337B (zh) * | 2019-09-26 | 2023-08-22 | 平安科技(深圳)有限公司 | 一种云服务质量监控方法及相关产品 |
| CN110740078B (zh) * | 2019-09-26 | 2023-08-22 | 平安科技(深圳)有限公司 | 一种服务器的代理监测方法及相关产品 |
| CN110808967B (zh) * | 2019-10-24 | 2022-04-08 | 新华三信息安全技术有限公司 | 挑战黑洞攻击的检测方法及相关装置 |
| CN111917787B (zh) * | 2020-08-06 | 2023-07-21 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1713593A (zh) * | 2004-06-21 | 2005-12-28 | Lgn-Sys株式会社 | 应用服务器安全法与网络安全法的安全系统与方法 |
| EP1705863A1 (en) * | 2005-03-25 | 2006-09-27 | AT&T Corp. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
-
2008
- 2008-11-29 CN CN2008102177782A patent/CN101437030B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1713593A (zh) * | 2004-06-21 | 2005-12-28 | Lgn-Sys株式会社 | 应用服务器安全法与网络安全法的安全系统与方法 |
| EP1705863A1 (en) * | 2005-03-25 | 2006-09-27 | AT&T Corp. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101437030A (zh) | 2009-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101437030B (zh) | 一种防止服务器被攻击的方法、检测装置及监控设备 | |
| US11245662B2 (en) | Registering for internet-based proxy services | |
| US11863581B1 (en) | Subscription-based malware detection | |
| US10798112B2 (en) | Attribute-controlled malware detection | |
| US10068090B2 (en) | Systems and methods for detecting undesirable network traffic content | |
| US8429751B2 (en) | Method and apparatus for phishing and leeching vulnerability detection | |
| US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| US20190207967A1 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
| US20040143751A1 (en) | Protection of embedded processing systems with a configurable, integrated, embedded firewall | |
| EP3709595B1 (en) | Secure route identification method and device | |
| CN104396220A (zh) | 用于安全内容检索的方法和设备 | |
| CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
| CN102137111A (zh) | 一种防御cc攻击的方法、装置和内容分发网络服务器 | |
| US8359634B2 (en) | Method and system to optimize efficiency when managing lists of untrusted network sites | |
| CN105391689A (zh) | 网络钓鱼通知服务 | |
| CN103916379A (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
| CN105162763B (zh) | 通讯数据的处理方法和装置 | |
| KR101087291B1 (ko) | 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템 | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| CN1503952A (zh) | 限制外来访问的方法和系统 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
| CN106936849A (zh) | 一种安卓应用程序安装包的下载劫持方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120222 Termination date: 20191129 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |