CN101827080A - 一种阻止网络攻击的方法及装置 - Google Patents
一种阻止网络攻击的方法及装置 Download PDFInfo
- Publication number
- CN101827080A CN101827080A CN201010105286A CN201010105286A CN101827080A CN 101827080 A CN101827080 A CN 101827080A CN 201010105286 A CN201010105286 A CN 201010105286A CN 201010105286 A CN201010105286 A CN 201010105286A CN 101827080 A CN101827080 A CN 101827080A
- Authority
- CN
- China
- Prior art keywords
- request message
- counter
- request
- type
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机技术,特别涉及一种阻止网络攻击的方法及装置,用以减轻系统的运行负荷,该方法为:接收用以要求分配系统资源的至少一条请求消息,针对所述至少一条请求消息,设置指定类型的计数器;判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,为所述至少一条请求消息分配相应的系统资源。这样,可以在进程预处理阶段针对在短时间内多次发出同一请求的进程进行阻断,只响应正常的请求,从而避免消耗大量资源,减轻系统运行负荷。本发明同时公开了一种服务器。
Description
技术领域
本发明涉及互联网技术,特别涉及一种阻止网络攻击的方法及装置。
背景技术
随着网络技术的发展,网络安全逐渐成为首要关注的问题。在网络系统中,安全漏洞无处不在,而网络攻击正是利用这些安全漏洞,来实现对系统和资源的非法占有或攻击。例如,木马、黑客程序、恶意程序、流氓软件和间谍程序利用安全漏洞对系统和资源实现破坏。
实际应用中,经研究发现,各种网络攻击通常是通过非法修改注册表来实现自动启动,从而实现对系统和资源的非法破坏。因此,如果能够对注册表的访问进行拦截,就可以达到阻止网络攻击,保护系统运行的目的。但是,实际应用中,当网络攻击被发现时,恶意程序往往已经通过注册表启动并实现非法入侵,即使立即进行拦截,也很难将其消除。
有鉴于此,现有技术下,往往利用局域网监控装置根据监控中心设定的监控策略对局域网范围内的各主机、接口和外设等进行监控,并把监控数据和警报信息发回监控中心,以及利用互联网监控引擎监测网络上通信的各种数据包,对数据包进行重组和协议还原,并针对特定的敏感关键词、文件名、文件类型进行匹配、监控和记录;另外,通过模式识别技术,网络监控引擎能检测出各种攻击、入侵和异常行为,并将警报信息发回监控中心。进一步地,还可以通过漏洞扫描器定时对网络主机及设备进行安全扫描,发现安全漏洞,并提醒监控中心及时进行修补、加固。
监控中心为系统中心部件,负责策略、模式库的管理和分发,接收监控装置、网络监控引擎和反馈回来的警报信息,并全面协调、控制其它各部件的运作。
然而,采用上述方式对网络攻击进行拦截,需要统计流量异常事件,检测各种已知或未知的入侵企图,一旦发现其中含有攻击请求的特征标志,需向监控中心频繁提交匹配、监控和记录数据,并对数据包进行重组和协议还原,连接的进程数越多,则向监控中心提交的数据越多,造成并发程度越高,这样会占用大量的内存,从而造成资源浪费,严重时会致使资源枯竭而死机。
发明内容
本发明实施例提供一种阻止网络攻击的方法及装置,用以在系统监控网络攻击时,降低系统资源消耗。
本发明提供的具体技术方案如下:
一种阻止网络攻击的方法,包括:
接收用以要求分配系统资源的至少一条请求消息,
针对所述至少一条请求消息,设置指定类型的计数器;
判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,为所述至少一条请求消息分配相应的系统资源。
一种服务器,包括:
通信单元,用于接收用以要求分配系统资源的至少一条请求消息,
设置单元,用于针对所述至少一条请求消息,设置指定类型的计数器;
处理单元,用于判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,为所述至少一条请求消息分配相应的系统资源。
本发明实施例中,提出一种基于多应答的去干扰和联接预处理方法,它让攻击或假连接的请求先进入临测表中,通过计数器确定其生命周期,如果同一请求的请求次数累计超过其对应计数器的临界值,则迅速阻断该请求;否则,置该请求于临测表中进行处理,确认其为非异常请求并给出响应。这样,可以在进程预处理阶段针对在短时间内多次发出同一请求的进程进行阻断,只响应正常的请求,从而避免消耗大量资源,减轻系统运行负荷。
附图说明
图1A为本发明实施例中监控系统体系架构图;
图1B为本发明实施例中具备监控功能的服务器功能结构图;
图2为本发明实施例中服务器监控请求消息流程图;
具体实施方式
实际应用中,在网络系统内,当一个或多个进程一直处于请求状态时,系统资源会被分配,此时,系统可能处于瘫痪或死锁状态,从而引起网络的不稳定等异常现象。为了解决此问题,本申请实施例中,在接收用以要求分配系统资源的至少一条请求消息时,针对所述至少一条请求消息,设置指定类型的计数器,并判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,认为该请求是安全的,为所述至少一条请求消息分配相应的系统资源。
其中,计数器的临界值可以设置为监控中心历史上获得的每次受攻击时的最少累计接收次数。
从上述方案可以看出,实际应用中,异常进程往往会在短时间内发出同一请求,每次发出请求,监控中心都要处理一次,每处理一次就占用了内存,因此会造成资源浪费。因此,本发明实施例中,在响应进程的请求之前先进行预处理,只对正常进程的请求做出响应,那么,不论是一个进程或者多个进程同时发出请求,也不会占用大量的内存,避免造成资源的浪费。
由于对计数器累计次数进行监测所占用的内存比响应请求所占用的内存要少得多,因此,通过采用上述方法,系统仅针对接收请求的次数进行判断,同样也可以确定出是否为受到非法攻击或非法连接,从而减少了系统资源的消耗。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图1A和图1B所示,本发明实施例中,监控系统内包括服务器10、局域网监控装置11和互联网监控引擎12,服务器10包括通信单元100、设置单元101和处理单元102,其中,
通信单元100,用于接收用以要求分配系统资源的至少一条请求消息,
设置单元101,用于针对所述至少一条请求消息,设置指定类型的计数器;
处理单元102,用于判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,为所述至少一条请求消息分配相应的系统资源。
实际应用中,区别于图1A所示的系统架构,服务器10也可以设置为局域网监控装置11和互联网监控引擎12上各自具备的功能模块,分别对局域网监控装置11和互联网监控引擎12接收到的请求消息进行监控,本实施例仅以服务器10是独立装置为例进行说明,不再赘述。
基于上述原理,参阅图2所示,本发明实施例中,服务器10对接收到的各类请求消息进行预处理的详细流程如下:
步骤200:接收到至少一条请求消息,该至少一条请求消息用于要求分配系统资源,可以是针对任意应用程序的请求消息,如,要求建立连接,要求访问,要求执行读取/写入操作等等。
参阅图1A所示,服务器10接收的请求消息可以来自于局域网监控装置11,也可以来自互联网监控装置12。
步骤210:将接收的至少一条消息归属至监测表中。
本实施例中,将所述至少一条请求消息归属至监测表中,是为了在请求消息数量过多时,便于后续的监控,实际应用中,若请求消息的数量比较少,也可以不将其归属至临测表中,而是直接进行后续的监控。
步骤220:针对所述至少一条请求消息,设置指定类型的计数器。
本实施例中,针对接收的请求消息设置指定类型的计数器时,可以包括:
针对各类型的请求消息设置统一类型的计数器;如,将计数器的临界值统一设置为5次;
或者
针对不同类型的请求消息分别设置相应类型的计数器;如,针对不同计数器分别设置不同的临界值。
步骤230:判断上述至少一条请求消息的请求次数,是否超过其对应的计数器的接收次数的临界值,若是,则进行步骤250;否则,进行步骤240。
步骤240:为至少一条请求消息分配系统资源,并返回相应的响应消息。
步骤250。阻断接收的至少一条请求消息。
基于上述实施例,服务器10根据局域网监控装置11和互联网络监控引擎12提交的事件种类,按照预先指定的响应行为来执行相应的动作,如联动、预警、拍照、阻断等。这样,可以在进程预处理阶段针对在短时间内多次发出同一请求的进程进行阻断,只响应正常的请求,从而避免消耗大量资源,减轻系统运行负荷。
如,可以对系统提供的网络端口和IP进行监控、管理,允许自定义阻断策略,也可定义事件对指定的IP地址、协议和端口以及数据流向进行实时防护,从而隔断来自与网络中其他主机的非法连接请求。
另一方面,本实施例中的系统具有自主学习能力,根据网络中正常情况下的信息,可以检测网络中的异常情况,自动分析出各种新形势的入侵、变种的入侵、系统误用。
本发明实施例中,采用临测表,预先统计进程在计数器维持的执行周期内发出同一请求的次数,正常的进程是不会在短时间内多次发出同一请求的,因此将在短时间内多次发出同一请求的进程进行阻断,只响应正常的请求,即可以避免消耗大量资源。
显然,本领域的技术人员可以对本发明中的实施例进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明实施例中的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明中的实施例也意图包含这些改动和变型在内。
Claims (10)
1.一种阻止网络攻击的方法,其特征在于,包括:
接收用以要求分配系统资源的至少一条请求消息,
针对所述至少一条请求消息,设置指定类型的计数器;
判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,为所述至少一条请求消息分配相应的系统资源。
2.如权利要求1所述的方法,其特征在于,所述至少一条请求消息来自于局域网,或者,互联网。
3.如权利要求1所述的方法,其特征在于,针对所述至少一条请求消息,设置指定类型的计数器,包括:
针对各类型的请求消息设置统一类型的计数器;
或者
针对不同类型的请求消息分别设置相应类型的计数器。
4.如权利要求1、2或3所述的方法,其特征在于,若阻断所述至少一条请求消息,则将该至少一条请求消息的入侵类型上报至监控中心,并执行相应的后续处理。
5.如权利要求1、2或3所述的方法,其特征在于,阻断所述至少一条请求消息后,将该请求消息的发送端IP地址、入侵目标IP地址、入侵源端口和目标端口发送给联动端。
6.如权利要求5所述的方法,所述联动端包括防火墙、扫描器、路由器、其他服务器和主机中的一种或任意组合。
7.一种服务器,其特征在于,包括:
通信单元,用于接收用以要求分配系统资源的至少一条请求消息,
设置单元,用于针对所述至少一条请求消息,设置指定类型的计数器;
处理单元,用于判断所述至少一条请求消息的累计接收次数,是否超过其相应计数器的临界值,若是,则阻断所述至少一条请求消息;否则,为所述至少一条请求消息分配相应的系统资源。
8.如权利要求7所述的服务器,其特征在于,所述设置单元针对所述至少一条请求消息,设置指定类型的计数器时,针对各类型的请求消息设置统一类型的计数器,或者,针对不同类型的请求消息分别设置相应类型的计数器。
9.如权利要求7或8的服务器,其特征在于,若所述处理单元阻断所述至少一条请求消息,则将该至少一条请求消息的入侵类型上报至监控中心,并执行相应的后续处理。
10.如权利要求7或8所述的服务器,其特征在于,阻断所述至少一条请求消息后,将该请求消息的发送端IP地址、入侵目标IP地址、入侵源端口和目标端口发送给联动端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010105286A CN101827080A (zh) | 2010-02-04 | 2010-02-04 | 一种阻止网络攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010105286A CN101827080A (zh) | 2010-02-04 | 2010-02-04 | 一种阻止网络攻击的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101827080A true CN101827080A (zh) | 2010-09-08 |
Family
ID=42690786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010105286A Pending CN101827080A (zh) | 2010-02-04 | 2010-02-04 | 一种阻止网络攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101827080A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104378364A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
CN106101059A (zh) * | 2016-05-23 | 2016-11-09 | 微梦创科网络科技(中国)有限公司 | 一种网页请求处理方法及装置 |
CN109255238A (zh) * | 2018-08-24 | 2019-01-22 | 成都网思科平科技有限公司 | 终端威胁检测与响应方法及引擎 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101415000A (zh) * | 2008-11-28 | 2009-04-22 | 中国移动通信集团四川有限公司 | 一种业务支撑系统防Dos攻击的方法 |
CN101589595A (zh) * | 2007-01-23 | 2009-11-25 | 阿尔卡特朗讯公司 | 用于潜在被污染端系统的牵制机制 |
-
2010
- 2010-02-04 CN CN201010105286A patent/CN101827080A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101589595A (zh) * | 2007-01-23 | 2009-11-25 | 阿尔卡特朗讯公司 | 用于潜在被污染端系统的牵制机制 |
CN101415000A (zh) * | 2008-11-28 | 2009-04-22 | 中国移动通信集团四川有限公司 | 一种业务支撑系统防Dos攻击的方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104378364A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
CN106101059A (zh) * | 2016-05-23 | 2016-11-09 | 微梦创科网络科技(中国)有限公司 | 一种网页请求处理方法及装置 |
CN106101059B (zh) * | 2016-05-23 | 2019-05-17 | 微梦创科网络科技(中国)有限公司 | 一种网页请求处理方法及装置 |
CN109255238A (zh) * | 2018-08-24 | 2019-01-22 | 成都网思科平科技有限公司 | 终端威胁检测与响应方法及引擎 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7832006B2 (en) | System and method for providing network security | |
US8566941B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
US7373666B2 (en) | Distributed threat management | |
US20060288414A1 (en) | Method and system for preventing virus infection | |
KR100908404B1 (ko) | 분산서비스거부공격의 방어방법 및 방어시스템 | |
CA3021285C (en) | Methods and systems for network security | |
CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
CN114095258A (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
CN101827081A (zh) | 检测请求安全性的方法及系统 | |
US8234503B2 (en) | Method and systems for computer security | |
CN101827080A (zh) | 一种阻止网络攻击的方法及装置 | |
CN103023943A (zh) | 任务处理方法及其装置、终端设备 | |
KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
KR20050055996A (ko) | 종합 보안 상황 관리 시스템 | |
CN107493282B (zh) | 一种分布式攻击的处理方法及装置 | |
KR100464567B1 (ko) | 센서를 이용한 액티브 네트워크 침입패킷 대응방법 | |
JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 | |
KR20030080539A (ko) | 네트워크 자원 관리 시스템 및 보안통제 관리방법 | |
CN115118481B (zh) | 一种主机信息采集方法、装置、设备及介质 | |
KR100432166B1 (ko) | 글로벌 침입탐지 시스템에서 보안정책전달을 위한메시지전송수단과, 그에 의한 보안정책전달 및 처리방법 | |
JP3446891B2 (ja) | 監視システム | |
KR20030050307A (ko) | 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100908 |