CN103379099A - 恶意攻击识别方法及系统 - Google Patents
恶意攻击识别方法及系统 Download PDFInfo
- Publication number
- CN103379099A CN103379099A CN2012101171361A CN201210117136A CN103379099A CN 103379099 A CN103379099 A CN 103379099A CN 2012101171361 A CN2012101171361 A CN 2012101171361A CN 201210117136 A CN201210117136 A CN 201210117136A CN 103379099 A CN103379099 A CN 103379099A
- Authority
- CN
- China
- Prior art keywords
- address
- access log
- web access
- page request
- malicious attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种恶意攻击识别方法,包括以下步骤:读取最新的web访问日志;判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤;获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。本申请还提供了一种实现前述方法的恶意攻击识别系统。本申请的恶意攻击识别方法及系统,能够提高恶意攻击识别的准确性和识别率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种恶意攻击识别方法及系统。
背景技术
目前一些比较大型的地方论坛社区由于种种原因,经常会遭受黑客的攻击,最终经常都损失惨重,有的服务器会带宽耗尽,有的服务器负载很高。其中,常见的攻击为CC(ChallengeCollapsar)攻击,可以归为DDoS攻击的一种,是一种连接攻击,原理为通过发送大量的请求数据来导致服务器拒绝服务。其中CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现攻击。肉鸡就是被黑客攻破,种植了木马病毒的电脑,肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击。
对于前述的连接攻击,目前的解决方案基本上都是实时获取每个IP地址的链接数,即页面请求数,将预定时间内链接数超过一定阀值的IP地址加入黑名单中,禁止该IP地址的访问。
这种方法,对于普通的ddos攻击,可以取得较好的效果,但是针对黑客掌握大量肉鸡,然后通过肉鸡来攻击,并通过控制肉鸡的连接数的情况,这可能起不到任何效果,因此目前的方法具有一定的使用局限性,无法准确的识别肉鸡CC攻击。
发明内容
本申请提供一种恶意攻击识别方法及系统,能够解决恶意攻击识别局限性和准确性的问题。
为了解决上述问题,本申请公开了一种恶意攻击识别方法,包括以下步骤:
读取最新的web访问日志;
判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤;
获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
进一步地,所述读取最新的web访问日志包括:
间隔预定时间读取一次;或
对新的web访问日志数量进行监控,若新的web访问日志数量超过预定值,则读取一次。
进一步地,所述读取最新的web访问日志包括:
间隔预定时间读取固定数量的web访问日志;
记录每次读取的最新web访问日志产生的时间点,并进行标识;
若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点,则只保留该时间点之后的web访问日志。
进一步地,判断所述最新的web访问日志中是否包含静态资源文件包括:
获取新的web访问日志中各文件的后缀;
将所述后缀与预先存储的后缀进行匹配;
若新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上,则确定新的web访问日志中包含有静态资源文件。
进一步地,所述判断单个IP地址的页面请求数是否超过阈值包括:
统计新的web访问日志中每个IP地址分别对应的页面请求数;
选取页面请求数最大的IP地址;
判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行下一步骤;反之,则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值;
从余下的IP地址中选取页面请求数最大的IP地址,并重复前一步骤。
进一步地,所述判断单个IP地址的页面请求数是否超过阈值包括:
S1,统计新的web访问日志中每个IP地址分别对应的页面请求数;
S2,按照页面请求数从大到小的顺序对所有的IP地址进行排序;
S3,选取序号在预定数值内的IP地址;
S4,逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行步骤S5,反之,则不作处理;
S5,对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序,并重复步骤S3和S4。
进一步地,所述步骤S4包括:
按照序号从大到小选取最大序号的IP地址;
判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值;若否,则进行下一步骤;
按照序号从大到小选取下一序号的IP地址,重复前一步骤。
进一步地,所述方法还包括:
禁止确定为恶意攻击的IP地址的访问。
进一步地,所述禁止确定为恶意攻击的IP地址的访问包括:
将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。
为了解决上述问题,本申请还公开了一种恶意攻击识别系统,包括:
访问日志读取模块,用于读取最新的web访问日志;
静态资源文件判断模块,用于判断所述最新的web访问日志中是否包含静态资源文件;
页面请求数判断模块,用于获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
进一步地,所述访问日志读取模块包括:
时间单元,用于间隔预定时间触发访问日志模块读取新的web访问日志;或
数量单元,用于对新的web访问日志数量进行监控,若新的web访问日志数量超过预定值,则触发访问日志模块读取新的web访问日志。
进一步地,所述访问日志读取模块包括:
读取单元,用于间隔预定时间读取固定数量的web访问日志;
时间点标识单元,用于记录每次读取的最新web访问日志产生的时间点,并进行标识;
选择单元,用于判断下次读取的web访问日志中是否包含有前一次读取的最新web访问日志产生的时间点,若有,则只保留该时间点之后的web访问日志。
进一步地,所述静态资源文件判断模块包括:
后缀获取单元,用于获取新的web访问日志中各文件的后缀;
匹配单元,用于将所述后缀与预先存储的后缀进行匹配;
确定单元,用于根据匹配结果确定新的web访问日志中是否包含静态资源文件。
进一步地,所述页面请求数判断模块包括:
统计单元,用于统计新的web访问日志中每个IP地址分别对应的页面请求数;
最大页面请求数选取单元,用于选取页面请求数最大的IP地址;
比较单元,用于判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并触发最大页面请求数选取单元重新选取新的IP地址再次进行比较;反之,则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值。
进一步地,所述页面请求数判断模块包括:
统计单元,用于统计新的web访问日志中每个IP地址分别对应的页面请求数;
排序单元,用于按照页面请求数从大到小的顺序对所有的IP地址进行排序;
选取单元,用于选取序号在预定数值内的IP地址;
判断单元,用于逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并触发排序单元对余下的IP地址重新排序,然后通过选取单元和判断单元重新选取和判断,反之,则不作处理。
进一步地,所述判断单元包括:
最大序号选取子单元,用于按照序号从大到小选取最大序号的IP地址;
确定子单元,用于判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值,若否,则触发最大序号选取子单元重新选取并再次判断。
进一步地,所述系统还包括:
禁止访问模块,用于禁止确定为恶意攻击的IP地址的访问。
与现有技术相比,本申请包括以下优点:
本申请的恶意攻击识别方法及系统,通过实时监控新的web访问日志,根据新的web访问日志中所包含的文件来判断一个IP地址对服务器的访问是否为恶意访问,利用人工正常访问和恶意攻击的区别进行实时判断,同时再结合页面请求数来综合判断,可以保证判断结果的准确性,同时可以识别出恶意攻击者利用正常用户的客户端来进行的恶意攻击,提高了恶意攻击识别率。
另外,在进行新的web访问日志读取的过程中,采用时间点和数量像结合的方式,可以实时获取最新的web访问日志,又可以避免重复读取,可以提高识别恶意攻击的效率。
进一步地,在进行页面请求数判断的时候,通过对新的web访问日志中各IP地址的页面请求数进行排序的方式来进行是否超过阈值的比较,可以快速的得出结果,提高了识别效率。
当然,实施本申请的任一产品不一定需要同时达到以上所述的所有优点。
附图说明
图1是本申请的恶意攻击识别实现的系统架构图;
图2是本申请的恶意攻击识别方法实施例一的流程图;
图3是本申请的恶意攻击识别方法实施例二的流程图;
图4是本申请的恶意攻击识别系统实施例一的结构示意图;
图5是本申请的恶意攻击识别系统实施例二的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
参照图1,示出实现本申请的恶意攻击识别系统架构图。通过在服务器中设置恶意攻击识别装置来实时获取各IP地址对网站的web访问日志,并从web访问日志中获取相关信息来进行判断,并将实时判断结果反馈给服务器,从而实现对恶意攻击的IP地址的实时监控。
下面对本申请的恶意攻击识别方法及系统进行详细的说明。
参照图2,示出本申请的一种恶意攻击识别方法实施例一,包括以下步骤:
步骤101,读取最新的web访问日志。
其中最新的web访问日志可以通过如下方式读取:可以设定读取的时间,间隔预定时间读取一次,例如每隔一分钟读取这一分钟内的所有新的web访问日志。也可以设定读取的条数,通过对新的web访问日志数量进行实时监控,当新的web访问日志数量超过设定条数时从服务器中存储web访问日志的数据库中读取,例如当新的web访问日志数量超过1000时,读取一次。可以理解,还可以采用间隔一定时间读取一定数量的web访问日志的方式,即不对web访问日志数量进行监控,也不监控是否是新的web访问日志。而是以读取的web访问日志的时间点来进行判断。每隔一定时间读取固定数量的web访问日志,读取后记录本次读取的最新web访问日志产生的时间点,并进行标识,当下次读取出来的web访问日志包含有上次读取的最新web访问日志产生的时间点,则截止到这个时间点,即只保留这个时间点以后产生的web访问日志。通过数量与时间点的结合,可以保证每次读取的web访问日志不会重复,同时无需进行实时监控,可以减少对服务器资源的占用。可以理解的是,为了避免每次读取的web访问日志中包含较多上次读取的时间点前的web访问日志,或者不能完全读取新的web访问日志。可以预先对web访问日志产生的数量进行统计和估计,确定一个较为合适的数量。
步骤102,判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤。
判断是否包含静态资源文件可以通过获取web访问日志中各文件的后缀,并与预先存储的代表静态资源文件的后缀进行匹配,若新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上,则说明最新的web访问日志中包含有静态资源文件,反之,则说明不包含。其中预先存储的代表静态资源文件的后缀可以通过实际情况分析获取,并与记录表等形式存储在服务器中或者下载到本地客户端。通常情况下,静态资源文件包含图片、css样式文件或javascript脚本文件。可以对这些文件的后缀进行提取并存储,以供后续匹配使用。因为是否包含静态资源文件是正常用户与恶意攻击者在访问网站时的区别点,通常情况下,恶意攻击者为了实现恶意攻击,只是不断提出访问请求,并不会真正的去请求网站中所有页面资源,特别是耗时的静态页面资源,通过此种方式,可以对恶意攻击进行很好的识别。
步骤103,获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
单个IP地址的页面请求数可以根据web访问日志的数量来确定,每个IP地址的web访问日志的数量即为其页面请求数。
优选地,为了减少判断次数,还可以通过如下方式来对web访问日志所包含的IP地址的页面请求数是否超过阈值进行判断:
统计新的web访问日志中每个IP地址分别对应的页面请求数;
选取页面请求数最大的IP地址;
判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行下一步骤;反之,则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值;
从余下的IP地址中选取页面请求数最大的IP地址,并重复前一步骤。
阈值可以根据设定的读取新的web访问日志的时间间隔等因素设定,例如,当读取新的web访问日志的时间间隔为1分钟时,可以设定阈值为100个或50个,因为正常情况下,一个正常用户几乎不可能在短时间内提出100次或50次访问请求。具体数值本申请对此并不限制,可以理解的是,为了避免出现误判,可以在允许的情况下适当提高阈值。
可以理解,还可以通过如下方式来对web访问日志所包含的IP地址的页面请求数是否超过阈值进行判断:
S1,统计新的web访问日志中所有的IP地址分别对应的页面请求数;
S2,按照页面请求数从大到小的顺序对所有的IP地址进行排序;
S3,选取序号在预定数值内的IP地址;
S4,逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行步骤S5,反之,则不作处理;
S5,对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序,并重复步骤S3和S4。
其中,预定数值可以根据实际情况设定,可以考虑的因素包括但不限于服务器的运算能力和效率、新的web访问日志中可能包含的IP地址数量,或者新的web访问日志中可能超过阈值的IP地址数量等等。其中,IP地址数量可以根据历史数据统计得出,也可以根据经验估计。总的来书,预定数值的设定,只要能够快速的得出判断结果即可,本申请对此并不限制。例如,每次选取50个序号等等。
优选地,因为各IP地址按照页面请求数的大小进行过排序,因此步骤S4还可以通过如下方式进行判断,即:
按照序号从大到小选取最大序号的IP地址;
判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值;若否,则进行下一步骤;
按照序号从大到小选取下一序号的IP地址,重复前一步骤。
参照图3,示出本申请的恶意攻击识别方法实施例二,在实施例一的基础上还包括:
步骤201,禁止确定为恶意攻击的IP地址的访问。
禁止所述IP地址的访问包括将IP地址加入软件防火墙的禁用列表中,可以理解,还可以通过其他方式来实现,具体可以通过根据需要设定特定程序来实现。例如,在centos或redhat下一般为iptables,这些软件都会提供命令来执行将IP地址加入禁用列表的过程,例如,/sbin/iptables-A INPUT-p tcp-s 192.168.1.12-j DROP。
在前述方法中,通过实时监控新的web访问日志,根据新的web访问日志中所包含的文件来判断一个IP地址对服务器的访问是否为恶意访问,利用人工正常访问和恶意攻击的区别进行实时判断,同时再结合页面请求数来综合判断,可以保证判断结果的准确性,同时可以识别出恶意攻击者利用正常用户的客户端来进行的恶意攻击,提高了恶意攻击识别率。
另外,在进行新的web访问日志读取的过程中,采用时间点和数量像结合的方式,可以实时获取最新的web访问日志,又可以避免重复读取,可以提高识别恶意攻击的效率。
进一步地,在进行页面请求数判断的时候,通过对新的web访问日志中各IP地址的页面请求数进行排序的方式来进行是否超过阈值的比较,可以快速的得出结果,提高了识别效率。
参照图4,示出本申请的一种恶意攻击识别系统,包括访问日志读取模块10、静态资源文件判断模块20和页面请求数判断模块30。
访问日志读取模块10,用于读取最新的web访问日志。
静态资源文件判断模块20,用于判断所述最新的web访问日志中是否包含静态资源文件。
页面请求数判断模块30,用于获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
其中,访问日志读取模块10包括时间单元或数量单元。时间单元,用于间隔预定时间触发访问日志模块读取新的web访问日志。数量单元,用于对新的web访问日志数量进行监控,若新的web访问日志数量超过预定值,则触发访问日志模块读取新的web访问日志。
优选地,访问日志读取模块10也可以包括读取单元、时间点标识单元和选择单元。
读取单元,用于间隔预定时间读取固定数量的web访问日志。
时间点标识单元,用于记录每次读取的最新web访问日志产生的时间点,并进行标识。
选择单元,用于判断下次读取的web访问日志中是否包含有前一次读取的最新web访问日志产生的时间点,若有,则只保留该时间点之后的web访问日志。
优选地,静态资源文件判断模块20包括后缀获取单元、匹配单元和确定单元。后缀获取单元,用于获取新的web访问日志中各文件的后缀。匹配单元,用于将所述后缀与预先存储的后缀进行匹配。确定单元,用于根据匹配结果确定新的web访问日志中是否包含静态资源文件。
优选地,页面请求数判断模块30包括统计单元、最大页面请求数选取单元和比较单元。统计单元,用于统计新的web访问日志中每个IP地址分别对应的页面请求数。最大页面请求数选取单元,用于选取页面请求数最大的IP地址。比较单元,用于判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并触发最大页面请求数选取单元重新选取新的IP地址再次进行比较;反之,则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值。
可以理解,页面请求数判断模块30还可以包括统计单元、排序单元、选取单元和判断单元。统计单元,用于统计新的web访问日志中每个IP地址分别对应的页面请求数。排序单元,用于按照页面请求数从大到小的顺序对所有的IP地址进行排序。选取单元,用于选取序号在预定数值内的IP地址。判断单元,用于逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并触发排序单元对余下的IP地址重新排序,然后通过选取单元和判断单元重新选取和判断,反之,则不作处理。
优选地,判断单元还可以包括最大序号选取子单元和确定子单元。最大序号选取子单元,用于按照序号从大到小选取最大序号的IP地址。确定子单元,用于判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值,若否,则触发最大序号选取子单元重新选取并再次判断。
参照图5,示出本申请的恶意攻击识别系统实施例二,在实施例一的基础上还包括禁止访问模块40,用于禁止确定为恶意攻击的IP地址的访问。
其中可以通过将IP地址添加入软件防火墙的禁用列表中的方式来实现禁止访问。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上对本申请所提供的恶意攻击识别方法及系统进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (17)
1.一种恶意攻击识别方法,其特征在于,包括以下步骤:
读取最新的web访问日志;
判断所述最新的web访问日志中是否包含静态资源文件,若是,则不作处理,反之,则进行下一步骤;
获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
2.如权利要求1所述的恶意攻击识别方法,其特征在于,所述读取最新的web访问日志包括:
间隔预定时间读取一次;或
对新的web访问日志数量进行监控,若新的web访问日志数量超过预定值,则读取一次。
3.如权利要求1所述的恶意攻击识别方法,其特征在于,所述读取最新的web访问日志包括:
间隔预定时间读取固定数量的web访问日志;
记录每次读取的最新web访问日志产生的时间点,并进行标识;
若下次读取的web访问日志中包含有前一次读取的最新web访问日志产生的时间点,则只保留该时间点之后的web访问日志。
4.如权利要求1所述的恶意攻击识别方法,其特征在于,判断所述最新的web访问日志中是否包含静态资源文件包括:
获取新的web访问日志中各文件的后缀;
将所述后缀与预先存储的后缀进行匹配;
若新的web访问日志中任何一个文件的后缀能与预先存储的后缀中的任何一个匹配上,则确定新的web访问日志中包含有静态资源文件。
5.如权利要求1所述的恶意攻击识别方法,其特征在于,所述判断单个IP地址的页面请求数是否超过阈值包括:
统计新的web访问日志中每个IP地址分别对应的页面请求数;
选取页面请求数最大的IP地址;
判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行下一步骤;反之,则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值;
从余下的IP地址中选取页面请求数最大的IP地址,并重复前一步骤。
6.如权利要求1所述的恶意攻击识别方法,其特征在于,所述判断单个IP地址的页面请求数是否超过阈值包括:
S1,统计新的web访问日志中每个IP地址分别对应的页面请求数;
S2,按照页面请求数从大到小的顺序对所有的IP地址进行排序;
S3,选取序号在预定数值内的IP地址;
S4,逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并进行步骤S5,反之,则不作处理;
S5,对未被选取的IP地址按照页面请求数从大到小的顺序重新进行排序,并重复步骤S3和S4。
7.如权利要求6所述的恶意攻击识别方法,其特征在于,所述步骤S4包括:
按照序号从大到小选取最大序号的IP地址;
判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值;若否,则进行下一步骤;
按照序号从大到小选取下一序号的IP地址,重复前一步骤。
8.如权利要求1至7任一项所述的恶意攻击识别方法,其特征在于,所述方法还包括:
禁止确定为恶意攻击的IP地址的访问。
9.如权利要求8所述的恶意攻击识别方法,其特征在于,所述禁止确定为恶意攻击的IP地址的访问包括:
将确定为恶意攻击的IP地址加入软件防火墙的禁用列表中。
10.一种恶意攻击识别系统,其特征在于,包括:
访问日志读取模块,用于读取最新的web访问日志;
静态资源文件判断模块,用于判断所述最新的web访问日志中是否包含静态资源文件;
页面请求数判断模块,用于获取所述新的web访问日志中所包含的IP地址的页面请求数,判断单个IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击。
11.如权利要求10所述的恶意攻击识别系统,其特征在于,所述访问日志读取模块包括:
时间单元,用于间隔预定时间触发访问日志模块读取新的web访问日志;或
数量单元,用于对新的web访问日志数量进行监控,若新的web访问日志数量超过预定值,则触发访问日志模块读取新的web访问日志。
12.如权利要求10所述的恶意攻击识别系统,其特征在于,所述访问日志读取模块包括:
读取单元,用于间隔预定时间读取固定数量的web访问日志;
时间点标识单元,用于记录每次读取的最新web访问日志产生的时间点,并进行标识;
选择单元,用于判断下次读取的web访问日志中是否包含有前一次读取的最新web访问日志产生的时间点,若有,则只保留该时间点之后的web访问日志。
13.如权利要求10所述的恶意攻击识别系统,其特征在于,所述静态资源文件判断模块包括:
后缀获取单元,用于获取新的web访问日志中各文件的后缀;
匹配单元,用于将所述后缀与预先存储的后缀进行匹配;
确定单元,用于根据匹配结果确定新的web访问日志中是否包含静态资源文件。
14.如权利要求10所述的恶意攻击识别系统,其特征在于,所述页面请求数判断模块包括:
统计单元,用于统计新的web访问日志中每个IP地址分别对应的页面请求数;
最大页面请求数选取单元,用于选取页面请求数最大的IP地址;
比较单元,用于判断该IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并触发最大页面请求数选取单元重新选取新的IP地址再次进行比较;反之,则确定新的web访问日志中所包含的IP地址的页面请求数未超过阈值。
15.如权利要求10所述的恶意攻击识别系统,其特征在于,所述页面请求数判断模块包括:
统计单元,用于统计新的web访问日志中每个IP地址分别对应的页面请求数;
排序单元,用于按照页面请求数从大到小的顺序对所有的IP地址进行排序;
选取单元,用于选取序号在预定数值内的IP地址;
判断单元,用于逐个判断选取的IP地址中各IP地址的页面请求数是否超过阈值,若是,则确定所述IP地址的访问为恶意攻击,并触发排序单元对余下的IP地址重新排序,然后通过选取单元和判断单元重新选取和判断,反之,则不作处理。
16.如权利要求15所述的恶意攻击识别系统,其特征在于,所述判断单元包括:
最大序号选取子单元,用于按照序号从大到小选取最大序号的IP地址;
确定子单元,用于判断该IP地址的页面请求数是否超过阈值,若是,则确定序号小于和等于当前IP地址的所有IP地址的页面请求数都超过阈值,若否,则触发最大序号选取子单元重新选取并再次判断。
17.如权利要求10至16任一项所述的恶意攻击识别系统,其特征在于,所述系统还包括:
禁止访问模块,用于禁止确定为恶意攻击的IP地址的访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210117136.1A CN103379099B (zh) | 2012-04-19 | 2012-04-19 | 恶意攻击识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210117136.1A CN103379099B (zh) | 2012-04-19 | 2012-04-19 | 恶意攻击识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103379099A true CN103379099A (zh) | 2013-10-30 |
| CN103379099B CN103379099B (zh) | 2017-08-04 |
Family
ID=49463663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210117136.1A Active CN103379099B (zh) | 2012-04-19 | 2012-04-19 | 恶意攻击识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103379099B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685294A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
| CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
| CN104618328A (zh) * | 2014-12-29 | 2015-05-13 | 厦门欣欣信息有限公司 | 网络安全防护方法及装置 |
| WO2015103764A1 (en) * | 2014-01-10 | 2015-07-16 | Hewlett-Packard Development Company, L.P. | Monitoring an object to prevent an occurrence of an issue |
| CN104852817A (zh) * | 2015-04-21 | 2015-08-19 | 丽水学院 | 一种利用公网组建专业网的系统及方法 |
| CN105653724A (zh) * | 2016-01-20 | 2016-06-08 | 北京京东尚科信息技术有限公司 | 一种页面曝光量的监控方法和装置 |
| CN105992194A (zh) * | 2015-01-30 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 网络数据内容的获取方法及装置 |
| CN106411819A (zh) * | 2015-07-30 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种识别代理互联网协议地址的方法及装置 |
| CN106506497A (zh) * | 2016-11-04 | 2017-03-15 | 广州华多网络科技有限公司 | 伪造白名单ip地址检测方法、装置及服务器 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN107360148A (zh) * | 2017-07-05 | 2017-11-17 | 深圳市卓讯信息技术有限公司 | 基于实时监测网络安全的内核设计方法及其系统 |
| CN108073712A (zh) * | 2017-12-22 | 2018-05-25 | 金蝶软件(中国)有限公司 | 信息系统中的主数据删除方法、装置和计算机设备 |
| CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN108718310A (zh) * | 2018-05-18 | 2018-10-30 | 安徽继远软件有限公司 | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 |
| CN108768926A (zh) * | 2017-04-03 | 2018-11-06 | 瞻博网络公司 | 受感染主机设备的跟踪和缓解 |
| CN110012011A (zh) * | 2019-04-03 | 2019-07-12 | 北京奇安信科技有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
| CN110401664A (zh) * | 2019-07-30 | 2019-11-01 | 广东分利宝金服科技有限公司 | 恶意网络cc攻击防范的方法及装置 |
| CN110557371A (zh) * | 2019-07-31 | 2019-12-10 | 中至数据集团股份有限公司 | 一种访问限制方法、系统、可读存储介质及游戏服务器 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1975725A (zh) * | 2006-12-12 | 2007-06-06 | 华为技术有限公司 | 一种管理日志的方法及系统 |
| CN101110078A (zh) * | 2006-07-18 | 2008-01-23 | 富士通株式会社 | 网站构建支持系统和方法及记录有支持程序的记录介质 |
| CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
| CN101232399A (zh) * | 2008-02-18 | 2008-07-30 | 刘峰 | 网站异常访问分析方法 |
| CN101383832A (zh) * | 2008-10-07 | 2009-03-11 | 成都市华为赛门铁克科技有限公司 | 一种挑战黑洞攻击防御方法及装置 |
| CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| CN101482956A (zh) * | 2008-03-21 | 2009-07-15 | 深圳市时代赢客网络有限公司 | 广告计费方法、广告主站点、广告发布平台和广告平台 |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
-
2012
- 2012-04-19 CN CN201210117136.1A patent/CN103379099B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110078A (zh) * | 2006-07-18 | 2008-01-23 | 富士通株式会社 | 网站构建支持系统和方法及记录有支持程序的记录介质 |
| CN1975725A (zh) * | 2006-12-12 | 2007-06-06 | 华为技术有限公司 | 一种管理日志的方法及系统 |
| CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
| CN101232399A (zh) * | 2008-02-18 | 2008-07-30 | 刘峰 | 网站异常访问分析方法 |
| CN101482956A (zh) * | 2008-03-21 | 2009-07-15 | 深圳市时代赢客网络有限公司 | 广告计费方法、广告主站点、广告发布平台和广告平台 |
| CN101383832A (zh) * | 2008-10-07 | 2009-03-11 | 成都市华为赛门铁克科技有限公司 | 一种挑战黑洞攻击防御方法及装置 |
| CN101437030A (zh) * | 2008-11-29 | 2009-05-20 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 陈仲华;张连营;王孝明: "CC攻击检测方法研究", 《电信科学》 * |
| 陈文波; 张秀娟; 李林; 唐钧: "基于Hadoop的分布式日志分析系统", 《广西大学学报(自然科学版)》 * |
Cited By (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN103685294A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN103701795B (zh) * | 2013-12-20 | 2017-11-24 | 北京奇安信科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| US10735246B2 (en) | 2014-01-10 | 2020-08-04 | Ent. Services Development Corporation Lp | Monitoring an object to prevent an occurrence of an issue |
| WO2015103764A1 (en) * | 2014-01-10 | 2015-07-16 | Hewlett-Packard Development Company, L.P. | Monitoring an object to prevent an occurrence of an issue |
| CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
| CN104618328A (zh) * | 2014-12-29 | 2015-05-13 | 厦门欣欣信息有限公司 | 网络安全防护方法及装置 |
| CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
| CN104580230B (zh) * | 2015-01-15 | 2017-12-08 | 广州品唯软件有限公司 | 网站攻击验证方法及装置 |
| CN105992194A (zh) * | 2015-01-30 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 网络数据内容的获取方法及装置 |
| CN105992194B (zh) * | 2015-01-30 | 2019-10-29 | 阿里巴巴集团控股有限公司 | 网络数据内容的获取方法及装置 |
| CN104852817A (zh) * | 2015-04-21 | 2015-08-19 | 丽水学院 | 一种利用公网组建专业网的系统及方法 |
| CN106411819A (zh) * | 2015-07-30 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种识别代理互联网协议地址的方法及装置 |
| CN106411819B (zh) * | 2015-07-30 | 2020-09-11 | 阿里巴巴集团控股有限公司 | 一种识别代理互联网协议地址的方法及装置 |
| CN105653724A (zh) * | 2016-01-20 | 2016-06-08 | 北京京东尚科信息技术有限公司 | 一种页面曝光量的监控方法和装置 |
| CN105653724B (zh) * | 2016-01-20 | 2019-07-02 | 北京京东尚科信息技术有限公司 | 一种页面曝光量的监控方法和装置 |
| CN106506497A (zh) * | 2016-11-04 | 2017-03-15 | 广州华多网络科技有限公司 | 伪造白名单ip地址检测方法、装置及服务器 |
| CN106506497B (zh) * | 2016-11-04 | 2019-08-30 | 广州华多网络科技有限公司 | 伪造白名单ip地址检测方法、装置及服务器 |
| CN106506547B (zh) * | 2016-12-23 | 2020-07-10 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
| CN108768926B (zh) * | 2017-04-03 | 2021-03-02 | 瞻博网络公司 | 受感染主机设备的跟踪和缓解 |
| US10834103B2 (en) | 2017-04-03 | 2020-11-10 | Juniper Networks, Inc. | Tracking and mitigation of an infected host device |
| CN108768926A (zh) * | 2017-04-03 | 2018-11-06 | 瞻博网络公司 | 受感染主机设备的跟踪和缓解 |
| CN107360148A (zh) * | 2017-07-05 | 2017-11-17 | 深圳市卓讯信息技术有限公司 | 基于实时监测网络安全的内核设计方法及其系统 |
| CN108073712B (zh) * | 2017-12-22 | 2020-08-18 | 金蝶软件(中国)有限公司 | 信息系统中的主数据删除方法、装置和计算机设备 |
| CN108073712A (zh) * | 2017-12-22 | 2018-05-25 | 金蝶软件(中国)有限公司 | 信息系统中的主数据删除方法、装置和计算机设备 |
| CN108183916B (zh) * | 2018-01-15 | 2020-08-14 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN108718310A (zh) * | 2018-05-18 | 2018-10-30 | 安徽继远软件有限公司 | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 |
| CN108718310B (zh) * | 2018-05-18 | 2021-02-26 | 安徽继远软件有限公司 | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 |
| CN110012011B (zh) * | 2019-04-03 | 2021-02-26 | 奇安信科技集团股份有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
| CN110012011A (zh) * | 2019-04-03 | 2019-07-12 | 北京奇安信科技有限公司 | 防止恶意登录的方法、装置、计算机设备及存储介质 |
| CN110401664A (zh) * | 2019-07-30 | 2019-11-01 | 广东分利宝金服科技有限公司 | 恶意网络cc攻击防范的方法及装置 |
| CN110557371A (zh) * | 2019-07-31 | 2019-12-10 | 中至数据集团股份有限公司 | 一种访问限制方法、系统、可读存储介质及游戏服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103379099B (zh) | 2017-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103379099A (zh) | 恶意攻击识别方法及系统 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| CN103918222A (zh) | 用于检测拒绝服务攻击的系统和方法 | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN109688105A (zh) | 一种威胁报警信息生成方法及系统 | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CN104426850A (zh) | 基于插件的漏洞检测方法 | |
| CN112685734B (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
| CN114928452B (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
| CN109409113A (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN112583789B (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
| CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| CN115426154A (zh) | 一种挖矿行为监测方法、装置、设备及存储介质 | |
| CN109617925B (zh) | 一种针对网络攻击的防护、区间标记的设置方法及系统 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1186880 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1186880 Country of ref document: HK |