CN103701816A - 执行拒绝服务攻击的服务器的扫描方法和扫描装置 - Google Patents
执行拒绝服务攻击的服务器的扫描方法和扫描装置 Download PDFInfo
- Publication number
- CN103701816A CN103701816A CN201310741787.2A CN201310741787A CN103701816A CN 103701816 A CN103701816 A CN 103701816A CN 201310741787 A CN201310741787 A CN 201310741787A CN 103701816 A CN103701816 A CN 103701816A
- Authority
- CN
- China
- Prior art keywords
- server
- file
- request
- denial
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 239000000284 extract Substances 0.000 claims description 14
- 238000007689 inspection Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 abstract description 17
- 230000003068 static effect Effects 0.000 abstract description 9
- 230000006399 behavior Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000009825 accumulation Methods 0.000 description 3
- 241000287828 Gallus gallus Species 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000001846 repelling effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种执行拒绝服务攻击的服务器的扫描方法和扫描装置。其中执行拒绝服务攻击的服务器的扫描方法包括以下步骤:获取并解析网站访问请求;判断解析出的请求中是否包括拒绝服务攻击行为;若是,对发出网站访问请求的服务器进行文件扫描,以确定服务器中是否包含与已知恶意特征匹配的文件。利用本发明的技术方案,动态获取执行拒绝服务攻击的服务器的攻击行为,实现了服务器中恶意文件的动态行为分析,然后对服务器中的文件利用已知的特征库文件对服务器进行遍历扫描,以实现服务器的静态扫描。从而结合了动态行为分析和文件静态扫描,实现了对拒绝服务攻击的精确查杀,提高了网络的安全性。
Description
技术领域
本发明涉及互联网,特别是涉及一种执行拒绝服务攻击的服务器的扫描方法和扫描装置。
背景技术
拒绝服务攻击(Denial of Service,简称Dos攻击)即攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。利用大量超出攻击目标的响应能力的请求消耗大量攻击目标的资源,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。严重时可以使某些服务被暂停甚至主机死机。
作为拒绝服务攻击的一种,CC攻击(Challenge Collapsar,挑战黑洞攻击),是利用不断对网站发送连接请求致使形成拒绝服务的目的的一种恶意攻击手段。其原理为模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成目标主机服务器资源耗尽,一直到宕机崩溃。
由于服务器自身的强大性能,其作为拒绝服务攻击的攻击源(即服务器肉鸡)带来的破坏性远大于一般肉鸡。针对服务器进行拒绝服务攻击的尚无有效的查杀方法。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的执行拒绝服务攻击的服务器的扫描装置和相应的执行拒绝服务攻击的服务器的扫描方法。本发明一个进一步的目的是要使得提供一种针对服务器进行执行拒绝服务攻击的查杀方法,保证网络安全性。
依据本发明的一个方面,提供了一种执行拒绝服务攻击的服务器的扫描方法。该执行拒绝服务攻击的服务器的扫描方法,包括以下步骤:获取并解析网站访问请求;判断解析出的请求中是否包括拒绝服务攻击行为;若是,对发出网站访问请求的服务器进行文件扫描,以确定服务器中是否包含与已知恶意特征匹配的文件。
可选地,获取并解析网站访问请求包括:获取网页应用防护系统的运行日志文件;从运行日志文件中提取出网站访问请求,并进行解析。
可选地,判断解析出的请求中是否包括拒绝服务攻击行为包括:检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;若是,确定解析出的请求中包括拒绝服务攻击行为。
可选地,对发出网站访问请求的服务器进行文件扫描包括:由安装在服务器上的客户端对发出网站访问请求的服务器进行文件扫描,其中客户端中预置有已知恶意特征。
可选地,在对发出网站访问请求的服务器进行文件扫描之后还包括:输出包含与已知恶意特征匹配的文件的信息,并提供对文件的处理选项。
可选地,在对发出网站访问请求的服务器进行文件扫描之后还包括:上传与已知恶意特征匹配的文件,作为提取恶意特征的样本。
根据本发明的另一个方面,还提供了一种执行拒绝服务攻击的服务器的扫描装置。该执行拒绝服务攻击的服务器的扫描装置包括:获取模块,用于获取并解析网站访问请求;判断模块,用于判断解析出的请求中是否包括拒绝服务攻击行为;文件扫描模块,用于在判断模块的判断结果为是的情况下,对发出网站访问请求的服务器进行文件扫描,以确定服务器中是否包含与已知恶意特征匹配的文件。
可选地,获取模块被配置为:获取网页应用防护系统的运行日志文件;从运行日志文件中提取出网站访问请求,并进行解析。
可选地,判断模块被配置为:检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;若是,确定解析出的请求中包括拒绝服务攻击行为。
可选地,文件扫描模块被配置为:由安装在服务器上的客户端对发出网站访问请求的服务器进行文件扫描,其中客户端中预置有已知恶意特征。
可选地,该执行拒绝服务攻击的服务器的扫描装置还包括:信息输出模块,用于输出包含与已知恶意特征匹配的文件的信息,并提供对文件的处理选项。
可选地,该执行拒绝服务攻击的服务器的扫描装置还包括:样本分析模块,用于上传与已知恶意特征匹配的文件,作为提取恶意特征的样本。
本发明的执行拒绝服务攻击的服务器的扫描方法和扫描装置,动态获取执行拒绝服务攻击的服务器的攻击行为,实现了服务器中恶意文件的动态行为分析,然后对服务器中的文件利用已知的特征库文件对服务器进行遍历扫描,以实现服务器的静态扫描。从而结合了动态行为分析和文件静态扫描,实现了对拒绝服务攻击的精确查杀,提高了网络的安全性。
进一步地,利用网页应用防护系统获取访问请求并进行攻击源识别,而且用于对服务器文件进行遍历扫描的恶意特征经过大数据的分析积累,提高了动态分析和静态文件扫描的准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是根据本发明一个实施例的执行拒绝服务攻击的服务器的扫描装置200的网络应用环境的示意图;
图2是根据本发明一个实施例的执行拒绝服务攻击的服务器的扫描装置200的示意图;以及
图3是根据本发明一个实施例的执行拒绝服务攻击的服务器的方法的示意图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
现有技术中对木马和病毒查杀方式一般存在两种,一种是提供一种按照安全策略限制程序行为的执行环境,监控程序对系统或资源的调用情况确定是否存在程序中是否存在恶意行为,一般可以称之为动态行为查杀;另一种是将文件或程序与预先确定的病毒库的特征码进行比较,以判断是否恶意文件。
以上两种查杀方式对拒绝服务攻击的效果有限,这是因为首先进行拒绝服务攻击的过程发出的访问请求与一般请求的差异较小,而且很难构造出能够触发拒绝服务攻击的运行环境。而且在大量的服务器中利用特征查杀方式找出恶意文件效率低,而且容易忽略变异的恶意脚本。
针对以上问题,本发明实施例借助于网页应用防护系统(Web ApplicationFirewall,简称WAF)分析积累的大量访问请求数据,结合了动态行为分析和文件静态扫描,实现了对拒绝服务攻击的精确查杀,提高了网络的安全性。
图1是根据本发明一个实施例的执行拒绝服务攻击的服务器的扫描装置200的网络应用环境的示意图,网页客户端110访问目标网站时,经过域名解析系统DNS的解析,将输入的域名解析为网页防护系统分布在各地机房的节点服务器120对应的地址,节点服务器120通过互联网向目标网站的主机140发出访问请求,在目标主机140之前设置了网页应用防护系统130(WebApplication Firewall,简称WAF),向目标主机140发出的访问请求必须经过WAF130才能到达目标主机140,WAF130作为网站防火防火墙,提供网站的加速和缓存服务,可防止黑客利用跨站注入等漏洞对网站进行入侵,保护网站不被篡改和入侵,提高网站主机的安全性。本发明实施例的执行拒绝服务攻击的服务器的扫描装置与多个WAF130数据连接,根据WAF130收到的向目标主机140发送的访问请求识别出拒绝服务攻击,并确定出执行拒绝服务攻击的服务器,以对该服务器进行特征扫描,从根本上清除恶意文件。
图2是根据本发明一个实施例的执行拒绝服务攻击的服务器的扫描装置200的示意图。该拒绝服务攻击的服务器的扫描装置200一般性地可包括:获取模块210、判断模块220、文件扫描模块230。在一些优化方案中,该拒绝服务攻击的服务器的扫描装置200还可以增加设置有信息输出模块240和样本分析模块250。
在以上部件中,获取模块210用于获取并解析网站访问请求;判断模块220用于判断解析出的请求中是否包括拒绝服务攻击行为;在判断模块的判断结果为是的情况下文件扫描模块230用于对发出网站访问请求的服务器进行文件扫描,以确定服务器中是否包含与已知恶意特征匹配的文件。
其中,获取模块210被配置为:获取网页应用防护系统的运行日志文件;从运行日志文件中提取出网站访问请求,并进行解析。一般运行日志文件中均记录了请求源的ip地址、请求的目标主机的统一资源定位符(UniversalResource Locator,简称URL)、请求次数、请求端口等内容。
判断模块220根据对运行日志文件的解析结果进行分析,如果发现有大量的有规律的数据,而且检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数等参数,可以确定发出该请求的客户端存在恶意文件需要进行拒绝服务攻击的文件扫描。
文件扫描模块230被配置为:由安装在服务器上的客户端对发出网站访问请求的服务器进行文件扫描,其中客户端中预置有已知恶意特征。以上预置恶意特征可以通过对判断模块220中确定出的目标IP、目标端口以及攻击次数等参数进行建模得到。而且恶意特征数据库可以根据攻击的变化进行更新并下发至各客户端,以保证识别恶意文件的准确性。
在文件扫描模块230确定出带有拒绝服务攻击恶意脚本或程序的文件后,可以由信息输出模块240输出包含与已知恶意特征匹配的文件的信息,并提供对文件的处理选项。服务器管理员可根据信息输出模块240输出的信息,对恶意文件进行处理,或者赋予文件扫描模块230修改或删除文件的权限,自动进行处理。另外本实施例的执行拒绝服务攻击的服务器的扫描装置200还可以使用样本分析模块250上传与已知恶意特征匹配的文件,作为提取恶意特征的样本,与请求记录文件中的数据进行比对,以进一步优化恶意特征数据库。
本发明实施例还提供了一种执行拒绝服务攻击的服务器的扫描方法。该执行拒绝服务攻击的服务器的扫描方法可以由以上介绍的任一种扫描装置200执行,以实现对拒绝服务攻击的精确查杀。图3是根据本发明一个实施例的执行拒绝服务攻击的服务器的方法的示意图。该执行拒绝服务攻击的服务器的方法包括以下步骤:
步骤S302,获取并解析网站访问请求;
步骤S304,判断解析出的请求中是否包括拒绝服务攻击行为;
步骤S306,若步骤S304的判断结果为是,对发出网站访问请求的服务器进行文件扫描,以确定服务器中是否包含与已知恶意特征匹配的文件。
步骤S302可以网页应用防护系统的运行日志文件中的数据获取访问请求,例如可以获取网页应用防护系统的运行日志文件;从运行日志文件中提取出网站访问请求,并进行解析。
步骤S304可以检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;若是,确定解析出的请求中包括拒绝服务攻击行为。
步骤S306可由安装在服务器上的客户端对发出网站访问请求的服务器进行文件扫描,其中客户端中预置有已知恶意特征。在步骤S306扫描出恶意文件或者恶意脚本后,可以输出包含与已知恶意特征匹配的文件的信息,并提供对文件的处理选项,并且上传与已知恶意特征匹配的文件,作为提取恶意特征的样本。在网站管理员开放文件处理权限时,可以在扫描出恶意脚本后自动进行处理。
一般拒绝服务攻击的恶意脚本中,必然包括攻击目标地址、攻击目标端口、攻击次数,有些恶意脚本中可能还会包括有启动密码、启动条件等内容。在确定出恶意脚本后,可以将这些内容进行建模,用于对恶意特征数据库的更新。
本实施例的执行拒绝服务攻击的服务器的方法通过网页应用防护系统的大数据分析积累、生成了用于识别进行拒绝服务攻击的恶意脚本的特征库,在服务器中安装有包含以上特征库的客户端后,该客户端可以根据特征库内容遍历网站文件,当发现到可疑文件时,将文件路径回传至执行拒绝服务攻击的服务器的扫描装置200以利用大数据分析技术,实时分析针对可疑文件的访问请求。当发现有访问请求或者历史记录的访问请求与可疑文件的攻击特征一致时,确定当前扫描的服务器已经被黑客利用,通过回传数据分析结果通知用户,谁、什么时候、访问过这个恶意文件,定位黑客的行为,以消除拒绝服务攻击对网络安全的危害。
以下对实用本发明实施例的执行拒绝服务攻击的服务器的扫描方法进行进一步分析。
首先服务器中安装的查杀客户端对服务器中的文件进行遍历扫描,确定服务器中是否存在与恶意特征匹配的文件,其中查杀客户端所按照的恶意特征数据库是利用对大量网站请求数据总结得出的数据生成的。
如果发现了与恶意特征匹配的文件,向执行拒绝服务攻击的服务器的扫描装置上传该文件,将该文件中参数与扫描装置获取的网站请求数据进行对比,判断是否实际存在与文件中内容对应的拒绝服务攻击请求。以上文件内容可能包括有地址、端口、次数等参数。扫描装置获取的网站请求数据可以从网页应用防护系统的实时数据和历史数据中得到,如果确实按照文件的内容,产生了对应的大量访问请求,则可以确定该恶意脚本已经产生了攻击行为。
执行拒绝服务攻击的服务器的扫描装置可以向感染该文件的服务器通知文件信息,以及时进行处理,并通过获取该文件的访问记录确定黑客的信息,为进一步追踪黑客提供了数据。
本发明实施例的执行拒绝服务攻击的服务器的扫描方法和扫描装置,动态获取执行拒绝服务攻击的服务器的攻击行为,实现了服务器中恶意文件的动态行为分析,然后对服务器中的文件利用已知的特征库文件对服务器进行遍历扫描,以实现服务器的静态扫描。从而结合了动态行为分析和文件静态扫描,实现了对拒绝服务攻击的精确查杀,提高了网络的安全性。
进一步地,利用网页应用防护系统获取访问请求并进行攻击源识别,而且用于对服务器文件进行遍历扫描的恶意特征经过大数据的分析积累,提高了动态分析和静态文件扫描的准确性。
本发明的实施例公开了:
A1.一种执行拒绝服务攻击的服务器的扫描方法,包括:
获取并解析网站访问请求;
判断解析出的请求中是否包括拒绝服务攻击行为;
若是,对发出所述网站访问请求的服务器进行文件扫描,以确定所述服务器中是否包含与已知恶意特征匹配的文件。
A2.根据A1所述的方法,其中,获取并解析网站访问请求包括:
获取网页应用防护系统的运行日志文件;
从所述运行日志文件中提取出所述网站访问请求,并进行解析。
A3.根据A1所述的方法,其中,判断解析出的请求中是否包括拒绝服务攻击行为包括:
检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;
若是,确定解析出的请求中包括拒绝服务攻击行为。
A4.根据A1所述的方法,其中,对发出所述网站访问请求的服务器进行文件扫描包括:
由安装在所述服务器上的客户端对发出所述网站访问请求的服务器进行文件扫描,其中所述客户端中预置有所述已知恶意特征。
A5.根据A1至A4中任一项所述的方法,其中,在对发出所述网站访问请求的服务器进行文件扫描之后还包括:
输出包含与已知恶意特征匹配的文件的信息,并提供对所述文件的处理选项。
A6.根据A5所述的方法,其中,在对发出所述网站访问请求的服务器进行文件扫描之后还包括:
上传所述与已知恶意特征匹配的文件,作为提取所述恶意特征的样本。
B7.一种执行拒绝服务攻击的服务器的扫描装置,包括:
获取模块,用于获取并解析网站访问请求;
判断模块,用于判断解析出的请求中是否包括拒绝服务攻击行为;
文件扫描模块,用于在所述判断模块的判断结果为是的情况下,对发出所述网站访问请求的服务器进行文件扫描,以确定所述服务器中是否包含与已知恶意特征匹配的文件。
B8.根据B7所述的装置,其中,所述获取模块被配置为:
获取网页应用防护系统的运行日志文件;从所述运行日志文件中提取出所述网站访问请求,并进行解析。
B9.根据B7所述的装置,其中,所述判断模块被配置为:
检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;若是,确定解析出的请求中包括拒绝服务攻击行为。
B10.根据B7所述的装置,其中,所述文件扫描模块被配置为:
由安装在所述服务器上的客户端对发出所述网站访问请求的服务器进行文件扫描,其中所述客户端中预置有所述已知恶意特征。
B11.根据B7至B10中任一项所述的装置,还包括:
信息输出模块,用于输出包含与已知恶意特征匹配的文件的信息,并提供对所述文件的处理选项。
B12.根据B11所述的装置,还包括:
样本分析模块,用于上传所述与已知恶意特征匹配的文件,作为提取所述恶意特征的样本。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的执行拒绝服务攻击的服务器的扫描装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
Claims (10)
1.一种执行拒绝服务攻击的服务器的扫描方法,包括:
获取并解析网站访问请求;
判断解析出的请求中是否包括拒绝服务攻击行为;
若是,对发出所述网站访问请求的服务器进行文件扫描,以确定所述服务器中是否包含与已知恶意特征匹配的文件。
2.根据权利要求1所述的方法,其中,获取并解析网站访问请求包括:
获取网页应用防护系统的运行日志文件;
从所述运行日志文件中提取出所述网站访问请求,并进行解析。
3.根据权利要求1所述的方法,其中,判断解析出的请求中是否包括拒绝服务攻击行为包括:
检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;
若是,确定解析出的请求中包括拒绝服务攻击行为。
4.根据权利要求1所述的方法,其中,对发出所述网站访问请求的服务器进行文件扫描包括:
由安装在所述服务器上的客户端对发出所述网站访问请求的服务器进行文件扫描,其中所述客户端中预置有所述已知恶意特征。
5.根据权利要求1至4中任一项所述的方法,其中,在对发出所述网站访问请求的服务器进行文件扫描之后还包括:
输出包含与已知恶意特征匹配的文件的信息,并提供对所述文件的处理选项。
6.根据权利要求5所述的方法,其中,在对发出所述网站访问请求的服务器进行文件扫描之后还包括:
上传所述与已知恶意特征匹配的文件,作为提取所述恶意特征的样本。
7.一种执行拒绝服务攻击的服务器的扫描装置,包括:
获取模块,用于获取并解析网站访问请求;
判断模块,用于判断解析出的请求中是否包括拒绝服务攻击行为;
文件扫描模块,用于在所述判断模块的判断结果为是的情况下,对发出所述网站访问请求的服务器进行文件扫描,以确定所述服务器中是否包含与已知恶意特征匹配的文件。
8.根据权利要求7所述的装置,其中,所述获取模块被配置为:
获取网页应用防护系统的运行日志文件;从所述运行日志文件中提取出所述网站访问请求,并进行解析。
9.根据权利要求7所述的装置,其中,所述判断模块被配置为:
检查解析出的请求中是否包含有目标IP、目标端口以及攻击次数;若是,确定解析出的请求中包括拒绝服务攻击行为。
10.根据权利要求7所述的装置,其中,所述文件扫描模块被配置为:
由安装在所述服务器上的客户端对发出所述网站访问请求的服务器进行文件扫描,其中所述客户端中预置有所述已知恶意特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310741787.2A CN103701816B (zh) | 2013-12-27 | 2013-12-27 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310741787.2A CN103701816B (zh) | 2013-12-27 | 2013-12-27 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103701816A true CN103701816A (zh) | 2014-04-02 |
| CN103701816B CN103701816B (zh) | 2017-07-11 |
Family
ID=50363212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310741787.2A Active CN103701816B (zh) | 2013-12-27 | 2013-12-27 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701816B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN107666464A (zh) * | 2016-07-28 | 2018-02-06 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
| CN109446810A (zh) * | 2018-10-31 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 基于请求重写的恶意文件防御方法、装置及电子设备 |
| CN110012010A (zh) * | 2019-04-03 | 2019-07-12 | 杭州汉领信息科技有限公司 | 一种基于目标站点自学习建模的waf防御方法 |
| CN111800391A (zh) * | 2020-06-12 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
| US11552989B1 (en) | 2021-11-23 | 2023-01-10 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
| US11582259B1 (en) | 2021-11-23 | 2023-02-14 | Radware Ltd. | Characterization of HTTP flood DDoS attacks |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101529862A (zh) * | 2006-11-03 | 2009-09-09 | 朗讯科技公司 | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 |
| CN101599947A (zh) * | 2008-06-06 | 2009-12-09 | 盛大计算机(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
| CN102073815A (zh) * | 2010-12-27 | 2011-05-25 | 奇瑞汽车股份有限公司 | 一种车载杀毒系统及其杀毒方法 |
| US20120072400A1 (en) * | 2010-09-17 | 2012-03-22 | Microsoft Corporation | Directory oplock |
| US20130097666A1 (en) * | 2010-07-13 | 2013-04-18 | Huawei Technologies Co., Ltd. | Proxy gateway anti-virus method, pre-classifier, and proxy gateway |
-
2013
- 2013-12-27 CN CN201310741787.2A patent/CN103701816B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101175013A (zh) * | 2006-11-03 | 2008-05-07 | 飞塔信息科技(北京)有限公司 | 一种拒绝服务攻击防护方法、网络系统和代理服务器 |
| CN101529862A (zh) * | 2006-11-03 | 2009-09-09 | 朗讯科技公司 | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 |
| CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
| CN101599947A (zh) * | 2008-06-06 | 2009-12-09 | 盛大计算机(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
| US20130097666A1 (en) * | 2010-07-13 | 2013-04-18 | Huawei Technologies Co., Ltd. | Proxy gateway anti-virus method, pre-classifier, and proxy gateway |
| US20120072400A1 (en) * | 2010-09-17 | 2012-03-22 | Microsoft Corporation | Directory oplock |
| CN102073815A (zh) * | 2010-12-27 | 2011-05-25 | 奇瑞汽车股份有限公司 | 一种车载杀毒系统及其杀毒方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN104065644B (zh) * | 2014-05-28 | 2017-11-21 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN107666464A (zh) * | 2016-07-28 | 2018-02-06 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器 |
| CN107666473B (zh) * | 2016-07-29 | 2020-07-17 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
| CN107666473A (zh) * | 2016-07-29 | 2018-02-06 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
| CN109446810A (zh) * | 2018-10-31 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 基于请求重写的恶意文件防御方法、装置及电子设备 |
| CN109446810B (zh) * | 2018-10-31 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 基于请求重写的恶意文件防御方法、装置及电子设备 |
| CN110012010A (zh) * | 2019-04-03 | 2019-07-12 | 杭州汉领信息科技有限公司 | 一种基于目标站点自学习建模的waf防御方法 |
| CN110012010B (zh) * | 2019-04-03 | 2021-09-17 | 杭州汉领信息科技有限公司 | 一种基于目标站点自学习建模的waf防御方法 |
| CN111800391A (zh) * | 2020-06-12 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
| CN111800391B (zh) * | 2020-06-12 | 2023-05-23 | 安天科技集团股份有限公司 | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
| US11552989B1 (en) | 2021-11-23 | 2023-01-10 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
| US11582259B1 (en) | 2021-11-23 | 2023-02-14 | Radware Ltd. | Characterization of HTTP flood DDoS attacks |
| US11916956B2 (en) | 2021-11-23 | 2024-02-27 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103701816B (zh) | 2017-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11709945B2 (en) | System and method for identifying network security threats and assessing network security | |
| CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
| US20210112092A1 (en) | Preventing advanced persistent threat attack | |
| US20190332771A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| US8302198B2 (en) | System and method for enabling remote registry service security audits | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| US20150271202A1 (en) | Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server | |
| Akiyama et al. | Searching structural neighborhood of malicious urls to improve blacklisting | |
| CN103685294A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| Stasinopoulos et al. | Commix: automating evaluation and exploitation of command injection vulnerabilities in Web applications | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN103701794A (zh) | 拒绝服务攻击的识别方法和装置 | |
| CN103701795A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
| CN103701793A (zh) | 服务器肉鸡的识别方法和装置 | |
| CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161129 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180713 Address after: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Co-patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: No. 3, No. 10, No. 10, No. 10, Lu Jia, 1701-26, 17 Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: Qianxin Technology Group Co.,Ltd. Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: Qianxin Technology Group Co.,Ltd. Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: Qianxin Technology Group Co.,Ltd. |