CN105187359A - 检测攻击客户端的方法和装置 - Google Patents
检测攻击客户端的方法和装置 Download PDFInfo
- Publication number
- CN105187359A CN105187359A CN201410270304.XA CN201410270304A CN105187359A CN 105187359 A CN105187359 A CN 105187359A CN 201410270304 A CN201410270304 A CN 201410270304A CN 105187359 A CN105187359 A CN 105187359A
- Authority
- CN
- China
- Prior art keywords
- client
- accessing operation
- packet
- attack
- asking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本申请公开了一种检测攻击客户端的方法和装置,其中,该方法包括:接收第一客户端上报的访问请求事件,其中,访问请求事件至少用于指示第二客户端向第一客户端请求执行访问操作的状态,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;根据上报的访问请求事件判断第二客户端是否向第一客户端发起访问攻击;若判断出第二客户端向第一客户端发起访问攻击,则检测出第二客户端为攻击客户端。本申请解决了现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题,达到了即使在攻击频率较低的情况下,也可以准确检测出攻击客户端,并对上述攻击客户端所发送的数据包进行拦截的技术效果。
Description
技术领域
本申请涉及计算机领域,具体而言,涉及一种检测攻击客户端的方法和装置。
背景技术
如今,在互联网上的云服务器、云内主机每天都要遭受数亿次的破解攻击,这样不但影响了云服务器的性能以及带宽,而且对云服务器还产生了严重的安全威胁。因此,通过检测来获知攻击的来源,以拦截攻击者发送的用于攻击的数据包,实现屏蔽攻击的效果,就显得越来越重要。
目前,在本领域现有技术中,用于执行防止破解攻击的主体通常都是个体主机。基于个体主机检测破解攻击,以拦截破解攻击的攻击数据包的方式,一般包括两种形式:
(1)针对暴力破解的攻击数据包,设定对攻击数据包攻击速率的阈值,若超过一定阈值则判定为破解攻击;
(2)对尝试破解的出错次数设置阈值,如果超过设置的阈值,则判定为破解攻击。
针对上述破解攻击,通常采用的拦截方式都是设定阈值,将超过阈值的攻击数据包进行拦截屏蔽。然而,目前大多数破解攻击一般针对一个或多个连续的IP段,批量大规模地循环攻击,攻击者的针对性不强。在这种情况下,如果采用上述对破解攻击的拦截方式,由于针对个体主机破解攻击的频率很低,即攻击者所发送的攻击数据包的数量过小,而无法实现利用预先设置的阈值来进行拦截。因此,在现有的技术方案中,在攻击频率较低的情况下,无法准确检测到发起攻击的攻击客户端,进而无法对破解攻击的攻击数据包进行拦截。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种检测攻击客户端的方法和装置,以至少解决现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题。
根据本申请实施例的一个方面,提供了一种检测攻击客户端的方法,包括:接收第一客户端上报的访问请求事件,其中,上述访问请求事件至少用于指示第二客户端向上述第一客户端请求执行访问操作的状态,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;根据上报的上述访问请求事件判断上述第二客户端是否向上述第一客户端发起访问攻击;若判断出上述第二客户端向上述第一客户端发起访问攻击,则检测出上述第二客户端为攻击客户端。
根据本申请实施例的另一方面,还提供了一种检测攻击客户端的装置,包括:接收单元,用于接收第一客户端上报的访问请求事件,其中,上述访问请求事件至少用于指示第二客户端向上述第一客户端请求执行访问操作的状态,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;判断单元,用于根据上报的上述访问请求事件判断上述第二客户端是否向上述第一客户端发起访问攻击;拦截单元,用于在判断出上述第二客户端向上述第一客户端发起访问攻击时,检测出上述第二客户端为攻击客户端。
在本申请实施例中,通过根据第一客户端上报的访问请求事件中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,来判断第二客户端是否向上述第一客户端发起访问攻击,其中,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。达到了即使在攻击客户端所发起的攻击频率较低的情况下,也可实现准确检测出攻击客户端的目的。
此外,通过针对不同的数据包设定不同的拦截模式,从而实现对攻击数据包更加准确地拦截。而且,在本申请实施例中还延长了拦截攻击数据包的时长,相比与现有技术的方案,实现了对攻击数据包更加有效地拦截的技术效果,进而解决了现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的检测攻击客户端的方法的流程图;
图2是根据本申请实施例的一种可选的检测攻击客户端的方法的应用场景的示意图;
图3是根据本申请实施例的另一种可选的检测攻击客户端的方法应用场景的示意图;
图4是根据本申请实施例的另一种可选的检测攻击客户端的方法的流程图;以及
图5是根据本申请实施例的一种可选的检测攻击客户端的装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例1
根据本申请实施例,提供了一种检测攻击客户端的方法,如图1所示,该方法包括:
S102,接收第一客户端上报的访问请求事件,其中,访问请求事件至少用于指示第二客户端向第一客户端请求执行访问操作的状态,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;
S104,根据上报的访问请求事件判断第二客户端是否向第一客户端发起访问攻击;
S106,若判断出第二客户端向第一客户端发起访问攻击,则检测出第二客户端为攻击客户端;
S108,若判断出第二客户端并未向第一客户端发起访问攻击,则检测出第二客户端不是攻击客户端。
可选地,在本实施例中,上述检测攻击客户端的方法可以应用于防止云内主机遭受破解攻击的过程中。例如,如图2所示,第一客户端206可以为多个客户端,例如,上述多个客户端可以包括:第一客户端206-1、第一客户端206-2、第一客户端206-3,第二客户端202向上述三个第一客户端,发送了用于请求执行访问操作的数据包,上述三个第一客户端接收到上述第二客户端202发送的用于请求执行访问操作的数据包后,分别将至少用于指示第二客户端202向上述3个第一客户端206请求执行访问操作的状态的访问请求事件上报给服务器204,由服务器204根据上述访问请求事件,判断第二客户端202是否向上述第一客户端206-1、第一客户端206-2、第一客户端206-3发起访问攻击。假设若第二客户端202为向上述第一客户端206发起访问攻击的攻击客户端,则检测出上述第二客户端202为攻击客户端。上述举例只是一种示例,本实施例对此不做任何限定。
可选地,在本实施例中,上述第一预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。可选地,在本实施例中,上述第二客户端202向上述多个第一客户端206发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。换言之,本实施例提供的数据包的拦截方法主要应用于请求访问操作速率较低,攻击范围较广的场景中。
可选地,在本实施例中,服务器204根据上报的访问请求事件判断第二客户端202是否向上述多个第一客户端206发起访问攻击的方式包括但不限于:判断处于被攻击状态的第一客户端206的个数是否大于第二预定阈值。例如,假设第二预定阈值为50000,则在服务器204接收到多个第一客户端206所上报的访问请求事件中,由第一客户端206所上报的访问请求事件判断出第二客户端202向上述数量为50000个的第一客户端206发起了访问攻击,则需要拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,第一客户端206处于被攻击状态的判定方式包括以下至少之一:
1)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败,则查找出第一客户端处于被攻击状态;
2)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出第一客户端处于被攻击状态;
3)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出第一客户端处于被攻击状态。
可选地,在本实施例中,在检测出上述第二客户端202为攻击客户端之后,拦截第二客户端202发送的用于请求执行访问操作的数据包的方式包括以下至少之一:
1)拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;
2)拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,服务器204在对第二客户端202所发送的用于请求执行访问操作的数据包拦截时,不仅拦截第二客户端202向上述多个第一客户端206所发送的用于请求执行访问操作的数据包,同时也会对与上述第一客户端206属于同一网络的第三客户端执行数据包拦截。
可选地,在本实施例中,上述访问请求事件中包括但不限于访问攻击信息,其中,上述访问攻击信息包括但不限于以下至少之一:第二客户端向上述第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向上述第一客户端发送数据包的时间点。例如,根据第二客户端202向上述多个第一客户端206发送用于请求执行访问操作的数据包的时间点以及第二客户端202停止向上述多个第一客户端206发送数据包的时间点计算拦截时间,根据数据包的类型确定数据包的拦截模式。
可选地,在本实施例中,上述第一客户端206可以但不限于为一个客户端,即检测出第二客户端202对网络内的一台客户端进行持续性攻击。通过统计到的第二客户端202对上述一个第一客户端206发起的大量的攻击数据包的数量,判断上述攻击数据包的数量是否满足预定的阈值条件,若满足,则检测出上述第一客户端206为攻击客户端,将拦截上述第二客户端202向上述第一客户端206发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,上述第二客户端202可以包括但不限于一个或多个客户端。
具体结合以下示例进行说明,结合图3所示,网络内包括第一客户端206-1、第一客户端206-2…第一客户端206-N,以及与上述第一客户端属于同一网络的第三客户端302-1…第三客户端302-M,其中,N与M的取值可以相同也可以不同。假设第二客户端202向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N发送了用于请求执行访问操作的数据包,然后,上述第一客户端206-1、第一客户端206-2…第一客户端206-N向服务器204上报了访问请求事件,其中,上述每个第一客户端206所接收到的第二客户端202发送的用于请求执行访问操作的数据包的数量的小于等于第一预定阈值(例如,第一预定阈值为500)。服务器204根据上述访问请求事件判断出,上述第二客户端202向循环向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N轮询,发送用于请求执行访问操作的数据包,其中,N大于第二预定阈值(例如第二预定阈值为50000),则服务器204将通知拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
通过本申请提供的实施例,通过根据第一客户端所上报的访问请求事件,判断第二客户端是否向上述第一客户端发起访问攻击,其中,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;若判断出第二客户端向上述第一客户端发起访问攻击,则检测出上述第二客户端为攻击客户端。通过上述方式,实现了在攻击源攻击频率较低的情况下,也可准确检测出攻击客户端的效果。
作为一种可选的方案,如图4所示,第一客户端为多个第一客户端,其中,根据上报的访问请求事件判断第二客户端是否向第一客户端发起访问攻击包括:
S402,根据上报的访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端;
S404,判断查找到的处于被攻击状态的第一客户端的个数是否大于第二预定阈值;
S406,若查找到的处于被攻击状态的第一客户端的个数大于第二预定阈值,则判断出第二客户端向第一客户端发起访问攻击;
S408,若查找到的处于被攻击状态的第一客户端的个数小于等于第二预定阈值,则判断出第二客户端未向第一客户端发起访问攻击。
可选地,在本实施例中,上述第二预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。
具体结合以下示例进行说明,结合图3所示,假设第二预定阈值为50000,第二客户端202向第一客户端206-1至第一客户端206-N发送用于请求执行访问操作的数据包,例如,N的取值为100000,服务器204经查找得到第一客户端206-1至第一客户端206-N中处于被攻击状态的第一客户端206为S个,例如,S的取值为60000。进一步,判断上述处于被攻击状态的第一客户端206的数量S个(例如,S的取值为60000)与第二预定阈值P(例如,P的取值为50000)进行比较,判断得出上述被攻击状态的第一客户端206的数量大于第二预定阈值,则可判断出上述第二客户端202向上述第一客户端发起了访问攻击,则需要拦截上述被检测出为攻击客户端的第二客户端202所发送的用于请求执行访问操作的数据包。
通过本申请提供的实施例,服务器通过根据访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,若判断出上述处于被攻击状态的第一客户端的个数大于第二预定阈值,则可以判断出上述第二客户端向上述第一客户端发起了访问攻击。通过上述对处于被攻击状态的第一客户端的数量的判断,以确定第二客户端是否向第一客户端发起了访问攻击,即检测第二客户端是否为发起攻击的攻击客户端,以实现在第二客户端的攻击频率较低的情况下,也可以确定发起攻击的攻击客户端,并对上述攻击客户端所发送的攻击数据包进行准确拦截。
作为一种可选的方案,步骤S104,根据上报的访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端包括以下之一:
1)若访问请求事件用于指示的状态表示第二客户端向上述第一客户端请求执行访问操作失败,则查找出第一客户端处于被攻击状态。
具体结合以下示例进行说明,例如,结合图3所示,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206-1至第一客户端206-N请求执行访问操作失败,没有成功对上述第一客户端206-1至第一客户端206-N进行访问操作,则查找出上述第一客户端206处于被攻击的状态。
2)若访问请求事件用于指示的状态表示第二客户端向上述第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出第一客户端处于被攻击状态。
具体结合以下示例进行说明,例如,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206请求执行访问操作失败,且在上述失败之前的第一预定时间段(例如,1小时)内上述第二客户端202向上述多个第一客户端206请求执行访问操作失败的次数大于第三预定阈值(例如,第三预定阈值为3),则查找出上述第一客户端206处于被攻击的状态。
3)若访问请求事件用于指示的状态表示第二客户端向上述第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出第一客户端处于被攻击状态。
具体结合以下示例进行说明,例如,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206请求执行访问操作成功,但是在上述成功操作之前的第二预定时间段(例如,1小时)内上述第二客户端202向上述多个第一客户端206请求执行访问操作失败的次数大于第四预定阈值(例如,第四预定阈值为3),则查找出上述第一客户端206处于被攻击状态。
通过本申请提供的实施例,通过上述至少一种判定方式判断上述多个第一客户端是否处于被攻击状态,进而检测出向上述第一客户端发送用于请求执行访问操作的数据包的第二客户端是否为发起攻击的攻击客户端,从而实现在攻击频率较低的情况下,也可对检测出的攻击客户端所发起的攻击行为进行准确拦截。
作为一种可选的方案,上述拦截第二客户端发送的用于请求执行访问操作的数据包包括:
S1,根据访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,访问攻击信息包括以下至少之一:第二客户端向第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向第一客户端发送数据包的时间点;
S2,采用拦截模式拦截第二客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,不同的数据包的类型可以对应不同的拦截模式。其中,数据包的类型可以包括但不限于:对数据库请求执行访问操作的数据包、对网站请求执行访问操作的数据包。当收到的数据包的类型不同,服务器也将选择不同的拦截模式针对不同的数据包执行相应的拦截操作。
可选地,在本实施例中,上述对第二客户端202发送的用于请求执行访问操作的数据包的拦截时间可以根据攻击信息中的第二客户端202向上述第一客户端206发送用于请求执行访问操作的数据包的时间点T1和第二客户端202停止向上述第一客户端206发送数据包的时间点T2确定。可选地,在本实施例中,上述用于拦截第二客户端202所发送的用于请求执行访问操作的数据包的时长t要大于第二客户端202发起攻击的时长(T2-T1)。
例如,如图3所示,第二客户端202发起攻击的时间点为8:30,停止攻击的时间点为9:00,若预先配置要再延长拦截的时长为2小时,则服务器204将控制包括多个第一客户端206以及多个第三客户端302的防火墙拦截第二客户端202所发送的用于请求执行访问操作的数据包,拦截时长t为2.5个小时。
通过本申请提供的实施例,通过采用不同的拦截模式对上述第二客户端所发送的用于请求执行访问操作的数据包进行拦截,以实现针对不同的数据包的类型进行相应的拦截,更加提高了对攻击数据包的拦截的准确性;此外,通过延长拦截时长的方式,也实现了对攻击数据包的有效拦截。
作为一种可选的方案,采用拦截模式拦截第二客户端发送的用于请求执行访问操作的数据包包括:
S1,拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;和/或
可选地,在本实施例中,上述拦截方式包括但不限于:在第一预定时间段内拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;
S2,拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,上述拦截方式包括但不限于:在第二预定时间段内拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,拦截第二客户端发送的用于请求执行访问操作的数据包的方式,不仅针对已接收到上述第二客户端202所发送的用于请求执行访问操作的数据包的多个第一客户端206,还针对还未接收到上述第二客户端202所发送的用于请求执行访问操作的数据包,且与上述第一客户端206属于同一网络的多个第三客户端302。也就是说,服务器204将控制属于同一网络的客户端的防火墙,以实现对第二客户端202的全面拦截。例如,如图3所示,服务器204将控制拦截第二客户端202向第一客户端206-1至第一客户端206-N,以及第三客户端302-1至第三客户端302-M发送用于请求执行访问操作的数据包。
通过本申请提供的实施例,通过对网络内的客户端的全面拦截,以实现对第二客户端所发送的攻击数据包进行准确而有效地拦截。
本申请提供了一种优选的实施例来进一步对本申请进行解释,但是值得注意的是,该优选实施例只是为了更好的描述本申请,并不构成对本申请不当的限定。
实施例2
根据本申请实施例,还提供了一种检测攻击客户端的装置,如图5所示,该装置包括:
1)接收单元502,用于接收第一客户端上报的访问请求事件,其中,访问请求事件至少用于指示第二客户端向第一客户端请求执行访问操作的状态,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;
2)判断单元504,用于根据上报的访问请求事件判断第二客户端是否发起访问攻击;
3)检测单元506,用于在判断出第二客户端向第一客户端发起访问攻击时,检测出第二客户端为攻击客户端。
可选地,在本实施例中,上述检测攻击客户端的装置可以应用于防止云内主机遭受破解攻击的过程中。例如,如图2所示,第一客户端206可以为多个客户端,例如,上述多个客户端可以包括:第一客户端206-1、第一客户端206-2、第一客户端206-3,第二客户端202向上述三个第一客户端,发送了用于请求执行访问操作的数据包,上述三个第一客户端接收到上述第二客户端202发送的用于请求执行访问操作的数据包后,分别将至少用于指示第二客户端202向上述3个第一客户端206请求执行访问操作的状态的访问请求事件上报给服务器204,由服务器204根据上述访问请求事件,判断第二客户端202是否向上述第一客户端206-1、第一客户端206-2、第一客户端206-3发起访问攻击。假设若第二客户端202为向上述第一客户端206发起访问攻击的攻击客户端,则检测出上述第二客户端202为攻击客户端。上述举例只是一种示例,本实施例对此不做任何限定。
可选地,在本实施例中,上述第一预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。可选地,在本实施例中,上述第二客户端202向上述多个第一客户端206发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。换言之,本实施例提供的数据包的拦截方法主要应用于请求访问操作速率较低,攻击范围较广的场景中。
可选地,在本实施例中,服务器204根据上报的访问请求事件判断第二客户端202是否向上述多个第一客户端206发起访问攻击的方式包括但不限于:判断处于被攻击状态的第一客户端206的个数是否大于第二预定阈值。例如,假设第二预定阈值为50000,则在服务器204接收到多个第一客户端206所上报的访问请求事件中,由第一客户端206所上报的访问请求事件判断出第二客户端202向上述数量为50000个的第一客户端206发起了访问攻击,则需要拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,第一客户端206处于被攻击状态的判定方式包括以下至少之一:
1)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败,则查找出第一客户端处于被攻击状态;
2)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出第一客户端处于被攻击状态;
3)若访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出第一客户端处于被攻击状态。
可选地,在本实施例中,该装置还包括:
1)拦截单元,用于在检测出第二客户端为攻击客户端之后,拦截第二客户端发送的用于请求执行访问操作的数据包
可选地,在本实施例中,上述通过拦截单元执行拦截第二客户端202发送的用于请求执行访问操作的数据包的方式包括以下至少之一:
1)拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;
2)拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,服务器204在对第二客户端202所发送的用于请求执行访问操作的数据包拦截时,不仅拦截第二客户端202向上述多个第一客户端206所发送的用于请求执行访问操作的数据包,同时也会对与上述第一客户端206属于同一网络的第三客户端执行数据包拦截。
可选地,在本实施例中,上述访问请求事件中包括但不限于访问攻击信息,其中,上述访问攻击信息包括但不限于以下至少之一:第二客户端向上述第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向上述第一客户端发送数据包的时间点。例如,根据第二客户端202向上述多个第一客户端206发送用于请求执行访问操作的数据包的时间点以及第二客户端202停止向上述多个第一客户端206发送数据包的时间点计算拦截时间,根据数据包的类型确定数据包的拦截模式。
可选地,在本实施例中,上述第一客户端206可以但不限于为一个客户端,即检测出第二客户端202对网络内的一台客户端进行持续性攻击。通过统计到的第二客户端202对上述一个第一客户端206发起的大量的攻击数据包的数量,判断上述攻击数据包的数量是否满足预定的阈值条件,若满足,则检测出上述第一客户端206为攻击客户端,将拦截上述第二客户端202向上述第一客户端206发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,上述第二客户端202可以包括但不限于一个或多个客户端。
具体结合以下示例进行说明,结合图3所示,网络内包括第一客户端206-1、第一客户端206-2…第一客户端206-N,以及与上述第一客户端属于同一网络的第三客户端302-1…第三客户端302-M,其中,N与M的取值可以相同也可以不同。假设第二客户端202向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N发送了用于请求执行访问操作的数据包,然后,上述第一客户端206-1、第一客户端206-2…第一客户端206-N向服务器204上报了访问请求事件,其中,上述每个第一客户端206所接收到的第二客户端202发送的用于请求执行访问操作的数据包的数量的小于等于第一预定阈值(例如,第一预定阈值为500)。服务器204根据上述访问请求事件判断出,上述第二客户端202向循环向多个连续IP的第一客户端206-1、第一客户端206-2…第一客户端206-N轮询,发送用于请求执行访问操作的数据包,其中,N大于第二预定阈值(例如第二预定阈值为50000),则服务器204将通知拦截上述第二客户端202所发送的用于请求执行访问操作的数据包。
通过本申请提供的实施例,通过根据第一客户端所上报的访问请求事件,判断第二客户端是否向上述第一客户端发起访问攻击,其中,第二客户端向每个第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;若判断出第二客户端向上述第一客户端发起访问攻击,则检测出上述第二客户端为攻击客户端。通过上述方式,实现了在攻击源攻击频率较低的情况下,也可准确检测出攻击客户端的效果。
作为一种可选的方案,上述第一客户端为多个第一客户端,其中,上述判断单元504包括:
1)查找模块,用于根据上报的访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端;
2)判断模块,用于判断查找到的处于被攻击状态的第一客户端的个数是否大于第二预定阈值;若查找到的处于被攻击状态的第一客户端的个数大于第二预定阈值,则判断出第二客户端向第一客户端发起访问攻击。
可选地,在本实施例中,上述第二预定阈值可以预先配置,根据不同的应用场景可以配置为不同的取值。
具体结合以下示例进行说明,结合图3所示,假设第二预定阈值为50000,第二客户端202向第一客户端206-1至第一客户端206-N发送用于请求执行访问操作的数据包,例如,N的取值为100000,服务器204经查找得到第一客户端206-1至第一客户端206-N中处于被攻击状态的第一客户端206为S,例如,S的取值为60000。进一步,判断上述处于被攻击状态的第一客户端206的数量S(例如,S的取值为60000)与第二预定阈值P(例如,P的取值为50000)进行比较,判断得出上述被攻击状态的第一客户端206的数量大于第二预定阈值,则可判断出上述第二客户端202向上述第一客户端发起了访问攻击,则需要拦截上述被检测出为攻击客户端的第二客户端202所发送的用于请求执行访问操作的数据包。
通过本申请提供的实施例,服务器通过根据访问请求事件查找多个第一客户端中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,若判断出上述处于被攻击状态的第一客户端的个数大于第二预定阈值,则可以判断出上述第二客户端向上述第一客户端发起了访问攻击。通过上述对处于被攻击状态的第一客户端的数量的判断,以确定第二客户端是否向第一客户端发起了访问攻击,即检测第二客户端是否为发起攻击的攻击客户端,以实现在第二客户端的攻击频率较低的情况下,也可以确定发起攻击的攻击客户端,并对上述攻击客户端所发送的攻击数据包进行准确拦截。
作为一种可选的方案,上述查找模块包括以下之一:
1)第一查找子模块,用于在访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败时,查找出第一客户端处于被攻击状态。
具体结合以下示例进行说明,例如,结合图3所示,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206-1至第一客户端206-N请求执行访问操作失败,没有成功对上述第一客户端206-1至第一客户端206-N进行访问操作,则查找出上述第一客户端206处于被攻击的状态。
2)第二查找子模块,用于在访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作失败、且在失败之前的第一预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第三预定阈值时,查找出第一客户端处于被攻击状态。
具体结合以下示例进行说明,例如,结合图3所示,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206-1至第一客户端206-N请求执行访问操作失败,没有成功对上述第一客户端206-1至第一客户端206-N进行访问操作,则查找出上述第一客户端206处于被攻击的状态。
3)第三查找子模块,用于在访问请求事件用于指示的状态表示第二客户端向第一客户端请求执行访问操作成功、且在失败之前的第二预定时间段内第二客户端向第一客户端请求执行访问操作失败的次数大于第四预定阈值时,查找出第一客户端处于被攻击状态。
具体结合以下示例进行说明,例如,若服务器204接收到的访问请求事件指示上述第二客户端202向上述第一客户端206请求执行访问操作成功,但是在上述成功操作之前的第二预定时间段(例如,1小时)内上述第二客户端202向上述多个第一客户端206请求执行访问操作失败的次数大于第四预定阈值(例如,第四预定阈值为3),则查找出上述第一客户端206处于被攻击状态。
通过本申请提供的实施例,通过上述至少一种判定方式判断上述多个第一客户端是否处于被攻击状态,进而检测出向上述第一客户端发送用于请求执行访问操作的数据包的第二客户端是否为发起攻击的攻击客户端,从而实现在攻击频率较低的情况下,也可对检测出的攻击客户端所发起的攻击行为进行准确拦截。
作为一种可选的方案,上述拦截单元包括:
1)选择模块,用于根据访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,访问攻击信息包括以下至少之一:第二客户端向第一客户端发送用于请求执行访问操作的数据包的时间点、数据包的类型、第二客户端停止向第一客户端发送数据包的时间点;
2)拦截模块,用于采用拦截模式拦截第二客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,不同的数据包的类型可以对应不同的拦截模式。其中,数据包的类型可以包括但不限于:对数据库请求执行访问操作的数据包、对网站请求执行访问操作的数据包。当收到的数据包的类型不同,服务器也将选择不同的拦截模式针对不同的数据包执行相应的拦截操作。
可选地,在本实施例中,上述对第二客户端202发送的用于请求执行访问操作的数据包的拦截时间可以根据攻击信息中的第二客户端202向上述第一客户端206发送用于请求执行访问操作的数据包的时间点T1和第二客户端202停止向上述第一客户端206发送数据包的时间点T2确定。可选地,在本实施例中,上述用于拦截第二客户端202所发送的用于请求执行访问操作的数据包的时长t要大于第二客户端202发起攻击的时长(T2-T1)。
例如,如图3所示,第二客户端202发起攻击的时间点为8:30,停止攻击的时间点为9:00,若预先配置要再延长拦截的时长为2小时,则服务器204将控制包括多个第一客户端206以及多个第三客户端302的防火墙拦截第二客户端202所发送的用于请求执行访问操作的数据包,拦截时长t为2.5个小时。
通过本申请提供的实施例,通过采用不同的拦截模式对上述第二客户端所发送的用于请求执行访问操作的数据包进行拦截,以实现针对不同的数据包的类型进行相适应的拦截,更加提高了对攻击数据包的拦截的准确性;此外,通过延长拦截时长的方式,也实现了对攻击数据包的有效拦截。
作为一种可选的方案,上述拦截模块包括:
1)第一拦截子模块,用于拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包;和/或
可选地,在本实施例中,第一拦截子模块通过以下步骤实现对第二客户端向第一客户端发送的用于请求执行访问操作的数据包的拦截:在第一预定时间段内拦截第二客户端向第一客户端发送的用于请求执行访问操作的数据包。
2)第二拦截子模块,用于拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,第二拦截子模块通过以下步骤实现对第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包的拦截:在第二预定时间段内拦截第二客户端向与第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
可选地,在本实施例中,拦截第二客户端发送的用于请求执行访问操作的数据包的方式,不仅针对已接收到上述第二客户端202所发送的用于请求执行访问操作的数据包的多个第一客户端206,还针对还未接收到上述第二客户端202所发送的用于请求执行访问操作的数据包,且与上述第一客户端206属于同一网络的多个第三客户端302。也就是说,服务器204将控制属于同一网络的客户端的防火墙,以实现对第二客户端202的全面拦截。例如,如图3所示,服务器204将控制拦截第二客户端202向第一客户端206-1至第一客户端206-N,以及第三客户端302-1至第三客户端302-M发送用于请求执行访问操作的数据包。
通过本申请提供的实施例,通过对网络内的客户端的全面拦截,以实现对第二客户端所发送的攻击数据包进行准确而有效地拦截。
本申请提供了一种优选的实施例来进一步对本申请进行解释,但是值得注意的是,该优选实施例只是为了更好的描述本申请,并不构成对本申请不当的限定。
从以上的描述中,可以看出,在本申请实施例中,通过根据多个第一客户端上报的访问请求事件中处于被攻击状态的第一客户端的个数是否大于第二预定阈值,来判断第二客户端是否向上述第一客户端发起访问攻击,其中,上述第二客户端向每个上述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值。达到了即使在攻击客户端所发起的攻击频率较低的情况下,也可实现准确检测出攻击客户端的目的。此外,通过针对不同的数据包设定不同的拦截模式,从而实现对攻击数据包更加准确地拦截。而且,在本申请实施例中还延长了拦截攻击数据包的时长,相比与现有技术的方案,实现了对攻击数据包更加有效地拦截的技术效果,进而解决了现有技术中无法在攻击频率较低的情况下检测出攻击客户端的技术问题。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (16)
1.一种检测攻击客户端的方法,其特征在于,包括:
接收第一客户端上报的访问请求事件,其中,所述访问请求事件至少用于指示第二客户端向所述第一客户端请求执行访问操作的状态,所述第二客户端向每个所述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;
根据上报的所述访问请求事件判断所述第二客户端是否向所述第一客户端发起访问攻击;
若判断出所述第二客户端向所述第一客户端发起访问攻击,则检测出所述第二客户端为攻击客户端。
2.根据权利要求1所述的方法,其特征在于,在检测出所述第二客户端为所述攻击客户端之后,还包括:
拦截所述第二客户端发送的用于请求执行访问操作的数据包。
3.根据权利要求2所述的方法,其特征在于,所述第一客户端为多个第一客户端,其中,所述根据上报的所述访问请求事件判断所述第二客户端是否向所述第一客户端发起访问攻击包括:
根据上报的所述访问请求事件查找所述多个第一客户端中处于被攻击状态的第一客户端;
判断查找到的所述处于被攻击状态的第一客户端的个数是否大于第二预定阈值;
若查找到的所述处于被攻击状态的第一客户端的个数大于所述第二预定阈值,则判断出所述第二客户端向所述第一客户端发起访问攻击。
4.根据权利要求3所述的方法,其特征在于,所述根据上报的所述访问请求事件查找所述多个第一客户端中处于被攻击状态的第一客户端包括以下之一:
若所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败,则查找出所述第一客户端处于被攻击状态;或者,
若所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败、且在所述失败之前的第一预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第三预定阈值,则查找出所述第一客户端处于被攻击状态;或者
若所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作成功、且在所述失败之前的第二预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第四预定阈值,则查找出所述第一客户端处于被攻击状态。
5.根据权利要求2至4中任一项所述的方法,其特征在于,所述拦截所述第二客户端发送的用于请求执行访问操作的数据包包括:
根据所述访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,所述访问攻击信息包括以下至少之一:所述第二客户端向所述第一客户端发送用于请求执行访问操作的数据包的时间点、所述数据包的类型、所述第二客户端停止向所述第一客户端发送所述数据包的时间点;
采用所述拦截模式拦截所述第二客户端发送的用于请求执行访问操作的数据包。
6.根据权利要求5所述的方法,其特征在于,所述采用所述拦截模式拦截所述第二客户端发送的用于请求执行访问操作的数据包包括:
拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包;和/或
拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
7.根据权利要求6所述的方法,其特征在于,
所述拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包包括:在第一预定时间段内拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包;
所述拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包包括:在第二预定时间段内拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
8.根据权利要求1所述的方法,其特征在于,所述第二客户端包括一个或多个客户端。
9.一种检测攻击客户端的装置,其特征在于,包括:
接收单元,用于接收第一客户端上报的访问请求事件,其中,所述访问请求事件至少用于指示第二客户端向所述第一客户端请求执行访问操作的状态,所述第二客户端向每个所述第一客户端发送的用于请求执行访问操作的数据包的数量均小于等于第一预定阈值;
判断单元,用于根据上报的所述访问请求事件判断所述第二客户端是否向所述第一客户端发起访问攻击;
检测单元,用于在判断出所述第二客户端向所述第一客户端发起访问攻击时,检测出所述第二客户端为攻击客户端。
10.根据权利要求9所述的装置,其特征在于,还包括:
拦截单元,用于在检测出所述第二客户端为所述攻击客户端之后,拦截所述第二客户端发送的用于请求执行访问操作的数据包。
11.根据权利要求10所述的装置,其特征在于,所述第一客户端为多个第一客户端,其中,所述判断单元包括:
查找模块,用于根据上报的所述访问请求事件查找所述多个第一客户端中处于被攻击状态的第一客户端;
判断模块,用于判断查找到的所述处于被攻击状态的第一客户端的个数是否大于第二预定阈值;若查找到的所述处于被攻击状态的第一客户端的个数大于所述第二预定阈值,则判断出所述第二客户端向所述第一客户端发起访问攻击。
12.根据权利要求11所述的装置,其特征在于,所述查找模块包括以下之一:
第一查找子模块,用于在所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败时,查找出所述第一客户端处于被攻击状态;或者,
第二查找子模块,用于在所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作失败、且在所述失败之前的第一预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第三预定阈值时,查找出所述第一客户端处于被攻击状态;或者
第三查找子模块,用于在所述访问请求事件用于指示的所述状态表示所述第二客户端向所述第一客户端请求执行访问操作成功、且在所述失败之前的第二预定时间段内所述第二客户端向所述第一客户端请求执行访问操作失败的次数大于第四预定阈值时,查找出所述第一客户端处于被攻击状态。
13.根据权利要求10至12中任一项所述的装置,其特征在于,所述拦截单元包括:
选择模块,用于根据所述访问请求事件中指示的访问攻击信息选择对应的拦截模式,其中,所述访问攻击信息包括以下至少之一:所述第二客户端向所述第一客户端发送用于请求执行访问操作的数据包的时间点、所述数据包的类型、所述第二客户端停止向所述第一客户端发送所述数据包的时间点;
拦截模块,用于采用所述拦截模式拦截所述第二客户端发送的用于请求执行访问操作的数据包。
14.根据权利要求13所述的装置,其特征在于,所述拦截模块包括:
第一拦截子模块,用于拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包;和/或
第二拦截子模块,用于拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
15.根据权利要求14所述的装置,其特征在于,
所述第一拦截模块还用于通过执行以下步骤实现拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包包括:在第一预定时间段内拦截所述第二客户端向所述第一客户端发送的用于请求执行访问操作的数据包;
所述第二拦截模块还用于通过执行以下步骤实现拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包包括:在第二预定时间段内拦截所述第二客户端向与所述第一客户端属同一网络的第三客户端发送的用于请求执行访问操作的数据包。
16.根据权利要求9所述的装置,其特征在于,所述第二客户端包括一个或多个客户端。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410270304.XA CN105187359B (zh) | 2014-06-17 | 2014-06-17 | 检测攻击客户端的方法和装置 |
HK16103624.0A HK1215763A1 (zh) | 2014-06-17 | 2016-03-30 | 檢測攻擊客戶端的方法和裝置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410270304.XA CN105187359B (zh) | 2014-06-17 | 2014-06-17 | 检测攻击客户端的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105187359A true CN105187359A (zh) | 2015-12-23 |
CN105187359B CN105187359B (zh) | 2018-06-08 |
Family
ID=54909205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410270304.XA Active CN105187359B (zh) | 2014-06-17 | 2014-06-17 | 检测攻击客户端的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105187359B (zh) |
HK (1) | HK1215763A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
CN113467314A (zh) * | 2021-07-15 | 2021-10-01 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估系统及方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统 |
CN102185871A (zh) * | 2011-06-09 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种报文的处理方法和设备 |
CN102291378A (zh) * | 2010-06-18 | 2011-12-21 | 杭州华三通信技术有限公司 | 一种防御DDoS攻击的方法和设备 |
CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
US20130185220A1 (en) * | 2011-07-20 | 2013-07-18 | Ourgroup, Inc. | System and method for providing software tools within an online platform for organizing groups and communicating with group members |
-
2014
- 2014-06-17 CN CN201410270304.XA patent/CN105187359B/zh active Active
-
2016
- 2016-03-30 HK HK16103624.0A patent/HK1215763A1/zh unknown
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
CN101594269A (zh) * | 2009-06-29 | 2009-12-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
CN102291378A (zh) * | 2010-06-18 | 2011-12-21 | 杭州华三通信技术有限公司 | 一种防御DDoS攻击的方法和设备 |
CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统 |
CN102185871A (zh) * | 2011-06-09 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种报文的处理方法和设备 |
US20130185220A1 (en) * | 2011-07-20 | 2013-07-18 | Ourgroup, Inc. | System and method for providing software tools within an online platform for organizing groups and communicating with group members |
CN103179134A (zh) * | 2013-04-19 | 2013-06-26 | 中国建设银行股份有限公司 | 基于Cookie的单点登录方法、系统及其应用服务器 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
CN106534068B (zh) * | 2016-09-29 | 2023-12-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
CN113467314A (zh) * | 2021-07-15 | 2021-10-01 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估系统及方法 |
CN113467314B (zh) * | 2021-07-15 | 2022-04-26 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
HK1215763A1 (zh) | 2016-09-09 |
CN105187359B (zh) | 2018-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8966627B2 (en) | Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session | |
US20120159623A1 (en) | Method and apparatus for monitoring and processing dns query traffic | |
JP6957675B2 (ja) | ネットワーク攻撃防御システムおよび方法 | |
US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
Choi et al. | A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment | |
US9231967B2 (en) | Apparatus and method for detecting in-vehicle network attack | |
EP2526481B1 (en) | Intercepting malicious access | |
CN107517195B (zh) | 一种内容分发网络定位攻击域名的方法和装置 | |
US11606372B2 (en) | Mitigating against malicious login attempts | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
CN103379099A (zh) | 恶意攻击识别方法及系统 | |
CN108259473B (zh) | Web服务器扫描防护方法 | |
CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
EP2810405B1 (en) | Determination of spoofing of a unique machine identifier | |
Verma et al. | Bloom‐filter based IP‐CHOCK detection scheme for denial of service attacks in VANET | |
CN106878254B (zh) | 提高dns系统安全性的方法及装置 | |
CN112491883A (zh) | 一种检测web攻击的方法、装置、电子装置和存储介质 | |
CN105187359A (zh) | 检测攻击客户端的方法和装置 | |
US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
Oo et al. | Enhancement of preventing application layer based on DDoS attacks by using hidden semi-Markov model | |
EP3618396B1 (en) | Protection method and system for http flood attack | |
CN112287252B (zh) | 网站域名劫持检测方法、装置、设备及存储介质 | |
EP2988476A1 (en) | Method and apparatus for processing operation on endpoint peripheral | |
CN111064565B (zh) | 缓解DDoS攻击的方法 | |
EP3618395B1 (en) | Method and device for protecting against http flood attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1215763 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |