CN105306411A - 数据包处理方法和装置 - Google Patents
数据包处理方法和装置 Download PDFInfo
- Publication number
- CN105306411A CN105306411A CN201410258821.5A CN201410258821A CN105306411A CN 105306411 A CN105306411 A CN 105306411A CN 201410258821 A CN201410258821 A CN 201410258821A CN 105306411 A CN105306411 A CN 105306411A
- Authority
- CN
- China
- Prior art keywords
- server
- load
- packet
- threshold value
- load threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种数据包处理方法和装置。其中,该方法包括:获取客户端向服务器发送的数据包;判断数据包是否满足预设条件,其中,预设条件与服务器的负荷对应,且不同的预设条件对应不同的负荷;若数据包满足预设条件,则向服务器发送数据包。本发明解决了在服务器的负荷较大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题,达到了有效利用服务器的负载能力的效果,并提高了服务器对其负荷波动的适应性。
Description
技术领域
本发明涉及互联网安全领域,具体而言,涉及一种数据包处理方法和装置。
背景技术
现有技术中已经存在多种基于对数据包的处理来防范针对服务器进行的流量攻击的防护措施,这些防护措施通常会先对数据包进行分析,并具体解析出数据包的来源地、目的地、协议、数据内容等由浅至深地封装在数据包中的多项信息中的一个或多个,进而根据解析出的信息来判断应当放行还是丢弃该数据包。然而在现有的方案中,这些防护措施通常是相对静态地设置在服务器的入口处,其具体执行的对数据包的分析和判断通常是预先设置好的,而无关于服务器的实际运行状况,这就造成了服务器在负荷出现预期之外的增涨时无法做出适应性的调整,进而导致服务器的瘫痪。针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据包处理方法和装置,以至少解决在服务器的负荷较大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题。
根据本发明实施例的一个方面,提供了一种数据包处理方法,包括:获取客户端向服务器发送的数据包;判断上述数据包是否满足预设条件,其中,上述预设条件与上述服务器的负荷对应,且不同的上述预设条件对应不同的上述负荷;若上述数据包满足上述预设条件,则向上述服务器发送上述数据包。
根据本发明实施例的另一方面,还提供了一种数据包处理装置,包括:第一获取单元,用于获取客户端向服务器发送的数据包;判断单元,用于判断上述数据包是否满足预设条件,其中,上述预设条件与上述服务器的负荷对应,且不同的上述预设条件对应不同的上述负荷;发送单元,用于在上述数据包满足上述预设条件时,向上述服务器发送上述数据包。
在本发明实施例中,采用了根据服务器的负荷来调整用于判断是否放行任意一个发送至服务器的数据包的判断标准的动态防护方式,例如,在服务器负荷较小时,可以采用较为宽松的判断标准,达到在服务器的负载能力内放行尽可能多的数据包的目的,以将防护装置对客户端及其用户正常访问服务器所造成的影响降至最小,在服务器负荷较大时,则可以采用较为严格的判断标准,通过对数据包的更深入地检查来上调服务器对抗攻击的能力,以避免出现服务器瘫痪并拒绝提供任何服务的状况,从而在整体上达到了有效利用服务器的负载能力并降低服务器在负荷较大时出现宕机的可能性的效果,或者说达到了在防范服务器因流量攻击而瘫痪前提下更为有效地利用服务器的负载能力的效果,提高了服务器对负荷波动的适应能力以及服务器所在的业务系统的可靠性,进而解决了在服务器的负荷较大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的数据包处理方法的示意图;
图2是根据本发明实施例的一种可选的数据包处理装置的示意图;
图3是根据本发明实施例的另一种可选的数据包处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种数据包处理方法,如图1所示,该方法包括:
S102:获取客户端向服务器发送的数据包;
S104:判断数据包是否满足预设条件,其中,预设条件与服务器的负荷对应,且不同的预设条件对应不同的负荷;
S106:若数据包满足预设条件,则向服务器发送该数据包。
应当明确的是,本发明实施例所要解决的问题之一是提供一种方法,以便于实现对服务器的有效防护。具体来说,这种防护可以通过对发送给服务器的数据包的处理来实现,例如,可以在检测到数据包不满足某些预设条件时,对数据包进行拦截和丢弃等处理,以防范针对服务器进行的流量攻击。
现有技术中已经存在多种基于对数据包的处理来防范针对服务器进行的流量攻击的防护措施,这些防护措施通常会先对数据包进行分析,并具体解析出数据包的来源地、目的地、协议、数据内容等由浅至深地封装在数据包中的多项信息中的一个或多个,进而根据解析出的信息来判断应当放行还是丢弃该数据包。然而在现有的方案中,这些防护措施通常是相对静态地设置在服务器的入口处,其具体执行的对数据包的分析和判断通常是预先设置好的,而无关于服务器的实际运行状况,这就造成了服务器在负荷出现预期之外的增涨时无法做出适应性的调整,进而导致服务器的瘫痪。
为解决上述问题,区别于现有技术中相对静态的防护方式,在本发明实施例中,采用了根据服务器的负荷来调整用于判断是否放行任意一个发送至服务器的数据包的判断标准的动态防护方式,例如,在服务器负荷较小时,可以采用较为宽松的判断标准,达到在服务器的负载能力内放行尽可能多的数据包的目的,以将防护装置对客户端及其用户正常访问服务器所造成的影响降至最小,在服务器负荷较大时,则可以采用较为严格的判断标准,通过对数据包的更深入地检查来上调服务器对抗攻击的能力,以避免出现服务器瘫痪并拒绝提供任何服务的状况,从而在整体上达到了有效利用服务器的负载能力并降低服务器在负荷较大时出现宕机的可能性的效果,或者说达到了在防范服务器因流量攻击而瘫痪前提下更为有效地利用服务器的负载能力的效果,提高了服务器对负荷波动的适应能力以及服务器所在的业务系统的可靠性,进而解决了在服务器的负荷较大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题。
以下将结合附图和具体的实施例对本发明技术方案进行更为详细的描述。首先将描述本发明实施例中用于执行上述处理方法的处理装置的实施环境。
一般地,在本发明实施例中,该处理装置所要防护的服务器可以用于向连接该服务器的多个客户端提供客户端所需的服务,具体地,该服务可以是文件访问服务,也可以是数据库访问服务,还可以是计算服务等。在另一方面,从实际功能的角度来说,该服务器可以具体用于执行某一类型的业务,比如查询业务、缴费业务、游戏业务等,或者是对这些业务的进一步细分,如游戏业务中的聊天业务、数据业务等。然而本发明对此不作任何限定,上述各实施方式并不影响本发明技术方案的实施及其技术效果的实现,类似的对本发明实施例的继承与扩展也均应视为在本发明的保护范围之内。值得注意的是,在本发明实施例中,该服务器可以表示管理资源并向客户端提供服务的服务器应用,也可以表示能够实现这一功能的计算机或计算机系统,本发明对此不作限定。
此外,在本发明实施例中,该客户端可以表示连接服务器并向服务器请求相应服务的客户端应用或者是客户端设备,具体地,该客户端应用通常可以是运行在该客户端设备上的由相应服务的提供者发布给用户的应用程序,例如,在本发明实施例中,该客户端应用可以是新闻客户端、地图客户端或游戏客户端等等,该客户端设备可以是用户所使用的个人电脑、平板电脑或智能手机等等,然而本发明对此不作限定。
在上述环境下,根据本发明实施例提供的处理装置可以设置在服务器侧,具体地,该处理装置既可以作为服务器的内置模块,也可以作为外挂模块与服务器应用运行在同一计算机或计算机系统上,还可以运行在其他设备上,例如该处理装置可以设置在用于向业务服务器额外提供防护服务的后台服务器上等,本发明对此不作限定。考虑到现有的服务器通常已经具有一个或多个防护模块,因此,作为一种可选的方式,本发明实施例提供的处理装置也可以结合已有的防护模块来设置,其具体实施方式将在之后的实施例中进行描述。
在以上描述的基础上,根据本发明实施例提供的处理方法,在步骤S102中,防护装置可以先获取客户端向服务器发送的数据包。一般来说,该防护模块可以串联在数据流上,以便于在步骤S102中截取发送给服务器的数据包,并在后续步骤S106中将截取的数据包继续发送给服务器。然而本发明对此不作限定,例如,在本发明的一些实施例中,该防护装置也可以设置在数据流的旁路上并起到检测作用,并将检测结果通知给服务器对应的防火墙,使得防火墙可以根据检测结果选择放行还是拦截被检测的数据包。具体地,在本发明实施例中,步骤S102中所描述的获取数据包的操作可以采用现在或未来为本领域技术人员所知的任意一种操作方式,本发明在此不作累述。
更具体地,在本发明实施例中,上述数据包通常可以表示工作在开放系统互连OSI(OpenSystemInterconnection)七层模型中的网络层和传输层的由TCP/IP传输协议所规定的网络数据传输的基本单位,其中,数据包的实例在结构上可以包括包头和包体,数据包所携带的信息通常可以包括数据包的源IP地址、目的IP地址和有效载荷数据,这些信息分别用于标明该数据包的来源地、目的地和数据包所需传输的数据内容或者说业务数据。然而本发明对此不作限定,例如,在本发明的一些实施例中,该数据包也可以表示其他可行的网络数据传输的单位,其作用在于方便处理装置对所需传输给服务器的数据进行划分,并可以基于这种划分利用常用的或自定义的数据分析及处理模块对传输给服务器的数据进行分析,进而可以从安全防护的角度判断出应当放行的数据和应当拦截的数据。
进一步地,根据本发明实施例提供的处理方法,在步骤S104中,可以判断数据包是否满足预设条件,其中,预设条件与服务器的负荷对应,且不同的预设条件对应不同的负荷。
如前所述,在现有的方案中,作为数据包是否放行的判断标准的预设条件是静态的,或者说是固定的。也即,现有的方案普遍采用相同的一套预设条件对数据包进行判断,例如在串行的数据流上设置的防火墙所预先设置好的IP地址黑名单及禁止访问的端口等,或者IPS所预先设置好的敏感特征,或者基于权威的地域库所设置的地域限制,或者业务服务器根据更为深入的业务数据所建立的信誉库模型,或者上述一个或多个条件的串联组合,其共性在于,这些条件是预先确定的,而无关于服务器的负荷或者说服务器当前的负载情况。
区别于现有方案,在本发明实施例中,对数据包进行的判断操作所采用的预设条件可以根据服务器的负荷动态地调整,也即,可以实时地选用与服务器的负荷相对应的预设条件对数据包进行判断,并且不同的预设条件对应于不同的负载情况,进而可以通过步骤S106将判断为满足预设条件的数据包发送给服务器。在上述场景下,由于服务器对抗流量攻击的能力取决于不同的预设条件,而不同的预设条件取决于服务器不同的负载情况,因此服务器对抗攻击的能力便可以随着服务器的负载情况浮动,这就在一方面克服了静态的防护方式可能无法适应于服务器实际受到攻击时所面临的负荷压力的缺陷,并在另一方面克服了服务器在负荷较低时却无法有效利用其负载能力为可能被静态的防护措施误判为攻击源的合法客户端提供服务的缺陷,从而在一方面达到了有效利用服务器的负载能力并降低服务器在负荷较大时出现宕机的可能性的效果,并在另一方面达到了在防范服务器因流量攻击而瘫痪前提下更为有效地利用服务器的负载能力的效果,进而提高了服务器及其业务系统的健康度和工作效率。
结合图2,以一个具体的实施例为例,其中,图2示出了一种可选的用于实施上述处理方法的处理装置或者说服务器的防护装置的示意图。
在本实施例中,类似于传统的防护措施,该防护装置可以设置有常见的用于旁路分析的流跟踪和会话学习模块202、作为DDoS防火墙的基础的基于传输协议的源验证模块204、主要针对网络信息浏览业务的基于应用协议的源验证模块206和用于检测通过上述模块验证的真实源中的恶意的真实源的恶意真实源检测模块208。此外,区别于传统的防护措施,在本实施例中,该防护装置还设置有用于存储并管理由上述各模块生产出的客户端或者说源IP地址的信誉记录的信誉库210和用于执行上述处理方法中所描述的对数据包进行的判断及处理操作的基于信誉库的处理模块212。
下面将对该处理装置的工作流程进行详细描述。在本实施例中,为实现客户端与服务器之间进行业务数据的交互,连接服务器的多个客户端可以向服务器发送大量业务数据,这些业务数据的总和可以描述为业务数据流,业务数据流中的数据传输的单位可以是数据包。对于防护装置来说,可以先在外网核心链路侧对业务数据流进行流量分光,复制的业务流量或者说镜像流量进入流跟踪和会话学习模块,实际业务流量进行串联的各验证、检测模块和处理模块,最终处理后放行的数据包将进入到服务器。
其中,由于镜像流量为实际流量的复制,因此对镜像流量的分析处理并不会影响实际流量的传输和处理,因而也可以视为是在实际流量的旁路对业务数据流进行分析。通过流跟踪和会话学习模块202,可以对每个客户端或者说源IP地址发送的业务数据的跟踪和学习,对学习得出的真实源IP按照全局、地域和业务进行信任等级分类,并将结果存储在信誉库中,其中,源IP用于标识向服务器发送某一数据包的客户端。具体地,在会话学习和流跟踪模块202中,可以根据TCP协议的流特征,如五元组、seq/ack编号、各种标志位报文等,对通过该模块的每个数据包进行分析,进而可以根据分析结果建立相应的TCP会话模型,作为对每个源IP进行跟踪学习的结果并更新到信誉库210中。一般地,存储到信誉库210的每个客户端的分析结果的精细化程度从信誉库210中的全局IP信誉库、地域IP信誉库再到业务IP信誉库依次递增。
对于实际流量来说,首先业务数据包会依次经过基于传输协议的源验证模块204和基于应用协议的源验证模块206,验证通过的数据包的源可以认为是真实源,而非攻击者所经常采用的伪造的源IP地址,一般地,对于基于TCP/IP协议所进行的数据传输通常都需要经过基于传输协议的源验证算法的验证,而对于Web类业务也即浏览业务来说,基于应用协议的源验证算法对数据包及其源IP的验证也是较为普遍的。进一步地,验证通过的真实源将会由恶意真实源检测模块208执行进一步检测,以判断该已认定的真实源是否存在恶意或恶意行为。在本实施例中,通过以上三个模块可以生产出与客户端或者说源IP地址对应的一条数据记录,该数据记录通常记录有作为客户端的标识的源IP地址、基于传输协议的源验证是否通过、基于应用协议的源验证是否通过和恶意真实源检测是否通过的各项信息,进而该数据记录也会更新到信誉库中,更具体地,作为较为浅层的探查方式,通过上述验证和检测模块生产的数据记录通常会存储在全局IP信誉库中。
在本实施例中,信誉库通常以数据库的形式出现,用于记录对业务数据或者说数据包进行分析的各模块所生产的分析结果,并且这些分析结果将根据不同的源IP逐条记录。更为细分地,信誉库模型可以被划分为全局IP信誉库、地域IP信誉库和业务IP信誉库,其中,全局IP信誉库通常会存储与传输特性相关但与业务本身无关的通过对数据包的浅层分析所获得的源IP的信誉记录,地域IP信誉库可以从权威数据库拉取,用于存储源IP对应的地域信息,业务IP信誉库可以存储业务本身或业务服务器基于客户端或者说源IP所执行的各项业务操作的历史记录对源IP进行可靠性评价等分析所得出的信誉记录。更具体地,作为一种可选的方式,信誉库中的源IP信誉模型可以如表1所示。
表1
在以上描述的基础上,可以通过基于信誉库的处理模块212根据服务器的负荷决定对数据包及其源IP进行严格处理还是非严格处理。具体地,该处理模块212所采取的不同的处理方式可以通过选择调用信誉库210中的与源IP对应的哪些分析结果来实现,例如,若业务服务器的负荷较轻,则可以使用较少的分析结果对数据包的源IP进行判断,比如可以仅通过全局IP信誉库进行筛查处理,也即仅针对如表1中所示的源IP地址对应的每条数据记录的前三个属性进行判断,若业务服务器的负荷较重,则可以使用较多的分析结果进行判断,比如可以将所有的信誉库模型作用于业务数据流中,也即将如表1中所示的源IP地址的所有数据参与到判断中。最终,经过处理模块212处理并放行的数据包被发送到服务器。
由此可见,在本发明实施例中,上述步骤S104可以包括:
S2:判断数据包中携带的客户端的标识是否满足多个预设条件中与负荷所在的负荷阈值区间对应的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
S4:若该标识满足该条件的组合,则判断出数据包满足预设条件。
在本发明实施例中,客户端的标识可以是其IP地址,对于数据包而言,则该IP地址即为数据包的源IP地址。在另一方面,在本发明实施例中,服务器可以根据可能出现的负载情况对负荷程度进行划分,并设置多个负荷阈值区间,进而可以为每个负荷阈值区间设置相对应的条件组合,例如,负荷程度较大的负荷阈值区间所对应的条件组合可以包括更多的判断条件,如在表1所示的信誉库中选取更多属性作为判断条件,负荷程度较小的负荷阈值区间对应的条件组合则可以包括更少、严格程度较低的判断条件,如以表1中所示的前三个属性均通过作为判断条件,等。
进一步地,在本发明实施例中,还可以直接维护与不同的服务器的负荷对应的客户端的集合,或者说在各负荷下允许访问服务器的客户端的标识的集合。例如,作为一种可选的方式,在本发明实施例中,上述步骤S104可以包括:
S6:判断数据包中携带的客户端的标识是否属于与负荷所在的负荷阈值区间对应的标识集,其中,标识集包括与负荷阈值区间对应的允许访问服务器的所有客户端的标识;
S8:若属于,则判断出标识满足预设条件。
在本发明实施例中,通过对该标识集的定时更新,便可以通过判断数据包对应的用于标识客户端的标识如源IP是否属于标识集,快速地判断出是否应当放行该数据包。
相对应地,在本发明实施例中,作为一种可选的方式,在步骤S6之前,上述处理方法还可以包括:
S10:获取与服务器的多个负荷阈值区间一一对应的多个标识集;和/或,
S12:获取服务器的负荷,判断出获取的负荷所在的负荷阈值区间,并查找到与负荷所在的负荷阈值区间对应的标识集。
作为一种可行的获取与不同负荷阈值区间对应的标识集的方式,在本发明实施例中,上述步骤S10具体可以包括:
S14:判断客户端是否满足与多个负荷阈值区间中的每一个对应的验证条件,其中,不同的负荷阈值区间对应不同的验证条件;
S16:将满足任一负荷阈值区间对应的验证条件的所有客户端的标识添加到与任一负荷阈值区间对应的标识集中。
其中,进一步可选地,类似于前述实施例中在多个条件中针对不同的负荷或负荷阈值区间选取不同的条件组合的方式,在本发明实施例中,上述步骤S14可以包括:
S18:判断客户端的历史访问记录和/或所在地域是否满足多个验证条件中的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
其中,上述步骤S16可以包括:
S20:将满足任一负荷阈值区间对应的组合的所有客户端的标识添加到与任一负荷阈值区间对应的的标识集中。
通过以上实施例,对本发明技术方案及其工作原理进行了阐述,然而应当理解的是,上述实施例仅用于对本发明的理解,而不应视为是对本发明的限定。例如,前述实施例中以采用信誉库模型的防护处理策略为例对本发明的一些实施方式进行了描述,然而在本发明的另一些实施例中,也可以不采用信誉库模型的机制,而是利用其他可行的防护策略对数据包进行过滤,此外,在本发明的一些实施例中,用于标识客户端的也并不限于是其所发送的数据包的源IP地址,例如也可以是客户端所在设备的设备名或物理地址等等,本发明对此不作任何限定,类似的基于本发明的实施方式也均应视为在本发明的保护范围之内。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述处理方法的数据包处理装置,如图3所示,该装置包括:
1)第一获取单元302,用于获取客户端向服务器发送的数据包;
2)判断单元304,用于判断数据包是否满足预设条件,其中,预设条件与服务器的负荷对应,且不同的预设条件对应不同的负荷;
3)发送单元306,用于在数据包满足预设条件时,向服务器发送该数据包。
应当明确的是,本发明实施例所要解决的问题之一是提供一种装置,以便于实现对服务器的有效防护。具体来说,这种防护可以通过对发送给服务器的数据包的处理来实现,例如,可以在检测到数据包不满足某些预设条件时,对数据包进行拦截和丢弃等处理,以防范针对服务器进行的流量攻击。
现有技术中已经存在多种基于对数据包的处理来防范针对服务器进行的流量攻击的防护措施,这些防护措施通常会先对数据包进行分析,并具体解析出数据包的来源地、目的地、协议、数据内容等由浅至深地封装在数据包中的多项信息中的一个或多个,进而根据解析出的信息来判断应当放行还是丢弃该数据包。然而在现有的方案中,这些防护措施通常是相对静态地设置在服务器的入口处,其具体执行的对数据包的分析和判断通常是预先设置好的,而无关于服务器的实际运行状况,这就造成了服务器在负荷出现预期之外的增涨时无法做出适应性的调整,进而导致服务器的瘫痪。
为解决上述问题,区别于现有技术中相对静态的防护方式,在本发明实施例中,采用了根据服务器的负荷来调整用于判断是否放行任意一个发送至服务器的数据包的判断标准的动态防护方式,例如,在服务器负荷较小时,可以采用较为宽松的判断标准,达到在服务器的负载能力内放行尽可能多的数据包的目的,以将防护装置对客户端及其用户正常访问服务器所造成的影响降至最小,在服务器负荷较大时,则可以采用较为严格的判断标准,通过对数据包的更深入地检查来上调服务器对抗攻击的能力,以避免出现服务器瘫痪并拒绝提供任何服务的状况,从而在整体上达到了有效利用服务器的负载能力并降低服务器在负荷较大时出现宕机的可能性的效果,或者说达到了在防范服务器因流量攻击而瘫痪前提下更为有效地利用服务器的负载能力的效果,提高了服务器对负荷波动的适应能力以及服务器所在的业务系统的可靠性,进而解决了在服务器的负荷较大时静态的防护措施无法做出适应性地调整导致服务器瘫痪的技术问题。
以下将结合附图和具体的实施例对本发明技术方案进行更为详细的描述。首先将描述本发明实施例中用于执行上述处理装置的处理装置的实施环境。
一般地,在本发明实施例中,该处理装置所要防护的服务器可以用于向连接该服务器的多个客户端提供客户端所需的服务,具体地,该服务可以是文件访问服务,也可以是数据库访问服务,还可以是计算服务等。在另一方面,从实际功能的角度来说,该服务器可以具体用于执行某一类型的业务,比如查询业务、缴费业务、游戏业务等,或者是对这些业务的进一步细分,如游戏业务中的聊天业务、数据业务等。然而本发明对此不作任何限定,上述各实施方式并不影响本发明技术方案的实施及其技术效果的实现,类似的对本发明实施例的继承与扩展也均应视为在本发明的保护范围之内。值得注意的是,在本发明实施例中,该服务器可以表示管理资源并向客户端提供服务的服务器应用,也可以表示能够实现这一功能的计算机或计算机系统,本发明对此不作限定。
此外,在本发明实施例中,该客户端可以表示连接服务器并向服务器请求相应服务的客户端应用或者是客户端设备,具体地,该客户端应用通常可以是运行在该客户端设备上的由相应服务的提供者发布给用户的应用程序,例如,在本发明实施例中,该客户端应用可以是新闻客户端、地图客户端或游戏客户端等等,该客户端设备可以是用户所使用的个人电脑、平板电脑或智能手机等等,然而本发明对此不作限定。
在上述环境下,根据本发明实施例提供的处理装置可以设置在服务器侧,具体地,该处理装置既可以作为服务器的内置模块,也可以作为外挂模块与服务器应用运行在同一计算机或计算机系统上,还可以运行在其他设备上,例如该处理装置可以设置在用于向业务服务器额外提供防护服务的后台服务器上等,本发明对此不作限定。考虑到现有的服务器通常已经具有一个或多个防护模块,因此,作为一种可选的方式,本发明实施例提供的处理装置也可以结合已有的防护模块来设置,其具体实施方式将在之后的实施例中进行描述。
在以上描述的基础上,根据本发明实施例提供的处理装置,通过第一获取单元302,可以先获取客户端向服务器发送的数据包。一般来说,该防护模块可以串联在数据流上,以便于通过第一获取单元302来截取发送给服务器的数据包,并在后续操作中通过发送单元306将截取的数据包继续发送给服务器。然而本发明对此不作限定,例如,在本发明的一些实施例中,该防护装置也可以设置在数据流的旁路上并起到检测作用,并将检测结果通知给服务器对应的防火墙,使得防火墙可以根据检测结果选择放行还是拦截被检测的数据包。具体地,在本发明实施例中,第一获取单元302中所描述的获取数据包的操作可以采用现在或未来为本领域技术人员所知的任意一种操作方式,本发明在此不作累述。
更具体地,在本发明实施例中,上述数据包通常可以表示工作在OSI七层模型中的网络层和传输层的由TCP/IP传输协议所规定的网络数据传输的基本单位,其中,数据包的实例在结构上可以包括包头和包体,数据包所携带的信息通常可以包括数据包的源IP地址、目的IP地址和有效载荷数据,这些信息分别用于标明该数据包的来源地、目的地和数据包所需传输的数据内容或者说业务数据。然而本发明对此不作限定,例如,在本发明的一些实施例中,该数据包也可以表示其他可行的网络数据传输的单位,其作用在于方便处理装置对所需传输给服务器的数据进行划分,并可以基于这种划分利用常用的或自定义的数据分析及处理模块对传输给服务器的数据进行分析,进而可以从安全防护的角度判断出应当放行的数据和应当拦截的数据。
进一步地,根据本发明实施例提供的处理装置,通过判断单元304,可以判断数据包是否满足预设条件,其中,预设条件与服务器的负荷对应,且不同的预设条件对应不同的负荷。
如前所述,在现有的方案中,作为数据包是否放行的判断标准的预设条件是静态的,或者说是固定的。也即,现有的方案普遍采用相同的一套预设条件对数据包进行判断,例如在串行的数据流上设置的防火墙所预先设置好的IP地址黑名单及禁止访问的端口等,或者IPS所预先设置好的敏感特征,或者基于权威的地域库所设置的地域限制,或者业务服务器根据更为深入的业务数据所建立的信誉库模型,或者上述一个或多个条件的串联组合,其共性在于,这些条件是预先确定的,而无关于服务器的负荷或者说服务器当前的负载情况。
区别于现有方案,在本发明实施例中,对数据包进行的判断操作所采用的预设条件可以根据服务器的负荷动态地调整,也即,可以实时地选用与服务器的负荷相对应的预设条件对数据包进行判断,并且不同的预设条件对应于不同的负载情况,进而可以通过发送单元306将判断为满足预设条件的数据包发送给服务器。在上述场景下,由于服务器对抗流量攻击的能力取决于不同的预设条件,而不同的预设条件取决于服务器不同的负载情况,因此服务器对抗攻击的能力便可以随着服务器的负载情况浮动,这就在一方面克服了静态的防护方式可能无法适应于服务器实际受到攻击时所面临的负荷压力的缺陷,并在另一方面克服了服务器在负荷较低时却无法有效利用其负载能力为可能被静态的防护措施误判为攻击源的合法客户端提供服务的缺陷,从而在一方面达到了有效利用服务器的负载能力并降低服务器在负荷较大时出现宕机的可能性的效果,并在另一方面达到了在防范服务器因流量攻击而瘫痪前提下更为有效地利用服务器的负载能力的效果,进而提高了服务器及其业务系统的健康度和工作效率。
结合图2,以一个具体的实施例为例,其中,图2示出了一种可选的处理装置或者说服务器的防护装置的示意图。
在本实施例中,类似于传统的防护措施,该防护装置可以设置有常见的用于旁路分析的流跟踪和会话学习模块202、作为DDoS防火墙的基础的基于传输协议的源验证模块204、主要针对网络信息浏览业务的基于应用协议的源验证模块206和用于检测通过上述模块验证的真实源中的恶意的真实源的恶意真实源检测模块208。此外,区别于传统的防护措施,在本实施例中,该防护装置还设置有用于存储并管理由上述各模块生产出的客户端或者说源IP地址的信誉记录的信誉库210和用于执行上述处理装置中所描述的对数据包进行的判断及处理操作的基于信誉库的处理模块212。
下面将对该处理装置的工作流程进行详细描述。在本实施例中,为实现客户端与服务器之间进行业务数据的交互,连接服务器的多个客户端可以向服务器发送大量业务数据,这些业务数据的总和可以描述为业务数据流,业务数据流中的数据传输的单位可以是数据包。对于防护装置来说,可以先在外网核心链路侧对业务数据流进行流量分光,复制的业务流量或者说镜像流量进入流跟踪和会话学习模块,实际业务流量进行串联的各验证、检测模块和处理模块,最终处理后放行的数据包将进入到服务器。
其中,由于镜像流量为实际流量的复制,因此对镜像流量的分析处理并不会影响实际流量的传输和处理,因而也可以视为是在实际流量的旁路对业务数据流进行分析。通过流跟踪和会话学习模块202,可以对每个客户端或者说源IP地址发送的业务数据的跟踪和学习,对学习得出的真实源IP按照全局、地域和业务进行信任等级分类,并将结果存储在信誉库中,其中,源IP用于标识向服务器发送某一数据包的客户端。具体地,在会话学习和流跟踪模块202中,可以根据TCP协议的流特征,如五元组、seq/ack编号、各种标志位报文等,对通过该模块的每个数据包进行分析,进而可以根据分析结果建立相应的TCP会话模型,作为对每个源IP进行跟踪学习的结果并更新到信誉库210中。一般地,存储到信誉库210的每个客户端的分析结果的精细化程度从信誉库210中的全局IP信誉库、地域IP信誉库再到业务IP信誉库依次递增。
对于实际流量来说,首先业务数据包会依次经过基于传输协议的源验证模块204和基于应用协议的源验证模块206,验证通过的数据包的源可以认为是真实源,而非攻击者所经常采用的伪造的源IP地址,一般地,对于基于TCP/IP协议所进行的数据传输通常都需要经过基于传输协议的源验证算法的验证,而对于Web类业务也即浏览业务来说,基于应用协议的源验证算法对数据包及其源IP的验证也是较为普遍的。进一步地,验证通过的真实源将会由恶意真实源检测模块208执行进一步检测,以判断该已认定的真实源是否存在恶意或恶意行为。在本实施例中,通过以上三个模块可以生产出与客户端或者说源IP地址对应的一条数据记录,该数据记录通常记录有作为客户端的标识的源IP地址、基于传输协议的源验证是否通过、基于应用协议的源验证是否通过和恶意真实源检测是否通过的各项信息,进而该数据记录也会更新到信誉库中,更具体地,作为较为浅层的探查方式,通过上述验证和检测模块生产的数据记录通常会存储在全局IP信誉库中。
在本实施例中,信誉库通常以数据库的形式出现,用于记录对业务数据或者说数据包进行分析的各模块所生产的分析结果,并且这些分析结果将根据不同的源IP逐条记录。更为细分地,信誉库模型可以被划分为全局IP信誉库、地域IP信誉库和业务IP信誉库,其中,全局IP信誉库通常会存储与传输特性相关但与业务本身无关的通过对数据包的浅层分析所获得的源IP的信誉记录,地域IP信誉库可以从权威数据库拉取,用于存储源IP对应的地域信息,业务IP信誉库可以存储业务本身或业务服务器基于客户端或者说源IP所执行的各项业务操作的历史记录对源IP进行可靠性评价等分析所得出的信誉记录。更具体地,作为一种可选的方式,信誉库中的源IP信誉模型可以如实施例1中的表1所示。
在以上描述的基础上,可以通过基于信誉库的处理模块212根据服务器的负荷决定对数据包及其源IP进行严格处理还是非严格处理。具体地,该处理模块212所采取的不同的处理方式可以通过选择调用信誉库210中的与源IP对应的哪些分析结果来实现,例如,若业务服务器的负荷较轻,则可以使用较少的分析结果对数据包的源IP进行判断,比如可以仅通过全局IP信誉库进行筛查处理,也即仅针对如表1中所示的源IP地址对应的每条数据记录的前三个属性进行判断,若业务服务器的负荷较重,则可以使用较多的分析结果进行判断,比如可以将所有的信誉库模型作用于业务数据流中,也即将如表1中所示的源IP地址的所有数据参与到判断中。最终,经过处理模块212处理并放行的数据包被发送到服务器。
由此可见,在本发明实施例中,上述判断单元304可以包括:
1)第四判断模块,用于判断数据包中携带的客户端的标识是否满足多个预设条件中与负荷所在的负荷阈值区间对应的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
2)第五判断模块,用于在该标识满足该条件的组合时,判断出数据包满足预设条件。
在本发明实施例中,客户端的标识可以是其IP地址,对于数据包而言,则该IP地址即为数据包的源IP地址。在另一方面,在本发明实施例中,服务器可以根据可能出现的负载情况对负荷程度进行划分,并设置多个负荷阈值区间,进而可以为每个负荷阈值区间设置相对应的条件组合,例如,负荷程度较大的负荷阈值区间所对应的条件组合可以包括更多的判断条件,如在表1所示的信誉库中选取更多属性作为判断条件,负荷程度较小的负荷阈值区间对应的条件组合则可以包括更少、严格程度较低的判断条件,如以表1中所示的前三个属性均通过作为判断条件,等。
进一步地,在本发明实施例中,还可以直接维护与不同的服务器的负荷对应的客户端的集合,或者说在各负荷下允许访问服务器的客户端的标识的集合。例如,作为一种可选的方式,在本发明实施例中,上述判断单元304可以包括:
1)第一判断模块,用于判断数据包中携带的客户端的标识是否属于与负荷所在的负荷阈值区间对应的标识集,其中,标识集包括与负荷阈值区间对应的允许访问服务器的所有客户端的标识;
2)第二判断模块,用于在判断出标识属于对应的标识集时,判断出标识满足预设条件。
在本发明实施例中,通过对该标识集的定时更新,便可以通过判断数据包对应的用于标识客户端的标识如源IP是否属于标识集,快速地判断出是否应当放行该数据包。
相对应地,在本发明实施例中,作为一种可选的方式,在步骤S6之前,上述处理装置还可以包括:
1)第二获取单元,用于获取与服务器的多个负荷阈值区间一一对应的多个标识集;和/或,
2)第三获取单元,用于获取服务器的负荷,判断出获取的负荷所在的负荷阈值区间,并查找到与负荷所在的负荷阈值区间对应的标识集。
作为一种可行的获取与不同负荷阈值区间对应的标识集的方式,在本发明实施例中,第二获取单元具体可以包括:
1)第三判断模块,用于判断客户端是否满足与多个负荷阈值区间中的每一个对应的验证条件,其中,不同的负荷阈值区间对应不同的验证条件;
2)添加模块,用于将满足任一负荷阈值区间对应的验证条件的所有客户端的标识添加到与任一负荷阈值区间对应的标识集中。
其中,进一步可选地,类似于前述实施例中在多个条件中针对不同的负荷或负荷阈值区间选取不同的条件组合的方式,在本发明实施例中,上述第三判断模块可以包括:
1)判断子模块,用于判断客户端的历史访问记录和/或所在地域是否满足多个验证条件中的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
其中,上述添加模块可以包括:
2)添加子模块,用于将满足任一负荷阈值区间对应的组合的所有客户端的标识添加到与任一负荷阈值区间对应的的标识集中。
通过以上实施例,对本发明技术方案及其工作原理进行了阐述,然而应当理解的是,上述实施例仅用于对本发明的理解,而不应视为是对本发明的限定。例如,前述实施例中以采用信誉库模型的防护处理策略为例对本发明的一些实施方式进行了描述,然而在本发明的另一些实施例中,也可以不采用信誉库模型的机制,而是利用其他可行的防护策略对数据包进行过滤,此外,在本发明的一些实施例中,用于标识客户端的也并不限于是其所发送的数据包的源IP地址,例如也可以是客户端所在设备的设备名或物理地址等等,本发明对此不作任何限定,类似的基于本发明的实施方式也均应视为在本发明的保护范围之内。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的服务器和客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种数据包处理方法,其特征在于,包括:
获取客户端向服务器发送的数据包;
判断所述数据包是否满足预设条件,其中,所述预设条件与所述服务器的负荷对应,且不同的所述预设条件对应不同的所述负荷;
若所述数据包满足所述预设条件,则向所述服务器发送所述数据包。
2.根据权利要求1所述的方法,其特征在于,所述判断所述数据包是否满足预设条件包括:
判断所述数据包中携带的客户端的标识是否属于与所述负荷所在的负荷阈值区间对应的标识集,其中,所述标识集包括与负荷阈值区间对应的允许访问所述服务器的所有客户端的标识;
若属于,则判断出所述标识满足所述预设条件。
3.根据权利要求2所述的方法,其特征在于,在所述判断所述数据包中携带的客户端的标识是否属于与所述负荷所在的负荷阈值区间对应的标识集之前,所述方法还包括:
获取与所述服务器的多个负荷阈值区间一一对应的多个标识集;和/或,
获取所述服务器的负荷,判断出获取的所述负荷所在的负荷阈值区间,并查找到与所述负荷所在的负荷阈值区间对应的标识集。
4.根据权利要求3所述的方法,其特征在于,所述获取与所述服务器的多个负荷阈值区间一一对应的多个标识集包括:
判断客户端是否满足与所述多个负荷阈值区间中的每一个对应的验证条件,其中,不同的负荷阈值区间对应不同的验证条件;
将满足任一负荷阈值区间对应的验证条件的所有客户端的标识添加到与所述任一负荷阈值区间对应的标识集中。
5.根据权利要求4所述的方法,其特征在于,
所述判断客户端是否满足与所述多个负荷阈值区间中的每一个对应的验证条件包括:判断客户端的历史访问记录和/或所在地域是否满足多个验证条件中的与所述每一个对应的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
所述将满足任一负荷阈值区间对应的验证条件的所有客户端的标识添加到与所述任一负荷阈值区间对应的标识集中包括:将满足任一负荷阈值区间对应的组合的所有客户端的标识添加到与所述任一负荷阈值区间对应的的标识集中。
6.根据权利要求1所述的方法,其特征在于,所述判断所述数据包是否满足预设条件包括:
判断所述数据包中携带的客户端的标识是否满足多个预设条件中与所述负荷所在的负荷阈值区间对应的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
若所述标识满足所述条件的组合,则判断出所述数据包满足预设条件。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述客户端的标识包括所述数据包的源IP地址。
8.一种数据包处理装置,其特征在于,包括:
第一获取单元,用于获取客户端向服务器发送的数据包;
判断单元,用于判断所述数据包是否满足预设条件,其中,所述预设条件与所述服务器的负荷对应,且不同的所述预设条件对应不同的所述负荷;
发送单元,用于在所述数据包满足所述预设条件时,向所述服务器发送所述数据包。
9.根据权利要求8所述的装置,其特征在于,所述判断单元包括:
第一判断模块,用于判断所述数据包中携带的客户端的标识是否属于与所述负荷所在的负荷阈值区间对应的标识集,其中,所述标识集包括与负荷阈值区间对应的允许访问所述服务器的所有客户端的标识;
第二判断模块,用于在判断出所述标识属于所述对应的标识集时,判断出所述标识满足所述预设条件。
10.根据权利要求9所述的装置,其特征在于,还包括:
第二获取单元,用于获取与所述服务器的多个负荷阈值区间一一对应的多个标识集;和/或,
第三获取单元,用于获取所述服务器的负荷,判断出获取的所述负荷所在的负荷阈值区间,并查找到与所述负荷所在的负荷阈值区间对应的标识集。
11.根据权利要求10所述的装置,其特征在于,所述第二获取单元包括:
第三判断模块,用于判断客户端是否满足与所述多个负荷阈值区间中的每一个对应的验证条件,其中,不同的负荷阈值区间对应不同的验证条件;
添加模块,用于将满足任一负荷阈值区间对应的验证条件的所有客户端的标识添加到与所述任一负荷阈值区间对应的标识集中。
12.根据权利要求11所述的装置,其特征在于,
所述第三判断模块包括:判断子模块,用于判断客户端的历史访问记录和/或所在地域是否满足多个验证条件中的与所述每一个对应的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
所述添加模块包括:添加子模块,用于将满足任一负荷阈值区间对应的组合的所有客户端的标识添加到与所述任一负荷阈值区间对应的的标识集中。
13.根据权利要求8所述的装置,其特征在于,所述判断单元包括:
第四判断模块,用于判断所述数据包中携带的客户端的标识是否满足多个预设条件中与所述负荷所在的负荷阈值区间对应的一个或多个条件的组合,其中,不同的负荷阈值区间对应不同的组合;
第五判断模块,用于在所述标识满足所述条件的组合时,判断出所述数据包满足预设条件。
14.根据权利要求8至13中任一项所述的装置,其特征在于,所述客户端的标识包括所述数据包的源IP地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410258821.5A CN105306411A (zh) | 2014-06-11 | 2014-06-11 | 数据包处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410258821.5A CN105306411A (zh) | 2014-06-11 | 2014-06-11 | 数据包处理方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105306411A true CN105306411A (zh) | 2016-02-03 |
Family
ID=55203171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410258821.5A Pending CN105306411A (zh) | 2014-06-11 | 2014-06-11 | 数据包处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105306411A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411871A (zh) * | 2016-09-20 | 2017-02-15 | 东软集团股份有限公司 | 构建应用信誉库的方法及装置 |
CN107330697A (zh) * | 2017-05-27 | 2017-11-07 | 福建天晴数码有限公司 | 一种支付方法及系统 |
CN109347796A (zh) * | 2018-09-11 | 2019-02-15 | 聚好看科技股份有限公司 | 业务访问控制方法及装置 |
WO2019242052A1 (zh) * | 2018-06-19 | 2019-12-26 | 网宿科技股份有限公司 | 一种针对HTTP Flood攻击的防护方法及装置 |
CN111262812A (zh) * | 2018-11-30 | 2020-06-09 | 比亚迪股份有限公司 | 数据包筛选方法和装置 |
CN111935188A (zh) * | 2020-10-12 | 2020-11-13 | 南京赛宁信息技术有限公司 | 基于ks检测的靶场环境中最大化攻击流量方法与装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1972275A (zh) * | 2005-11-25 | 2007-05-30 | 国际商业机器公司 | 控制对web资源请求的处理的方法和系统 |
CN101562560A (zh) * | 2008-04-18 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通用流量控制方法及系统 |
CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
-
2014
- 2014-06-11 CN CN201410258821.5A patent/CN105306411A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1972275A (zh) * | 2005-11-25 | 2007-05-30 | 国际商业机器公司 | 控制对web资源请求的处理的方法和系统 |
CN101562560A (zh) * | 2008-04-18 | 2009-10-21 | 北京启明星辰信息技术股份有限公司 | 一种通用流量控制方法及系统 |
CN101588246A (zh) * | 2008-05-23 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
CN101969445A (zh) * | 2010-11-03 | 2011-02-09 | 中国电信股份有限公司 | 防御DDoS和CC攻击的方法和装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106411871A (zh) * | 2016-09-20 | 2017-02-15 | 东软集团股份有限公司 | 构建应用信誉库的方法及装置 |
CN107330697A (zh) * | 2017-05-27 | 2017-11-07 | 福建天晴数码有限公司 | 一种支付方法及系统 |
CN107330697B (zh) * | 2017-05-27 | 2020-03-31 | 福建天晴数码有限公司 | 一种支付方法及系统 |
WO2019242052A1 (zh) * | 2018-06-19 | 2019-12-26 | 网宿科技股份有限公司 | 一种针对HTTP Flood攻击的防护方法及装置 |
CN109347796A (zh) * | 2018-09-11 | 2019-02-15 | 聚好看科技股份有限公司 | 业务访问控制方法及装置 |
CN111262812A (zh) * | 2018-11-30 | 2020-06-09 | 比亚迪股份有限公司 | 数据包筛选方法和装置 |
CN111935188A (zh) * | 2020-10-12 | 2020-11-13 | 南京赛宁信息技术有限公司 | 基于ks检测的靶场环境中最大化攻击流量方法与装置 |
CN111935188B (zh) * | 2020-10-12 | 2020-12-29 | 南京赛宁信息技术有限公司 | 基于ks检测的靶场环境中最大化攻击流量方法与装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10505932B2 (en) | Method and system for tracking machines on a network using fuzzy GUID technology | |
CN105306411A (zh) | 数据包处理方法和装置 | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
US20090077663A1 (en) | Score-based intrusion prevention system | |
US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
CN105577608A (zh) | 网络攻击行为检测方法和装置 | |
CN105610851B (zh) | 防御分布式拒绝服务攻击的方法及系统 | |
US20160269362A1 (en) | Network security system to intercept inline domain name system requests | |
CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN111464525B (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
JP2009504099A (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
Smys et al. | Data elimination on repetition using a blockchain based cyber threat intelligence | |
Saravanan et al. | A new framework to alleviate DDoS vulnerabilities in cloud computing. | |
CN104113525A (zh) | 一种防御资源消耗型Web攻击方法及装置 | |
CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
CN109474623A (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
CN105812324A (zh) | Idc信息安全管理的方法、装置及系统 | |
Al-Hamami et al. | Development of a network-based: Intrusion Prevention System using a Data Mining approach | |
Sunitha et al. | Key Observation to Prevent IP Spoofing in DDoS Attack on Cloud Environment | |
Sedaghat | The Forensics of DDoS Attacks in the Fifth Generation Mobile Networks Based on Software-Defined Networks. | |
CN110198298A (zh) | 一种信息处理方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160203 |