CN105430011A - 一种检测分布式拒绝服务攻击的方法和装置 - Google Patents
一种检测分布式拒绝服务攻击的方法和装置 Download PDFInfo
- Publication number
- CN105430011A CN105430011A CN201510999329.8A CN201510999329A CN105430011A CN 105430011 A CN105430011 A CN 105430011A CN 201510999329 A CN201510999329 A CN 201510999329A CN 105430011 A CN105430011 A CN 105430011A
- Authority
- CN
- China
- Prior art keywords
- distributed denial
- service attack
- access request
- request
- cookie
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的实施方式提供了一种检测分布式拒绝服务攻击的方法和装置。该方案包括:在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和IP地址;以及根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求,在该方案中,根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求,不是根据IP地址的访问量来判断是否为分布式拒绝服务攻击,从而显著地降低了对NAT公有出口IP地址的误判,提高了检测分布式拒绝服务攻击的准确度。
Description
技术领域
本发明的实施方式涉及计算机领域,更具体地,本发明的实施方式涉及一种检测分布式拒绝服务攻击的方法和装置。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
目前,主要通过对访问的源IP(InternetProtocol,互联网协议)地址进行统计的方式,检测DDoS(DistributedDenialofService,分布式拒绝服务)Flood(攻击),具体为当某个源IP地址的访问量超过一个设定的阈值的时候,则判定这个IP地址有攻击行为。
但是,由于互联网上存在大量的代理服务器,攻击者可以通过大量的代理服务器发送请求,此时,很难从源IP地址统计的维度来判断攻击源。例如,由于IPv4地址的短缺,大量的企业、学校、机构采用了NAT(NetworkAddressTranslation,网络地址转换)技术(NAT技术是指可以使用少量的公有IP地址代表较多的私有IP地址的技术),此时,NAT出口的公有IP地址下会有大量的访问,如果仍采用通过IP地址的访问量来判断攻击源的话,NAT出口下的公有IP地址很容易被误判为攻击源。
发明内容
在采用NAT技术的情况下,仍采用通过IP地址的访问量来判断攻击源的话,会将NAT出口下的公有IP地址判定为攻击源,因此现有技术中的检测分布式拒绝服务攻击的方法存在准确度较低的缺陷,这是非常令人烦恼的过程。
为此,非常需要一种改进的检测分布式拒绝服务攻击的方法和装置,以使得提高检测分布式拒绝服务攻击的准确度。
在本上下文中,本发明的实施方式期望提供一种检测分布式拒绝服务攻击的方法和装置。
在本发明实施方式的第一方面中,提供了一种检测分布式拒绝服务攻击的方法,包括:在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
在本发明实施方式的第二方面中,提供了一种检测分布式拒绝服务攻击的装置,包括:代码嵌入模块,用于在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;访问请求接收和解析模块,用于接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及攻击判断模块,用于根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
根据本发明的上述实施方式中的检测分布式拒绝服务攻击的装置,所述攻击判断模块在根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求之前,初步判断是否为分布式拒绝服务攻击,在初步判断结果为是的情况下,所述攻击判断模块根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求;在初步判断为否的情况下,所述攻击判断模块通过所述访问者的访问请求。
根据本发明的上述任一实施方式中的检测分布式拒绝服务攻击的装置,其中当所述攻击判断模块根据Cookie中浏览器指纹的情况,未将所述访问请求判断为分布式拒绝服务攻击请求的情况下,所述攻击判断模块根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求。
根据本发明的上述任一实施方式中的检测分布式拒绝服务攻击的装置,其中所述攻击判断模块根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的过程中,在Cookie中不存在浏览器指纹的情况下,所述攻击判断模块判断所述访问请求为分布式拒绝服务攻击请求;或者,在Cookie中的浏览器指纹不合法的情况下,所述攻击判断模块判断所述访问请求为分布式拒绝服务攻击请求。
根据本发明的上述任一实施方式中的检测分布式拒绝服务攻击的装置,其中所述攻击判断模块根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的过程中,在Cookie中不存在浏览器指纹的情况下,所述攻击判断模块以一随机函数判断所述访问请求是否为分布式拒绝服务攻击请求。
根据本发明的上述任一实施方式中的检测分布式拒绝服务攻击的装置,其中所述攻击判断模块根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求的过程中,在同一IP地址下浏览器指纹的数量超过预先设置的阈值时,所述攻击判断模块判断所述访问请求为分布式拒绝服务攻击请求。
根据本发明的上述任一实施方式中的检测分布式拒绝服务攻击的装置,还包括加密和混淆模块,用于在所述代码嵌入模块在网站页面中嵌入用于生成浏览器指纹的JavaScript代码之前,对于所述JavaScript代码进行加密和混淆处理。
根据本发明的上述任一实施方式中的检测分布式拒绝服务攻击的装置,其中所述分布式拒绝服务攻击是超文本传输协议HTTP(HyperTextTransferProtocol,超文本传输协议)泛洪攻击。
根据本发明实施方式的检测分布式拒绝服务攻击的方法和装置,在接收到访问请求时,获得网站访问者的Cookie,并根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求,不是根据IP地址的访问量来判断是否为分布式拒绝服务攻击,从而显著地降低了对NAT公有出口IP地址的误判,提高了检测分布式拒绝服务攻击的准确度。
同时,本发明实施方式的检测分布式拒绝服务攻击的方法和装置中,在根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的基础上,还可以再结合同一IP地址下浏览器指纹的数量的判断手段,和/或通过对于所述JavaScript代码进行加密和混淆处理等技术手段,进一步提高访问的安全性及检测分布式拒绝服务攻击的准确度。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
图1A示意性地示出了根据本发明实施方式的一种检测分布式拒绝服务攻击的方法的流程图;
图1B示意性地示出了根据本发明实施方式的另一种检测分布式拒绝服务攻击的方法的流程图;
图2示意性地示出了根据本发明另一实施例的检测分布式拒绝服务攻击的装置的示意图;
图3示意性地示出了根据本发明又一实施例的检测分布式拒绝服务攻击的装置的示意图;
图4示意性地示出了根据本发明再一实施例的检测分布式拒绝服务攻击的装置的示意图;
在附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种检测分布式拒绝服务攻击的方法和装置。
在本文中,附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
为了便于对本发明实施例进行理解,下面对本发明实施例中所提及的技术术语进行解释。
DDoS:可以指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
HTTP攻击:是DDoS攻击类型中的一种,它针对Web服务在第七层协议发起的攻击,具有攻击方式简单、防御过滤困难、主机影响大等特点。
浏览器指纹:通过查询浏览器的代理字符串,屏幕色深、语言、插件安装与支持的MIME(MultipurposeInternetMailExtensions,多用途的网际邮件扩充协议)类型、时区偏移量和其他功能,如本地存储和会话存储等等,然后这些值通过散列函数传递产生指纹。
NAT:可以指使用少量的公有IP地址代表较多的私有IP地址的技术。
浏览器Cookie:Cookie可以指服务器存放在客户浏览器中的某块信息,可以让服务器用来辨认和区分不同客户。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
发明概述
本发明人发现,鉴于代理服务器中的自动化工具并不是真正的浏览器,不具备浏览器执行JavaScript的能力,所以自动化工具无法执行生成浏览器指纹的JavaScript代码然后写入Cookie。因此,可以根据Cookie中浏览器指纹的情况,判断访问请求是从正常用户从浏览器发出,还是攻击者通过自动化工具发出的,由于该方案不是通过IP地址的访问量来检测分布式拒绝服务攻击的,因此,可以提高检测分布式拒绝服务攻击的准确度。
在介绍了本发明的基本原理之后,下面具体介绍本发明的各种非限制性实施方式。
应用场景总览
按照TCP(TransmissionControlProtocol,传输控制协议)/IP协议的层次可将DDoS攻击分为基于ARP(AddressResolutionProtocol,地址解析协议)的攻击、基于ICMP(InternetControlMessageProtocol,Internet控制报文协议)的攻击、基于IP的攻击、基于UDP(UserDatagramProtocol,用户数据报协议)的攻击、基于TCP的攻击和基于应用层的攻击。
基于ARP的攻击:ARP是无连接的协议,当收到攻击者发送来的ARP应答时,它将接收ARP应答包中所提供的信息,更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力,产生拒绝服务,如ARP重定向攻击。
基于ICMP的攻击:攻击者向一个子网的广播地址发送多个ICMPEcho请求数据包,并将源地址伪装成想要攻击的目标主机的地址,这样,该子网上的所有主机均对此ICMPEcho请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。
基于IP的攻击:TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段,到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃,如Teardrop是基于IP的攻击。
基于应用层的攻击:应用层包括SMTP(SimpleMailTransferProtocol,简单邮件传输协议)、HTTP和DNS(DomainNameSystem,域名系统)等各种应用协议。其中,SMTP定义了如何在两个主机间传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继,攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源。
本发明实施例所提供的检测分布式拒绝服务攻击的方法和装置所描述的方案可以应用于上述所描述的几种DDoS攻击的场景,但是并不限于上述几种,还可能应用于其他DDoS攻击的场景,在此不再进行详述。
示例性方法
下面结合上面所说的应用场景,参考图1A来描述根据本发明示例性实施方式的用于检测分布式拒绝服务攻击的方法。需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此方面不受任何限制。相反,本发明的实施方式可以应用于适用的任何场景。
图1A示意性地示出了根据本发明实施方式的检测分布式拒绝服务攻击的方法100的流程示意图。如图1A所示,该方法可以包括步骤S100、S110和S120:
该方法始于步骤S100,其中在网站页面中嵌入用于生成浏览器指纹的JavaScript代码。
鉴于现有技术中的代理服务器中的自动化工具并不是真正的浏览器,不具备浏览器嵌入JavaScript代码的能力,所以自动化工具无法执行生成浏览器指纹的JavaScript代码然后写入Cookie,因此,本发明实施例中,首先要在网站页面中嵌入用于生成浏览器指纹的JavaScript代码。
需要说明的是,在网站页面中嵌入JavaScript代码是目前比较成熟的技术,在此不再进行详述。
在上述步骤S100之后,还可以执行步骤S110,其中接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址。
步骤S100中的JavaScript代码的主要目的是生成能够被后端识别的客户端身份的Cookie,则客户端后续的访问请求中必须包括带有浏览器指纹的Cookie,因此,本发明实施例中,在接收和解析访问请求之后,要获得网站访问者的Cookie。为了更进一步的提高访问的安全性,及检测分布式拒绝服务攻击的准确度,在接收和解析访问请求之后,还要获得网站访问者的IP地址。
在上述步骤S110之后,还可以执行步骤S120,其中根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
需要说明的是,步骤S100-步骤S120所描述的方案不是针对首次访问的,对于首次访问,可以放行,不检测分布式拒绝服务攻击。
在一些可能的实施方式中,进一步的,为了提高访问的安全性,在所述根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的步骤前,进一步包括如下操作:
初步判断是否为分布式拒绝服务攻击,若初步判断结果为是,则根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求;若初步判断为否,则通过所述访问者的访问请求。初步判断是否为分布式拒绝服务攻击可以采用一切合适的方法,如判断响应时间是否超过时间限值等。
需要说明的是,在所述根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的步骤前,执行初步判断是否为分布式拒绝服务攻击的方案,可以应用于针对首次访问网站的场景,当然,并不限定在首次访问网站的场景。
在一些可能的实施方式中,进一步的,为了提高访问的安全性,及分布式拒绝服务攻击的准确度,所述方法还包括如下操作:
当在根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的步骤中未将所述访问请求判断为分布式拒绝服务攻击请求的情况下,根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求。也就是说,首先根据Cookie中浏览器指纹的情况来判断所述访问请求是否为分布式拒绝服务攻击请求,在判断结果为否的情况下,再进一步根据同一IP地址下浏览器指纹的数量,来判断所述访问请求是否为分布式拒绝服务攻击请求。先根据Cookie中浏览器指纹来判断,判断结果为否的情况下再根据同一IP地址下浏览器指纹的数量来判断,相当于是一个双重保险的作用(why),因此,提高了检测分布式拒绝服务攻击的准确度。
在一些可能的实施方式中,根据同一IP地址下浏览器指纹的数量,来判断所述访问请求是否为分布式拒绝服务攻击请求的步骤包括:若同一IP地址下浏览器指纹的数量达到阈值,确定所述访问请求为分布式拒绝服务攻击请求;若同一IP地址下浏览器指纹的数量未达到阈值,确定所述访问请求不为分布式拒绝服务攻击请求。
在一些可能的实施方式中,步骤S120中所述根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求包括:在Cookie中不存在浏览器指纹的情况下,判断所述访问请求为分布式拒绝服务攻击请求;或者,在Cookie中的浏览器指纹不合法的情况下,判断所述访问请求为分布式拒绝服务攻击请求。需要说明的是,Cookie中的浏览器指纹哪些是合法的,哪些是不合法的用户可以自行设置,随着应用场景的不同,合法的浏览器指纹和不合法的浏览器指纹的类型可以发生变化,在此不再进行详述。
在另一些可能的实施方式中,为了在误差容忍范围内对首次访问的误伤进行平衡,步骤S120中所述根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求包括:在Cookie中不存在浏览器指纹的情况下,以一随机函数判断所述访问请求是否为分布式拒绝服务攻击请求。也就是说,在根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的情况下,如果Cookie中不存在浏览器指纹的情况时,不是直接就判断所述访问请求为分布式拒绝服务攻击请求,而是还要以一随机函数判断访问请求是否为分布式拒绝服务攻击请求。
下面以图1B为例对上述情况进行说明,给出了一种检测分布式拒绝服务攻击的实施例1000。
实施例1000始于步骤1,其中在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;
在上述步骤1之后,还可以执行步骤2,其中接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;
在上述步骤2之后,还可以执行步骤3,其中判断Cookie中是否存在浏览器指纹的情况,若是,确定所述访问请求不是分布式拒绝服务攻击请求,否则,执行步骤4;
在上述步骤3之后,还可以执行步骤4,其中以一随机函数判断访问请求是否为分布式拒绝服务攻击请求。
在一些可能的实施方式中,随机函数可以为0、1这样的随机函数,当随机函数为0时,判定访问请求为分布式拒绝服务攻击请求;当随机函数为1时,判定访问请求不为分布式拒绝服务攻击请求。需要说明的是,上述只是随机函数的具体例子,并不限定为上述方式,随机函数还可以为其他方式,在此不再进行详述。
在一些可能的实施方式中,其中所述根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求的步骤包括:在同一IP地址下浏览器指纹的数量超过预先设置的阈值时,判断所述访问请求为分布式拒绝服务攻击请求。
在另一些可能的实施方式中,在执行步骤S100网站页面中嵌入用于生成浏览器指纹的JavaScript代码之前,还包括如下操作:对于所述JavaScript代码进行加密和混淆处理。
本发明实施例中所提及的对于所述JavaScript代码进行加密和混淆处理,是为了加强JavaScript代码的安全性,防范被人查看代码,了解代码的逻辑的安全防御手段。
在一些可能的实施方式中,对于所述JavaScript代码进行加密和混淆处理的步骤包括:将JavaScript代码去除缩进、空行、换行、注释,或者增加大量的留白;和/或,将JavaScript代码通过escape转换成hex形式的代码;和/或,将JavaScript代码进行可逆加密,通过解密函数把代码解出来后调用eval之类的调用将代码串交给JavaScript引擎运行;和/或,修改JavaScript代码中的内部函数/内部变量的名称;和/或,变量名替换,将JavaScript文件中所有的变量名替换为一组合法的随机字符串;和/或,增添与JavaScript代码功能无关的运算语句。
在一些可能的实施方式中,其中所述分布式拒绝服务攻击是HTTP泛洪攻击。
在一些可能的实施方式中,为了保护隐私,提高安全性,本发明实施例所提及的浏览器指纹可以是hash值,当然浏览器指纹还可以是其他形式的值,在此不做具体限定。
本发明的实施方式提供了一种检测分布式拒绝服务攻击的方法,在该方案中,根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求,不是根据IP地址的访问量来判断是否为分布式拒绝服务攻击,从而显著地降低了对NAT公有出口IP地址的误判,提高了检测分布式拒绝服务攻击的准确度。
同时,本发明实施方式的检测分布式拒绝服务攻击的方法中,在根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的基础上,还可以再结合同一IP地址下浏览器指纹的数量的判断手段,和/或通过对于所述JavaScript代码进行加密和混淆处理等技术手段,进一步提高访问的安全性及检测分布式拒绝服务攻击的准确度。
示例性设备
在介绍了本发明示例性实施方式的方法之后,接下来,参考图2对本发明示例性实施方式的用于检测分布式拒绝服务攻击的装置200进行说明。
图2示意性地示出了根据本发明实施方式的检测分布式拒绝服务攻击的装置200的示意图。如图2所示,该装置200可以包括:
代码嵌入模块201,用于在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;
访问请求接收和解析模块202,用于接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及
攻击判断模块203,用于根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
鉴于现有技术中的代理服务器中的自动化工具并不是真正的浏览器,不具备浏览器嵌入JavaScript代码的能力,所以自动化工具无法执行生成浏览器指纹的JavaScript代码然后写入Cookie,因此,装置200中的代码嵌入模块201首先要在网站页面中嵌入用于生成浏览器指纹的JavaScript代码。
需要说明的是,在网站页面中嵌入JavaScript代码是目前比较成熟的技术,在此不再进行详述。
本发明实施例中所提及的JavaScript代码的主要目的是生成能够被后端识别的客户端身份的Cookie,则客户端后续的访问请求中必须包括带有浏览器指纹的Cookie,因此,装置200中的访问请求接收和解析模块202在接收和解析访问请求之后,要获得网站访问者的Cookie。为了更进一步的提高访问的安全性,及检测分布式拒绝服务攻击的准确度,在接收和解析访问请求之后,还要获得网站访问者的IP地址。
需要说明的是,代码嵌入模块201、访问请求接收和解析模块202和攻击判断模块203所描述的方案不是针对首次访问的,对于首次访问,可以放行,不检测分布式拒绝服务攻击。
在一些可能的实施方式中,进一步的,为了提高访问的安全性,装置200中的攻击判断模块203在根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求之前,初步判断是否为分布式拒绝服务攻击,在初步判断结果为是的情况下,所述攻击判断模块203根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求;在初步判断为否的情况下,所述攻击判断模块203通过所述访问者的访问请求。所述攻击判断模块203初步判断是否为分布式拒绝服务攻击可以采用一切合适的方法,如判断响应时间是否超过时间限值等。
需要说明的是,装置200中的攻击判断模块203在所述根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的步骤前,执行初步判断是否为分布式拒绝服务攻击的方案,可以应用于针对首次访问网站的场景,当然,并不限定在首次访问网站的场景。
在一些可能的实施方式中,进一步的,为了提高访问的安全性,及分布式拒绝服务攻击的准确度,其中当所述攻击判断模块203根据Cookie中浏览器指纹的情况,未将所述访问请求判断为分布式拒绝服务攻击请求的情况下,所述攻击判断模块203根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求。也就是说,攻击判断模块203首先根据Cookie中浏览器指纹的情况来判断所述访问请求是否为分布式拒绝服务攻击请求,在判断结果为否的情况下,再进一步根据同一IP地址下浏览器指纹的数量,来判断所述访问请求是否为分布式拒绝服务攻击请求。先根据Cookie中浏览器指纹来判断,判断结果为否的情况下再根据同一IP地址下浏览器指纹的数量来判断,相当于是一个双重保险的作用,因此,提高了检测分布式拒绝服务攻击的准确度。
在一些可能的实施方式中,其中所述攻击判断模块203根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的过程中,在Cookie中不存在浏览器指纹的情况下,所述攻击判断模块203判断所述访问请求为分布式拒绝服务攻击请求;或者,在Cookie中的浏览器指纹不合法的情况下,所述攻击判断模块203判断所述访问请求为分布式拒绝服务攻击请求。需要说明的是,Cookie中的浏览器指纹哪些是合法的,哪些是不合法的用户可以自行设置,随着应用场景的不同,合法的浏览器指纹和不合法的浏览器指纹的类型可以发生变化,在此不再进行详述。
在另一些可能的实施方式中,为了在误差容忍范围内对首次访问的误伤进行平衡,及检测分布式拒绝服务攻击的准确度,其中所述攻击判断模块203根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的过程中,在Cookie中不存在浏览器指纹的情况下,所述攻击判断模块203以一随机函数判断所述访问请求是否为分布式拒绝服务攻击请求。也就是说,攻击判断模块203在根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的情况下,如果Cookie中不存在浏览器指纹的情况时,不是直接就判断所述访问请求为分布式拒绝服务攻击请求,而是还要以一随机函数判断访问请求是否为分布式拒绝服务攻击请求。
下面以图1B为例对上述情况进行说明,给出了一种检测分布式拒绝服务攻击的实施例1000。
实施例1000始于步骤1,其中代码嵌入模块201在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;
在步骤1之后,访问请求接收和解析模块202可以执行步骤2:访问请求接收和解析模块202接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;
在步骤2之后,攻击判断模块203可以执行步骤3:攻击判断模块203判断Cookie中是否存在浏览器指纹的情况,若是,确定所述访问请求不是分布式拒绝服务攻击请求,否则,执行步骤4;
在步骤3之后,攻击判断模块203还可以执行步骤4:攻击判断模块203以一随机函数判断访问请求是否为分布式拒绝服务攻击请求。
需要说明的是,随机函数可以有多种方式,在此不再进行详述。
在一些可能的实施方式中,其中所述攻击判断模块203根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求的过程中,在同一IP地址下浏览器指纹的数量超过预先设置的阈值时,所述攻击判断模块203判断所述访问请求为分布式拒绝服务攻击请求。
在一些可能的实施方式中,攻击判断模块203根据同一IP地址下浏览器指纹的数量,来判断所述访问请求是否为分布式拒绝服务攻击请求的步骤包括:若同一IP地址下浏览器指纹的数量达到阈值,确定所述访问请求为分布式拒绝服务攻击请求;若同一IP地址下浏览器指纹的数量未达到阈值,确定所述访问请求不为分布式拒绝服务攻击请求。
在另一些可能的实施方式中,装置200还包括加密和混淆模块204,用于在所述代码嵌入模块201在网站页面中嵌入用于生成浏览器指纹的JavaScript代码之前,对于所述JavaScript代码进行加密和混淆处理。
本装置200中的加密和混淆模块204对于所述JavaScript代码进行加密和混淆处理,是为了加强JavaScript代码的安全性,防范被人查看代码,了解代码的逻辑的安全防御手段。
在一些可能的实施方式中,加密和混淆模块204对于所述JavaScript代码进行加密和混淆处理的步骤包括:将JavaScript代码去除缩进、空行、换行、注释,或者增加大量的留白;和/或,将JavaScript代码通过escape转换成hex形式的代码;和/或,将JavaScript代码进行可逆加密,通过解密函数把代码解出来后调用eval之类的调用将代码串交给JavaScript引擎运行;和/或,修改JavaScript代码中的内部函数/内部变量的名称;和/或,变量名替换,将JavaScript文件中所有的变量名替换为一组合法的随机字符串;和/或,增添与JavaScript代码功能无关的运算语句。
在一些可能的实施方式中,其中所述分布式拒绝服务攻击是超文本传输协议HTTP泛洪攻击。
在一些可能的实施方式中,为了保护隐私,提高安全性,本发明实施例所提及的浏览器指纹可以是hash值,当然浏览器指纹还可以是其他形式的值,在此不做具体限定。
本发明的实施方式提供了一种检测分布式拒绝服务攻击的装置,在该方案中,根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求,不是根据IP地址的访问量来判断是否为分布式拒绝服务攻击,从而显著地降低了对NAT公有出口IP地址的误判,提高了检测分布式拒绝服务攻击的准确度。
同时,本发明实施方式的检测分布式拒绝服务攻击的装置中,在根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的基础上,还可以再结合同一IP地址下浏览器指纹的数量的判断手段,和/或通过对于所述JavaScript代码进行加密和混淆处理等技术手段,进一步提高访问的安全性及检测分布式拒绝服务攻击的准确度。
示例性设备
在介绍了本发明示例性实施方式的方法和装置之后,接下来,介绍根据本发明的另一示例性实施方式的用于检测分布式拒绝服务攻击的装置。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的检测分布式拒绝服务攻击的装置可以至少包括至少一个处理单元、以及至少一个存储单元。其中,所述存储单元存储有程序代码,当所述程序代码被所述处理单元执行时,使得所述处理单元执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的检测分布式拒绝服务攻击的方法中的步骤。例如,所述处理单元可以执行如图1A中所示的步骤S100、在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;步骤S110、接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及,步骤S120、根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
下面参照图3来描述根据本发明的这种实施方式的检测分布式拒绝服务攻击的装置10。图3显示的检测分布式拒绝服务攻击的装置10仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图3所示,检测分布式拒绝服务攻击的装置10以通用计算设备的形式表现。检测分布式拒绝服务攻击的装置10的组件可以包括但不限于:上述至少一个处理单元16、上述至少一个存储单元28、连接不同系统组件(包括存储单元28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储单元28可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32,还可以进一步只读存储器(ROM)34。
存储单元28还可以包括具有一组(至少一个)程序模块42的程序/实用工具40,这样的程序模块42包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
检测分布式拒绝服务攻击的装置10也可以与一个或多个外部设备14(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该检测分布式拒绝服务攻击的装置10交互的设备通信,和/或与使得该检测分布式拒绝服务攻击的装置10能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,检测分布式拒绝服务攻击的装置10还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与检测分布式拒绝服务攻击的装置10的其它模块通信。应当明白,尽管图中未示出,可以结合检测分布式拒绝服务攻击的装置10使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
示例性程序产品
在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的检测分布式拒绝服务攻击的方法中的步骤,例如,所述终端设备可以执行如图1A中所示的步骤S100、在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;步骤S110、接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及,步骤S120、根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
如图4所示,描述了根据本发明的实施方式的检测分布式拒绝服务攻击法的程序产品40,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了对数据库进行数据迁移设备的若干装置或子装置,但是这种划分仅仅并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
Claims (10)
1.一种检测分布式拒绝服务攻击的方法,包括:
在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;
接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及
根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
2.如权利要求1所述的方法,在所述根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的步骤前,进一步包括:
初步判断是否为分布式拒绝服务攻击,若初步判断结果为是,则根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求;若初步判断为否,则通过所述访问者的访问请求。
3.如权利要求1所述的方法,所述方法还包括:
当在根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的步骤中未将所述访问请求判断为分布式拒绝服务攻击请求的情况下,根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求。
4.如权利要求1所述的方法,其中所述根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求的步骤包括:
在Cookie中不存在浏览器指纹的情况下,判断所述访问请求为分布式拒绝服务攻击请求;或者
在Cookie中的浏览器指纹不合法的情况下,判断所述访问请求为分布式拒绝服务攻击请求。
5.如权利要求1所述的方法,其中所述根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求的步骤包括:
在Cookie中不存在浏览器指纹的情况下,以一随机函数判断所述访问请求是否为分布式拒绝服务攻击请求。
6.如权利要求3所述的方法,其中所述根据同一IP地址下浏览器指纹的数量,来进一步判断所述访问请求是否为分布式拒绝服务攻击请求的步骤包括:
在同一IP地址下浏览器指纹的数量超过预先设置的阈值时,判断所述访问请求为分布式拒绝服务攻击请求。
7.如权利要求1-6中的任一项所述的方法,在网站页面中嵌入用于生成浏览器指纹的JavaScript代码的步骤之前,还包括:
对于所述JavaScript代码进行加密和混淆处理。
8.如权利要求1-6中的任一项所述的方法,其中所述分布式拒绝服务攻击是超文本传输协议HTTP泛洪攻击。
9.一种检测分布式拒绝服务攻击的装置,包括:
代码嵌入模块,用于在网站页面中嵌入用于生成浏览器指纹的JavaScript代码;
访问请求接收和解析模块,用于接收和解析网站访问者的访问请求,以获得网站访问者的Cookie和互联网协议IP地址;以及
攻击判断模块,用于根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求。
10.如权利要求9所述的装置,所述攻击判断模块在根据Cookie中浏览器指纹的情况判断所述访问请求是否为分布式拒绝服务攻击请求之前,初步判断是否为分布式拒绝服务攻击,在初步判断结果为是的情况下,所述攻击判断模块根据Cookie中浏览器指纹的情况,判断所述访问请求是否为分布式拒绝服务攻击请求;在初步判断为否的情况下,所述攻击判断模块通过所述访问者的访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510999329.8A CN105430011B (zh) | 2015-12-25 | 2015-12-25 | 一种检测分布式拒绝服务攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510999329.8A CN105430011B (zh) | 2015-12-25 | 2015-12-25 | 一种检测分布式拒绝服务攻击的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105430011A true CN105430011A (zh) | 2016-03-23 |
| CN105430011B CN105430011B (zh) | 2019-02-26 |
Family
ID=55507952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510999329.8A Active CN105430011B (zh) | 2015-12-25 | 2015-12-25 | 一种检测分布式拒绝服务攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105430011B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105992201A (zh) * | 2016-04-01 | 2016-10-05 | 努比亚技术有限公司 | 一种数据传输终端、方法及系统 |
| CN106230831A (zh) * | 2016-05-31 | 2016-12-14 | 众安在线财产保险股份有限公司 | 一种识别浏览器唯一性和风险特征的方法和系统 |
| CN106529233A (zh) * | 2016-10-20 | 2017-03-22 | 福建北卡科技有限公司 | 一种基于浏览器指纹差异度的回访用户识别算法 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN108600145A (zh) * | 2017-12-25 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN109033784A (zh) * | 2018-08-01 | 2018-12-18 | 郑州云海信息技术有限公司 | 在通信网络中身份认证方法和装置 |
| CN109218283A (zh) * | 2017-06-30 | 2019-01-15 | 汤姆逊许可公司 | 阻止分布式拒绝服务攻击的方法及对应的设备 |
| WO2019096104A1 (zh) * | 2017-11-14 | 2019-05-23 | 新华三信息安全技术有限公司 | 攻击防范 |
| CN110493225A (zh) * | 2019-08-20 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 一种请求传输方法、装置、设备及可读存储介质 |
| CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
| CN111786966A (zh) * | 2020-06-15 | 2020-10-16 | 中国建设银行股份有限公司 | 浏览网页的方法和装置 |
| CN112906003A (zh) * | 2021-03-28 | 2021-06-04 | 黑龙江朝南科技有限责任公司 | 一种用于http走私漏洞的检测技术 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
| CN115589340A (zh) * | 2022-12-12 | 2023-01-10 | 国网山东省电力公司泰安供电公司 | 一种基于rasp技术的数据机器人检测方法、装置及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572700A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN101707598A (zh) * | 2009-11-10 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 识别洪水攻击的方法、装置及系统 |
| CN103139138A (zh) * | 2011-11-22 | 2013-06-05 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
| CN103765858A (zh) * | 2011-08-29 | 2014-04-30 | 阿尔卡特朗讯 | 用于在用户在通信网络内的浏览期间监视用户的方法和服务器 |
| CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及系统 |
| US20150237038A1 (en) * | 2014-02-18 | 2015-08-20 | Secureauth Corporation | Fingerprint based authentication for single sign on |
-
2015
- 2015-12-25 CN CN201510999329.8A patent/CN105430011B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572700A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN101707598A (zh) * | 2009-11-10 | 2010-05-12 | 成都市华为赛门铁克科技有限公司 | 识别洪水攻击的方法、装置及系统 |
| CN103765858A (zh) * | 2011-08-29 | 2014-04-30 | 阿尔卡特朗讯 | 用于在用户在通信网络内的浏览期间监视用户的方法和服务器 |
| CN103139138A (zh) * | 2011-11-22 | 2013-06-05 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
| CN104333529A (zh) * | 2013-07-22 | 2015-02-04 | 中国电信股份有限公司 | 一种云计算环境下http dos攻击的检测方法及系统 |
| US20150237038A1 (en) * | 2014-02-18 | 2015-08-20 | Secureauth Corporation | Fingerprint based authentication for single sign on |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105992201A (zh) * | 2016-04-01 | 2016-10-05 | 努比亚技术有限公司 | 一种数据传输终端、方法及系统 |
| CN106230831B (zh) * | 2016-05-31 | 2019-07-09 | 众安在线财产保险股份有限公司 | 一种识别浏览器唯一性和风险特征的方法和系统 |
| CN106230831A (zh) * | 2016-05-31 | 2016-12-14 | 众安在线财产保险股份有限公司 | 一种识别浏览器唯一性和风险特征的方法和系统 |
| CN106529233A (zh) * | 2016-10-20 | 2017-03-22 | 福建北卡科技有限公司 | 一种基于浏览器指纹差异度的回访用户识别算法 |
| CN106529233B (zh) * | 2016-10-20 | 2019-05-31 | 北卡科技有限公司 | 一种基于浏览器指纹差异度的回访用户识别算法 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN106850599B (zh) * | 2017-01-18 | 2019-12-03 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN107426181A (zh) * | 2017-06-20 | 2017-12-01 | 竞技世界(北京)网络技术有限公司 | 恶意Web访问请求的拦截方法及装置 |
| CN109218283A (zh) * | 2017-06-30 | 2019-01-15 | 汤姆逊许可公司 | 阻止分布式拒绝服务攻击的方法及对应的设备 |
| WO2019096104A1 (zh) * | 2017-11-14 | 2019-05-23 | 新华三信息安全技术有限公司 | 攻击防范 |
| CN108600145A (zh) * | 2017-12-25 | 2018-09-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN108600145B (zh) * | 2017-12-25 | 2020-12-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定DDoS攻击设备的方法及装置 |
| CN109033784A (zh) * | 2018-08-01 | 2018-12-18 | 郑州云海信息技术有限公司 | 在通信网络中身份认证方法和装置 |
| CN110493225A (zh) * | 2019-08-20 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 一种请求传输方法、装置、设备及可读存储介质 |
| CN110493225B (zh) * | 2019-08-20 | 2021-12-03 | 杭州安恒信息技术股份有限公司 | 一种请求传输方法、装置、设备及可读存储介质 |
| CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
| CN111600859B (zh) * | 2020-05-08 | 2022-08-05 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
| CN111786966A (zh) * | 2020-06-15 | 2020-10-16 | 中国建设银行股份有限公司 | 浏览网页的方法和装置 |
| CN112906003A (zh) * | 2021-03-28 | 2021-06-04 | 黑龙江朝南科技有限责任公司 | 一种用于http走私漏洞的检测技术 |
| CN113556343A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 基于浏览器指纹识别的DDoS攻击防御方法及设备 |
| CN115589340A (zh) * | 2022-12-12 | 2023-01-10 | 国网山东省电力公司泰安供电公司 | 一种基于rasp技术的数据机器人检测方法、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105430011B (zh) | 2019-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105430011A (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| US9306972B2 (en) | Method and system for prevention of malware infections | |
| US8756697B2 (en) | Systems and methods for determining vulnerability to session stealing | |
| US9313227B2 (en) | Gateway-based audit log and method for prevention of data leakage | |
| US8533581B2 (en) | Optimizing security seals on web pages | |
| US20190182286A1 (en) | Identifying communicating network nodes in the presence of Network Address Translation | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| US10356050B1 (en) | Mitigation of data leakage in HTTP headers | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
| CN110348210B (zh) | 安全防护方法及装置 | |
| CN110099129B (zh) | 一种数据传输方法以及设备 | |
| US11483291B2 (en) | Predictive activation of security rules to protect web application servers against web application layer attacks | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| WO2017113082A1 (en) | Url filtering method and device | |
| CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| US11368430B2 (en) | Domain name server based validation of network connections | |
| CN113873057B (zh) | 数据处理方法和装置 | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
| CN111225038A (zh) | 服务器访问方法及装置 | |
| KR102514214B1 (ko) | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 | |
| US10819816B1 (en) | Investigating and securing communications with applications having unknown attributes | |
| KR102367545B1 (ko) | 네트워크 파밍 차단 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |