CN105939361A - 防御cc攻击的方法及装置 - Google Patents
防御cc攻击的方法及装置 Download PDFInfo
- Publication number
- CN105939361A CN105939361A CN201610474049.XA CN201610474049A CN105939361A CN 105939361 A CN105939361 A CN 105939361A CN 201610474049 A CN201610474049 A CN 201610474049A CN 105939361 A CN105939361 A CN 105939361A
- Authority
- CN
- China
- Prior art keywords
- address
- url address
- maximum
- accessed
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供防御CC攻击的方法及装置,该方法包括:在接收到对一个URL地址请求访问的HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值;当确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。应用上述方法可以实现有效地避免CC攻击,并且不需要用户参与,从而不影响用户的体验。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及防御CC(Challenge Collapsar,挑战黑洞)攻击的方法及装置。
背景技术
CC攻击是一种基于页面的DDoS(Distributed Denial of Service,分布式拒绝服务)攻击。CC攻击的原理是:攻击机可以利用多台代理服务器,向目标服务器发送大量请求报文,使得目标服务器进行大量计算,大量耗费自身性能和资源,对正常用户的体验造成影响。现有技术中,为了防御CC攻击,通常有两种方案。方案一:安全设备在接收到请求报文时,对所请求访问的URL(UniformResource Locator,统一资源定位符)地址进行重定向,重定向地址携带cookie值,当安全设备再次接收到重定向的请求报文时,通过其是否携带正确的cookie值,可以确认是否存在CC攻击。方案二:安全设备将所请求访问的URL地址重定向到一个验证页面,当用户在该验证页面输入正确的验证码之后,安全设备才会放行该请求报文,否则,认为存在CC攻击,丢弃该请求报文。
然而,上述两种方案由于都需要用户参与,而且用户每隔一段时间都需要再次进行认证,再次认证通过后才可以继续访问目标页面,从而影响用户体验;另外,在采用上述方案二时,由于一些移动终端并不支持重定向技术和验证码技术,从而导致用户使用该些移动终端时,将无法正常访问目标页面,影响了用户体验。
发明内容
有鉴于此,本申请提供一种防御CC攻击的方法及装置,以实现有效地避免CC攻击,并且在使用该方法防御CC攻击的过程中,不需要用户参与,从而避免影响用户的体验。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种防御挑战黑洞CC攻击的方法,所述方法包括:
在接收到对一个统一资源定位符URL地址请求访问的超文本传输协议HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值;
当确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。
在一个实施例中,所述方法还包括:
在所述统计周期内,根据所接收到的HTTP请求报文的URL地址以及源IP地址,统计得出所述URL地址在所述统计周期内的累计被访问量,以及所述源IP地址在所述统计周期内对所述URL地址的累计访问量;
将所述URL地址在N个所述统计周期内的所有累计被访问量中的最大值作为所述URL地址在对应时间段的URL地址被访问量,将N个所述统计周期内,所有访问所述URL地址的源IP地址,所对应的累计访问量中的最大值,作为所述URL地址在对应时间段的源IP地址访问量,所述时间段包括N个所述统计周期,所述N为大于1的自然数;
将所述URL地址在M个所述时间段的URL地址被访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大被访问量,将所述URL地址在M个所述时间段的源IP地址访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大源IP地址访问量,所述自学习周期包括M天,所述M为大于1的自然数。
在另一个实施例中,所述方法还包括:
得出URL地址在当前自学习周期内的每个时间段的最大被访问量与最大源IP地址访问量后,将所述每个最大被访问量与所述URL地址在前一个自学习周期内的对应时间段的最大被访问量进行比较,以及将所述每个最大源IP地址访问量与所述URL地址在前一个自学习周期内的对应时间段的最大源IP地址访问量进行比较;
根据所述比较结果,确定属于当前自学习周期的最大被访问量较大时,则根据所述当前自学习周期的最大被访问量更新所述URL地址在对应时间段的最大被访问量;确定属于当前自学习周期的最大源IP地址访问量较大时,则根据所述当前自学习周期的最大源IP地址访问量更新所述URL地址在对应时间段的最大源IP地址访问量。
在又一个实施例中,所述确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系,包括:
比较所述累计被访问量与所述URL地址在对应时间段的最大被访问量,以及所述累计访问量与所述URL地址在对应时间段的最大源IP地址访问量;
根据比较结果,确定所述累计被访问量超过所述对应时间段的最大被访问量的X倍,所述累计访问量超过所述对应时间段的最大源IP地址访问量的Y倍,所述X、Y均大于1,则确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系。
在又一个实施例中,所述方法还包括:
在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系时,将所述URL地址加入保存的灰名单;
当再次接收到包括所述URL地址的HTTP请求报文时,根据所述HTTP请求报文的URL地址在所述灰名单中,确定所述URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,并根据所述HTTP请求报文的源IP地址统计所述源IP地址在所述统计周期内对所述URL地址的累计访问量。
在又一个实施例中,所述方法还包括:
在确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,将所述源IP地址加入保存的黑名单;
当再次接收到包括所述源IP地址的HTTP请求报文时,根据所述HTTP请求报文的源IP地址在所述黑名单中,确定所述HTTP请求报文存在CC攻击,丢弃所述HTTP请求报文。
根据本申请实施例的第二方面,提供一种防御CC攻击的装置,所述装置包括:
统计单元,用于在接收到对一个URL地址请求访问的HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值;
第一处理单元,用于在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。
在一个实施例中,所述装置还包括:
第一学习单元,用于在所述统计周期内,根据所接收到的HTTP请求报文的URL地址以及源IP地址,统计得出所述URL地址在所述统计周期内的累计被访问量,以及所述源IP地址在所述统计周期内对所述URL地址的累计访问量;
所述第一学习单元,还用于:将所述URL地址在N个所述统计周期内的所有累计被访问量中的最大值作为所述URL地址在对应时间段的URL地址被访问量,将N个所述统计周期内,所有访问所述URL地址的源IP地址,所对应的累计访问量中的最大值,作为所述URL地址在对应时间段的源IP地址访问量,所述时间段包括N个所述统计周期,所述N为大于1的自然数;
所述第一学习单元,还用于:将所述URL地址在M个所述时间段的URL地址被访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大被访问量,将所述URL地址在M个所述时间段的源IP地址访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大源IP地址访问量,所述自学习周期包括M天,所述M为大于1的自然数。
在另一个实施例中,所述装置还包括:
比较单元,用于在得出URL地址在当前自学习周期内的每个时间段的最大被访问量与最大源IP地址访问量后,将所述每个最大被访问量与所述URL地址在前一个自学习周期内的对应时间段的最大被访问量进行比较,以及将所述每个最大源IP地址访问量与所述URL地址在前一个自学习周期内的对应时间段的最大源IP地址访问量进行比较;
更新单元,用于根据所述比较结果,确定属于当前自学习周期的最大被访问量较大时,则根据所述当前自学习周期的最大被访问量更新所述URL地址在对应时间段的最大被访问量;确定属于当前自学习周期的最大源IP地址访问量较大时,则根据所述当前自学习周期的最大源IP地址访问量更新所述URL地址在对应时间段的最大源IP地址访问量。
在又一个实施例中,所述第一处理单元包括:
比较子单元,用于比较所述累计被访问量与所述URL地址在对应时间段的最大被访问量,以及所述累计访问量与所述URL地址在对应时间段的最大源IP地址访问量;
确定子单元,用于在根据比较结果,确定所述累计被访问量超过所述对应时间段的最大被访问量的X倍,所述累计访问量超过所述对应时间段的最大源IP地址访问量的Y倍时,所述X、Y均大于1,则确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系。
在又一个实施例中,所述装置还包括:
第一添加单元,用于在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系时,将所述URL地址加入保存的灰名单;
第二处理单元,用于当再次接收到包括所述URL地址的HTTP请求报文时,根据所述HTTP请求报文的URL地址在所述灰名单中,确定所述URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,并根据所述HTTP请求报文的源IP地址统计所述源IP地址在所述统计周期内对所述URL地址的累计访问量。
在又一个实施例中,所述装置还包括:
第二添加单元,用于在确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,将所述源IP地址加入保存的黑名单;
第三处理单元,用于当再次接收到包括所述源IP地址的HTTP请求报文时,根据所述HTTP请求报文的源IP地址在所述黑名单中,确定所述HTTP请求报文存在CC攻击,丢弃所述HTTP请求报文。
由上述实施例可见,通过在预设的统计周期内,根据接收到的HTTP请求报文进行统计,将统计结果与当前统计周期所对应的时间段的最大被访问量以及最大源IP地址访问量进行比较,根据比较结果,可以识别出是否存在CC攻击;并且在识别出CC攻击时,丢弃接收到的HTTP请求报文,从而有效地防御了CC攻击,并且整个防御过程不需要用户的参与,避免了对用户的体验造成影响。
附图说明
图1示例了本申请实施例实现防御CC攻击的方法的应用场景示意图;
图2示例了本申请防御CC攻击的方法的一个实施例流程图;
图3示例了本申请中安全设备进行自学习的一个实施例流程图;
图4示例了本申请防御CC攻击的方法的另一个实施例流程图;
图5为本申请防御CC攻击的装置所在设备的一种硬件结构图;
图6示例了本申请防御CC攻击的装置的一个实施例框图;
图7示例了本申请防御CC攻击的装置的另一个实施例框图;
图8示例了本申请防御CC攻击的装置的又一个实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
由于在采用现有技术方案防御CC攻击时,很有可能影响用户的体验,从而为了实现有效地防御CC攻击,并且不影响用户的体验,本申请提出一种防御CC攻击的方法及装置。如下将对该方法及装置进行详细说明。
图1示例了本申请实施例实现防御CC攻击的方法的应用场景示意图。图1中包括:客户端11、安全设备12、服务器13。其中,客户端11可以为正常的客户端,或者为攻击者所控制的傀儡机,无论客户端11处于何种角色,客户端11向服务器13发送对一个URL地址请求访问的HTTP请求报文时,该HTTP请求报文都将先被传输至安全设备12;安全设备12可以通过执行本申请防御CC攻击的方法,对接收到的HTTP请求报文进行识别,在识别到CC攻击时,可以将该HTTP请求报文作丢弃处理。从而使得该HTTP请求报文不再被传输至服务器13,那么服务器13可以避免遭受到CC攻击,避免大量耗费自身性能和资源,而且,安全设备12在根据接收到的HTTP请求报文识别CC攻击时,不需要正常用户的参与,从而也可以避免影响正常用户的体验。可以理解的是,图1中仅以包括一个客户端,一个服务器为例进行说明,在实际应用中,可以包括多个客户端,多个服务器,本申请对此不作限制;另外,图1中所示的客户端仅以电脑为例进行说明,实际应用中的客户端还可以是手机、平板电脑等具有资源访问功能的终端,本申请对此不作限制。
为了使得本领域技术人员可以更好地理解本申请所提供的防御CC攻击的方法,提供下列实施例。
图2示例了本申请防御CC攻击的方法的一个实施例流程图,该图2所示的流程在上述图1所示应用场景的基础上,以安全设备12执行该方法为例,可以包括以下步骤:
步骤S201:在接收到对一个URL地址请求访问的HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值。
本申请中,可以预先设置一个统计周期,安全设备12在每个统计周期内,根据接收到的HTTP请求报文进行统计,统计得出所接收到的HTTP请求报文中的URL地址,在每个统计周期内的累计被访问量,以及所接收到的HTTP请求报文中的源IP地址在每个统计周期内对URL地址的累计访问量。例如,如下表1,为一个统计周期内的统计结果的一种示例:
表1
如上表1中所示,URL地址与源IP地址可以为一对多的关系,该“一对多的关系”是指:在一个统计周期内,不同的客户端可以对同一个URL地址进行访问,例如,正常客户端与攻击者所控制的傀儡机可以同时对同一个URL地址进行访问。
需要说明的是,通常情况下,攻击者通过傀儡机,例如,攻击者控制客户端11,对服务器13进行CC攻击时,所发送的HTTP请求报文的数量在每秒的变化并不是很明显,甚至会出现在一秒内所发送HTTP请求报文的数量小于正常用户发送的HTTP请求报文的数量,而在较长的时间内,攻击者所发送的HTTP请求报文的数量会明显高于正常用户发送HTTP请求报文的数量,从而攻击者的攻击行为相对而言会比较明显。因此,在预设上述统计周期时,可以将该统计周期设置的较长一些。在本申请中,可以预先设置一个最低阈值,例如为15秒,所设置的统计周期不低于该最低阈值,例如,将该统计周期设置为60秒。
步骤S202:当确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。
根据CC攻击的特点:同一个URL地址在每天同一时间段的被访问量是有一定变化的,因此,本申请中,可以通过比较某个URL地址在每天同一时间段的被访问量,发现异常访问的情况。例如,若该URL地址在某天的一个时间段的被访问量,相较于之前该URL地址在该时间段的被访问量超出的幅度较大,可以认为该URL地址很可能被异常访问。当发现某个URL地址很可能被异常访问时,可以再确定访问该URL地址的每个源IP地址的访问量,通常情况下,若某个源IP地址在一定时间内访问该URL地址的次数过于频繁,可以认为该源IP地址很可能存在CC攻击。
基于上述描述,本申请中,可以预先设置自学习周期,该自学习周期可以包括若干天,例如一周或一个月,安全设备12在自学习周期内,可以根据接收到的HTTP请求报文进行统计,根据统计结果得出每个被访问到的URL地址,在不同时间段内的最大被访问量,以及访问该URL地址的所有源IP地址的最大源IP地址访问量。本申请中,安全设备12具体是如何根据接收到的HTTP请求报文进行统计的,可以参见下述实施例中的详细描述,在此先不作详述。
当执行完步骤S201,安全设备12根据接收到的HTTP请求报文,统计得出URL地址在一个统计周期内的累计被访问量,以及访问该URL地址的源IP地址的累计访问量之后,安全设备12可以将该两个值分别与对应时间段的最大被访问量以及最大源IP地址访问量进行比较,其中“对应时间段”是指当前的统计周期包含在“对应时间段”之内,例如,假设上述时间段为一个小时,并假设当前的统计周期为11:59-12:00,那么,该统计周期所对应的时间段可以为11:00-12:00。
根据比较结果,若确定所统计得出的某个URL地址的累计被访问量超过该URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,可以认为该URL地址被异常访问;若确定所统计得出的访问该URL地址的源IP地址的累计访问量超过该URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系,可以认为该源IP地址在向该URL地址发起CC攻击,则安全设备12可以丢弃该HTTP请求报文。
在一个可选的实现方式中,上述第一波动关系和第二波动关系可以通过倍数体现。具体地,根据比较结果,若确定所统计得出的某个URL地址的累计被访问量超过该URL地址在对应时间段的最大被访问量的X(X大于1)倍,例如1.5倍,或者2倍,则可以认为该URL地址的累计被访问量超过该URL地址在对应时间段的最大被访问量的幅度符合第一波动关系。若确定所统计得出的访问该URL地址的源IP地址的累计访问量超过该URL地址在对应时间段的最大源IP地址访问量的Y(Y大于1)倍,例如2.5倍,或者3倍,则可以认为该源IP地址的累计访问量超过该URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系。其中,上述X和Y的值可以相同,也可以不相同,本申请对此不作限制。
此外,在本申请中,当确定URL地址的累计被访问量超过该URL地址在对应时间段的最大被访问量的幅度符合第一波动关系时,可以将该URL地址加入灰名单,如此执行的目的和效果,可以参见下述实施例中的描述,在此先不作详述。
另外,当将URL地址加入灰名单之后,若在后续的统计周期内,发现该URL地址在统计周期内的累计被访问量恢复正常,例如,该累计被访问量超过该URL地址在对应时间段的最大被访问量的幅度不符合第一波动关系,又例如,该累计被访问量小于该URL地址在统计周期内的累计被访问量,可以认为该URL地址当前未被异常访问,可以将该URL地址从灰名单中删除。
由上述实施例可见,通过在预设的统计周期内,根据接收到的HTTP请求报文进行统计,将统计结果与当前统计周期所对应的时间段的最大被访问量以及最大源IP地址访问量进行比较,根据比较结果,可以识别出是否存在CC攻击;并且在识别出CC攻击时,丢弃接收到的HTTP请求报文,从而有效地防御了CC攻击,并且整个防御过程不需要用户的参与,避免了对用户的体验造成影响。
如下图3,示例了本申请中安全设备进行自学习的一个实施例流程图,该图3所示的流程,在上述图1所示应用场景以及图2所示流程的基础上,详细描述了安全设备是如何通过自学习获取到图2所示实施例中所用到的最大源IP地址访问量和最大被访问量的,可以包括以下步骤:
步骤S301:在所述统计周期内,根据所接收到的HTTP请求报文的URL地址以及源IP地址,统计得出所述URL地址在所述统计周期内的累计被访问量,以及所述源IP地址在所述统计周期内对所述URL地址的累计访问量。
步骤S302:将所述URL地址在N个所述统计周期内的所有累计被访问量中的最大值作为所述URL地址在对应时间段的URL地址被访问量,将N个所述统计周期内,所有访问所述URL地址的源IP地址,所对应的累计访问量中的最大值,作为所述URL地址在对应时间段的源IP地址访问量,所述时间段包括N个所述统计周期,所述N为大于1的自然数;
步骤S303:将所述URL地址在M个所述时间段的URL地址被访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大被访问量,将所述URL地址在M个所述时间段的源IP地址访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大源IP地址访问量,所述自学习周期包括M天,所述M为大于1的自然数。
在上述步骤S301至步骤S303中,预先设置的自学习周期可以包括M(M为大于1的自然数)天,并且,还可以将每天划分为S(S为大于1的自然数)个时间段,每个时间段可以包括N(N为大于1的自然数)个统计周期。
安全设备12在初始启动时,即可以开始执行第一个自学习周期,在该第一个自学习周期的每个统计周期内,安全设备12可以根据所接收到的HTTP请求报文的URL地址和源IP地址,统计得出被访问的URL地址在每个统计周期内的累计被访问量,以及访问该URL地址的每个源IP地址在每个统计周期内的累计访问量。在一个例子中,统计结果可以如上述表1所示。
如下将以自学习周期包括7天,每天包括24个时间段,每个时间段为一小时,且每个时间段包括60个统计周期,每个统计周期为一分钟为例,说明安全设备12是如何获取到一个URL地址在每个时间段的最大被访问量和最大源IP地址访问量的。
每隔一个所述时间段,即每隔一小时,安全设备12可以将该一小时内的60个统计周期所统计得出的60个该URL地址的累计被访问量进行比较,将其中的最大值,作为该URL地址在该小时的URL地址被访问量;将该一小时内的60个统计周期所统计得出的所有访问该URL地址的源IP地址的累计访问量进行比较,将其中的最大值,作为该URL地址在该小时的源IP地址访问量。
当完成一个自学习周期的统计,例如,完成了7天的统计,安全设备12可以将该URL地址在每天同一小时的URL地址被访问量进行比较,将其中的最大值,作为该URL地址在自学习周期内的该小时的最大被访问量;将该URL地址在每天同一小时的源IP地址访问量进行比较,将其中的最大值,作为该URL地址在自学习周期内的该小时的最大源IP地址访问量。如下表2,示例了安全设备12在一个自学习周期内学习结果的示例:
表2
由上述表2所示,在上述举例中,对于一个URL地址,安全设备12在一个自学习周期内,将记录该URL地址的24个最大被访问量和24个最大源IP地址访问量。
另外,需要说明的是,安全设备12在执行完第一个自学习周期后,仍继续进行学习,进入下一个自学习周期。当安全设备12执行完第二个自学习周期后,记录了URL地址在每个时间段的最大被访问量和最大源IP地址访问量。后续,安全设备12可以将该URL地址在第二个自学习周期每个时间段的最大被访问量与前一个自学习周期内对应时间段的最大被访问量进行比较,根据比较结果,当属于第二个自学习周期的最大被访问量较大时,则可以根据第二个自学习周期的最大被访问量更新该URL地址在对应时间段的最大被访问量;同理,安全设备12可以将该URL地址在第二个自学习周期每个时间段的最大源IP地址访问量与前一个自学习周期内对应时间段的最大源IP地址访问量进行比较,根据比较结果,当属于第二个自学习周期的最大源IP地址访问量较大时,则可以根据第二个自学习周期的最大源IP地址访问量更新该URL地址在对应时间段的最大源IP地址访问量。
当执行完上述过程,随着时间的推移,安全设备12可以继续进入下一个自学习周期,从而,安全设备12通过实时的学习,可以尽可能地保证所统计得出的数据量较为实时,使得安全设备12防御CC攻击的效果更加准确。
由上述实施例可见,本申请通过自学习机制,根据时间段建立被访问的URL地址的访问模型,并且,通过实时学习,根据学习结果可以实时维护所建立的URL地址的访问模型,从而可以使得本申请防御CC攻击的效果更佳,而且,本申请防御CC攻击的过程中不需要用户的参与,避免了对用户的体验造成影响。
如下的图4,示例了本申请防御CC攻击的方法的另一个实施例流程图,该图4所示的流程在上述图1所示的应用场景,以及图2、图3所示流程的基础上,着重描述了在上述图2所示的实施例中提到的灰名单的作用,可以包括以下步骤:
步骤S401:在接收到对一个URL地址请求访问的HTTP请求报文时,根据所述URL地址查找保存的灰名单,若在所述灰名单中查找到所述URL地址,则执行步骤S402,否则,执行步骤S404。
由上述对图2所示实施例的描述可知,灰名单中所包括的URL地址在最近的统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系。那么,本步骤中,安全设备12在接收到HTTP请求报文时,则可以根据该HTTP请求报文中的URL地址查找保存的灰名单,若在灰名单中查找到该URL地址,可以认为该URL地址被异常访问,则可以执行步骤S402,否则可以继续执行步骤S404。
步骤S402:确定所述URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,并根据所述HTTP请求报文的源IP地址统计所述源IP地址在所述统计周期对所述URL地址的累计访问量。
在本实施例中,当确定某一URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系时,可以认为该URL地址被频繁地访问,有可能遭受到CC攻击。此时,可以继续根据该HTTP请求报文中的源IP地址,统计该源IP地址在统计周期内对该URL地址的累计访问量。
步骤S403:确定所述累计访问量超过对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文;结束流程。
本步骤的详细描述可以参见上述步骤S202中的相关描述,在此不作详细赘述。
此外,在本申请中,当确定所述累计访问量超过对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,可以将该累计访问量对应的源IP地址加入黑名单。
后续,当安全设备12接收到HTTP请求报文时,可以根据该HTTP请求报文的中的源IP地址查找保存的黑名单,若在黑名单中查找到该源IP地址,则可以直接认为该HTTP请求报文存在CC攻击,丢弃该HTTP请求报文,从而提高了本申请防御CC攻击的效率。
此外,为了避免因为某些特殊情况,例如在春节抢订火车票期间,某个IP地址频繁地访问“12306网站”所对应的URL地址,造成错误地将某个源IP地址保存到黑名单,影响用户的体验,本申请中,还可以允许在出现该种情况时,将源IP地址从黑名单中删除。
此外,还可以将信任的源IP地址加入到保存的白名单中。该种情况下,安全设备12接收到HTTP请求报文时,可以根据该HTTP请求报文中的源IP地址查找保存的白名单,若在白名单中查找到该源IP地址,可以认为该HTTP请求报文不存在CC攻击,将该HTTP请求报文转发至服务器13,从而可以提高安全设备12处理所接收到的HTTP请求报文的效率。需要说明的是,在白名单中查找到该源IP地址时,虽然可以认为该HTTP请求报文不存在CC攻击,但仍可以继续根据该HTTP请求报文进行自学习。
步骤S404:根据所述HTTP请求报文,统计所述HTTP请求报文中的URL地址在所述统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量。
本步骤的详细描述可以参见上述步骤S201中的描述,在此不再详细赘述。
由上述实施例可见,在接收到HTTP请求报文时,根据该HTTP请求报文中的URL地址查找保存的灰名单,当在灰名单中查找到该HTTP请求报文时,可以确定该URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,继而再对访问该URL地址的源IP地址进行统计,从而提高了本申请防御CC攻击的效率;并且,在该实施例中,用户不需要参与到防御CC攻击的过程中,避免了对用户的体验造成影响。
与前述防御CC攻击的方法的实施例相对应,本申请还提供了防御CC攻击的装置的实施例。
本申请防御CC攻击的装置的实施例可以应用在网络设备,例如安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请防御CC攻击的装置所在设备的一种硬件结构图,除了图5所示的处理器51、内存52、网络接口53、以及非易失性存储器54之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图6,示例了本申请防御CC攻击的装置的一个实施例框图,可以包括:统计单元61、第一处理单元62。
其中,该统计单元61,可以用于在接收到对一个URL地址请求访问的HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值;
该第一处理单元62,可以用于在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。
请参考图7,示例了本申请防御CC攻击的装置的另一个实施例框图,该图7所示的装置,在上述图6所示装置的基础上,还可以包括:第一学习单元63。
该第一学习单元63,可以用于在所述统计周期内,根据所接收到的HTTP请求报文的URL地址以及源IP地址,统计得出所述URL地址在所述统计周期内的累计被访问量,以及所述源IP地址在所述统计周期内对所述URL地址的累计访问量;
该第一学习单元63,还可以用于:将所述URL地址在N个所述统计周期内的所有累计被访问量中的最大值作为所述URL地址在对应时间段的URL地址被访问量,将N个所述统计周期内,所有访问所述URL地址的源IP地址,所对应的累计访问量中的最大值,作为所述URL地址在对应时间段的源IP地址访问量,所述时间段包括N个所述统计周期,所述N为大于1的自然数;
该第一学习单元63,还可以用于:将所述URL地址在M个所述时间段的URL地址被访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大被访问量,将所述URL地址在M个所述时间段的源IP地址访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大源IP地址访问量,所述自学习周期包括M天,所述M为大于1的自然数。
在一个实施例中,该装置还可以包括:比较单元64、更新单元65。
其中,该比较单元64,可以用于在得出URL地址在当前自学习周期内的每个时间段的最大被访问量与最大源IP地址访问量后,将所述每个最大被访问量与所述URL地址在前一个自学习周期内的对应时间段的最大被访问量进行比较,以及将所述每个最大源IP地址访问量与所述URL地址在前一个自学习周期内的对应时间段的最大源IP地址访问量进行比较;
该更新单元65,可以用于根据所述比较结果,确定属于当前自学习周期的最大被访问量较大时,则根据所述当前自学习周期的最大被访问量更新所述
URL地址在对应时间段的最大被访问量;确定属于当前自学习周期的最大源IP地址访问量较大时,则根据所述当前自学习周期的最大源IP地址访问量更新所述URL地址在对应时间段的最大源IP地址访问量。
在另一个实施例中,第一处理单元62,可以包括:比较子单元621、确定子单元622。
其中,该比较子单元621,可以用于比较所述累计被访问量与所述URL地址在对应时间段的最大被访问量,以及所述累计访问量与所述URL地址在对应时间段的最大源IP地址访问量;
该确定子单元622,可以用于在根据比较结果,确定所述累计被访问量超过所述对应时间段的最大被访问量的X倍,所述累计访问量超过所述对应时间段的最大源IP地址访问量的Y倍时,所述X、Y均大于1,则确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系。
请参考图8,示例了本申请防御CC攻击的装置的又一个实施例框图,该图8所示的装置,在上述图6和图7所示装置的基础上,该装置还可以包括:第一添加单元66、第二处理单元67。
其中,该第一添加单元66,可以用于在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系时,将所述URL地址加入保存的灰名单;
该第二处理单元67,可以用于当再次接收到包括所述URL地址的HTTP请求报文时,根据所述HTTP请求报文的URL地址在所述灰名单中,确定所述URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,并根据所述HTTP请求报文的源IP地址统计所述源IP地址在所述统计周期内对所述URL地址的累计访问量。
在一个实施例中,该装置还包括:第二添加单元68、第三处理单元69。
其中,该第二添加单元68,可以用于在确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,将所述源IP地址加入保存的黑名单;
该第三处理单元69,可以用于当再次接收到包括所述源IP地址的HTTP请求报文时,根据所述HTTP请求报文的源IP地址在所述黑名单中,确定所述HTTP请求报文存在CC攻击,丢弃所述HTTP请求报文。
在上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种防御挑战黑洞CC攻击的方法,其特征在于,所述方法包括:
在接收到对一个统一资源定位符URL地址请求访问的超文本传输协议HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值;
当确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述统计周期内,根据所接收到的HTTP请求报文的URL地址以及源IP地址,统计得出所述URL地址在所述统计周期内的累计被访问量,以及所述源IP地址在所述统计周期内对所述URL地址的累计访问量;
将所述URL地址在N个所述统计周期内的所有累计被访问量中的最大值作为所述URL地址在对应时间段的URL地址被访问量,将N个所述统计周期内,所有访问所述URL地址的源IP地址,所对应的累计访问量中的最大值,作为所述URL地址在对应时间段的源IP地址访问量,所述时间段包括N个所述统计周期,所述N为大于1的自然数;
将所述URL地址在M个所述时间段的URL地址被访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大被访问量,将所述URL地址在M个所述时间段的源IP地址访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大源IP地址访问量,所述自学习周期包括M天,所述M为大于1的自然数。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
得出URL地址在当前自学习周期内的每个时间段的最大被访问量与最大源IP地址访问量后,将所述每个最大被访问量与所述URL地址在前一个自学习周期内的对应时间段的最大被访问量进行比较,以及将所述每个最大源IP地址访问量与所述URL地址在前一个自学习周期内的对应时间段的最大源IP地址访问量进行比较;
根据所述比较结果,确定属于当前自学习周期的最大被访问量较大时,则根据所述当前自学习周期的最大被访问量更新所述URL地址在对应时间段的最大被访问量;确定属于当前自学习周期的最大源IP地址访问量较大时,则根据所述当前自学习周期的最大源IP地址访问量更新所述URL地址在对应时间段的最大源IP地址访问量。
4.根据权利要求1所述的方法,其特征在于,所述确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系,包括:
比较所述累计被访问量与所述URL地址在对应时间段的最大被访问量,以及所述累计访问量与所述URL地址在对应时间段的最大源IP地址访问量;
根据比较结果,确定所述累计被访问量超过所述对应时间段的最大被访问量的X倍,所述累计访问量超过所述对应时间段的最大源IP地址访问量的Y倍,所述X、Y均大于1,则确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系时,将所述URL地址加入保存的灰名单;
当再次接收到包括所述URL地址的HTTP请求报文时,根据所述HTTP请求报文的URL地址在所述灰名单中,确定所述URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,并根据所述HTTP请求报文的源IP地址统计所述源IP地址在所述统计周期内对所述URL地址的累计访问量。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,将所述源IP地址加入保存的黑名单;
当再次接收到包括所述源IP地址的HTTP请求报文时,根据所述HTTP请求报文的源IP地址在所述黑名单中,确定所述HTTP请求报文存在CC攻击,丢弃所述HTTP请求报文。
7.一种防御CC攻击的装置,其特征在于,所述装置包括:
统计单元,用于在接收到对一个URL地址请求访问的HTTP请求报文时,统计所述URL地址在预设统计周期内的累计被访问量,以及所述HTTP请求报文中的源IP地址在所述统计周期内对所述URL地址的累计访问量,所述统计周期不小于预设的最低阈值;
第一处理单元,用于在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,认为存在CC攻击,丢弃所述HTTP请求报文。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一学习单元,用于在所述统计周期内,根据所接收到的HTTP请求报文的URL地址以及源IP地址,统计得出所述URL地址在所述统计周期内的累计被访问量,以及所述源IP地址在所述统计周期内对所述URL地址的累计访问量;
所述第一学习单元,还用于:将所述URL地址在N个所述统计周期内的所有累计被访问量中的最大值作为所述URL地址在对应时间段的URL地址被访问量,将N个所述统计周期内,所有访问所述URL地址的源IP地址,所对应的累计访问量中的最大值,作为所述URL地址在对应时间段的源IP地址访问量,所述时间段包括N个所述统计周期,所述N为大于1的自然数;
所述第一学习单元,还用于:将所述URL地址在M个所述时间段的URL地址被访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大被访问量,将所述URL地址在M个所述时间段的源IP地址访问量中的最大值,作为所述URL地址在自学习周期内的所述时间段的最大源IP地址访问量,所述自学习周期包括M天,所述M为大于1的自然数。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
比较单元,用于在得出URL地址在当前自学习周期内的每个时间段的最大被访问量与最大源IP地址访问量后,将所述每个最大被访问量与所述URL地址在前一个自学习周期内的对应时间段的最大被访问量进行比较,以及将所述每个最大源IP地址访问量与所述URL地址在前一个自学习周期内的对应时间段的最大源IP地址访问量进行比较;
更新单元,用于根据所述比较结果,确定属于当前自学习周期的最大被访问量较大时,则根据所述当前自学习周期的最大被访问量更新所述URL地址在对应时间段的最大被访问量;确定属于当前自学习周期的最大源IP地址访问量较大时,则根据所述当前自学习周期的最大源IP地址访问量更新所述URL地址在对应时间段的最大源IP地址访问量。
10.根据权利要求7所述的装置,其特征在于,所述第一处理单元包括:
比较子单元,用于比较所述累计被访问量与所述URL地址在对应时间段的最大被访问量,以及所述累计访问量与所述URL地址在对应时间段的最大源IP地址访问量;
确定子单元,用于在根据比较结果,确定所述累计被访问量超过所述对应时间段的最大被访问量的X倍,所述累计访问量超过所述对应时间段的最大源IP地址访问量的Y倍时,所述X、Y均大于1,则确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系,且所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一添加单元,用于在确定所述累计被访问量超过所述URL地址在对应时间段的最大被访问量的幅度符合第一波动关系时,将所述URL地址加入保存的灰名单;
第二处理单元,用于当再次接收到包括所述URL地址的HTTP请求报文时,根据所述HTTP请求报文的URL地址在所述灰名单中,确定所述URL地址在所述统计周期内的累计被访问量超过对应时间段的最大被访问量的幅度符合第一波动关系,并根据所述HTTP请求报文的源IP地址统计所述源IP地址在所述统计周期内对所述URL地址的累计访问量。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第二添加单元,用于在确定所述累计访问量超过所述URL地址在对应时间段的最大源IP地址访问量的幅度符合第二波动关系时,将所述源IP地址加入保存的黑名单;
第三处理单元,用于当再次接收到包括所述源IP地址的HTTP请求报文时,根据所述HTTP请求报文的源IP地址在所述黑名单中,确定所述HTTP请求报文存在CC攻击,丢弃所述HTTP请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610474049.XA CN105939361B (zh) | 2016-06-23 | 2016-06-23 | 防御cc攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610474049.XA CN105939361B (zh) | 2016-06-23 | 2016-06-23 | 防御cc攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939361A true CN105939361A (zh) | 2016-09-14 |
| CN105939361B CN105939361B (zh) | 2019-06-07 |
Family
ID=56872314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610474049.XA Active CN105939361B (zh) | 2016-06-23 | 2016-06-23 | 防御cc攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939361B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234516A (zh) * | 2018-01-26 | 2018-06-29 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
| CN108243149A (zh) * | 2016-12-23 | 2018-07-03 | 北京华为数字技术有限公司 | 一种网络攻击检测方法及装置 |
| CN108833410A (zh) * | 2018-06-19 | 2018-11-16 | 网宿科技股份有限公司 | 一种针对HTTP Flood攻击的防护方法及系统 |
| CN109831461A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN109951445A (zh) * | 2019-01-29 | 2019-06-28 | 上海嘉韦思信息技术有限公司 | 网络安全保险理赔评估方法和系统 |
| CN109995732A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团安徽有限公司 | 网站安全访问监控方法、装置、设备及介质 |
| CN110071941A (zh) * | 2019-05-08 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN110519266A (zh) * | 2019-08-27 | 2019-11-29 | 四川长虹电器股份有限公司 | 一种基于统计学方法的cc攻击检测的方法 |
| CN111314323A (zh) * | 2020-01-21 | 2020-06-19 | 江苏艾佳家居用品有限公司 | 一种基于应用层的ddos精确识别方法 |
| CN112153001A (zh) * | 2020-08-21 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 基于waf的网络通信方法、系统、电子装置和存储介质 |
| CN112839014A (zh) * | 2019-11-22 | 2021-05-25 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
| CN112839010A (zh) * | 2019-11-22 | 2021-05-25 | 北京数安鑫云信息技术有限公司 | 标记样本的方法、系统、设备及介质 |
| CN112929347A (zh) * | 2021-01-25 | 2021-06-08 | 百果园技术(新加坡)有限公司 | 一种限频方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130044758A1 (en) * | 2011-08-18 | 2013-02-21 | Han Nguyen | Dynamic Traffic Routing And Service Management Controls For On-Demand Application Services |
| CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
-
2016
- 2016-06-23 CN CN201610474049.XA patent/CN105939361B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130044758A1 (en) * | 2011-08-18 | 2013-02-21 | Han Nguyen | Dynamic Traffic Routing And Service Management Controls For On-Demand Application Services |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN103685293A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的防护方法和装置 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108243149A (zh) * | 2016-12-23 | 2018-07-03 | 北京华为数字技术有限公司 | 一种网络攻击检测方法及装置 |
| CN109995732A (zh) * | 2017-12-30 | 2019-07-09 | 中国移动通信集团安徽有限公司 | 网站安全访问监控方法、装置、设备及介质 |
| CN108234516A (zh) * | 2018-01-26 | 2018-06-29 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
| CN108833410A (zh) * | 2018-06-19 | 2018-11-16 | 网宿科技股份有限公司 | 一种针对HTTP Flood攻击的防护方法及系统 |
| CN109951445A (zh) * | 2019-01-29 | 2019-06-28 | 上海嘉韦思信息技术有限公司 | 网络安全保险理赔评估方法和系统 |
| CN109831461A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN109831461B (zh) * | 2019-03-29 | 2021-10-26 | 新华三信息安全技术有限公司 | 一种分布式拒绝服务DDoS攻击防御方法及装置 |
| CN110071941A (zh) * | 2019-05-08 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN110071941B (zh) * | 2019-05-08 | 2021-10-29 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN110519266A (zh) * | 2019-08-27 | 2019-11-29 | 四川长虹电器股份有限公司 | 一种基于统计学方法的cc攻击检测的方法 |
| CN110519266B (zh) * | 2019-08-27 | 2021-04-27 | 四川长虹电器股份有限公司 | 一种基于统计学方法的cc攻击检测的方法 |
| CN112839010A (zh) * | 2019-11-22 | 2021-05-25 | 北京数安鑫云信息技术有限公司 | 标记样本的方法、系统、设备及介质 |
| CN112839014A (zh) * | 2019-11-22 | 2021-05-25 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
| CN112839010B (zh) * | 2019-11-22 | 2023-08-04 | 北京数安鑫云信息技术有限公司 | 标记样本的方法、系统、设备及介质 |
| CN112839014B (zh) * | 2019-11-22 | 2023-09-22 | 北京数安鑫云信息技术有限公司 | 建立识别异常访问者模型的方法、系统、设备及介质 |
| CN111314323A (zh) * | 2020-01-21 | 2020-06-19 | 江苏艾佳家居用品有限公司 | 一种基于应用层的ddos精确识别方法 |
| CN112153001A (zh) * | 2020-08-21 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 基于waf的网络通信方法、系统、电子装置和存储介质 |
| CN112153001B (zh) * | 2020-08-21 | 2023-06-23 | 杭州安恒信息技术股份有限公司 | 基于waf的网络通信方法、系统、电子装置和存储介质 |
| CN112929347A (zh) * | 2021-01-25 | 2021-06-08 | 百果园技术(新加坡)有限公司 | 一种限频方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939361B (zh) | 2019-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105939361A (zh) | 防御cc攻击的方法及装置 | |
| US11245662B2 (en) | Registering for internet-based proxy services | |
| US11675872B2 (en) | Methods and apparatuses for providing internet-based proxy services | |
| US10313475B2 (en) | Internet-based proxy service for responding to server offline errors | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN106453669B (zh) | 一种负载均衡方法及一种服务器 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| Ghafir et al. | DNS traffic analysis for malicious domains detection | |
| CN104899482B (zh) | 限制批量请求服务的方法和装置 | |
| US20190020623A1 (en) | Methods and systems for identification of a domain of a command and control server of a botnet | |
| CN105939320A (zh) | 处理报文的方法及装置 | |
| CN103916379A (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
| CN108833418B (zh) | 用于防御攻击的方法、装置和系统 | |
| KR101266171B1 (ko) | 분산 서비스 거부 공격 방어 방법 및 그 장치 | |
| Mansoori et al. | Geolocation tracking and cloaking of malicious web sites | |
| Sairam et al. | Using CAPTCHA selectively to mitigate HTTP-based attacks | |
| Schneider et al. | HTTPreject: handling overload situations without losing the contact to the user | |
| CN108200076B (zh) | Host头域伪造攻击的防护方法和装置 | |
| RU2708352C1 (ru) | Способ блокирования рекламы на вычислительных устройствах | |
| CN114978590A (zh) | Api安全防护的方法、设备及可读存储介质 | |
| CN116418661A (zh) | 信息传输方法、装置、电子设备、软件程序及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |