CN106209907B - 一种检测恶意攻击的方法及装置 - Google Patents
一种检测恶意攻击的方法及装置 Download PDFInfo
- Publication number
- CN106209907B CN106209907B CN201610764847.6A CN201610764847A CN106209907B CN 106209907 B CN106209907 B CN 106209907B CN 201610764847 A CN201610764847 A CN 201610764847A CN 106209907 B CN106209907 B CN 106209907B
- Authority
- CN
- China
- Prior art keywords
- data
- target
- background server
- enticement
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种检测恶意攻击的方法及装置。其中,该方法应用于检测设备,该方法包括:截获针对第一客户端的访问请求,其中,访问请求中包括登录验证数据;判断登录验证数据是否存在于本地存储的任一目标数据中,其中,目标数据为基于诱惑数据确定的,诱惑数据在生成后被发送至第二客户端对应的后台服务器;如果判断结果为是,确定第一客户端对应的目标后台服务器受到了恶意攻击。可以看出,与现有技术相比,本发明实施例能够对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种检测恶意攻击的方法及装置。
背景技术
随着计算机与网络技术的普及,各种客户端层出不穷,同时,安全威胁和网络滥用也与日俱增,客户端对应的后台服务器特别容易受到恶意攻击。一般而言,现有技术中仅能通过检测同一IP地址在单位时间内针对客户端下的同一账户提交账户密码的次数,或者登陆失败的提示次数,以确定客户端对应的后台服务器是否受到了恶意攻击。容易理解的是,如果不法分子采用不同的IP地址来尝试登陆同一账户,或者增大相邻两次尝试的时间间隔,现有技术将无法检测到该客户端对应的后台服务器受到了恶意攻击的情况。因此,如何对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测是一个亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种检测恶意攻击的方法及装置,以对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
本发明实施例提供了一种检测恶意攻击的方法,应用于检测设备,所述方法包括:
截获针对第一客户端的访问请求,其中,所述访问请求中包括登录验证数据;
判断所述登录验证数据是否存在于本地存储的任一目标数据中,其中,所述目标数据为基于诱惑数据确定的,所述诱惑数据在生成后被发送至第二客户端对应的后台服务器;
如果判断结果为是,确定所述第一客户端对应的目标后台服务器受到了恶意攻击。
本发明实施例还提供了一种检测恶意攻击的装置,应用于检测设备,所述装置包括:
访问请求截获模块,用于截获针对第一客户端的访问请求,其中,所述访问请求中包括登录验证数据;
第一判断模块,用于判断所述登录验证数据是否存在于本地存储的任一目标数据中,其中,所述目标数据为基于诱惑数据确定的,所述诱惑数据在生成后被发送至第二客户端对应的后台服务器;
恶意攻击确定模块,用于在所述第一判断模块的判断结果为是的情况下,确定所述第一客户端对应的目标后台服务器受到了恶意攻击。
本发明实施例提供了一种检测恶意攻击的方法及装置。其中,该方法应用于检测设备,该方法包括:截获针对第一客户端的访问请求,其中,访问请求中包括登录验证数据;判断登录验证数据是否存在于本地存储的任一目标数据中,其中,目标数据为基于诱惑数据确定的,诱惑数据在生成后被发送至第二客户端对应的后台服务器;如果判断结果为是,确定第一客户端对应的目标后台服务器受到了恶意攻击。本发明实施例中,检测设备可以在截获针对第一客户端的访问请求后,判断访问请求中所包括的登录验证数据是否存在于本地存储的任一目标数据中。由于合法用户发出的访问请求中的登录验证数据不可能存在于任一目标数据中,因此,只要发现任一登录验证数据存在于任一目标数据中,就可以确定不法分子正在通过撞库的方式尝试登录第一客户端,因此,检测设备此时可以确定目标后台服务器受到了恶意攻击。可以看出,与现有技术相比,本发明实施例能够对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的检测恶意攻击的方法的流程图;
图2为应用服务器的工作原理图;
图3为本发明实施例提供的检测恶意攻击的装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术存在的问题,本发明实施例提供了一种检测恶意攻击的方法及装置。
下面首先对本发明实施例所提供的一种检测恶意攻击的方法进行说明。
需要说明的是,本发明实施例所提供的一种检测恶意攻击的方法可以应用于一检测设备,该检测设备上可以安装有入侵防御系统IPS或者下一代防火墙,该IPS或者该下一代防火墙可以执行图1中所示的S101至S103,以对第一客户端对应的目标后台服务器受到了恶意攻击的情况进行有效地检测。
参见图1,图中示出了本发明实施例所提供的一种检测恶意攻击的方法的流程图。如图1所示,该方法可以包括如下步骤:
S101,截获针对第一客户端的访问请求,其中,该访问请求中包括登录验证数据。
需要说明的是,第一客户端的具体类型多样。举例而言,如图2所示,第一客户端可以是门户网站的客户端,例如新浪客户端、搜狐客户端等;或者,第一客户端可以是热门应用程序的客户端,例如微信客户端、微博客户端等;或者,第一客户端可以是主流邮箱的客户端,例如163邮箱客户端、126邮箱客户端等,这都是可行的。也就是说,此处的“第一客户端”可以是任何一种类型的客户端,该“第一客户端”中的“第一”并不对客户端的具体类型造成任何限定。
可以理解的是,对于任一用户而言,若其想要登录某一客户端,其需要向该客户端对应的后台服务器发送携带有账户名和账户密码的访问请求。这样,相应的后台服务器在接收到该访问请求后,其可以根据该访问请求中的账户名是否存在,以及账户名和账户密码是否匹配,确定是否允许发出该访问请求的用户登录相应的账户。
对于不法分子来说,其可能会通过非法方式获得合法用户的账户名和账户密码。举例而言,不法分子可以在合法用户的访问请求传输至相应后台服务器的过程中,截获该访问请求,并从访问请求中获得账户名和账户密码;或者,不法分子也可以对后台服务器进行攻击,以从后台服务器内窃取到合法用户的账户名和账户密码等信息。在成功获得了合法用户的账户名和账户密码后,不法分子就可以根据该账户名和账户密码,登录相应账户,以窃取合法用户的账户数据,此时合法用户的账户数据就会发生泄露。
对于一部分合法用户而言,在设置自身在不同客户端下的账户密码时,为了方便记忆,其可能会将各个客户端下的账户密码设置为同一个密码。这样,当不法分子获得了合法用户在某一客户端下的账户名和账户密码后,其会对另一客户端对应的后台服务器进行恶意攻击,即利用获得的账户名和账户密码尝试登陆另一客户端,例如采用撞库的方式,对另一客户端下的合法用户的账户密码进行猜测。若其猜测成功,其将会成功登陆另一客户端下的相应账户,进而窃取到相应账户的账户数据。
本领域技术人员可以理解的是,撞库是不法分子通过已泄露的账户名和账户密码,尝试登录其他客户端,以获得可以登录其他客户端的账户名和账户密码的一种手段。
在现有技术中,对于部分客户端(下文中把这部分客户端称为第一类客户端)的提供商而言,为了减小合法用户的账户数据发生泄露的可能性,进而保证合法用户的账户数据的安全,其会对该客户端内的程序进行特定设计,以使得合法用户发出的针对该客户端的访问请求中不直接包括账户名和账户密码,其包括的是采用特定的变换函数对账户名和账户密码进行变换运算后获得的数据。具体地,该变换函数可以是用于获得MD5值的函数,这样,采用变换函数对账户名和账户密码进行变换运算后获得的数据即为相应的MD5值。当然,变换函数的类型并不局限于此,具体可以根据实际情况来确定,本实施例在此不再一一赘述。另外,需要说明的是,对于同属于第一类客户端的各个客户端而言,其所对应的变换函数可以相同,也可以不同,这都是可行的。
这样一来,在合法用户的访问请求传输至相应的后台服务器的过程中,即使不法分子采用非法的手段,截获了该访问请求,不法分子也无法将访问请求中的MD5值还原为账户名和账户密码,相应地,不法分子将无法登录合法用户的账户,更不用说窃取合法用户的账户数据了。
需要强调的是,并不是所有客户端的提供商都会采用上述方式来减小合法用户的账户数据发生泄露的可能性。对于部分客户端(下文中把这部分客户端称为第二类客户端)的提供商而言,出于对生产成本和运营成本的考虑,其并不会对客户端内的程序进行上述特定设计,相应地,合法用户发出的针对该客户端的访问请求中会直接包括账户名和账户密码。
需要说明的是,登录验证数据的类型可以有多种,下面进行举例介绍。
第一种类型:登录验证数据为账户名或者账户名经过变换运算后获得的数据。
第二种类型:登录验证数据为账户密码或者账户密码经过变换运算后获得的数据。
第三种类型:登录验证数据为账户名和账户密码两者;或者,账户名和账户密码两者均经过变换运算后获得的数据。
下述实施例中均以登录验证数据为第二种类型的情况为例进行说明。相应地,合法用户针对第一类客户端的访问请求中的登录验证数据为账户密码经过变换运算后得到的数据,合法用户针对第二类客户端的访问请求中的登录验证数据为账户密码。
另外,需要强调的是,检测设备截获针对第一客户端的访问请求的具体实现形式为本领域技术人员所公知,在此不再赘述。
S102,判断登录验证数据是否存在于本地存储的任一目标数据中,如果判断结果为是,执行S103。
其中,目标数据为基于诱惑数据确定的,诱惑数据在生成后被发送至第二客户端对应的后台服务器。
本实施例中,第二客户端的数量可以为一个、两个,或者两个以上,这都是可行的,本实施例对第一客户端的具体数量不做任何限定。当第二客户端的数量为两个以上时,第二客户端可以包括各种较为主流的客户端,例如微信客户端、微博客户端、QQ客户端等。另外,需要指出的是,第一客户端可以与某一第二客户端相同,或者,第一客户端与各第二客户端互不相同,这都是可行的。
需要强调的是,目标数据的来源可以有多种不同的情况,下面对其中的两种情况进行详细说明。
第一种情况下,目标数据可以来源于应用服务器。相应地,该方法还可以包括:
接收应用服务器生成并发送的目标数据;
存储所接收到的目标数据;
其中,目标数据包括:诱惑数据;或者,
目标数据包括:诱惑数据以及该诱惑数据对应的变换数据;诱惑数据中携带有后台服务器编号,变换数据为应用服务器生成诱惑数据后,基于后台服务器编号与变换函数之间的对应关系,调用与生成的诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算后得到的数据,每个后台服务器编号互不相同。
为了便于理解,下面结合图2,对应用服务器的具体工作原理进行说明。
对于应用服务器而言,其内部可以预先存储有后台服务器编号和变换函数之间的对应关系,此外,其内部还可以预先存储有每个后台服务器编号对应的客户端类型(即各后台服务器编号对应的客户端具体属于第一类客户端还是第二类客户端。
本实施例中,应用服务器内可以具有一诱惑数据生成投放模块,该诱惑数据生成投放模块用于生成并发送诱惑数据。另外,每个诱惑数据中均携带有后台服务器编号,每个诱惑数据被发送至该诱惑数据中的后台服务器编号所对应的后台服务器,其中,每个后台服务器编号互不相同。
假设诱惑数据生成投放模块生成了三个诱惑数据。其中,第一个诱惑数据中的后台服务器编号为门户网络A的后台服务器对应的编号,第二个诱惑数据为热门应用B的后台服务器对应的编号,第三个诱惑数据为主流邮箱C的后台服务器对应的编号。在这三个诱惑数据生成之后,应用服务器可以将第一个诱惑数据发送至门户网络A对应的后台服务器,将第二个诱惑数据发送至热门应用B对应的后台服务器,并将第三个诱惑数据发送至主流邮箱C对应的后台服务器。
与此同时,应用服务器还会分别确定这三个诱惑数据中的后台服务器编号对应的客户端的类型。假设第一个诱惑数据中的后台服务器编号对应的客户端属于第一类客户端,第二个诱惑数据和第三个诱惑数据中的后台服务器编号对应的客户端属于第二类客户端,应用服务器经过确定会发现第一个诱惑数据需要进行变换运算,而第二个诱惑数据和第三个诱惑数据不需要进行变换运算。接下来,应用服务器会基于后台服务器编号和变换函数之间的对应关系,确定与第一个诱惑数据中的后台服务器编号对应的变换函数,并调用所确定的变换函数,对第一个诱惑数据进行变换运算,进而得到第一个诱惑数据对应的变换数据,最终,应用服务器会把由第一个诱惑数据,以及第一个诱惑数据对应的变换数据组成的目标数据发送至检测设备。由于第二个诱惑数据和第三个诱惑数据不需要进行变换运算,故应用服务器会分别将第二个诱惑数据和第三个诱惑数据作为一个目标数据发送至检测设备。这样,检测设备内将会存储有分别基于上述三个诱惑数据确定的目标数据。
第二种情况下,目标数据可以来源于检测设备。
相应地,该方法还可以包括:
生成诱惑数据,并将生成的诱惑数据确定为目标数据;或者,
生成携带有后台服务器编号的诱惑数据,基于后台服务器与变换函数之间的对应关系,调用与该诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算,以得到变换数据,并将生成的诱惑数据和得到的变换数据确定为目标数据。
与第一种情况下的应用服务器类似,检测设备内部也可以预先存储有后台服务器编号和变换函数之间的对应关系,以及每个后台服务器编号对应的客户端类型。
这样,在生成一携带有后台服务器编号的诱惑数据后,每个诱惑数据也可以被发送至该诱惑数据中的后台服务器编号所对应的后台服务器。与此同时,检测设备也可以根据该诱惑数据中的后台服务器编号,以及每个后台服务器编号对应的客户端类型,确定该诱惑数据是否需要进行变换运算。如果不需要,检测设备就可以直接将生成的诱惑数据确定为一个目标数据,并将该目标数据存储起来;如果需要,检测设备就可以调用与该诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算,以得到相应的变换数据,并将该诱惑数据和得到的变换数据确定为一个目标数据,并将该目标数据存储起来。
无论目标数据的来源为以上哪种情况,检测设备根据自身内部存储的目标数据,就可以执行S102,即将截获的访问请求中的登录验证数据与各目标数据进行遍历比较,以确定该登录验证数据是否存在于任一目标数据中。
可以看出,检测设备内存储的目标数据是来自于应用服务器的,或者是检测设备自身生成的,而每一个合法用户的账户密码是由合法用户根据相应的密码设置规则,进行自定义后得到的,故从理论上来说,任一合法用户发出的访问请求中的登录验证数据(任一合法用户的账户密码或者账户密码经过变换运算后得到的数据)均应当不存在于本地存储的任一目标数据中。
因此,若经过遍历比较,检测设备发现该访问请求中的登录验证数据存在于本地存储的任一目标数据中,检测设备就可以确定,发出该访问请求的对象为不法分子,该不法分子发出的访问请求中的登录验证数据为其通过非法方式,即对第二客户端对应的后台服务器进行攻击后得到的,该不法分子想要根据攻击后获得的数据,采用撞库的方式来尝试登录第一客户端,此时可以认为第一客户端对应的目标后台服务器受到了恶意攻击。因此,检测设备只要发现该登录验证数据存在于本地存储的任一目标数据中,检测设备就可以执行S103。
相反,若经过遍历比较,检测设备发现该访问请求中的登录验证数据并未存在于本地存储的任一目标数据中,检测设备将不会确定发出该访问请求的为不法分子,此时,检测设备不会执行S103,检测设备可以放行该访问请求,以使该访问请求进一步传输至目标后台服务器处。
S103,确定第一客户端对应的目标后台服务器受到了恶意攻击。
本实施例中,检测设备可以在截获针对第一客户端的访问请求后,判断访问请求中所包括的登录验证数据是否存在于本地存储的任一目标数据中。由于合法用户发出的访问请求中的登录验证数据不可能存在于任一目标数据中,因此,只要发现登录验证数据存在于任一目标数据中,就可以确定不法分子正在通过撞库的方式尝试登录第一客户端,因此,检测设备此时可以确定目标后台服务器受到了恶意攻击。此外,可以理解的是,由于每个诱惑数据中均携带有后台服务器编号,当检测设备判断出登录验证数据存在于本地存储的任一目标数据中后,检测设备就可以确定某个第二客户端对应的后台服务器的数据发生了泄露,并且,发生了数据泄露的后台服务器为登录验证数据存在的目标数据中的后台服务器编号对应的后台服务器。
可以看出,与现有技术相比,本实施例能够对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
需要说明的是,后台服务器编号可以为至少一级。具体地,对于一些大型提供商而言,其可以同时推出若干个客户端。在实际编号时,可以为每个大型提供商确定一个主编号,然后分别为其推出的若干个客户端确定其在该主编号下的从编号,这样,该若干个客户端对应的后台服务器的编号均为两级。当然,后台服务器编号的级数并不局限于两级,具体可以根据实际情况来确定,本实施例对此不做任何限定。
可选地,每个诱惑数据中均携带该诱惑数据的生成时间标识信息,相应地,确定第一客户端对应的目标后台服务器受到了恶意攻击,可以包括:
确定第一客户端对应的目标后台服务器受到了恶意攻击,并且,确定目标后台服务器受到恶意攻击的时刻,其中,受到恶意攻击的时刻位于目标时刻与当前时刻之间,目标时刻为登录验证数据存在的目标数据中生成时间标识信息对应的时刻。
需要说明的是,每个诱惑数据中所包括的生成时间标识信息可以为该诱惑数据的生成时间所对应的时间戳信息,该时间戳信息可以为北京时间1970年01月01日08时00分00秒至该诱惑数据的生成时间的总秒数。
本实施例中,若检测设备经过遍历比较的方式,确定出其截获的访问请求中的登录验证数据存在于某一目标数据中,这说明发出该访问请求的对象为不法分子,该不法分子发出的访问请求中的登录验证数据为其通过非法方式,例如对第二客户端对应的后台服务器进行攻击后得到的,该不法分子想要根据攻击后获得的数据,采用撞库的方式来尝试登录第一客户端。
可以理解的是,对于不法分子而言,只有诱惑数据生成并发送至了第二客户端对应的后台服务器,其才可能通过对第二客户端对应的后台服务器进行攻击,进而获得诱惑数据。因此,若通过登录验证数据存在于目标数据中的方式来确定目标后台服务器受到了恶意攻击,那么目标后台服务器受到恶意攻击的时刻必然位于目标时刻与当前时刻之间。
可以看出,本实施例可以较为准确地确定出目标后台服务器受到恶意攻击的具体时间段。
可以理解的是,若目标数据是由应用服务器生成并发送至检测设备的,在目标数据发送至检测设备的过程中,由于多方面因素的影响,目标数据很可能会产生错误,相应地,检测设备接收到的目标数据中的数据与应用服务器发出的目标数据中的数据是不同的。假设检测设备截获的访问请求中的登录验证数据是一诱惑数据或者是一诱惑数据经过变换运算后得到的数据,那么,只要各目标数据在传输过程中不出现错误,经过遍历比较后,检测设备一定会确定出该登录验证数据存在于某一目标数据,进而确定目标后台服务器受到了恶意攻击。但是,若目标数据在实际传输过程中产生了错误,那么经过遍历比较,检测设备最终可能会确定该登录验证数据并不存在于任一目标数据中。可以看出,若目标数据在发送过程中出现了错误,检测设备可能会遗漏一些目标后台服务器受到了攻击的情况。
为了解决上述问题,每个诱惑数据中还携带校验数据,各校验数据为对该校验数据所在的诱惑数据中除校验数据外的其余数据进行预设的校验运算后得到的;
相应地,该方法还可以包括:
在每次接收到目标数据后,对接收到的目标数据中的诱惑数据内除校验数据外的其余数据进行预设的校验运算,以得到运算结果;
判断运算结果与接收到的目标数据中的校验数据是否相同;
若为是,执行存储所接收到的目标数据的步骤。
需要说明的是,预设的校验运算可以为和运算或者用于获得CRC-16值的算法,当然,预设的校验运算的类型并不局限于此,具体可以根据实际情况来确定,本实施例对此不做任何限定。
本实施例中,应用服务器在生成诱惑数据时,其可以向每一诱惑数据中都添加一校验数据,并且,每一校验数据为对该校验数据所在的诱惑数据中,除校验数据外的其余数据进行预设的校验运算后得到的。这样,对于检测设备来说,其每接收到一个目标数据后,其可以先对所接收到的目标数据中的诱惑数据内除校验数据外的其余数据进行预设的校验运算,以得到运算结果。接下来,检测设备可以将该运算结果与其所接收到的目标数据中的校验数据进行比较。若经过比较,发现两者相同,这说明检测设备接收到的目标数据在发送过程中并未发生差错,此时,检测设备可以直接将所接收的目标数据存储起来。若经过比较,发现两者不同,这说明检测设备接收到的目标数据在发送过程中发生了错误,此时,检测设备不会存储接收到的诱惑数据,其可以直接丢弃该目标数据。
可以看出,本实施例中,检测设备可以对目标数据在发送过程中是否发生了错误进行检测,以使得检测设备内存储的目标数据均为数据发送过程中未发生错误的目标数据,从而有效地避免检测设备遗漏目标后台服务器受到了攻击的情况。
可选地,确定第一客户端对应的目标后台服务器受到了恶意攻击后,该方法还可以包括:
输出告警信号。
需要说明的是,检测设备输出的告警信号的形式多样。举例而言,该告警信号可以为声音告警信号、文字告警信号等,这都是可行的,在此不再一一赘述。
本实施例中,检测设备在确定出目标后台服务器受到了恶意攻击后,其可以输出告警信号,以使网管人员能够较为迅速地获知该情况,从而针对该情况做出相应的反应,例如对目标后台服务器进行维护,以加强目标后台服务器内的账户数据的安全性。
可选地,确定第一客户端对应的目标后台服务器受到了恶意攻击后,该方法还可以包括:
阻断访问请求发送至目标后台服务器。
可以理解的是,若登录验证数据存在于任一目标数据中,并且,包括有该登录验证数据的访问请求被发送至了目标后台服务器,此时,目标后台服务器仍会根据接收到的访问请求,确定是否允许发出该访问请求的对象登录第一客户端下的相应账户,这样会大大地消耗目标后台服务器内的系统资源。
为了避免出现上述情况,在本实施例中,检测设备内可以具有一流量阻断模块,在确定出目标后台服务器受到了恶意攻击后,检测设备可以利用该流量阻断模块,阻断包括有该登录验证数据的访问请求发送至目标后台服务器。这样,在登录验证数据存在于任一目标数据中的情况下,包括有该登录验证数据的访问请求将不会被发送至目标后台服务器,相应地,目标后台服务器也无需根据接收到的访问请求,确定是否允许发出该访问请求的对象登录第一客户端下的相应账户,这样可以有效地节省目标后台服务器上的系统资源。
下面结合表1,对诱惑数据的具体格式进行说明。
| 魔术字 | 时间戳 | 源编号 | 应用编号 | 校验值 |
表1
如表1所示,诱惑数据中可以包括五种类型的信息。下面按照从左至右的顺序分别对这五种类型的信息进行介绍。
第一种类型的信息为魔术字,该魔术字可以占据四个字节,该魔术字可以用来对诱惑数据进行标识,即只要某一数据中具有魔术字,就可以认为该数据中一定包括诱惑数据。具体地,该魔术字可以为0x64 0x95 0x52 0x45。
第二种类型的信息为时间戳,该时间戳也可以占据四个字节,该时间戳可以为UINT类型的数据,其可以用来表示北京时间1970年01月01日08点00分00秒到该诱惑数据的生成时间的秒数。假设该诱惑数据的生成时间为2016年06月06日(星期一)的16:15:16CTS,则该诱惑数据对应的时间戳为0x57553114。
第三种类型的信息为源编号,该源编号也可以占据四个字节,该源编号也可以为UINT类型的数据,该源编号对应的是主编号。具体地,该源编号可以为0x08。
第四种类型的信息为应用编号,该应用编号也可以占据四个字节,该应用编号也可以为UINT类型的数据,该应用编号对应的是主编号下的从编号,具体地,该应用编号可以为0x0483。容易看出,第三种类型的信息和第四种类型的信息可以共同构成该诱惑数据所对应的后台服务器编号。
第五种类型的信息为校验数据(即表1中的校验值),该校验数据可以占据两个字节,该校验数据可以为SHORT类型的数据,该校验数据是通过对前16个字节中的数据进行预设的校验运算后得到的数据。假设魔术字为0x64 0x95 0x52 0x45,时间戳为0x57553114,源编号为0x08,应用编号为0x0483,且预设的校验运算为用于获得CRC-16值的算法,那么最终的校验数据就是0x4D81。
由于诱惑数据内具有上述18个字节,故合法用户的账户密码一般来说是绝对不可能与该诱惑数据相同的。因此,在本实施例中,只要经过判断,发现登录验证数据存在于任一目标数据中,就可以确定目标后台服务器受到了恶意攻击。
综上,本实施例能够对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
下面对本发明实施例所提供的一种检测恶意攻击的装置进行说明。
参见图3,图中示出了本发明实施例提供的一种检测恶意攻击的装置的结构框图。如图3所示,该装置可以应用于检测设备,该装置可以包括:
访问请求截获模块31,用于截获针对第一客户端的访问请求,其中,访问请求中包括登录验证数据;
第一判断模块32,用于判断登录验证数据是否存在于本地存储的任一目标数据中,其中,目标数据为基于诱惑数据确定的,诱惑数据在生成后被发送至第二客户端对应的后台服务器;
恶意攻击确定模块33,用于在第一判断模块的判断结果为是的情况下,确定第一客户端对应的目标后台服务器受到了恶意攻击。
本实施例中,检测设备可以在截获针对第一客户端的访问请求后,判断访问请求中所包括的登录验证数据是否存在于本地存储的任一目标数据中。由于合法用户发出的访问请求中的登录验证数据不可能存在于任一目标数据中,因此,只要发现登录验证数据存在于任一目标数据中,就可以确定不法分子正在通过撞库的方式尝试登录第一客户端,因此,检测设备此时可以确定目标后台服务器受到了恶意攻击。
可以看出,与现有技术相比,本实施例能够对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
可选地,该装置还包括:
接收模块,用于接收应用服务器生成并发送的目标数据;
存储模块,用于存储所接收到的目标数据;
其中,目标数据包括:诱惑数据;或者,
目标数据包括:诱惑数据以及该诱惑数据对应的变换数据;诱惑数据中携带有后台服务器编号,变换数据为应用服务器生成诱惑数据后,基于后台服务器编号与变换函数之间的对应关系,调用与生成的诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算后得到的数据,每个后台服务器编号互不相同。
可选地,每个诱惑数据中还携带有校验数据,各校验数据为对该校验数据所在的诱惑数据中除校验数据外的其余数据进行预设的校验运算后得到的;
相应地,该装置还包括:
运算结果获得模块,用于在每次接收到目标数据后,对接收到的目标数据中的诱惑数据内除校验数据外的其余数据进行预设的校验运算,以得到运算结果;
第二判断模块,用于判断运算结果与接收到的目标数据中的校验数据是否相同;
触发模块,用于在第二判断模块的判断结果为是的情况下,触发存储模块。
可选地,该装置还包括:
第一确定模块,用于生成诱惑数据,并将生成的诱惑数据确定为目标数据。
可选地,该装置还包括:
第二确定模块,用于生成携带有后台服务器编号的诱惑数据,基于后台服务器与变换函数之间的对应关系,调用与该诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算,以得到变换数据,并将生成的诱惑数据和得到的变换数据确定为目标数据。
可选地,每个诱惑数据中均携带有后台服务器编号,每个诱惑数据被发送至该诱惑数据中的后台服务器编号所对应的后台服务器,其中,每个后台服务器编号互不相同。
可选地,每个诱惑数据中均携带该诱惑数据的生成时间标识信息,相应地,恶意攻击确定模块,具体用于:
确定第一客户端对应的目标后台服务器受到了恶意攻击,并且,确定目标后台服务器受到恶意攻击的时刻,其中,受到恶意攻击的时刻位于目标时刻与当前时刻之间,目标时刻为登录验证数据存在的目标数据中生成时间标识信息对应的时刻。
综上,本实施例能够对客户端对应的后台服务器受到了恶意攻击的情况进行有效地检测。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种检测恶意攻击的方法,其特征在于,应用于检测设备,所述方法包括:
截获针对第一客户端的访问请求,其中,所述访问请求中包括登录验证数据;
判断所述登录验证数据是否存在于本地存储的任一目标数据中,其中,所述目标数据为基于诱惑数据确定的,所述诱惑数据在生成后被发送至第二客户端对应的后台服务器,所述诱惑数据中携带有后台服务器编号;
如果判断结果为是,确定所述第一客户端对应的目标后台服务器受到了恶意攻击。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收应用服务器生成并发送的目标数据;
存储所接收到的目标数据;
其中,所述目标数据包括:诱惑数据;或者,
所述目标数据包括:诱惑数据以及该诱惑数据对应的变换数据;所述变换数据为所述应用服务器生成诱惑数据后,基于后台服务器编号与变换函数之间的对应关系,调用与生成的诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算后得到的数据,每个后台服务器编号互不相同。
3.根据权利要求2所述的方法,其特征在于,每个诱惑数据中还携带有校验数据,各校验数据为对该校验数据所在的诱惑数据中除所述校验数据外的其余数据进行预设的校验运算后得到的;
相应地,所述方法还包括:
在每次接收到目标数据后,对接收到的目标数据中的诱惑数据内除所述校验数据外的其余数据进行预设的校验运算,以得到运算结果;
判断所述运算结果与接收到的目标数据中的校验数据是否相同;
如果判断结果为是,执行所述存储所接收到的目标数据的步骤。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
生成诱惑数据,并将生成的诱惑数据确定为目标数据。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
生成携带有后台服务器编号的诱惑数据,基于后台服务器与变换函数之间的对应关系,调用与该诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算,以得到变换数据,并将生成的诱惑数据和得到的变换数据确定为目标数据。
6.根据权利要求1所述的方法,其特征在于,每个诱惑数据被发送至该诱惑数据中的后台服务器编号所对应的后台服务器,其中,每个后台服务器编号互不相同。
7.根据权利要求2-5中任一项所述的方法,其特征在于,每个诱惑数据中均携带该诱惑数据的生成时间标识信息,相应地,所述确定所述第一客户端对应的目标后台服务器受到了恶意攻击,包括:
确定所述第一客户端对应的目标后台服务器受到了恶意攻击,并且,确定所述目标后台服务器受到恶意攻击的时刻,其中,所述受到恶意攻击的时刻位于目标时刻与当前时刻之间,所述目标时刻为所述登录验证数据存在的目标数据中生成时间标识信息对应的时刻。
8.一种检测恶意攻击的装置,其特征在于,应用于检测设备,所述装置包括:
访问请求截获模块,用于截获针对第一客户端的访问请求,其中,所述访问请求中包括登录验证数据;
第一判断模块,用于判断所述登录验证数据是否存在于本地存储的任一目标数据中,其中,所述目标数据为基于诱惑数据确定的,所述诱惑数据在生成后被发送至第二客户端对应的后台服务器,所述诱惑数据中携带有后台服务器编号;
恶意攻击确定模块,用于在所述第一判断模块的判断结果为是的情况下,确定所述第一客户端对应的目标后台服务器受到了恶意攻击。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收应用服务器生成并发送的目标数据;
存储模块,用于存储所接收到的目标数据;
其中,所述目标数据包括:诱惑数据;或者,
所述目标数据包括:诱惑数据以及该诱惑数据对应的变换数据;所述变换数据为所述应用服务器生成诱惑数据后,基于后台服务器编号与变换函数之间的对应关系,调用与生成的诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算后得到的数据,每个后台服务器编号互不相同。
10.根据权利要求9所述的装置,其特征在于,每个诱惑数据中还携带有校验数据,各校验数据为对该校验数据所在的诱惑数据中除所述校验数据外的其余数据进行预设的校验运算后得到的;
相应地,所述装置还包括:
运算结果获得模块,用于在每次接收到目标数据后,对接收到的目标数据中的诱惑数据内除所述校验数据外的其余数据进行预设的校验运算,以得到运算结果;
第二判断模块,用于判断所述运算结果与接收到的目标数据中的校验数据是否相同;
触发模块,用于在所述第二判断模块的判断结果为是的情况下,触发所述存储模块。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于生成诱惑数据,并将生成的诱惑数据确定为目标数据。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于生成携带有后台服务器编号的诱惑数据,基于后台服务器与变换函数之间的对应关系,调用与该诱惑数据中的后台服务器编号对应的变换函数,对该诱惑数据进行变换运算,以得到变换数据,并将生成的诱惑数据和得到的变换数据确定为目标数据。
13.根据权利要求8所述的装置,其特征在于,每个诱惑数据被发送至该诱惑数据中的后台服务器编号所对应的后台服务器,其中,每个后台服务器编号互不相同。
14.根据权利要求9-12中任一项所述的装置,其特征在于,每个诱惑数据中均携带该诱惑数据的生成时间标识信息,相应地,所述恶意攻击确定模块,具体用于:
确定所述第一客户端对应的目标后台服务器受到了恶意攻击,并且,确定所述目标后台服务器受到恶意攻击的时刻,其中,所述受到恶意攻击的时刻位于目标时刻与当前时刻之间,所述目标时刻为所述登录验证数据存在的目标数据中生成时间标识信息对应的时刻。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610764847.6A CN106209907B (zh) | 2016-08-30 | 2016-08-30 | 一种检测恶意攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610764847.6A CN106209907B (zh) | 2016-08-30 | 2016-08-30 | 一种检测恶意攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106209907A CN106209907A (zh) | 2016-12-07 |
| CN106209907B true CN106209907B (zh) | 2021-04-30 |
Family
ID=58089919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610764847.6A Active CN106209907B (zh) | 2016-08-30 | 2016-08-30 | 一种检测恶意攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209907B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234431A (zh) * | 2016-12-22 | 2018-06-29 | 阿里巴巴集团控股有限公司 | 一种后台登陆行为检测方法和检测服务器 |
| CN106850632B (zh) * | 2017-02-10 | 2020-09-29 | 北京奇艺世纪科技有限公司 | 一种异常组合数据的检测方法及装置 |
| CN108540513B (zh) * | 2017-03-03 | 2021-08-13 | 中国移动通信集团福建有限公司 | 请求重放攻击的判定方法和装置 |
| CN107465730A (zh) * | 2017-07-26 | 2017-12-12 | 深圳市金立通信设备有限公司 | 一种业务请求方法及终端 |
| CN108566394B (zh) * | 2018-04-16 | 2020-10-02 | 新华三信息安全技术有限公司 | 一种信息处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087253A (zh) * | 2007-04-04 | 2007-12-12 | 华为技术有限公司 | 保存域名系统记录的方法、装置、域名解析方法及装置 |
| CN101291323A (zh) * | 2007-04-20 | 2008-10-22 | 丛林网络公司 | 使用部分确定性有限自动模式匹配来进行网络攻击检测 |
| CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN102724647A (zh) * | 2012-06-06 | 2012-10-10 | 电子科技大学 | 一种能力访问授权方法及系统 |
| CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150135268A1 (en) * | 2013-11-14 | 2015-05-14 | Multinnovation, Inc. | System and method to improve network security |
-
2016
- 2016-08-30 CN CN201610764847.6A patent/CN106209907B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087253A (zh) * | 2007-04-04 | 2007-12-12 | 华为技术有限公司 | 保存域名系统记录的方法、装置、域名解析方法及装置 |
| CN101291323A (zh) * | 2007-04-20 | 2008-10-22 | 丛林网络公司 | 使用部分确定性有限自动模式匹配来进行网络攻击检测 |
| CN101345743A (zh) * | 2007-07-09 | 2009-01-14 | 福建星网锐捷网络有限公司 | 防止利用地址解析协议进行网络攻击的方法及其系统 |
| CN102724647A (zh) * | 2012-06-06 | 2012-10-10 | 电子科技大学 | 一种能力访问授权方法及系统 |
| CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106209907A (zh) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10237283B2 (en) | Malware domain detection using passive DNS | |
| US9762543B2 (en) | Using DNS communications to filter domain names | |
| US10542006B2 (en) | Network security based on redirection of questionable network access | |
| CN106357696B (zh) | 一种sql注入攻击检测方法及系统 | |
| CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
| RU2536663C2 (ru) | Система и способ защиты от нелегального использования облачных инфраструктур | |
| EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
| US8869272B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
| CN107634967B (zh) | 一种CSRF攻击的CSRFToken防御系统和方法 | |
| JP2015225500A (ja) | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム | |
| RU2661533C1 (ru) | Система и способ обнаружения признаков компьютерной атаки | |
| US12003537B2 (en) | Mitigating phishing attempts | |
| CN110943840B (zh) | 一种签名验证方法 | |
| Yassin et al. | SQLIIDaaS: A SQL injection intrusion detection framework as a service for SaaS providers | |
| Nursetyo et al. | Website and network security techniques against brute force attacks using honeypot | |
| Dong et al. | User behaviour based phishing websites detection | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN107294994B (zh) | 一种基于云平台的csrf防护方法和系统 | |
| Chhajed et al. | Detecting cross-site scripting vulnerability and performance comparison using C-Time and E-Time | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| Rafiee et al. | A flexible framework for detecting ipv6 vulnerabilities | |
| Orucho et al. | Security threats affecting user-data on transit in mobile banking applications: A review | |
| CN113328976A (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN115374445B (zh) | 基于跨网场景的终端系统安全评估方法、装置及系统 | |
| Das et al. | Defeating Cyber Attacks Due to Script Injection. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |