CN106230775B - 防止攻击url规则库的方法以及装置 - Google Patents
防止攻击url规则库的方法以及装置 Download PDFInfo
- Publication number
- CN106230775B CN106230775B CN201610555777.3A CN201610555777A CN106230775B CN 106230775 B CN106230775 B CN 106230775B CN 201610555777 A CN201610555777 A CN 201610555777A CN 106230775 B CN106230775 B CN 106230775B
- Authority
- CN
- China
- Prior art keywords
- state
- message
- preset
- determining
- abnormal behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防止攻击URL规则库的方法以及装置,其中该方法包括:确定接收的报文中满足预设条件的报文;根据预设周期内的满足预设条件的报文确定异常行为参数状态;根据所述异常行为参数状态计算异常行为值;当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。本发明可以识别非法用户爆破URL库的行为,并避免URL库内容泄漏。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防止攻击URL(Uniform ResoureLocator,统一资源定位器)规则库的方法以及装置。
背景技术
URL库为厂商投入大量人力、财力等资源开发的,是一个通用的规则库,其它厂商一旦获取可以直接应用于其开发的网络设备上,进而节约其大量URL库开发投入,因此,URL库俨然已经成为网络设备厂商较高级别的机密。
目前,网络设备上加载的URL库可以被随意爆破,且难以被检测出来加以预防。恶意爆破者可以提前根据要爆破的URL规则生成HTTP(HyperText Transfer Protocol,超文本传输协议)报文,接着,通过报文回放工具将这些HTTP报文发往URL库所在网络设备,最后,未经授权的恶意爆破者根据网络设备URL检测功能对HTTP报文中携带的URL的检测结果获取网络设备上URL库的内容。
发明内容
针对现有技术的缺陷,本发明提供了一种防止攻击URL规则库的方法以及装置。
本发明提供一种防止攻击URL规则库的方法,应用于网络设备,其中该方法包括:
确定接收的报文中满足预设条件的报文,所述满足预设条件的报文为域名系统DNS查询报文,或者,命中预设统一资源定位器URL库中URL规则的报文;
根据预设周期内的满足预设条件的报文确定异常行为参数状态;
根据所述异常行为参数状态计算异常行为值,所述异常行为值用于表征所述网络设备的异常程度;
当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。
本发明还提供一种防止攻击URL规则库的装置,应用于网络设备,该装置包括:
第一确定单元,用于确定接收的报文中满足预设条件的报文,所述满足预设条件的报文为域名系统DNS查询报文,或者,命中预设统一资源定位器URL库中URL规则的报文;
第二确定单元,用于根据预设周期内的满足预设条件的报文确定异常行为参数状态;
计算单元,用于根据所述异常行为参数状态计算异常行为值,所述异常行为值用于表征所述网络设备的异常程度;
关闭单元,用于当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。
本发明提供的防止攻击URL规则库的方法以及装置,通过根据预设周期内接收的满足预设条件的报文确定异常行为参数状态,根据异常行为参数状态计算异常行为值,并在确定异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。由此可见,本发明可以识别是否有非法用户爆破URL库的行为,并在有非法用户爆破URL库的行为时,通过关闭网络设备的URL检测功能以避免URL库内容泄漏,进而保护网络设备厂商的知识产权。
附图说明
图1是本发明实施例中一种防止攻击URL规则库的方法所应用的网络环境示意图;
图2是本发明实施例中一种防止攻击URL规则库的方法流程示意图;
图3是本发明实施例中DNS查询状态的确定方法流程示意图;
图4是本发明实施例中一种防止攻击URL规则库的装置的逻辑结构示意图;
图5是本发明实施例中另一种防止攻击URL规则库的装置的逻辑结构示意图;
图6是本发明实施例中防止攻击URL规则库的装置所在网络设备的硬件架构示意图。
具体实施方式
为使本申请的目的,技术方案及优点更加清楚明白,以下参照附图对本申请方案做进一步的详细说明。
为了解决现有技术中存在的问题,本发明提供了一种防止攻击URL规则库的方法以及装置。
图1示出了本发明一种防止攻击URL规则库的方法所应用的网络环境示意图,包括多个终端设备101、102以及网络设备103,其中,该网络设备为加载了URL库且具有URL检测功能的设备。
请参考图2,为本发明提供的防止攻击URL规则库的方法的处理流程示意图,该防止攻击URL规则库的方法可应用于网络设备,该网络设备该方法包括以下步骤:
步骤201,确定接收的报文中满足预设条件的报文,所述满足预设条件的报文为域名系统DNS查询报文,或者,命中预设URL库中URL规则的报文;
本实施方式中,满足预设条件的报文包括DNS(Domain Name System,域名系统)查询报文,或者是命中网络设备预设的URL库中的URL规则的报文。其中,本发明实施方式中命中预设的URL库中的URL规则可以为配置了本发明提供的防止攻击URL规则库的功能的URL规则。
网络设备在接收到报文后,如果根据报文协议确定接收的报文是DNS查询报文,或者接收的报文是命中网络设备预设的URL库中的URL规则的报文,可以确定接收的报文满足预设条件。
步骤202,根据预设周期内的满足预设条件的报文确定异常行为参数状态;
本实施方式中,异常行为参数状态可以包括DNS查询状态、源IP地址状态、目的IP地址状态、报文头部长度状态、报文间隔状态中的至少一项。
各异常行为参数状态均可以包括第一状态以及第二状态,可以通过标记“Ture(是)”表征DNS查询状态为第一状态,通过标记“False(否)”表征DNS查询状态为第二状态。当确定异常行为参数状态为第一状态时,说明异常行为参数状态异常;然而,当异常行为参数状态为第二状态时,可以说明异常行为参数状态正常。当然,也可以通过其他标记来表征异常行为参数状态,例如“0”、“1”等,本发明对异常行为参数状态的标记不做限制。该异常行为参数状态的默认状态可以为标记“False”的第二状态。
本实施方式中,可以预先设置定时器,并为该定时器设置有预设周期,该预设周期可以根据实际情况而定,例如30s。当网络设备配置了本发明提供的防止攻击URL规则库的功能时,便可以启动定时器,并根据预设周期内接收的DNS查询报文以及命中预设URL库中URL规则的报文确定异常行为参数状态。
当某个主机首次访问一个网站时,通常需要通过DNS查询报文查询与该网站的域名对应的服务器IP地址,并且,当用户通过查询到的服务器IP地址访问该网站时,访问网站的报文则会命中预设的URL库中的URL规则,因此,域名查询次数与URL库中的URL规则命中次数存在一定的比例关系,例如,若两者相差太大则可能存在异常。基于此,在一实施方式中,如图3所示,当接收的报文为DNS查询报文时,异常行为参数状态中的DNS查询状态的确定方式可以包括以下步骤301-306:
步骤301,当所述报文为DNS查询报文时,获取所述DNS查询报文中携带的域名以及源IP地址;
步骤302,若判断查询域名集中不存在具有所述域名以及源IP地址对应关系的域名查询信息时,记录所述域名以及源IP地址对应关系;
步骤303,获取预设周期内,预设URL库中URL规则的命中次数;
步骤304,判断预先记录的查询域名集内在所述预设周期内记录的域名查询信息数量与所述命中次数的比值是否大于预设阈值预设周期;若所述比值大于所述预设阈值,执行步骤305;若所述比值小于或等于所述预设阈值,执行步骤306;
步骤305,确定所述DNS查询状态设置为第一状态;
步骤306,确定所述DNS查询状态设置为第二状态。
本实施方式中,当接收到命中预设URL库中URL规则的报文时,可以记录命中URL规则的报文所命中的URL规则的ID、命中URL规则的各的源IP地址、目的IP地址、报文头部长度以及命中URL规则的时间等。在上述步骤303中,在到达为定时器设置的预设周期时,计算预设周期内命中URL规则的次数。其中:当具有同一源IP地址的报文多次命中同一URL规则ID时,可以视为命中一次URL规则,例如,ID为100的URL规则仅被源IP地址为1.1.1.1的报文命中8次,可以视为该URL规则100被命中一次;例如,ID为200的URL规则被源IP地址为1.1.1.1的报文命中5次,又被源IP地址为2.2.2.2的报文命中3次,可以视为该URL规则200被命中两次。
同时,还要获取预设周期内,查询域名集中记录的具有域名以及源IP地址对应关系的域名查询信息数量。
在上述步骤304-305中,由于根据域名查询次数(即:域名查询信息数量)与URL库中的URL规则命中次数存在一定的比例关系,例如,通常为1:1的关系,因此可以根据测试结果或者经验值等预先设置一预设阈值,以判断DNS查询状态是否正常。假设,预设阈值为2,计算的预设周期内命中URL规则的次数为60,获取的第一时间内记录的域名查询信息数量为20,那么,命中URL规则的次数与域名查询信息数量的比值为:
即:该比值为3。由于计算出的比值3大于预设阈值2,因此,可以确定该DNS查询状态为第一状态,说明DNS查询状态异常。然而,当该DNS查询状态为第二状态时(计算出的比值小于或等于预设阈值时),可以说明DNS查询状态正常。
在另一示例实施方式中,在到达为定时器设置的预设周期时,可以获取预设周期内命中URL规则的各报文的源IP地址、目的IP地址、报文头部长度以及命中URL规则的时间预设周期等信息,并根据获取的信息确定各异常行为参数状态。
在一示例实施方式中,异常行为参数状态中的源IP地址状态的确定方式可以包括:
若预设周期内记录的命中URL规则的所有报文的源IP地址全部一致或者全部不一致,确定源IP地址状态为第一状态,否则,确定源IP地址状态为第二状态。
例如,在预设周期10s内记录的命中URL规则的所有报文的源IP地址均为1.1.1.1,或者所有报文的源IP地址无一相同,那么,将该报文的源IP地址状态标记为“Ture”,确定该报文的源IP地址状态为第一状态;若在预设周期10s内记录的命中URL规则的所有报文的源IP地址中有任意一个或多个与其他的源IP地址不一致,则将该报文的源IP地址状态标记为“False”,确定该报文的源IP地址状态为第二状态。
在一示例实施方式中,异常行为参数状态中的目的IP地址状态的确定方式可以包括:
若预设周期内记录的命中所述URL规则的所有报文的目的IP地址一致,确定所述目的IP地址状态为第一状态,否则,确定所述目的IP地址状态设为第二状态。
例如,在预设周期10s内记录的命中URL规则的所有报文的目的IP地址均为1.1.1.1,或者所有报文的目的IP地址无一相同,那么,将该报文的目的IP地址状态标记为“Ture”,确定该报文的目的IP地址状态为第一状态;若在预设周期10s内记录的命中URL规则的所有报文的目的IP地址中有任意一个或多个与其他的目的IP地址不一致,则将该报文的目的IP地址状态标记为“False”,确定该报文的目的IP地址状态为第二状态。
在一示例实施方式中,异常行为参数状态中的报文头部长度状态的确定方式可以包括:
确定预设周期内记录的命中所述URL规则的所有报文的报文头部长度的平均长度,若每个报文的报文头部长度与所述平均长度的差值均小于预设长度,确定所述报文头部长度状态为第一状态,若任意报文的报文头部长度与所述平均长度的差值大于或等于所述预设长度,确定所述报文头部长度状态为第二状态。
例如,计算出在预设周期10s内记录的命中URL规则的所有报文的报文头部长度的平均值为Length2,如果每个报文头部长度Length1与平均值Length2的差值均不超过预设长度Length*X,即:(Length1-Length2)<Length*X,说明每个报文的报文头部长度都比较接近,可以将报文头部长度状态标记为“Ture”,确定该报文的报文头部长度状态为第一状态;如果每个报文头部长度Length1与平均值Length2的差值均大于或等于预设长度Length*X,则将该报文的报文头部长度状态标记为“False”,确定该报文的报文头部长度状态为第二状态。
假设,预设长度为5,在预设周期10s内记录的命中URL规则的所有报文的报文头部长度分别为20、22、25、18,计算报文头部长度平均值为21.25,那么,经过对比后得知各个报文的报文头部长度20、22、25、18与报文头部长度平均值为21.25的差值均小于预设长度5,说明每个报文的报文头部长度都比较接近,可以将报文头部长度状态标记为“Ture”,确定该报文的报文头部长度状态为第一状态。
在一示例实施方式中,异常行为参数状态中的报文间隔状态的确定方式可以包括:
若(M-N)/(M+N)<K,确定所述报文间隔状态为第一状态,若(M-N)/(M+N)≥K,确定所述报文间隔状态为第二状态,其中:K为预设间隔时间,M为所述预设周期的第一时段内记录的报文数量,N为所述预设周期的第二时段内记录的报文数量。
例如,将预设周期10s划分两个时段,分别是第一时段5s以及第二时段5s,预设间隔时间为K,第一时段5s内记录的报文数量为M,第二时段5s内记录的报文数量为N。
如果(M-N)/(M+N)<K,则说明第一时段5s内记录的报文数量M和第二时段5s内记录的报文数量N非常接近,可以将报文间隔状态标记为“Ture”,确定报文间隔状态为第一状态;如果(M-N)/(M+N)≥K,可以将报文间隔状态标记为“False”,确定报文间隔状态为第二状态。
步骤203,根据所述异常行为参数状态计算异常行为值,所述异常行为值用于表征所述网络设备的异常程度;
该异常行为值用于表征网络设备的异常程度,例如,异常行为值越大表示网络设备的URL库遭受攻击的可能性越大。
本实施方式中,可以预先为各项异常行为参数状态的不同状态设置对应的状态值,例如,当异常行为参数状态为第一状态时,该状态值可以设置为“1”,当异常行为参数状态为第二状态时,该对应的状态值可以设置为“0”。并且,还可以分别为各项异常行为参数状态设置相应的权重值。
本实施方式中,为使对报文的异常行为值的计算更加精准,可以对全部异常行为参数状态的状态值以及权重值进行计算异常行为值。当然,也可以根据需要对以上各异常行为参数状态中的部分异常行为参数状态的状态值以及权重值进行计算获取异常行为值,本发明对此并无限制。
在计算异常行为值时,可以根据以下计算公式进行计算:
Abnorma=Score1+Score2…+ScoreN
其中,Abnorma为计算得出的异常行为值,Score为根据某个异常行为参数状态当前的状态值以及权重值Weight计算出的异常行为参数状态得分,即:Score=状态值×Weight。
在一个例子中,假设为各项异常行为参数状态的第一状态设置对应的状态值为“1”,为第二状态设置的对应状态值为“0”,其中,DNS查询状态为第一状态(状态值为1)、源IP地址状态为第一状态(状态值为1)、目的IP地址状态为第一状态(状态值为1)、报文头部长度状态为第二状态(状态值为0)、报文间隔状态为第一状态(状态值为1),分别为各异常行为参数状态设置的权重值如表1所示:
| 异常行为参数状态 | 权重值 |
| DNS查询状态 | 1 |
| 源IP地址状态 | 2 |
| 目的IP地址状态 | 3 |
| 报文头部长度状态 | 4 |
| 报文间隔状态 | 5 |
表1
表1示出为各异常行为参数状态设置的权重值的对应表项,仅是为进一步理解本发明的示例,并不用于限制本发明实施例中该表项的具体内容。
那么,根据上述计算方式计算的异常行为值为:
1×1+1×2+1×3+0×4+1×5=11
在实际应用中,当URL库遭受攻击时,还可能会影响到网络设备的配置状态以及运行状态。因此,本实施方式中,还可以通过确定网络设备的配置状态以及运行状态并结合上述DNS查询状态、源IP地址状态、目的IP地址状态、报文头部长度状态、报文间隔状态判断网络设备的异常程度。
其中,网络设备的配置状态的确定方式可以包括:
在更改所述网络设备的配置文件时,检测是否出现异常信息,若是,确定所述设备的配置状态为第一状态,否则,确定所述设备的配置状态为第二状态。
由于网络设备每次在更改自身配置文件时,均会对修改后的配置文件进行检查,如果在更改自身配置文件后出现异常信息,例如“测试test”,或者是其他生产制造此类网络设备的厂商名字时,可以认为当前的更改配置文件的事件为异常配置,说明该网络设备的配置状态因接收的异常报文而异常,可以将网络设备的配置状态标记为“Ture”,确定该网络设备的配置状态为第一状态;如果在更改自身配置文件后未出现异常信息,则将网络设备的配置状态标记为“False”,确定网络设备的配置状态为第二状态。
网络设备的运行状态的确定方式可以包括:
判断所述网络设备的开机运行时间是否小于预设运行时间,若是,确定所述网络设备的运行状态为第一状态,否则,确定所述网络设备的运行状态为第二状态。
由于URL库遭受攻击的网络设备一般情况下会经常重启,而正常环境中的网络设备为保障生产则很少重启。因此,本实施方式可以预先设置预设运行时间,在确定网络设备的运行状态时,可以获取网络设备的开机运行时间,若开机运行时间不足一小时可以按一小时计算,并将网络设备的开机运行时间与预设运行时间进行比对,如果网络设备的开机运行时间小于预设运行时间,将网络设备的运行状态标记为“Ture”,说明该网络设备的运行状态因接收的异常报文而异常,确定该网络设备的运行状态为第一状态;如果网络设备的开机运行时间大于或等于预设运行时间,则将网络设备的运行状态标记为“False”,确定网络设备的运行状态为第二状态。
其中,网络设备的配置状态的异常行为参数状态得分可以根据上述“状态值×Weight”得到。而运行状态的异常行为参数状态得分并不是根据上述“状态值×Weight”得到,而是参考以下计算方式:
其中,Z为网络设备已开机时间的立方根。
本实施方式中,为使对报文的异常行为值的计算更加精准,还可以将各项异常行为参数状态(全部或部分)的异常行为参数状态得分结合网络设备的配置状态的异常行为参数状态得分以及运行状态的异常行为参数状态得分计算异常行为值。
例如,获得的网络设备开机运行时间为26小时(大于预设运行时间)、配置状态为第一状态(状态值为1),分别为运行状态与配置状态设置的权重值如表2所示:
| 异常行为参数状态 | 权重值 |
| 运行状态 | 6 |
| 配置状态 | 7 |
表2
那么,根据上述计算方式,将全部异常行为参数状态的异常行为参数状态得分结合网络设备的配置状态的异常行为参数状态得分以及运行状态的异常行为参数状态得分计算的异常行为值为:
步骤204,当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。
本实施方式中,还预先设置有用于判断接收的报文是否异常的预设阈值,该预设阈值可以根据实际情况而定,本发明对该预设阈值没有具体限制。
在根据步骤203中的计算方法得出异常行为值后,可以将得出的异常行为值与预设阈值进行对比,进而判断是否有通过发送异常报文的方式非法爆破URL库的行为。
当异常行为值大于预设阈值时,确定接收的报文为异常报文,说明有通过发送异常报文的方式非法爆破URL库的行为;当异常行为值大于预设阈值时,确定接收的报文为正常报文,可以说明URL库当前安全。
本实施方式中还设置有预设关闭时间,该预设关闭时间为在确定接收的报文为异常报文时强制关闭URL检测模块的时间。
为防止网络设备上加载的URL库在未经授权的情况下被非法获取,在确定接收的报文为异常报文时,网络设备可以强制关闭网络设备的URL检测功能,例如,该预设关闭时间为Y小时,那么强制关闭网络设备的URL检测功能时间则为Y小时,并将该关闭URL检测功能的事件记录到设备文件中,即使在Y小时内重启网络设备也无法开启URL检测功能,直到Y小时后,网络设备的URL检测功能才能开启,进而在根据接收的异常报文识别到有非法用户爆破URL库的行为后,做好URL库爆破预防工作,避免URL库内容泄漏。
本发明提供的防止攻击URL规则库的方法在通过根据预设周期内接收的满足预设条件的报文确定异常行为参数状态,根据异常行为参数状态计算异常行为值,并在确定异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。由此可见,本发明可以通过接收的异常报文来识别是否非法用户爆破URL库的行为并在识别出爆破URL库的异常行为后,通过关闭网络设备的URL检测功能以避免URL库内容泄漏,进而保护网络设备厂商的知识产权。
本发明还提供一种防止攻击URL规则库的装置,图4该防止攻击URL规则库的装置的结构示意图,该装置可以应用于网络设备,该防止攻击URL规则库的装置可以包括第一确定单元401、第二确定单元402、计算单元403以及关闭单元404:
第一确定单元401,用于确定接收的报文中满足预设条件的报文,所述满足预设条件的报文为域名系统DNS查询报文,或者,命中预设统一资源定位器URL库中URL规则的报文;
第二确定单元402,用于根据预设周期内的满足预设条件的报文确定异常行为参数状态;
计算单元403,用于根据所述异常行为参数状态计算异常行为值,所述异常行为值用于表征所述网络设备的异常程度;
关闭单元404,用于当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。
请参考图5,该防止攻击URL规则库的装置在图4示出的各单元基础上,进一步地还可以包括:
获取单元405,用于当所述接收的报文为DNS查询报文时,获取所述DNS查询报文中携带的域名以及源IP地址;
记录单元406,用于当判断查询域名集中不存在具有所述域名以及源IP地址对应关系的域名查询信息时,记录所述域名以及源IP地址对应关系;
所述异常行为参数状态包括DNS查询状态,所述第二确定单元402,还可以用于:
获取所述预设周期内,预设URL库中URL规则的命中次数;
判断预先记录的查询域名集内在所述预设周期内记录的域名查询信息数量与所述命中次数的比值是否大于预设阈值;
若所述比值大于所述预设阈值,确定所述DNS查询状态为第一状态,若所述比值小于或等于所述预设阈值,确定所述DNS查询状态为第二状态。
进一步地,所述异常行为参数状态包括源IP地址状态、目的IP地址状态、报文头部长度状态以及报文间隔状态中的至少一项;
所述第二确定单元402,还可以用于:
获取所述预设周期内记录的命中URL规则的报文的源IP地址、目的IP地址、报文头部长度以及命中所述URL规则的时间;
若所述预设周期内记录的命中URL规则的所有报文的源IP地址全部一致或者全部不一致,确定所述源IP地址状态为第一状态,否则,所述源IP地址状态为第二状态;
若所述预设周期内记录的命中URL规则的所有报文的目的IP地址全部一致或者全部不一致,确定所述目的IP地址状态为第一状态,否则,所述目的IP地址状态设为第二状态;
确定所述预设周期内记录的命中URL规则的所有报文的报文头部长度的平均长度,若每个报文的报文头部长度与所述平均长度的差值均小于预设长度,确定所述报文头部长度状态为第一状态,若任意报文的报文头部长度与所述平均长度的差值大于或等于所述预设长度,确定所述报文头部长度状态为第二状态;
若(M-N)/(M+N)<K,确定所述报文间隔状态为第一状态,若(M-N)/(M+N)≥K,确定所述报文间隔状态为第二状态,其中:K为预设间隔时间,M为所述预设周期的第一时段内记录的报文数量,N为所述预设周期的第二时段内记录的报文数量。
进一步地,所述装置还可以包括:
第三确定单元407,用于在更改所述网络设备的配置文件时,检测是否出现异常信息,若是,确定所述网络设备的配置状态为第一状态,否则,确定所述设备的配置状态为第二状态;
第四确定单元408,用于判断所述网络设备的开机运行时间是否小于预设运行时间,若是,确定所述网络设备的运行状态为第一状态,否则,确定所述网络设备的运行状态为第二状态;
所述计算单元403,还可以用于:
根据所述异常行为参数状态、所述配置状态及所述运行状态计算异常行为值。进一步地,所述计算单元还可以403用于:
根据预先为所述异常行为参数状态设置的状态值,以及为所述异常行为参数状态预设的权重值计算出所述异常行为值。
本发明应用于网络设备的防止攻击URL规则库的装置在具体的处理流程中可以与上述防止攻击URL规则库的方法的处理流程一致,在此不再赘述。
上述装置可以通过软件实现,也可以通过硬件实现,本发明防止攻击URL规则库的装置所在网络设备的硬件架构示意图均可参考图6示,其基本硬件环境包括中央处理器CPU601、转发芯片602、存储器603以及其他硬件604,其中存储器603中包括机器可读指令,CPU601读取并执行机器可读指令执行图4、5中各单元的功能。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种防止攻击统一资源定位器URL规则库的方法,应用于网络设备,其特征在于,所述方法包括:
确定接收的报文中满足预设条件的报文,所述满足预设条件的报文为域名系统DNS查询报文,或者,命中预设统一资源定位器URL库中URL规则的报文;
根据预设周期内的满足预设条件的报文确定异常行为参数状态;其中,当预设周期内的满足预设条件的报文为DNS查询报文时,所述异常行为参数状态包括DNS查询状态,所述根据所述预设周期内的满足预设条件的报文确定异常行为参数状态,包括:获取所述预设周期内,预设URL库中URL规则的命中次数;判断预先记录的查询域名集内在所述预设周期内记录的域名查询信息数量与所述命中次数的比值是否大于预设阈值;若所述比值大于所述预设阈值,确定所述DNS查询状态为第一状态,若所述比值小于或等于所述预设阈值,确定所述DNS查询状态为第二状态;
根据所述异常行为参数状态计算异常行为值,所述异常行为值用于表征所述网络设备的URL库遭受攻击的异常程度;
当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述接收的报文为DNS查询报文时,获取所述DNS查询报文中携带的域名以及源IP地址;
若判断查询域名集中不存在具有所述域名以及源IP地址对应关系的域名查询信息时,记录所述域名以及源IP地址对应关系。
3.根据权利要求1或2所述的方法,其特征在于,所述异常行为参数状态包括源IP地址状态、目的IP地址状态、报文头部长度状态以及报文间隔状态中的至少一项;
所述根据所述预设周期内的满足预设条件的报文确定报文行为参数状态,包括:
获取所述预设周期内记录的命中URL规则的报文的源IP地址、目的IP地址、报文头部长度以及命中所述URL规则的时间;
若所述预设周期内记录的命中URL规则的所有报文的源IP地址全部一致或者全部不一致,确定所述源IP地址状态为第一状态,否则,所述源IP地址状态为第二状态;
若所述预设周期内记录的命中URL规则的所有报文的目的IP地址全部一致或者全部不一致,确定所述目的IP地址状态为第一状态,否则,所述目的IP地址状态设为第二状态;
确定所述预设周期内记录的命中URL规则的所有报文的报文头部长度的平均长度,若每个报文的报文头部长度与所述平均长度的差值均小于预设长度,确定所述报文头部长度状态为第一状态,若任意报文的报文头部长度与所述平均长度的差值大于或等于所述预设长度,确定所述报文头部长度状态为第二状态;
若(M-N)/(M+N)<K,确定所述报文间隔状态为第一状态,若(M-N)/(M+N)≥K,确定所述报文间隔状态为第二状态,其中:K为预设间隔时间,M为所述预设周期的第一时段内记录的报文数量,N为所述预设周期的第二时段内记录的报文数量。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在更改所述网络设备的配置文件时,检测是否出现异常信息,若是,确定所述网络设备的配置状态为第一状态,否则,确定所述设备的配置状态为第二状态;
判断所述网络设备的开机运行时间是否小于预设运行时间,若是,确定所述网络设备的运行状态为第一状态,否则,确定所述网络设备的运行状态为第二状态;
根据所述异常行为参数状态计算异常行为值,包括:
根据所述异常行为参数状态、所述配置状态及所述运行状态计算异常行为值。
5.根据权利要求1所述的方法,其特征在于,所述根据所述异常行为参数状态计算所述报文的异常行为值,包括:
根据预先为所述异常行为参数状态设置的状态值,以及为所述异常行为参数状态预设的权重值计算出所述异常行为值。
6.一种防止攻击URL规则库的装置,应用于网络设备,其特征在于,所述装置包括:
第一确定单元,用于确定接收的报文中满足预设条件的报文,所述满足预设条件的报文为域名系统DNS查询报文,或者,命中预设统一资源定位器URL库中URL规则的报文;
第二确定单元,用于根据预设周期内的满足预设条件的报文确定异常行为参数状态;其中,当预设周期内的满足预设条件的报文为DNS查询报文时,所述异常行为参数状态包括DNS查询状态,所述第二确定单元用于获取所述预设周期内,预设URL库中URL规则的命中次数;判断预先记录的查询域名集内在所述预设周期内记录的域名查询信息数量与所述命中次数的比值是否大于预设阈值;若所述比值大于所述预设阈值,确定所述DNS查询状态为第一状态,若所述比值小于或等于所述预设阈值,确定所述DNS查询状态为第二状态;
计算单元,用于根据所述异常行为参数状态计算异常行为值,所述异常行为值用于表征所述网络设备的URL库遭受攻击的异常程度;
关闭单元,用于当所述异常行为值大于预设阈值时,关闭所述网络设备的URL检测功能。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
获取单元,用于当所述接收的报文为DNS查询报文时,获取所述DNS查询报文中携带的域名以及源IP地址;
记录单元,用于当判断查询域名集中不存在具有所述域名以及源IP地址对应关系的域名查询信息时,记录所述域名以及源IP地址对应关系。
8.根据权利要求6或7所述的装置,其特征在于,所述异常行为参数状态包括源IP地址状态、目的IP地址状态、报文头部长度状态以及报文间隔状态中的至少一项;
所述第二确定单元,用于:
获取所述预设周期内记录的命中URL规则的报文的源IP地址、目的IP地址、报文头部长度以及命中所述URL规则的时间;
若所述预设周期内记录的命中URL规则的所有报文的源IP地址全部一致或者全部不一致,确定所述源IP地址状态为第一状态,否则,所述源IP地址状态为第二状态;
若所述预设周期内记录的命中URL规则的所有报文的目的IP地址全部一致或者全部不一致,确定所述目的IP地址状态为第一状态,否则,所述目的IP地址状态设为第二状态;
确定所述预设周期内记录的命中URL规则的所有报文的报文头部长度的平均长度,若每个报文的报文头部长度与所述平均长度的差值均小于预设长度,确定所述报文头部长度状态为第一状态,若任意报文的报文头部长度与所述平均长度的差值大于或等于所述预设长度,确定所述报文头部长度状态为第二状态;
若(M-N)/(M+N)<K,确定所述报文间隔状态为第一状态,若(M-N)/(M+N)≥K,确定所述报文间隔状态为第二状态,其中:K为预设间隔时间,M为所述预设周期的第一时段内记录的报文数量,N为所述预设周期的第二时段内记录的报文数量。
9.根据权利要求8任意一项所述的装置,其特征在于,所述装置还包括:
第三确定单元,用于在更改所述网络设备的配置文件时,检测是否出现异常信息,若是,确定所述网络设备的配置状态为第一状态,否则,确定所述设备的配置状态为第二状态;
第四确定单元,用于判断所述网络设备的开机运行时间是否小于预设运行时间,若是,确定所述网络设备的运行状态为第一状态,否则,确定所述网络设备的运行状态为第二状态;
所述计算单元,用于:
根据所述异常行为参数状态、所述配置状态及所述运行状态计算异常行为值。
10.根据权利要求6所述的装置,其特征在于,所述计算单元,用于:
根据预先为所述异常行为参数状态设置的状态值,以及为所述异常行为参数状态预设的权重值计算出所述异常行为值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610555777.3A CN106230775B (zh) | 2016-07-13 | 2016-07-13 | 防止攻击url规则库的方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610555777.3A CN106230775B (zh) | 2016-07-13 | 2016-07-13 | 防止攻击url规则库的方法以及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106230775A CN106230775A (zh) | 2016-12-14 |
| CN106230775B true CN106230775B (zh) | 2020-01-03 |
Family
ID=57520049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610555777.3A Active CN106230775B (zh) | 2016-07-13 | 2016-07-13 | 防止攻击url规则库的方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106230775B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181758A (zh) * | 2017-06-30 | 2017-09-19 | 微梦创科网络科技(中国)有限公司 | 识别黑客行为的方法及系统 |
| CN108021486B (zh) * | 2017-11-21 | 2019-07-16 | 平安科技(深圳)有限公司 | 电子装置、征信数据处理的方法及存储介质 |
| CN111314370B (zh) * | 2020-02-28 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种业务漏洞攻击行为的检测方法及装置 |
| CN111901314A (zh) * | 2020-07-13 | 2020-11-06 | 珠海格力电器股份有限公司 | 一种智能家居系统入侵防御方法、装置、存储介质及终端 |
| CN115348234B (zh) * | 2022-08-10 | 2023-11-03 | 山石网科通信技术股份有限公司 | 服务器检测方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350822B (zh) * | 2008-09-08 | 2011-06-15 | 南开大学 | 一种Internet恶意代码的发现和追踪方法 |
| CN101702660B (zh) * | 2009-11-12 | 2011-12-14 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN103259790A (zh) * | 2013-04-28 | 2013-08-21 | 深圳市深信服电子科技有限公司 | 网络安全的防护方法及装置 |
| EP2869508A1 (en) * | 2012-06-30 | 2015-05-06 | Huawei Technologies Co., Ltd. | Method for receiving message, and deep packet inspection device and system |
-
2016
- 2016-07-13 CN CN201610555777.3A patent/CN106230775B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350822B (zh) * | 2008-09-08 | 2011-06-15 | 南开大学 | 一种Internet恶意代码的发现和追踪方法 |
| CN101702660B (zh) * | 2009-11-12 | 2011-12-14 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| EP2869508A1 (en) * | 2012-06-30 | 2015-05-06 | Huawei Technologies Co., Ltd. | Method for receiving message, and deep packet inspection device and system |
| CN103259790A (zh) * | 2013-04-28 | 2013-08-21 | 深圳市深信服电子科技有限公司 | 网络安全的防护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106230775A (zh) | 2016-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106230775B (zh) | 防止攻击url规则库的方法以及装置 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| US7440406B2 (en) | Apparatus for displaying network status | |
| US20170272454A1 (en) | System and method for detecting malicious code using visualization | |
| CN110765374B (zh) | 风险链接识别方法、装置及计算机设备 | |
| CN111737081B (zh) | 云服务器监控方法、装置、设备及存储介质 | |
| EP3314500A1 (en) | Systems and methods for categorization of web assets | |
| CN109451091B (zh) | 防护方法及代理设备 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN104901975A (zh) | 网站日志安全分析方法、装置及网关 | |
| CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
| US10965697B2 (en) | Indicating malware generated domain names using digits | |
| CN110941825B (zh) | 一种应用监控方法及装置 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN105791250A (zh) | 应用程序检测方法及装置 | |
| CN111970262B (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
| WO2024036822A1 (zh) | 一种恶意域名确定方法、装置、设备及介质 | |
| CN113765914B (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
| US20100138917A1 (en) | Refresh mechanism for rate-based statistics | |
| CN111147491B (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
| CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 | |
| CN112153011A (zh) | 一种机器扫描的检测方法、装置、电子设备和存储介质 | |
| CN108200076B (zh) | Host头域伪造攻击的防护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |