CN107104929B - 防御网络攻击的方法、装置和系统 - Google Patents
防御网络攻击的方法、装置和系统 Download PDFInfo
- Publication number
- CN107104929B CN107104929B CN201610100001.2A CN201610100001A CN107104929B CN 107104929 B CN107104929 B CN 107104929B CN 201610100001 A CN201610100001 A CN 201610100001A CN 107104929 B CN107104929 B CN 107104929B
- Authority
- CN
- China
- Prior art keywords
- data packet
- access data
- security
- access
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防御网络攻击的方法、装置和系统。其中,该方法包括:安全服务器接收到访问数据包之后,将访问数据包进行安全处理,其中,安全服务器与客户端具有通信关系,获取客户端发起的访问数据包;安全服务器将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本发明解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
Description
技术领域
本发明涉及互联网安全领域,具体而言,涉及一种防御网络攻击的方法、装置和系统。
背景技术
CC攻击(挑战黑洞,Challenge Collapsar的简写)目前已发展成为网络安全领域中的一种常见攻击方式,攻击者主要通过控制大量僵尸主机向被攻击服务器发送大量请求来耗尽服务器资源;主要攻击方式有两种,即HTTP Get Flood(超文本传输协议泛洪)攻击和链接耗尽型攻击。例如,如图1所示,攻击者通过控制主机下发控制指令给傀儡机向目标主机发起大量HTTP请求或TCP连接,导致目标主机进行大量计算或占用大量系统资源,从而导致目标主机拒绝所有用户的服务请求。
目前,常见的CC攻击防护依赖清洗设备或防火墙,通过对访问服务器的单个IP连接数(或HTTP头中URL请求、请求参数、cookies等)统计进行访问限制;同时当前有些专利提出使用在用户客户端使用SDK进行安全加密的方式来区分正常流量和攻击流量。清洗设备和防火墙的防御方式只需要部署在服务提供侧,部署简单,但是只能通过各种访问连接控制来限制,无法区分正常用户流量和攻击流量,容易造成误杀,影响攻击时访问体验。
针对在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种防御网络攻击的方法、装置和系统,以至少解决在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
根据本发明实施例的一个方面,提供了一种防御网络攻击的方法,包括:安全服务器接收到访问数据包之后,将访问数据包进行安全处理,其中,安全服务器与客户端具有通信关系,获取客户端发起的访问数据包;安全服务器将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
根据本发明实施例的另一方面,还提供了一种防御网络攻击的方法,包括:安全网关获取到安全服务器进行安全处理后的访问数据包;安全网关解析安全处理后的访问数据包;如果安全网关成功解析安全处理后的访问数据包,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包;其中,由安全服务器接收客户端发起的访问数据包,在将访问数据包进行安全处理之后,将安全处理后的访问数据包发送至对应的安全网关;其中,安全服务器与客户端具有通信关系。
根据本发明实施例的另一方面,还提供了一种防御网络攻击的系统,包括:客户端,用于发送访问数据包;安全服务器,与客户端具有通信关系,用于将接收到的访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关;安全网关,用于解析安全处理后的访问数据包,如果解析成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
根据本发明实施例的另一方面,还提供了一种防御网络攻击的装置,包括:处理模块,用于接收到访问数据包之后,将访问数据包进行安全处理,其中,访问数据包为与安全服务器具有通信关系的客户端发起的数据报文;发送模块,用于将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
根据本发明实施例的另一方面,还提供了一种防御网络攻击的装置,包括:获取模块,用于获取到安全服务器进行安全处理后的访问数据包;解析模块,用于解析安全处理后的访问数据包;发送模块,用于如果成功解析安全处理后的访问数据包,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包;其中,由安全服务器接收客户端发起的访问数据包,在将访问数据包进行安全处理之后,将安全处理后的访问数据包发送至对应的安全网关;其中,安全服务器与客户端具有通信关系。
在本发明实施例中,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本发明实施例提供的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种防御网络攻击的系统的示意图;
图2是根据本申请实施例的一种防御网络攻击的方法的计算机终端的硬件结构框图;
图3是根据本申请实施例一的一种防御网络攻击的方法的流程图;
图4是根据本申请实施例的一种UDP报文的示意图;
图5是根据本申请实施例一的一种可选的防御网络攻击的方法的流程图;
图6是根据本申请实施例二的一种防御网络攻击的方法的流程图;
图7是根据本申请实施例三的一种防御网络攻击的装置的示意图;
图8是根据本申请实施例四的一种防御网络攻击的装置的示意图;
图9是根据本申请实施例五的一种防御网络攻击的系统的示意图;
图10是根据本申请实施例五的一种可选的防御网络攻击的系统的示意图;
图11是根据本申请实施例五的一种可选的防御网络攻击的系统的示意图;以及
图12是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
CC攻击:Challenge Collapsar(挑战黑洞),其前身名为Fatboy攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的。
路由器:互联网络中必不可少的网络设备之一,路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。一般具有两大典型功能,即数据通道功能和控制功能。
傀儡机:是指可以被黑客远程控制的机器。它们被黑客攻破或用户自己不小心,种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作DDOS攻击。可以是各种系统,如windows、linux、unix等,更可以是一家公司、企业、学校。
加密:是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。
隧道:(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
实施例1
根据本申请实施例,还提供了一种防御网络攻击的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图2是根据本申请实施例的一种防御网络攻击的方法的计算机终端的硬件结构框图。如图2所示,计算机终端20可以包括一个或多个(图中仅示出一个)处理器202(处理器202可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器204、以及用于通信功能的传输模块206。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端20还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器204可用于存储应用软件的软件程序以及模块,如本申请实施例中的防御网络攻击的方法对应的程序指令/模块,处理器202通过运行存储在存储器204内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的防御网络攻击的方法。存储器204可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器204可进一步包括相对于处理器202远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端20。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端20的通信供应商提供的无线网络。在一个实例中,传输装置206包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置206可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图3所示的防御网络攻击的方法。图3是根据本申请实施例一的一种防御网络攻击的方法的流程图,如图3所示,上述方法可以包括如下步骤:
步骤S31,安全服务器接收到访问数据包之后,将访问数据包进行安全处理,其中,安全服务器与客户端具有通信关系,获取客户端发起的访问数据包。
可选地,上述安全服务器可以是具有安全加密功能的智能路由器设备,该设备可以对接收到的访问数据包进行报文加密,实现将访问数据包进行安全处理的目的,上述访问数据包可以是访问对应服务生成的报文,上述客户端可以是计算机终端,也可以是智能手机(如Android手机、IOS手机等)、平板电脑、掌上电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备,上述安全服务器和上述客户端也通过有线网络,无线网络,移动通信网络等网络进行通讯,本申请中不做具体限定。
步骤S33,安全服务器将安全处理后的访问数据包发送至对应的安全网关。
其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
可选地,上述安全网关可以是隧道网关,可以将不同协议的访问数据包进行重新封装,得的满足接收协议要求的访问数据包。
此处需要说明的是,在攻击者发起CC攻击时,因其控制的傀儡机发送的访问数据包未通过安全服务器进行安全处理,从而安全网关在接收到攻击者发送的访问数据包之后被直接丢弃,无法到达目标主机。
在一种可选的方案中,客户端可以通过网络将访问数据包发送至安全服务器,该安全服务器在接收到客户端发送的访问数据包之后,可以对访问数据包进行安全处理,将加密后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后可以,对访问数据包进行解析,如果解析成功,则确定该访问数据包为正常用户发送,将解析得到的访问数据包重新封装,并将封装后的访问数据包发送至目标主机;如果解析失败,则确定该访问数据包为攻击者发送,则直接将该访问数据包丢弃,不进行任何处理。
例如,以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器为例,对本申请上述实施例进行详细说明。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,将该报文进行安全处理,将安全处理后的报文发送给对应的隧道网关,隧道网关在接收到报文之后,对报文进行解析,如果可以解析成功,则将报文转发到后端服务器上;如果解析失败,则直接将报文丢弃。
本申请上述实施例一公开的方案中,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本申请提供的上述实施例一的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
在本申请上述实施例中,在步骤S31,将访问数据包进行安全处理之前,上述方法还可以包括如下步骤:
步骤S301,安全服务器接收配置信息,其中,配置信息包括如下任意一个或多个预设的数据:IP地址、域名和访问端口。
步骤S303,安全服务器访问对应的调度中心服务器,并从调度中心服务器获取到与配置信息对应的安全信息,安全信息至少包括:加密指令和安全网关的网关地址。
可选地,上述安全网关的网关地址可以是IP地址,MAC地址等网关地址,但不仅限于此,其他用于唯一标识安全网关的地址信息。
在一种可选的方案中,用户可以在安全服务器上配置访问客户端的IP地址或者域名,以及对应端口。安全服务器在接收到客户端发送的访问数据包之后,访问调取中心服务器,获取调度中心服务器返回的加密指令和安全网络的IP地址。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP和加密指令。
在本申请上述实施例中,步骤S31,将访问数据包进行安全处理可以包括如下步骤:
步骤S311,安全服务器使用加密指令对访问数据包进行加密,并对访问数据包或加密后的访问数据包进行封装,得到封装报文。
可选地,上述封装报文可以是使用UDP封装方法的UDP报文,但不仅限于此,其他封装方法也可以实现本实施例的目的。
在一种可选的方案中,安全服务器可以在获取到调度中心服务器返回的加密指令之后,使用该加密指令对用户发送的报文进行加密,并将正常报文和加密后的报文进行封装,得到UDP报文,如图4所示,UDP报文中包括如下字段:发送报文的源端口字段,接收报文的目的端口字段,长度字段,校验和字段,加密数据字段和正常报文数据字段。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP和加密指令。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,对报文进行加密和封装处理,得到UDP报文。
在本申请上述实施例中,安全信息还包括:随机数组,其中,步骤S311,安全服务器使用加密指令对访问数据包进行加密可以包括如下步骤:
步骤S3112,对访问数据包进行MD5加密,并将随机数组和MD5加密后的访问数据包进行异或计算,通过将异或的计算结果填充至访问数据包的加密字段中得到加密后的访问数据包。
在一种可选的方案中,调度中心服务器可以每隔一段时间随机生成一段用于加密的随机数组(即随机生成的数组),在接收智能路由器访问调度中心服务器时返回该随机数组。安全服务器在接收到调度中心发送的随机数组(例如,0xaabbccdd)之后,将用户发送的报文进行MD5哈希算法,得到哈希MD5值,将该MD5值与随机数组进行异或得到一个数值,即加密数据,并将该加密数据填充至UDP报文的加密数据字段中。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP,加密指令和数组。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,对报文进行计算得到MD5值,将该MD5值和数组进行异或得到加密数据,并填充至加密数据字段,对报文进行UDP封装,得到UDP报文。
在本申请上述实施例中,在步骤S311,使用加密指令对访问数据包进行加密,并对访问数据包或加密后的访问数据包进行封装之前,上述方法还可以包括如下步骤:
步骤S310,安全服务器判断访问数据包中携带的访问地址和端口是否与配置信息匹配成功;其中,如果匹配成功,则确定访问数据包中携带的访问地址和端口为配置的保护地址,则对访问数据包执行安全处理,否则,将访问数据包直接发送至安全网关。
在一种可选的方案中,安全服务器可以在接收到访问数据包之后,判断访问数据包中携带的访问地址、域名或者访问端口是否与配置信息匹配成功,即检测当前配置信息中预先设置的数据中是否包含了当前发起所述访问数据包的客户端的IP地址和/或端口,如果匹配成功,即如果在配置信息中包含了上述客户端的IP地址和/或端口,则确定该访问数据包由正常用户发送,安全服务器对该访问数据包进行安全处理;如果匹配失败,则确定该访问数据包由攻击者发送,安全服务器不对该访问数据包进行安全处理,直接发送至安全网关。此处需要说明的是,上述IP地址还可以是域名。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP,加密指令和数组。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,判断访问地址和端口是否为配置的保护地址,如果不是,则直接发送报文至服务器;如果是则对报文进行计算得到MD5值,将该MD5值和数组进行异或得到加密数据,并填充至加密数据字段,对报文进行UDP封装,得到UDP报文,并将UDP报文发送至服务器。
在本申请上述实施例中,步骤S33,安全服务器将安全处理后的访问数据包发送至对应的安全网关之后,安全网关解析安全处理后的访问数据包,其中,步骤S33,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包,可以包括如下步骤:
步骤S331,如果封装报文的报文格式与预定的报文格式不匹配,则丢弃封装报文。
可选地,上述预定的报文格式可以与安全服务器的封装格式相同,均为UDP报文格式。
在一种可选的方案中,安全网关可以在接收到封装报文之后,判断该封装报文的报文格式是否与UDP报文格式相同,如果该封装报文的报文格式与UDP报文格式不同,则确定该封装报文由攻击者发送,直接丢弃。
步骤S333,如果封装报文的报文格式与预定的报文格式匹配,则安全网关对访问数据包或加密后的访问数据包进行解封装处理,并对解封装处理后得到的报文进行指令解密,其中,如果解密成功,则将解密得到的访问数据包转发至目标主机,如果解密失败,则丢弃解密得到的访问数据包。
在一种可选的方案中,如果安全网关确定该封装报文的报文格式与UDP报文格式相同,则可以将该封装报文进行解封装处理,并在解封装之后进行指令解密处理,如果解密错误,则确定该封装报文由攻击者发送,直接丢弃。如果解密成功,则可以将该报文转发至目标主机。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。隧道网关接收到3个封装报文,分别为报文1、报文2和报文3,首先判断3个报文的报文格式,得到报文1的报文格式为UDP格式,报文2的报文格式为UDP格式,报文3的报文格式为TCP报文,报文3的报文格式不为UDP报文,因此直接丢弃。将报文1和报文2进行指令解密,报文1解密错误,报文2解密成功,将报文1直接丢弃,将报文2发送至后端的目标服务器上。
在本申请上述实施例中,安全网关转发至目标主机的访问数据包为客户端产生的正常流量,安全网关丢弃的访问数据包为异常客户端产生的攻击流量。
在一种可选的方案中,安全网关在判断接收到的报文的封装格式以及解密运算之后,如果接收到的报文的封装格式正确,并且解密成功,则确定该报文为正常用户通过客户端产生的正常流量,将该报文转发至目标主机;如果接收到的报文的封装格式不正确,或者解密失败,则确定该报文为攻击者通过异常客户端产生的攻击流量,将该报文直接丢弃,不转发至目标主机。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。隧道网关接收到3个封装报文,分别为报文1、报文2和报文3,首先判断3个报文的报文格式,得到报文1的报文格式为UDP格式,报文2的报文格式为UDP格式,报文3的报文格式为TCP报文,报文3的报文格式不为UDP报文,因此直接丢弃。将报文1和报文2进行指令解密,报文1解密错误,报文2解密成功,将报文1直接丢弃,将报文2发送至后端的目标服务器上。因此可以确定报文1和报文2是攻击者发送的攻击流量,报文2是正常用户发送的正常流量。
下面结合图5详细介绍本申请的一种优选实施例。
如图5所示,以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为应用场景,提供了一种可选的防御网络攻击的方法,该方法可以包括如下步骤S51至步骤S55:
步骤S51,用户在安全服务器93上配置IP或域名和端口。
具体地,上述安全服务器可以是智能路由器设备,用户在智能路由器上配置访问终端的IP地址或域名以及对应端口。
步骤S52,安全服务器93从调度中心服务器101获取对应隧道网关IP和加密指令。
具体地,智能路由器接收到对应配置后,联系智能调度中心(即上述的调度中心服务器),调度中心选取一个可用的隧道网关,并随机生成加密指令,返回隧道网关IP和加密指令给智能路由器。
步骤S53,用户通过客户端91发送报文。
具体地,用户从客户端(PC、手机等)访问对应服务,发送对应报文。
步骤S54,安全服务器93将报文发送给相应的安全网关95。
具体地,上述安全网关可以是隧道网关,智能路由器收到报文后,判断访问地址和端口为配置的保护地址,是则对报文进行隧道封装,并通过调度中心返回的加密指令对报文进行加密,并发送给调度中心返回的隧道网关IP对应的隧道网关;否则直接发送原始报文给调度中心返回的隧道网关IP对应的隧道网关。
步骤S55,安全网关95对接收到的报文进行解封装和解密处理,并根据解封装和解密处理上述报文的结果确定当前客户端发出的报文是否为安全报文。
具体地,隧道网关收到报文后,进行如下判断:非指定格式封装报文,直接丢弃;符合指定格式的封装报文,进行解封装处理;解封装后进行指令解密,解密错误,则直接丢弃;解密成功,将报文转发后端的服务器上。服务端收到客户端访问报文处理后,将报文发送到隧道网关。
通过本申请上述优选实施例,在用户端部署一个具有安全加密功能的智能路由器设备,该设备可从智能调度中心动态获取加密指令以及隧道网关IP,所有正常用户的访问数据包将通过该智能路由器进行报文加密发送给隧道网关,隧道网关将对所有访问数据包进行解密来区分是否正常用户报文和攻击流量。以此在攻击者发起CC攻击时,因控制的傀儡机报文未通过智能路由器加密,从而在隧道网关侧被直接丢弃,攻击流量无法到达服务提供商,而正常流量因能被隧道网关识别放行到服务提供商,从而在攻击时不影响正常用户访问。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例2
根据本申请实施例,还提供了一种防御网络攻击的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。图6是根据本申请实施例二的一种防御网络攻击的方法的流程图,如图6所示,上述方法可以包括如下步骤:
步骤S61,安全网关获取到安全服务器进行安全处理后的访问数据包。
可选地,上述安全服务器可以是具有安全加密功能的智能路由器设备,该设备可以对接收到的访问数据包进行报文加密,实现将访问数据包进行安全处理的目的,上述访问数据包可以是访问对应服务生成的报文,上述客户端可以是计算机终端,也可以是智能手机(如Android手机、IOS手机等)、平板电脑、掌上电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备,上述安全服务器和上述客户端也通过有线网络,无线网络,移动通信网络等网络进行通讯,本申请中不做具体限定,上述安全网关可以是隧道网关,可以将不同协议的访问数据包进行重新封装,得的满足接收协议要求的访问数据包。
步骤S63,安全网关解析安全处理后的访问数据包。
步骤S65,如果安全网关成功解析安全处理后的访问数据包,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
其中,由安全服务器接收客户端发起的访问数据包,在将访问数据包进行安全处理之后,将安全处理后的访问数据包发送至对应的安全网关;其中,安全服务器与客户端具有通信关系。
此处需要说明的是,在攻击者发起CC攻击时,因其控制的傀儡机发送的访问数据包未通过安全服务器进行安全处理,从而安全网关在接收到攻击者发送的访问数据包之后被直接丢弃,无法到达目标主机。
在一种可选的方案中,客户端可以通过网络将访问数据包发送至安全服务器,该安全服务器在接收到客户端发送的访问数据包之后,可以对访问数据包进行安全处理,将加密后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后可以,对访问数据包进行解析,如果解析成功,则确定该访问数据包为正常用户发送,将解析得到的访问数据包重新封装,并将封装后的访问数据包发送至目标主机;如果解析失败,则确定该访问数据包为攻击者发送,则直接将该访问数据包丢弃,不进行任何处理。
例如,以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器为例,对本申请上述实施例进行详细说明。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,将该报文进行安全处理,将安全处理后的报文发送给对应的隧道网关,隧道网关在接收到报文之后,对报文进行解析,如果可以解析成功,则将报文转发到后端服务器上;如果解析失败,则直接将报文丢弃。
本申请上述实施例二公开的方案中,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本申请提供的上述实施例二的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
实施例3
根据本申请实施例,还提供了一种用于实施上述防御网络攻击的方法的防御网络攻击的装置,如图7所示,该装置包括:处理模块71和发送模块73。
其中,处理模块71,用于接收到访问数据包之后,将访问数据包进行安全处理,其中,访问数据包为与安全服务器具有通信关系的客户端发起的数据报文;发送模块73,用于安全服务器将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
可选地,上述处理模块71可以是安全服务器中运行的一个功能模块,可以是具有安全加密功能的智能路由器设备,该设备可以对接收到的访问数据包进行报文加密,实现将访问数据包进行安全处理的目的,上述访问数据包可以是访问对应服务生成的报文,上述客户端可以是计算机终端,也可以是智能手机(如Android手机、IOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备,上述安全服务器和上述客户端也通过有线网络,无线网络,移动通信网络等网络进行通讯,本申请中不做具体限定,上述安全网关可以是隧道网关,可以将不同协议的访问数据包进行重新封装,得的满足接收协议要求的访问数据包。
此处需要说明的是,在攻击者发起CC攻击时,因其控制的傀儡机发送的访问数据包未通过安全服务器进行安全处理,从而安全网关在接收到攻击者发送的访问数据包之后被直接丢弃,无法到达目标主机。
在一种可选的方案中,客户端可以通过网络将访问数据包发送至安全服务器,该安全服务器在接收到客户端发送的访问数据包之后,可以对访问数据包进行安全处理,将加密后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后可以,对访问数据包进行解析,如果解析成功,则确定该访问数据包为正常用户发送,将解析得到的访问数据包重新封装,并将封装后的访问数据包发送至目标主机;如果解析失败,则确定该访问数据包为攻击者发送,则直接将该访问数据包丢弃,不进行任何处理。
例如,以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器为例,对本申请上述实施例进行详细说明。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,将该报文进行安全处理,将安全处理后的报文发送给对应的隧道网关,隧道网关在接收到报文之后,对报文进行解析,如果可以解析成功,则将报文转发到后端服务器上;如果解析失败,则直接将报文丢弃。
本申请上述实施例三公开的方案中,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本申请提供的上述实施例三的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
此处需要说明的是,上述处理模块71和发送模块73对应于实施例一中的步骤S31和步骤S33,两个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
实施例4
根据本申请实施例,还提供了一种用于实施上述防御网络攻击的方法的防御网络攻击的装置,如图8所示,该装置包括:获取模块81,解析模块83和发送模块85。
其中,获取模块81,用于获取到安全服务器进行安全处理后的访问数据包;解析模块83,用于解析安全处理后的访问数据包;发送模块85,用于如果成功解析安全处理后的访问数据包,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包;其中,由安全服务器接收客户端发起的访问数据包,在将访问数据包进行安全处理之后,将安全处理后的访问数据包发送至对应的安全网关;其中,安全服务器与客户端具有通信关系。
可选地,上述获取模块81,解析模块83和发送模块85可以是安全服务器中具有的功能模块,该安全服务器可以是具有安全加密功能的智能路由器设备,该设备可以对接收到的访问数据包进行报文加密,实现将访问数据包进行安全处理的目的,上述访问数据包可以是访问对应服务生成的报文,上述客户端可以是计算机终端,也可以是智能手机(如Android手机、IOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile InternetDevices,MID)、PAD等终端设备,上述安全服务器和上述客户端也通过有线网络,无线网络,移动通信网络等网络进行通讯,本申请中不做具体限定,上述安全网关可以是隧道网关,可以将不同协议的访问数据包进行重新封装,得的满足接收协议要求的访问数据包。
此处需要说明的是,在攻击者发起CC攻击时,因其控制的傀儡机发送的访问数据包未通过安全服务器进行安全处理,从而安全网关在接收到攻击者发送的访问数据包之后被直接丢弃,无法到达目标主机。
在一种可选的方案中,客户端可以通过网络将访问数据包发送至安全服务器,该安全服务器在接收到客户端发送的访问数据包之后,可以对访问数据包进行安全处理,将加密后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后可以,对访问数据包进行解析,如果解析成功,则确定该访问数据包为正常用户发送,将解析得到的访问数据包重新封装,并将封装后的访问数据包发送至目标主机;如果解析失败,则确定该访问数据包为攻击者发送,则直接将该访问数据包丢弃,不进行任何处理。
例如,以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器为例,对本申请上述实施例进行详细说明。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,将该报文进行安全处理,将安全处理后的报文发送给对应的隧道网关,隧道网关在接收到报文之后,对报文进行解析,如果可以解析成功,则将报文转发到后端服务器上;如果解析失败,则直接将报文丢弃。
本申请上述实施例四公开的方案中,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本申请提供的上述实施例四的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
此处需要说明的是,上述获取模块81,解析模块83和发送模块85对应于实施例二中的步骤S61至步骤S65,两个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例二所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端20中。
实施例5
根据本申请实施例,还提供了一种用于实施上述防御网络攻击的方法的防御网络攻击的系统,如图9所示,该系统包括:客户端91,安全服务器93和安全网关95。
其中,客户端91,用于发送访问数据包。
安全服务器93,与客户端91具有通信关系,用于将接收到的访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关。
安全网关95,用于解析安全处理后的访问数据包,如果解析成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
可选地,上述安全服务器可以是具有安全加密功能的智能路由器设备,该设备可以对接收到的访问数据包进行报文加密,实现将访问数据包进行安全处理的目的,上述访问数据包可以是访问对应服务生成的报文,上述客户端可以是计算机终端,也可以是智能手机(如Android手机、IOS手机等)、平板电脑、掌上电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备,上述安全服务器和上述客户端也通过有线网络,无线网络,移动通信网络等网络进行通讯,本申请中不做具体限定,上述安全网关可以是隧道网关,可以将不同协议的访问数据包进行重新封装,得的满足接收协议要求的访问数据包。
此处需要说明的是,在攻击者发起CC攻击时,因其控制的傀儡机发送的访问数据包未通过安全服务器进行安全处理,从而安全网关在接收到攻击者发送的访问数据包之后被直接丢弃,无法到达目标主机。
在一种可选的方案中,客户端可以通过网络将访问数据包发送至安全服务器,该安全服务器在接收到客户端发送的访问数据包之后,可以对访问数据包进行安全处理,将加密后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后可以,对访问数据包进行解析,如果解析成功,则确定该访问数据包为正常用户发送,将解析得到的访问数据包重新封装,并将封装后的访问数据包发送至目标主机;如果解析失败,则确定该访问数据包为攻击者发送,则直接将该访问数据包丢弃,不进行任何处理。
例如,以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器为例,对本申请上述实施例进行详细说明。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,将该报文进行安全处理,将安全处理后的报文发送给对应的隧道网关,隧道网关在接收到报文之后,对报文进行解析,如果可以解析成功,则将报文转发到后端服务器上;如果解析失败,则直接将报文丢弃。
图10是根据本申请实施例五的一种可选的防御网络攻击的系统的示意图,如图10所示,用户通过访问终端发送访问服务对应的报文至智能路由器,智能路由器在接受到报文之后,对该报文进行安全处理,并将安全处理后的报文发送给隧道网关,隧道网关在接收到安全处理后的报文之后,对该安全处理后的报文进行解析,如果解析成功,则确定该报文由正常用户发送,将该报文发送至后端的服务器;如果解析失败,则确定该报文由攻击者发送,直接丢弃,保证攻击者发送的报文不会发送到服务器。
本申请上述实施例五公开的方案中,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本申请提供的上述实施例五的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
在本申请提供的一种可选实施例中,如图11所示,上述系统还包括:调度中心服务器101。
其中,调度中心服务器101,与安全服务器93连接,用于将确定的安全信息返回给安全服务器,安全信息至少包括:加密指令和安全网关的网关地址;安全服务器93还用于接收配置信息,并访问对应的安全服务器,其中,配置信息包括如下任意一个或多个预设的数据:IP地址、域名和访问端口。
可选地,上述安全网关的网关地址可以是IP地址,MAC地址等网关地址,但不仅限于此,其他用于唯一标识安全网关的地址信息。
在一种可选的方案中,用户可以在安全服务器上配置访问客户端的IP地址或者域名,以及对应端口。安全服务器在接收到客户端发送的访问数据包之后,访问调取中心服务器,获取调度中心服务器返回的加密指令和安全网络的IP地址。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP和加密指令。
如图11所示,用户可以在智能路由器上配置访问IP或域名和端口,用户通过访问终端发送访问服务对应的报文至智能路由器,智能路由器在接受到报文之后,向调度中心请求隧道网关IP,调度中心选取一个可用的隧道网关和随机声场的加密指令返回给智能路由器,智能路由器对该报文进行安全处理,并将安全处理后的报文发送给隧道网关,隧道网关在接收到安全处理后的报文之后,对该安全处理后的报文进行解析,如果解析成功,则确定该报文由正常用户发送,将该报文发送至后端的服务器;如果解析失败,则确定该报文由攻击者发送,直接丢弃,保证攻击者发送的报文不会发送到服务器。
在本申请提供的一种可选实施例中,上述安全服务器93还用于安全服务器使用加密指令对访问数据包进行加密,并对访问数据包或加密后的访问数据包进行封装,得到封装报文。
可选地,上述封装报文可以是使用UDP封装方法的UDP报文,但不仅限于此,其他封装方法也可以实现本实施例的目的。
在一种可选的方案中,安全服务器可以在获取到调度中心服务器返回的加密指令之后,使用该加密指令对用户发送的报文进行加密,并将正常报文和加密后的报文进行封装,得到UDP报文,如图4所示,UDP报文中包括如下字段:发送报文的源端口字段,接收报文的目的端口字段,长度字段,校验和字段,加密数据字段和正常报文数据字段。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP和加密指令。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,对报文进行加密和封装处理,得到UDP报文。
在本申请提供的一种可选实施例中,上述安全服务器93还用于对访问数据包进行MD5加密,并将随机数组和MD5加密后的访问数据包进行异或计算,通过将异或的计算结果填充至访问数据包的加密字段中得到加密后的访问数据包。
在一种可选的方案中,调度中心服务器可以每隔一段时间随机生成一段用于加密的随机数组,在接收智能路由器访问调度中心服务器时返回该随机数组。安全服务器在接收到调度中心发送的随机数组(例如,0xaabbccdd)之后,将用户发送的报文进行MD5哈希算法,得到哈希MD5值,将该MD5值与随机数组进行异或得到一个数值,即加密数据,并将该加密数据填充至UDP报文的加密数据字段中。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP,加密指令和数组。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,对报文进行计算得到MD5值,将该MD5值和数组进行异或得到加密数据,并填充至加密数据字段,对报文进行UDP封装,得到UDP报文。
在本申请提供的一种可选实施例中,上述安全服务器93还用于安全服务器判断访问数据包中携带的访问地址和端口是否与配置信息匹配成功;其中,如果匹配成功,则确定访问数据包中携带的访问地址和端口为配置的保护地址,则对访问数据包执行安全处理,否则,将访问数据包直接发送至安全网关。
在一种可选的方案中,安全服务器可以在接收到访问数据包之后,判断访问数据包中携带的访问地址、域名或者访问端口是否与配置信息匹配成功,即检测当前配置信息中预先设置的数据中是否包含了当前发起所述访问数据包的客户端的IP地址和/或端口,如果匹配成功,即如果在配置信息中包含了上述客户端的IP地址和/或端口,确定该访问数据包由正常用户发送,安全服务器对该访问数据包进行安全处理;如果匹配失败,确定该访问数据包由攻击者发送,安全服务器不对该访问数据包进行安全处理,直接发送至安全网关。此处需要说明的是,上述IP地址还可以是域名。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。用户可以在智能路由上配置访问IP地址或域名,以及对应端口,智能路由器在接收到配置信息之后,访问智能调度中心,获取智能调度中心根据配置信息返回的隧道网关IP,加密指令和数组。用户可以从PC计算机访问对应的服务,发送对应的报文,智能路由器在接收到报文之后,判断访问地址和端口是否为配置的保护地址,如果不是,则直接发送报文至服务器;如果是则对报文进行计算得到MD5值,将该MD5值和数组进行异或得到加密数据,并填充至加密数据字段,对报文进行UDP封装,得到UDP报文,并将UDP报文发送至服务器。
在本申请提供的一种可选实施例中,上述安全网关95还用于如果封装报文的报文格式与预定的报文格式不匹配,则丢弃封装报文;如果封装报文的报文格式与预定的报文格式匹配,则安全网关对访问数据包或加密后的访问数据包进行解封装处理,并对解封装处理后得到的报文进行指令解密,其中,如果解密成功,则将解密得到的访问数据包转发至目标主机,如果解密失败,则丢弃解密得到的访问数据包。
可选地,上述预定的报文格式可以与安全服务器的封装格式相同,均为UDP报文格式。
在一种可选的方案中,安全网关可以在接收到封装报文之后,判断该封装报文的报文格式是否与UDP报文格式相同,如果该封装报文的报文格式与UDP报文格式不同,则确定该封装报文由攻击者发送,直接丢弃。
如果安全网关确定该封装报文的报文格式与UDP报文格式相同,则可以将该封装报文进行解封装处理,并在解封装之后进行指令解密处理,如果解密错误,则确定该封装报文由攻击者发送,直接丢弃。如果解密成功,则可以将该报文转发至目标主机。
例如,仍以客户端为PC计算机,安全服务器为智能路由器设备,安全网关为隧道网关,目标主机为服务器,调度中心服务器为智能调度中心为例,对本申请上述实施例进行详细说明。隧道网关接收到3个封装报文,分别为报文1、报文2和报文3,首先判断3个报文的报文格式,得到报文1的报文格式为UDP格式,报文2的报文格式为UDP格式,报文3的报文格式为TCP报文,报文3的报文格式不为UDP报文,因此直接丢弃。将报文1和报文2进行指令解密,报文1解密错误,报文2解密成功,将报文1直接丢弃,将报文2发送至后端的目标服务器上。
实施例6
本申请的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码:安全服务器接收到访问数据包之后,将访问数据包进行安全处理,其中,安全服务器与客户端具有通信关系,获取客户端发起的访问数据包;安全服务器将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
可选地,图12是根据本申请实施例的一种计算机终端的结构框图。如图12所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器121、存储器123、以及传输装置125。
其中,存储器123可用于存储软件程序以及模块,如本申请实施例中的防御网络攻击的方法及装置对应的程序指令/模块,处理器121通过运行存储在存储器123内的软件程序及模块,从而执行各种功能应用以及数据处理,即实现上述的防御网络攻击的方法。存储器123可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器123可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器121可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:安全服务器接收到访问数据包之后,将访问数据包进行安全处理,其中,安全服务器与客户端具有通信关系,获取客户端发起的访问数据包;安全服务器将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
可选的,上述处理器121还可以执行如下步骤的程序代码:安全服务器接收配置信息,其中,配置信息包括如下任意一个或多个预设的数据:IP地址、域名和访问端口;安全服务器访问对应的调度中心服务器,并从调度中心服务器获取到与配置信息对应的安全信息,所述安全信息至少包括:加密指令和安全网关的网关地址。
可选的,上述处理器121还可以执行如下步骤的程序代码:安全服务器使用加密指令对访问数据包进行加密,并对访问数据包或加密后的访问数据包进行封装,得到封装报文。
可选的,上述处理器121还可以执行如下步骤的程序代码:安全信息还包括:随机数组,对访问数据包进行MD5加密,并将随机数组和MD5加密后的访问数据包进行异或计算,通过将异或的计算结果填充至访问数据包的加密字段中得到加密后的访问数据包。
可选的,上述处理器121还可以执行如下步骤的程序代码:安全服务器判断访问数据包中携带的访问地址和端口是否与配置信息匹配成功;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对访问数据包执行安全处理,否则,将访问数据包直接发送至安全网关。
可选的,上述处理器121还可以执行如下步骤的程序代码:安全服务器将安全处理后的访问数据包发送至对应的安全网关之后,安全网关解析安全处理后的访问数据包,如果封装报文的报文格式与预定的报文格式不匹配,则丢弃封装报文;如果封装报文的报文格式与预定的报文格式匹配,则安全网关对访问数据包或加密后的访问数据包进行解封装处理,并对解封装处理后得到的报文进行指令解密,其中,如果解密成功,则将解密得到的访问数据包转发至目标主机,如果解密失败,则丢弃解密得到的访问数据包。
可选的,上述处理器121还可以执行如下步骤的程序代码:安全网关转发至目标主机的访问数据包为客户端产生的正常流量,安全网关丢弃的访问数据包为异常客户端产生的攻击流量。
采用本申请实施例,安全服务器接收到访问数据包之后,可以将访问数据包进行安全处理,并将安全处理后的访问数据包发送至对应的安全网关,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。本方案可以根据判断访问数据包是否进行安全处理来区分该访问数据包来自正常用户还是攻击者。
容易注意到,由于在接收到正常用户发送的访问数据包之后,安全服务器对访问数据包进行安全处理,并将安全处理后的访问数据包发送给安全网关,安全网关在接收到访问数据包之后,对访问数据包进行解析,如果解析成功则将该访问数据包发送至目标主机,如果解析失败则直接丢弃,因此,通过本申请实施例所提供的方案,不仅可以在CC攻击时有效的区分正常访问流量和异常流量,而且,相对SDK加密的防御方式,本申请实施例提供的方案部署简单,即只需要用户使用安全服务器,不需要服务提供商进行开发集成,通用性更强,即适用于端服务提供商,也适用于网站服务提供商,因此,可以在CC攻击时有效的区分正常访问流量和异常流量,保证用户的正常访问。
由此,本申请提供的方案解决了在遭受到网络攻击时,当前的防御方法难以区分正常用户和攻击者的流量的技术问题。
本领域普通技术人员可以理解,图12所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图12其并不对上述电子装置的结构造成限定。例如,计算机终端12还可包括比图12中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图12所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例7
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的防御网络攻击的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:安全服务器接收到访问数据包之后,将访问数据包进行安全处理,其中,安全服务器与客户端具有通信关系,获取客户端发起的访问数据包;安全服务器将安全处理后的访问数据包发送至对应的安全网关;其中,如果安全网关解析安全处理后的访问数据包成功,则将解析得到的访问数据包转发至目标主机,否则,则丢弃访问数据包。
可选的,上述存储介质还被设置为存储用于执行以下步骤的程序代码:安全服务器接收配置信息,其中,配置信息包括如下任意一个或多个预设的数据:IP地址、域名和访问端口;安全服务器访问对应的调度中心服务器,并从调度中心服务器获取到与所述配置信息对应的安全信息,安全信息至少包括:加密指令和安全网关的网关地址。
可选的,上述存储介质还被设置为存储用于执行以下步骤的程序代码:安全服务器使用加密指令对访问数据包进行加密,并对访问数据包或加密后的访问数据包进行封装,得到封装报文。
可选的,上述存储介质还被设置为存储用于执行以下步骤的程序代码:安全信息还包括:随机数组,对访问数据包进行MD5加密,并将随机数组和MD5加密后的访问数据包进行异或计算,通过将异或的计算结果填充至访问数据包的加密字段中得到加密后的访问数据包。
可选的,上述存储介质还被设置为存储用于执行以下步骤的程序代码:安全服务器判断访问数据包中携带的访问地址和端口是否与配置信息匹配成功;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对访问数据包执行安全处理,否则,将访问数据包直接发送至安全网关。
可选的,上述存储介质还被设置为存储用于执行以下步骤的程序代码:安全服务器将安全处理后的访问数据包发送至对应的安全网关之后,安全网关解析安全处理后的访问数据包,如果封装报文的报文格式与预定的报文格式不匹配,则丢弃封装报文;如果封装报文的报文格式与预定的报文格式匹配,则安全网关对访问数据包或加密后的访问数据包进行解封装处理,并对解封装处理后得到的报文进行指令解密,其中,如果解密成功,则将解密得到的访问数据包转发至目标主机,如果解密失败,则丢弃解密得到的访问数据包。
可选的,上述存储介质还被设置为存储用于执行以下步骤的程序代码:安全网关转发至目标主机的访问数据包为客户端产生的正常流量,安全网关丢弃的访问数据包为异常客户端产生的攻击流量。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种防御网络攻击的方法,其特征在于,包括:
安全服务器接收到访问数据包之后,将所述访问数据包进行安全处理,其中,所述安全服务器与客户端具有通信关系,获取所述客户端发起的所述访问数据包;
所述安全服务器将所述安全处理后的访问数据包发送至对应的安全网关;
其中,如果所述安全网关解析所述安全处理后的访问数据包成功,则将解析得到的所述访问数据包转发至目标主机,否则,则丢弃所述访问数据包;
其中,所述安全服务器在接收到所述访问数据包之后,判断所述访问数据包中携带的访问地址和端口是否与配置信息匹配成功,所述配置信息包括如下任意一个或多个预设的数据:访问客户端的IP地址、域名和访问端口;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对所述访问数据包执行所述安全处理,否则,将所述访问数据包直接发送至所述安全网关。
2.根据权利要求1所述的方法,其特征在于,在将所述访问数据包进行安全处理之前,所述方法还包括:
所述安全服务器接收所述配置信息;
所述安全服务器访问对应的调度中心服务器,并从所述调度中心服务器获取到与所述配置信息对应的安全信息,所述安全信息至少包括:加密指令和所述安全网关的网关地址。
3.根据权利要求2所述的方法,其特征在于,将所述访问数据包进行安全处理,包括:
所述安全服务器使用所述加密指令对所述访问数据包进行加密,并对所述访问数据包或加密后的访问数据包进行封装,得到封装报文。
4.根据权利要求3所述的方法,其特征在于,所述安全信息还包括:随机数组,其中,所述安全服务器使用所述加密指令对所述访问数据包进行加密,包括:
对所述访问数据包进行MD5加密,并将所述随机数组和所述MD5加密后的访问数据包进行异或计算,通过将异或的计算结果填充至所述访问数据包的加密字段中得到所述加密后的访问数据包。
5.根据权利要求3所述的方法,其特征在于,所述安全服务器将所述安全处理后的访问数据包发送至对应的安全网关之后,所述安全网关解析所述安全处理后的访问数据包,其中,如果所述安全网关解析所述安全处理后的访问数据包成功,则将解析得到的所述访问数据包转发至目标主机,否则,则丢弃所述访问数据包,包括:
如果所述封装报文的报文格式与预定的报文格式不匹配,则丢弃所述封装报文;
如果所述封装报文的报文格式与所述预定的报文格式匹配,则所述安全网关对所述访问数据包或所述加密后的访问数据包进行解封装处理,并对所述解封装处理后得到的报文进行指令解密,其中,如果解密成功,则将解密得到的所述访问数据包转发至所述目标主机,如果解密失败,则丢弃解密得到的所述访问数据包。
6.根据权利要求1至5中任意一项所述的方法,其特征在于,所述安全网关转发至所述目标主机的访问数据包为所述客户端产生的正常流量,所述安全网关丢弃的访问数据包为异常客户端产生的攻击流量。
7.一种防御网络攻击的方法,其特征在于,包括:
安全网关获取到安全服务器进行安全处理后的访问数据包;
所述安全网关解析所述安全处理后的访问数据包;
如果所述安全网关成功解析所述安全处理后的访问数据包,则将解析得到的所述访问数据包转发至目标主机,否则,则丢弃所述访问数据包;
其中,由所述安全服务器接收客户端发起的所述访问数据包,在将所述访问数据包进行安全处理之后,将所述安全处理后的访问数据包发送至对应的安全网关;其中,所述安全服务器与所述客户端具有通信关系;
其中,由所述安全服务器在接收到所述访问数据包之后,判断所述访问数据包中携带的访问地址和端口是否与配置信息匹配成功,所述配置信息包括如下任意一个或多个预设的数据:访问客户端的IP地址、域名和访问端口;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对所述访问数据包执行所述安全处理,否则,将所述访问数据包直接发送至所述安全网关。
8.一种防御网络攻击的系统,其特征在于,包括:
客户端,用于发送访问数据包;
安全服务器,与所述客户端具有通信关系,用于将接收到的所述访问数据包进行安全处理,并将所述安全处理后的访问数据包发送至对应的安全网关;
所述安全网关,用于解析所述安全处理后的访问数据包,如果解析成功,则将解析得到的所述访问数据包转发至目标主机,否则,则丢弃所述访问数据包;
其中,所述安全服务器还用于在接收到所述访问数据包之后,判断所述访问数据包中携带的访问地址和端口是否与配置信息匹配成功,所述配置信息包括如下任意一个或多个预设的数据:访问客户端的IP地址、域名和访问端口;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对所述访问数据包执行所述安全处理,否则,将所述访问数据包直接发送至所述安全网关。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:
调度中心服务器,与所述安全服务器连接,用于将确定的安全信息返回给所述安全服务器,所述安全信息至少包括:加密指令和所述安全网关的网关地址;
所述安全服务器还用于接收所述配置信息,并访问对应的所述调度中心服务器。
10.一种防御网络攻击的装置,其特征在于,包括:
处理模块,用于接收到访问数据包之后,将所述访问数据包进行安全处理,其中,所述访问数据包为与安全服务器具有通信关系的客户端发起的数据报文;
发送模块,用于将所述安全处理后的访问数据包发送至对应的安全网关;
其中,如果所述安全网关解析所述安全处理后的访问数据包成功,则将解析得到的所述访问数据包转发至目标主机,否则,则丢弃所述访问数据包;
其中,所述装置还用于在接收到所述访问数据包之后,判断所述访问数据包中携带的访问地址和端口是否与配置信息匹配成功,所述配置信息包括如下任意一个或多个预设的数据:访问客户端的IP地址、域名和访问端口;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对所述访问数据包执行所述安全处理,否则,将所述访问数据包直接发送至所述安全网关。
11.一种防御网络攻击的装置,其特征在于,包括:
获取模块,用于获取到安全服务器进行安全处理后的访问数据包;
解析模块,用于解析所述安全处理后的访问数据包;
发送模块,用于如果成功解析所述安全处理后的访问数据包,则将解析得到的所述访问数据包转发至目标主机,否则,则丢弃所述访问数据包;
其中,由所述安全服务器接收客户端发起的所述访问数据包,在将所述访问数据包进行安全处理之后,将所述安全处理后的访问数据包发送至对应的安全网关;其中,所述安全服务器与所述客户端具有通信关系;
其中,由所述安全服务器在接收到所述访问数据包之后,判断所述访问数据包中携带的访问地址和端口是否与配置信息匹配成功,所述配置信息包括如下任意一个或多个预设的数据:访问客户端的IP地址、域名和访问端口;其中,如果匹配成功,则确定所述访问数据包中携带的所述访问地址和端口为配置的保护地址,则对所述访问数据包执行所述安全处理,否则,将所述访问数据包直接发送至所述安全网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610100001.2A CN107104929B (zh) | 2016-02-23 | 2016-02-23 | 防御网络攻击的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610100001.2A CN107104929B (zh) | 2016-02-23 | 2016-02-23 | 防御网络攻击的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107104929A CN107104929A (zh) | 2017-08-29 |
| CN107104929B true CN107104929B (zh) | 2021-03-09 |
Family
ID=59658369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610100001.2A Active CN107104929B (zh) | 2016-02-23 | 2016-02-23 | 防御网络攻击的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107104929B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108810008B (zh) * | 2018-06-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 传输控制协议流量过滤方法、装置、服务器及存储介质 |
| CN111147425A (zh) * | 2018-11-05 | 2020-05-12 | 成都鼎桥通信技术有限公司 | 数据访问处理方法、装置、设备以及存储介质 |
| CN110113351B (zh) * | 2019-05-14 | 2022-08-16 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
| CN111224855B (zh) * | 2019-12-16 | 2021-11-30 | 武汉思为同飞网络技术股份有限公司 | 基于Linux的虚拟网卡实现方法、装置、设备及介质 |
| CN111182537A (zh) * | 2019-12-31 | 2020-05-19 | 北京指掌易科技有限公司 | 移动应用的网络接入方法、装置及系统 |
| CN111245804A (zh) * | 2020-01-06 | 2020-06-05 | 北京松果电子有限公司 | 终端设备的通信安全测试方法及装置、存储介质 |
| CN111641619B (zh) * | 2020-05-21 | 2022-06-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据构建黑客画像的方法、装置和计算机设备 |
| CN113726799B (zh) * | 2021-09-01 | 2022-09-27 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
| CN116827684B (zh) * | 2023-08-25 | 2023-11-21 | 卓望数码技术(深圳)有限公司 | DDoS攻击防御方法、系统、设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030889A (zh) * | 2007-04-18 | 2007-09-05 | 杭州华为三康技术有限公司 | 防范cc攻击的方法和设备 |
| CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制系统及其控制方法 |
| CN101043717A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 向WiMAX网络通知终端R3移动模式的方法 |
| CN101257486A (zh) * | 2007-06-05 | 2008-09-03 | 中兴通讯股份有限公司 | IPv6中PANA客户端发现PANA认证代理的方法 |
| WO2009147132A1 (en) * | 2008-06-03 | 2009-12-10 | Nokia Siemens Networks Oy | Methods and system for relocating the client port in the process of online prepaying |
| CN101753606A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现web反向代理的方法 |
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
| CN102571547A (zh) * | 2010-12-29 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
| US8458303B2 (en) * | 2010-07-12 | 2013-06-04 | Cisco Technology, Inc. | Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset |
| CN103379182A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 数据传输方法和客户端 |
| CN105025044A (zh) * | 2014-04-17 | 2015-11-04 | 中国移动通信集团广东有限公司 | 一种设备控制方法及系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030061515A1 (en) * | 2001-09-27 | 2003-03-27 | Timothy Kindberg | Capability-enabled uniform resource locator for secure web exporting and method of using same |
| US20060277596A1 (en) * | 2005-06-06 | 2006-12-07 | Calvert Peter S | Method and system for multi-instance session support in a load-balanced environment |
| CN101141243A (zh) * | 2006-09-08 | 2008-03-12 | 飞塔信息科技(北京)有限公司 | 一种对通信数据进行安全检查和内容过滤的装置和方法 |
| US8286243B2 (en) * | 2007-10-23 | 2012-10-09 | International Business Machines Corporation | Blocking intrusion attacks at an offending host |
| CN101404579B (zh) * | 2008-10-31 | 2011-02-09 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
| KR101061375B1 (ko) * | 2009-11-02 | 2011-09-02 | 한국인터넷진흥원 | Uri 타입 기반 디도스 공격 탐지 및 대응 장치 |
| CN103023926A (zh) * | 2012-12-28 | 2013-04-03 | 中科正阳信息安全技术有限公司 | 一种基于反向代理的防信息泄漏安全网关系统 |
| US9794227B2 (en) * | 2014-03-07 | 2017-10-17 | Microsoft Technology Licensing, Llc | Automatic detection of authentication methods by a gateway |
| CN104579939B (zh) * | 2014-12-29 | 2021-02-12 | 网神信息技术(北京)股份有限公司 | 网关的保护方法和装置 |
| CN105187406A (zh) * | 2015-08-14 | 2015-12-23 | 安徽新华博信息技术股份有限公司 | 可配置方式的https的中间人监听系统 |
-
2016
- 2016-02-23 CN CN201610100001.2A patent/CN107104929B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制系统及其控制方法 |
| CN101043717A (zh) * | 2006-03-24 | 2007-09-26 | 华为技术有限公司 | 向WiMAX网络通知终端R3移动模式的方法 |
| CN101030889A (zh) * | 2007-04-18 | 2007-09-05 | 杭州华为三康技术有限公司 | 防范cc攻击的方法和设备 |
| CN101257486A (zh) * | 2007-06-05 | 2008-09-03 | 中兴通讯股份有限公司 | IPv6中PANA客户端发现PANA认证代理的方法 |
| WO2009147132A1 (en) * | 2008-06-03 | 2009-12-10 | Nokia Siemens Networks Oy | Methods and system for relocating the client port in the process of online prepaying |
| CN101753606A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信科技有限公司 | 一种实现web反向代理的方法 |
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
| US8458303B2 (en) * | 2010-07-12 | 2013-06-04 | Cisco Technology, Inc. | Utilizing a gateway for the assignment of internet protocol addresses to client devices in a shared subset |
| CN102571547A (zh) * | 2010-12-29 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种http流量的控制方法及装置 |
| CN103379182A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 数据传输方法和客户端 |
| CN105025044A (zh) * | 2014-04-17 | 2015-11-04 | 中国移动通信集团广东有限公司 | 一种设备控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107104929A (zh) | 2017-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107104929B (zh) | 防御网络攻击的方法、装置和系统 | |
| CN111093198B (zh) | 无线局域网数据发送方法及其装置 | |
| CN107046495B (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| US10911581B2 (en) | Packet parsing method and device | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN110535748B (zh) | 一种vpn隧道模式优化方法及系统 | |
| CN114503507A (zh) | 安全的发布-订阅通信方法和设备 | |
| Dunlop et al. | The blind man's bluff approach to security using IPv6 | |
| CN107181605B (zh) | 报文检测方法及系统、内容提取装置、流量匹配装置 | |
| US20160330775A1 (en) | Methods and Devices for Sending or Receiving Wireless Parameter | |
| CN110392128A (zh) | 提供准无地址IPv6公开万维网服务的方法及系统 | |
| CA2537083A1 (en) | Early detection system and method for encrypted signals within packet networks | |
| US20190124055A1 (en) | Ethernet security system and method | |
| CN114050921A (zh) | 一种fpga实现的基于udp的高速加密数据传输系统 | |
| Fujdiak et al. | Security in low-power wide-area networks: State-of-the-art and development toward the 5G | |
| Park et al. | Session management for security systems in 5g standalone network | |
| US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
| JP4847951B2 (ja) | シグナリングメッセージのプロトコル拡張 | |
| CN115225414B (zh) | 基于ipsec的加密策略匹配方法、装置及通信系统 | |
| WO2021208088A1 (en) | Method and apparatus for security communication | |
| CN111835613B (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
| Vanhoef | A security analysis of the wpa-tkip and tls security protocols | |
| CN112153001A (zh) | 基于waf的网络通信方法、系统、电子装置和存储介质 | |
| CN113225298A (zh) | 一种报文验证方法及装置 | |
| CN115242552B (zh) | 基于ipsec的报文转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1239984 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |