CN107395553A - 一种网络攻击的检测方法及装置 - Google Patents
一种网络攻击的检测方法及装置 Download PDFInfo
- Publication number
- CN107395553A CN107395553A CN201610326779.5A CN201610326779A CN107395553A CN 107395553 A CN107395553 A CN 107395553A CN 201610326779 A CN201610326779 A CN 201610326779A CN 107395553 A CN107395553 A CN 107395553A
- Authority
- CN
- China
- Prior art keywords
- user
- access request
- node
- characteristic information
- user access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了网络攻击的检测方法及装置,应用于信息处理技术领域。在本实施例的方法中,网络攻击的检测装置会提取了某一用户比如第一用户的对应的用户访问请求的第一用户行为特征信息和机器模型,然后根据该第一用户行为特征信息及机器模型确定第一用户对应的用户访问请求是否为合法的类型,这样可以确定用户的用户访问请求是否为CC攻击的请求,从而对CC攻击进行拦截。
Description
技术领域
本发明涉及信息处理技术领域,特别涉及一种网络攻击的检测方法及装置。
背景技术
挑战黑洞(Challenge Collapsar,简称CC)攻击是指攻击者借助代理服务器生成指向受害主机的合法请求,从而实现分布式拒绝服务(Distributed Denial of service,简称DDos)和伪装的一种网络攻击方式。在CC攻击的过程中,由于攻击者发起的请求合法,因此不能像防护其它DDos攻击一样,利用请求的合法性和流量特征去识别攻击请求,这样如何检测CC攻击成为重要的问题。
发明内容
本发明实施例提供一种网络攻击的检测方法及装置,实现了根据用户的用户访问请求的用户行为特征信息及机器模型确定该用户的用户访问请求是否合法的类型。
本发明实施例提供一种网络攻击的检测方法,包括:
接收第一用户对应的用户访问请求;
提取所述第一用户对应的用户访问请求的第一用户行为特征信息;
获取对用户访问请求进行分类的机器模型,所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型;
根据所述机器模型及所述第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。
本发明实施例还提供网络攻击的检测装置,包括:
请求接收单元,用于接收第一用户对应的用户访问请求;
提取单元,用于提取所述第一用户对应的用户访问请求的第一用户行为特征信息;
模型获取单元,用于获取对用户访问请求进行分类的机器模型,所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型;
类型确定单元,用于根据所述模型获取单元获取的机器模型及所述提取单元提取得到的第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。
可见,在本实施例的方法中,网络攻击的检测装置会提取了某一用户比如第一用户的对应的用户访问请求的第一用户行为特征信息和机器模型,然后根据该第一用户行为特征信息及机器模型确定第一用户对应的用户访问请求是否为合法的类型,这样可以确定用户的用户访问请求是否为CC攻击的请求,从而对CC攻击进行拦截。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络攻击的检测方法的流程图;
图2是本发明实施例中网络攻击的检测装置形成机器模型的流程图;
图3是本发明实施例中一种机器模型的示意图;
图4是本发明应用实施例中网络攻击的检测方法的示意图;
图5是本发明实施例提供的一种网络攻击的检测装置的结构示意图;
图6是本发明实施例提供的另一种网络攻击的检测装置的结构示意图;
图7是本发明实施例提供的另一种网络攻击的检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供一种网络攻击的检测方法,主要是由网络攻击的检测装置所装载的系统(比如腾讯云系统,或百度云系统)所执行的方法,流程图如图1所示,包括:
步骤101,接收第一用户对应的用户访问请求。
可以理解,任一用户(比如第一用户)可以使用网页访问的客户端,发起对网页的用户访问请求,在用户访问请求中可以包括该第一用户的用户标识。当网络攻击的检测装置接收到该第一用户的用户访问请求后,可以按照如下步骤102到104对用户访问请求进行检测,确定该第一用户的用户访问请求是否合法。其中网络攻击的检测装置可以对某一段时间内接收的该第一用户发起的用户访问请求进行检测,也可以对某一次接收的该第一用户发起的用户访问请求进行检测。
步骤102,提取第一用户对应的用户访问请求的第一用户行为特征信息。
第一用户行为特征信息是指第一用户通过客户端发起用户访问请求的特征信息,具体可以包括如下任意两个以上的信息:在预置的时间内发起用户访问请求的次数,动态页面占比,访问时间,访问深度,是否能反向验证的特征及公共网关接口(Common Gateway Interface,CGI)信息熵等。其中,访问深度是指通过客户端发起用户访问请求所经过的网络节点,可以反映客户端与该用户访问请求对应服务器之间的链路长短,一般体现在客户端连接该用户访问请求对应服务器时采用的网络地址信息,且访问深度较深(即客户端发起用户访问请求所经过的网络节点较多)的用户访问请求对应的用户为合法用户;反向验证是指当网络攻击的检测装置接收到用户访问请求后,可以向发起该用户访问请求对应用户的客户端发送验证信息,以进行验证。
步骤103,获取对用户访问请求进行分类的机器模型,机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型。
其中,机器模型是事先已经储存在装置中的数学模型,具体可以由网络攻击的检测装置对已知的样本数据进行训练得到,其中由于已知的样本数据是不断更新的,这样网络攻击的检测装置可以以一定的周期对机器模型进行更新。具体地,参考图2所示,网络攻击的检测装置可以通过如下步骤得到机器模型:
步骤A,获取合法用户的合法访问请求,及非法用户的非法访问请求,其中合法访问请求和非法访问请求是已知的样本数据,是已经确定分别与合法用户和非法用户对应。
步骤B,分别对合法用户访问请求及非法用户访问请求的用户行为特征信息进行提取。
步骤C,根据提取的用户行为特征信息形成机器模型。
在实际应用中,机器模型具体可以为决策树模型,该决策树模型包括合法类型的第一节点,非法类型的第二节点及多个第三节点,多个第三节点中每个第三节点用于指示用户访问请求的用户行为特征信息;第一节点与任一第三节点之间的路径用于指示合法用户的用户访问请求的条件信息,第二节点与任一第三节点之间的路径用于指示非法用户的用户访问请求的条件信息。
例如图3所示的决策树模型,图3中非圆角方形所示的节点为第三节点,椭圆形所示的节点为第一节点,圆角方形所示的节点为第二节点。该决策树模型中包括四个第三节点,四个第三节点分别指示的用户行为特征信息包括:1分钟请求次数,请求的CGI信息熵,动态页面占比和反向验证的特征。
任一第一节点(比如图3中的节点A)与某一第三节点(比如表示1分钟请求次数的节点)之间的路径表示某一用户的用户访问请求为合法用户的用户访问请求的条件为:1分钟请求次数大于a,且请求的CGI信息熵大于b或等于b。
第二节点与某一第三节点(比如表示1分钟请求次数的节点)之间的路径表示某一用户的用户访问请求为非法用户的用户访问请求的条件为:1分钟请求次数大于a,请求的CGI信息熵小于b,动态页面占比大于c,且不能反向验证。
步骤104,根据决策树模型及第一用户行为特征信息确定第一用户对应的用户访问请求是否为合法的类型。
如果网络攻击的检测装置确定第一用户对应的用户访问请求的类型为非法,可以将第一用户加入惩罚名单,具体地可以将第一用户的用户标识添加到惩罚名单中,这样可以对惩罚名单中的用户对应的用户访问请求进行拦截,即拦截携带该第一用户的用户标识的用户访问请求;如果网络攻击的检测装置确定第一用户对应的用户访问请求的类型为合法,则可以直接转发该用户访问请求,或对用户访问请求进行其它相应地处理。
进一步地,网络攻击的检测装置在执行了上述步骤101到104后,确定了某一用户的用户访问请求是否合法,还可以储存第一用户的标注信息,标注信息用于指示第一用户的用户访问请求是否为合法的类型,这样网络攻击的检测装置可以将该第一用户的用户访问请求作为已知的样本数据形成上述机器模型。
可见,在本实施例的方法中,网络攻击的检测装置会提取了某一用户比如第一用户的对应的用户访问请求的第一用户行为特征信息和机器模型,然后根据该第一用户行为特征信息及机器模型确定第一用户对应的用户访问请求是否为合法的类型,这样可以确定用户的用户访问请求是否为CC攻击的请求,从而对CC攻击进行拦截。
需要说明的是,在实际应用中,攻击者在发起用户访问请求时,会在多个维度与正常用户的用户访问请求出现显著的差别,具体可以表现在如下几点:
(1)页面类型
由于访问静态页面不需要消耗大量的服务器资源,攻击者往往会挑选需要占用大量中央处理器(Central Processing Unit,CPU)的动态页面发起攻击,例如动态服务器页面((Active Server Page,asp)、个人网页(Personal Home Page,php)、Java服务页面(Java Server Pages,jsp)、公共网关接口(Common GatewayInterface,cgi)页面等;而正常的合法用户在访问网站时,访问的各种页面类型会比较平衡。
因此,网络攻击的检测装置可以将动态页面占比作为一个用户行为特征,并对用户发起的用户访问请求进行统计,计算动态页面的占比,若动态页面占比很高,则该用户可能为非法用户。
(2)访问频次
当资源有限时,为了耗尽网站的服务器资源,攻击者需要对站点发起高频请求,即在短时间内发起多次用户访问请求。因此,网络攻击的检测装置可以将请求频次作为一个用户行为特征,对在短时间内对单个页面的用户访问请求次数进行统计,如果一个用户对该页面的用户访问请求的次数异常多的,则该用户很可能为非法用户。
(3)请求的CGI信息熵
正常情况下,用户通过客户端对站点多次访问的时候,用户访问请求会均匀地分布在多个CGI上,这样信息熵会比较大;而在攻击时,为了更快捷方便地达到攻击效果,攻击者会对单个CGI进行集中访问,即信息熵会比较小。因此,网络攻击的检测装置可以将请求的CGI信息熵作为一个用户行为特征,计算某个用户的用户访问请求的CGI信息熵,如果一个用户的用户访问请求的CGI信息熵较小,比如小于1,则该用户很可能为非法用户。
一般情况下,单个用户行为特征的准确性较低,比如正常用户也可能会通过客户端发起高频请求,但通过对多个用户行为特征进行组合判断后,判断的准确性会大大提高。例如,一个用户通过客户端在凌晨时段,对某个动态页面发起高频请求,且没有访问该网站的其它页面,访问的深度也无任何变化,则该用户很可能是非法用户,即为攻击者。
以下以一个具体的实施例来说明本发明实施例中网络攻击的检测方法,参考图4所示,主要包括如下两个阶段的方法:
(1)决策树模型的离线训练阶段
网络攻击的检测装置将历史数据作为样本数据,其中历史数据包括已经确定为合法用户的第一用户访问请求的信息,和已经确定为非法用户的第二用户访问请求的信息。
提取样本数据的用户行为特征信息,具体是分别提取第一用户访问请求和第二用户访问请求的请求频次(即在1分钟内请求的次数),请求的CGI信息熵,动态页面占比,及是否能反向验证的信息。
根据提取的用户行为特征信息训练形成决策树模型,该决策树模型具体可以如图3所示,在此不进行赘述。
储存形成的决策树模型。且由于历史数据会不断更新,网络攻击的检测装置可以根据历史数据不断更新储存的决策树模型。
(2)对用户访问请求进行在线检测阶段
网络攻击的检测装置在接收到新用户的用户访问请求后,对新用户的用户访问请求进行用户行为特征信息的提取,具体地,提取新用户的用户访问请求的请求频次(即在1分钟内请求的次数),请求的CGI信息熵,动态页面占比,及是否能反向验证的信息。
网络攻击的检测装置会根据装置中已经储存的决策树模型,及新用户的用户访问请求的用户行为特征信息,确定新用户的用户访问请求是否合法的类型。具体地,如果用户访问请求在1分钟内请求的次数大于a,且请求的CGI信息熵小于b,且动态页面占比大于c,且不能反向验证,则该新用户为非法类型用户;在其它情况下,该新用户为合法类型用户。其中,可以取a为30,b为1,c为80%。
如果新用户的用户访问请求为非法类型,则网络攻击的检测装置可以将该新用户的用户标识添加到惩罚名单中,对该新用户对应的用户访问请求进行拦截,具体拦截携带该新用户的用户标识的用户访问请求。
本发明实施例还提供一种网络攻击的检测装置,其结构示意图如图5所示,具体可以包括:
请求接收单元10,用于接收第一用户对应的用户访问请求;其中,请求接收单元10接收的用户访问请求可以是某一段时间内接收的该第一用户发起的用户访问请求,也可以是某一次接收的该第一用户发起的用户访问请求。
提取单元11,用于提取所述请求接收单元10接收的第一用户对应的用户访问请求的第一用户行为特征信息;所述第一用户行为特征信息具体包括如下任意两个以上的信息:在预置的时间内发起用户访问请求的次数,动态页面占比,访问时间,访问深度,是否能反向验证的特征及普通网关接口CGI信息熵。
模型获取单元12,用于获取对用户访问请求进行分类的机器模型,所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型。
所述机器模型为决策树模型,所述决策树模型包括合法类型的第一节点,非法类型的第二节点及多个第三节点,所述多个第三节点中每个第三节点用于指示用户访问请求的用户行为特征信息;所述第一节点与任一所述第三节点之间的路径用于指示合法用户的用户访问请求的条件信息,所述第二节点与任一所述第三节点之间的路径用于指示非法用户的用户访问请求的条件信息。
类型确定单元13,用于根据所述模型获取单元12获取的机器模型及所述提取单元11提取得到的第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。
在本实施例的装置中,提取单元11提取了某一用户比如第一用户的对应的用户访问请求的第一用户行为特征信息和机器模型,然后类型确定单元13根据该第一用户行为特征信息及机器模型确定第一用户对应的用户访问请求是否合法的类型,这样可以确定用户的用户访问请求是否为CC攻击的请求,从而对CC攻击进行拦截。
参考图6所示,在一个具体的实施例中,网络攻击的检测装置除了可以包括如图5所示的结构外,还可以包括:数据获取单元14,特征提取单元15,模型形成单元16,储存单元17及处理单元18,其中:
数据获取单元14,用于获取合法用户的第一用户访问请求,及非法用户的第二用户访问请求;其中第一用户访问请求和第二用户访问请求是已知的样本数据,是已经确定分别与合法用户和非法用户对应。
特征提取单元15,用于分别对所述数据获取单元14获取的第一用户访问请求及所述第二用户访问请求的用户行为特征信息进行提取。
模型形成单元16,用于根据所述特征提取单元15提取的用户行为特征信息形成所述机器模型。
储存单元17,用于当类型确定单元13确定用户访问请求的类型后,储存所述第一用户的标注信息,所述标注信息用于指示所述第一用户的用户访问请求是否合法的类型。这样,上述数据获取单元14可以根据储存单元17储存的标注信息将该第一用户的用户访问请求作为已知的样本数据以形成上述机器模型。
处理单元18,用于如果所述类型确定单元13确定第一用户对应的用户访问请求的类型为非法,将所述第一用户加入惩罚名单,对所述惩罚名单中的用户对应的用户访问请求进行拦截。如果类型确定单元13确定第一用户对应的用户访问请求的类型为合法,该处理单元18还可以直接转发该用户访问请求,或对用户访问请求进行其它相应地处理。
本实施例中,通过数据获取单元14,特征提取单元15和模型形成单元16可以形成机器模型,然后装置中的模型获取单元12在获取机器模型时,可以获取模型形成单元16形成的机器模型。
本发明实施例还提供一种网络攻击的检测装置,其结构示意图如图7所示,该网络攻击的检测装置可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)20(例如,一个或一个以上处理器)和存储器21,一个或一个以上存储应用程序221或数据222的存储介质22(例如一个或一个以上海量存储设备)。其中,存储器21和存储介质22可以是短暂存储或持久存储。存储在存储介质22的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对网络攻击的检测装置中的一系列指令操作。更进一步地,中央处理器20可以设置为与存储介质22通信,在网络攻击的检测装置上执行存储介质22中的一系列指令操作。
网络攻击的检测装置还可以包括一个或一个以上电源23,一个或一个以上有线或无线网络接口24,一个或一个以上输入输出接口25,和/或,一个或一个以上操作系统223,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述方法实施例中所述的由网络攻击的检测装置所执行的步骤可以基于该图7所示的网络攻击的检测装置的结构。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM)、随机存取存储器RAM)、磁盘或光盘等。
以上对本发明实施例所提供的网络攻击的检测方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种网络攻击的检测方法,其特征在于,包括:
接收第一用户对应的用户访问请求;
提取所述第一用户对应的用户访问请求的第一用户行为特征信息;
获取对用户访问请求进行分类的机器模型,所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型;
根据所述机器模型及所述第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。
2.如权利要求1所述的方法,其特征在于,所述第一用户行为特征信息具体包括如下任意两个以上的信息:在预置的时间内发起用户访问请求的次数,动态页面占比,访问时间,访问深度,是否能反向验证的特征及公共网关接口CGI信息熵。
3.如权利要求1所述的方法,其特征在于,所述机器模型为决策树模型,所述决策树模型包括合法类型的第一节点,非法类型的第二节点及多个第三节点,所述多个第三节点中每个第三节点用于指示用户访问请求的用户行为特征信息;
所述第一节点与任一所述第三节点之间的路径用于指示合法用户的用户访问请求的条件信息,所述第二节点与任一所述第三节点之间的路径用于指示非法用户的用户访问请求的条件信息。
4.如权利要求1至3任一项所述的方法,其特征在于,所述接收第一用户对应的用户访问请求之前,所述方法还包括:
获取合法用户的合法访问请求,及非法用户的非法访问请求;
分别对所述合法访问请求及所述非法访问请求的用户行为特征信息进行提取;
根据所述提取的用户行为特征信息形成所述机器模型。
5.如权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
储存所述第一用户的标注信息,所述标注信息用于指示所述第一用户的用户访问请求是否合法的类型。
6.如权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
如果所述第一用户对应的用户访问请求的类型为非法,将所述第一用户加入惩罚名单,对所述惩罚名单中的用户对应的用户访问请求进行拦截。
7.一种网络攻击的检测装置,其特征在于,包括:
请求接收单元,用于接收第一用户对应的用户访问请求;
提取单元,用于提取所述第一用户对应的用户访问请求的第一用户行为特征信息;
模型获取单元,用于获取对用户访问请求进行分类的机器模型,所述机器模型用于根据用户访问请求的用户行为特征信息确定用户访问请求是否为合法的类型;
类型确定单元,用于根据所述模型获取单元获取的机器模型及所述提取单元提取得到的第一用户行为特征信息确定所述第一用户对应的用户访问请求是否为合法的类型。
8.如权利要求7所述的装置,其特征在于,所述第一用户行为特征信息具体包括如下任意两个以上的信息:在预置的时间内发起用户访问请求的次数,动态页面占比,访问时间,访问深度,是否能反向验证的特征及公共网关接口CGI信息熵。
9.如权利要求7所述的装置,其特征在于,所述机器模型为决策树模型,所述决策树模型包括合法类型的第一节点,非法类型的第二节点及多个第三节点,所述多个第三节点中每个第三节点用于指示用户访问请求的用户行为特征信息;
所述第一节点与任一所述第三节点之间的路径用于指示合法用户的用户访问请求的条件信息,所述第二节点与任一所述第三节点之间的路径用于指示非法用户的用户访问请求的条件信息。
10.如权利要求7至9任一项所述的装置,其特征在于,还包括:
数据获取单元,用于获取合法用户的合法用户访问请求,及非法用户的非法用户访问请求;
特征提取单元,用于分别对所述合法用户访问请求及所述非法用户访问请求的用户行为特征信息进行提取;
模型形成单元,用于根据所述提取的用户行为特征信息形成所述机器模型。
11.如权利要求7至9任一项所述的装置,其特征在于,还包括:
储存单元,用于储存所述第一用户的标注信息,所述标注信息用于指示所述第一用户的用户访问请求是否合法的类型。
12.如权利要求7至9任一项所述的装置,其特征在于,还包括:
处理单元,用于如果所述第一用户对应的用户访问请求的类型为非法,将所述第一用户加入惩罚名单,对所述惩罚名单中的用户对应的用户访问请求进行拦截。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610326779.5A CN107395553B (zh) | 2016-05-17 | 2016-05-17 | 一种网络攻击的检测方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610326779.5A CN107395553B (zh) | 2016-05-17 | 2016-05-17 | 一种网络攻击的检测方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107395553A true CN107395553A (zh) | 2017-11-24 |
CN107395553B CN107395553B (zh) | 2021-02-02 |
Family
ID=60338012
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610326779.5A Active CN107395553B (zh) | 2016-05-17 | 2016-05-17 | 一种网络攻击的检测方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107395553B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
CN108229157A (zh) * | 2017-12-29 | 2018-06-29 | 北京潘达互娱科技有限公司 | 服务器入侵预警方法及设备 |
CN108777687A (zh) * | 2018-06-05 | 2018-11-09 | 掌阅科技股份有限公司 | 基于用户行为画像的爬虫拦截方法、电子设备、存储介质 |
CN109040016A (zh) * | 2018-06-25 | 2018-12-18 | 深信服科技股份有限公司 | 一种信息处理方法、设备及计算机可读存储介质 |
CN109981533A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
CN111262857A (zh) * | 2020-01-16 | 2020-06-09 | 精硕科技(北京)股份有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110154494A1 (en) * | 2003-04-16 | 2011-06-23 | Verizon Patent And Licensing Inc. | Methods and Systems for Network Attack Detection and Prevention Through Redirection |
CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
CN104079557A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种cc攻击的防护方法及装置 |
CN105516211A (zh) * | 2016-02-06 | 2016-04-20 | 北京祥云天地科技有限公司 | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 |
-
2016
- 2016-05-17 CN CN201610326779.5A patent/CN107395553B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110154494A1 (en) * | 2003-04-16 | 2011-06-23 | Verizon Patent And Licensing Inc. | Methods and Systems for Network Attack Detection and Prevention Through Redirection |
CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
CN104079557A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种cc攻击的防护方法及装置 |
CN105516211A (zh) * | 2016-02-06 | 2016-04-20 | 北京祥云天地科技有限公司 | 基于行为模型对访问数据库行为进行识别的方法、设备和系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981533A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种DDoS攻击检测方法、装置、电子设备及存储介质 |
CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
CN108229157A (zh) * | 2017-12-29 | 2018-06-29 | 北京潘达互娱科技有限公司 | 服务器入侵预警方法及设备 |
CN108777687A (zh) * | 2018-06-05 | 2018-11-09 | 掌阅科技股份有限公司 | 基于用户行为画像的爬虫拦截方法、电子设备、存储介质 |
CN109040016A (zh) * | 2018-06-25 | 2018-12-18 | 深信服科技股份有限公司 | 一种信息处理方法、设备及计算机可读存储介质 |
CN109040016B (zh) * | 2018-06-25 | 2021-04-09 | 深信服科技股份有限公司 | 一种信息处理方法、设备及计算机可读存储介质 |
CN111262857A (zh) * | 2020-01-16 | 2020-06-09 | 精硕科技(北京)股份有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
CN111262857B (zh) * | 2020-01-16 | 2022-03-29 | 北京秒针人工智能科技有限公司 | 一种异常流量检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107395553B (zh) | 2021-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107395553A (zh) | 一种网络攻击的检测方法及装置 | |
CN107465651B (zh) | 网络攻击检测方法及装置 | |
CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
CN111949803B (zh) | 一种基于知识图谱的网络异常用户检测方法、装置和设备 | |
Carroll et al. | A game theoretic investigation of deception in network security | |
CN104333562B (zh) | 数据包传输方法及装置 | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
Çeker et al. | Deception-based game theoretical approach to mitigate DoS attacks | |
CN109274637A (zh) | 确定分布式拒绝服务攻击的系统和方法 | |
JP2019091435A (ja) | 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 | |
CN107465648A (zh) | 异常设备的识别方法及装置 | |
CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
CN107679626A (zh) | 机器学习方法、装置、系统、存储介质及设备 | |
CN109698809A (zh) | 一种账号异常登录的识别方法及装置 | |
CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
CN110535874A (zh) | 一种对抗性网络的网络攻击检测方法及系统 | |
CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
CN106789837A (zh) | 网络异常行为检测方法及检测装置 | |
CN109446801A (zh) | 检测模拟器访问的方法、装置、服务器及存储介质 | |
Anderson et al. | Parameterizing moving target defenses | |
CN115348117B (zh) | 用户水平越权行为判定方法和装置 | |
CN110058565B (zh) | 一种基于Linux操作系统的工业控制PLC系统指纹模拟方法 | |
JP6785360B2 (ja) | 攻撃文字列生成方法および装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |