CN107426132B - 网络攻击的检测方法和装置 - Google Patents
网络攻击的检测方法和装置 Download PDFInfo
- Publication number
- CN107426132B CN107426132B CN201610344166.4A CN201610344166A CN107426132B CN 107426132 B CN107426132 B CN 107426132B CN 201610344166 A CN201610344166 A CN 201610344166A CN 107426132 B CN107426132 B CN 107426132B
- Authority
- CN
- China
- Prior art keywords
- network address
- frequency
- access
- attack source
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络攻击的检测方法和装置。所述方法包括:搜集所选时段内的各个网络地址访问目标网络地址的访问频次;筛选所述访问频次高于第一频次阈值的网络地址,得到候选网络地址;采用跟踪路由跟踪所述候选网络地址,得到各个候选网络地址到所述目标网络地址对应的访问路径;删除所述访问路径中信任的节点,将所述访问路径中剩余的节点作为可疑攻击源;获取所述可疑攻击源访问所述目标网络地址的访问时间分布数据;识别所述访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。上述网络攻击的检测方法和装置,有效检测出恶意攻击源,网络的安全性增强了。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种网络攻击的检测方法和装置。
背景技术
随着网络技术的迅速发展,越来越多的用户使用网络从事各种社会活动,各种各样的应用程序应运而生,各种各样的应用程序提供各种服务会依赖于服务器或云服务器等。
存在一些网络黑客或网络侵略者通过网络攻击某台服务器或某台个人计算机,获取数据或导致服务器崩溃等,严重威胁网络安全。
发明内容
基于此,有必要针对网络易受恶意攻击源进行攻击导致网络不安全的问题,提供一种网络攻击的检测方法,能检测出恶意攻击源,网络的安全性增强。
此外,还有必要提供一种网络攻击的检测装置,能检测出恶意攻击源,网络的安全性增强。
一种网络攻击的检测方法,包括:
搜集所选时段内的各个网络地址访问目标网络地址的访问频次;
筛选所述访问频次高于第一频次阈值的网络地址,得到候选网络地址;
采用跟踪路由跟踪所述候选网络地址,得到各个候选网络地址到所述目标网络地址对应的访问路径;
删除所述访问路径中信任的节点,将所述访问路径中剩余的节点作为可疑攻击源;
获取所述可疑攻击源访问所述目标网络地址的访问时间分布数据;
识别所述访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
一种网络攻击的检测装置,包括:
搜集模块,用于搜集所选时段内的各个网络地址访问目标网络地址的访问频次;
第一筛选模块,用于筛选所述访问频次高于第一频次阈值的网络地址,得到候选网络地址;
跟踪模块,用于采用跟踪路由跟踪所述候选网络地址,得到各个候选网络地址到所述目标网络地址对应的访问路径;
删除模块,用于删除所述访问路径中信任的节点,将所述访问路径中剩余的节点作为可疑攻击源;
数据获取模块,用于获取所述可疑攻击源访问所述目标网络地址的访问时间分布数据;
识别模块,用于识别所述访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
上述网络攻击的检测方法和装置,通过搜集所选时段内各个网络地址访问目标网络地址的访问频次,筛选出候选网络地址,根据候选网络地址得到对应的访问路径,剔除访问路径中可信任的网络地址,将剩余的网络地址作为可疑攻击源,分析可疑攻击源访问目标网络地址的访问时间分布数据,满足预设条件的可疑攻击源则为恶意攻击源,有效检测出恶意攻击源,网络的安全性增强了。
附图说明
图1为一个实施例中网络攻击的检测方法和装置的应用环境示意图;
图2为一个实施例中电子设备的内部结构示意图;
图3为一个实施例中网络攻击的检测方法的流程图;
图4A为网关访问目标地址的时间-频次示意图;
图4B为恶意攻击源访问目标地址的时间-频次的示意图;
图5为另一个实施例中网络攻击的检测方法的流程图;
图6为一个实施例中搜集所选时段内的各个网络地址访问目标网络地址的访问频次的步骤具体流程图;
图7为一个实施例中网络攻击的检测装置的结构框图;
图8为一个实施例中搜集模块的内部结构框图;
图9为另一个实施例中网络攻击的检测装置的结构框图;
图10为另一个实施例中网络攻击的检测装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本发明所使用的术语″第一″、″第二″等可在本文中用于描述各种元件,但这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本发明的范围的情况下,可以将第一客户端称为第二客户端,且类似地,可将第二客户端称为第一客户端。第一客户端和第二客户端两者都是客户端,但其不是同一客户端。
图1为一个实施例中网络攻击的检测方法和装置的应用环境示意图。如图1所示,该应用环境包括第一终端110、第二终端120、服务器130。第一终端110可为个人计算机、平板电脑、个人数字助理等具备访问网络能力的设备。第一终端110接入网络后分配对应的网络地址(Intemet Protocol,IP地址),第二终端120接入网络后也分配对应的IP地址,第一终端110访问服务器130时,经过第二终端120,跟踪第一终端110的IP地址访问服务器130的IP地址,得到访问路径,该访问路径中节点包括第一终端110的IP地址、第二终端120的IP地址、服务器130的IP地址。筛选得到第二终端120的IP地址为可疑攻击源,获取第二终端120的IP地址访问服务器130的IP地址的访问时间分布数据,该访问时间分布数据满足预设条件,则该可疑攻击源为恶意攻击源。
除了应用于图1中的应用场景,上述网络攻击的检测方法和装置也可应用于其他场景中,不限于此。
图2为一个实施例中电子设备的内部结构示意图。如图2所示,该电子设备包括通过系统总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中,电子设备的非易失性存储介质存储有操作系统,还包括一种网络攻击的检测装置,该网络攻击的检测装置用于实现一种网络攻击的检测方法。该处理器用于提供计算和控制能力,支撑整个终端的运行。电子设备中的内存储器为非易失性存储介质中的网络攻击的检测装置的运行提供环境,该内存储器中可储存有计算机可读指令,该计算机可读指令被所述处理器执行时,可使得所述处理器执行一种网络攻击的检测方法。网络接口用于网络通信。该电子设备可以是手机、平板电脑或者个人数字助理或穿戴式设备或服务器等。本领域技术人员可以理解,图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
图3为一个实施例中网络攻击的检测方法的流程图。如图3所示,一种网络攻击的检测方法,运行于图2的电子设备上,包括:
步骤302,搜集所选时段内的各个网络地址访问目标网络地址的访问频次。
本实施例中,所选时段可根据需要选取,如2016年5月3日10点10分至2016年5月3日22点59分。各个网络地址是指任意访问目标网络地址的网络地址。目标网络地址可为指定的网络地址。访问频次是指在所选时段内访问的次数。
步骤304,筛选该访问频次高于第一频次阈值的网络地址,得到候选网络地址。
本实施例中,第一频次阈值可根据需要设定,也可根据正常访问量进行设置。正常访问量是指信任的IP地址的访问量。将各个网络地址的访问频次与第一频次阈值进行比较,筛选得到访问频次高于第一频次阈值的网络地址,将访问频次高于第一频次阈值的网络地址作为候选网络地址。
步骤306,采用跟踪路由跟踪该候选网络地址,得到各个候选网络地址到该目标网络地址对应的访问路径。
本实施例中,采用Tracert(跟踪路由)跟踪候选网络地址,可以监测到候选网络地址到目标网络地址的访问路径。例如访问路径可为10.0.0.1---192.168.0.1---172.16.0.99---152.16.1.6。
Tracert是路由跟踪实用程序,用于确定IP数据包访问目标所采取的路径。Tracert命令使用IP生存时间字段和ICMP(Internet Control Message Protocol,因特网报文控制协议)错误信息来确定从一个主机到网络上其他主机的路由,对应的命令格式如下:tracert[-d][-h maximum_hops][-j computer-list][-w timeout]target_name。
获取各个网络地址到目标网络地址的访问路径及对应的访问时间,搜索得到预定时间内的各个网络地址到目标网络地址的访问路径。
步骤308,删除该访问路径中信任的节点,将该访问路径中剩余的节点作为可疑攻击源。
本实施例中,将访问路径中的各个节点的网络地址与预先建立的信任的网络地址进行比较,若相同,则该节点为信任的节点,删除访问路径中信任的节点,将访问路径中剩余的节点作为可疑攻击源。可疑攻击源是指可能为恶意攻击源的网络地址。访问路径中的删除掉信任的节点后的其余节点作为可疑攻击源。例如访问路径10.0.0.1---192.168.0.1---172.16.0.99---152.16.1.6,信任的节点为192.168.0.1和152.16.1.6,则剩余的节点10.0.0.1、172.16.0.99将作为可疑攻击源。
步骤310,获取该可疑攻击源访问该目标网络地址的访问时间分布数据。
本实施例中,可疑攻击源访问目标网络地址的访问时间分布数据可包括访问时间、访问频次分布等。
步骤312,识别该访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
本实施例中,预设条件可为在某段时间内存在稳定的访问频次。稳定的访问频次是指稳定的访问量。
在一个实施例中步骤312包括:整理各个可疑攻击源的访问时间分布数据,得到各可疑攻击源对应的时间与访问频次关系图;若该可疑攻击源对应的时间与访问频次关系图存在稳定的访问频次,则该可疑攻击源为恶意攻击源。
识别可疑攻击源为恶意攻击源还是网关IP,可对可疑攻击源的访问时间分布数据进行整理,得到可疑攻击源对应的时间与访问频次关系图。如图4A所示,访问频次随着访问时间变化没有比较稳定的访问频次,可判断出该可疑攻击源为网关的可能性较大,横坐标为时间,纵坐标为访问频次;如图4B所示,在一段时间内存在一个稳定的访问频次,一条平行42表示在一段时间内存在稳定的访问频次,可判断出该可疑攻击源为恶意攻击源。判断出恶意攻击源后,可对恶意攻击源进行打击,其中,横坐标为时间,纵坐标为访问频次。
上述网络攻击的检测方法,通过搜集所选时段内各个网络地址访问目标网络地址的访问频次,筛选出候选网络地址,根据候选网络地址得到对应的访问路径,剔除访问路径中可信任的网络地址,将剩余的网络地址作为可疑攻击源,分析可疑攻击源访问目标网络地址的访问时间分布数据,满足预设条件的可疑攻击源则为恶意攻击源,有效检测出恶意攻击源,网络的安全性增强了。
图5为另一个实施例中网络攻击的检测方法的流程图。如图5所示,一种网络攻击的检测方法,运行于图2的电子设备上,包括:
步骤502,搜集所选时段内的各个网络地址访问目标网络地址的访问频次。
本实施例中,所选时段可根据需要选取,如2016年5月3日10点10分至2016年5月3日22点59分。各个网络地址是指任意访问目标网络地址的网络地址。目标网络地址可为指定的网络地址。访问频次是指在所选时段内访问的次数。
步骤504,筛选该访问频次高于第一频次阈值的网络地址,得到候选网络地址。
本实施例中,第一频次阈值可根据需要设定,也可根据正常访问量进行设置。正常访问量是指信任的IP地址的访问量。将各个网络地址的访问频次与第一频次阈值进行比较,筛选得到访问频次高于第一频次阈值的网络地址,将访问频次高于第一频次阈值的网络地址作为候选网络地址。
步骤506,采用跟踪路由跟踪该候选网络地址,得到各个候选网络地址到该目标网络地址对应的访问路径。
本实施例中,采用Tracert跟踪候选网络地址,可以监测到候选网络地址到目标网络地址的访问路径。例如访问路径可为10.0.0.1---192.168.0.1---172.16.0.99---152.16.1.6。
获取各个网络地址到目标网络地址的访问路径及对应的访问时间,搜索得到预定时间内的各个网络地址到目标网络地址的访问路径。
步骤508,删除该访问路径中信任的节点。
本实施例中,将访问路径中的各个节点的网络地址与预先建立的信任的网络地址进行比较,若相同,则该节点为信任的节点,删除访问路径中信任的节点,将访问路径中剩余的节点作为可疑攻击源。
步骤510,统计预设时间内该各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次。
本实施例中,预设时间可根据需要设定,如从当前时刻起10分钟内等。例如在预设时间内A候选网络地址到目标网络地址的访问路径为10.0.0.1---192.168.0.1---172.16.0.99---152.16.1.6,B候选网络地址到目标网络地址的访问路径为10.0.1.1---192.168.0.1---171.16.0.99---152.16.1.6,C候选网络地址到目标网络地址的访问路径为10.0.1.2---192.168.0.1---170.16.0.99---152.16.1.6。统计得到访问路径中各个节点的出现频次,192.168.0.1的出现频次为3次,172.16.0.99的出现频次为1次,171.16.0.99的出现频次为1次,170.16.0.99的出现频次为1次。152.16.1.6为目标网络地址可不统计。10.0.0.1、10.0.1.1和10.0.1.2为候选网络地址。
利用遍历算法遍历所有跟踪路由查到的候选网络地址的访问路径,统计访问路径中的节点的访问频次。
在一个实施例中,在该统计该各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次的步骤之后,还包括:按照出现频次从大到小对该节点进行排序。
本实施例中,按照出现频次从大到小或从小到大对节点进行排序。排序后方便后续快速查找到访问频次高于第二频次阈值的节点。
在一个实施例中,步骤508和步骤510可不分先后。
步骤512,从该访问路径中剩余的节点中筛选出现频次高于第二频次阈值的节点,得到可疑攻击源。
本实施例中,第二频次阈值可根据需要设定。可疑攻击源是指可能为恶意攻击源的网络地址。
步骤514,获取该可疑攻击源访问该目标网络地址的访问时间分布数据。
本实施例中,可疑攻击源访问目标网络地址的访问时间分布数据可包括访问时间、访问频次分布等。
步骤516,识别该访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
本实施例中,预设条件可为在某段时间内存在稳定的访问频次。稳定的访问频次是指稳定的访问量。
在一个实施例中步骤516包括:整理各个可疑攻击源的访问时间分布数据,得到各可疑攻击源对应的时间与访问频次关系图;若该可疑攻击源对应的时间与访问频次关系图存在稳定的访问频次,则该可疑攻击源为恶意攻击源。
识别可疑攻击源为恶意攻击源还是网关IP,可对可疑攻击源的访问时间分布数据进行整理,得到可疑攻击源对应的时间与访问频次关系图。如图4A所示,访问频次随着访问时间变化没有比较稳定的访问频次,可判断出该可疑攻击源为网关的可能性较大;如图4B所示,在一段时间内存在一个稳定的访问频次,一条平行42表示在一段时间内存在稳定的访问频次,可判断出该可疑攻击源为恶意攻击源。判断出恶意攻击源后,可对恶意攻击源进行打击。
上述网络攻击的检测方法,通过搜集所选时段内各个网络地址访问目标网络地址的访问频次,筛选出候选网络地址,根据候选网络地址得到对应的访问路径,剔除访问路径中可信任的网络地址,统计访问路径中各个网络地址的出现频次,从剩余的网络地址中筛选出出现频次高于第二频次阈值的网络地址,作为可疑攻击源,减少了数据分析量,分析可疑攻击源访问目标网络地址的访问时间分布数据,满足预设条件的可疑攻击源则为恶意攻击源,有效检测出恶意攻击源,网络的安全性增强了。
在一个实施例中,如图6所示,搜集所选时段内的各个网络地址访问目标网络地址的访问频次的步骤包括:
步骤602,获取各个网络地址访问目标网络地址的访问时间及访问频次数据。
本实施例中,以目标网络地址的数量流量为基础,获取各个网络地址访问目标网络地址的访问时间及访问频次数据。访问时间是指访问的具体时刻等。访问频次是指访问次数。
步骤604,获取所选时段。
本实施例中,所选时段可根据需要选定,不做限制。
步骤606,从该访问时间及访问频次数据中搜集所选时段内的各个网络地址访问目标网络地址的访问频次。
上述搜集所选时段内各个网络地址访问目标网络地址的访问频次,通过获取访问目标网络地址的各个网络地址数据,作为数据源,数据准确。
图7为一个实施例中网络攻击的检测装置的结构框图。如图7所示,一种网络攻击的检测装置,包括搜集模块702、第一筛选模块704、跟踪模块706、删除模块708、数据获取模块710和识别模块712。其中:
搜集模块702用于搜集所选时段内的各个网络地址访问目标网络地址的访问频次。
本实施例中,所选时段可根据需要选取,如2016年5月3日10点10分至2016年5月3日22点59分。各个网络地址是指任意访问目标网络地址的网络地址。目标网络地址可为指定的网络地址。访问频次是指在所选时段内访问的次数。
图8为一个实施例中搜集模块的内部结构框图。如图8所示,搜集模块702包括数据获取单元702a、时段获取单元702b和搜集单元702c。其中:
数据获取单元702a用于获取各个网络地址访问目标网络地址的访问时间及访问频次数据。
时段获取单元702b用于获取所选时段。
搜集单元702c用于从该访问时间及访问频次数据中搜集所选时段内的各个网络地址访问到目标网络地址的访问频次。
第一筛选模块704用于筛选该访问频次高于第一频次阈值的网络地址,得到候选网络地址。
本实施例中,第一频次阈值可根据需要设定,也可根据正常访问量进行设置。正常访问量是指信任的IP地址的访问量。将各个网络地址的访问频次与第一频次阈值进行比较,筛选得到访问频次高于第一频次阈值的网络地址,将访问频次高于第一频次阈值的网络地址作为候选网络地址。
跟踪模块706用于采用跟踪路由跟踪该候选网络地址,得到各个候选网络地址到该目标网络地址对应的访问路径。
本实施例中,采用Tracert跟踪候选网络地址,可以监测到候选网络地址到目标网络地址的访问路径。例如访问路径可为10.0.0.1---192.168.0.1---172.16.0.99---152.16.1.6。
获取各个网络地址到目标网络地址的访问路径及对应的访问时间,搜索得到预定时间内的各个网络地址到目标网络地址的访问路径。
删除模块708用于删除该访问路径中信任的节点,将该访问路径中剩余的节点作为可疑攻击源。
本实施例中,将访问路径中的各个节点的网络地址与预先建立的信任的网络地址进行比较,若相同,则该节点为信任的节点,删除访问路径中信任的节点,将访问路径中剩余的节点作为可疑攻击源。
数据获取模块710用于获取该可疑攻击源访问该目标网络地址的访问时间分布数据。本实施例中,可疑攻击源访问目标网络地址的访问时间分布数据可包括访问时间、访问频次分布等。
识别模块712用于识别该访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
本实施例中,预设条件可为在某段时间内存在稳定的访问频次。稳定的访问频次是指稳定的访问量。
识别模块712还用于整理各个可疑攻击源的访问时间分布数据,得到各可疑攻击源对应的时间与访问频次关系图;若该可疑攻击源对应的时间与访问频次关系图存在稳定的访问频次,则该可疑攻击源为恶意攻击源。
上述网络攻击的检测装置,通过搜集所选时段内各个网络地址访问目标网络地址的访问频次,筛选出候选网络地址,根据候选网络地址得到对应的访问路径,剔除访问路径中可信任的网络地址,将剩余的网络地址作为可疑攻击源,分析可疑攻击源访问目标网络地址的访问时间分布数据,满足预设条件的可疑攻击源则为恶意攻击源,有效检测出恶意攻击源,网络的安全性增强了。
图9为另一个实施例中网络攻击的检测装置的结构框图。如图9所示,一种网络攻击的检测装置,除了包括搜集模块702、第一筛选模块704、跟踪模块706、删除模块708、数据获取模块710和识别模块712,还包括统计模块714、第二筛选模块716。
统计模块714用于统计该各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次。
第二筛选模块716用于从该访问路径中剩余的节点中筛选出现频次高于第二频次阈值的节点,得到可疑攻击源。
上述恶网络攻击的检测装置,通过搜集所选时段内各个网络地址访问目标网络地址的访问频次,筛选出候选网络地址,根据候选网络地址得到对应的访问路径,剔除访问路径中可信任的网络地址,统计访问路径中各个网络地址的出现频次,从剩余的网络地址中筛选出出现频次高于第二频次阈值的网络地址,作为可疑攻击源,减少了数据分析量,分析可疑攻击源访问目标网络地址的访问时间分布数据,满足预设条件的可疑攻击源则为恶意攻击源,有效检测出恶意攻击源,网络的安全性增强了。
图10为另一个实施例中网络攻击的检测装置的结构框图。如图10所示,一种网络攻击的检测装置,除了包括搜集模块702、第一筛选模块704、跟踪模块706、删除模块708、数据获取模块710、识别模块712、统计模块714、第二筛选模块716,还包括排序模块718。
排序模块718用于在该统计模块统计该各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次之后,按照出现频次从大到小对该节点进行排序。
本实施例中,按照出现频次从大到小或从小到大对节点进行排序。排序后方便后续快速查找到访问频次高于第二频次阈值的节点。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种网络攻击的检测方法,包括:
搜集所选时段内的各个网络地址访问目标网络地址的访问频次;
筛选所述访问频次高于第一频次阈值的网络地址,得到候选网络地址;
采用跟踪路由跟踪所述候选网络地址,得到各个候选网络地址到所述目标网络地址对应的访问路径;
删除所述访问路径中信任的节点,将所述访问路径中剩余的节点作为可疑攻击源;
获取所述可疑攻击源访问所述目标网络地址的访问时间分布数据;
识别所述访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
2.根据权利要求1所述的方法,其特征在于,所述删除所述访问路径中信任的节点,将所述访问路径中剩余的节点作为可疑攻击源的步骤之后,所述方法还包括:
统计预设时间内所述各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次;
从所述访问路径中剩余的节点中筛选出现频次高于第二频次阈值的节点,得到可疑攻击源。
3.根据权利要求2所述的方法,其特征在于,在所述统计所述各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次的步骤之后,所述方法还包括:
按照出现频次对所述节点进行排序。
4.根据权利要求1所述的方法,其特征在于,所述搜集所选时段内的各个网络地址访问目标网络地址的访问频次的步骤包括:
获取各个网络地址访问目标网络地址的访问时间及访问频次数据;
获取所选时段;
从所述访问时间及访问频次数据中搜集所选时段内的各个网络地址访问目标网络地址的访问频次。
5.根据权利要求1所述的方法,其特征在于,所述识别所述访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源的步骤包括:
整理各个可疑攻击源的访问时间分布数据,得到各可疑攻击源对应的时间与访问频次关系图;
若所述可疑攻击源对应的时间与访问频次关系图存在稳定的访问频次,则所述可疑攻击源为恶意攻击源,其中,所述时间与访问频次关系图存在稳定的访问频次具体为:所述访问频次关系图中,在一段时间内存在一个随着访问时间变化稳定的访问频次。
6.一种网络攻击的检测装置,其特征在于,包括:
搜集模块,用于搜集所选时段内的各个网络地址访问目标网络地址的访问频次;
第一筛选模块,用于筛选所述访问频次高于第一频次阈值的网络地址,得到候选网络地址;
跟踪模块,用于采用跟踪路由跟踪所述候选网络地址,得到各个候选网络地址到所述目标网络地址对应的访问路径;
删除模块,用于删除所述访问路径中信任的节点,将所述访问路径中剩余的节点作为可疑攻击源;
数据获取模块,用于获取所述可疑攻击源访问所述目标网络地址的访问时间分布数据;
识别模块,用于识别所述访问时间分布数据满足预设条件的可疑攻击源,得到恶意攻击源。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
统计模块,用于统计预设时间内所述各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次;
第二筛选模块,用于从所述访问路径中剩余的节点中筛选出现频次高于第二频次阈值的节点,得到可疑攻击源。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
排序模块,用于在所述统计模块统计所述各个候选网络地址到目标网络地址对应的访问路径中各个节点的出现频次之后,按照出现频次对所述节点进行排序。
9.根据权利要求6所述的装置,其特征在于,所述搜集模块包括:
数据获取单元,用于获取各个网络地址访问目标网络地址的访问时间及访问频次数据;
时段获取单元,用于获取所选时段;
搜集单元,用于从所述访问时间及访问频次数据中搜集所选时段内的各个网络地址访问目标网络地址的访问频次。
10.根据权利要求6所述的装置,其特征在于,所述识别模块还用于整理各个可疑攻击源的访问时间分布数据,得到各可疑攻击源对应的时间与访问频次关系图;若所述可疑攻击源对应的时间与访问频次关系图存在稳定的访问频次,则所述可疑攻击源为恶意攻击源,其中,所述时间与访问频次关系图存在稳定的访问频次具体为:所述访问频次关系图中,在一段时间内存在一个随着访问时间变化稳定的访问频次。
11.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至5中任一项所述方法的步骤。
12.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至5中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610344166.4A CN107426132B (zh) | 2016-05-23 | 2016-05-23 | 网络攻击的检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610344166.4A CN107426132B (zh) | 2016-05-23 | 2016-05-23 | 网络攻击的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107426132A CN107426132A (zh) | 2017-12-01 |
CN107426132B true CN107426132B (zh) | 2019-09-17 |
Family
ID=60422270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610344166.4A Active CN107426132B (zh) | 2016-05-23 | 2016-05-23 | 网络攻击的检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107426132B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109274638A (zh) * | 2018-05-22 | 2019-01-25 | 四川斐讯信息技术有限公司 | 一种攻击源接入自动识别处理的方法和路由器 |
CN110460593B (zh) * | 2019-07-29 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种移动流量网关的网络地址识别方法、装置及介质 |
CN113014529B (zh) * | 2019-12-19 | 2023-09-26 | 北京数安鑫云信息技术有限公司 | 网络攻击的识别方法、装置、介质及设备 |
CN112084439B (zh) * | 2020-09-02 | 2023-12-19 | 上海谋乐网络科技有限公司 | 一种识别url中变量的方法、装置、设备及存储介质 |
CN114257414A (zh) * | 2021-11-25 | 2022-03-29 | 国网山东省电力公司日照供电公司 | 一种网络安全智能值班方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101242410A (zh) * | 2008-03-11 | 2008-08-13 | 南京邮电大学 | 基于简单对象访问协议的网格主观信任处理方法 |
CN101262373A (zh) * | 2008-04-18 | 2008-09-10 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
WO2015012422A1 (ko) * | 2013-07-24 | 2015-01-29 | Kim Hangjin | '2차원 매트릭스 기반 분산 접속망'을 이용한 ddos 공격 대응 및 비지니스 연속성 (business continuity ) 보장 방안 |
-
2016
- 2016-05-23 CN CN201610344166.4A patent/CN107426132B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101242410A (zh) * | 2008-03-11 | 2008-08-13 | 南京邮电大学 | 基于简单对象访问协议的网格主观信任处理方法 |
CN101262373A (zh) * | 2008-04-18 | 2008-09-10 | 北京启明星辰信息技术股份有限公司 | 一种计算机网络入侵定位系统和方法 |
WO2015012422A1 (ko) * | 2013-07-24 | 2015-01-29 | Kim Hangjin | '2차원 매트릭스 기반 분산 접속망'을 이용한 ddos 공격 대응 및 비지니스 연속성 (business continuity ) 보장 방안 |
CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107426132A (zh) | 2017-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200344246A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN107426132B (zh) | 网络攻击的检测方法和装置 | |
Li et al. | RTVD: A real-time volumetric detection scheme for DDoS in the Internet of Things | |
KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
CN108737333B (zh) | 一种数据检测方法以及装置 | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
US11956208B2 (en) | Graphical representation of security threats in a network | |
CN105659245A (zh) | 上下文感知的网络取证 | |
CN106850647B (zh) | 基于dns请求周期的恶意域名检测算法 | |
US20100082749A1 (en) | Retrospective spam filtering | |
Jing et al. | A reversible sketch-based method for detecting and mitigating amplification attacks | |
CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
CN111314300B (zh) | 恶意扫描ip检测方法、系统、装置、设备和存储介质 | |
Namaki et al. | Event pattern discovery by keywords in graph streams | |
CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
KR20090002889A (ko) | 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법 | |
CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
CN106254375A (zh) | 一种无线热点设备的识别方法及装置 | |
CN110784471A (zh) | 黑名单采集管理方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20211008 Address after: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518000, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |