CN107465651B - 网络攻击检测方法及装置 - Google Patents
网络攻击检测方法及装置 Download PDFInfo
- Publication number
- CN107465651B CN107465651B CN201610398286.2A CN201610398286A CN107465651B CN 107465651 B CN107465651 B CN 107465651B CN 201610398286 A CN201610398286 A CN 201610398286A CN 107465651 B CN107465651 B CN 107465651B
- Authority
- CN
- China
- Prior art keywords
- address
- probability value
- module
- parameter
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提出了一种网络攻击检测方法,包括:从互联网中收集来自各IP地址的各访问请求;从所收集的各访问请求中提取IP地址以及与访问行为有关的参数并记录;针对所记录的每一IP地址,根据该IP地址对应的所述参数建立该IP地址的特征数据,所述特征数据用于描述该IP地址上当前访问行为的特征;当网络攻击检测被触发时,执行如下处理:确定当前收到的各访问请求携带的各IP地址;针对所确定的每一IP地址,提取该IP地址的所述特征数据,基于所述特征数据确定该IP地址是否异常;当确定该IP地址异常时,拦截来自该IP地址的各访问请求。本申请还提出了一种相应的装置。采用本方法和装置能够改善检测性能。
Description
技术领域
本发明涉及网络安全技术,特别涉及网络攻击检测方法及装置。
背景技术
互联网上的网站(Website),是互联网服务提供方(ISP,Internet ServiceProvider)向用户提供信息展示、资源交换等服务的地方,用户正常访问网络链接(如URL)的时候会获取到ISP通过网站展示的网页。但是用户每一次访问都会占用网站服务器的带宽和计算资源。所以就产生了一个黑色产业,通过向某一个ISP的网站发送足够多的请求去消耗网站服务器的资源。当请求达到一定量时,网站服务器的带宽和计算资源就会被占满,从而使得其无法再给正常用户提供服务。通常情况下,攻击者或黑客会借助代理服务器或者远程控制其它用户设备生成指向受害主机的合法请求,实现分布式阻断服务(DDOS)攻击。比如黑客用"灰鸽子"等诱导其它用户点击或者用户设备被黑客攻破或用户设备有漏洞被种植了木马等等,在这些情况下黑客可以随意操纵这些用户设备并利用这些用户设备做任何事情。其中,被黑客远程控制的设备就被称为傀儡机,也可称为“肉鸡”。因此,如何从众多的访问请求携带的IP地址中识别出傀儡机的IP地址,是网络安全需要解决的重要问题之一。
发明内容
本申请提出了一种网络攻击检测方法,包括:从互联网中收集来自各IP地址的各访问请求;从所收集的各访问请求中提取IP地址以及与访问行为有关的参数并记录;针对所记录的每一IP地址,根据该IP地址对应的所述参数建立该IP地址的特征数据,所述特征数据用于描述该IP地址上当前访问行为的特征;当网络攻击检测被触发时,执行如下处理:确定当前收到的各访问请求携带的各IP地址;针对所确定的每一IP地址,提取该IP地址的所述特征数据,基于所述特征数据确定该IP地址是否异常;当确定该IP地址异常时,拦截来自该IP地址的各访问请求。
本申请还提出了一种网络攻击检测装置,包括:请求收集模块,从互联网中收集来自各IP地址的各访问请求;特征数据模块,从所述请求收集模块收集的各访问请求中提取IP地址以及与访问行为有关的参数并记录;针对所记录的每一IP地址,根据该IP地址对应的所述参数建立该IP地址的特征数据,所述特征数据用于描述该IP地址上当前访问行为的特征;攻击检测模块,当网络攻击检测被触发时,确定当前收到的各访问请求携带的各IP地址;针对所确定的每一IP地址,从所述特征数据模块提取该IP地址的所述特征数据,基于所述特征数据确定该IP地址是否异常;响应模块,当确定该IP地址异常时,拦截来自该IP地址的各访问请求。
采用上述方法和装置,能够利用所收集的访问请求建立IP地址的能够描述访问行为特征的特征数据,进而能在网络攻击检测时利用此特征识别出异常的IP地址,能够改善网络攻击检测的性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实例的方法流程图;
图2为本申请一实例的网络攻击检测的处理流程图;
图3为本申请一实例的应用环境图;
图4为本申请一实例的装置结构图;及
图5为本申请一实例的系统构架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了描述上的简洁和直观,下文通过描述若干代表性的实施例来对本发明的方案进行阐述。实施例中大量的细节仅用于帮助理解本发明的方案。但是很明显,本发明的技术方案实现时可以不局限于这些细节。为了避免不必要地模糊了本发明的方案,一些实施方式没有进行细致地描述,而是仅给出了框架。下文中,“包括”是指“包括但不限于”,“根据……”是指“至少根据……,但不限于仅根据……”。下文中没有特别指出一个成分的数量时,意味着该成分可以是一个也可以是多个,或可理解为至少一个。
本申请的一些实例提供了网络攻击检测方法,采用该方法能够识别出当前收到的各访问请求中哪些访问请求来自异常的IP地址,即来自傀儡机。该方法可应用于具有网络攻击检测功能的服务器上,该服务器可能是专门为网络攻击检测设置的(比如,为网站提供网络安全服务的ISP的服务器,例如),也可能是网站服务器等其它类型的服务器。如图1所示,该方法主要包括:
步骤101:从互联网中收集来自各IP地址的各访问请求。
这里,用户设备欲访问某网页时,会发出访问请求,该访问请求中至少会携带该用户设备的IP地址(也可称为源IP地址)以及所要访问的网络链接地址(即URL)。服务器可以收集到互联网中各用户设备发出的各个访问请求,每个用户设备具有一个IP地址,会携带在其发出的网页访问请求中,服务器会识别各个访问请求分别来自哪个IP地址。
在一些实例中,该方法应用于专门用于网络攻击检测的服务器,可利用域名服务器(DNS)将发往各个网站的访问请求重定向到该服务器,进而该服务器可以收集到来自各个IP地址的针对各个网站的各个访问请求。
在一些实例中,该方法应用于一网站的服务器,该服务器可以为该网站的服务器,其可以仅收集发往该网站的访问请求,也可利用DNS服务器的重定向操作来收集发往各个网站的访问请求。
在上述实例中,各访问请求可分别被重定向到分布在互联网中的多个云节点设备(比如:安全云构架中的云节点设备),之后,服务器再从这些云节点收集各访问请求。
步骤102:从所收集的各访问请求中提取IP地址以及与用户访问行为有关的参数并记录。
在一些实例中,所提取的与用户访问行为有关的参数可包括:浏览器类型、访问的时间、访问的URL中的任一种或任意组合。其中,浏览器类型又称为用户代理(UA),代表设备访问网站所使用的浏览器,比如是Windows系统的IE浏览器还是iOS系统的Safari浏览器。
步骤103:针对所记录的每一IP地址,根据该IP地址对应的上述参数建立该IP地址的特征数据,所述特征数据用于描述该IP地址上当前访问行为的特征,也可被称为IP用户画像数据。
步骤104:当网络攻击检测被触发时,执行如下处理。这里,可以根据需求设定各种触发条件,比如,当单位时间内收到的访问请求达到阈值时触发网络攻击检测,或者周期性的或在预设时间点触发网络攻击检测,或者在收到预定指令时触发网络攻击检测,或者由管理员通过手动操作触发网络攻击检测。在应用中,可以根据网站的最大承受访问量来设置上述阈值,例如可以将上述阈值设置为网站最大承受访问量的70%-90%。当监测到网站的访问量超过该预先设置的阈值(例如网站最大承受访问量的80%)即触发网络攻击检测。
步骤105:确定当前收到的各访问请求携带的各IP地址。
步骤106:针对所确定的每一IP地址,提取该IP地址的特征数据,基于此特征数据确定该IP地址是否异常。
在一些实例中,步骤103中建立的特征数据可以维护在数据库中,在本步骤中服务器可根据各IP地址从数据库中查询到对应的特征数据。由于特征数据能够描述对应IP地址上访问网络的行为特征,进而能够依据这种特征判定该IP地址上当前的访问行为是否异常,即是否与黑客的访问行为相似,如果判定当前的访问行为异常则相当于判定该IP地址异常,即该IP地址对应的用户设备可能被黑客利用成为了傀儡机。
步骤107:当确定该IP地址异常时,拦截来自该IP地址的各访问请求。
这里,服务器会放弃掉来自被判定为异常的IP地址的各个访问请求,这些访问请求不会被发往相应的网站服务器,进而能够拦截掉网络攻击。而对于其它IP地址,服务器会将把它们发往相应的网站服务器进行正常的处理。
在一些实例中,上述步骤101~103为收集访问请求建立各个IP地址的特征数据的处理,上述步骤104~107为网络攻击检测的处理,这两个处理可以并行执行,即在执行步骤104~107的处理流程时,步骤101~103也可同时执行,所建立的特征数据是可以动态更新的。
在上述实例中,可以基于收集到的访问请求建立用于描述访问行为的特征数据,进而在网络攻击检测被触发后,能够基于此特征数据确定哪些IP地址出现异常,即哪些IP地址上的用户设备可能被黑客利用成为了傀儡机,进而可以拦截掉来自这些IP地址的访问请求,显著降低傀儡机的网络攻击行为对互联网上各种网络设备的影响,保证了网络安全。
在一些实例中,步骤107中,在拦截来自该IP地址的各访问请求之前,可进一步包括反向验证处理:向该IP地址下发携带验证码的验证请求,根据接收到验证响应中携带的验证码确定验证是否通过。其中,当确定验证未通过时,再拦截来自该IP地址的各访问请求。也就是说,当一IP地址在步骤106中被确定为异常时,说明该IP地址上的用户设备是疑似傀儡机,此时可以进一步对此用户设备进行反向验证,如果验证通过,则可认为此用户设备不是傀儡机,不必拦截来自此IP地址的访问请求,如果验证未通过,则认为此用户设备是傀儡机,进而要拦截来自此IP地址的访问请求。
具体的反向验证处理可以包括:服务器向该IP地址上的用户设备下发携带验证码的验证请求;正常使用的情况下,该用户设备收到该验证请求后会向用户展示该验证码,如果用户能够手动输入相同的验证码并通过验证响应发给该服务器;该服务器从验证响应中提取用户输入的验证码,如果该验证码与其之前下发的验证码相同,则验证通过,如果未能收到来自用户的验证响应,或者从验证响应中提取到验证码与之前下发的不同,则验证不通过。
以上实例中,在基于特征数据发现某IP地址异常后会进一步进行反向验证操作,进而能提高网络攻击检测的准确度。
在一些实例中,步骤103中建立的特征数据可以包括:该IP地址上当前访问行为与预设访问行为的匹配度。这样,步骤106中,基于所述特征数据确定该IP地址是否异常的处理可以包括:当特征数据包括的上述匹配度满足预定条件时,确定该IP地址异常。
其中,针对一IP地址,当前收集到的各种与访问行为相关的参数可以表征该IP地址上一段时间内已发生的各种访问行为的属性(比如:访问时间、访问URL、浏览器等),而其特征数据可以描述该IP地址上当前访问行为的特征,那么,这种特征可以由该IP地址上当前访问行为与预设的访问行为之间的匹配度来表征。
在一些实例中,上述预设访问行为可以包括正常访问行为或者包括异常访问行为。当预设访问行为包括正常访问行为时,则特征数据描述的当前访问行为与正常访问行为的匹配度,匹配度越高说明当前访问行为越正常,IP地址上的用户设备越不可能是傀儡机,则当匹配度低于预定阈值时,可判定该IP地址异常。当预设访问行为包括异常访问行为时,则特征数据描述的当前访问行为与异常访问行为的匹配度,匹配度越高说明当前访问行为越不正常,IP地址上的用户设备越可能是傀儡机,则当匹配度达到预定阈值时,可判定该IP地址异常。
在一些实例中,当上述预设访问行为包括正常访问行为时,上述匹配度为该IP地址上当前访问行为属正常行为的概率,当上述特征数据包括的此种概率低于预定阈值时,确定该IP地址异常。
在一些实例中,当上述预设访问行为包括异常访问行为时,上述匹配度为该IP地址上当前访问行为属异常行为的概率,当上述特征数据包括的此种概率达到预定阈值时,确定该IP地址异常。
上述概率可以通过对所提取的各种参数进行统计计算获得。比如,可以预先设定用来表征某正常行为的至少一个参数值,然后统计所提取的各种参数的参数值中与预设的参数值相同的参数值所占的百分比,该百分比可以作为该IP地址上当前访问行为属正常行为的概率。例如,所提取的参数有访问时间,预设的参数值为特定时间段(如上午9:00-11:00),则可以统计来自一IP地址的各访问请求中提取的各访问时间中属于该特定时间段者所占的百分比,即统计携带属于该特定时间段的访问时间的访问请求在来自该IP地址的所有访问请求中所占百分比。上述该IP地址上当前访问行为属异常行为的概率的统计计算方法与此类似,这里不再赘述。
在一些实例中,可以从所收集的每一访问请求中提取多种参数并记录下来。此时,进一步地,针对所记录的每一IP地址,基于所记录的该IP地址对应的各参数建立该IP地址对应的多个参数集合,其中一个参数集合包括一种参数的各参数值。这样,基于所记录的多种参数建立一IP地址的特征参数的处理可以包括:针对该IP地址对应的每个参数集合,计算该参数集合与预设的参数值之间的第一匹配度,比如计算该参数集合中与预设参数值相同的参数值所占百分比,之后,将各第一匹配度包括在该IP地址的特征数据中。
例如,从访问请求中提取的参数包括三种:A、B、C,针对一个IP地址(IP1)提取的参数以及计算得到的第一匹配度可如下表所示:
针对IP1,可建立三个参数集合:参数A集合{A11,A12,A13},参数B集合{B11,B12,B13},参数C集合{C11,C12,C13}。针对参数A预设的参数值为A’,则可计算得到参数A集合{A11,A12,A13}与参数值A’之间的第一匹配度P1。针对参数B预设的参数值为B’,则可计算得到参数B集合{B11,B12,B13}与参数值B’之间的第一匹配度P2。针对参数C预设的参数值为C’,则可计算得到参数C集合{C11,C12,C13}与参数值C’之间的第一匹配度P3。
在一些实例中,可以采用各种用于描述用户/设备访问行为的模型来构建这种特征数据,基于不同的模型,可能提取不同类型的参数获得不同类型的参数集合,并采用不同的方法来计算第一匹配度。
在一些实例中,在建立某IP地址的特征数据时,可进一步包括处理:计算各第一匹配度中的至少一种组合分别与预设的至少一个参数组合值之间的第二匹配度,并将各第二匹配度包括在该IP地址的特征数据中。
例如,可以将上述的任两个或者三个第一匹配度组合起来计算得到第二匹配度。比如,基于P1和P2以及预设的组合参数值“A’+B’”计算得到第二匹配度P12。此P12可以综合参数A集合与参数值A’的匹配度与参数B集合于参数值B’的匹配度来体现参数A等于A’并且参数B等于B’的可能性或者说概率。同理,基于P1和P3以及预设的组合参数值“A’+C’”计算得到第二匹配度P13,基于P2和P3以及预设的组合参数值“B’+C’”计算得到第二匹配度P23,基于P1、P2和P3以及预设的组合参数值“A’+B’+C’”计算得到第二匹配度P123。根据具体实现的需要,可以得到各种第二匹配度。这样,基于特征数据中的第一匹配度和第二匹配度可以确定IP地址上当前的访问行为的特征,进而能判断IP地址是否异常。
在一些实例中,上述基于特征数据确定该IP地址是否异常可进一步包括处理:从该IP地址的特征数据中查找第二匹配度,当查找到一第二匹配度时,判断该第二匹配度是否满足对应的预定条件。这样,当判定一个或多个第二匹配度满足对应的预定条件时,确定该IP地址异常。
在一些实例中,第一匹配度也被称为基础匹配度或者单一特征维度的匹配度,当采用概率作为匹配度时可称为基础概率。第二匹配度也被称为组合匹配度或者多个特征维度的匹配度,当采用概率作为匹配度时可称为组合概率。
在一些实例中,当进行网络攻击检测时,特征数据中不一定包括所需的第二匹配度,此时,可以从特征数据中提取第一匹配度来计算得到第二匹配度。该方法可进一步包括处理:当未查找到任一第二匹配度时,从该IP地址的特征数据中查找第一匹配度;计算各第一匹配度中的至少一种组合与预设的至少一个参数组合值之间的第二匹配度;判断计算得到的任一第二匹配度是否满足对应的预定条件。
在一些实例中,网络攻击检测被触发时,处理流程如图2所示,包括:
步骤201:确定当前受到的各访问请求携带的各IP地址。
步骤202:针对步骤201确定的每一IP地址,执行如下处理:
步骤203:从该IP地址的特征数据中查找第二匹配度。
步骤204:判断是否能查找到第二匹配度,如果是,则执行步骤207;否则执行步骤205。
步骤205~206:从该IP地址的特征数据中查找第一匹配度,并基于第一匹配度计算得到第二匹配度。
步骤207:基于第二匹配度确定该IP地址是否异常。
在一些实例中,从所收集的各访问请求中提取的多种参数包括:浏览器类型、访问的时间、访问的URL。在提取一IP地址的上述多种参数之后,可进一步包括处理:基于访问的URL确定页面类型和/或网站类型并分别记录为该IP地址的一种参数,基于访问的时间和URL统计该IP地址对于单一页面的访问频次并记录为该IP地址的一种参数。
在一些实例中,上述计算得到的第一匹配度可包括:浏览器类型为预定类型的概率(比如浏览器类型为Safari的概率),访问时间在预定时间段之内或之外的概率(比如访问时间在凌晨1点的概率),页面类型和/或网站类型为预定类型的概率(比如页面类型为静态页面的概率、网站类型为电商的概率),访问频次在预定范围内或超出预定门限的概率。将多个第一匹配度组合即可得到能够表征与特定访问行为相似度的第二匹配度。
这是考虑,每个正常用户会有特定的访问习惯,例如活跃时段、常用浏览器、访问频次、兴趣爱好等。举例来说,一电脑设备对应的特征可能为:活跃时段是22:00–23:00、常用浏览器是Safari、访问频次为1分钟小于30次(代表喜欢深入阅读)、兴趣爱好为电商网站和科技读物。当一设备被黑客用来攻击(即作为傀儡机)时,表现出的访问行为特征主要跟攻击工具和攻击站点相关,比如在12:00(被攻击站点的活动时刻)利用“Baiduspider”浏览器(工具模仿百度爬虫)高频访问(1分钟大于100次)游戏站点。
在一些实例中,具体建立特征数据并进行网络攻击检测的处理如下:
1、对于IP地址“1.1.1.1”得到的第一匹配度(也称为基础概率)可以表示为:P(UA=’Safari’|IP=1.1.1.1),即来自此IP地址的访问请求携带的UA为Safari浏览器的概率。若所收集的来自此IP地址的访问请求共有10条,根据所记录的参数,有5条访问请求对应的UA是Safari,则可计算得到:P(UA=’Safari’|IP=1.1.1.1)=5/10=50%。
2、基于该IP地址的各个第一匹配度计算第二匹配度(也称为组合概率,即所有特征维度出现特定组合的概率),可表示为:P(UA=’Safari’&网站类型=’电商’&访问时段=’凌晨1点’&访问频次=’1分钟小于30次’|IP=1.1.1.1),即来自此IP地址的访问请求在凌晨1点使用Safari浏览器以每分钟小于30次的频率访问电商网站的概率。若所收集的来自此IP地址的访问请求共有10条,根据所记录的参数,有2条记录为UA=’Safari’&网站类型=’电商’&访问时段=’凌晨1点’&访问频次=’1分钟小于30次’,则可计算得到:P(UA=’Safari’&网站类型=’电商’&访问时段=’凌晨1点’&访问频次=’1分钟小于30次’|IP=1.1.1.1)=2/10=20%。
3、当网站的访问量超过阈值(例如网站最大承受量的80%)的时候,开始网络攻击检测。针对当前收到的各访问请求对应的每一IP地址,若能找到相应的组合概率值,即P(UA=a&网站类型=b&访问时段=c&访问频次=d|IP=e),如P(UA=’Safari’&网站类型=’电商’&访问时段=’凌晨1点’&访问频次=’1分钟小于30次’|IP=1.1.1.1),基于该组合概率值可以确定该IP地址的得分(如将该组合概率值直接作为该IP地址的得分)。若无法找到对应的组合概率值,则查找各个单一维度的基础概率值,计算它们的乘积,该乘积就是组合概率值,并基于该组合概率值确定该IP地址的得分,即P(UA=a&网站类型=b&访问时段=c&访问频次=d|IP=e)=P(UA=a|IP=e)*P(网站类型=b|IP=e)*P(访问时段=c|IP=e)*P(访问频次=d|IP=e)。当该IP地址的得分低于设定的阈值时,就可以判断该IP地址异常,当前可能被黑客利用,进而可以拦截来自该IP地址的访问请求。
图3示出了本申请提出的网络攻击检测方法一应用环境实例。为例方便理解,本实例涉及两个设备对于两个网站的访问,本网络攻击检测方法应于于网络攻击检测装置301。如图3所示,设备1的IP地址为IP1,设备2的IP地址为IP2,设备1分别发出了携带IP1的欲访问网站1和2的访问请求1和2,设备2分别发出了携带IP2的欲访问网站1和2的访问请求3和4。利用DNS服务器可以将这些访问请求重定向到安全云302中的节点设备,之后网络攻击检测装置301从安全云中收集到这些访问请求,当前网络攻击检测被触发时,基于所维护的特征数据能够确定IP1和IP2中的哪一个是异常的IP地址,当判断IP2异常(即设备2为傀儡机)时,该装置301可以令安全云302中相关的节点设备拦截来自IP2的访问请求3和4,进而访问请求3和4被放弃处理,使来自设备2的网络攻击被阻断,而访问请求1和2可以正常发往网站1和2,使设备1可以正常访问网站1和2。
基于上述各种方法实例,本申请还提出了网络攻击检测装置,如图4所示,该装置包括:
请求收集模块401,从互联网中收集来自各IP地址的各访问请求。
特征数据模块402,从请求收集模块401收集的各访问请求中提取IP地址以及与访问行为有关的参数并记录;针对所记录的每一IP地址,根据该IP地址对应的参数建立该IP地址的特征数据,此特征数据用于描述该IP地址上当前访问行为的特征。
攻击检测模块403,当网络攻击检测被触发时,确定当前收到的各访问请求携带的各IP地址;针对所确定的每一IP地址,从特征数据模块402提取该IP地址的特征数据,基于特征数据确定该IP地址是否异常。
响应模块404,当确定该IP地址异常时,拦截来自该IP地址的各访问请求。
在一些实例中,特征数据包括该IP地址上当前访问行为与预设访问行为的匹配度,攻击检测模块403,当特征数据包括的匹配度满足预定条件时,确定该IP地址异常。
在一些实例中,特征数据模块402包括:
参数提取模块4021,从所收集的每一访问请求中提取多种参数以及IP地址并记录。
第一匹配度模块4022,针对参数提取模块4021所记录的每一IP地址,基于该IP地址对应的各参数建立该IP地址对应的多个参数集合,其中一个参数集合包括一种参数的各参数值;针对每个参数集合,计算该参数集合与预设的参数值之间的第一匹配度,并将各第一匹配度包括在该IP地址的特征数据中。
在一些实例中,特征数据模块402进一步包括:第二匹配度模块4023,计算各第一匹配度中的至少一种组合分别与预设的至少一个参数组合值之间的第二匹配度,并将各第二匹配度包括在该IP地址的特征数据中。
在一些实例中,攻击检测模块403,包括:
IP地址确定模块4031,当网络攻击检测被触发时,确定当前收到各访问请求携带的各IP地址。
查找模块4032,针对IP地址确定模块4031所确定的每一IP地址,从第二匹配度模块4023查找该IP地址的第二匹配度,当查找到第二匹配度时,触发判断模块4033。
判断模块4033,在被触发时,判断第二匹配度是否满足对应的预定条件;当判定一个或多个第二匹配度满足对应的预定条件时,确定该IP地址异常。
在一些实例中,攻击检测模块403进一步包括计算模块4034。查找模块4032,当未查找到第二匹配度时,从第一匹配度模块4022查找该IP地址的第一匹配度,并触发计算模块4034。计算模块4034,在被触发时,计算查找模块4032查找到的各第一匹配度中的至少一种组合与预设的至少一个参数组合值之间的第二匹配度,并触发判断模块4033。
在一些实例中,该装置进一步包括:
验证模块405,在响应模块404拦截来自该IP地址的各访问请求之前,向该IP地址下发携带验证码的验证请求;及根据接收到验证响应中携带的验证码确定验证是否通过。响应模块404,当验证模块405确定验证未通过时,拦截来自该IP地址的各访问请求。
上述各个模块实现各种功能的具体方法及原理在前文均有描述,这里不再赘述。上述各个模块可能位于一台计算设备,也可能分布在多个计算设备中。
另外,在本申请各个实例中的装置及各模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上装置或模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
在一些实例中,上述的测试装置可运行在任一具有网络攻击检测功能的计算设备中,并加载在该计算设备的存储器中。如图4所示,该计算设备除了包括上述装置中的各个模块,还可包括:存储器411、处理器413、总线412、端口414。处理器413和存储器411通过总线412互联。处理器413可通过端口414接收和发送数据以实现网络通信和/或本地通信。上述各模块401~405可以是存储器411中存储的机器可执行指令模块。处理器413通过执行存储器4111中各模块401~405中包含的机器可执行指令,进而能够实现上述各模块401~405的功能。
图5显示了本申请所提供的一种系统架构。如图5所示,该系统可以包括:各种服务器501、多个用户设备502和本申请提出的网络攻击检测装置503,它们之间通过网络504连接,用户设备502发出对于各种网站的访问请求,装置503可从网络504中收集各访问请求,并基于从访问请求中提取的参数建立各IP地址的特征数据,当网络攻击检测被触发时,可以针对当前收到的各访问请求携带的IP地址提取对应的特征数据,并基于特征数据确定其中异常的IP地址,进而能拦截来自该IP地址的访问请求。
具体而言,上述装置503可以位于网络上的任一种服务器501,可以位于专门用于网络攻击检测的服务器,也可可以位于网站服务器中,整个系统构架中可以存在一个或多个内置有装置503的服务器501来实现本申请提出的网络攻击检测方案。
另外,本申请的每个实例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本发明。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和/或内存)中执行。因此,这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式,例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。
因此,本申请还提供了一种非易失性存储介质,其中存储有数据处理程序,该数据处理程序用于执行本申请上述方法的任何一种实例。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种网络攻击检测方法,其特征在于,所述方法包括:
从互联网中收集来自各IP地址的各访问请求;
从所收集的各访问请求中提取IP地址以及与访问行为有关的多个参数并记录;
针对所记录的每一IP地址,计算所述多个参数中每个参数为预设的参数值的第一概率值,所述第一概率值为,所述预设的参数值在来自所述IP地址的访问请求中出现的次数与来自所述IP地址的访问请求的总数的比值;建立该IP地址的特征数据,将各第一概率值包括在该IP地址的特征数据中;
当网络攻击检测被触发时,执行如下处理:
确定当前收到的各当前访问请求携带的各IP地址;
针对所确定的每一IP地址,提取该IP地址的当前访问请求的所述多个参数的值,从该IP地址的所述特征数据中获得所述当前访问请求的所述多个参数的值对应的组合概率值,其中,所述组合概率值为所述多个参数的值在所述特征数据中各自对应的第一概率值的乘积;
判断所述组合概率值是否满足预定条件;
当所述组合概率值满足所述预定条件时,确定该IP地址异常,并拦截来自该IP地址的各访问请求。
2.根据权利要求1所述的方法,其中,
该方法进一步包括:针对所记录的每一IP地址,基于所记录的该IP地址对应的各参数建立该IP地址对应的多个参数集合,其中一个参数集合包括一种参数的各参数值;
所述建立该IP地址的特征数据,包括:
针对该IP地址对应的每个参数集合,计算该参数集合对应的参数为预设的参数值的第一概率值;
将各第一概率值包括在该IP地址的特征数据中。
3.根据权利要求2所述的方法,其中,所述建立该IP地址的特征数据,进一步包括:
计算各第一概率值中的至少一种组合分别为预设的至少一个参数组合值的组合概率值;
将各组合概率值包括在该IP地址的特征数据中。
4.根据权利要求3所述的方法,其中,从该IP地址的所述特征数据中获得所述当前访问请求的所述多个参数的值对应的组合概率值包括:
针对所述当前访问请求,从该IP地址的所述特征数据中查找相应的组合概率值。
5.根据权利要求4所述的方法,从该IP地址的所述特征数据中获得所述当前访问请求的所述多个参数的值对应的组合概率值包括:
当未查找到所述组合概率值时,从该IP地址的所述特征数据中查找所述当前访问行为的所述多个参数的值对应的第一概率值;
计算各第一概率值的乘积作为所述组合概率值。
6.根据权利要求1所述的方法,其中,所提取的多种所述参数包括:浏览器类型、访问的时间、访问的URL;
在提取一IP地址的所述参数之后,进一步包括:基于所述URL确定页面类型和/或网站类型并分别记录为该IP地址的一种所述参数,基于所述时间和所述URL统计该IP地址对于单一页面的访问频次并记录为该IP地址的一种所述参数。
7.根据权利要求1所述的方法,其中,计算所述多个参数中每个参数为预设的参数值的第一概率值包括:
计算浏览器类型为预定类型的概率值,访问时间在预定时间段之内或之外的概率值,页面类型和/或网站类型为预定类型的概率值,访问频次在预定范围内或超出预定门限的概率值。
8.根据权利要求1至7任一项所述的方法,其中,在拦截来自该IP地址的各访问请求之前,进一步包括:
向该IP地址下发携带验证码的验证请求;及
根据接收到验证响应中携带的验证码确定验证是否通过;
其中,当确定验证未通过时,拦截来自该IP地址的各访问请求。
9.一种网络攻击检测装置,其特征在于,所述装置包括:
请求收集模块,从互联网中收集来自各IP地址的各访问请求;
特征数据模块,从所述请求收集模块收集的各访问请求中提取IP地址以及与访问行为有关的多个参数并记录;针对所记录的每一IP地址,计算所述多个参数中每个参数为预设的参数值的第一概率值,所述第一概率值为,所述预设的参数值在来自所述IP地址的访问请求中出现的次数与来自所述IP地址的访问请求的总数的比值;建立该IP地址的特征数据,将各第一概率值包括在该IP地址的特征数据中;
攻击检测模块,当网络攻击检测被触发时,确定当前收到的各当前访问请求携带的各IP地址;针对所确定的每一IP地址,提取该IP地址的当前访问请求的所述多个参数的值,从该IP地址的所述特征数据中获得所述当前访问请求的所述多个参数的值对应的组合概率值,其中,所述组合概率值为所述多个参数的值在所述特征数据中各自对应的第一概率值的乘积;判断所述组合概率值是否满足预定条件;
响应模块,当所述组合概率值满足所述预定条件时,确定该IP地址异常,拦截来自该IP地址的各访问请求。
10.根据权利要求9所述的装置,其中,所述特征数据模块包括:
第一匹配度模块,针对所记录的每一IP地址,基于该IP地址对应的各参数建立该IP地址对应的多个参数集合,其中一个参数集合包括一种参数的各参数值;针对每个参数集合,计算该参数集合对应的参数为预设的参数值的第一概率值,并将各第一概率值包括在该IP地址的特征数据中。
11.根据权利要求10所述的装置,其中,所述特征数据模块进一步包括:
第二匹配度模块,计算各第一概率值中的至少一种组合分别为预设的至少一个参数组合值之间的组合概率值,并将各组合概率值包括在该IP地址的特征数据中。
12.根据权利要求11所述的装置,其中,所述攻击检测模块,包括:
查找模块,针对每一IP地址,从所述第二匹配度模块查找该IP地址的相应的组合概率值。
13.根据权利要求12所述的装置,其中,所述攻击检测模块进一步包括计算模块;
所述查找模块,当未查找到所述组合概率值时,从所述第一匹配度模块查找所述当前访问请求的所述多个参数的值对应的第一概率值,并触发所述计算模块;
所述计算模块,在被触发时,计算所述查找模块查找到的各第一概率值的乘积作为所述组合概率值。
14.根据权利要求9至13任一项所述的装置,进一步包括:
验证模块,在所述响应模块拦截来自该IP地址的各访问请求之前,向该IP地址下发携带验证码的验证请求;及根据接收到验证响应中携带的验证码确定验证是否通过;
其中,所述响应模块,当所述验证模块确定验证未通过时,拦截来自该IP地址的各访问请求。
15.一种计算机可读存储介质,存储有计算机可读指令,其特征在于,所述计算机可读指令可以使处理器执行根据权利要求1-8中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610398286.2A CN107465651B (zh) | 2016-06-06 | 2016-06-06 | 网络攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610398286.2A CN107465651B (zh) | 2016-06-06 | 2016-06-06 | 网络攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107465651A CN107465651A (zh) | 2017-12-12 |
| CN107465651B true CN107465651B (zh) | 2020-10-02 |
Family
ID=60544910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610398286.2A Active CN107465651B (zh) | 2016-06-06 | 2016-06-06 | 网络攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107465651B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600270A (zh) * | 2018-05-10 | 2018-09-28 | 北京邮电大学 | 一种基于网络日志的异常用户检测方法及系统 |
| CN108898011A (zh) * | 2018-07-04 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 黑客追踪方法及装置 |
| CN109194689B (zh) * | 2018-10-22 | 2021-04-23 | 武汉极意网络科技有限公司 | 异常行为识别方法、装置、服务器及存储介质 |
| CN109450895B (zh) * | 2018-11-07 | 2021-07-02 | 北京锐安科技有限公司 | 一种流量识别方法、装置、服务器及存储介质 |
| CN109462593B (zh) * | 2018-11-28 | 2021-03-02 | 武汉极意网络科技有限公司 | 网络请求异常检测方法、装置与电子设备 |
| CN110677417A (zh) * | 2019-09-29 | 2020-01-10 | 武汉极意网络科技有限公司 | 反爬虫系统及方法 |
| CN110708309A (zh) * | 2019-09-29 | 2020-01-17 | 武汉极意网络科技有限公司 | 反爬虫系统及方法 |
| CN110830510B (zh) * | 2019-12-05 | 2022-01-07 | 北京众享比特科技有限公司 | 检测dos攻击方法、装置、设备及存储介质 |
| CN113132308B (zh) * | 2019-12-31 | 2022-05-17 | 华为技术有限公司 | 一种网络安全防护方法及防护设备 |
| CN111371784A (zh) * | 2020-03-04 | 2020-07-03 | 贵州弈趣云创科技有限公司 | 一种分布式点对点服务被攻击自动熔断的方法 |
| CN112001533A (zh) * | 2020-08-06 | 2020-11-27 | 众安信息技术服务有限公司 | 一种参数的检测方法、装置及计算机系统 |
| CN111917787B (zh) * | 2020-08-06 | 2023-07-21 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
| CN112311761B (zh) * | 2020-09-18 | 2022-09-09 | 北京丁牛科技有限公司 | 一种数据处理方法及其装置 |
| CN112422577B (zh) * | 2020-11-25 | 2021-12-24 | 北京微步在线科技有限公司 | 预防原始地址欺骗攻击的方法,装置、服务器和存储介质 |
| CN115085957A (zh) * | 2021-03-12 | 2022-09-20 | 中国电信股份有限公司 | 恶意访问数据判定方法、装置、介质及电子设备 |
| CN113422697B (zh) * | 2021-06-21 | 2023-03-24 | 深信服科技股份有限公司 | 一种追踪方法、装置、电子设备及可读存储介质 |
| CN113612727B (zh) * | 2021-06-24 | 2023-04-18 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
| CN113709159B (zh) * | 2021-08-27 | 2023-05-05 | 北京天融信网络安全技术有限公司 | 访问数据检测方法、装置、设备及存储介质 |
| CN114050922B (zh) * | 2021-11-05 | 2023-07-21 | 国网江苏省电力有限公司常州供电分公司 | 一种基于时空ip地址画像的网络流异常检测方法 |
| CN114070599A (zh) * | 2021-11-11 | 2022-02-18 | 北京顶象技术有限公司 | 一种用户端不安全设备的识别方法及装置 |
| CN114257404B (zh) * | 2021-11-16 | 2024-04-30 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114257415B (zh) * | 2021-11-25 | 2024-04-30 | 中国建设银行股份有限公司 | 网络攻击的防御方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
| CN103138986A (zh) * | 2013-01-09 | 2013-06-05 | 天津大学 | 一种基于可视分析的网站异常访问行为的检测方法 |
| CN103634284A (zh) * | 2012-08-24 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种网络flood攻击的侦测方法及装置 |
| CN105490854A (zh) * | 2015-12-11 | 2016-04-13 | 传线网络科技(上海)有限公司 | 实时日志收集方法、系统和应用服务器集群 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475637B (zh) * | 2013-04-24 | 2018-03-27 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| CN104852886B (zh) * | 2014-02-14 | 2019-05-24 | 腾讯科技(深圳)有限公司 | 用户帐号的保护方法及装置 |
| CN104917643B (zh) * | 2014-03-11 | 2019-02-01 | 腾讯科技(深圳)有限公司 | 异常账号检测方法及装置 |
| KR101737914B1 (ko) * | 2014-06-03 | 2017-05-19 | 한국전자통신연구원 | 네트워크 보안 상황 표시 장치 및 그 방법 |
| CN105577608B (zh) * | 2014-10-08 | 2020-02-07 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
-
2016
- 2016-06-06 CN CN201610398286.2A patent/CN107465651B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480385A (zh) * | 2010-11-26 | 2012-05-30 | 北京启明星辰信息技术股份有限公司 | 数据库安全保护方法和装置 |
| CN103634284A (zh) * | 2012-08-24 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 一种网络flood攻击的侦测方法及装置 |
| CN103138986A (zh) * | 2013-01-09 | 2013-06-05 | 天津大学 | 一种基于可视分析的网站异常访问行为的检测方法 |
| CN105490854A (zh) * | 2015-12-11 | 2016-04-13 | 传线网络科技(上海)有限公司 | 实时日志收集方法、系统和应用服务器集群 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107465651A (zh) | 2017-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| US10560471B2 (en) | Detecting web exploit kits by tree-based structural similarity search | |
| RU2676021C1 (ru) | Система и способ определения DDoS-атак | |
| Overdorf et al. | How unique is your. onion? an analysis of the fingerprintability of tor onion services | |
| US10581908B2 (en) | Identifying phishing websites using DOM characteristics | |
| Choi et al. | A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment | |
| Hupperich et al. | On the robustness of mobile device fingerprinting: Can mobile users escape modern web-tracking mechanisms? | |
| US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
| CN107003976B (zh) | 基于可准许活动规则确定可准许活动 | |
| US8516595B2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| TW201824047A (zh) | 攻擊請求的確定方法、裝置及伺服器 | |
| JP2012527691A (ja) | アプリケーションレベルセキュリティのためのシステムおよび方法 | |
| CN103384888A (zh) | 用于恶意软件的检测和扫描的系统和方法 | |
| WO2017049042A1 (en) | Identifying phishing websites using dom characteristics | |
| Nguyen et al. | DGA botnet detection using collaborative filtering and density-based clustering | |
| Choi et al. | Automated link tracing for classification of malicious websites in malware distribution networks | |
| US10560473B2 (en) | Method of network monitoring and device | |
| Sanchez-Rola et al. | Bakingtimer: privacy analysis of server-side request processing time | |
| Chen et al. | Efficient suspicious URL filtering based on reputation | |
| Sree et al. | HADM: detection of HTTP GET flooding attacks by using Analytical hierarchical process and Dempster–Shafer theory with MapReduce | |
| Jia et al. | Micro-honeypot: using browser fingerprinting to track attackers | |
| Baumann et al. | Vulnerability against internet disruptions–a graph-based perspective | |
| EP3789890A1 (en) | Fully qualified domain name (fqdn) determination | |
| He et al. | Mobile app identification for encrypted network flows by traffic correlation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |