CN107528812A - 一种攻击检测方法及装置 - Google Patents
一种攻击检测方法及装置 Download PDFInfo
- Publication number
- CN107528812A CN107528812A CN201610452846.8A CN201610452846A CN107528812A CN 107528812 A CN107528812 A CN 107528812A CN 201610452846 A CN201610452846 A CN 201610452846A CN 107528812 A CN107528812 A CN 107528812A
- Authority
- CN
- China
- Prior art keywords
- access
- source terminal
- terminal
- purpose terminal
- accesses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例提供的一种攻击检测方法及装置,其特征在于,该方法包括:获得源终端发送的访问目的终端的待检测报文;提取待检测报文中至少两个维度的访问信息的数值;根据所提取的数值,分别更新已统计得到的源终端访问所述目的终端时各维度访问信息所对应的统计信息;判断更新后的各个统计信息是否满足预设的攻击判断规则;若判断结果为满足,则判定目的终端遭遇到由源终端发起的攻击。应用本发明实施例提供的方案进行攻击检测时,从多个维度进行检测,即使某一维度的CC攻击检测出现漏检或误检时,仍可以通过其他维度的检测结果来判断目的终端是否遭遇了CC攻击,因此,减少了CC攻击漏检和误检的情况,提高了CC攻击检测的准确性。
Description
技术领域
本发明涉及互联网安全技术领域,特别是涉及一种攻击检测方法及装置。
背景技术
CC攻击(Challenge Collapsar,挑战黑洞),是一种以计算机系统性能薄弱环节为攻击目标的DDOS(Distributed Denial of service,分布式拒绝服务)攻击。一般的,对于计算机系统的单个访问请求而言,CC攻击的攻击者和正常用户的表现几乎是完全相同的,因此,很难通过单个访问请求来判断来访者到底是CC攻击的攻击者还是正常用户,也就是说,CC攻击的不易被侦测的特点是防御CC攻击的一大难题。因此,如何准确判断来访者是正常用户还是攻击者,将直接影响到CC攻击防御的准确性。
通常,CC攻击的攻击者会控制计算机系统中的某些主机,然后利用所控制的这些主机不停地向被攻击的计算机发送大量的数据包,以至于被攻击的计算机资源耗尽,一直到宕机崩溃。
实际应用中,正常用户一般是直接访问互联网的,通常不需要使用代理服务器,而CC攻击的攻击者在进行访问时则是需要借助于代理服务器的,因此,可以通过检测是否使用代理服务器来判断来访者是否为CC攻击的攻击者。
但是,随着网络设备的发展,出现了一些高匿名的代理服务器,这些代理服务器完全不透传任何信息,以至于无法判断来访者在访问过程中是否使用了代理服务器,因此,容易出现漏检和误检,导致CC攻击检测的准确性低。
发明内容
本发明实施例的目的在于提供一种攻击检测方法及装置,以减少CC攻击漏检和误检的情况,提高CC攻击检测的准确性。
为达到上述目的,本发明实施例公开了一种攻击检测方法,所述方法包括:
获得源终端发送的访问目的终端的待检测报文;
提取所述待检测报文中至少两个维度的访问信息的数值;
根据所提取的数值,分别更新已统计得到的所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
判断更新后的各个统计信息是否满足预设的攻击判断规则;
若判断结果为满足,则判定所述目的终端遭遇到由所述源终端发起的攻击。
可选的,所述获得源终端发送的访问目的终端的待检测报文,包括:
在流量数据流入互联网数据中心IDC前,以流量镜像的方式对待流入的流量数据进行流量镜像,获得待检测流量数据;
基于预设的报文收取规则,从所述待检测流量数据中收取所述源终端发送的访问所述目的终端的待检测报文。
可选的,所述基于预设的报文收取规则,从所述待检测流量数据中收取源终端发送的访问目的终端的待检测报文,包括:
基于预设的高性能数据收发接口,从所述待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
可选的,所述获得源终端发送的访问目的终端的待检测报文,包括:
获得所述源终端访问所述目的终端的访问日志;
从所述访问日志中提取所述源终端发送的访问所述目的终端的待检测报文。
可选的,所述根据所提取的数值,分别更新已统计得到的所述源终端访问所述目的终端时各维度访问信息所对应的统计信息,包括:
根据所述源终端的源IP地址和所述目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识,其中,所述目标访问关系为:所述源终端访问所述目的终端所对应的访问关系;
根据所述访问标识,获得所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
根据所提取的数值,更新所获得的各个统计信息。
可选的,所述访问信息,为:
源终端访问目的终端的次数;或,
源终端访问目的终端的深度;或,
源终端访问目的终端的宽度;或,
源终端访问目的终端时所使用的用户代理服务器的数量;或,
源终端访问目的终端时静态文件的访问请求的比例;或,
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,其中,所述Http的状态码中非200状态码访问请求的比例为:非200状态码访问请求次数与总的访问请求次数之间的比值;或,
源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
可选的,所述判断更新后的各个统计信息是否满足预设的攻击判断规则,包括:
判断更新后的各个统计信息是否满足以下所列情况中的至少两种,若为是,则判定满足攻击判断规则:
源终端访问目的终端的次数大于预设的访问次数阈值;
源终端访问目的终端的深度大于预设的访问深度阈值;
源终端访问目的终端的宽度大于预设的访问宽度阈值;
源终端访问目的终端时所使用的用户代理服务器的数量大于预设的代理服务器阈值;或,
源终端访问目的终端时静态文件的访问请求的比例大于预设的第一比例阈值;
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例大于预设的第二比例阈值;
源终端访问目的终端时以Post方式方式访问目的终端的次数比上以Get方式访问目的终端的次数的比值大于预设的第三比例阈值。
可选的,所述提取所述待检测报文中至少两个维度的访问信息的数值,包括:
基于所述待检测报文中携带的源终端的IP地址、目的终端的IP地址、代理服务器的标识、访问文件类型的标识、Http请求状态码以及Http请求发送方式中的至少两个维度的访问信息,提取所述待检测报文中相对应的至少两个维度的访问信息的数值。
为达到上述目的,本发明实施例公开了一种攻击检测装置,所述装置包括:
报文获得模块,用于获得源终端发送的访问目的终端的待检测报文;
数值提取模块,用于提取所述待检测报文中至少两个维度的访问信息的数值;
信息更新模块,用于根据所提取的数值,分别更新已统计得到的所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
信息判断模块,用于判断更新后的各个统计信息是否满足预设的攻击判断规则;
攻击检测模块,用于在所述信息判断模块的判断结果为满足时,判定所述目的终端遭遇到由所述源终端发起的攻击。
可选的,所述报文获得模块,包括:流量数据获得子模块和报文收取子模块;其中,
所述流量数据获得子模块,用于在流量数据流入互联网数据中心IDC前,以流量镜像的方式对待流入的流量数据进行流量镜像,获得待检测流量数据;
所述报文收取子模块,用于基于预设的报文收取规则,从所述待检测流量数据中收取所述源终端发送的访问所述目的终端的待检测报文。
可选的,所述报文收取子模块,具体用于:
基于预设的高性能数据收发接口,从所述待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
可选的,所述报文获得模块,包括:日志获得子模块和报文提取子模块;其中,
所述日志获得子模块,用于获得所述源终端访问所述目的终端的访问日志;
所述报文提取子模块,用于从所述访问日志中提取所述源终端发送的访问所述目的终端的待检测报文。
可选的,所述信息更新模块,包括:
标识生成子模块,用于根据所述源终端的源IP地址和所述目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识,其中,所述目标访问关系为:所述源终端访问所述目的终端所对应的访问关系;
信息获得子模块,用于根据所述访问标识,获得所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
信息更新子模块,用于根据所提取的数值,更新所获得的各个统计信息。
可选的,所述访问信息,为:
源终端访问目的终端的次数;或,
源终端访问目的终端的深度;或,
源终端访问目的终端的宽度;或,
源终端访问目的终端时所使用的用户代理服务器的数量;或,
源终端访问目的终端时静态文件的访问请求的比例;或,
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,其中,所述Http的状态码中非200状态码访问请求的比例为:非200状态码访问请求次数与总的访问请求次数之间的比值;或,
源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
可选的,所述信息判断模块,具体用于:
判断更新后的各个统计信息是否满足以下所列情况中的至少两种,若为是,则判定满足攻击判断规则:
源终端访问目的终端的次数大于预设的访问次数阈值;
源终端访问目的终端的深度大于预设的访问深度阈值;
源终端访问目的终端的宽度大于预设的访问宽度阈值;
源终端访问目的终端时所使用的用户代理服务器的数量大于预设的代理服务器阈值;
源终端访问目的终端时静态文件的访问请求的比例大于预设的第一比例阈值;
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例大于预设的第二比例阈值;
源终端访问目的终端时以Post方式方式访问目的终端的次数比上以Get方式访问目的终端的次数的比值大于预设的第三比例阈值。
可选的,所述数值提取模块,具体用于:
基于所述待检测报文中携带的源终端的IP地址、目的终端的IP地址、代理服务器的标识、访问文件类型的标识、Http请求状态码以及Http请求发送方式中的至少两个维度的访问信息,提取所述待检测报文中相对应的至少两个维度的访问信息的数值。
本发明实施例提供的一种攻击检测方法及装置,从多个维度进行CC攻击检测,即使基于其中某一维度的CC攻击检测出现漏检或误检的情况,也可以通过其他维度的检测结果来判断目的终端是否遭遇了CC攻击,与现有技术中仅依靠是否借助于代理服务器的单维度的攻击检测方案相比,本发明实施例提供的方案大大减少CC攻击漏检和误检的情况,提高了CC攻击检测的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种攻击检测方法的流程示意图;
图2为本发明实施例提供的另一种攻击检测方法的流程示意图;
图3为本发明实施例提供的另一种攻击检测方法的流程示意图;
图4为本发明实施例提供的另一种攻击检测方法的流程示意图;
图5为本发明实施例提供的一种攻击检测装置的结构示意图;
图6为本发明实施例提供的另一种攻击检测装置的结构示意图;
图7为本发明实施例提供的另一种攻击检测装置的结构示意图;
图8为本发明实施例提供的另一种攻击检测装置的结构示意图。
具体实施方式
有鉴于此,本发明的主要目的在于提供一种攻击检测方法及装置,能够减少CC攻击漏检和误检的情况,并提高CC攻击检测的准确性。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
如图1所示,为本发明实施例提供的一种攻击检测方法的流程示意图,该方法包括以下步骤:
S101:获得源终端发送的访问目的终端的待检测报文。
这里的“源终端”是指发起访问请求的终端,“目的终端”是指被访问的终端。举例而言,终端A发起了一个访问某一网页的访问请求,而该网页是由终端B来提供支持的,那么,终端A被称为源终端,而终端B则被称为目的终端。实际上,终端A访问终端B支持的某一网页时发送的访问请求,实际上是由至少一个报文来构成的,也就是说,一个访问请求可以对应于一个或多个报文。
其中,报文(message)是网络中进行交换与传输的数据单元,也就是一个终端一次性发送的数据块。报文中包含了将要发送的完整的数据信息,但是报文的长短很不一致,本发明实施例不需要限定报文的长度。
另外,在数据信息的传输过程中,会不断地将数据信息封装成分组、包、帧来传输,封装的方式就是添加一些信息段,这些信息段实际上就是将报文头以一定格式组织起来构成的数据。
一种实现方式中,如图2所示,为本发明实施例提供的另一种攻击检测方法的流程示意图,可以按照以下方式来获得源终端发送的访问目的终端的待检测报文:
S1011:在流量数据流入互联网数据中心IDC前,以流量镜像的方式对待流入的流量数据进行流量镜像,获得待检测流量数据。
其中,IDC(Internet Data Center,互联网数据中心)是指:为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。
具体的,IDC提供的主要业务可以包括:主机托管(机位、机架、机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡、入侵检测、系统漏洞诊断),以及其他支撑、运行服务等。
这里提及的“流量数据”是指访问网站所产生的流量数据,包含与网站访问量相关的数据,它是用来描述访问一个网站的用户数量以及用户所浏览的页面数量等指标的,具体而言,流量数据中可以包括一个网站的独立用户数量(一般指源终端的IP地址)、总用户数量(含重复访问者)、页面浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等。
需要强调的是,本实现方式为了不影响流入IDC的流量数据,采用了一种流量镜像的方式,在流量数据进入IDC之前,将待流入的流量数据镜像出一份,并将镜像出的流量数据作为后续处理的原始数据。另外,镜像出的这一份流量数据,可以被镜像到专门用于做攻击检测的服务器中,当然还可以被镜像到目的终端中,显然,前者需要增加服务器硬件设备,会提高硬件成本,但是安全性比较高,后者虽可以利用已有的服务器进行检测,不会额外增加硬件成本,但是由于是与其他用途共用一台服务器,显然,处理速度会受到限制,且安全性较前者低。需要说明的是,本发明实施例并不需要对此进行限定,本领域内的技术人员需要根据实际应用中的具体情况进行合理的设置。
S1012:基于预设的报文收取规则,从待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
需要说明的是,待检测流量数据中一般包括多个Http访问请求,而这些访问请求中除了包括待检测的源终端访问待检测的目的终端的Http访问请求外,还可以包括其他源终端访问其他目的终端的Http访问请求,因此,需要先对镜像得到的待检测流量数据中的Http访问请求进行分析,并选出待检测的源终端访问待检测的目的终端时所发送的Http访问请求,进而基于预设的高性能数据收发接口,从待检测流量数据中收取源终端发送的访问目的终端的待检测报文。例如,可以基于DPDK数据收发接口实现从待检测流量数据中对源终端发送的访问目的终端的待检测报文的收取。另外,DPDK是高性能数据收发接口的一种,主要使用了UIO、HUGEPAGE和CPU Affinity机制三种技术来提高网络数据的处理性能。
另一种实现方式中,如图3所示,为本发明实施例提供的另一种攻击检测方法的流程示意图,还可以按照以下方式来获得源终端发送的访问目的终端的待检测报文:
S1013:获得源终端访问目的终端的访问日志。
访问日志为记录了用户数量、访问网站的规律等信息的数据,这些信息可以从每日Web Server所记录的用户访问日志中提取得到。访问日志中记录的内容具体可以包括:1、流量,访问网站的总次数;2、独立IP数:访问网站不重复的IP数;3、独立用户数:访问网站的不重复的人数此外还有用户访问入口、访问出口、最受欢迎页面、最受欢迎频道等等信息。
S1014:从访问日志中提取源终端发送的访问目的终端的待检测报文。
需要说明的是,现有技术中已经公开了从访问日志中提取待检测报文的相关方式,在此不再赘述,具体可参见现有技术中的相关步骤。
另外,还需要说明的是,上述仅仅列举了2种获得源终端发送的访问目的终端的待检测报文的具体方式,当然,还可以应用其他方式来获得待检测报文,本发明实施例并不需要对获得待检测报文的具体方式进行限定,任何可能的实现方式均可以应用于本发明。
S102:提取待检测报文中至少两个维度的访问信息的数值。
具体的,可以基于待检测报文中携带的源终端的IP地址、目的终端的IP地址、代理服务器的标识、访问文件类型的标识、Http请求状态码以及Http请求发送方式中的至少两个维度的访问信息,提取待检测报文中相对应的至少两个维度的访问信息的数值。
其中,访问信息,为:
源终端访问目的终端的次数;或,
源终端访问目的终端的深度;或,
源终端访问目的终端的宽度;或,
源终端访问目的终端时所使用的用户代理服务器的数量;或,
源终端访问目的终端时静态文件的访问请求的比例;或,
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,其中,Http的状态码中非200状态码访问请求的比例为:非200状态码访问请求次数与总的访问请求次数之间的比值;或,
源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
容易理解的,当检测到待检测报文为源终端发送的且请求访问目的终端的报文时,源终端访问目的终端的次数便增加1。
具体的,源终端访问目的终端的深度,表示的是待检测报文中所携带的URI(Uniform Resource Identifier,统一资源标识符)的路径深度,通常用“/”将URI对应的路径分割为多层,本发明实施例中统计URI中的“/”的个数,并将统计得到的数值确定为源终端访问目的终端的深度。举例而言,若URI为“http://b.c/d/e.f”,显然,该URI中包含2个“/”,因此,源终端访问目的终端的深度为2。
其中,在电脑术语中,URI是一个用于标识某一互联网资源路径的字符串。该种标识允许用户对任何资源(包括本地资源和互联网资源)通过特定的协议进行交互操作。另外,网页上的每种可用资源,例如HTML文档、图像、视频片段、程序等,均可以由一个URI进行定位,相应的,当源终端访问目的终端时是需要携带所要访问的资源的URI的,否则,无法定位到该资源。
具体的,源终端访问目的终端的宽度,表示的是待检测报文中所携带的不同URI的个数,假设待检测报文中携带3个URI,则表明源终端访问目的终端的宽度为3,另外,待检测报文中所携带的不同URI的个数越多,表明源终端访问目的终端的宽度越宽,反之,表明源终端访问目的终端的宽度越窄。
容易理解的,源终端正常访问目的终端时通常是需要使用用户代理服务器的,并且,在发送的访问请求中会携带所使用的用户代理服务器的标识,因此,可以根据用户代理服务器的标识来统计源终端访问目的终端时所使用的用户代理服务器的数量。
用户代理服务器是一种重要的服务器安全功能,它的工作主要在开放系统互联(OSI)模型的会话层,从而起到防火墙的作用,代理服务器大多被用来连接INTERNET(国际互联网)和Local Area Network(局域网)。
需要说明的是,在本发明实施例中,用户代理服务器是指浏览器,具体的,用户代理服务器的信息可以包括:硬件平台、系统软件、应用软件和用户个人偏好等。举例而言,在X.400电子系统中,用户代理服务器是一种对数据打包、创造分组头,以及编址、传递消息的部件。还需要说明的是,实际应用中,用户代理并不是仅指浏览器,还包括搜索引擎等。
一般的,正常用户都是直接访问互联网的,而大多数CC攻击则需要利用代理服务器发起,因此,检测来访者是否使用代理服务器是一个检测攻击的方法。更具体的,公共Http代理服务器一般会在所发送的请求中加入X-Forwarded-For和Via请求标头,从而可以以此为根据来侦测来访者是否使用了代理服务器。
源终端访问目的终端时静态文件的访问请求的比例,是指图片、脚本等静态文件的数量与总请求文件的数量的比值。容易理解的,网页中的资源的类型是很多的,这些资源又可以被划分为静态文件和非静态文件,因此,源终端访问目的终端时静态文件的访问请求的比例,反映的是请求访问的静态文件的数量占总的请求访问文件的数量的比例情况。
具体的,源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,为:非200状态码访问请求次数与总的访问请求次数之间的比值。
下面首先对Http的状态码进行下介绍,Http的状态码,是指在Http协议运行中由源终端发出请求连接,目的终端建立连接,源终端发出Http请求,目的终端返回响应信息,而在这个过程中由于源终端或目的终端的问题会返回相应的错误代码并显示给用户,不同的错误代码分别表示不同的错误信息,根据这个信息用户可以调整相应的操作来修改出现的错误,最终避免错误的再现。
具体的,Http的状态码一共有5种类别,分别是1xx,2xx,3xx,4xx,5xx位于最左边的数字1至5分别表示状态码所属的类别,并用中间和最右边的2位数字“xx”来表示每一类别中的不同错误:
1xx类状态码表示:临时响应。源终端在收到常规响应之前,应准备接收一个或多个1xx响应。
2xx类状态码表示:目的终端成功地接收了源终端发送的访问请求。
3xx类状态码表示:源终端必须采取更多操作来实现请求,例如,浏览器可能不得不请求服务器上的不同页面,或者通过代理服务器重复该请求,等等。
4xx类状态码表示:发生错误,源终端似乎有问题,例如:源终端请求不存在的页面,源终端未提供有效的身份验证信息,等等。
5xx类状态码表示:目的终端遇到错误而不能完成该请求。
由于2xx类状态码表示的是目的终端成功地接收了源终端发送的访问请求,因此,源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,实际上统计的是目的终端未成功接收源终端发送的访问请求次数占总的访问请求次数的比例情况。
需要说明的是,在源终端正常访问目的终端的情况下,非200状态码访问请求次数总的访问请求次数的比例通常不会超过某一数值,因此,当统计得到的结果大于预设的这一数值的情况下,可以判定检测到攻击。
具体的,源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
Http协议中定义了客户端与服务器(本发明实施例中指的是源终端与目的终端)交互的不同方式,最基本的方式有4种,分别是GET,POST,PUT,DELETE。具体的,一个URI用于描述一个网络上的一个资源,而Http中的GET,POST,PUT,DELETE就对应着对这个资源的查,改,增,删4种操作,其中,GET方式为从指定的资源请求数据,POST为向指定的资源提交要被处理的数据,更具体的,GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。
综合上述对访问信息的描述可知,本发明实施例提供的攻击检测方案,是从访问信息的多个维度进行检测的,有利于提高攻击检测的准确性。
S103:根据所提取的数值,分别更新已统计得到的源终端访问目的终端时各维度访问信息所对应的统计信息。
上述介绍了各种维度的访问信息,这些访问信息均可以从待检测报文中提取得到,在提取待检测报文中至少两个维度的访问信息的数值之后,可以根据从待检测报文中提取出的这些数值,来分别更新之前已经统计得到的针对源终端访问目的终端时各维度访问信息所对应的统计结果。
举例而言,若提取的是源终端访问目的终端的次数和源终端访问目的终端的深度这2个维度的访问信息,且提取得到的源终端访问目的终端的次数为1,源终端访问目的终端的深度2,而之前已经统计得到的统计结果为:
因此,根据所提取的数值,分别更新已统计得到的源终端访问目的终端时各维度访问信息所对应的统计信息,如下表所示:
需要说明的是,这里仅仅是列举了一种根据所提取的数值,更新已统计信息的具体方式,当然还可以有其他可行的实现方式,本发明实施例并不需要对此进行限定。
一种实现方式中,如图4所示,为本发明实施例提供的另一种攻击检测方法的流程示意图,可以按照以下步骤来分别更新已统计得到的源终端访问目的终端时各维度访问信息所对应的统计信息:
S1031:根据源终端的源IP地址和目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识。
其中,目标访问关系为:源终端访问目的终端所对应的访问关系。
具体的,一个源终端访问一个目的终端便可以称为是一种访问关系,实际应用中,进入IDC的流量数据中其实是包含多种访问关系的,也就是说,一个源终端可以访问不同的目的终端,同样的,一个目的终端也可以被多个源终端来访问,而本发明实施例中在更新统计信息时,其实是针对一个源终端访问一个目的终端这一种访问关系而言的。
需要说明的是,IP地址和域名为用于描述网络中终端地址的两套方案,具体的,本发明实施例中用IP地址表示源终端的地址,用域名表示目的终端的地址,这样,源IP地址和域名便构成了一对用于描述源终端访问目的终端的对应关系。
这里可以根据源终端的源IP地址和目的终端的域名,生成一个与目标访问关系相对应的访问标识,有利于快速获得源终端访问目的终端时各维度访问信息所对应的统计信息。
S1032:根据访问标识,获得源终端访问目的终端时各维度访问信息所对应的统计信息。
由于本发明实施例中所统计的统计信息,是针对一个源终端访问一个目的终端而言的,因此,在更新已统计得到的源终端访问目的终端时各维度访问信息所对应的统计信息的过程中,其实需要首先找到源终端所对应的全部目的终端,然后在从全部目的终端中确定出与该域名对应的目的终端,然后再进行更新操作;或者是,首先找到访问目的终端的全部源终端,然后在从全部源终端中确定出与源IP地址对应的源终端,然后再进行更新操作。
总而言之,需要进行2层的查找才可以找到源终端访问目的终端时各维度访问信息所对应的统计信息。而步骤S1031可以根据源终端的源IP地址和目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识,进而可以根据该访问标识,来查找源终端访问目的终端时各维度访问信息所对应的统计信息。
S1033:根据所提取的数值,更新所获得的各个统计信息。
由步骤S1031至步骤S1033可见,首先根据源终端的源IP地址和目的终端的域名,生成与目标访问关系相对应的访问标识,然后根据该访问标识可以只经过一层查找就可以获得源终端访问目的终端时各维度访问信息所对应的统计信息,减少了查找次数,提高了查找速度。
S104:判断更新后的各个统计信息是否满足预设的攻击判断规则。
一种实现方式中,可以按照以下方式判断更新后的各个统计信息是否满足预设的攻击判断规则,如下:
判断更新后的各个统计信息是否满足以下所列情况中的至少两种,若为是,则判定满足攻击判断规则:
(1)源终端访问目的终端的次数大于预设的访问次数阈值;
例如,预设的访问次数阈值可以设置为10000,当然,本发明实施例并不需要对该访问次数阈值的具体数值进行限定,本领域内的技术人员需要根据实际应用中的具体情况进行合理的设置。
(2)源终端访问目的终端的深度大于预设的访问深度阈值;
例如,预设的访问深度阈值可以设置为3,同样的,本发明实施例并不需要对该访问深度阈值的具体数值进行限定。
(3)源终端访问目的终端的宽度大于预设的访问宽度阈值;
例如,预设的访问宽度阈值可以设置为10,同样的,本发明实施例并不需要对该访问宽度阈值的具体数值进行限定。
(4)源终端访问目的终端时所使用的用户代理服务器的数量大于预设的代理服务器阈值;
例如,预设的代理服务器阈值可以设置为5,同样的,本发明实施例并不需要对该代理服务器阈值的具体数值进行限定。
(5)源终端访问目的终端时静态文件的访问请求的比例大于预设的第一比例阈值;
例如,预设的第一比例阈值可以设置为1,同样的,本发明实施例并不需要对该预设的第一比例阈值的具体数值进行限定。
(6)源终端访问目的终端时Http的状态码中非200状态码访问请求的比例大于预设的第二比例阈值;
例如,预设的第二比例阈值可以设置为1,同样的,本发明实施例并不需要对该预设的第二比例阈值的具体数值进行限定。
(7)源终端访问目的终端时以Post方式方式访问目的终端的次数比上以Get方式访问目的终端的次数的比值大于预设的第三比例阈值。
例如,预设的第三比例阈值可以设置为1,同样的,本发明实施例并不需要对该预设的第三比例阈值的具体数值进行限定。
S105:若判断结果为满足,则判定目的终端遭遇到由源终端发起的攻击。
需要说明的是,现有技术中仅借助于代理服务器进行攻击检测的方案,虽然能够检测到CC攻击,但是由于一些高匿名的代理服务器完全不透传任何信息,以至于无法判断来访者在访问过程中是否使用了代理服务器,进而导致攻击检测的准确率低,容易造成漏检和误检。另外,现有技术中还可以通过判断与目的终端连接的源IP地址的并发连接数、某一源IP地址访问目的终端时的请求频率以及某一源IP地址重复访问目的终端的次数等来进行攻击检测,但这几种方式也存在一定的弊端,举例而言,一些网吧中的计算机通常是共用一个IP作为出口的,假设网吧中的计算机全部访问某一目的终端,则容易因源IP地址的并发连接数多、请求频率高或重复访问次数多而造成攻击检测的误检,降低了攻击检测的准确率。此外,现有技术中还可以借助于浏览器的特性来进行攻击检测,例如,攻击者往往放弃使用全功能的浏览器,一般可改用Python脚本发起攻击,因此,可以通过向源终端下发JavaScript脚本的方式来进行攻击检测,但是,当源终端使用的是正常的全浏览器如IE浏览器发起攻击的情况下,该检测方法就会失效,因此容易出现漏检的情况,同样降低攻击检测的准确率。
由以上可见,应用本发明实施例提供的方案进行攻击检测的过程中,是从多个维度进行CC攻击检测的,首先获得源终端发送的访问目的终端的待检测报文,然后从待检测报文中提取至少两个维度的访问信息的数值,然后再根据所提取的数值分别更新已统计得到的各维度访问信息所对应的统计信息,进而根据每一维度的访问信息进行判断,最终综合各类访问信息的判断结果最终做出目的终端是否遭遇到由源终端发起的攻击的决定,由于最终的检测结果是基于多个维度的判断结果而做出的,因此即使基于其中某一维度的CC攻击检测出现漏检或误检的情况,也可以通过其他维度的检测结果来判断目的终端是否遭遇了CC攻击,因而,提供了攻击检测的准确率。
需要说明的是,本发明实施例提供的攻击检测方案,是从访问信息的多个维度进行检测的,实际上,对于每一种访问信息而言,均是可以单独用于攻击检测的,但是,一旦基于其中某一访问信息所进行的攻击检测判断失败的情况下,就只能得出错误的检测结果了,而本发明分别从多个维度进行攻击检测的,分别得到针对每一访问信息的判断结果,然后再综合所得到的各个判断结果来做出最终的决定,例如,对于基于5维访问信息的攻击检测而言,当其中有3个以上的判断结果表明有可能为攻击时,即可综合该5维访问信息的判断结果做出最终的决定,即:目的终端遭遇到由源终端发起的攻击。
还需要说明的是,本发明实施例提供的攻击检测方案,可以对流入IDC的全部流量数据(如Web流量数据)进行Http访问请求的分析,并对Http访问请求中的待检测报文中的访问信息进行统计,从而实现对待检测流量数据的数字化,然后基于访问信息的统计结果进行综合分析,进而完成对目的终端是否遭遇到源终端发起的攻击的检测,可以看出,本发明实施例提供的攻击检测方案并非是简单地通过判断是否使用代理服务器、或是通过对频率等判断,而是从访问信息的多个维度进行检测的,因而在进行攻击检测过程中具有更高的准确率。
另外,对统计结果已进行数字化的处理,因此在攻击检测过程中,对于进行攻击检测的服务器而言,只需要关注这些数字化后统计结果中的各类访问信息的数值即可,并不需要通过运行程序代码的方式来完成检测,因此,对于该攻击检测服务器而言,具有更高的透明度,并且也可以有效的防止攻击者伪造客户端对CC攻击的检测造成干扰。
还需要强调的是,在源终端访问目的终端的深度大于预设的访问深度阈值并且源终端访问目的终端的宽度大于预设的访问宽度阈值,可以判断目的终端遭遇到由源终端发起的CC攻击;当源终端访问目的终端的深度以及源终端访问目的终端的宽度的数值均非常大的情况下,还可以进一步判断目的终端遭遇到由源终端发起的爬虫式CC攻击,而现有技术中借助于代理服务器进行的攻击检测是难以做到的。
实施例二:
如图5所示,为本发明实施例提供的一种攻击检测装置的结构示意图,该装置可以包括以下模块:
报文获得模块210,用于获得源终端发送的访问目的终端的待检测报文;
数值提取模块220,用于提取待检测报文中至少两个维度的访问信息的数值;
信息更新模块230,用于根据所提取的数值,分别更新已统计得到的源终端访问目的终端时各维度访问信息所对应的统计信息;
信息判断模块240,用于判断更新后的各个统计信息是否满足预设的攻击判断规则;
攻击检测模块250,用于在信息判断模块240的判断结果为满足时,判定目的终端遭遇到由源终端发起的攻击。
由以上可见,应用本发明实施例提供的方案进行攻击检测的过程中,是从多个维度进行CC攻击检测的,首先获得源终端发送的访问目的终端的待检测报文,然后从待检测报文中提取至少两个维度的访问信息的数值,然后再根据所提取的数值分别更新已统计得到的各维度访问信息所对应的统计信息,进而根据每一维度的访问信息进行判断,最终综合各类访问信息的判断结果最终做出目的终端是否遭遇到由源终端发起的攻击的决定,由于最终的检测结果是基于多个维度的判断结果而做出的,因此即使基于其中某一维度的CC攻击检测出现漏检或误检的情况,也可以通过其他维度的检测结果来判断目的终端是否遭遇了CC攻击,因而,提供了攻击检测的准确率。
具体的,如图6所示,为本发明实施例提供的另一种攻击检测装置的结构示意图,报文获得模块210,可以包括:流量数据获得子模块211和报文收取子模块212;其中,
流量数据获得子模块211,用于在流量数据流入互联网数据中心IDC前,以流量镜像的方式对待流入的流量数据进行流量镜像,获得待检测流量数据;
报文收取子模块212,用于基于预设的报文收取规则,从待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
具体的,报文收取子模块212,具体用于:
基于预设的高性能数据收发接口,从待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
具体的,如图7所示,为本发明实施例提供的另一种攻击检测装置的结构示意图,报文获得模块210,可以包括:日志获得子模块213和报文提取子模块214;其中,
日志获得子模块213,用于获得源终端访问目的终端的访问日志;
报文提取子模块214,用于从访问日志中提取源终端发送的访问目的终端的待检测报文。
具体的,如图8所示,为本发明实施例提供的另一种攻击检测装置的结构示意图,信息更新模块230,可以包括:
标识生成子模块231,用于根据源终端的源IP地址和目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识,其中,目标访问关系为:源终端访问目的终端所对应的访问关系;
信息获得子模块232,用于根据访问标识,获得源终端访问目的终端时各维度访问信息所对应的统计信息;
信息更新子模块233,用于根据所提取的数值,更新所获得的各个统计信息。
具体的,访问信息,为:
源终端访问目的终端的次数;或,
源终端访问目的终端的深度;或,
源终端访问目的终端的宽度;或,
源终端访问目的终端时所使用的用户代理服务器的数量;或,
源终端访问目的终端时静态文件的访问请求的比例;或,
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,其中,Http的状态码中非200状态码访问请求的比例为:非200状态码访问请求次数与总的访问请求次数之间的比值;或,
源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
具体的,信息判断模块240,具体用于:
判断更新后的各个统计信息是否满足以下所列情况中的至少两种,若为是,则判定满足攻击判断规则:
源终端访问目的终端的次数大于预设的访问次数阈值;
源终端访问目的终端的深度大于预设的访问深度阈值;
源终端访问目的终端的宽度大于预设的访问宽度阈值;
源终端访问目的终端时所使用的用户代理服务器的数量大于预设的代理服务器阈值;
源终端访问目的终端时静态文件的访问请求的比例大于预设的第一比例阈值;
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例大于预设的第二比例阈值;
源终端访问目的终端时以Post方式方式访问目的终端的次数比上以Get方式访问目的终端的次数的比值大于预设的第三比例阈值。
具体的,数值提取模块220,具体用于:
基于待检测报文中携带的源终端的IP地址、目的终端的IP地址、代理服务器的标识、访问文件类型的标识、Http请求状态码以及Http请求发送方式中的至少两个维度的访问信息,提取待检测报文中相对应的至少两个维度的访问信息的数值。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种攻击检测方法,其特征在于,所述方法包括:
获得源终端发送的访问目的终端的待检测报文;
提取所述待检测报文中至少两个维度的访问信息的数值;
根据所提取的数值,分别更新已统计得到的所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
判断更新后的各个统计信息是否满足预设的攻击判断规则;
若判断结果为满足,则判定所述目的终端遭遇到由所述源终端发起的攻击。
2.根据权利要求1所述的方法,其特征在于,所述获得源终端发送的访问目的终端的待检测报文,包括:
在流量数据流入互联网数据中心IDC前,以流量镜像的方式对待流入的流量数据进行流量镜像,获得待检测流量数据;
基于预设的报文收取规则,从所述待检测流量数据中收取所述源终端发送的访问所述目的终端的待检测报文。
3.根据权利要求2所述的方法,其特征在于,所述基于预设的报文收取规则,从所述待检测流量数据中收取源终端发送的访问目的终端的待检测报文,包括:
基于预设的高性能数据收发接口,从所述待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
4.根据权利要求1所述的方法,其特征在于,所述获得源终端发送的访问目的终端的待检测报文,包括:
获得所述源终端访问所述目的终端的访问日志;
从所述访问日志中提取所述源终端发送的访问所述目的终端的待检测报文。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述根据所提取的数值,分别更新已统计得到的所述源终端访问所述目的终端时各维度访问信息所对应的统计信息,包括:
根据所述源终端的源IP地址和所述目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识,其中,所述目标访问关系为:所述源终端访问所述目的终端所对应的访问关系;
根据所述访问标识,获得所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
根据所提取的数值,更新所获得的各个统计信息。
6.根据权利要求1-4中任一项所述的方法,其特征在于,所述访问信息,为:
源终端访问目的终端的次数;或,
源终端访问目的终端的深度;或,
源终端访问目的终端的宽度;或,
源终端访问目的终端时所使用的用户代理服务器的数量;或,
源终端访问目的终端时静态文件的访问请求的比例;或,
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,其中,所述Http的状态码中非200状态码访问请求的比例为:非200状态码访问请求次数与总的访问请求次数之间的比值;或,
源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
7.根据权利要求1-4中任一项所述的方法,其特征在于,所述判断更新后的各个统计信息是否满足预设的攻击判断规则,包括:
判断更新后的各个统计信息是否满足以下所列情况中的至少两种,若为是,则判定满足攻击判断规则:
源终端访问目的终端的次数大于预设的访问次数阈值;
源终端访问目的终端的深度大于预设的访问深度阈值;
源终端访问目的终端的宽度大于预设的访问宽度阈值;
源终端访问目的终端时所使用的用户代理服务器的数量大于预设的代理服务器阈值;
源终端访问目的终端时静态文件的访问请求的比例大于预设的第一比例阈值;
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例大于预设的第二比例阈值;
源终端访问目的终端时以Post方式方式访问目的终端的次数比上以Get方式访问目的终端的次数的比值大于预设的第三比例阈值。
8.根据权利要求1-4中任一项所述的方法,其特征在于,所述提取所述待检测报文中至少两个维度的访问信息的数值,包括:
基于所述待检测报文中携带的源终端的IP地址、目的终端的IP地址、代理服务器的标识、访问文件类型的标识、Http请求状态码以及Http请求发送方式中的至少两个维度的访问信息,提取所述待检测报文中相对应的至少两个维度的访问信息的数值。
9.一种攻击检测装置,其特征在于,所述装置包括:
报文获得模块,用于获得源终端发送的访问目的终端的待检测报文;
数值提取模块,用于提取所述待检测报文中至少两个维度的访问信息的数值;
信息更新模块,用于根据所提取的数值,分别更新已统计得到的所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
信息判断模块,用于判断更新后的各个统计信息是否满足预设的攻击判断规则;
攻击检测模块,用于在所述信息判断模块的判断结果为满足时,判定所述目的终端遭遇到由所述源终端发起的攻击。
10.根据权利要求9所述的装置,其特征在于,所述报文获得模块,包括:流量数据获得子模块和报文收取子模块;其中,
所述流量数据获得子模块,用于在流量数据流入互联网数据中心IDC前,以流量镜像的方式对待流入的流量数据进行流量镜像,获得待检测流量数据;
所述报文收取子模块,用于基于预设的报文收取规则,从所述待检测流量数据中收取所述源终端发送的访问所述目的终端的待检测报文。
11.根据权利要求10所述的装置,其特征在于,所述报文收取子模块,具体用于:
基于预设的高性能数据收发接口,从所述待检测流量数据中收取源终端发送的访问目的终端的待检测报文。
12.根据权利要求9所述的装置,其特征在于,所述报文获得模块,包括:日志获得子模块和报文提取子模块;其中,
所述日志获得子模块,用于获得所述源终端访问所述目的终端的访问日志;
所述报文提取子模块,用于从所述访问日志中提取所述源终端发送的访问所述目的终端的待检测报文。
13.根据权利要求9-12中任一项所述的装置,其特征在于,所述信息更新模块,包括:
标识生成子模块,用于根据所述源终端的源IP地址和所述目的终端的域名,按照预设的哈希算法,生成与目标访问关系相对应的访问标识,其中,所述目标访问关系为:所述源终端访问所述目的终端所对应的访问关系;
信息获得子模块,用于根据所述访问标识,获得所述源终端访问所述目的终端时各维度访问信息所对应的统计信息;
信息更新子模块,用于根据所提取的数值,更新所获得的各个统计信息。
14.根据权利要求9-12中任一项所述的装置,其特征在于,所述访问信息,为:
源终端访问目的终端的次数;或,
源终端访问目的终端的深度;或,
源终端访问目的终端的宽度;或,
源终端访问目的终端时所使用的用户代理服务器的数量;或,
源终端访问目的终端时静态文件的访问请求的比例;或,
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例,其中,所述Http的状态码中非200状态码访问请求的比例为:非200状态码访问请求次数与总的访问请求次数之间的比值;或,
源终端访问目的终端时以Post方式、Get方式访问目的终端的次数。
15.根据权利要求9-12中任一项所述的装置,其特征在于,所述信息判断模块,具体用于:
判断更新后的各个统计信息是否满足以下所列情况中的至少两种,若为是,则判定满足攻击判断规则:
源终端访问目的终端的次数大于预设的访问次数阈值;
源终端访问目的终端的深度大于预设的访问深度阈值;
源终端访问目的终端的宽度大于预设的访问宽度阈值;
源终端访问目的终端时所使用的用户代理服务器的数量大于预设的代理服务器阈值;
源终端访问目的终端时静态文件的访问请求的比例大于预设的第一比例阈值;
源终端访问目的终端时Http的状态码中非200状态码访问请求的比例大于预设的第二比例阈值;
源终端访问目的终端时以Post方式方式访问目的终端的次数比上以Get方式访问目的终端的次数的比值大于预设的第三比例阈值。
16.根据权利要求9-12中任一项所述的装置,其特征在于,所述数值提取模块,具体用于:
基于所述待检测报文中携带的源终端的IP地址、目的终端的IP地址、代理服务器的标识、访问文件类型的标识、Http请求状态码以及Http请求发送方式中的至少两个维度的访问信息,提取所述待检测报文中相对应的至少两个维度的访问信息的数值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610452846.8A CN107528812B (zh) | 2016-06-21 | 2016-06-21 | 一种攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610452846.8A CN107528812B (zh) | 2016-06-21 | 2016-06-21 | 一种攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107528812A true CN107528812A (zh) | 2017-12-29 |
| CN107528812B CN107528812B (zh) | 2020-05-01 |
Family
ID=60735216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610452846.8A Active CN107528812B (zh) | 2016-06-21 | 2016-06-21 | 一种攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107528812B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309685A (zh) * | 2018-10-31 | 2019-02-05 | 北京百度网讯科技有限公司 | 信息传输方法和装置 |
| CN110213208A (zh) * | 2018-05-09 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种处理请求的方法和装置以及存储介质 |
| CN110944016A (zh) * | 2019-12-25 | 2020-03-31 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、网络设备及存储介质 |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111414304A (zh) * | 2020-03-18 | 2020-07-14 | 北京京安佳新技术有限公司 | 一种app特征识别方法和设备 |
| CN111770044A (zh) * | 2019-04-01 | 2020-10-13 | 广州精选速购网络科技有限公司 | 一种防御网站攻击的方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及系统 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN105007175A (zh) * | 2015-06-03 | 2015-10-28 | 北京云杉世纪网络科技有限公司 | 一种基于openflow的流深度关联分析方法及系统 |
| CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
-
2016
- 2016-06-21 CN CN201610452846.8A patent/CN107528812B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及系统 |
| CN103701793A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 服务器肉鸡的识别方法和装置 |
| CN105007175A (zh) * | 2015-06-03 | 2015-10-28 | 北京云杉世纪网络科技有限公司 | 一种基于openflow的流深度关联分析方法及系统 |
| CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
| CN105554016A (zh) * | 2015-12-31 | 2016-05-04 | 山石网科通信技术有限公司 | 网络攻击的处理方法和装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213208A (zh) * | 2018-05-09 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种处理请求的方法和装置以及存储介质 |
| CN110213208B (zh) * | 2018-05-09 | 2021-11-09 | 腾讯科技(深圳)有限公司 | 一种处理请求的方法和装置以及存储介质 |
| CN109309685A (zh) * | 2018-10-31 | 2019-02-05 | 北京百度网讯科技有限公司 | 信息传输方法和装置 |
| CN109309685B (zh) * | 2018-10-31 | 2021-10-29 | 北京百度网讯科技有限公司 | 信息传输方法和装置 |
| CN111770044A (zh) * | 2019-04-01 | 2020-10-13 | 广州精选速购网络科技有限公司 | 一种防御网站攻击的方法和装置 |
| CN110944016A (zh) * | 2019-12-25 | 2020-03-31 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、网络设备及存储介质 |
| CN110944016B (zh) * | 2019-12-25 | 2022-06-14 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、网络设备及存储介质 |
| CN111010409A (zh) * | 2020-01-07 | 2020-04-14 | 南京林业大学 | 加密攻击网络流量检测方法 |
| WO2021139643A1 (zh) * | 2020-01-07 | 2021-07-15 | 南京林业大学 | 加密攻击网络流量检测方法,其装置及电子设备 |
| CN111010409B (zh) * | 2020-01-07 | 2021-08-17 | 南京林业大学 | 加密攻击网络流量检测方法 |
| CN111414304A (zh) * | 2020-03-18 | 2020-07-14 | 北京京安佳新技术有限公司 | 一种app特征识别方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107528812B (zh) | 2020-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107528812A (zh) | 一种攻击检测方法及装置 | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| US9680850B2 (en) | Identifying bots | |
| CN104954372B (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
| CN103634306B (zh) | 网络数据的安全检测方法和安全检测服务器 | |
| US8438386B2 (en) | System and method for developing a risk profile for an internet service | |
| CN109274632B (zh) | 一种网站的识别方法及装置 | |
| CA3100468A1 (en) | System and method for detecting phishing events | |
| Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
| CN107786545A (zh) | 一种网络攻击行为检测方法及终端设备 | |
| US20230040895A1 (en) | System and method for developing a risk profile for an internet service | |
| CN108156131A (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN108154029A (zh) | 入侵检测方法、电子设备和计算机存储介质 | |
| CN107294919A (zh) | 一种水平权限漏洞的检测方法及装置 | |
| WO2013097742A1 (zh) | 识别被篡改网页以及识别被劫持网址的方法及装置 | |
| CN107370719A (zh) | 异常登录识别方法、装置及系统 | |
| CN110362992A (zh) | 在基于云端环境中阻挡或侦测计算机攻击的方法和设备 | |
| CN107592305A (zh) | 一种基于elk和redis的防刷方法及系统 | |
| Wang et al. | It’s not just the site, it’s the contents: Intra-domain fingerprinting social media websites through cdn bursts | |
| Vigna et al. | Reducing errors in the anomaly-based detection of web-based attacks through the combined analysis of web requests and SQL queries | |
| CN107547490A (zh) | 一种扫描器识别方法、装置及系统 | |
| CN108337269A (zh) | 一种WebShell检测方法 | |
| CN111859234A (zh) | 一种非法内容识别方法、装置、电子设备及存储介质 | |
| CN113032655A (zh) | 一种暗网电子数据提取固定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |