CN107682341A - Cc攻击的防护方法及装置 - Google Patents
Cc攻击的防护方法及装置 Download PDFInfo
- Publication number
- CN107682341A CN107682341A CN201710962807.7A CN201710962807A CN107682341A CN 107682341 A CN107682341 A CN 107682341A CN 201710962807 A CN201710962807 A CN 201710962807A CN 107682341 A CN107682341 A CN 107682341A
- Authority
- CN
- China
- Prior art keywords
- waf
- lvs
- attacks
- default
- closed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供一种CC攻击的防护方法及装置,所述方法包括:获取终端访问网络过程中的流量报文;根据预设的WAF规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得第一日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种CC攻击的防护方法及装置。
背景技术
CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击现象。攻击者通过代理服务器向受害终端主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。
CC攻击的攻击技术含量低,利用工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施攻击。不过,如果了解了CC攻击的原理,那就不难针对CC攻击实施一些有效的防范措施。但目前还不存在整体防护的方法措施,以及不能进行预测攻击趋势的方法。
发明内容
本发明提供一种CC攻击的防护方法及装置,用于解决现有技术中针对CC攻击无法整体防护的问题。
第一方面,本发明提供一种CC攻击的防护方法,包括:
获取终端访问网络过程中的流量报文;
根据预设的第一规则对所述流量报文进行筛选获得WAF日志;
对所述WAF日志进行分析获得日志统计参数;
根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
可选地,还包括:
根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
可选地,还包括:
根据预设的第二规则对所述流量报文进行筛选获得LVS流量;
获取预设的域名测速规则;
根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;
根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。
可选地,还包括:
根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。
可选地,还包括:
根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
第二方面,本发明提供一种CC攻击的防护装置,包括:
获取模块,用于获取终端访问网络过程中的流量报文;
WAF筛选模块,用于根据预设的WAF规则对所述流量报文进行筛选获得WAF日志;
分析模块,用于对所述WAF日志进行分析获得日志统计参数;
第一比较模块,用于根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
第二比较模块,用于继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
可选地,所述第一比较模块,还用于:根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
可选地,还包括LVS筛选模块和预测模块,用于:
LVS筛选模块,用于根据预设的第二规则对所述流量报文进行筛选获得LVS流量;
预存模块,用于:
获取预设的域名测速规则;
根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;
根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。
可选地,还包括展示模块,用于:根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。
可选地,所述展示模块,还用于:根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
第三方面,本发明提供一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如上述的方法。
第四方面,本发明提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如上述的方法。
由上述技术方案可知,本发明实施例提供的一种CC攻击的防护方法及装置,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得LVS流量和WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,根据所述日志参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。
附图说明
图1为本发明一实施例提供的CC攻击的防护方法的流程示意图;
图2为本发明一实施例提供的CC攻击的防护方法的整体流程示意图;
图3为本发明一实施例提供的CC攻击的防护方法的流程示意图;
图4为本发明一实施例提供的CC攻击的防护装置的结构示意图;
图5为本发明一实施例提供的CC攻击的防护装置的结构示意图;
图6为本发明一实施例提供的CC攻击的防护装置的结构示意图;
图7为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1示出了本发明一实施例提供一种CC攻击的防护方法,包括:
S11、获取终端访问网络过程中的流量报文。
在本步骤中,需要说明的是,在本发明实施例中,如终端通过网络对某一网页进行访问,服务器会获取到对该网页的访问流量。该网页的访问流量为流量报文。
S12、根据预设的第一规则对所述流量报文进行筛选获得WAF日志。
在本步骤中,需要说明的是,在本发明实施例中,所述第一规则为预设规则,该规则用于对流量报文进行筛选出WAF日志。具体可为服务器会通过内置的WAF系统(web应用防护)根据预设的第一规则对所述流量报文进行筛选获得WAF日志。
S13、对所述WAF日志进行分析获得日志统计参数。
S14、根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源。
S15、继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
针对步骤S13-步骤S15,需要说明的是,在本发明实施例中,如图2所示的CC攻击的防护方法的整体的流程图,从图中可以看出,防护可分为三层防护,分别为CC-Client、CC-Agent和CC-Server。CC-Client用于所在机房(终端)日志数据的收集,CC-Agent对所在机房的日志数据进行统计和防护,即局部防护,CC-Server对所有机房的日志数据统计和防护,即全局防护。
在本发明实施例中,局部CC攻击为发生在CC-Agent防护阶段的CC攻击;全局CC攻击为发生在CC-Server防护阶段的CC攻击。
如图2所示,CC-Client负责对所在机房终端的所述WAF日志进行分析,获得日志统计参数,该日志统计参数可包括对目标域名下的错误访问次数、访问频率等。但不局限于此。在日志统计过程中,现有存在的所有统计参数可属于日志统计参数。得到的日志参数可存储在预设的日志中心中。
在Agent网络开通状态下,CC-Client将获得的日志统计参数发送给CC-Agent。
CC-Agent根据所述日志统计参数与预设的第一防护阈值策略进行比较,根据比较结果,在确定发生局部攻击后,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源。该第一攻击源可存储在预设的日志中心中。
然后继续将日志统计参数发送给CC-Server进行全局防护,CC-Server根据所述日志统计参数与预设的第二防护阈值策略进行比较,获得第二比较结果,并在根据所述第二比较结果确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局攻击的第二攻击源。该第二攻击源可存储在预设的日志中心中。
另外,CC-Agent根据所述日志统计参数与预设的第一防护阈值策略进行比较,根据比较结果,在确定未发生局部攻击后,继续将日志统计参数发送给CC-Server进行全局防护,CC-Server根据所述日志统计参数与预设的第二防护阈值策略进行比较,获得第二比较结果,并在根据所述第二比较结果确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局攻击的第二攻击源。该第二攻击源可存储在预设的日志中心中。
其中,还需要说明的是,对于在发生攻击时,对终端进行的处理,不仅仅包括上述提及的LVS封禁和/或WAF封禁,还可视各种情况而定。
还需要说明的是,有关日志统计参数与第一防护阈值策略或第二防护阈值策略的比较,可依据现有防护过程中策略比较方式进行。如参数数值是否超过预设阈值,如是否存在用于攻击的某一参数,等等。
另外,可根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
本发明实施例提供的一种CC攻击的防护方法,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,继续根据日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。
图3示出了本发明一实施例提供的一种CC攻击的防护方法,包括:
S21、获取终端访问网络过程中的流量报文。
S22、根据预设的第二规则对所述流量报文进行筛选获得LVS流量。
在本步骤中,需要说明的是,在本发明实施例中,所述第二规则为预设规则,该规则用于对流量报文进行筛选出LVS流量。服务器会对获取到的流量报文进行清洗,以获得对应的LVS流量。对于清洗过程,服务器会通过内置的Linux虚拟服务器(LVS)采用预设的第一规则进行筛选。筛选得到的LVS流量可存储在预设的日志中心中。
S23、根据预设的第一规则对所述流量报文进行筛选获得WAF日志。
S24、对所述WAF日志进行分析获得日志统计参数。
S25、根据所述第一日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源。
S26、继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
针对上述步骤S21,步骤S23-步骤S26,需要说明的是,由于这些步骤与上述实施例所述的步骤S11-步骤S16的原理相同,在此不再赘述。
S27、获取预设的域名测速规则。
S28、根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果。
S29、根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。
针对上述步骤S27-步骤S29,需要说明的是,如图6所示,服务器根据日志中心存储的LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,以预测CC攻击的趋势。当预测存在攻击时,将所述终端进行LVS封禁和/或WAF封禁。另外,根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。
本发明实施例提供的一种CC攻击的防护方法,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得LVS流量和WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,以及根据存储信息进行CC攻击预测,能够做到对CC攻击的整体防护、整体预测以及存储攻击情况。
图4示出了本发明一实施例提供的一种CC攻击的防护装置,包括获取模块31、WAF筛选模块32、分析模块33、第一比较模块34和第二比较模块35,其中:
获取模块31,用于获取终端访问网络过程中的流量报文;
WAF筛选模块32,用于根据预设的第一规则对所述流量报文进行筛选获得WAF日志;
分析模块33,用于对所述WAF日志进行分析获得日志统计参数;
第一比较模块34,用于根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
第二比较模块35,用于继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
需要说明的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。
本发明实施例提供的一种CC攻击的防护方法,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。
图5示出了本发明一实施例提供的一种CC攻击的防护装置,包括获取模块41、LVS筛选模块42、WAF筛选模块43、分析模块44、第一比较模块45、第二比较模块46和展示模块47,其中:
获取模块41,用于获取终端访问网络过程中的流量报文;
LVS筛选模块42,用于根据预设的第二规则对所述流量报文进行筛选获得LVS流量;
WAF筛选模块43,用于根据预设的第一规则对所述流量报文进行筛选获得WAF日志;
分析模块44,用于对所述WAF日志进行分析获得日志统计参数;
第一比较模块45,用于根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
第二比较模块46,用于继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源;
展示模块47,根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
需要说明的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。
本发明实施例提供的一种CC攻击的防护装置,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得LVS流量和WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,能够做到对CC攻击的整体防护以及存储攻击情况。
图6示出了本发明一实施例提供的一种CC攻击的防护装置,包括获取模块51、LVS筛选模块52、WAF筛选模块53、分析模块54、第一比较模块55、第二比较模块56、预测模块57和展示模块58,其中:
获取模块51,用于获取终端访问网络过程中的流量报文;
LVS筛选模块52,用于根据预设的第二规则对所述流量报文进行筛选获得LVS流量;
WAF筛选模块53,用于根据预设的第一规则对所述流量报文进行筛选获得WAF日志;
分析模块54,用于对所述WAF日志进行分析获得日志统计参数;
第一比较模块55,用于根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
第二比较模块56,用于继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源;
预测模块57,用于:
获取预设的域名测速规则;
根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;
根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁;
展示模块58,根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
需要说明的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。
本发明实施例提供的一种CC攻击的防护装置,通过获取终端访问网络过程中的流量报文;根据预设规则对所述流量报文进行筛选获得LVS流量和WAF日志;对所述WAF日志进行分析获得第一日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略进行比较,在确定未发生局部攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略进行比较,在确定发生全局攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储第二攻击源,以及根据存储信息进行CC攻击预测,能够做到对CC攻击的整体防护、整体预测以及存储攻击情况。
图7示出了本发明一实施例提供的一种电子设备,包括:处理器601、存储器602和总线603,其中,
所述处理器和存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取终端访问网络过程中的流量报文;根据预设的第一规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
本发明一实施例提供的一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取终端访问网络过程中的流量报文;根据预设的第一规则对所述流量报文进行筛选获得WAF日志;对所述WAF日志进行分析获得日志统计参数;根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本领域普通技术人员可以理解:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求所限定的范围。
Claims (12)
1.一种CC攻击的防护方法,其特征在于,包括:
获取终端访问网络过程中的流量报文;
根据预设的第一规则对所述流量报文进行筛选获得WAF日志;
对所述WAF日志进行分析获得日志统计参数;
根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
2.根据权利要求1所述的方法,其特征在于,还包括:
根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
3.根据权利要求2所述的方法,其特征在于,还包括:
根据预设的第二规则对所述流量报文进行筛选获得LVS流量;
获取预设的域名测速规则;
根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;
根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。
4.根据权利要求3所述的方法,其特征在于,还包括:
根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。
5.根据权利要求4所述的方法,其特征在于,还包括:
根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
6.一种CC攻击的防护装置,其特征在于,包括:
获取模块,用于获取终端访问网络过程中的流量报文;
WAF筛选模块,用于根据预设的第一规则对所述流量报文进行筛选获得WAF日志;
分析模块,用于对所述WAF日志进行分析获得日志统计参数;
第一比较模块,用于根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果确定发生局部CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储局部CC攻击对应的第一攻击源;
第二比较模块,用于继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
7.根据权利要求6所述的装置,其特征在于,所述第一比较模块,还用于:根据所述日志统计参数与预设的第一防护阈值策略获得第一比较结果,并在根据所述第一比较结果未确定发生局部CC攻击时,继续根据所述日志统计参数与预设的第二防护阈值策略获得第二比较结果,并在根据所述第二比较结果确定发生全局CC攻击时,对所述终端进行LVS封禁和/或WAF封禁,并存储全局CC攻击对应的第二攻击源。
8.根据权利要求7所述的装置,其特征在于,还包括LVS筛选模块和预测模块,
LVS筛选模块,用于根据预设的第二规则对所述流量报文进行筛选获得LVS流量;
预测模块,用于:
获取预设的域名测速规则;
根据所述LVS流量、日志统计参数、第一攻击源、第二攻击源和域名测速规则进行预测,获得预测结果;
根据所述预测结果,在确定发生攻击时,将所述终端进行LVS封禁和/或WAF封禁。
9.根据权利要求8所述的装置,其特征在于,还包括展示模块,用于:根据所述预测结果,在确定未发生攻击时,生成曲线图进行展示。
10.根据权利要求9所述的装置,其特征在于,所述展示模块,还用于:根据所述LVS流量、日志统计参数、第一攻击源和第二攻击源进行分析获得分析图进行展示。
11.一种电子设备,其特征在于,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710962807.7A CN107682341A (zh) | 2017-10-17 | 2017-10-17 | Cc攻击的防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710962807.7A CN107682341A (zh) | 2017-10-17 | 2017-10-17 | Cc攻击的防护方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107682341A true CN107682341A (zh) | 2018-02-09 |
Family
ID=61141126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710962807.7A Pending CN107682341A (zh) | 2017-10-17 | 2017-10-17 | Cc攻击的防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107682341A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547434A (zh) * | 2018-11-22 | 2019-03-29 | 北京知道创宇信息技术有限公司 | 分辨爬虫和cc攻击的方法、装置、电子设备及存储介质 |
CN110445808A (zh) * | 2019-08-26 | 2019-11-12 | 杭州迪普科技股份有限公司 | 异常流量攻击防护方法、装置、电子设备 |
CN111241543A (zh) * | 2020-01-07 | 2020-06-05 | 中国搜索信息科技股份有限公司 | 一种应用层智能抵御DDoS攻击的方法及系统 |
CN111741021A (zh) * | 2020-08-03 | 2020-10-02 | 北京翼鸥教育科技有限公司 | 一种cc攻击接入服务集群的检测防护系统 |
CN112134844A (zh) * | 2020-08-20 | 2020-12-25 | 广东网堤信息安全技术有限公司 | 一种Web应用防火墙系统的架构 |
CN112333130A (zh) * | 2019-08-05 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
CN102420825A (zh) * | 2011-11-30 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 一种网络攻击防御检测方法及系统 |
CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
-
2017
- 2017-10-17 CN CN201710962807.7A patent/CN107682341A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150586A (zh) * | 2007-11-20 | 2008-03-26 | 杭州华三通信技术有限公司 | Cc攻击防范方法及装置 |
CN102420825A (zh) * | 2011-11-30 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 一种网络攻击防御检测方法及系统 |
CN104378358A (zh) * | 2014-10-23 | 2015-02-25 | 河北省电力建设调整试验所 | 一种基于服务器日志的HTTP Get Flood攻击防护方法 |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547434A (zh) * | 2018-11-22 | 2019-03-29 | 北京知道创宇信息技术有限公司 | 分辨爬虫和cc攻击的方法、装置、电子设备及存储介质 |
CN109547434B (zh) * | 2018-11-22 | 2021-01-01 | 北京知道创宇信息技术股份有限公司 | 分辨爬虫和cc攻击的方法、装置、电子设备及存储介质 |
CN112333130A (zh) * | 2019-08-05 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
CN112333130B (zh) * | 2019-08-05 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
CN110445808A (zh) * | 2019-08-26 | 2019-11-12 | 杭州迪普科技股份有限公司 | 异常流量攻击防护方法、装置、电子设备 |
CN111241543A (zh) * | 2020-01-07 | 2020-06-05 | 中国搜索信息科技股份有限公司 | 一种应用层智能抵御DDoS攻击的方法及系统 |
CN111741021A (zh) * | 2020-08-03 | 2020-10-02 | 北京翼鸥教育科技有限公司 | 一种cc攻击接入服务集群的检测防护系统 |
CN112134844A (zh) * | 2020-08-20 | 2020-12-25 | 广东网堤信息安全技术有限公司 | 一种Web应用防火墙系统的架构 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107682341A (zh) | Cc攻击的防护方法及装置 | |
CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
US7854001B1 (en) | Aggregation-based phishing site detection | |
US10110627B2 (en) | Adaptive self-optimzing DDoS mitigation | |
US8429751B2 (en) | Method and apparatus for phishing and leeching vulnerability detection | |
US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
CN106534114B (zh) | 基于大数据分析的防恶意攻击系统 | |
US20110214182A1 (en) | Methods for proactively securing a web application and apparatuses thereof | |
US20100325685A1 (en) | Security Integration System and Device | |
US20100192201A1 (en) | Method and Apparatus for Excessive Access Rate Detection | |
US20130104230A1 (en) | System and Method for Detection of Denial of Service Attacks | |
US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
US8713674B1 (en) | Systems and methods for excluding undesirable network transactions | |
CN111556037A (zh) | 网站系统安全指数评估的方法和装置 | |
US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
US20140380457A1 (en) | Adjusting ddos protection | |
Naik et al. | Augmented windows fuzzy firewall for preventing denial of service attack | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN104184746B (zh) | 网关处理数据的方法和装置 | |
JP5752020B2 (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
Alsubhi et al. | Policy-based security configuration management, application to intrusion detection and prevention | |
CN114157504A (zh) | 一种基于Servlet拦截器的安全防护方法 | |
CN114257403A (zh) | 误报检测方法、设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180209 |