CN107743113A - 一种网站攻击的检测方法及系统 - Google Patents
一种网站攻击的检测方法及系统 Download PDFInfo
- Publication number
- CN107743113A CN107743113A CN201611049081.XA CN201611049081A CN107743113A CN 107743113 A CN107743113 A CN 107743113A CN 201611049081 A CN201611049081 A CN 201611049081A CN 107743113 A CN107743113 A CN 107743113A
- Authority
- CN
- China
- Prior art keywords
- parameter
- field
- website
- information aggregation
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了网站攻击的检测方法及系统,应用于信息处理技术领域。在本实施例的方法中,网站攻击的检测系统会计算一个网站的访问请求头部包括的各个字段分别对应的信息聚集度参数的参数值,根据某一字段的信息聚集度参数的参数值或参数值的变化度确定该网站是否受挑战黑洞的攻击。由于攻击者在生成攻击请求(即网站的访问请求)时,为了减少性能消耗,将攻击请求中某些字段的信息设置成固定值,这样本发明实施例通过对各个字段的聚集度参数的参数值的判定,从而可以检测出网站是否受到挑战黑洞的攻击。避免了现有技术中无法检测低于阈值的攻击,和由于网站搞活动使得流量徒增时导致的误判等缺陷。
Description
技术领域
本发明涉及信息处理技术领域,特别涉及一种网站攻击的检测方法及系统。
背景技术
攻击者借助代理服务器或者肉鸡生成指向受害主机的合法请求,实现分布式拒绝服务(Distributed Denial of Service,DDOS)和伪装就叫挑战黑洞(ChallengeCollapsar,CC)攻击。这里肉鸡也称傀儡机,是指可以被黑客远程控制的机器,比如用"灰鸽子"等诱导用户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马,黑客可以随意操纵它并利用它做任何事情。肉鸡通常被用作DDOS攻击,肉鸡可以是各种系统,如windows、linux、unix等系统,更可以是一家公司、企业、学校甚至是政府军队的服务器。
现有的CC攻击的检测方法为:当网站的流量超过设定阈值比如每秒100查询率(Query Per Second,qps),则判断网站受到CC攻击并开启防护,但是现有的这种方法无法检测到低于阈值的CC攻击,且如果网站搞活动导致流量徒增时,会误判为CC攻击。
发明内容
本发明实施例提供一种网站攻击的检测方法及系统,实现了根据网站的访问请求头部的某一字段的信息聚集度参数的参数值确定网站是否受挑战黑洞的攻击。
本发明实施例提供一种网站攻击的检测方法,包括:
检测网站的访问请求,所述网站的访问请求的头部包括多个字段;
计算所述多个字段分别对应的信息聚集度参数的参数值;
如果某一字段的信息聚集度参数的参数值超出对应的第一预置范围,或所述某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,确定所述网站受挑战黑洞的攻击。
本发明实施例提供一种网站攻击的检测系统,包括:
检测单元,用于检测网站的访问请求,所述网站的访问请求的头部包括多个字段;
计算单元,用于计算所述多个字段分别对应的信息聚集度参数的参数值;
确定单元,用于如果某一字段的信息聚集度参数的参数值超出对应的第一预置范围,或所述某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,确定所述网站受挑战黑洞的攻击。
可见,在本实施例的方法中,网站攻击的检测系统会计算一个网站的访问请求头部包括的各个字段分别对应的信息聚集度参数的参数值,根据某一字段的信息聚集度参数的参数值或参数值的变化度确定该网站是否受挑战黑洞的攻击。由于攻击者在生成攻击请求(即网站的访问请求)时,为了减少性能消耗,将攻击请求中某些字段的信息设置成固定值,这样本发明实施例通过对各个字段的聚集度参数的参数值的判定,从而可以检测出网站是否受到挑战黑洞的攻击。避免了现有技术中无法检测低于阈值的攻击,和由于网站搞活动使得流量徒增时导致的误判等缺陷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网站攻击的检测方法的流程图;
图2是本发明实施例中网站攻击的检测系统对各个字段对应的预置参数值范围进行训练的方法流程图;
图3是本发明应用实施例中提供的一种网站攻击的检测方法的流程图;
图4是本发明实施例提供的一种网站攻击的检测系统的结构示意图;
图5是本发明实施例提供的另一种网站攻击的检测系统的结构示意图;
图6是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供一种网站攻击的检测方法,主要是网站攻击的检测系统所执行的方法,流程图如图1所示,包括:
步骤101,检测网站的访问请求,网站的访问请求的头部包括多个字段。
可以理解,用户通过客户端访问网站时,会向网站的服务器发送网站的访问请求,一般情况下,该访问请求为超文本传输协议(Hyper Text Transport Protocol,HTTP)请求,在该访问请求的头部可以包括如下字段:用户代理(User_agent)、临时文件Cookie、推荐者(Referer)、客户端希望接受的数据类型(Accept)、公共网关接口(Common GatewayInterface,CGI),每个字段都包括多个离散的随机符号。
步骤102,计算多个字段分别对应的信息聚集度参数的参数值,之后再执行步骤103或104。
一个字段的信息聚集度参数可以该字段所包括的多个符号代表的信息的聚集程度,在本实施例中,信息聚集度参数通过信息熵来表示。
在信息论中,信息熵用于衡量信源的不确定度,即信息量的大小。若信源符号有n种取值:U1…Ui…Un,对应概率为:P1…Pi…Pn,且各种符号的出现彼此独立,则信源的平均不确定性应当为单个符号不确定性-logPi的统计平均值(即期望E),称为信息熵H(U),即:
信息熵越小,说明信源的不确定性越小,如果信息熵为0,说明信源的内容是固定的值。
本实施例中,如果一个字段包括n个符号,则该字段的信息熵为n个符号中单个符号的不确定性参数的统计平均值,如果信息熵越小,说明该字段的信息越聚集。
步骤103,判断各个字段的信息聚集度参数的参数值是否超出对应的预置参数值范围,如果某一字段的信息聚集度参数的参数值超出对应的第一预置范围,执行步骤105,如果未超出,则确定网站未受挑战黑洞的攻击。
可以理解,每个字段对应的预置参数值范围不同,一个字段对应的预置参数值范围是指网站在未受挑战黑洞攻击时该字段的聚集度参数的参数值范围,一般情况下,在参数值范围内的参数值所指示对应字段的信息比较分散,如果某个字段的聚集度参数的参数值超出第一预置范围,说明该字段的信息比较集中。且各个字段的预置参数值范围可以是网站攻击的检测系统根据历史数据(即网站在未受挑战黑洞攻击时的历史访问请求)得到的,或是用户根据经验得到,并事先储存在系统中的。
如果上述步骤102中计算的各个字段的信息聚集度参数的参数值为各个字段的信息熵,则在执行本步骤103时,可以判断各个字段的信息熵是否小于对应的阈值,如果某一字段的信息熵小于对应的第一阈值,则执行步骤105。
步骤104,判断各个字段的信息聚集度参数的参数值的变化度是否超出对应的预置变化范围,如果某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,则执行步骤105,如果未超出,则确定网站未受挑战黑洞的攻击。
可以理解,每个字段对应的预置变化范围不同,一个字段对应的预置变化范围是指网站在未受挑战黑洞攻击时该字段的聚集度参数的参数值变化的范围,一般情况下,在参数值变化的范围内参数值的变化度所指示对应字段的信息量的变化比较小,都比较分散,如果某个字段的聚集度参数的参数值的变化度超出第二预置范围,说明该字段的信息量的变化较大,比如从比较分散变为比较集中。且各个字段的预置变化范围可以是网站攻击的检测系统根据历史数据(即网站在未受挑战黑洞攻击时的历史访问请求)得到的,或是用户根据经验得到,并事先储存在系统中的。
如果上述步骤102中计算的各个字段的信息聚集度参数的参数值为各个字段的信息熵,则在执行本步骤104时,可以用各个字段的信息熵与对应基线值的比值分别作为各个字段的信息聚集度参数的参数值的变化度,并判断各个字段的信息熵与对应基线值的比值是否小于对应的阈值,如果某一字段的信息熵与对应基线值的比较小于对应的第二阈值,则执行步骤105。
步骤105,确定网站正受挑战黑洞的攻击。
进一步地,如果确定网站受挑战黑洞的攻击,网站攻击的检测系统还可以开启对该网站的访问请求的限制策略,比如限制某一字段中信息与黑名单中信息一致的访问请求接入到网站的服务器,或限制具有某些特征的访问请求接入到网站的服务器,或限制该网站的访问请求的传输速度等。还可以采取其它的策略,比如给客户端下发验证码,丢弃7层请求、丢弃4层传输控制协议(Transmission Control Protocol,TCP)连接。
需要说明的是,本实施例中可以针对网站的访问请求的头部所有字段执行步骤102后,再针对各个字段对应的信息聚集度参数的参数值执行步骤103或104;也可以针对网站的访问请求的头部的一个字段执行了步骤102后,即可针对该字段的信息聚集度参数的参数值执行步骤103或104,如果根据某个字段的聚集度参数的参数值确定了网站受挑战黑洞的攻击,则不需要再计算其它字段的信息聚集度参数的参数值。
可见,在本实施例的方法中,网站攻击的检测系统会计算一个网站的访问请求头部包括的各个字段分别对应的信息聚集度参数的参数值,根据某一字段的信息聚集度参数的参数值或参数值的变化度确定该网站是否受挑战黑洞的攻击。由于攻击者在生成攻击请求(即网站的访问请求)时,为了减少性能消耗,将攻击请求中某些字段的信息设置成固定值,这样本发明实施例通过对各个字段的聚集度参数的参数值的判定,从而可以检测出网站是否受到挑战黑洞的攻击。避免了现有技术中无法检测低于阈值的攻击,和由于网站搞活动使得流量徒增时导致的误判等缺陷。
参考图2所示,在一个具体的实施例中,网站攻击的检测系统在执行上述步骤103或104之前还可以执行如下步骤:
步骤201,将网站在未受挑战黑洞攻击时的多个历史访问请求确定为请求样本。
步骤202,分别计算多个历史访问请求中每个历史访问请求头部包括的各个字段的信息聚集度参数的参数值,这里的信息聚集度参数的参数值可以是信息熵,各个字段的信息熵的计算如上述实施例中所述,在此不进行赘述。
步骤203,统计各个字段分别对应的信息聚集度参数的参数值范围,或统计各个字段分别对应的信息聚集度参数的基线值。这样上述第一预置范围为某一字段对应的信息聚集度参数的参数值范围,上述某一字段对应的信息聚集度参数的参数值的变化度为该某一字段的信息聚集度参数的参数值与对应基线值的比值。
其中,在统计某一字段对应的信息聚集度参数的基线值时,可以将多个请求样本中每个请求样本包括的该某一字段对应的信息聚集度参数的参数值的平均值作为基线值。
需要说明的是,多个字段中每个字段对应的信息聚集度参数的参数值范围不同,多个字段中每个字段对应的信息聚集度参数的基线值不同。
以下以一个具体的实施例来说明本发明的网站攻击的检测方法,在本实施例中,网站的访问请求为HTTP请求,且通过信息熵来衡量信息聚集度参数的参数值,而通过某一字段的信息聚集度参数的参数值与对应基线值的比值作为该字段信息聚集度参数的参数值的变化度。参考图3所示,本发明实施例的方法包括:
步骤301,检测网站的HTTP请求,该HTTP请求的头部包括的字段包括User_agent、Cookie、Referer、Accept和CGI。
步骤302,计算HTTP请求的头部各个字段的信息熵。
步骤303,如果其中某一个字段的信息熵与对应基线值的比值小于对应的阈值,则确定该网站受挑战黑洞的攻击,否则未受挑战黑洞的攻击。
例如,网站攻击的检测系统通过对请求样本的训练,得到该网站在未受挑战黑洞的攻击时,HTTP请求头部包括的User_agent字段的基线值为100,当实时检测时,发现该网站的HTTP请求头部包括的User_agent字段的信息熵突然变为1,由于1/100=0.01<0.5(阈值),因此,确定该网站受挑战黑洞的攻击。
本发明实施例还提供一种网站攻击的检测系统,其结构示意图如图4所示,具体可以包括:
检测单元10,用于检测网站的访问请求,所述网站的访问请求的头部包括多个字段;
计算单元11,用于计算所述检测单元10检测的访问请求头部包括的多个字段分别对应的信息聚集度参数的参数值;
确定单元12,用于如果所述计算单元11计算的某一字段的信息聚集度参数的参数值超出对应的第一预置范围,或所述某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,确定所述网站受挑战黑洞的攻击。
在一个具体的实施例中,所述计算单元11,具体用于如果所述信息聚集度参数为信息熵,所述某一字段包括n个符号,在计算某一字段的信息熵时,所述信息熵为所述n个符号中单个符号的不确定性参数的统计平均值;则所述确定单元12,具体用于如果所述某一字段的信息熵小于对应的第一阈值,或所述某一字段的信息熵与对应基线值的比值小于对应的第二阈值,确定所述网站受挑战黑洞的攻击。
在本实施例的系统中,计算单元11会计算一个网站的访问请求头部包括的各个字段分别对应的信息聚集度参数的参数值,然后确定单元12根据某一字段的信息聚集度参数的参数值或参数值的变化度确定该网站是否受挑战黑洞的攻击。由于攻击者在生成攻击请求(即网站的访问请求)时,为了减少性能消耗,将攻击请求中某些字段的信息设置成固定值,这样本发明实施例通过对各个字段的聚集度参数的参数值的判定,从而可以检测出网站是否受到挑战黑洞的攻击。避免了现有技术中无法检测低于阈值的攻击,和由于网站搞活动使得流量徒增时导致的误判等缺陷。
参考图5所示,在一个具体的实施例中,网站攻击的检测系统除了可以包括如图4所示的结构外,还可以包括:样本确定单元13、统计单元14和策略开启单元15,其中:
所述样本确定单元13,用于将所述网站在未受挑战黑洞攻击时的多个历史访问请求确定为请求样本;
上述所述计算单元11,还用于分别计算所述样本确定单元13确定的多个历史访问请求中每个历史访问请求头部包括的各个字段的信息聚集度参数的参数值;
所述统计单元14,用于统计所述计算单元11计算的各个字段分别对应的信息聚集度参数的参数值范围,或统计所述各个字段分别对应的信息聚集度参数的基线值,则所述第一预置范围为所述某一字段对应的信息聚集度参数的参数值范围,所述某一字段对应的信息聚集度参数的参数值的变化度为所述某一字段的信息聚集度参数的参数值与对应基线值的比值。其中,所述多个字段中每个字段对应的信息聚集度参数的参数值范围不同;所述多个字段中每个字段对应的信息聚集度参数的基线值不同。
具体地,统计单元14,具体在统计某一字段对应的信息聚集度参数的基线值时,具体是将多个所述请求样本中每个请求样本包括的所述某一字段对应的信息聚集度参数的参数值的平均值作为所述基线值。
策略开启单元15,用于在确定单元12确定网站正受挑战黑洞的攻击时,开启对所述网站的访问请求的限制策略。具体地,该策略开启单元15开启的限制策略包括:限制某一字段中信息与黑名单中信息一致的访问请求接入到网站的服务器,或限制具有某些特征的访问请求接入到网站的服务器,或限制该网站的访问请求的传输速度等。
且策略开启单元15还可以开启其它策略,比如给客户端下发验证码,丢弃7层请求、丢弃4层TCP连接等。
本发明实施例还提供一种服务器,其结构示意图如图6所示,该服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)20(例如,一个或一个以上处理器)和存储器21,一个或一个以上存储应用程序221或数据222的存储介质22(例如一个或一个以上海量存储设备)。其中,存储器21和存储介质22可以是短暂存储或持久存储。存储在存储介质22的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中的一系列指令操作。
具体地,在存储介质22中储存的应用程序221包括网站攻击的检测的应用程序,且该程序可以包括上述网站攻击的检测系统的检测单元10,计算单元11,确定单元12,样本确定单元13,统计单元14和策略开启单元15,在此不进行赘述。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中储存的网站攻击的检测的应用程序对应的一系列操作。
服务器还可以包括一个或一个以上电源23,一个或一个以上有线或无线网络接口24,一个或一个以上输入输出接口25,和/或,一个或一个以上操作系统223,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述方法实施例中所述的由网站攻击的检测系统所执行的步骤可以基于该图6所示的服务器的结构。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM)、随机存取存储器RAM)、磁盘或光盘等。
以上对本发明实施例所提供的网站攻击的检测方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种网站攻击的检测方法,其特征在于,包括:
检测网站的访问请求,所述网站的访问请求的头部包括多个字段;
计算所述多个字段分别对应的信息聚集度参数的参数值;
如果某一字段的信息聚集度参数的参数值超出对应的第一预置范围,或所述某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,确定所述网站受挑战黑洞的攻击。
2.如权利要求1所述的方法,其特征在于,所述信息聚集度参数为信息熵,所述某一字段包括n个符号,则计算所述某一字段的信息聚集度参数的参数值,具体包括:
计算所述某一字段的信息熵,所述信息熵为所述n个符号中单个符号的不确定性参数的统计平均值;
所述如果某一字段的信息聚集度参数的参数值超出对应的第一预置范围,或所述某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,确定所述网站受挑战黑洞的攻击,具体包括:
如果所述某一字段的信息熵小于对应的第一阈值,或所述某一字段的信息熵与对应基线值的比值小于对应的第二阈值,确定所述网站受挑战黑洞的攻击。
3.如权利要求1所述的方法,其特征在于,所述确定所述网站受挑战黑洞的攻击之前,所述方法还包括:
将所述网站在未受挑战黑洞攻击时的多个历史访问请求确定为请求样本;
分别计算所述多个历史访问请求中每个历史访问请求头部包括的各个字段的信息聚集度参数的参数值;
统计所述各个字段分别对应的信息聚集度参数的参数值范围,或统计所述各个字段分别对应的信息聚集度参数的基线值,则所述第一预置范围为所述某一字段对应的信息聚集度参数的参数值范围,所述某一字段对应的信息聚集度参数的参数值的变化度为所述某一字段的信息聚集度参数的参数值与对应基线值的比值。
4.如权利要求3所述的方法,其特征在于,统计某一字段对应的信息聚集度参数的基线值,具体包括:将多个所述请求样本中每个请求样本包括的所述某一字段对应的信息聚集度参数的参数值的平均值作为所述基线值。
5.如权利要求3所述的方法,其特征在于,所述多个字段中每个字段对应的信息聚集度参数的参数值范围不同;
所述多个字段中每个字段对应的信息聚集度参数的基线值不同。
6.如权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
开启对所述网站的访问请求的限制策略。
7.一种网站攻击的检测系统,其特征在于,包括:
检测单元,用于检测网站的访问请求,所述网站的访问请求的头部包括多个字段;
计算单元,用于计算所述多个字段分别对应的信息聚集度参数的参数值;
确定单元,用于如果某一字段的信息聚集度参数的参数值超出对应的第一预置范围,或所述某一字段的信息聚集度参数的参数值的变化度超出对应的第二预置范围,确定所述网站受挑战黑洞的攻击。
8.如权利要求7所述的系统,其特征在于,
所述计算单元,具体用于如果所述信息聚集度参数为信息熵,所述某一字段包括n个符号,计算某一字段的信息熵,所述信息熵为所述n个符号中单个符号的不确定性参数的统计平均值;
所述确定单元,具体用于如果所述某一字段的信息熵小于对应的第一阈值,或所述某一字段的信息熵与对应基线值的比值小于对应的第二阈值,确定所述网站受挑战黑洞的攻击。
9.如权利要求7所述的系统,其特征在于,还包括:样本确定单元和统计单元,其中:
所述样本确定单元,用于将所述网站在未受挑战黑洞攻击时的多个历史访问请求确定为请求样本;
所述计算单元,还用于分别计算所述多个历史访问请求中每个历史访问请求头部包括的各个字段的信息聚集度参数的参数值;
所述统计单元,用于统计所述各个字段分别对应的信息聚集度参数的参数值范围,或统计所述各个字段分别对应的信息聚集度参数的基线值,则所述第一预置范围为所述某一字段对应的信息聚集度参数的参数值范围,所述某一字段对应的信息聚集度参数的参数值的变化度为所述某一字段的信息聚集度参数的参数值与对应基线值的比值。
10.如权利要求9所述的系统,其特征在于,
所述统计单元,具体用于统计某一字段对应的信息聚集度参数的基线值,具体包括:将多个所述请求样本中每个请求样本包括的所述某一字段对应的信息聚集度参数的参数值的平均值作为所述基线值。
11.如权利要求9所述的系统,其特征在于,所述多个字段中每个字段对应的信息聚集度参数的参数值范围不同;
所述多个字段中每个字段对应的信息聚集度参数的基线值不同。
12.如权利要求7至11任一项所述的系统,其特征在于,还包括:
策略开启单元,用于开启对所述网站的访问请求的限制策略。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611049081.XA CN107743113A (zh) | 2016-11-23 | 2016-11-23 | 一种网站攻击的检测方法及系统 |
| PCT/CN2017/107784 WO2018095192A1 (zh) | 2016-11-23 | 2017-10-26 | 网站攻击的检测和防护方法及系统 |
| US16/296,065 US10715546B2 (en) | 2016-11-23 | 2019-03-07 | Website attack detection and protection method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611049081.XA CN107743113A (zh) | 2016-11-23 | 2016-11-23 | 一种网站攻击的检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107743113A true CN107743113A (zh) | 2018-02-27 |
Family
ID=61235038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611049081.XA Pending CN107743113A (zh) | 2016-11-23 | 2016-11-23 | 一种网站攻击的检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107743113A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450864A (zh) * | 2018-10-17 | 2019-03-08 | 国网河北省电力有限公司电力科学研究院 | 一种安全检测方法、装置和系统 |
| CN109617925A (zh) * | 2019-01-29 | 2019-04-12 | 网宿科技股份有限公司 | 一种针对网络攻击的防护、区间标记的设置方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| US20110185422A1 (en) * | 2010-01-22 | 2011-07-28 | The School of Electrical Eng. & Computer Science (SEECS), National University of sciences | Method and system for adaptive anomaly-based intrusion detection |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN104935609A (zh) * | 2015-07-17 | 2015-09-23 | 北京京东尚科信息技术有限公司 | 网络攻击检测方法及检测设备 |
| CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
| CN105991511A (zh) * | 2015-01-27 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种检测cc攻击的方法及设备 |
-
2016
- 2016-11-23 CN CN201611049081.XA patent/CN107743113A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902366A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种业务行为异常检测方法和系统 |
| US20110185422A1 (en) * | 2010-01-22 | 2011-07-28 | The School of Electrical Eng. & Computer Science (SEECS), National University of sciences | Method and system for adaptive anomaly-based intrusion detection |
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104601556A (zh) * | 2014-12-30 | 2015-05-06 | 中国科学院信息工程研究所 | 一种面向web的攻击检测方法及系统 |
| CN105991511A (zh) * | 2015-01-27 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种检测cc攻击的方法及设备 |
| CN104935609A (zh) * | 2015-07-17 | 2015-09-23 | 北京京东尚科信息技术有限公司 | 网络攻击检测方法及检测设备 |
| CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
Non-Patent Citations (5)
| Title |
|---|
| 中国矿业大学研究生院编: ""一种基于网站正常访问的恶意HTTP请求检测方法"", 《中国矿业大学(北京)研究生教育学术论坛论文集 2008》 * |
| 吕桃霞等: ""结合信息熵的多Agent网络安全审计模型"", 《济南大学学报(自然科学版)》 * |
| 唐鹏等: ""基于信息熵的多Agent DDoS攻击检测"", 《计算机科学》 * |
| 陆楠等: "HTTP消息格式", 《计算机网络实训与编程》 * |
| 陈妍等: "超文本传输协议HTTP", 《计算机网络原理(第三版)》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450864A (zh) * | 2018-10-17 | 2019-03-08 | 国网河北省电力有限公司电力科学研究院 | 一种安全检测方法、装置和系统 |
| CN109450864B (zh) * | 2018-10-17 | 2021-06-18 | 国网河北省电力有限公司电力科学研究院 | 一种安全检测方法、装置和系统 |
| CN109617925A (zh) * | 2019-01-29 | 2019-04-12 | 网宿科技股份有限公司 | 一种针对网络攻击的防护、区间标记的设置方法及系统 |
| CN109617925B (zh) * | 2019-01-29 | 2021-08-27 | 网宿科技股份有限公司 | 一种针对网络攻击的防护、区间标记的设置方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
| US10075463B2 (en) | Bot detection system based on deep learning | |
| CN104113519B (zh) | 网络攻击检测方法及其装置 | |
| Dou et al. | A confidence-based filtering method for DDoS attack defense in cloud environment | |
| EP2691848B1 (en) | Determining machine behavior | |
| US11184387B2 (en) | Network attack defense system and method | |
| CN105100032B (zh) | 一种防止资源盗取的方法及装置 | |
| Ben-Porat et al. | Vulnerability of network mechanisms to sophisticated DDoS attacks | |
| CN103428189A (zh) | 一种识别恶意网络设备的方法、装置和系统 | |
| CN110611635B (zh) | 一种基于多维度失陷账号的检测方法 | |
| CN105577608A (zh) | 网络攻击行为检测方法和装置 | |
| WO2021114454A1 (zh) | 一种检测爬虫请求的方法和装置 | |
| CN106549959B (zh) | 一种代理网际协议ip地址的识别方法及装置 | |
| CN110071941A (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
| CN106549980A (zh) | 一种恶意c&c服务器确定方法及装置 | |
| CN107395553A (zh) | 一种网络攻击的检测方法及装置 | |
| CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
| CN107070930A (zh) | 一种面向主机的可疑网络连接识别方法 | |
| Liu et al. | A survey of botnet architecture and batnet detection techniques | |
| CN112953938A (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
| CN107743113A (zh) | 一种网站攻击的检测方法及系统 | |
| CN106713242A (zh) | 数据请求的处理方法及处理装置 | |
| Huang et al. | CCID: Cross‐Correlation Identity Distinction Method for Detecting Shrew DDoS | |
| CN110598794A (zh) | 一种分类对抗的网络攻击检测方法及系统 | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180227 |