CN107948125A - 一种网络攻击的处理方法及装置 - Google Patents
一种网络攻击的处理方法及装置 Download PDFInfo
- Publication number
- CN107948125A CN107948125A CN201610895736.9A CN201610895736A CN107948125A CN 107948125 A CN107948125 A CN 107948125A CN 201610895736 A CN201610895736 A CN 201610895736A CN 107948125 A CN107948125 A CN 107948125A
- Authority
- CN
- China
- Prior art keywords
- terminal
- attack
- server
- address
- facility information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络攻击的处理方法及装置,用于解决现有通过黑名单以IP地址为维度来处理网络攻击所存在的缺陷。本发明实施例方法包括:服务器接收到终端发送的对目标网站的第一攻击请求;所述服务器根据所述第一攻击请求向所述终端发送反向验证算法;若所述终端没有通过所述反向验证算法,则所述服务器确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;所述服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;所述服务器根据所述设备信息对所述终端进行打击。
Description
技术领域
本发明涉及通信领域,具体涉及一种网络攻击的处理方法及装置。
背景技术
在黑洞挑战(英文全称:ChallengeCollapsar,缩写:CC)等网络攻击中,黑名单是主要的防护手段之一。攻击者借助代理服务器或者肉鸡生成指向被攻击者(例如:受害主机)的合法请求,从而实现分布式拒绝服务(英文全称:Distributed Denial of service,缩写:DDOS)。其中,肉鸡也称傀儡机,是指可以被黑客远程控制的机器,例如:用“灰鸽子”等诱导客户点击或者电脑被黑客攻破或者用户电脑有漏洞被种植了木马,黑客可以随意操纵肉鸡并利用其做任何事情。
但是,传统的黑名单以IP地址为维度,由于IP地址具有动态分配的特性,同一终端的IP地址会不断变化,从而导致黑名单失效。
发明内容
本发明实施例提供了一种网络攻击的处理方法及装置,用于解决现有通过黑名单以IP地址为维度来处理网络攻击所存在的缺陷,将黑名单从IP地址维度升级为终端维度,有效解决由IP地址动态分配导致的黑名单失效问题,从而提高黑名单的覆盖率并降低非黑名单的误杀率。
本发明第一方面提供一种网络攻击的处理方法,包括:
服务器接收到终端发送的对目标网站的第一攻击请求;
所述服务器根据所述第一攻击请求向所述终端发送反向验证算法;
若所述终端没有通过所述反向验证算法,则所述服务器确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;
所述服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;
所述服务器根据所述设备信息对所述终端进行打击。
本发明第二方面提供一种服务器,包括:
接收模块,用于接收到终端发送的对目标网站的第一攻击请求;
发送模块,用于根据所述第一攻击请求向所述终端发送反向验证算法;
确定模块,用于若所述终端没有通过所述反向验证算法,则确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;
查询模块,用于根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;
打击模块,用于根据所述设备信息对所述终端进行打击。
从以上技术方案可以看出,本发明实施例具有以下优点:
服务器接收到终端发送的对目标网站的第一攻击请求后,服务器利用反向验证算法确定终端是否为黑名单,若是,则确定终端发送第一攻击请求时登录的第一IP地址和攻击时段,并根据该第一IP地址和攻击时段查询到终端对应的设备信息,并根据该设备信息对该终端进行打击。可见,将黑名单从IP地址维度升级为终端维度,由于终端是容易确定的,且不易发生动态改变,从而有效解决由IP地址动态分配导致的黑名单失效问题,进而提高黑名单的覆盖率并降低非黑名单的误杀率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中网络攻击的处理系统的一个结构示意图;
图2为本发明实施例中服务器的一个结构示意图;
图3为本发明实施例中网络攻击的处理方法的一个实施例示意图;
图4为本发明实施例中网络攻击的处理方法的另一个实施例示意图;
图5为本发明实施例服务器的另一个结构示意图;
图6为本发明实施例服务器的另一个结构示意图。
具体实施方式
本发明实施例提供了一种网络攻击的处理方法及装置,用于解决现有通过黑名单以IP地址为维度来处理网络攻击所存在的缺陷,将黑名单从IP地址维度升级为终端维度,有效解决由IP地址动态分配导致的黑名单失效问题,从而提高黑名单的覆盖率并降低非黑名单的误杀率。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在介绍本发明实施例之前,先介绍一下本发明所涉及的网络攻击的处理系统,请参阅图1,该处理系统包括服务器和多个终端,服务器和多个终端之间通信连接,该终端可以包括电脑,手机,笔记本,个人数字助理(英文全称:Personal Digital Assistant,缩写:PDA)、车载电脑等任意终端设备,此处不做具体限定。另外,所述终端的操作系统可以为Windows系列操作系统、Unix类操作系统、Linux类操作系统、Mac操作系统等,此处不做具体限定。
其中,多个终端首次向服务器发送对目标网站的第一攻击请求,服务器根据该第一攻击请求利用反向验证算法确定黑名单终端,并获取该黑名单终端在发送第一攻击请求时登录的第一网络协议(英文全称:Internet Protocol,缩写:IP)地址和发送该第一攻击请求时对应的攻击时段,然后,服务器根据该第一IP地址和该攻击时段查询业务系统的登录接口,从而获取在攻击时段下对应的该黑名单终端的设备信息,从而在下次接收到该黑名单终端对目标网站的第二攻击请求时,对黑名单终端上登录的第一IP地址进行打击,可见,将黑名单从IP地址维度升级为终端维度,有效解决由IP地址动态分配导致的黑名单失效问题,从而提高黑名单的覆盖率并降低非黑名单的误杀率。
在实际应用中,以终端为个人电脑(英文全称:Personal Computer,缩写:PC),以服务器为腾讯云网页(英文:web)服务器为例,假设多个PC首次向腾讯云web服务器发送腾讯云网站的攻击请求,腾讯云web服务器接收到该攻击请求后,利用反向验证算法确定该多个PC中哪些是黑名单PC,其中,黑名单PC无法通过反向验证算法,然后获取该黑名单PC在发送该攻击请求时所登录的第一IP地址,以及发送该攻击请求所对应的攻击时段,然后腾讯云web服务器利用该第一IP地址和攻击时段查询腾讯业务系统的登录接口,由于该腾讯业务系统的登录接口记录了在不同攻击时段所有设备登录时所对应的设备信息和登录信息(包括登录时的IP地址),这样,就可以根据该第一IP地址和该攻击时段查询到黑名单PC对应的设备信息,因此,在下次接收到该黑名单PC发送的对腾讯云网站的攻击请求时,可以根据该设备信息确定黑名单PC,并对该黑名单PC上所登录的第一IP地址进行打击。
请参阅图2,对本发明涉及的服务器100的具体结构进行介绍,服务器100包括:收发器110、存储器120、处理器130等部件。本领域技术人员可以理解,图2中示出的服务器100的结构并不构成对服务器的限定,可以包括比图2更多或更少的部件,或者组合某些部件,或者不同的部件布置。
收发器110可用于收发信息,例如:信号的接收和发送。收发器110通过无线通信与终端等其他设备通信,无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(英文全称:Global System of Mobile communication,缩写:GSM)、通用分组无线服务(英文全称:General Packet Radio Service,缩写:GPRS)、码分多址(英文全称:CodeDivision Multiple Access,缩写:CDMA)、宽带码分多址(英文全称:Wideband CodeDivision Multiple Access,缩写:WCDMA)、长期演进(英文全称:Long Term Evolution,缩写:LTE)、电子邮件、短消息服务(英文全称:Short Messaging Service,缩写:SMS)等。
存储器120可用于存储软件程序以及模块,处理器130通过运行存储在存储器120的软件程序以及模块,从而服务器100的各种功能应用以及数据处理。
其中,收发器110用于接收到终端发送的对目标网站的第一攻击请求;根据所述第一攻击请求向所述终端发送反向验证算法;
处理器130用于若所述终端没有通过所述反向验证算法,则确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;根据所述设备信息对所述终端进行打击。
在一些可能的实现方式中,处理器130具体用于根据所述第一IP地址和所述攻击时段从业务系统的登录接口查询到所述终端对应的设备信息。
在一些可能的实现方式中,处理器130还用于根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息之后,确定所述设备信息与所述第一IP地址之间的对应关系;将所述对应关系以列表的形式保存在数据库中。
在一些可能的实现方式中,所述收发器110还用于处理器130根据所述设备信息对所述终端进行打击之前,接收到所述终端发送的对所述目标网站的第二攻击请求。
在一些可能的实现方式中,处理器130还用于确定所述终端发送所述第二攻击请求时登录的第二IP地址;根据所述设备信息从所述数据库中查询到所述设备信息对应的第一IP地址;若所述第二IP地址与所述第一IP地址相同,则根据所述设备信息对所述终端进行打击。
在一些可能的实现方式中,处理器130具体用于根据所述设备信息向所述终端发送反向验证算法;或者,根据所述设备信息丢弃与所述终端的应用层的连接;或者,根据所述设备信息丢弃与所述终端的传输层的连接。
在一些可能的实现方式中,处理器130具体用于所述服务器在离线状态时确定所述终端发送所述第一攻击请求时登录的第一IP地址。
请参阅图3,为本发明实施例中网络攻击的处理方法的一个实施例示意图,该实施例的具体流程如下:
步骤301、服务器接收到终端发送的对目标网站的第一攻击请求。
本发明实施例中,服务器为任意web服务器,web服务器是指驻留在因特网上的某种类型计算机的程序,可以向浏览器等Web客户端提供网页文档。目前最常用的Web服务器是Apache和Microsoft的因特网信息服务器(英文全称:Internet Information Server,缩写:ⅡS)。其中,该目标网站为被指定攻击的网站,黑客借助终端向服务器发送对目标网站的第一攻击请求,其中,某些终端作为黑客攻击目标网站所被利用的工具,黑客可以随意操纵这些终端并利用其做任何事情,因此,可以将被黑客控制的终端作为肉鸡。
步骤302、服务器根据所述第一攻击请求向终端发送反向验证算法。
本发明实施例中,服务器接收到该第一攻击请求后,利用反向验证算法确定哪些终端是黑名单终端,即服务器向终端发送反向验证算法,如果终端没有通过该反向验证算法,则说明该终端为黑名单终端,否则,该终端为非黑名单终端,其中,该反向验证算法包括但不限于脚本语言(英文全称:JavaScript,缩写:JS)算法和验证码算法中的至少一个。例如:在一次网络攻击中,若某个源IP(发起攻击请求的终端IP)被服务器下发JS、验证码等反向验证算法,却没能通过验证,则可认为该源IP为肉鸡IP。
步骤303、若终端没有通过所述反向验证算法,则服务器确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段。
本发明实施例中,若终端没有通过该反向验证算法,则认为该终端为肉鸡终端,则服务器确定该终端发送第一攻击请求时登录的第一IP地址以及该终端发送该第一攻击请求时对应的攻击时段,在实际应用中,在特定的一些应用(带宽控制、虚拟服务器、上网控制)中,需要为受控终端设置固定的IP地址,通过IP地址来控制该终端。对于部分移动终端,例如:手机、IPAD等,通过路由器静态分配IP地址,其中,该第一IP地址为终端发送第一攻击请求时对应的IP地址,由于发送该第一攻击请求时的IP地址的唯一的,则服务器可以直接获取该第一IP地址,并通过检测提取出该第一IP的攻击时段,例如:一个IP地址从15:03-15:13参与了网络攻击,那对应的攻击时段就是15:03-15:13。
步骤304、服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息。
本发明实施例中,服务器根据所述第一IP地址和攻击时段查询到终端对应的设备信息的方式有很多种,例如:由于业务系统的登录接口关联全部登录的终端对应的设备信息和登录信息(包括登录时的IP地址),则服务器根据该第一IP地址和该攻击时段直接查询该业务系统的登录接口,从而获取该终端对应的设备信息,其中,该设备信息包括终端的型号,类型,身份标识码等信息。当然,在实际应用中,还可以通过其他方式获取该终端对应的设备信息,此处不做具体限定。
步骤305、服务器根据所述设备信息对所述终端进行打击。
本发明实施例中,服务器获取该终端对应的设备信息后,根据该设备信息对终端进行打击,在实际应用中,由于终端发送第一攻击请求时所登录的IP地址是黑名单IP地址,再由于IP地址具有动态分配的特性,同一终端的IP地址会不断变化,从而导致黑名单失效,则利用终端维度有效解决由IP地址动态分配导致的黑名单失效问题,从而提高黑名单的覆盖率并降低非黑名单的误杀率。
在图3所示实施例的基础上,请参阅图4,本发明实施例中网络攻击的处理方法的另一个实施例示意图,该实施例的具体流程如下:
步骤401、服务器接收到终端发送的对目标网站的第一攻击请求。
步骤402、服务器根据所述第一攻击请求向所述终端发送反向验证算法。
步骤403、若终端没有通过所述反向验证算法,则服务器确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段。
在实际应用中,由于服务器在离线状态时的处理准确率比在线状态时的处理准确率高,则服务器在离线状态时确定所述终端发送所述第一攻击请求时登录的第一IP地址。一方面,在线状态时所需要的实时运算特别消耗计算性能,只能采用少量的简单特征,而离线状态时能采用更多的特征进行判断;另一方面,离线状态发生在网络攻击结束后,往往可以根据应对网络攻击的防护结果来辅助判断,例如:终端被服务器下发JS算法后没有通过验证则十分有可能是肉鸡。
步骤404、服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息。
需要说明的是,步骤401至步骤404与图3所示的步骤301至步骤304相同或者相似,具体可参阅步骤301至步骤304的描述,此处不再赘述。
步骤405、服务器确定所述设备信息与所述第一IP地址之间的对应关系。
本发明实施例中,由于该第一IP地址为终端发送第一攻击请求时所登录的IP地址,当确定该终端为黑名单终端时,则服务器确定该终端对应的设备信息与该第一IP地址之间的对应关系,即一对一的关系。
步骤406、服务器将所述对应关系以列表的形式保存在数据库中。
本发明实施例中,当服务器确定该设备信息与第一IP地址之间的对应关系后,将该对应关系以列表的形式保存在数据库中,以便后续直接根据该第一IP地址查询到终端对应的设备信息,或者根据该终端对应的设备信息查询到该第一IP地址。
步骤407、服务器接收到所述终端发送的对所述目标网站的第二攻击请求。
本发明实施例中,当确定该终端发送第一攻击请求时所登录的第一IP地址为黑名单IP地址后,服务器接收到该终端发送的对目标网站的第二攻击请求,其中,该第二攻击请求为服务器再次接收到该终端发送的对目标网站的攻击请求。
步骤408、服务器确定所述终端发送所述第二攻击请求时登录的第二IP地址。
步骤409、服务器根据所述设备信息从所述数据库中查询到所述设备信息对应的第一IP地址。
本发明实施例中,当服务器接收到该终端发送的对目标网站的第二攻击请求时,服务器预见性地直接确定该终端发送该第二攻击请求时登录的第二IP地址,并通过该终端的设备信息从数据库中查询到该设备信息对应的第一IP地址。
需要说明的是,步骤408和步骤409的执行顺序不做具体限定,可以是步骤409先执行于步骤408,也可以是步骤408和步骤409同时执行。
步骤410、服务器判断第二IP地址是否与第一IP地址相同,若是,执行步骤411,若不是,结束流程。
步骤411、服务器根据所述设备信息对所述终端进行打击。
由于第一IP地址是黑名单IP地址,则服务器需要判断该第二IP地址是否与该第一IP地址相同,若相同,则直接根据该设备信息对该终端进行打击,由于该终端当前发送第二攻击请求时所登录的IP地址也是第一IP地址,则直接对该第一IP地址进行打击,从而有效打击黑客的网络攻击。
在实际应用中,对终端的打击方式有很多种,包括但不限于以下几种:
服务器根据所述设备信息向所述终端发送反向验证算法;或者,服务器根据所述设备信息丢弃与所述终端的应用层的连接;或者,服务器根据所述设备信息丢弃与所述终端的传输层的连接。
由于确定该终端发送第二攻击请求使所登录的第二IP地址也是黑名单IP地址,则服务器直接向该终端发送反向验证算法,终端也无法通过反向验证算法。或者,服务器直接丢弃与终端的应用层或者传输层的连接,从而中断与终端的网络通信。
在实际应用中,在一次网络攻击结束后,服务器会将终端发送的所有请求进行离线记录,其中,每个请求包括源IP地址(发起请求的终端端IP地址),目的IP地址(被请求的服务器IP地址),应用层请求,以及应对网络攻击的防护动作信息,然后服务器利用防护动作信息去审计肉鸡(即黑名单终端),例如:若登录源IP地址的终端被下发反向验证算法,却没有通过验证,则确定该终端对应的源IP地址及其攻击时段,调用公司业务系统的登录接口,返回在给定时段登录源IP地址的设备信息,并建立与存储设备信息与源IP地址之间的对应关系列表,即肉鸡IP列表。当下次网络攻击发生时,当服务器接收到终端发送的攻击请求时,确定该攻击请求对应的IP地址,并调用设备信息查询到首次网络攻击时对应的源IP地址,若源IP命中肉鸡IP列表,则根据客户需求执行不同程度的打击动作,包括下发JS算法、下发验证码、丢弃应用层层请求、丢弃传输层链接等。若源IP未命中肉鸡IP列表,则服务器将攻击请求转发给目的IP进行正常流程处理。可见,通过业务登录信息将肉鸡IP与肉鸡设备关联起来,可有效解决IP动态变化带来的黑名单失效问题,从而提高黑名单的覆盖率并降低误杀率,对反复来攻击的黑客进行有效打击。
为便于更好的实施本发明实施例的上述相关方法,下面还提供用于配合上述方法的服务器。
请参阅图5,本发明实施例中服务器500的一个结构示意图,该服务器500包括:接收模块501,发送模块502,确定模块503,查询模块504,打击模块505。
接收模块501,用于接收到终端发送的对目标网站的第一攻击请求;
发送模块502,用于根据所述第一攻击请求向所述终端发送反向验证算法;
确定模块503,用于若所述终端没有通过所述反向验证算法,则确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;
查询模块504,用于根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;
打击模块505,用于根据所述设备信息对所述终端进行打击。
在图5所示服务器的基础上,请参阅图6,为本发明实施例中服务器500的另一个结构示意图,该服务器500包括:接收模块501,发送模块502,确定模块503,查询模块504,打击模块505和保存模块506。
接收模块501,用于接收到终端发送的对目标网站的第一攻击请求;
本发明实施例中,服务器为任意web服务器,web服务器是指驻留在因特网上的某种类型计算机的程序,可以向浏览器等Web客户端提供网页文档。目前最常用的Web服务器是Apache和Microsoft的因特网信息服务器(英文全称:Internet Information Server,缩写:ⅡS)。其中,该目标网站为被指定攻击的网站,黑客借助终端向服务器发送对目标网站的第一攻击请求,其中,某些终端作为黑客攻击目标网站所被利用的工具,黑客可以随意操纵这些终端并利用其做任何事情,因此,可以将被黑客控制的终端作为肉鸡。
发送模块502,用于根据所述第一攻击请求向所述终端发送反向验证算法;
需要说明的是,该反向验证算法包括但不限于JS算法和验证码算法中的至少一个。例如:在一次网络攻击中,若某个源IP(发起攻击请求的终端IP)被服务器下发JS、验证码等反向验证算法,却没能通过验证,则可认为该源IP为肉鸡IP。
确定模块503,用于若所述终端没有通过所述反向验证算法,则确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;
在实际应用中,由于服务器在离线状态时的处理准确率比在线状态时的处理准确率高,则服务器在离线状态时确定所述终端发送所述第一攻击请求时登录的第一IP地址。一方面,在线状态时所需要的实时运算特别消耗计算性能,只能采用少量的简单特征,而离线状态时能采用更多的特征进行判断;另一方面,离线状态发生在网络攻击结束后,往往可以根据应对网络攻击的防护结果来辅助判断,例如:终端被服务器下发JS算法后没有通过验证则十分有可能是肉鸡。
由于发送该第一攻击请求时的IP地址的唯一的,则确定模块503可以直接确定该第一IP地址,并通过检测提取出该第一IP的攻击时段,例如:一个IP地址从11:00-15:20参与了网络攻击,那对应的攻击时段就是11:00-11:20。
在一些可能的实现方式中,所述确定模块503具体用于在离线状态时确定所述终端发送所述第一攻击请求时登录的第一IP地址。
查询模块504,用于根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;
其中,该设备信息包括终端的型号,类型,身份标识码等信息。
在一些可能的实现方式中,所述查询模块504具体用于根据所述第一IP地址和所述攻击时段从业务系统的登录接口查询到所述终端对应的设备信息。
由于业务系统的登录接口关联全部登录的终端对应的设备信息和登录信息(包括登录时的IP地址),则查询模块504根据该第一IP地址和该攻击时段直接查询该业务系统的登录接口,从而获取该终端对应的设备信息。当然,在实际应用中,还可以通过其他方式获取该终端对应的设备信息,此处不做具体限定。
所述确定模块503,还用于所述查询模块504根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息之后,确定所述设备信息与所述第一IP地址之间的对应关系;
保存模块506,用于将所述对应关系以列表的形式保存在数据库中。
当确定模块503确定该设备信息与第一IP地址之间的对应关系后,保存模块506将该对应关系以列表的形式保存在数据库中,以便后续直接根据该第一IP地址查询到终端对应的设备信息,或者根据该终端对应的设备信息查询到该第一IP地址。
所述接收模块501,还用于所述打击模块根据所述设备信息对所述终端进行打击之前,接收到所述终端发送的对所述目标网站的第二攻击请求;
所述确定模块503,还用于确定所述终端发送所述第二攻击请求时登录的第二IP地址;
所述查询模块504,还用于根据所述设备信息从所述数据库中查询到所述设备信息对应的第一IP地址;
所述打击模块505,用于若所述第二IP地址与所述第一IP地址相同,则根据所述设备信息对所述终端进行打击。
由于第一IP地址是黑名单IP地址,则服务器需要判断该第二IP地址是否与该第一IP地址相同,若相同,则直接根据该设备信息对该终端进行打击,由于该终端当前发送第二攻击请求时所登录的IP地址也是第一IP地址,则直接对该第一IP地址进行打击,从而有效打击黑客的网络攻击。
在一些可能的实现方式中,所述打击模块505具体用于根据所述设备信息向所述终端发送反向验证算法;或者,根据所述设备信息丢弃与所述终端的应用层的连接;或者,根据所述设备信息丢弃与所述终端的传输层的连接。
由于确定该终端发送第二攻击请求使所登录的第二IP地址也是黑名单IP地址,则服务器直接向该终端发送反向验证算法,终端也无法通过反向验证算法。或者,服务器直接丢弃与终端的应用层或者传输层的连接,从而中断与终端的网络通信。
可见,接收模块501接收到终端发送的对目标网站的第一攻击请求后,发送模块502向终端发送反向验证算法,若终端没有通过验证,即该终端为黑名单终端,则确定模块503确定终端发送第一攻击请求时登录的第一IP地址和攻击时段,查询模块504根据该第一IP地址和攻击时段查询到终端对应的设备信息,打击模块505根据该设备信息对该终端进行打击。可见,将黑名单从IP地址维度升级为终端维度,由于终端是容易确定的,且不易发生动态改变,从而有效解决由IP地址动态分配导致的黑名单失效问题,进而提高黑名单的覆盖率并降低非黑名单的误杀率。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种网络攻击的处理方法,其特征在于,包括:
服务器接收到终端发送的对目标网站的第一攻击请求;
所述服务器根据所述第一攻击请求向所述终端发送反向验证算法;
若所述终端没有通过所述反向验证算法,则所述服务器确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;
所述服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;
所述服务器根据所述设备信息对所述终端进行打击。
2.根据权利要求1所述的处理方法,其特征在于,所述服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息包括:
所述服务器根据所述第一IP地址和所述攻击时段从业务系统的登录接口查询到所述终端对应的设备信息。
3.根据权利要求1所述的处理方法,其特征在于,所述服务器根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息之后,所述方法还包括:
所述服务器确定所述设备信息与所述第一IP地址之间的对应关系;
所述服务器将所述对应关系以列表的形式保存在数据库中。
4.根据权利要求3所述的处理方法,其特征在于,所述服务器根据所述设备信息对所述终端进行打击之前,所述方法还包括:
所述服务器接收到所述终端发送的对所述目标网站的第二攻击请求;
所述服务器确定所述终端发送所述第二攻击请求时登录的第二IP地址;
所述服务器根据所述设备信息从所述数据库中查询到所述设备信息对应的第一IP地址;
若所述第二IP地址与所述第一IP地址相同,则所述服务器根据所述设备信息对所述终端进行打击。
5.根据权利要求1所述的处理方法,其特征在于,所述服务器根据所述设备信息对所述终端进行打击包括:
所述服务器根据所述设备信息向所述终端发送反向验证算法;
或者,所述服务器根据所述设备信息丢弃与所述终端的应用层的连接;
或者,所述服务器根据所述设备信息丢弃与所述终端的传输层的连接。
6.根据权利要求1至5任一项所述的处理方法,其特征在于,所述服务器确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址包括:
所述服务器在离线状态时确定所述终端发送所述第一攻击请求时登录的第一IP地址。
7.一种服务器,其特征在于,包括:
接收模块,用于接收到终端发送的对目标网站的第一攻击请求;
发送模块,用于根据所述第一攻击请求向所述终端发送反向验证算法;
确定模块,用于若所述终端没有通过所述反向验证算法,则确定所述终端发送所述第一攻击请求时登录的第一网络协议IP地址以及所述终端发送所述第一攻击请求时对应的攻击时段;
查询模块,用于根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息;
打击模块,用于根据所述设备信息对所述终端进行打击。
8.根据权利要求7所述的服务器,其特征在于,所述查询模块具体用于根据所述第一IP地址和所述攻击时段从业务系统的登录接口查询到所述终端对应的设备信息。
9.根据权利要求7所述的服务器,其特征在于,所述服务器还包括:
所述确定模块,还用于所述查询模块根据所述第一IP地址和所述攻击时段查询到所述终端对应的设备信息之后,确定所述设备信息与所述第一IP地址之间的对应关系;
保存模块,用于将所述对应关系以列表的形式保存在数据库中。
10.根据权利要求9所述的服务器,其特征在于,
所述接收模块,还用于所述打击模块根据所述设备信息对所述终端进行打击之前,接收到所述终端发送的对所述目标网站的第二攻击请求;
所述确定模块,还用于确定所述终端发送所述第二攻击请求时登录的第二IP地址;
所述查询模块,还用于根据所述设备信息从所述数据库中查询到所述设备信息对应的第一IP地址;
所述打击模块,还用于若所述第二IP地址与所述第一IP地址相同,则根据所述设备信息对所述终端进行打击。
11.根据权利要求7所述的服务器,其特征在于,所述打击模块具体用于根据所述设备信息向所述终端发送反向验证算法;或者,根据所述设备信息丢弃与所述终端的应用层的连接;或者,根据所述设备信息丢弃与所述终端的传输层的连接。
12.根据权利要求7至11任一项所述的服务器,其特征在于,所述确定模块具体用于在离线状态时确定所述终端发送所述第一攻击请求时登录的第一IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610895736.9A CN107948125A (zh) | 2016-10-13 | 2016-10-13 | 一种网络攻击的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610895736.9A CN107948125A (zh) | 2016-10-13 | 2016-10-13 | 一种网络攻击的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107948125A true CN107948125A (zh) | 2018-04-20 |
Family
ID=61928517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610895736.9A Pending CN107948125A (zh) | 2016-10-13 | 2016-10-13 | 一种网络攻击的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107948125A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225368A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176331A (zh) * | 2005-06-06 | 2008-05-07 | 国际商业机器公司 | 计算机网络入侵检测系统和方法 |
| CN101312465A (zh) * | 2007-05-25 | 2008-11-26 | 杭州华三通信技术有限公司 | 一种异常报文接入点的发现方法和装置 |
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN104717223A (zh) * | 2015-03-26 | 2015-06-17 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
-
2016
- 2016-10-13 CN CN201610895736.9A patent/CN107948125A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176331A (zh) * | 2005-06-06 | 2008-05-07 | 国际商业机器公司 | 计算机网络入侵检测系统和方法 |
| CN101312465A (zh) * | 2007-05-25 | 2008-11-26 | 杭州华三通信技术有限公司 | 一种异常报文接入点的发现方法和装置 |
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN104717223A (zh) * | 2015-03-26 | 2015-06-17 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN105162793A (zh) * | 2015-09-23 | 2015-12-16 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225368A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种报文处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3557844B1 (en) | Rule-based network-threat detection | |
| Passerini et al. | Fluxor: Detecting and monitoring fast-flux service networks | |
| US8726338B2 (en) | Dynamic threat protection in mobile networks | |
| CN109981803B (zh) | 业务请求处理方法及装置 | |
| US8726385B2 (en) | Distributed system and method for tracking and blocking malicious internet hosts | |
| CN104640114B (zh) | 一种访问请求的验证方法及装置 | |
| US20070011744A1 (en) | Methods and systems for providing security from malicious software | |
| CN105939361A (zh) | 防御cc攻击的方法及装置 | |
| US20190020623A1 (en) | Methods and systems for identification of a domain of a command and control server of a botnet | |
| CN102045327B (zh) | 防范cc攻击的方法和设备 | |
| CN103580988A (zh) | 消息接收、推送、传输的方法、装置、服务器组及系统 | |
| CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
| CN106487807A (zh) | 一种域名解析的防护方法和装置 | |
| CN105991640A (zh) | 处理http请求的方法及装置 | |
| US11700233B2 (en) | Network monitoring with differentiated treatment of authenticated network traffic | |
| CN112870692B (zh) | 一种游戏加速方法、加速系统、加速装置以及存储介质 | |
| CN104009999B (zh) | 防止arp欺骗的方法、装置及网络接入服务器 | |
| CN106888192A (zh) | 一种抵抗dns攻击的方法及装置 | |
| CN107454050B (zh) | 一种访问网络资源的方法及装置 | |
| US20210141843A1 (en) | Automated web page accessing | |
| CN108270755A (zh) | 一种域名级的自适应抗ddos攻击的方法和装置 | |
| CN108768853B (zh) | 基于域名路由器的分布式混合域名系统及方法 | |
| CN107948125A (zh) | 一种网络攻击的处理方法及装置 | |
| CN107222471B (zh) | 一种非人工刷功能接口的识别方法及识别系统 | |
| CN113285994A (zh) | 消息发送方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180420 |