CN107968765A - 一种网络入侵检测方法及服务器 - Google Patents
一种网络入侵检测方法及服务器 Download PDFInfo
- Publication number
- CN107968765A CN107968765A CN201610911124.4A CN201610911124A CN107968765A CN 107968765 A CN107968765 A CN 107968765A CN 201610911124 A CN201610911124 A CN 201610911124A CN 107968765 A CN107968765 A CN 107968765A
- Authority
- CN
- China
- Prior art keywords
- network request
- network
- server
- request packet
- data package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明实施例公开了一种网络入侵检测方法,包括:在第一预设时间段内,入侵检测服务器接收至少一个待检测服务器发送的n个网络请求数据包;判断n个网络请求数据包是否符合第一预设规则,得到n个判断结果,该第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定;根据n个判断结果,从n个网络请求数据包中统计出属于第一攻击类型的m个网络请求数据包;根据第一预设时间段、m个网络请求数据包的数量和第二预设规则,判定出m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;根据第一网络请求数据包,发送通知消息至第一待检测服务器。本发明实施例还公开了一种服务器。
Description
技术领域
本发明涉及通信领域中的网络安全技术,尤其涉及一种网络入侵检测方法及服务器。
背景技术
网络安全的基本属性主要表现为机密性、完整性、合法性和可用性,而网络入侵的攻击者就是通过一切可能的方法和手段来破坏这些属性。随着互联网的发展,由于应用后台的服务器的数量越来越多,因此,针对服务器的网络入侵的次数和规模也随之大大增加。针对网络入侵,相应的网络异常检测的方式也越来越多,其中,网络异常检测大致可以为性能异常检测以及安全异常检测,性能异常包括瞬间拥堵、文件服务失败以及广播风暴等;安全异常具体可包括分布式拒绝服务(Distributed Denial of Service,简称为DDoS)攻击;所述DDoS攻击通过堵塞网络以使合法用户无法享受网络服务,从而破坏网络的可用性。
在互联网业务中,Web服务已经有相当大的比例,越来越多的人通过Web提供的服务来获取和发布信息,超文本传输协议(Hypertext Transfer Protocol,简称为HTTP)作为Web应用的关键协议,经常被攻击者利用来实施DDoS攻击,目前针对HTTP-Flood的防护或检测方案都是从网站提供的服务来考虑,进行访问频率的检测或控制。当某个服务器检测到某个网络之间互连的协议(IP,Internet Protocol)地址在一定时间内访问自己超过某个次数,就认为是HTTP-Flood攻击。
然而,现有的网络入侵检测方式和业务高度耦合,对于业务量(例如,网页链接数量)比较大的网站,网络入侵检测的过程会占用网络业务资源;且访问频率的阈值难以设定,不同的网页链接承载的业务不同,访问量也不同,且给网站对应的服务器造成的压力也不同,所以不同的网页链接的访问频率的阈值很难统一设定,当访问频率的阈值设置的不合适时,网络对应的服务器可能就检测不出HTTP-Flood攻击了。
发明内容
为解决上述技术问题,本发明实施例期望提供一种网络入侵检测方法及服务器,能够减小对网络业务的影响,减少对网络业务资源的占用,并提高网络入侵行为检测的敏感度。
本发明的技术方案是这样实现的:
本发明实施例提供了一种网络入侵检测方法,应用于入侵检测服务器,包括:
在第一预设时间段内,接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1;
判断所述n个网络请求数据包是否符合第一预设规则,得到n个判断结果,所述第一预设规则用于进行第一攻击类型的网络请求数据包的判定;
根据所述n个判断结果,从所述n个网络请求数据包中统计出属于所述第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n;
根据所述第一预设时间段、所述m个网络请求数据包的数量和第二预设规则,判定出所述m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;
根据所述第一网络请求数据包,发送通知消息至第一待检测服务器,所述第一待检测服务器为所述至少一个待检测服务器中发送过所述第一网络请求数据包的待检测服务器,所述通知消息用于通知所述第一待检测服务器对所述第一网络请求数据包进行网络防御部署。
本发明实施例提供了一种网络入侵检测方法,应用于第一待检测服务器,包括:
接收第一终端或第一用户发送的第一网络请求数据包;
将所述第一网络请求数据包进行拷贝并发送至入侵检测服务器;
接收到所述入侵检测服务器发送的对所述第一网络请求数据包进行网络防御部署的通知消息;
根据所述通知消息,对下一次接收所述第一网络请求数据包进行网络防御。
本发明实施例提供了一种入侵检测服务器,包括:
第一接收单元,用于在第一预设时间段内,接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1;
判断单元,用于判断所述第一接收单元接收的所述n个网络请求数据包是否符合第一预设规则,得到n个判断结果,所述第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定;
统计单元,用于根据所述判断单元判断出的所述n个判断结果,从所述n个网络请求数据包中统计出属于所述第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n;
所述判断单元,还用于根据所述第一预设时间段、所述统计单元统计的所述m个网络请求数据包的数量和第二预设规则,判定出所述m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;
第一发送单元,用于根据所述判断单元判定的所述第一网络请求数据包,发送通知消息至第一待检测服务器,所述第一待检测服务器为所述至少一个待检测服务器中发送过所述第一网络请求数据包的待检测服务器,所述通知消息用于通知所述第一待检测服务器对所述第一网络请求数据包进行网络防御部署。
本发明实施例提供了一种第一待检测服务器,包括:
第二接收单元,用于接收第一终端或第一用户发送的第一网络请求数据包;
第二发送单元,用于将所述第二接收单元接收的所述第一网络请求数据包进行拷贝并发送至入侵检测服务器;
所述第二接收单元,还用于接收到所述入侵检测服务器发送的对所述第一网络请求数据包进行网络防御部署的通知消息;
防御单元,用于根据所述第二接收单元接收的所述通知消息,对下一次接收所述第一网络请求数据包进行网络防御。
本发明实施例提供了一种网络入侵检测方法及服务器,在第一预设时间段内,入侵检测服务器接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1;然后,判断n个网络请求数据包是否符合第一预设规则,得到n个判断结果,该第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定;接着,根据n个判断结果,从n个网络请求数据包中统计出属于第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n;以及,根据第一预设时间段、m个网络请求数据包的数量和第二预设规则,判定出m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;最后,根据第一网络请求数据包,发送通知消息至第一待检测服务器,该第一待检测服务器为至少一个待检测服务器中发送过第一网络请求数据包的待检测服务器,该通知消息用于通知第一待检测服务器对第一网络请求数据包进行网络防御部署。采用上述技术实现方案,由于入侵检测服务器可以实时的获取到多个待检测服务器在实现网络请求时抓到的网络请求数据包,将多个待检测服务器对应的多个网络请求数据包按照一定的规则或策略进行统一的检测处理或者阈值判断,避免了网络入侵检测对多个检测服务器自身进行业务的影响,从而不用占用网络业务资源进行网络入侵检测的过程,并且入侵检测服务器通过统计多个网络请求数据包的网络行为,可以将在一个待检测服务器上容易忽略的疑似网络入侵行为通过收集到了多个待检测服务器上的数据而放大,从而增加网络检测网络入侵行为的敏感度。
附图说明
图1为本发明实施例提供的一种网络入侵检测系统的架构示意图;
图2为本发明实施例提供的一种网络入侵检测方法的流程图一;
图3为本发明实施例提供的多种服务器之间的连接关系示意图;
图4为本发明实施例提供的一种网络入侵检测方法的流程图二;
图5为本发明实施例提供的一种网络入侵检测方法的流程图三;
图6为本发明实施例还提供的一种网络入侵检测方法的流程图一;
图7为本发明实施例提供的一种网络入侵检测方法的交互图;
图8为本发明实施例提供的一种入侵检测服务器的结构示意图一;
图9为本发明实施例提供的一种入侵检测服务器的结构示意图二;
图10为本发明实施例提供的一种入侵检测服务器的结构示意图三;
图11为本发明实施例提供的一种入侵检测服务器的结构示意图四;
图12为本发明实施例提供的一种第一待检测检测服务器的结构示意图一;
图13为本发明实施例提供的一种第一待检测检测服务器的结构示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
待检测服务器:服务器集群(网络集群)中的主机,接受终端的网络请求,是网络请求数据包获取的主体。
业务服务器:与网络集群中待检测服务器正常通信的业务服务器,与网络集群中待检测服务器进行通信,完成业务处理。
入侵检测服务器:汇集网络集群获取的网络请求数据包拷贝的服务器,是网络入侵行为检测的主体。
如图1所示,为本发明实施例中进行网络入侵检测过程中信息交互的网络入侵检测系统架构中的各种硬件实体的示意图,图1中包括:一个或多个服务器2(待检测服务器)、入侵检测服务器1、终端4,及网络3,网络3中包括路由器,网关等等网络实体,图1中并未体现。终端4通过有线网络或者无线网络与服务器2进行网络业务产品信息交互,以便从终端4获取通过用户行为产生相关网络请求数据包并传输至服务器2,服务器2与入侵检测服务器1进行网络业务产品信息交互。其中,终端的类型如图1所示,包括手机(终端4-3)、平板电脑或PDA(终端4-5)、台式机(终端4-2)、PC机(终端4-4)、一体机(终端4-1)等类型。其中,终端4中安装有各种用户所需的应用功能模块,比如具备娱乐功能的应用(如视频应用,音频播放应用,游戏应用,阅读软件),又如具备服务功能的应用(如地图导航应用、团购应用、拍摄应用等),再者比如设置应用等系统功能。
基于上述图1所示的系统,以用户所需的应用为浏览器为例,在通过浏览器访问网页时,终端4通过网络3向对应的服务器2(至少一个待检测服务器)中发送访问网页的网络请求数据包。本发明实施例提供的一种网络入侵检测系统,包括:
至少一个待检测服务器2,用于将n个网络请求数据包拷贝并发送到入侵检测服务器1。
入侵检测服务器1在第一预设时间段内,入侵检测服务器接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1;然后,判断n个网络请求数据包是否符合第一预设规则,得到n个判断结果,该第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定;接着,根据n个判断结果,从n个网络请求数据包中统计出属于第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n;以及,根据第一预设时间段、m个网络请求数据包的数量和第二预设规则,判定出m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;最后,根据第一网络请求数据包,发送通知消息至第一待检测服务器,该第一待检测服务器为至少一个待检测服务器中发送过第一网络请求数据包的待检测服务器,该通知消息用于通知第一待检测服务器对第一网络请求数据包进行网络防御部署。
第一待检测服务器2,用于接收到入侵检测服务器1发送的对第一网络请求数据包进行网络防御部署的通知消息;根据通知消息,对下一次接收第一网络请求数据包进行网络防御。
需要说明的是,第一待检测服务器为上述至少一个待检测服务器中的一类服务器,具体是哪一个由入侵检测服务器进行网络入侵检测的过程来决定。
上述图1的例子只是实现本发明实施例的一个系统架构实例,本发明实施例并不限于上述图1所述的系统结构,基于该系统架构,提出本发明各个实施例。
实施例一
本发明实施例提供了一种网络入侵检测方法,如图2所示,应用于入侵检测服务器侧,该方法可以包括:
S101、在第一预设时间段内,接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1。
本发明实施例提供的一种网络入侵检测方法应用于终端与服务器集群进行网络业务交互的过程中,如图3所示,服务器集群包括与终端进行网络请求接口的多个接口服务器(主机)即待检测服务器,以及与该多个服务器进行业务来往的业务服务器。在本发明实施例中,针对多个接口服务器通过入侵检测服务器进行网络入侵检测的过程,本发明实施例中的网络入侵检测方法也适用于其他网络过程中对服务器的检测,本发明实施例不作限制。
需要说明的是,终端上设置多种功能的应用或程序,用户在终端上进行某一应用功能时,需要与该某一应用对应的后台服务器提供相应的服务,例如,终端需要接口服务器获取终端的实现某一应用功能的网络请求,然后,接口服务器再向相应的业务服务器(对应上述某一应用功能业务的服务器)进行业务来往,即实现某一应用功能的业务。其中,某一应用功能对应的接口服务器,及相应的业务服务器的数量是不固定,具体的可以根据实际情况进行扩展,本发明实施例不作限制。
基于上面描述的实际过程,在本发明实施例中,将接口服务器作为待检测服务器,通过入侵检测服务器对至少一个待检测服务器进行网络入侵检测,来进行对至少一个待检测服务器是否有网络入侵行为的判定。本发明实施例中可以待检测服务器是与入侵检测服务器进行信息交互的,具体的,与该入侵检测服务器进行信息交互的待检测服务器的数量是可扩展的,只要是想要检测的服务器都可以加入进来,通过入侵检测服务器进行网络入侵检测。
具体的,入侵检测服务器可以实时的获取至少一个待检测服务器发送过来的多个网络请求数据包,该网络请求数据包为终端进行网络请求的数据,打包后发送给至少一个待检测服务器的,该至少一个待检测服务器将多个网络请求数据包拷贝并发送给该入侵检测服务器。
在本发明实施例中,入侵检测服务器的检测需要对多个待检测服务器进行检测,虽然入侵检测服务器是可以实时接收待检测服务器发送的网络请求数据包,但是,该入侵检测服务器可以隔第一预设时间段来进行重复性检测,于是,本发明实施例中就是针对一次检测而言,在第一预设时间段内,入侵检测服务器接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1。
可选的,本发明实施例中的第一预设时间段可以为10分钟或其他,本发明实施例不作限制。
S102、判断n个网络请求数据包是否符合第一预设规则,得到n个判断结果,该第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定。
入侵检测服务器在接收或获取到了至少一个待检测服务器发送的n个网络请求数据包之后,由于该入侵检测服务器接收到的n个网络请求数据包的类型可以有多种,因此,该入侵检测服务器需要将n个网络请求数据包进行分类,再针对每一类判断这一类的网络请求数据包是不是具有疑似网络入侵行为。于是,入侵检测服务器通过判断n个网络请求数据包是否符合第一预设规则,来对n个网络请求数据包进行同一类型的判断,得到n个判断结果,该第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定,即入侵检测服务器对n个网络请求数据包进行是不是属于第一攻击类型的网络请求数据包判断,从而得到属于第一攻击类型的网络请求数据包是哪几个。
需要说明的是,每个类型的网络请求数据包的类型都可以通过S102这种相同的过程来实现,只不过每种类型的判定规则(第一预设规则)是不同的。本发明实施例主要是针对属于第一攻击类型的网络请求数据包进行检测的过程,但是对于其他类型的网络请求数据包的检测原理是相同的,并且,由于n个网络请求数据包的类型可以有多种,因此,入侵检测服务器可以对这多种类型的网络请求数据包都进行检测,检测过程与本发明实施例针对第一攻击类型的网络请求数据包的检测方式和原理是相同的。
详细的判断n个网络请求数据包是否符合第一预设规则的过程将在后续实施例中进行说明。
可选的,本发明实施例中的网络请求数据包对应的攻击类型可以有多种,一般该攻击类型是由网络请求的网络入侵方式决定的。例如,网络请求数据包对应的攻击类型可以为:TCP(Transmission Control Protocol,传输控制协议)SYN(synchronous)洪水(TCPSYN Flood)攻击、ICMP(Internet Control Message Protocol)与用户数据报协议(UDP,User Datagram Protocol)洪水攻击、分片网络之间互连的协议(IP,Internet Protocol)报文攻击、HTTP-Flood攻击、域名系统(DNS,Domain Name System)域转换攻击等等。
需要说明的是,网络入侵的方式有几个大类,例如,拒绝服务攻击行为、利用型攻击方式行为、信息收集型攻击行为以及假消息攻击行为等等。上述的网络请求数据包的类型对应的攻击就是这几个大类中的一部分具体的攻击行为。本发明实施例就是针对疑似网络入侵行为进行的网络入侵检测的过程。
S103、根据n个判断结果,从n个网络请求数据包中统计出属于第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n。
入侵检测服务器在判断n个网络请求数据包是否符合第一预设规则,从而判断该n个网络请求数据包中哪些属于第一攻击类型的网络请求数据包之后,由于入侵网络检测服务器已经得到的n个判断结果,那么,该入侵检测服务器就可以统计出n个网络请求数据包中属于第一攻击类型的网络请求数据包的数量,即m个网络请求数据包,其中,m大于等于1,且小于等于n。
需要说明的是,入侵检测服务器是对n个网络请求数据包进行的是否属于第一攻击类型的网络请求数据包的判断,因此,判断出来的第一攻击类型的网络请求数据包的数量m是属于[1,n]这个范围内的。由于m为0时,也就是没有属于第一攻击类型的网络类型数据包,这对于后续对属于第一攻击类型的网络请求数据包的处理是无法进行的,因此,m至少为1。
S104、根据第一预设时间段、m个网络请求数据包的数量和第二预设规则,判定出m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包。
入侵检测服务器从n个网络请求数据包中统计出属于第一攻击类型的m个网络请求数据包之后,由于该入侵检测服务器可以分类出了同一类型的网络请求数据包了,即属于第一攻击类型的m个网络请求数据包,因此,该入侵检测服务器就可以根据第一预设时间段、m个网络请求数据包的数量和第二预设规则,判定出m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包。
需要说明的是,本发明实施例中的第二预设规则为进行属于第一攻击类型的网络请求数据包的疑似网络入侵行为的判定规则。第二预设规则的具体内容是针对每个类型的攻击都可能不同的。一般第二预设规则可以包括时间阈值,次数和频率阈值等两类。
示例性的,本领域技术人员可知:一个正常用户访问某网站时,由于网站的每个统一资源定位符(URL,Uniform Resource Locator)承载的信息量或内容不同,用户停留在单个URL的时间是不固定的,也就是说入侵检测服务器接收到的这类网络请求数据包的次数间隔(相邻两次访问网站的时间间隔)是有一定波动的。而HTTP-Flood攻击,由于是工具脚本或恶意程序自动发起请求,所以相邻两次请求之间的时间间隔基本是一个常数。基于上述分析,用户正常请求和攻击请求的时间分布特征存在较大的差异性。进一步地,单一IP地址进行HTTP-Flood攻击时,该IP地址的相邻两次请求的平均时间间隔很短(即单次请求停留在某URL的平均时间比较短);并且该IP地址的所有访问时间间隔很接近,不会有大的波动,与平均时间间隔的差值(也就是标准差)非常小。因此,本发明实施例根据IP地址访问网站的时间间隔平均值和标准差来判断是否存在上述网络入侵行为(即HTTP-Flood攻击行为)。
需要说明的是,面对不同类型的网络请求数据包,入侵检测服务器采用的第二预设规则也是不同的,该第二预设规则是根据每个类型的攻击特点而制定的规则,本发明实施例不作限制。
在本发明实施例中,第一预设规则和第二预设规则可以由用户进行自定义控制的和设置的,因此,本发明实施例提供的一种网络入侵检测方法具有很好的扩展性和灵活性。
具体的,针对拒绝服务攻击行为大类,或者是通过占用服务器的资源导致系统崩溃,使得其他正常用户不能进行正常访问或业务的类型,可以采用下述方法进行第一网络请求数据包的判断。当第一预设时间段与第一预设时间阈值相同时,判断m个网络请求数据包的数量与第二预设阈值的大小,该第一预设时间阈值和第二预设阈值为第二预设规则中的参数值。若m个网络请求数据包的数量大于等于第二预设阈值,则判定m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;或者,若m个网络请求数据包的数量小于第二预设阈值,则判定m个网络请求数据包为不具有疑似网络入侵行为的第一网络请求数据包。
可选的,第二预设阈值可以是访问次数,请求次数等次数值,或者,为频率、时间间隔等时间类参数,具体的本发明实施例不作限制。
也就是说,在入侵检测服务器上统计对应同一类型的网络请求数据包,一旦在一个时间窗内的统计值超过系统设定的阀值,则判定有疑似该规则对应的网络攻击行为出现。
S105、根据第一网络请求数据包,发送通知消息至第一待检测服务器,该第一待检测服务器为至少一个待检测服务器中发送过第一网络请求数据包的待检测服务器,该通知消息用于通知第一待检测服务器对第一网络请求数据包进行网络防御部署。
在入侵检测服务器判定了属于第一攻击类型的m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包之后,该入侵检测服务器就可以告知发送过该第一网络请求数据包的第一待检测服务器,以使得该第一待检测服务器可以对下一次接收第一网络请求数据包进行防御部署,即入侵检测服务器根据第一网络请求数据包,发送通知消息至第一待检测服务器,该第一待检测服务器为至少一个待检测服务器中发送过第一网络请求数据包的待检测服务器,该通知消息用于通知第一待检测服务器对第一网络请求数据包进行网络防御部署。
可以理解的是,入侵检测服务器可以实时的获取到多个待检测服务器在实现网络请求时抓到的网络请求数据包,将多个待检测服务器对应的多个网络请求数据包按照一定的规则或策略进行统一的检测处理或者阈值判断,避免了网络入侵检测对多个检测服务器自身进行业务的影响,从而不用占用网络业务资源进行网络入侵检测的过程,并且入侵检测服务器通过统计多个网络请求数据包的网络行为,可以将在一个待检测服务器上容易忽略的疑似网络入侵行为通过收集到了多个待检测服务器上的数据而放大,从而增加网络检测网络入侵行为的敏感度。
实施例二
基于前述实施例一,本发明实施例提供的一种网络入侵检测方法,如图4所示,应用于入侵检测服务器侧,S102可以包括:S201-S203。如下:
S201、对n个网络请求数据包进行解析,获取n个第一属性信息,该n个第一属性信息与n个网络请求数据包对应。
入侵检测服务器接收了n个网络请求数据包,由于网络请求数据包是打包过后的数据包,所以入侵检测服务器需要对该n个网络请求数据包进行解析才能进行接着进行这n个网络请求数据包的类型的判定,即入侵检测服务器需要对n个网络请求数据包进行解析,获取n个第一属性信息,其中,该n个第一属性信息与n个网络请求数据包对应。
需要说明的是,网路请求数据包是将终端发送的功能请求经过一层层打包之后的数据包,例如,一个网页访问请求要经过应用层、传输层打包,最后加上IP头信息打包,成为一个网路请求数据包。
在本发明实施例中,入侵检测服务器对n个网络请求数据包进行一层一层的解析,获取n个网络请求数据包中的每个网络请求数据包对应的第一属性信息,例如,相同IP地址。
可选的,本发明实施例中的网络请求数据包的第一属性信息可以为链路层包头,IP包头,应用层包头等等。
S202、将n个第一属性信息与第一攻击类型对应的预设属性信息进行对比,得到n个类型对比结果,该n个类型对比结果与n个第一属性信息对应。
入侵检测服务器在获取n个第一属性信息之后,就可以根据该n个第一属性信息进行n个网络请求数据包是否为属于第一攻击类型的网络请求数据包的判定了,于是,该入侵检测服务器将n个第一属性信息与第一攻击类型对应的预设属性信息进行对比,得到n个网络请求数据包对应的n个类型对比结果,该n个类型对比结果与n个第一属性信息是对应的。
需要说明的是,本发明实施例中的第一攻击类型可以自定义规则,即自定义依据什么样的规则来分类,即第一攻击类型对应的预设属性信息是哪一类是可以自定义的。
S203、根据n个类型对比结果,确定n个网络请求数据包是否符合第一预设规则,并得到n个判断结果。
入侵检测服务器得到n个类型对比结果的过程就是进行分类判定的过程,也就是说,入侵检测服务器可以根据n个类型对比结果,进而确定了n个网络请求数据包是否符合第一预设规则,最后得到n个符合或不符合的判断结果。
具体的,一个若n个类型对比结果中的一个类型对比结果为相同,入侵检测服务器则n个网络请求数据包中与一个类型对比结果对应的一个网络请求数据包符合第一预设规则,该入侵检测服务器得到一个网络请求数据包属于第一攻击类型的一个判断结果;若n个类型对比结果中的一个类型对比结果为不相同,入侵检测服务器则n个网络请求数据包中与一个类型对比结果对应的一个网络请求数据包不符合第一预设规则,入侵检测服务器得到一个网络请求数据包不属于第一攻击类型的一个判断结果;直至得到n个网络请求数据包对应的n个判断结果。
需要说明的是,入侵检测服务器是一个一个进行网络请求数据包的判定的,直至将n个判断结构都获取到为止。
可以理解的是,入侵检测服务器通过统计多个网络请求数据包的类型,进而可以将在一个待检测服务器上容易忽略的疑似网络入侵行为通过收集到了多个待检测服务器上的数据包而放大,从而增加网络检测网络入侵行为的敏感度。
进一步地,如图5所示,基于前述实施例一和实施例二,本发明实施例提供的一种网络入侵检测方法在执行S201的同时,还包括S204。相应的,在S204获取了n个请求信息之后,实施例一中的S105可以包括:S205-S206。如下:
S204、对n个网络请求数据包进行解析,获取n个网络请求数据包对应的n个请求信息。
入侵检测服务器在对n个网络请求数据包进行解析时,还可以获取到每个网络请求数据包对应的请求信息,也就是网络请求数据包中的包体信息或者请求数据,例如,访问某一网页的地址信息等内容,具体的请求信息的形式本发明实施例不作限制,是由实际的请求过程决定的。
S205、根据n个请求信息中与第一网络请求数据包对应的第一请求信息,查找到发出该第一请求信息的第一终端或第一用户。
入侵检测服务器在获取到了n个请求信息之后,该入侵检测服务器就可以根据n个请求信息中与第一网络请求数据包对应的第一请求信息,还原攻击者进行网络入侵行为的来源,从而查找到发出该第一请求信息的第一终端或第一用户。于是,入侵检测服务器可以确定第一终端或者第一用户为疑似攻击者,针对第一终端或第一用户的下次请求做出防御部署。
S206、发送拦截第一终端或第一用户的请求的消息至第一待检测服务器。
入侵检测服务器在确定第一终端或者第一用户为疑似攻击者之后,该入侵检测服务器就可以发送拦截第一终端或第一用户的请求的消息给第一待检测服务器,以使得该第一检测服务器可以对第一终端或第一用户的下次行为做出相应的防御了。
进一步地,入侵检测服务器在确定了第一网络请求数据包具有疑似网络入侵行为或者确定具有疑似网络入侵行为的第一终端或第一用户之后,该入侵检测服务器可以将具有疑似网络入侵行为的第一网络请求数据包或第一终端或第一用户告知给所有的待检测服务器,以使得所有的待检测服务器可以做出进一步的防御动作。
可以理解的是,入侵检测服务器在判定了具有疑似网络入侵行为的第一网络请求数据包、第一终端或第一用户后,还告知了待检测服务器,使得该待检测服务器可以对后面的相似的第一网络请求数据包,第一终端或者第一用户发送的相应的请求进行拦截,从而达到网络入侵防御的效果,且由于入侵检测服务器检测的敏感度提高,从而提高了网络入侵防御的安全度。
实施例三
本发明实施例还提供了一种网络入侵检测方法,如图6所示,应用于第一待检测服务器中,该方法可以包括:
S301、接收第一终端或第一用户发送的第一网络请求数据包。
S302、将第一网络请求数据包进行拷贝并发送至入侵检测服务器。
需要说明的是,第一用户通过第一操作对第一终端进行业务访问或应用功能实现的时候,第一待检测服务器就相当于接收了第一终端或第一用户发送的第一网络请求数据包,于是第一待检测服务器一方面对于第一网络请求数据包保存并进行相应的响应,一方面将该第一网络请求数据包进行拷贝并发送给入侵检测服务器进行网络入侵检测,以判断该第一网络请求数据包的安全性。
本发明实施例中的第一待检测服务器可能为至少一个待检测服务器中的任意一个,具体的根据实际情况而定。
可选的,网络请求数据包可以为登陆请求数据包、功能实现请求数据包、信息交互请求数据包等等,具体的网络请求数据包的内容是由第一用户对第一终端上的应用操作为哪一种来决定的,本发明实施例不作限制。
需要说明的是,对于与入侵检测服务器可以进行信息交互的至少一个待检测服务器而言,该至少一个待检测服务器都是会接收终端或用户发送的网络请求数据包,将该网络请求数据包进行拷贝并发送至入侵检测服务器的。
在本发明实施例中的每一个待检测服务器都可以通过pcap技术可以直接从网络的链路层抓包,通过pcap抓到的包可以提取出从链路层开始的网络请求数据包息的获取。
S303、接收到入侵检测服务器发送的对第一网络请求数据包进行网络防御部署的通知消息。
第一待检测服务器将第一网络请求数据包进行拷贝并发送至入侵检测服务器之后,该入侵检测服务器就可以根据第一预设时间段中接收的至少一个待检测服务器的n个网络请求数据包进行某一类或某几类的网络入侵行为的检测和判定,最后入侵检测服务器可以判定出第一网络请求数据包是不是疑似具有网络入侵行为的网络请求数据包,当入侵检测服务器判定出第一网络请求数据包为疑似具有网络入侵行为的网络请求数据包时,该入侵检测服务器就可以告知第一待检测服务器第一网络请求数据包为疑似具有网络入侵行为的网络请求数据包,即该第一待检测服务器接收到入侵检测服务器发送的对第一网络请求数据包进行网络防御部署的通知消息。
进一步地,第一待检测服务器还可以接收到入侵检测服务器发送的当前检测过程中,入侵检测服务器检测出来的所有疑似具有网络入侵行为的网络数据包的通知消息,以对之前没有接收过的疑似具有网络入侵行为的网络数据包提前做好防御工作。
S304、根据通知消息,对下一次接收第一网络请求数据包进行网络防御。
第一待检测服务器在接收到入侵检测服务器发送的对第一网络请求数据包进行网络防御部署的通知消息之后,该第一待检测服务器就可以对之后发送来的第一网络请求数据包进行防御,即该第一待检测服务器根据通知消息,对下一次接收第一网络请求数据包进行网络防御。
具体的,第一待检测服务器可以根据拦截第一终端或第一用户的请求的消息,拦截下一次接收的第一网络请求数据包。
需要说明的是,本发明实施例中的第一代检测服务器可以对所有入侵检测服务器通知的消息进行响应,并且可以根据不同的防御策略进行相应的防御。
可选的,防御动作可以为禁止、停止、不响应或是拦截等多种形态。
可以理解的是,入侵检测服务器可以实时的获取到多个待检测服务器在实现网络请求时抓到的网络请求数据包,将多个待检测服务器对应的多个网络请求数据包按照一定的规则或策略进行统一的检测处理或者阈值判断,避免了网络入侵检测对多个检测服务器自身进行业务的影响,从而不用占用网络业务资源进行网络入侵检测的过程,并且入侵检测服务器通过统计多个网络请求数据包的网络行为,可以将在一个待检测服务器上容易忽略的疑似网络入侵行为通过收集到了多个待检测服务器上的数据而放大,从而增加网络检测网络入侵行为的敏感度。
实施例四
本发明实施例提供了一种网络入侵检测方法,如图7所示,该方法可以包括:
S401、第一待检测服务器接收第一终端或第一用户发送的第一网络请求数据包。
需要说明的是,详细的S401过程的描述与S301的描述一致,此处不再赘述。
S402、至少一个待检测服务器中除第一待检测服务器外的第二待检测服务器接收第二终端或第二用户发送的第二网络请求数据包,该第一网络请求数据包和该第二网络请求数据包的数量为n个。
对于与入侵检测服务器可以进行信息交互的至少一个待检测服务器而言,该至少一个待检测服务器都是会接收终端或用户发送的网络请求数据包,将该网络请求数据包进行拷贝并发送至入侵检测服务器的,第一网络请求数据包和该第二网络请求数据包的数量为n个。
S403、在第一预设时间段内,至少一个待检测服务器将n个网络请求数据包进行拷贝并发送至入侵检测服务器。
需要说明的是,详细的S403过程的描述与S101的描述一致,此处不再赘述。
S404、入侵检测服务器判断n个网络请求数据包是否符合第一预设规则,得到n个判断结果,该第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定。
需要说明的是,详细的S404过程的描述与S102的描述一致,此处不再赘述。
S405、入侵检测服务器根据n个判断结果,从n个网络请求数据包中统计出属于第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n。
需要说明的是,详细的S405过程的描述与S103的描述一致,此处不再赘述。
S406、入侵检测服务器根据第一预设时间段、m个网络请求数据包的数量和第二预设规则,判定出m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包。
需要说明的是,详细的S406过程的描述与S104的描述一致,此处不再赘述。
S407、入侵检测服务器根据第一网络请求数据包,发送通知消息至第一待检测服务器,该第一待检测服务器为至少一个待检测服务器中发送过第一网络请求数据包的待检测服务器,该通知消息用于通知第一待检测服务器对第一网络请求数据包进行网络防御部署。
需要说明的是,详细的S407过程的描述与S105的描述一致,此处不再赘述。
S408、第一待检测服务器根据通知消息,对下一次接收第一网络请求数据包进行网络防御。
需要说明的是,详细的S408过程的描述与S304的描述一致,此处不再赘述。
实施例五
如图8所示,本发明实施例提供了一种入侵检测服务器1,该入侵检测服务器1可以包括:
第一接收单元10,用于在第一预设时间段内,接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1。
判断单元11,用于判断所述第一接收单元10接收的所述n个网络请求数据包是否符合第一预设规则,得到n个判断结果,所述第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定。
统计单元12,用于根据所述判断单元11判断出的所述n个判断结果,从所述n个网络请求数据包中统计出属于所述第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n。
所述判断单元11,还用于根据所述第一预设时间段、所述统计单元12统计的所述m个网络请求数据包的数量和第二预设规则,判定出所述m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包。
第一发送单元13,用于根据所述判断单元11判定的所述第一网络请求数据包,发送通知消息至第一待检测服务器,所述第一待检测服务器为所述至少一个待检测服务器中发送过所述第一网络请求数据包的待检测服务器,所述通知消息用于通知所述第一待检测服务器对所述第一网络请求数据包进行网络防御部署。
可选的,如图9所示,所述入侵检测服务器1还包括:获取单元14。
所述获取单元14,用于对所述接收单元接收的所述n个网络请求数据包进行解析,获取n个第一属性信息,所述n个第一属性信息与所述n个网络请求数据包对应。
所述判断单元11,具体用于将所述获取单元14获取的所述n个第一属性信息与所述第一攻击类型对应的预设属性信息进行对比,得到n个类型对比结果,所述n个类型对比结果与所述n个第一属性信息对应;以及根据所述n个类型对比结果,确定所述n个网络请求数据包是否符合第一预设规则,并得到所述n个判断结果。
可选的,所述判断单元11,还具体用于若所述n个类型对比结果中的一个类型对比结果为相同,则所述n个网络请求数据包中与所述一个类型对比结果对应的一个网络请求数据包符合所述第一预设规则,得到所述一个网络请求数据包属于所述第一攻击类型的一个判断结果;若所述n个类型对比结果中的一个类型对比结果为不相同,则所述n个网络请求数据包中与所述一个类型对比结果对应的一个网络请求数据包不符合所述第一预设规则,得到所述一个网络请求数据包不属于所述第一攻击类型的一个判断结果;以及直至得到所述n个网络请求数据包对应的所述n个判断结果。
可选的,所述判断单元11,还具体用于当所述第一预设时间段与第一预设时间阈值相同时,判断所述m个网络请求数据包的数量与第二预设阈值的大小,所述第一预设时间阈值和所述第二预设阈值为所述第二预设规则中的参数值;若所述m个网络请求数据包的数量大于等于所述第二预设阈值,则判定所述m个网络请求数据包为具有疑似网络入侵行为的所述第一网络请求数据包;若所述m个网络请求数据包的数量小于所述第二预设阈值,则判定所述m个网络请求数据包为不具有疑似网络入侵行为的所述第一网络请求数据包。
可选的,所述获取单元14,还用于所述对所述第一接收单元10接收的所述n个网络请求数据包进行解析之后,获取所述n个网络请求数据包对应的n个请求信息。
可选的,如图10所示,所述入侵检测服务器1还包括:查找单元15。
所述查找单元15,用于根据所述获取单元14获取的所述n个请求信息中与所述第一网络请求数据包对应的第一请求信息,查找到发出所述第一请求信息的第一终端或第一用户。
所述第一发送单元13,具体用于发送拦截所述查找单元15查找到的所述第一终端或所述第一用户的请求的消息至所述第一待检测服务器。
如图11所示,在实际应用中,上述判断单元11、统计单元12,获取单元14、和查找单元15可由位于入侵检测服务器上的处理器16实现,具体为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等实现,第一接收单元10由接收器17实现,第一发送单元13由发送器18实现,上述入侵检测服务器还包括:存储介质19实现,该存储介质19、接收器17和发送器18可以通过系统总线110与处理器16连接,其中,存储介质19用于存储可执行程序代码,该程序代码包括计算机操作指令,存储介质19可能包含高速RAM存储器,也可能还包括非易失性存储器,例如,至少一个磁盘存储器。
实施例六
如图12所示,本发明实施例提供了一种第一待检测服务器2,该第一待检测服务器2可以包括:
第二接收单元20,用于接收第一终端或第一用户发送的第一网络请求数据包;
第二发送单元21,用于将所述第二接收单元20接收的所述第一网络请求数据包进行拷贝并发送至入侵检测服务器。
所述第二接收单元20,还用于接收到所述入侵检测服务器发送的对所述第一网络请求数据包进行网络防御部署的通知消息。
防御单元22,用于根据所述第二接收单元20接收的所述通知消息,对下一次接收所述第一网络请求数据包进行网络防御。
可选的,所述防御单元22,具体用于根据所述第二接收单元20接收的拦截所述第一终端或所述第一用户的请求的消息,拦截下一次接收的所述第一网络请求数据包。
如图13所示,在实际应用中,上述防御单元22可由位于第一待检测服务器上的处理器23实现,具体为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等实现,第二接收单元20由接收器24实现,第二发送单元21由发送器25实现,上述入侵检测服务器还包括:存储介质26实现,该存储介质26、接收器24和发送器25可以通过系统总线27与处理器23连接,其中,存储介质26用于存储可执行程序代码,该程序代码包括计算机操作指令,存储介质26可能包含高速RAM存储器,也可能还包括非易失性存储器,例如,至少一个磁盘存储器。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (16)
1.一种网络入侵检测方法,应用于入侵检测服务器,其特征在于,包括:
在第一预设时间段内,接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1;
判断所述n个网络请求数据包是否符合第一预设规则,得到n个判断结果,所述第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定;
根据所述n个判断结果,从所述n个网络请求数据包中统计出属于所述第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n;
根据所述第一预设时间段、所述m个网络请求数据包的数量和第二预设规则,判定出所述m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;
根据所述第一网络请求数据包,发送通知消息至第一待检测服务器,所述第一待检测服务器为所述至少一个待检测服务器中发送过所述第一网络请求数据包的待检测服务器,所述通知消息用于通知所述第一待检测服务器对所述第一网络请求数据包进行网络防御部署。
2.根据权利要求1所述的方法,其特征在于,所述判断所述n个网络请求数据包是否符合第一预设规则,得到n个判断结果,包括:
对所述n个网络请求数据包进行解析,获取n个第一属性信息,所述n个第一属性信息与所述n个网络请求数据包对应;
将所述n个第一属性信息与所述第一攻击类型对应的预设属性信息进行对比,得到n个类型对比结果,所述n个类型对比结果与所述n个第一属性信息对应;
根据所述n个类型对比结果,确定所述n个网络请求数据包是否符合第一预设规则,并得到所述n个判断结果。
3.根据权利要求2所述的方法,其特征在于,所述根据所述n个类型对比结果,确定所述n个网络请求数据包是否符合第一预设规则,并得到所述n个判断结果,包括:
若所述n个类型对比结果中的一个类型对比结果为相同,则所述n个网络请求数据包中与所述一个类型对比结果对应的一个网络请求数据包符合所述第一预设规则,得到所述一个网络请求数据包属于所述第一攻击类型的一个判断结果;
若所述n个类型对比结果中的一个类型对比结果为不相同,则所述n个网络请求数据包中与所述一个类型对比结果对应的一个网络请求数据包不符合所述第一预设规则,得到所述一个网络请求数据包不属于所述第一攻击类型的一个判断结果;
直至得到所述n个网络请求数据包对应的所述n个判断结果。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一预设时间段、所述m个网络请求数据包的数量和第二预设规则,判定出所述m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包,包括:
当所述第一预设时间段与第一预设时间阈值相同时,判断所述m个网络请求数据包的数量与第二预设阈值的大小,所述第一预设时间阈值和所述第二预设阈值为所述第二预设规则中的参数值;
若所述m个网络请求数据包的数量大于等于所述第二预设阈值,则判定所述m个网络请求数据包为具有疑似网络入侵行为的所述第一网络请求数据包;
若所述m个网络请求数据包的数量小于所述第二预设阈值,则判定所述m个网络请求数据包为不具有疑似网络入侵行为的所述第一网络请求数据包。
5.根据权利要求2所述的方法,其特征在于,所述对所述n个网络请求数据包进行解析之后,所述方法还包括:
获取所述n个网络请求数据包对应的n个请求信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一网络请求数据包,发送通知消息至第一待检测服务器,包括:
根据所述n个请求信息中与所述第一网络请求数据包对应的第一请求信息,查找到发出所述第一请求信息的第一终端或第一用户;
发送拦截所述第一终端或所述第一用户的请求的消息至所述第一待检测服务器。
7.一种网络入侵检测方法,应用于第一待检测服务器,其特征在于,包括:
接收第一终端或第一用户发送的第一网络请求数据包;
将所述第一网络请求数据包进行拷贝并发送至入侵检测服务器;
接收到所述入侵检测服务器发送的对所述第一网络请求数据包进行网络防御部署的通知消息;
根据所述通知消息,对下一次接收所述第一网络请求数据包进行网络防御。
8.根据权利要求7所述的方法,其特征在于,所述根据所述通知消息,对下一次接收所述第一网络请求数据包进行网络防御,包括:
根据拦截所述第一终端或所述第一用户的请求的消息,拦截下一次接收的所述第一网络请求数据包。
9.一种入侵检测服务器,其特征在于,包括:
第一接收单元,用于在第一预设时间段内,接收至少一个待检测服务器发送的n个网络请求数据包,其中,n大于等于1;
判断单元,用于判断所述第一接收单元接收的所述n个网络请求数据包是否符合第一预设规则,得到n个判断结果,所述第一预设规则用于进行属于第一攻击类型的网络请求数据包的判定;
统计单元,用于根据所述判断单元判断出的所述n个判断结果,从所述n个网络请求数据包中统计出属于所述第一攻击类型的m个网络请求数据包,其中,m大于等于1,且小于等于n;
所述判断单元,还用于根据所述第一预设时间段、所述统计单元统计的所述m个网络请求数据包的数量和第二预设规则,判定出所述m个网络请求数据包为具有疑似网络入侵行为的第一网络请求数据包;
第一发送单元,用于根据所述判断单元判定的所述第一网络请求数据包,发送通知消息至第一待检测服务器,所述第一待检测服务器为所述至少一个待检测服务器中发送过所述第一网络请求数据包的待检测服务器,所述通知消息用于通知所述第一待检测服务器对所述第一网络请求数据包进行网络防御部署。
10.根据权利要求9所述的服务器,其特征在于,所述入侵检测服务器还包括:获取单元;
所述获取单元,用于对所述接收单元接收的所述n个网络请求数据包进行解析,获取n个第一属性信息,所述n个第一属性信息与所述n个网络请求数据包对应;
所述判断单元,具体用于将所述获取单元获取的所述n个第一属性信息与所述第一攻击类型对应的预设属性信息进行对比,得到n个类型对比结果,所述n个类型对比结果与所述n个第一属性信息对应;以及根据所述n个类型对比结果,确定所述n个网络请求数据包是否符合第一预设规则,并得到所述n个判断结果。
11.根据权利要求10所述的服务器,其特征在于,
所述判断单元,还具体用于若所述n个类型对比结果中的一个类型对比结果为相同,则所述n个网络请求数据包中与所述一个类型对比结果对应的一个网络请求数据包符合所述第一预设规则,得到所述一个网络请求数据包属于所述第一攻击类型的一个判断结果;若所述n个类型对比结果中的一个类型对比结果为不相同,则所述n个网络请求数据包中与所述一个类型对比结果对应的一个网络请求数据包不符合所述第一预设规则,得到所述一个网络请求数据包不属于所述第一攻击类型的一个判断结果;以及直至得到所述n个网络请求数据包对应的所述n个判断结果。
12.根据权利要求9所述的服务器,其特征在于,
所述判断单元,还具体用于当所述第一预设时间段与第一预设时间阈值相同时,判断所述m个网络请求数据包的数量与第二预设阈值的大小,所述第一预设时间阈值和所述第二预设阈值为所述第二预设规则中的参数值;若所述m个网络请求数据包的数量大于等于所述第二预设阈值,则判定所述m个网络请求数据包为具有疑似网络入侵行为的所述第一网络请求数据包;若所述m个网络请求数据包的数量小于所述第二预设阈值,则判定所述m个网络请求数据包为不具有疑似网络入侵行为的所述第一网络请求数据包。
13.根据权利要求10所述的服务器,其特征在于,
所述获取单元,还用于所述对所述第一接收单元接收的所述n个网络请求数据包进行解析之后,获取所述n个网络请求数据包对应的n个请求信息。
14.根据权利要求13所述的服务器,其特征在于,所述入侵检测服务器还包括:查找单元;
所述查找单元,用于根据所述获取单元获取的所述n个请求信息中与所述第一网络请求数据包对应的第一请求信息,查找到发出所述第一请求信息的第一终端或第一用户;
所述第一发送单元,具体用于发送拦截所述查找单元查找到的所述第一终端或所述第一用户的请求的消息至所述第一待检测服务器。
15.一种第一待检测服务器,其特征在于,包括:
第二接收单元,用于接收第一终端或第一用户发送的第一网络请求数据包;
第二发送单元,用于将所述第二接收单元接收的所述第一网络请求数据包进行拷贝并发送至入侵检测服务器;
所述第二接收单元,还用于接收到所述入侵检测服务器发送的对所述第一网络请求数据包进行网络防御部署的通知消息;
防御单元,用于根据所述第二接收单元接收的所述通知消息,对下一次接收所述第一网络请求数据包进行网络防御。
16.根据权利要求15所述的服务器,其特征在于,
所述防御单元,具体用于根据所述第二接收单元接收的拦截所述第一终端或所述第一用户的请求的消息,拦截下一次接收的所述第一网络请求数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610911124.4A CN107968765A (zh) | 2016-10-19 | 2016-10-19 | 一种网络入侵检测方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610911124.4A CN107968765A (zh) | 2016-10-19 | 2016-10-19 | 一种网络入侵检测方法及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107968765A true CN107968765A (zh) | 2018-04-27 |
Family
ID=61996328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610911124.4A Pending CN107968765A (zh) | 2016-10-19 | 2016-10-19 | 一种网络入侵检测方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107968765A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| WO2020051862A1 (zh) * | 2018-09-14 | 2020-03-19 | 华为技术有限公司 | 一种避免广播风暴的方法和装置 |
| EP3633948A4 (en) * | 2018-08-22 | 2020-05-13 | Wangsu Science & Technology Co., Ltd. | METHOD AND DEVICE FOR IMPLEMENTING SERVER ATTACK PROTECTION |
| CN111786940A (zh) * | 2020-05-07 | 2020-10-16 | 宁波小遛共享信息科技有限公司 | 一种数据处理方法及装置 |
| CN113794696A (zh) * | 2021-08-27 | 2021-12-14 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090334A (zh) * | 2007-05-23 | 2007-12-19 | 西安交大捷普网络科技有限公司 | 一种解决入侵检测系统中海量报警的方法 |
| US20110178793A1 (en) * | 2007-09-28 | 2011-07-21 | David Lee Giffin | Dialogue analyzer configured to identify predatory behavior |
| CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
| CN105376251A (zh) * | 2015-12-02 | 2016-03-02 | 华侨大学 | 一种基于云计算的入侵检测方法与系统 |
-
2016
- 2016-10-19 CN CN201610911124.4A patent/CN107968765A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090334A (zh) * | 2007-05-23 | 2007-12-19 | 西安交大捷普网络科技有限公司 | 一种解决入侵检测系统中海量报警的方法 |
| US20110178793A1 (en) * | 2007-09-28 | 2011-07-21 | David Lee Giffin | Dialogue analyzer configured to identify predatory behavior |
| CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
| CN105376251A (zh) * | 2015-12-02 | 2016-03-02 | 华侨大学 | 一种基于云计算的入侵检测方法与系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3633948A4 (en) * | 2018-08-22 | 2020-05-13 | Wangsu Science & Technology Co., Ltd. | METHOD AND DEVICE FOR IMPLEMENTING SERVER ATTACK PROTECTION |
| WO2020051862A1 (zh) * | 2018-09-14 | 2020-03-19 | 华为技术有限公司 | 一种避免广播风暴的方法和装置 |
| CN112673602A (zh) * | 2018-09-14 | 2021-04-16 | 华为技术有限公司 | 一种避免广播风暴的方法和装置 |
| CN110365712A (zh) * | 2019-08-22 | 2019-10-22 | 中国工商银行股份有限公司 | 一种分布式拒绝服务攻击的防御方法及系统 |
| CN111786940A (zh) * | 2020-05-07 | 2020-10-16 | 宁波小遛共享信息科技有限公司 | 一种数据处理方法及装置 |
| CN113794696A (zh) * | 2021-08-27 | 2021-12-14 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| US9848016B2 (en) | Identifying malicious devices within a computer network | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| CN107968765A (zh) | 一种网络入侵检测方法及服务器 | |
| Latif et al. | Distributed denial of service (DDoS) attack in cloud-assisted wireless body area networks: a systematic literature review | |
| CN107465651A (zh) | 网络攻击检测方法及装置 | |
| CN107819727A (zh) | 一种基于ip地址安全信誉度的网络安全防护方法及系统 | |
| JP2020140723A (ja) | ネットワーク攻撃防御システムおよび方法 | |
| US20130227687A1 (en) | Mobile terminal to detect network attack and method thereof | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| CN111464525A (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
| KR20200109875A (ko) | 유해 ip 판단 방법 | |
| Arunmozhi et al. | A flow monitoring scheme to defend reduction-of-quality (RoQ) attacks in mobile ad-hoc networks | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Bojjagani et al. | Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment. | |
| Sharma et al. | Detection of ARP Spoofing: A command line execution method | |
| Ragupathy et al. | Detecting Denial of Service Attacks by Analysing Network Traffic in Wireless Networks | |
| Mantoo et al. | A machine learning model for detection of man in the middle attack over unsecured devices | |
| Huang et al. | Connection Type Identification and Uplink Speed Estimation of Malware Infected Hosts | |
| Ibrahim | A comprehensive study of distributed denial of service attack with the detection techniques | |
| US11974120B2 (en) | System and method for securing a communication network | |
| KR101045332B1 (ko) | Irc 및 http 봇넷 정보 공유 시스템 및 그 방법 | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| Chiu et al. | Shannon Entropy Mixing Cumulative Sum Algorithm for DoS/DDoS Detection and Defense |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180427 |