CN108183884B - 一种网络攻击判定方法及装置 - Google Patents
一种网络攻击判定方法及装置 Download PDFInfo
- Publication number
- CN108183884B CN108183884B CN201711243258.4A CN201711243258A CN108183884B CN 108183884 B CN108183884 B CN 108183884B CN 201711243258 A CN201711243258 A CN 201711243258A CN 108183884 B CN108183884 B CN 108183884B
- Authority
- CN
- China
- Prior art keywords
- resource
- network devices
- target network
- target
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
本发明实施例公开了一种网络攻击判定方法及装置,其中的方法可包括:确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。采用本发明可以更有效的保障网络系统的安全。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种网络攻击判定方法及装置。
背景技术
随着计算机技术与网络通信技术的高速发展,计算机网络在各个领域的广泛应用,极大地提高了人们的工作效率,使得衣食住行变得更方便。但是在互联网给人们带来巨大利益的同时,黑客通过网络病毒开始侵袭大服务器和数据库,给使用网络的正常用户带来了巨大的损失。由于网络传播速度快,即便防火墙软件和杀毒软件数量繁多,仍然存在漏洞,使得黑客能够利用这些软件的漏洞进行攻击。因此,本领域迫切需要提供一种能够有效防御网络攻击的防御方法。
发明内容
本发明实施例所要解决的技术问题在于,提供一种网络攻击判定方法及装置,以基于订票系统中的订票信息为用户提供个性化、人性化的社交服务。
第一方面,本发明实施例提供了一种网络攻击判定方法,可包括:
确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;
分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;
当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。
在一种可能的实现方式中,所述方法还包括:为所述n个目标网络设备配置所述第二资源。
在一种可能的实现方式中,所述确定目标网络系统的m个网络设备中的n个目标网络设备,包括:监测所述m个网络设备中的系统资源使用率;将所述系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。
在一种可能的实现方式中,所述方法还包括:向指定设备发送报警信息,所述报警信息用于指示所述目标网络设备受到网络攻击。
在一种可能的实现方式中,所述第二资源包括CPU资源、内存资源、端口资源、进程资源、文件资源、路由资源、数据库资源、命令资源、程序资源、库文件资源、用户资源和业务资源中的至少一种。
在一种可能的实现方式中,所述被使用情况包括:被扫描、被探测、被修改、被删除、被增加和被访问中的至少一种。
在一种可能的实现方式中,所述目标参数包括频率、使时长、时间点、占用率、流量、效率中的至少一种。
第二方面,本发明实施例提供了一种网络攻击判定装置,可包括:
确定单元,用于确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;
监测单元,用于分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;
判定单元,用于当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。
在一种可能的实现方式中,所述装置还包括:
配置单元,用于为所述n个目标网络设备配置所述第二资源。
在一种可能的实现方式中,所述确定单元,具体用于:
监测所述m个网络设备中的系统资源使用率;
将所述系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。
在一种可能的实现方式中,所述装置还包括:
报警单元,用于向指定设备发送报警信息,所述报警信息用于指示所述目标网络设备受到网络攻击。
在一种可能的实现方式中,所述第二资源包括CPU资源、内存资源、端口资源、进程资源、文件资源、路由资源、数据库资源、命令资源、程序资源、库文件资源、用户资源和业务资源中的至少一种。
在一种可能的实现方式中,所述被使用情况包括:被扫描、被探测、被修改、被删除、被增加和被访问中的至少一种。
在一种可能的实现方式中,所述目标参数包括频率、使时长、时间点、占用率、流量和效率中的至少一种。
第三方面,本申请提供一种服务器,该终端设备具有实现上述网络攻击判定方法实施例中方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第四方面,本申请提供一种服务器,该服务器中包括处理器,处理器被配置为支持该服务器执行第一方面提供的一种网络攻击判定方法中相应的功能。该服务器还可以包括存储器,存储器用于与处理器耦合,其保存该服务器必要的程序指令和数据。该服务器还可以包括通信接口,用于该服务器与其他设备或通信网络通信。
第五方面,本申请提供一种计算机存储介质,用于储存为上述第四方面提供的服务器所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
第六方面,本申请实施例提供了一种计算机程序,该计算机程序包括指令,当该计算机程序被计算机执行时,使得计算机可以执行上述第一方面中任意一项的网络攻击判定方法中的流程。
第七方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持应用服务器或终端设备实现上述方面中所涉及的功能,例如,生成或处理上述方法中所涉及的信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存数据发送设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
实施本发明实施例,具有如下有益效果:
本发明实施例,通过在拟保护的网络系统中选取一定比例的一个或多个网络节点,并虚拟出该一个或多个网络节点正常工作时不使用的资源作为陷阱资源,然后对陷阱资源进行监控,当陷阱资源被访问使用的时候,获取该陷阱资源被使用的具体情况,并做汇总分析,得出所述拟受保护的网络系统是否正遭受攻击,以及攻击的程度和类型的结论,最终,根据所述结论对所述网络系统予以保护。采用本发明实施例,可以根据网络节点上的陷阱资源的使用情况,及时并有效的预判并防止可能或者已经发生的网络攻击,有效地提升网络系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络架构示意图;
图2是本发明实施例提供的一种网络攻击判定方法的流程示意图;
图3是本发明实施例提供的另一种网络攻击判定方法的流程示意图;
图4是本发明实施例提供的一种网络攻击判定装置的结构示意图;
图5是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例进行描述。
本发明的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
以下,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
1)、网络设备,也可以称之为网络节点,可以是物理设备,包括物理终端、物理服务器、物理网络设备、物理存储,也可以是通过虚拟化技术实现的虚拟设备,包括虚拟终端、虚拟服务器、虚拟网络设备、虚拟存储。
2)、“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
为了便于理解本发明实施例,下面提供一种本发明实施例基于的系统网络构架进行描述。请参阅图1,图1是网络架构示意图,如图1所示,目标网络系统中包括多个网络设备,可选地,还包括至少一个监控管理设备。假设网络设备为m个,其中,监控管理设备或服务器可以根据预设规则确定出其中的部分为目标网络设备,例如为n个,其中n与m的比值大于或者等于预设比值。该监控管理设备或服务器可用于执行并实现本申请中的网络攻击判定方法,并且根据网络攻击判定结果,对目标网络系统进行安全管理。可以理解的是,以上图1中的网络架构只是本发明实施例中的其中一种实施方式,本发明实施例中的网络架构包括但不仅限于以上网络架构,只要能够实现本申请中的网络攻击判定方法的网络架构均属于本发明所保护和涵盖的范围。
可以理解的是,上述监控管理设备或服务器也可以设置于目标网络系统中的任意一个网络设备上,即硬件设置于目标网络系统中。
还需要强调说明的是,本发明实施例中,具体的应用场景包括但不仅限于企业网络系统、校园网络系统、家庭网络系统、商场网络系统或云服务网络系统等各类应用场景。
图2是本发明实施例提供的一种网络攻击判定方法的流程示意图,下面将结合附图2从服务器侧对本发明实施例中的一种网络攻击判定方法进行详细介绍,该方法包括以下步骤S201-步骤S203。
步骤S201:确定目标网络系统的m个网络设备中的n个目标网络设备。
具体地,m和n为大于0的整数,n与m的比值大于或者等于预设比值,n与m的比值需要大于一定比例的原因在于,服务器需要选取足够多的网络设备才有可能覆盖到网络攻击的范围。即n与m的比值大小,需要满足使得在可以接受的概率下,拟攻击所述网络系统的攻击者,至少会攻击或利用所述目标网络设备中的一个。所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源。也即是说,目标网络设备上的所有资源可以分为两种,一种是在目标网络设备运行过程中可能会用到的资源,即第一资源,另外一种则为目标网络设备在运行过程中完全不会用到或者极少被用到的资源,即第二资源。
在本申请中,服务器将m个网络设备中的一定比例的n个目标网络设备挑选出来作为“陷阱设备”,其中,该陷阱设备上将不会被使用到的资源作为“陷阱设备”。原因在于,正常情况下,目标网络设备上的第二资源在正常运行过程中,不会被使用,或者极少被使用,当监测到该第二资源使用时,则很有可能是因为发生了非法网络攻击,所以才会被使用。
可以理解的是,上述第二资源可以是目标网络设备上本来就有的资源,也可以是后来添加或设置的虚拟资源或陷阱资源,例如,配置的不可能使用到的端口,添加的不可能使用的虚拟的进程资源或文件资源等。
步骤S203:分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数。
具体地,一旦将这n个目标网络设备作为“陷阱设备”之后,那么可以重点监测这n个目标网络设备各自的第二资源的相关参数。即服务器重点监测该目标网络设备的“陷阱资源”是否有被使用。若被使用,则监测该目标设备的第二资源在被使用情况下的相关参数。
在一种可能的实现方式中,所述第二资源包括CPU资源、内存资源、端口资源、进程资源、文件资源、路由资源、数据库资源、命令资源、程序资源、库文件资源、用户资源和业务资源中的至少一种。即该第二资源可以是网络设备上可能会被攻击的任意的资源。
在一种可能的实现方式中,所述被使用情况包括:被扫描、被探测、被修改、被删除、被增加和被访问中的至少一种。即使用情况可以是网络设备上可能会被攻击的任意操作。
在一种可能的实现方式中,所述目标参数包括频率、使时长、时间点、占用率、流量、效率中的至少一种。即目标参数可以是网络设备上被攻击时所涉及到的任意参数。
例如,计算机中某个不会被使用到的资源,在某个时间内,被频繁使用,则很有可能是因为有非法用户的攻击,才导致的被使用情况下的目标参数的异常。比如,目标网络设备的某些正常运行时不可能使用的内存资源被访问的频率超过预设频率,正常运行时不可能使用的某个端口被访问的频率超过一定频率,正常运行时不可能使用到的某个虚拟出来的文件资源被增、删、查或改的频率超过一定频率,正常运行时不可能使用到的某个虚拟出来的进程资源被探测时长超过时间阈值等。
步骤S203:当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。
具体地,当服务器监测到n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,确定为所述目标网络设备受到网络攻击。即本申请可以通过在目标网络设备上设置其正常运行时不可能使用的第二资源,并监测该第二资源被使用的情况,及时的预判网络可能遭受的网络攻击。不仅可以有效的解决网络被攻击的风险,还可以通过空闲、非重要的第二资源分摊目标网络系统被攻击的安全风险。
可以理解的是,本申请中,服务器也可以对除目标网络设备以外的其它网络设备进行监测,也可以对除第二资源以外的第一资源的使用情况进行监测,并可以与上述检测目标网络设备的第二资源的网络攻击判定方法相互结合使用。
本发明实施例,通过在拟保护的网络系统中选取一定比例的一个或多个网络节点,并虚拟出该一个或多个网络节点正常工作时不使用的资源作为陷阱资源,然后对陷阱资源进行监控,当陷阱资源被访问使用的时候,获取该陷阱资源被使用的具体情况,并做汇总分析,得出所述拟受保护的网络系统是否正遭受攻击,以及攻击的程度和类型的结论,最终,根据所述结论对所述网络系统予以保护。采用本发明实施例,可以根据网络节点上的陷阱资源的使用情况,及时并有效的预判并防止可能或者已经发生的网络攻击,有效地提升网络系统的安全性。
图3是本发明实施例提供的另一种网络攻击判定方法的流程示意图,下面将结合附图3从服务器侧对本发明实施例中的另一种网络攻击判定方法进行详细介绍,该方法包括以下步骤S401-步骤S405。
步骤S301:监测所述m个网络设备中的系统资源使用率。
具体地,服务器可以检测目标网络系统中的m个网络设备在正常运行情况下的系统资源使用率。以便于选择出合适的目标网络设备。
步骤S302:将所述系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。
具体地,服务器将系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。例如,在一个计算机系统中,将一定比例的某些资源使用少的计算机挑选出来作为“陷阱”。原因在于,该不经常被使用的计算机,说明其可能不需要担任更重要的任务、或者不需要完成更多计算量的计算机,即该目标计算机上存储或者处理的内容可能不是特别重要,并且相对空闲。因此将其作为陷阱设备,可以减少因为黑客或者是网络攻击者的攻击带来的针对真正有用的资源的损害和威胁。
步骤S303:为所述n个目标网络设备配置所述第二资源。
具体地,服务器可以为目标网络设备配置虚拟的陷阱资源,以作为监测目标网络设备是否遭受攻击的基础依据。由于其在目标网络设备正常运行的情况下,不需要被使用,因此一旦被使用,则可以发现异常,而第一资源由于目标网络设备本身正常运行也需要使用,因此,通过监测第一资源的使用情况来判断网络是否安全,难度相对较大。所以,第二资源相比于第一资源来说,作为监测网络是否安全的“陷阱资源”更为灵敏和有效。
步骤S304:分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数。
步骤S305:当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。
具体地,步骤S304至步骤S305可以参照上述图2对应的实施例中的步骤S202至步骤S203的描述,在此不再赘述。
步骤S306:向指定设备发送报警信息,所述报警信息用于指示所述目标网络设备受到网络攻击。
具体地,服务器在确定出目标网络系统中有至少一个目标网络设备遭受到了网络攻击之后,那么可以通过服务器向指定的设备发送报警信息,以便于相关设备或者工作人员可以及时的处理该网络攻击,保证目标网络系统的安全。
本申请实施例,除了保留了图2对应实施例中的有益效果,还进一步的利用服务器监测并确定出相对较为空闲的网络设备作为目标网络设备,以便于更好的设置第二资源,从而更好的通过监测第二资源的使用情况,来判定目标网络系统是否遭受攻击,从而更有效的保证目标网络系统的安全。
下面通过具体应用场景的举例,对本申请进行进一步说明。
某拥有2000个网络节点的网络环境采用了本申请,经过网络环境管理者评估,假设完成一次有效攻击,至少要访问10个不同的网络节点,因此要达到99.9%的抓获概率,则需要在1000个网络节点上集成本发明的资源监控模块、资源模拟模块、资源数据发送模块并安装配置汇总分析服务器。
根据评估结果,在1000个资源较为充裕的网络节点上集成了本发明。在这些网络节点上,根据预先设定策略,资源模拟模块按照分组、分类等策略标准在不同的网络节点上自动模拟了多个真实交易不会访问的网络端口、多个真实交易不会访问的文件、多个真实交易不会访问的程序、多个真实交易不会访问的路由。网络环境管理者又通过资源模拟模块人工模拟了一个真实交易不会访问的业务逻辑。当然,除了这些模拟资源外,网络环境管理者还可以根据实际需要设置各种不同的虚拟资源,满足网络防御要求。另外网络环境管理者,根据资源监控模块收集到的网络节点资源情况,对较少使用的资源进行了监控。
当某个网络攻击者潜入受保护网络环境后,由于网络攻击的一些攻击特性,网络攻击者需要进行一些操作,比如搜集信息,以便进行后续的攻击。当这个网络攻击者访问到300个网络节点时,比如某个网络节点,虚拟了443这个端口,网络攻击者扫描了这个端口;比如有一个文件,口令.txt,网络攻击者打开了这个文件。这些扫描和打开的动作被资源监控模块发现,相应的与扫描和打开相关的数据,比如节点名称、节点ip、用户、源地址等被发送至汇总分析服务器。
网络环境管理者看到汇总分析服务器对收集到的状态数据分析结论前,汇总分析服务器已经根据预设规则启动了针对某个网络攻击者的防御。同时汇总分析服务器还会发出警报不断提醒网络环境管理者攻击的发生情况,攻击的过程,攻击的处理结果,还会提醒网络管理者是否人工介入。
本发明实施例还提供了一种网络攻击判定装置10,如图4所示,图4是本发明实施例提供的网络攻击判定装置的结构示意图,下面将结合附图4,对装置10的结构进行详细介绍。该装置10可包括:确定单元101、监测单元102和判定单元103,其中
确定单元101,用于确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;
监测单元102,用于分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;
判定单元103,用于当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。
在一种可能的实现方式中,如图4所示,装置10还可以包括:
配置单元104,用于为所述n个目标网络设备配置所述第二资源。
在一种可能的实现方式中,确定单元101,具体用于:
监测所述m个网络设备中的系统资源使用率;
将所述系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。
在一种可能的实现方式中,如图4所示,装置10还可以包括:
报警单元105,用于向指定设备发送报警信息,所述报警信息用于指示所述目标网络设备受到网络攻击。
在一种可能的实现方式中,所述第二资源包括CPU资源、内存资源、端口资源、进程资源、文件资源、路由资源、数据库资源、命令资源、程序资源、库文件资源、用户资源和业务资源中的至少一种。
在一种可能的实现方式中,所述被使用情况包括:被扫描、被探测、被修改、被删除、被增加和被访问中的至少一种。
在一种可能的实现方式中,所述目标参数包括频率、使时长、时间点、占用率、流量和效率中的至少一种。
可理解的是,网络攻击判定装置10中各模块的功能可对应参考上述图1至图3中的各方法实施例中的具体实现方式,这里不再赘述。
在本实施例中,网络攻击判定装置10是以模块的形式来呈现。这里的“模块”可以指特定应用集成电路(application-specific integrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。此外,生成模块102、第一处理模块103、确定模块104和第二处理模块105可通过图5所示的服务器的处理器201来实现,获取模块101可通过图5所示的服务器的通信接口203来实现。
本发明实施例还提供了一种服务器20,如图5所示,图5是本发明实施例提供的服务器的结构示意图,下面将结合附图5对服务器20的结构进行详细介绍。该服务器20包括至少一个处理器201,至少一个存储器202、至少一个通信接口203。所述处理器201、所述存储器202和所述通信接口203通过所述通信总线连接并完成相互间的通信。
处理器201可以是通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制以上方案程序执行的集成电路。
通信接口203,用于与其他设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(Wireless Local Area Networks,WLAN)等。
存储器202可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,所述存储器202用于存储执行以上网络攻击判定方法的应用程序代码,并由处理器201来控制执行。所述处理器201用于执行所述存储器202中存储的应用程序代码。
存储器202存储的代码可执行以上提供的服务器执行的图1-图3的网络攻击判定方法,比如,确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任意一种网络攻击判定方法的部分或全部步骤。
本申请实施例还提供一种计算机程序,该计算机程序包括指令,当该计算机程序被计算机执行时,使得计算机可以执行任意一种基于订票信息的社交信息处理的部分或全部步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可能可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以为个人计算机、服务器或者网络设备等,具体可以是计算机设备中的处理器)执行本申请各个实施例上述方法的全部或部分步骤。其中,而前述的存储介质可包括:U盘、移动硬盘、磁碟、光盘、只读存储器(Read-Only Memory,缩写:ROM)或者随机存取存储器(Random Access Memory,缩写:RAM)等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (12)
1.一种网络攻击判定方法,其特征在于,包括:
确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;
分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;
当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击;
所述确定目标网络系统的m个网络设备中的n个目标网络设备,包括:
监测所述m个网络设备中的系统资源使用率;
将所述系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
为所述n个目标网络设备配置所述第二资源。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
向指定设备发送报警信息,所述报警信息用于指示所述目标网络设备受到网络攻击。
4.如权利要求1-3任意一项所述的方法,其特征在于,所述第二资源包括CPU资源、内存资源、端口资源、进程资源、文件资源、路由资源、数据库资源、命令资源、程序资源、库文件资源、用户资源和业务资源中的至少一种。
5.如权利要求1-3任意一项所述的方法,其特征在于,所述被使用情况包括:被扫描、被探测、被修改、被删除、被增加和被访问中的至少一种。
6.如权利要求1-3任意一项所述的方法,其特征在于,所述目标参数包括频率、使时长、时间点、占用率、流量、效率中的至少一种。
7.一种网络攻击判定装置,其特征在于,包括:
确定单元,用于确定目标网络系统的m个网络设备中的n个目标网络设备,其中,m和n为大于0的整数,n与m的比值大于或者等于预设比值,所述n个目标网络设备上分别包括第一资源和第二资源,所述n个目标网络设备在运行中仅使用所述第一资源;
监测单元,用于分别监测所述n个目标网络设备的所述第二资源在被使用情况下的目标参数;
判定单元,用于当监测到所述n个目标网络设备中的任意一个目标网络设备的所述目标参数超出预设范围,判定为所述目标网络设备受到网络攻击;
所述确定单元,具体用于:
监测所述m个网络设备中的系统资源使用率;
将所述系统资源使用率低于预设阈值的n个网络设备确定为目标网络设备。
8.如权利要求7所述的装置,其特征在于,所述装置还包括:
配置单元,用于为所述n个目标网络设备配置所述第二资源。
9.如权利要求7所述的装置,其特征在于,所述装置还包括:
报警单元,用于向指定设备发送报警信息,所述报警信息用于指示所述目标网络设备受到网络攻击。
10.如权利要求7-9任意一项所述的装置,其特征在于,所述第二资源包括CPU资源、内存资源、端口资源、进程资源、文件资源、路由资源、数据库资源、命令资源、程序资源、库文件资源、用户资源和业务资源中的至少一种。
11.如权利要求7-9任意一项所述的装置,其特征在于,所述被使用情况包括:被扫描、被探测、被修改、被删除、被增加和被访问中的至少一种。
12.如权利要求7-9任意一项所述的装置,其特征在于,所述目标参数包括频率、使时长、时间点、占用率、流量和效率中的至少一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711243258.4A CN108183884B (zh) | 2017-11-30 | 2017-11-30 | 一种网络攻击判定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711243258.4A CN108183884B (zh) | 2017-11-30 | 2017-11-30 | 一种网络攻击判定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108183884A CN108183884A (zh) | 2018-06-19 |
| CN108183884B true CN108183884B (zh) | 2020-11-06 |
Family
ID=62545341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711243258.4A Active CN108183884B (zh) | 2017-11-30 | 2017-11-30 | 一种网络攻击判定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108183884B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912788B (zh) * | 2018-09-18 | 2021-07-23 | 珠海格力电器股份有限公司 | 联网控制方法及装置、存储介质、处理器 |
| CN109347876B (zh) * | 2018-11-29 | 2022-04-01 | 深圳市网心科技有限公司 | 一种安全防御方法及相关装置 |
| CN109547449B (zh) * | 2018-11-29 | 2021-09-24 | 深圳市网心科技有限公司 | 一种安全检测方法及相关装置 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889573A (zh) * | 2006-07-31 | 2007-01-03 | 华为技术有限公司 | 一种主动诱骗方法与系统 |
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8176000B2 (en) * | 2009-05-19 | 2012-05-08 | Hewlett-Packard Development Company, L.P. | Methods and apparatus for discovering traffic on a network |
-
2017
- 2017-11-30 CN CN201711243258.4A patent/CN108183884B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889573A (zh) * | 2006-07-31 | 2007-01-03 | 华为技术有限公司 | 一种主动诱骗方法与系统 |
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
Non-Patent Citations (1)
| Title |
|---|
| 分布式虚拟陷阱网络系统的设计与实现;汪洁;《中国优秀硕士学位论文全文数据库(电子期刊)》;20060615;参见第3章第3.1节,第4章第4.2节,第6章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108183884A (zh) | 2018-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230300164A1 (en) | User and entity behavioral analysis with network topology enhancement | |
| US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| US20240080338A1 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| RU2477929C2 (ru) | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей | |
| EP2769508B1 (en) | System and method for detection of denial of service attacks | |
| US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US11159542B2 (en) | Cloud view detection of virtual machine brute force attacks | |
| Carlin et al. | Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges | |
| US20220060453A1 (en) | Detecting and mitigating forged authentication object attacks in multi - cloud environments | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| US20230388278A1 (en) | Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| CN111492360A (zh) | 使用先进网络决策平台检测并减缓伪造认证对象攻击 | |
| CN117354060B (zh) | 一种针对云计算IaaS层漏洞检测方法、系统和介质 | |
| Ďurčeková et al. | Detection of attacks causing network service denial | |
| US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |