CN108234472A - 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 - Google Patents
挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 Download PDFInfo
- Publication number
- CN108234472A CN108234472A CN201711464190.2A CN201711464190A CN108234472A CN 108234472 A CN108234472 A CN 108234472A CN 201711464190 A CN201711464190 A CN 201711464190A CN 108234472 A CN108234472 A CN 108234472A
- Authority
- CN
- China
- Prior art keywords
- black hole
- detection model
- attack detection
- hole attack
- challenging black
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种挑战黑洞攻击的检测方法及装置、计算机设备及可读介质。其方法包括:采集目标客户端在目标时间窗口的请求特征信息;根据请求特征信息以及预先训练的目标CC攻击检测模型,确定目标客户端的请求是否为CC攻击。本发明的技术方案,避免通过人为的方式设定阈值,而是通过训练的CC攻击检测模型来实现CC攻击的检测,从而能够有效地提高对CC攻击检测的准确性和检测效率。
Description
【技术领域】
本发明涉及计算机应用技术领域,尤其涉及一种挑战黑洞攻击的检测方法及装置、计算机设备及可读介质。
【背景技术】
现有技术中,商户可以在云上搭建的网站如特别是游戏类、房地场类网站,经常会出现被挑战黑洞(Challenge Collapsar;CC)攻击的现象,一般会造成网站的服务器资源耗尽,服务器响应缓慢,影响正常用户访问该网站。严重地,这种CC攻击会造成服务器瘫痪。随着云上商户的增多,这种现象越来越严重。
为了有效地防止CC攻击,现有技术中,可以在网站的服务器之前的反向代理服务器上部署检测CC攻击的方案。通过检测CC攻击,从而阻止CC攻击,这样可以将客户端与服务器进行了隔离,不占用服务器的系统资源,避免了服务器因防御CC攻击而减少可用系统资源以及降低运行效率。现有的CC攻击的检测方式可以通过人为地设置客户端在预设时间段内请求的阈值,如果某客户端在预设时间段内的请求数量超过该阈值,则被认为该客户端的请求为CC攻击,从而可以清洗该客户端的请求,防止该客户端攻击服务器。
现有的上述CC攻击的方案实现较为简单,CC攻击的阈值通常根据人为的经验来设定,通常情况下,很难较好地设定合理的阈值,因此,现有技术的CC攻击的检测方案的准确性比较差。
【发明内容】
本发明提供了一种挑战黑洞攻击的检测方法及装置、计算机设备及可读介质,用于提高CC攻击检测的准确性。
本发明提供一种挑战黑洞攻击的检测方法,所述方法包括:
采集目标客户端在目标时间窗口的请求特征信息;
根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击。
进一步可选地,如上所述的方法中,根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击之前,所述方法还包括:
采集数条训练数据,生成训练集,各所述训练数据中包括训练客户端在采集时间窗口的请求特征信息以及对应的所述训练客户端在所述采集时间窗口的请求是否为挑战黑洞攻击的标识;
根据所述训练集中的所述数条训练数据,训练所述目标挑战黑洞攻击检测模型。
进一步可选地,如上所述的方法中,根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击之前,所述方法还包括:
根据预设的检测策略和预先训练的多个挑战黑洞攻击检测模型的属性信息,从所述多个挑战黑洞攻击检测模型中获取所述目标挑战黑洞攻击检测模型;每个所述挑战黑洞攻击检测模型对应一种模型限定参数组合。
进一步可选地,如上所述的方法中,根据预设的检测策略和预先训练的多个挑战黑洞攻击检测模型的属性信息,从所述多个挑战黑洞攻击检测模型中获取所述目标挑战黑洞攻击检测模型,具体包括:
若所述检测策略为选取准确率最高的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率,从所述多个挑战黑洞攻击检测模型中获取准确率最高的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取误报率最低的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的误报率,从所述多个挑战黑洞攻击检测模型中获取误报率最低的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取准确率大于预设准确率阈值、误报率小于预设预报率阈值的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率和误报率,从所述多个挑战黑洞攻击检测模型中获取准确率大于所述准确率阈值、误报率小于所述预报率阈值的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型。
进一步可选地,如上所述的方法中,所述挑战黑洞攻击检测模型采用决策树模型;
所述模型限定参数组合包括模型的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数组合。
进一步可选地,如上所述的方法中,采集目标客户端在目标时间窗口的请求特征信息,具体包括:
采集所述目标客户端在所述目标时间窗口的请求的如下特征信息的至少一种:请求总数、get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数、请求方法种类数、不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值、访问根目录数目、url种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值、useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值、referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
本发明提供一种挑战黑洞攻击的检测装置,所述装置包括:
采集模块,用于采集目标客户端在目标时间窗口的请求特征信息;
检测模块,用于根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击。
进一步可选地,如上所述的装置中,所述装置还包括训练模块;
所述采集模块,还用于采集数条训练数据,生成训练集,各所述训练数据中包括训练客户端在采集时间窗口的请求特征信息以及对应的所述训练客户端在所述采集时间窗口的请求是否为挑战黑洞攻击的标识;
所述训练模块,用于根据所述训练集中的所述数条训练数据,训练所述目标挑战黑洞攻击检测模型。
进一步可选地,如上所述的装置中,所述装置还包括:
获取模块,用于根据预设的检测策略和预先训练的多个挑战黑洞攻击检测模型的属性信息,从所述多个挑战黑洞攻击检测模型中获取所述目标挑战黑洞攻击检测模型;;每个所述挑战黑洞攻击检测模型对应一种模型限定参数组合。
进一步可选地,如上所述的装置中,所述获取模块,具体用于:
若所述检测策略为选取准确率最高的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率,从所述多个挑战黑洞攻击检测模型中获取准确率最高的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取误报率最低的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的误报率,从所述多个挑战黑洞攻击检测模型中获取误报率最低的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取准确率大于预设准确率阈值、误报率小于预设预报率阈值的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率和误报率,从所述多个挑战黑洞攻击检测模型中获取准确率大于所述准确率阈值、误报率小于所述预报率阈值的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型。
进一步可选地,如上所述的装置中,所述挑战黑洞攻击检测模型采用决策树模型;
所述模型限定参数组合包括模型的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数组合。
进一步可选地,如上所述的装置中,所述采集模块,具体用于:
采集所述目标客户端在所述目标时间窗口的请求的如下特征信息的至少一种:请求总数、get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数、请求方法种类数、不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值、访问根目录数目、url种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值、useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值、referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
本发明还提供一种计算机设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的挑战黑洞攻击的检测方法。
本发明还提供一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的挑战黑洞攻击的检测方法。
本发明的挑战黑洞攻击的检测方法及装置、计算机设备及可读介质,通过采集目标客户端在目标时间窗口的请求特征信息;根据请求特征信息以及预先训练的目标CC攻击检测模型,确定目标客户端的请求是否为CC攻击。本实施例的技术方案,避免通过人为的方式设定阈值,而是通过训练的CC攻击检测模型来实现CC攻击的检测,从而能够有效地提高对CC攻击检测的准确性和检测效率。
【附图说明】
图1为本发明的CC攻击的检测方法实施例一的流程图。
图2为本发明的CC攻击的检测方法实施例二的流程图。
图3为本发明的CC攻击的检测装置实施例一的结构图。
图4为本发明的CC攻击的检测装置实施例二的结构图。
图5为本发明的计算机设备实施例的结构图。
图6为本发明提供的一种计算机设备的示例图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
图1为本发明的CC攻击的检测方法实施例一的流程图。如图1所示,本实施例的CC攻击的检测方法,具体可以包括如下步骤:
100、采集目标客户端在目标时间窗口的请求特征信息;
本实施例的CC攻击的检测方法的执行主体为CC攻击的检测装置,该CC的检测装置可以设置在服务器中,可以也可以设置在客户端之后,服务器之前的反向代理服务器上,以根据客户端的请求特征信息,分析客户端的请求是否为CC攻击。本实施例中以一个目标客户端的请求为例,来描述本发明的技术方案。本实施例的目标时间窗口为检测CC攻击时,该目标客户端当前所正在访问的时间窗口。本实施例的时间窗口的大小可以根据实际需求来设置,例如可以为1分钟、2分钟、5分钟或者其他时间长度,在此不做限定。目标时间窗口在本实施例中即指的是当前时刻前的最近邻的一个时间窗口。
例如,本实施例中,采集目标客户端在目标时间窗口请求服务器的请求特征信息,具体可以包括如下至少一个:请求总数、get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数、请求方法种类数、不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值、访问根目录数目、url种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值、useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值、referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
其中请求总数为该目标时间窗口中该目标客户端请求该服务器的所有请求的总数。get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数,分别为该目标时间窗口中该目标客户端请求该服务器的所有请求中get请求、post请求、put请求、head请求、connect请求的总数。请求方法种类数为该目标时间窗口中该目标客户端请求该服务器的所有请求中采用的不同请求方法的数量。还可以统计每一种请求方法对应的请求的数目,这样,基于每一种请求方法对应的请求的数目还可以采集到不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值。对于该目标时间窗口中该目标客户端请求该服务器的所有请求中,有的请求是访问根目录,有的请求访问的不是根目录,通过对每一个请求进行分词,可以采集到所有请求中访问根目录数目。另外,该目标时间窗口中该目标客户端请求该服务器的所有请求中,每一个请求都对应一个统一资源定位符(uniform resoure locator;url),通过对所有请求进行分析,可以获采集到所有请求中的url的种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值。再者,该目标时间窗口中该目标客户端请求该服务器的每个请求中还可以携带useragent的信息,通过对所有请求进行分析,可以获采集到所有请求中的useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值。同理,该目标时间窗口中该目标客户端请求该服务器的每个请求中还可以携带referer的信息,通过对所有请求进行分析,可以获采集到所有请求中的referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
本实施例的目标客户端可以采用目标客户端的标识来表示,如目标客户端的标识可以为目标客户端的IP地址,或者其他能够唯一标识目标客户端的信息。采集到目标客户端在目标时间窗口的请求特征信息后,可以采用目标客户端标识、目标时间窗口标识以及请求特征信息的对应关系存储。在实际使用中,可以采用特征名称来标识对应的特征信息。例如具体可以采用如下表1中每一个特征名称来表示对应的特性信息。例如客户端发起一个HTTP请求,对应一个日志数据,将每条日志数据以host+clientIP+时间窗口的方式存储,其中host为网络域名、clientip为目标客户端的IP地址,时间窗口标识目标时间窗口。在HTTP请求头包括有很多的字段,通过对目标客户端在目标时间窗口的所有HTTP请求头的字段进行统计分析,可以得到图1所示的所有特征信息。
表1
101、根据请求特征信息以及预先训练的目标CC攻击检测模型,确定目标客户端的请求是否为CC攻击。
本实施例中,将步骤100获取的该客户端在目标时间窗口的请求特征信息输入至预先训练的目标CC攻击检测模型中,该目标CC攻击检测模型可以预测该客户端在目标时间窗口的请求是否为CC攻击。例如该目标CC攻击检测模型预测的结果可以为一个概率值,当该概率值大于预设概率阈值,可以认为该客户端在目标时间窗口的请求为CC攻击,进而可以滤除该客户端的请求,避免让该客户端访问服务器。否则该客户端在目标时间窗口的请求不是CC攻击,可以放行该客户端的请求,让该客户端访问服务器。
进一步可选地,为了避免正常用户偶然被误报的情形,可以考虑投票制,例如当某客户端对应的连续的N个时间窗口中有超过预设比例的时间窗口都发生了CC攻击,则认为该客户端发生了CC攻击;否则N个时间窗口中发生了CC攻击的时间窗口未超过预设比例,则不认为该客户端发生了CC攻击。如当某clientip在连续的5个时间窗口有3个以上被标记为攻击,才可以认为对应的客户端发生了CC攻击。
进一步需要说明的是,在上述步骤101之前,还可以包括目标CC攻击检测模型的训练步骤,例如具体可以如下步骤:
(a1)采集数条训练数据,生成训练集,各训练数据中包括训练客户端在采集时间窗口的请求特征信息以及对应的训练客户端在采集时间窗口的请求是否为CC攻击的标识;
(a2)根据训练集中的数条训练数据,训练目标CC攻击检测模型。
本实施例中,训练前,需要采集数条训练数据,每条训练数据中包括训练客户端在采集时间窗口的请求特征信息。本实施例的采集时间窗口的大小与上述步骤100中的目标时间窗口的大小相同。本实施例的每条训练数据中的训练客户端在采集时间窗口的请求特征信息具体包括的特征信息的种类,可以与上述步骤100中的目标客户端在目标时间窗口的请求特征信息的种类相同。
采集训练数据时,先收集每次CC攻击时的采集时间窗口的HTTP请求日志,再收集一些正常访问的采集时间窗口的HTTP请求日志,将所有HTTP请求日志以将每条日志数据以host+clientIP+时间窗口的方式存储,这样,可以将每个采集时间窗口的数据汇聚成一个训练样本。并对每个采集时间窗口对应的训练样本中的所有HTTP请求头中的字段进行统计分析,可以得到同一个clientIP在同一采集时间窗口的请求特征信息,然后再根据已知的该client在该采集时间窗口的请求是CC攻击还是正常访问,标识该clientIP在采集时间窗口的访问类型,如为CC攻击,则标识为1,否则若为正常访问,标识为0。
另外,需要说明的是,本实施例的CC攻击检测模型可以采用决策树模型;决策树模型可以包括两种类型的参数一种为模型限定的参数,例如可以包括叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数,通过调节这些参数可以使得模型泛化能力强,避免模型过拟合。该决策树模型还可以包括模型本身的结构参数,模型本身的结构参数便是通过对模型进行训练确定。
本实施例中假定目标CC攻击检测模型的模型限定参数,即模型中的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数都已知,仅通过训练确定目标CC攻击检测模型本身的结构参数,从而确定目标CC模型。
具体训练时,先为目标CC攻击检测模型的结构参数设置初始值,然后将训练数据输入至目标CC攻击检测模型,目标CC攻击检测模型预测该条训练数据对应的请求是否为CC攻击;并判断预测的情况是否与训练数据中记录的该请求是否真实为CC攻击的情况一致,若不一致,则调整目标CC攻击检测模型的结构参数,使得预测的结果与真实的结果一致。通过数条训练数据对目标CC攻击检测模型进行训练,直到目标CC攻击检测模型预测的训练数据的CC攻击情况与训练数据对应的已知的CC攻击情况一致,从而确定目标CC攻击检测模型的结构参数,进而确定目标CC攻击检测模型。
需要说明的是,本实施例的训练数据的条数可以达到数十万条,例如20万或者30万或者更多,训练数据的训练条数越多,训练的CC攻击检测模型越准确。
本实施例的CC攻击的检测方法,通过采集目标客户端在目标时间窗口的请求特征信息;根据请求特征信息以及预先训练的目标CC攻击检测模型,确定目标客户端的请求是否为CC攻击。本实施例的技术方案,避免通过人为的方式设定阈值,而是通过训练的CC攻击检测模型来实现CC攻击的检测,从而能够有效地提高对CC攻击检测的准确性和检测效率。
图2为本发明的CC攻击的检测方法实施例二的流程图。如图2所示,本实施例的CC攻击的检测方法,在上述图1所示实施例的技术方案的基础上,进一步更加详细地介绍本发明的技术方案。如图2所示,本实施例的CC攻击的检测方法,具体可以包括如下步骤:
200、采集目标客户端在连续的N个时间窗口的请求特征信息;
与上述图1所示实施例的步骤100的区别仅在于,上述图1所示实施例的步骤100中仅需要采集一个目标时间窗口的请求特征信息,而本实施例的该步骤中需要采集连续的N个时间窗口的请求特征信息,其中每个时间窗口的请求特征信息的采集过程与上述图1所示实施例的步骤100中的一个目标时间窗口的请求特征信息的采集过程相同,在此不再赘述。
201、根据预设的检测策略和预先训练的多个CC攻击检测模型的属性信息,从多个CC攻击检测模型中获取目标CC攻击检测模型;
本实施例的CC攻击的检测可以采用不同的策略,例如,可以以准确率作为参考标准、或者也可以以误报率作为参考标准。或者可以同时参考准确率和误报率。本实施例的预先训练的CC攻击检测模型的属性信息中可以包括准确率以及误报率,或者还可以包括其他属性信息。其中准确率和误报率可以分别在训练得到多个CC攻击检测模型之后,使用测试数据对每个CC攻击检测模型进行测试,从而得到每个CC攻击检测模型的准确率和误报率。
例如该步骤201,具体可以包括如下三种情况:
第一种情况、若检测策略为选取准确率最高的CC攻击检测模型进行检测,此时步骤101具体可以为:根据多个CC攻击检测模型的准确率,从多个CC攻击检测模型中获取准确率最高的CC攻击检测模型,作为目标CC攻击检测模型;
第二种情况、若检测策略为选取误报率最低的CC攻击检测模型进行检测,此时步骤101具体可以为:根据多个CC攻击检测模型的误报率,从多个CC攻击检测模型中获取误报率最低的CC攻击检测模型,作为目标CC攻击检测模型;
第三种情况、若检测策略为选取准确率大于预设准确率阈值、误报率小于预设预报率阈值的CC攻击检测模型进行检测,此时步骤101具体可以为:根据多个CC攻击检测模型的准确率和误报率,从多个CC攻击检测模型中获取准确率大于准确率阈值、且误报率小于预报率阈值的CC攻击检测模型,作为目标CC攻击检测模型。
需要说明的是,若多个CC攻击检测模型中存在的准确率大于准确率阈值、且误报率小于预报率阈值的CC攻击检测模型的数量有两个以上时,可以从中随机获取一个,作为目标CC攻击检测模型。或者可以从符合条件的两个以上CC攻击检测模型中选择准确率最大、误报率最小的CC攻击检测模型,作为目标CC攻击检测模型。
需要说明的是,本实施例中可以预先设定有多个模型限定参数组合,即模型中的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数组合。并针对每种模型限定参数组合,都可以训练对应的CC攻击检测模型。每种CC攻击检测模型的训练过程可以参考上述图1所示实施例中的步骤(a1)和(a2),在此不再赘述。
另外,本实施例中采用上述实施例中的训练数据的采集方式,还可以生成多条测试数据,然后可以使用多条测试数据分别测试每种模型限定参数组合对应的CC攻击检测模型的属性信息,如准确率或者误报率等等。在此不再赘述。根据预设的检测策略和预先训练的多个CC攻击检测模型的属性信息,从多个CC攻击检测模型中获取目标CC攻击检测模型;
本实施例中,通过设置检测策略,并预先训练多个CC攻击检测模型,并根据检测策略和多个CC攻击检测模型的属性信息,从多个CC攻击检测模型中获取目标CC攻击检测模型,进一步丰富了目标攻击模型的选择方式,满足不同场景的需求,例如有的场景需要关注误报率,而有的场景则更关注准确率,使得本实施例的CC攻击检测方案,使用更加灵活。
202、根据请求特征信息以及目标CC攻击检测模型,确定目标客户端在连续N个时间窗口中的每个时间窗口的请求是否为CC攻击;
203、判断目标客户端在连续N个时间窗口中发生CC攻击的时间窗口是否超过预设比例,若是,则确定该目标客户端发生了CC攻击,否则确定该目标客户端未发生CC攻击。
本实施例通过设置只有当连续的N个时间窗口中有超过预设比例的时间窗口都发生了CC攻击,才认为该客户端发生了CC攻击,可以避免误报的情形发生,提高CC攻击的检测效率。
本实施例的CC攻击的检测方法,通过采用上述技术方案,可以避免通过人为的方式设定阈值,而是通过训练的CC攻击检测模型来实现CC攻击的检测,从而能够有效地提高对CC攻击检测的准确性和检测效率。而且能够满足多场景的需求,进一步丰富使用的灵活性。
图3为本发明的CC攻击的检测装置实施例一的结构图。如图3所示,本实施例的CC攻击的检测装置,具体可以包括:
采集模块10用于采集目标客户端在目标时间窗口的请求特征信息;
检测模块11用于根据请求特征信息以及预先训练的目标CC攻击检测模型,确定目标客户端的请求是否为CC攻击。
本实施例的CC攻击的检测装置,通过采用上述模块实现CC攻击的检测的实现原理以及技术效果与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
图4为本发明的CC攻击的检测装置实施例二的结构图。如图4所示,本实施例的CC攻击的检测装置,在上述图3所示实施例的技术方案的基础上,进一步更加详细地介绍本发明的技术方案。
如图4所示,本实施例的CC攻击的检测装置中,还包括:
获取模块12用于根据预设的检测策略和预先训练的多个CC攻击检测模型的属性信息,从多个CC攻击检测模型中获取目标CC攻击检测模型。每个CC攻击检测模型对应一种模型限定参数组合。
其中CC攻击检测模型采用决策树模型;模型限定参数组合包括模型的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数组合。
对应的,检测模块11用于根据请求特征信息以及获取模块12获取的目标CC攻击检测模型,确定目标客户端的请求是否为CC攻击。
进一步可选地,本实施例的CC攻击的检测装置中,获取模块12具体用于:
若检测策略为选取准确率最高的CC攻击检测模型进行检测,根据多个CC攻击检测模型的准确率,从多个CC攻击检测模型中获取准确率最高的CC攻击检测模型,作为目标CC攻击检测模型;
若检测策略为选取误报率最低的CC攻击检测模型进行检测,根据多个CC攻击检测模型的误报率,从多个CC攻击检测模型中获取误报率最低的CC攻击检测模型,作为目标CC攻击检测模型;
若检测策略为选取准确率大于预设准确率阈值、误报率小于预设预报率阈值的CC攻击检测模型进行检测,根据多个CC攻击检测模型的准确率和误报率,从多个CC攻击检测模型中获取准确率大于准确率阈值、误报率小于预报率阈值的CC攻击检测模型,作为目标CC攻击检测模型。
进一步可选地,如图4所示,本实施例的CC攻击的检测装置中,还包括训练模块13;
采集模块10还用于采集数条训练数据,生成训练集,各训练数据中包括训练客户端在采集时间窗口的请求特征信息以及对应的训练客户端在采集时间窗口的请求是否为CC攻击的标识;
训练模块13用于根据训练集中的数条训练数据,训练目标CC攻击检测模型。
另外,本实施例的训练模块13还用于根据训练集中的数条训练数据,训练每个模型限定参数组合对应CC攻击检测模型,得到多个CC模型。
对应地,获取模块12用于根据预设的检测策略和训练模块13预先训练的多个CC攻击检测模型的属性信息,从多个CC攻击检测模型中获取目标CC攻击检测模型。
进一步可选地,本实施例的CC攻击的检测装置中,采集模块10具体用于:
采集目标客户端在目标时间窗口的请求的如下特征信息的至少一种:请求总数、get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数、请求方法种类数、不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值、访问根目录数目、url种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值、useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值、referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
本实施例的CC攻击的检测装置,通过采用上述模块实现CC攻击的检测的实现原理以及技术效果与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
图5为本发明的计算机设备实施例的结构图。如图5所示,本实施例的计算机设备,包括:一个或多个处理器30,以及存储器40,存储器40用于存储一个或多个程序,当存储器40中存储的一个或多个程序被一个或多个处理器30执行,使得一个或多个处理器30实现如上图1-图2所示实施例的CC攻击的检测方法。图5所示实施例中以包括多个处理器30为例。
例如,图6为本发明提供的一种计算机设备的示例图。图6示出了适于用来实现本发明实施方式的示例性计算机设备12a的框图。图6显示的计算机设备12a仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机设备12a以通用计算设备的形式表现。计算机设备12a的组件可以包括但不限于:一个或者多个处理器16a,系统存储器28a,连接不同系统组件(包括系统存储器28a和处理器16a)的总线18a。
总线18a表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机设备12a典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12a访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28a可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30a和/或高速缓存存储器32a。计算机设备12a可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34a可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18a相连。系统存储器28a可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明上述图1-图4各实施例的功能。
具有一组(至少一个)程序模块42a的程序/实用工具40a,可以存储在例如系统存储器28a中,这样的程序模块42a包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42a通常执行本发明所描述的上述图1-图4各实施例中的功能和/或方法。
计算机设备12a也可以与一个或多个外部设备14a(例如键盘、指向设备、显示器24a等)通信,还可与一个或者多个使得用户能与该计算机设备12a交互的设备通信,和/或与使得该计算机设备12a能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22a进行。并且,计算机设备12a还可以通过网络适配器20a与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20a通过总线18a与计算机设备12a的其它模块通信。应当明白,尽管图中未示出,可以结合计算机设备12a使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16a通过运行存储在系统存储器28a中的程序,从而执行各种功能应用以及数据处理,例如实现上述实施例所示的CC攻击的检测方法。
本发明还提供一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上述实施例所示的CC攻击的检测方法。
本实施例的计算机可读介质可以包括上述图6所示实施例中的系统存储器28a中的RAM30a、和/或高速缓存存储器32a、和/或存储系统34a。
随着科技的发展,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载,或者采用其他方式获取。因此,本实施例中的计算机可读介质不仅可以包括有形的介质,还可以包括无形的介质。
本实施例的计算机可读介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种挑战黑洞攻击的检测方法,其特征在于,所述方法包括:
采集目标客户端在目标时间窗口的请求特征信息;
根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击。
2.根据权利要求1所述的方法,其特征在于,根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击之前,所述方法还包括:
采集数条训练数据,生成训练集,各所述训练数据中包括训练客户端在采集时间窗口的请求特征信息以及对应的所述训练客户端在所述采集时间窗口的请求是否为挑战黑洞攻击的标识;
根据所述训练集中的所述数条训练数据,训练所述目标挑战黑洞攻击检测模型。
3.根据权利要求1所述的方法,其特征在于,根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击之前,所述方法还包括:
根据预设的检测策略和预先训练的多个挑战黑洞攻击检测模型的属性信息,从所述多个挑战黑洞攻击检测模型中获取所述目标挑战黑洞攻击检测模型;每个所述挑战黑洞攻击检测模型对应一种模型限定参数组合。
4.根据权利要求3所述的方法,其特征在于,根据预设的检测策略和预先训练的多个挑战黑洞攻击检测模型的属性信息,从所述多个挑战黑洞攻击检测模型中获取所述目标挑战黑洞攻击检测模型,具体包括:
若所述检测策略为选取准确率最高的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率,从所述多个挑战黑洞攻击检测模型中获取准确率最高的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取误报率最低的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的误报率,从所述多个挑战黑洞攻击检测模型中获取误报率最低的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取准确率大于预设准确率阈值、误报率小于预设预报率阈值的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率和误报率,从所述多个挑战黑洞攻击检测模型中获取准确率大于所述准确率阈值、误报率小于所述预报率阈值的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型。
5.根据权利要求3所述的方法,其特征在于,所述挑战黑洞攻击检测模型采用决策树模型;
所述模型限定参数组合包括模型的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数组合。
6.根据权利要求1-5任一所述的方法,其特征在于,采集目标客户端在目标时间窗口的请求特征信息,具体包括:
采集所述目标客户端在所述目标时间窗口的请求的如下特征信息的至少一种:请求总数、get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数、请求方法种类数、不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值、访问根目录数目、url种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值、useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值、referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
7.一种挑战黑洞攻击的检测装置,其特征在于,所述装置包括:
采集模块,用于采集目标客户端在目标时间窗口的请求特征信息;
检测模块,用于根据所述请求特征信息以及预先训练的目标挑战黑洞攻击检测模型,确定所述目标客户端的请求是否为挑战黑洞攻击。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括训练模块;
所述采集模块,还用于采集数条训练数据,生成训练集,各所述训练数据中包括训练客户端在采集时间窗口的请求特征信息以及对应的所述训练客户端在所述采集时间窗口的请求是否为挑战黑洞攻击的标识;
所述训练模块,用于根据所述训练集中的所述数条训练数据,训练所述目标挑战黑洞攻击检测模型。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
获取模块,用于根据预设的检测策略和预先训练的多个挑战黑洞攻击检测模型的属性信息,从所述多个挑战黑洞攻击检测模型中获取所述目标挑战黑洞攻击检测模型;;每个所述挑战黑洞攻击检测模型对应一种模型限定参数组合。
10.根据权利要求8所述的装置,其特征在于,所述获取模块,具体用于:
若所述检测策略为选取准确率最高的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率,从所述多个挑战黑洞攻击检测模型中获取准确率最高的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取误报率最低的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的误报率,从所述多个挑战黑洞攻击检测模型中获取误报率最低的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型;
若所述检测策略为选取准确率大于预设准确率阈值、误报率小于预设预报率阈值的挑战黑洞攻击检测模型进行检测,根据所述多个挑战黑洞攻击检测模型的准确率和误报率,从所述多个挑战黑洞攻击检测模型中获取准确率大于所述准确率阈值、误报率小于所述预报率阈值的挑战黑洞攻击检测模型,作为所述目标挑战黑洞攻击检测模型。
11.根据权利要求9所述的装置,其特征在于,所述挑战黑洞攻击检测模型采用决策树模型;
所述模型限定参数组合包括模型的叶子节点最小基尼系统、叶子节点最小样本数以及树高的参数组合。
12.根据权利要求7-11任一所述的装置,其特征在于,所述采集模块,具体用于:
采集所述目标客户端在所述目标时间窗口的请求的如下特征信息的至少一种:请求总数、get请求总数、post请求总数、put请求总数、head请求总数、connect请求总数、请求方法种类数、不同请求方法数目最小值、不同请求方法数目平均值、不同请求方法数目最大值、访问根目录数目、url种类数、不同url数目最小值、不同url数目平均值、不同url数目最大值、useragent种类数、不同useragent数目最小值、不同useragent数目平均值、不同useragent数目最大值、referer种类数、不同referer数目最小值、不同useragent数目平均值和不同referer数目最大值。
13.一种计算机设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711464190.2A CN108234472A (zh) | 2017-12-28 | 2017-12-28 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711464190.2A CN108234472A (zh) | 2017-12-28 | 2017-12-28 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108234472A true CN108234472A (zh) | 2018-06-29 |
Family
ID=62646718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711464190.2A Pending CN108234472A (zh) | 2017-12-28 | 2017-12-28 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108234472A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109257390A (zh) * | 2018-11-27 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | Cc攻击的检测方法、装置及电子设备 |
CN109660533A (zh) * | 2018-12-14 | 2019-04-19 | 中国平安人寿保险股份有限公司 | 实时识别异常流量的方法、装置、计算机设备和存储介质 |
CN110995714A (zh) * | 2019-12-06 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
CN111049784A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
CN111181897A (zh) * | 2018-11-13 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 攻击检测模型训练方法、攻击检测方法及系统 |
CN111917787A (zh) * | 2020-08-06 | 2020-11-10 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
CN112910825A (zh) * | 2019-11-19 | 2021-06-04 | 华为技术有限公司 | 一种蠕虫检测方法及网络设备 |
CN113518064A (zh) * | 2021-03-23 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
CN113852645A (zh) * | 2021-12-02 | 2021-12-28 | 北京邮电大学 | 抗客户端dns缓存中毒攻击的方法、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130042319A1 (en) * | 2011-08-10 | 2013-02-14 | Sangfor Networks Company Limited | Method and apparatus for detecting and defending against cc attack |
CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
CN107231383A (zh) * | 2017-08-03 | 2017-10-03 | 杭州安恒信息技术有限公司 | Cc攻击的检测方法及装置 |
CN107241342A (zh) * | 2017-06-30 | 2017-10-10 | 北京奇安信科技有限公司 | 一种网络攻击串检测方法及装置 |
CN107330326A (zh) * | 2017-05-12 | 2017-11-07 | 中国科学院信息工程研究所 | 一种恶意木马检测处理方法及装置 |
CN107395553A (zh) * | 2016-05-17 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的检测方法及装置 |
-
2017
- 2017-12-28 CN CN201711464190.2A patent/CN108234472A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130042319A1 (en) * | 2011-08-10 | 2013-02-14 | Sangfor Networks Company Limited | Method and apparatus for detecting and defending against cc attack |
CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
CN105022960A (zh) * | 2015-08-10 | 2015-11-04 | 济南大学 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
CN107395553A (zh) * | 2016-05-17 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的检测方法及装置 |
CN107330326A (zh) * | 2017-05-12 | 2017-11-07 | 中国科学院信息工程研究所 | 一种恶意木马检测处理方法及装置 |
CN107241342A (zh) * | 2017-06-30 | 2017-10-10 | 北京奇安信科技有限公司 | 一种网络攻击串检测方法及装置 |
CN107231383A (zh) * | 2017-08-03 | 2017-10-03 | 杭州安恒信息技术有限公司 | Cc攻击的检测方法及装置 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111049784A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
CN111181897A (zh) * | 2018-11-13 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 攻击检测模型训练方法、攻击检测方法及系统 |
CN109257390A (zh) * | 2018-11-27 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | Cc攻击的检测方法、装置及电子设备 |
CN109257390B (zh) * | 2018-11-27 | 2021-11-05 | 杭州安恒信息技术股份有限公司 | Cc攻击的检测方法、装置及电子设备 |
CN109660533A (zh) * | 2018-12-14 | 2019-04-19 | 中国平安人寿保险股份有限公司 | 实时识别异常流量的方法、装置、计算机设备和存储介质 |
CN112910825A (zh) * | 2019-11-19 | 2021-06-04 | 华为技术有限公司 | 一种蠕虫检测方法及网络设备 |
CN112910825B (zh) * | 2019-11-19 | 2022-06-14 | 华为技术有限公司 | 一种蠕虫检测方法及网络设备 |
CN110995714A (zh) * | 2019-12-06 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
CN110995714B (zh) * | 2019-12-06 | 2022-07-26 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
CN111917787A (zh) * | 2020-08-06 | 2020-11-10 | 北京奇艺世纪科技有限公司 | 请求检测方法、装置、电子设备和计算机可读存储介质 |
CN113518064A (zh) * | 2021-03-23 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
CN113518064B (zh) * | 2021-03-23 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 |
CN113852645A (zh) * | 2021-12-02 | 2021-12-28 | 北京邮电大学 | 抗客户端dns缓存中毒攻击的方法、装置及电子设备 |
CN113852645B (zh) * | 2021-12-02 | 2022-03-29 | 北京邮电大学 | 抗客户端dns缓存中毒攻击的方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108234472A (zh) | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 | |
CN109241418B (zh) | 基于随机森林的异常用户识别方法及装置、设备、介质 | |
CN108197532B (zh) | 人脸识别的方法、装置及计算机装置 | |
CN109922032B (zh) | 用于确定登录账户的风险的方法、装置、设备及存储介质 | |
CN106022123B (zh) | 多文件恶意软件分析设备与方法 | |
CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理系统 | |
CN106716958A (zh) | 横向移动检测 | |
CN106209862A (zh) | 一种盗号防御实现方法及装置 | |
CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
CN109240875B (zh) | 一种卡顿分析方法及系统 | |
CN108491714A (zh) | 验证码的人机识别方法 | |
US20180253737A1 (en) | Dynamicall Evaluating Fraud Risk | |
CN108985048B (zh) | 模拟器识别方法及相关装置 | |
CN109951449A (zh) | 一种异常登录检测方法、装置、电子设备及存储介质 | |
JP2021502135A (ja) | ニューロン応答に基づいた人間検出の方法、システム及びコンピュータ・プログラム | |
CN109726372A (zh) | 基于通话记录的工单的生成方法、装置及计算机可读介质 | |
CN107038784A (zh) | 安全验证方法和装置 | |
CN108304447A (zh) | 异常信息的处理方法、装置、存储介质和处理器 | |
CN112003834B (zh) | 异常行为检测方法和装置 | |
CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
CN112861056A (zh) | 一种企业网站建设信息展示发布系统及方法 | |
CN112887329A (zh) | 隐藏服务溯源方法、装置及电子设备 | |
CN110019837A (zh) | 用户画像的生成方法及装置、计算机设备及可读介质 | |
CN108197203A (zh) | 一种门脸头图挑选方法、装置、服务器和存储介质 | |
US20200342095A1 (en) | Rule generaton apparatus and computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180629 |
|
RJ01 | Rejection of invention patent application after publication |