CN108270737B - 一种防范网络攻击的方法及装置 - Google Patents

一种防范网络攻击的方法及装置 Download PDF

Info

Publication number
CN108270737B
CN108270737B CN201611264552.9A CN201611264552A CN108270737B CN 108270737 B CN108270737 B CN 108270737B CN 201611264552 A CN201611264552 A CN 201611264552A CN 108270737 B CN108270737 B CN 108270737B
Authority
CN
China
Prior art keywords
channel
flow
encryption algorithm
access request
digital certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611264552.9A
Other languages
English (en)
Other versions
CN108270737A (zh
Inventor
吴朝国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201611264552.9A priority Critical patent/CN108270737B/zh
Publication of CN108270737A publication Critical patent/CN108270737A/zh
Application granted granted Critical
Publication of CN108270737B publication Critical patent/CN108270737B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防范网络攻击的方法,包括:根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;基于所述数字证书、加密算法和密钥对接入请求进行验证;对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警。本发明还公开了了一种防范网络攻击的装置。

Description

一种防范网络攻击的方法及装置
技术领域
本发明涉及互联网通信领域中的网络攻击防范技术,尤其是一种防范网络攻击的方法及装置。
背景技术
随着互联网技术的不断发展,用户越来越多的使用网络完成向通信运营商的购买或者咨询服务,同时,针对通信运营商的服务平台的攻击日益增多,并且由最初的简单号码攻击转向云化、接口攻击,导致通信运营商的服务平台无法为正常用户提供服务。现有技术针对攻击行为,通常是采用达到服务平台的流量上限时,通过限制接入流量的方式来防范网络攻击,但此方法经常导致被限流的合法用户无法通过网络访问通信运营商的服务平台,用户体验性较差。
发明内容
有鉴于此,本发明实施例期望提供一种防范网络攻击的方法及装置,能够在不增加设备成本的基础上准确监测网络流量,防范网络攻击,实现简单,适用范围更广。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种防范网络攻击的方法,包括:
根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;
基于所述数字证书、加密算法和密钥对接入请求进行验证;
对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警。
上述方案中,所述渠道码与渠道为唯一的匹配关系。
上述方案中,所述加密算法包括但不限于:DES算法、MD5算法、RSA算法。
上述方案中,所述发出告警之后进一步包括:针对所述渠道更新数字证书、加密算法和/或密钥。
上述方案中,所述对各渠道通过验证的接入请求的流量分别进行监控之前,还包括:对渠道的流量进行统计,根据统计结果设置所述渠道的流量阈值。
本发明实施例还提供了一种防范网络攻击的装置,包括:验证策略分配模块、验证模块、监控模块,其中,
验证策略分配模块,用于根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;
验证模块,用于基于所述数字证书、加密算法和密钥对接入请求进行验证;
监控模块,用于对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警。
上述方案中,所述渠道码与渠道为唯一的匹配关系。
上述方案中,所述加密算法包括但不限于:DES算法、MD5算法、RSA算法。
上述方案中,所述装置还包括:更新模块,
所述更新模块用于针对所述渠道更新数字证书、加密算法和/或密钥。
上述方案中,所述装置还包括:阈值设置模块,
所述阈值设置模块用于对渠道的流量进行统计,根据统计结果设置所述渠道的流量阈值。
本发明实施例期望提供的防范网络攻击的方法及装置,包括根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;基于所述数字证书、加密算法和密钥对接入请求进行验证;对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警。
本发明实施例能够直接识别网络攻击来源渠道,并做出防范措施,也不需要限定于特定网络中,实现简单方便,适用范围更广;并且,不影响被监网络的使用。
附图说明
图1为本发明实施例中防范网络攻击的方法实现流程示意图;
图2为本发明实施例中防范网络攻击的装置的组成结构示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明。
图1为本发明实施例中防范网络攻击的方法实现流程示意图,如图1所示,防范网络攻击的方法包括以下步骤:
步骤101:根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;
在实际应用中,合法接入网络的渠道具有可识别的渠道码,渠道与渠道码具有一一对应的匹配关系;所述渠道码可以由统一认证系统为每一个合法接入网络的渠道分配,例如移动商城的渠道码是12002,微信公众号的渠道码是12008,统一认证系统可以根据渠道码确定网络中的传输信息是针对哪个渠道的;所述数字证书与合法接入网络的渠道一一对应,而加密算法和密钥是生成数字证书及验证数字证书合法性所必不可少的,以确保传输信息的机密性、完整性及不可抵赖性;所述加密算法包括但不限于:DES算法、MD5算法、RSA算法。
步骤102:基于所述数字证书、加密算法和密钥对接入请求进行验证;
具体地,基于加密算法和密钥对数字证书进行验证,以确定接入请求的合法性。
步骤103:对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警;
在实际应用中,所述根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥之前,统一认证系统可以根据对各渠道的流量数据统计结果,设置各渠道对应的流量阈值,具体的,统一认证系统对统计周期内、如几天、几周、几个月的流量进行统计,并根据统计结果设置流量阈值;例如,统计结果为渠道微信公众号的日流量平均为200万次,分钟峰值为1300次/分钟,优选的,设置2600次/分钟的阈值;一旦监控到流量超过2600次/秒,则发出告警。
在实际应用中,例如正常情况下渠道手机营业厅的流量为500次/分钟,移动商城的流量为200次/分钟,微信公众号的流量为300次/分钟;如果检测到微信公众号流量异常,超过1000次/分钟,则可判断针对渠道微信公众号发现网络攻击;由于同一渠道在各个省份的流量也可能存在较大差别,因此,优选的,可以针对不同地域的渠道设置流量阈值。
在实际应用中,完成判断流量超过所述流量阈值的渠道之后,统一认证系统可自动针对该渠道更新加密算法和/或密钥,使用相应加密算法和/或密钥更新数字证书,例如,使用与原来相同的加密算法和不同的密钥生成新的数字证书,或使用与原来不同的加密算法和密钥生成新的数字证书;也可以由网管针对该渠道更新加密算法和/或密钥,使用相应加密算法和/或密钥更新数字证书,统一认证系统更新数字证书、加密算法和/或加密密钥。如果再有新的攻击发生,则因数字证书不对,则统一认证系统确定为非法接入请求,自动过滤,使攻击者无法通过持续攻击获取有效信息。
基于以上技术方案,即使数字证书、加密算法和/或密钥被攻击者盗取,统一认证系统也可以通过流量管控,防止大规模攻击行为的发生。
图2为本发明实施例中防范网络攻击的装置的组成结构示意图,如图2所示,为实现图1所述的方法,防范网络攻击的装置包括以下结构:验证策略分配模块201、验证模块202和监控模块203,其中,
验证策略分配模块201,用于根据接收到的接入请求中携带的渠道码,确定与所述渠道码对应的各渠道的数字证书、加密算法和密钥;
验证模块202,用于基于所述数字证书、加密算法和密钥对接入请求进行验证;
监控模块203,用于对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警。
在实际应用中,所述合法接入网络的具有可识别的渠道码,渠道与渠道码具有一一对应的匹配关系;所述验证策略分配模块201接收的渠道码是为每一个合法接入网络的渠道分配的,例如移动商城的渠道码是12002,微信公众号的渠道码是12008,验证策略分配模块201通过所述渠道码可以确定网络中的传输信息是针对哪个渠道的;所述数字证书与所述合法接入网络的渠道一一对应,而加密算法和密钥是生成数字证书及验证数字证书合法性所必不可少的,以确保所传输信息的机密性、完整性及不可抵赖性;所述加密算法包括但不限于:DES算法、MD5算法、RSA算法;
在实际应用中,所述装置还包括更新模块,所述更新模块用于针对所述渠道更新数字证书、加密算法和/或密钥;具体的,所述更新模块可以在监控模块发出告警之后,针对该渠道通过多种方式更新加密算法和/或密钥,例如,使用与原来相同的加密算法和不同的密钥生成新的数字证书,或使用与原来不同的加密算法和密钥生成新的数字证书;也可以针对该渠道更新加密算法和/或密钥,使用相应加密算法和/或密钥更新数字证书,由所述更新模块更新数字证书、加密算法和/或加密密钥。如果再有新的攻击发生,则因数字证书的数字签名不对,该攻击行为会被确定为非法接入请求,被自动过滤,使攻击者无法通过持续攻击获取有效信息。
在实际应用中,所述装置还包括阈值设置模块,所述阈值设置模块用于对渠道的流量进行统计,根据统计结果设置所述渠道的流量阈值,具体的,需要对某一个统计周期内、如几天、几周、几个月的流量进行统计,并根据统计结果设置流量监控的阈值;例如统计结果为渠道微信公众号的日流量平均为200万次,分钟峰值为1300次/分钟,优选的,设置2600次/分钟的阈值;一旦监控到流量超过2600次/秒,则发出告警。
在实际应用中,例如正常情况下渠道手机营业厅渠道的流量为500次/分钟,移动商城的流量为200次/分钟,微信公众号的流量为300次/分钟;如果检测到微信公众号流量异常,超过1000次/分钟,则可判断针对渠道微信公众号发现网络攻击;由于同一渠道在各个省份的流量也可能存在较大差别,因此,优选的,可以针对不同地域的渠道设置流量阈值。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (8)

1.一种防范网络攻击的方法,其特征在于,所述方法包括:
根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;
基于所述数字证书、加密算法和密钥对接入请求进行验证,包括:基于加密算法和密钥对数字证书进行验证,以确定接入请求的合法性;
对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警;
针对所述渠道更新数字证书、加密算法和/或密钥。
2.根据权利要求1所述的方法,其特征在于,所述渠道码与渠道为唯一的匹配关系。
3.根据权利要求1所述的方法,其特征在于,所述加密算法包括但不限于:DES算法、MD5算法、RSA算法。
4.根据权利要求1-3任一权利要求所述的方法,其特征在于,所述对各渠道通过验证的接入请求的流量分别进行监控之前,还包括:对渠道的流量进行统计,根据统计结果设置所述渠道的流量阈值。
5.一种防范网络攻击的装置,其特征在于,所述装置包括:验证策略分配模块、验证模块、监控模块,其中,
验证策略分配模块,用于根据接收到的接入请求中携带的渠道码,确定与渠道对应的数字证书、加密算法和密钥;
验证模块,用于基于所述数字证书、加密算法和密钥对接入请求进行验证,包括:基于加密算法和密钥对数字证书进行验证,以确定接入请求的合法性;
监控模块,用于对各渠道通过验证的接入请求的流量分别进行监控,当监控到的流量达到渠道对应的流量阈值时,发出告警;
更新模块,用于针对所述渠道更新数字证书、加密算法和/或密钥。
6.根据权利要求5所述的装置,其特征在于,所述渠道码与渠道为唯一的匹配关系。
7.根据权利要求5所述的装置,其特征在于,所述加密算法包括但不限于:DES算法、MD5算法、RSA算法。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:阈值设置模块,
所述阈值设置模块用于对渠道的流量进行统计,根据统计结果设置所述渠道的流量阈值。
CN201611264552.9A 2016-12-30 2016-12-30 一种防范网络攻击的方法及装置 Active CN108270737B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611264552.9A CN108270737B (zh) 2016-12-30 2016-12-30 一种防范网络攻击的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611264552.9A CN108270737B (zh) 2016-12-30 2016-12-30 一种防范网络攻击的方法及装置

Publications (2)

Publication Number Publication Date
CN108270737A CN108270737A (zh) 2018-07-10
CN108270737B true CN108270737B (zh) 2021-03-16

Family

ID=62753856

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611264552.9A Active CN108270737B (zh) 2016-12-30 2016-12-30 一种防范网络攻击的方法及装置

Country Status (1)

Country Link
CN (1) CN108270737B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257653A (zh) * 2021-12-24 2022-03-29 中国工商银行股份有限公司 一种流量数据处理方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090331A (zh) * 2006-06-16 2007-12-19 鸿富锦精密工业(深圳)有限公司 具有保护功能的无线局域网络系统及其防攻击的方法
CN101425903A (zh) * 2008-07-16 2009-05-06 冯振周 一种基于身份的可信网络架构
CN102510386A (zh) * 2011-12-26 2012-06-20 山石网科通信技术(北京)有限公司 分布式攻击阻止方法及装置
CN103618610A (zh) * 2013-12-06 2014-03-05 上海千贯节能科技有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN104270376A (zh) * 2014-10-13 2015-01-07 浪潮电子信息产业股份有限公司 一种平台完整性的证明方法
CN104955043A (zh) * 2015-06-01 2015-09-30 成都中科创达软件有限公司 一种智能终端安全防护系统
CN105491067A (zh) * 2016-01-08 2016-04-13 腾讯科技(深圳)有限公司 基于密钥的业务安全性验证方法及装置
CN105763560A (zh) * 2016-04-15 2016-07-13 北京思特奇信息技术股份有限公司 一种Web Service接口流量实时监控方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8341724B1 (en) * 2008-12-19 2012-12-25 Juniper Networks, Inc. Blocking unidentified encrypted communication sessions
CN103379090B (zh) * 2012-04-12 2018-10-30 腾讯科技(北京)有限公司 一种开放平台访问的频率控制方法和系统、频率服务器
CN102970299B (zh) * 2012-11-27 2015-06-03 西安电子科技大学 文件安全保护系统及其方法
CN105471835A (zh) * 2015-08-03 2016-04-06 汉柏科技有限公司 提升防火墙处理性能的方法及系统
CN105245336B (zh) * 2015-11-12 2019-01-18 南威软件股份有限公司 一种文档加密管理系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090331A (zh) * 2006-06-16 2007-12-19 鸿富锦精密工业(深圳)有限公司 具有保护功能的无线局域网络系统及其防攻击的方法
CN101425903A (zh) * 2008-07-16 2009-05-06 冯振周 一种基于身份的可信网络架构
CN102510386A (zh) * 2011-12-26 2012-06-20 山石网科通信技术(北京)有限公司 分布式攻击阻止方法及装置
CN103618610A (zh) * 2013-12-06 2014-03-05 上海千贯节能科技有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN104270376A (zh) * 2014-10-13 2015-01-07 浪潮电子信息产业股份有限公司 一种平台完整性的证明方法
CN104955043A (zh) * 2015-06-01 2015-09-30 成都中科创达软件有限公司 一种智能终端安全防护系统
CN105491067A (zh) * 2016-01-08 2016-04-13 腾讯科技(深圳)有限公司 基于密钥的业务安全性验证方法及装置
CN105763560A (zh) * 2016-04-15 2016-07-13 北京思特奇信息技术股份有限公司 一种Web Service接口流量实时监控方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Study on Open APIs of e-Commerce Platforms and Design of A Third Party Application for Taobao;Chunhui Piao等;《IEEE International Conference on E-Business Engineering》;20101231;正文第II-III节 *
基于流量牵引和陷阱系统的DDoS防御技术;吴潇等;《合肥工业大学学报( 自然科学版)》;20080131;全文 *

Also Published As

Publication number Publication date
CN108270737A (zh) 2018-07-10

Similar Documents

Publication Publication Date Title
CN108768988B (zh) 区块链访问控制方法、设备及计算机可读存储介质
EP2950506B1 (en) Method and system for establishing a secure communication channel
CN109687965B (zh) 一种保护网络中用户身份信息的实名认证方法
US7886355B2 (en) Subsidy lock enabled handset device with asymmetric verification unlocking control and method thereof
JP4199074B2 (ja) 安全なデータ通信リンクのための方法と装置
CN103109495B (zh) 用于认证并登记设备的方法
US20180007025A1 (en) Method for key rotation
CN107493273A (zh) 身份认证方法、系统及计算机可读存储介质
US20080003980A1 (en) Subsidy-controlled handset device via a sim card using asymmetric verification and method thereof
CN109361508B (zh) 数据传输方法、电子设备及计算机可读存储介质
CN105447715A (zh) 用于与第三方合作的防盗刷电子优惠券的方法和装置
CN102438044A (zh) 一种基于云计算的数字内容可信使用控制方法
GB2454641A (en) Security in a telecommunications network
JP2009296576A (ja) ブロードキャストのメッセージを認証する方法および装置
CN108768635A (zh) 一种适用于物联网系统的密码标识管理模型及方法
CN104735054A (zh) 数字家庭设备可信接入平台及认证方法
CN111614686B (zh) 一种密钥管理方法、控制器及系统
CN111614684B (zh) 工业设备安全终端认证系统和认证方法
CN110445782B (zh) 一种多媒体安全播控系统及方法
CN114040401B (zh) 终端认证方法及系统
KR101358375B1 (ko) 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법
CN104486322A (zh) 终端接入认证授权方法及终端接入认证授权系统
KR100858975B1 (ko) 전자감시 방법 및 그 시스템
CN108270737B (zh) 一种防范网络攻击的方法及装置
KR20130100032A (ko) 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100032 Beijing Finance Street, No. 29, Xicheng District

Applicant after: CHINA MOBILE COMMUNICATIONS GROUP Co.,Ltd.

Address before: 100032 Beijing Finance Street, No. 29, Xicheng District

Applicant before: China Mobile Communications Corp.

CB02 Change of applicant information
TA01 Transfer of patent application right

Effective date of registration: 20200407

Address after: Room 1006, building 16, yard 16, Yingcai North Third Street, future science city, Changping District, Beijing 100032

Applicant after: China Mobile Information Technology Co.,Ltd.

Applicant after: CHINA MOBILE COMMUNICATIONS GROUP Co.,Ltd.

Address before: 100032 Beijing Finance Street, No. 29, Xicheng District

Applicant before: CHINA MOBILE COMMUNICATIONS GROUP Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant