CN108449368A - 一种应用层攻击检测方法、装置和电子设备 - Google Patents
一种应用层攻击检测方法、装置和电子设备 Download PDFInfo
- Publication number
- CN108449368A CN108449368A CN201810672511.6A CN201810672511A CN108449368A CN 108449368 A CN108449368 A CN 108449368A CN 201810672511 A CN201810672511 A CN 201810672511A CN 108449368 A CN108449368 A CN 108449368A
- Authority
- CN
- China
- Prior art keywords
- client
- request
- request message
- server
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 82
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000012795 verification Methods 0.000 claims description 87
- 230000002159 abnormal effect Effects 0.000 claims description 66
- 230000002633 protecting effect Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 206010033799 Paralysis Diseases 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种应用层攻击检测方法、装置和电子设备,应用于网络防护端,其中,该方法包括:接收客户端发送的携带有访问链接的请求消息;获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。本申请实施例根据获取的历史请求消息的请求次数,以及,获取的服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,从而达到防护服务器的目的,检测方法更加完善,防护效果更好。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种应用层攻击检测方法、装置和电子设备。
背景技术
随着互联网的迅速发展,人们对于网络的使用和依赖程度日益加深,关于网络安全的问题也随之而来,特别是服务器或者计算机主机遭受网络攻击事件层出不穷,例如网站的应用层攻击。应用层攻击主要通过向目标服务器提交大量服务请求,使服务器处理不过来而瘫痪,从而可能拒绝为正常客户端提供服务。例如,12306火车票订票系统,放票时间会出现大量用户同时访问,导致瘫痪的情况,这种访问对网站服务器是一个巨大的挑战。
现有的应对应用层攻击的方式主要是通过提高服务器的处理能力,从而避免在大量客户端同时访问时出现瘫痪的情况,然而,服务器的处理能力有限,对于僵尸主机控制大量傀儡机发起的攻击行为,通过提高服务器处理能力的方式往往难以奏效。
申请内容
有鉴于此,本申请的目的在于提供一种应用层攻击检测方法、装置和电子设备,以检测攻击客户端,提高防护服务器的能力。
第一方面,本申请实施例提供了一种应用层攻击检测方法,
应用于网络防护端,包括:
接收客户端发送的携带有访问链接的请求消息;
获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;
基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端的请求消息转发至所述服务器。
在这里,接收客户端发送的携带有访问链接的请求消息之后,将所述客户端发送的携带有访问链接的请求消息的请求次数加1,然后保存增加后所述客户端发送的携带有访问链接的请求消息的请求次数。
结合第一方面,本申请实施例提供了第一方面的第一种可能的实施方式,其中,
所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端的请求消息转发至所述服务器,包括:
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则拒绝将所述客户端的请求消息转发至所述服务器。
结合第一方面,本申请实施例提供了第一方面的第二种可能的实施方式,其中,
所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,还包括:
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则向所述客户端发送验证信息,以判断是否将所述请求消息转发至所述服务器。
结合第一方面的第二种可能的实施方式,本申请实施例提供了第一方面的第三种可能的实施方式,其中,
所述向所述客户端发送验证信息之后,还包括:
若接收到所述客户端针对所述验证信息提交的验证应答信息,则提取所述验证应答信息中的验证码;
若所述验证码与预设验证码不同,则拒绝将所述客户端请求消息转发至所述服务器;
若所述验证码与预设验证码相同,则将所述客户端的请求消息转发至所述服务器。
结合第一方面的第二种可能的实施方式,本申请实施例提供了第一方面的第四种可能的实施方式,其中,
所述向所述客户端发送验证信息之后,还包括:
若未接收到所述客户端针对所述验证信息提交的验证应答信息,则拒绝将所述请求消息转发至所述服务器。
第二方面,本申请实施例还提供了一种应用层攻击检测装置,包括:
接收模块:用于接收客户端发送的携带有访问链接的请求消息;
第一获取模块,用于获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数;
第二获取模块,用于获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;
判断模块,用于基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。
结合第二方面,本申请实施例提供了第二方面的第一种可能的实施方式,其中,
所述判断模块,用于根据所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,判断是否将所述请求消息转发至服务器。
结合第二方面,本申请实施例提供了第二方面的第二种可能的实施方式,其中,还包括第一计数模块、第一保存模块、第二计数模块和第二保存模块,
所述第一计数模块,用于在接收客户端发送的携带有访问链接的请求消息之后,将所述客户端发送的携带有访问链接的历史请求消息的请求次数加1;
所述第一保存模块,用于在接收客户端发送的携带有访问链接的请求消息之后,保存增加后所述客户端发送的携带有访问链接的历史请求消息的请求次数;
所述第二计数模块,用于在接收服务器针对所述请求消息返回的应答消息之后,将所述服务器针对所述历史请求消息返回的应答消息中存在异常码的次数加1;
所述第二保存模块,用于在接收服务器针对所述请求消息返回的历史应答消息之后,保存增加后所述服务器针对所述请求消息返回的历史应答消息中存在异常码的次数。
结合第二方面,本申请实施例提供了第二方面的第三种可能的实施方式,其中,
还包括发送模块、提取模块和子判断模块,
所述发送模块,若所述请求次数大于预设请求次数阈值,或者,所述历史应答消息中存在异常码的次数大于预设异常次数阈值,用于向所述客户端发送验证信息;
所述提取模块,若接收到所述客户端针对所述验证信息提交的验证应答信息,用于提取所述验证应答信息中的验证码;
所述子判断模块,用于根据所述验证码是否正确,判断所述是否将所述请求消息转发至所述服务器。
第三方面,本申请实施例还提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当网络侧设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时,执行上述任一项所述的方法。
第四方面,本申请实施例还提供了一种所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述任一所述的方法。
本申请实施例提供的一种应用层攻击检测方法、装置和电子设备,应用于网络防护端,根据获取的客户端发送的携带有访问链接的历史请求消息的请求次数,以及,获取的服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,因此可以针对攻击客户端的恶意请求拒绝转发其发送的请求消息,从而达到防护服务器的目的,本申请实施例提供的应用层攻击检测方法,可以在访问链接的请求次数以及异常码的次数同时满足判断条件的情况下,判断发送请求消息的客户端是否为攻击客户端,同时可以针对请求消息中的某一特定访问链接判断发送请求消息的客户端是否为攻击客户端。相对于只根据客户端发送的请求消息次数判断其是否为攻击客户端的检测方法,不仅增加了对攻击客户端的筛选步骤,避免了非攻击客户端因请求次数过多被误判为攻击客户端的情况,还可以针对特定的访问链接对攻击客户端进行防护。本申请实施例提供的应用层攻击检测方法既可以筛选出真正的攻击客户端,也保证了非攻击客户端的正常请求需求。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例一所提供的一种应用层攻击检测方法的流程图;
图2示出了本申请实施例二所提供的另一种应用层攻击检测方法的流程图;
图3示出了本申请实施例所提供的一种应用层攻击检测装置的结构示意图;
图4示出了本申请实施例所提供的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
考虑到现有的应对应用层攻击的方式主要是通过提高服务器的处理能力,从而避免在大量客户端同时访问时出现瘫痪的情况,然而,服务器的处理能力有限,对于僵尸主机控制大量傀儡机发起的攻击行为,通过提高服务器处理能力的方式往往难以奏效。基于此,本申请实施例提供了一种应用层攻击检测方法、装置和电子设备,下面通过实施例进行描述。
实施例一
S101:接收客户端发送的携带有访问链接的请求消息。
这里,网络防护端可以接收客户端发送的请求消息。在接收到客户端发送的请求消息之后,网络防护端可以判断在此之前是否接收过携带有相同访问链接的请求消息。若网络防护端确定在此之前接收过携带有相同访问链接的请求消息,则可以在记录的携带有该访问链接的请求消息的历史请求次数上加1。若网络防护端确定在此之前未接收过携带有相同访问链接的请求消息,则可以记录携带该访问链接的请求消息,将携带该访问链接的请求消息的请求次数置为1,并保存此请求次数。
例如,客户端发送携带有访问A网站的login.php网址的请求消息,若网络防护端接收该请求消息之后,确定在此之前未接收过携带有的访问A网站的login.php网址,则将携带该访问链接的请求消息的请求次数置为1;若网络防护端接收该请求消息之后,确定在此之前接收过携带访问A网站的login.php网址的请求消息的请求次数为10次,则记录该请求消息的请求次数为11次,并保存此请求次数。
S102:获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数。
这里,网络防护端是在预设周期内获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,例如,可以设定预设周期为10分钟。
这里,在具体实施中,如果网络防护端确定上述请求消息的访问次数未超过预设请求次数阈值,则在获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数之前,网络防护端可以将所述请求消息转发给所述服务器。若所述服务器确定存在与该请求消息中携带的访问链接对应的页面时,所述服务器可以向所述网络防护端返回码200和与该访问链接对应的页面内容。这里,返回码200表示所述服务器成功处理了网络防护端转发的所述请求消息。若所述服务器确定不存在与该请求消息中携带的访问链接对应的页面时,所述服务器向所述网络防护端返回异常码,例如,异常码400、异常码403、异常码500、异常码501。
S103:基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。
这里,网络防护端基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端再次发送的请求消息转发至所述服务器。若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则攻击防护端可以确定该客户端为异常或恶意客户端,进而可以拒绝转发该客户端再次发送的请求消息。
一些实施方式中,网络防护端还可以基于客户端发送请求消息的请求次数,或者,基于服务器针对该客户端的请求消息返回的应答消息中存在异常码的次数,判断该客户端是否为异常或恶意客户端。
一些实施方式中,若该客户端的请求消息的请求次数大于预设请求次数阈值,且对该请求消息返回的应答消息中存在异常码的次数大于预设异常码次数阈值,则网络防护端可以向所述客户端发送验证信息。这里,所述验证消息可以为图片验证码。
在网络防护端向所述客户端发送验证信息之后,若接收到所述客户端针对所述验证信息提交的验证应答信息,所述网络防护端提取所述验证应答信息中的验证码;若所述验证码与预设的验证码不同,则拒绝将所述客户端再次发送的请求消息转发至所述服务器;若所述验证码与预设的验证码相同,则将所述客户端的请求消息转发至所述服务器。
如果在向所述客户端发送验证信息之后,网络防护端未接收到所述客户端针对所述验证信息提交的验证应答信息,则确定所述客户端为攻击客户端,拒绝将该客户端再次发送的请求消息转发至所述服务器,并在一段时间内不再转发该客户端的请求消息,或断开与该客户端的连接。
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则确定所述客户端为攻击客户端,拒绝将该客户端再次发送的请求消息转发至所述服务器,并在一段时间内不再转发该客户端的请求消息。
实施例二
S201:客户端发送携带有访问链接的请求消息。
这里,所述客户端可以通过超文本传输协议HTTP请求发送携带有访问链接的请求消息。所述访问链接为所述客户端访问某个网站中某个页面的网址。
S202:网络防护端将接收到的所述客户端发送携带有访问链接的请求消息发送至服务器,并获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数。
这里,网络防护端可以接收客户端发送的请求消息。在接收到请求消息之后,网络防护端可以判断在此之前是否接受过携带有相同访问链接的请求消息。若网络防护端确定在此之前接受过携带有相同访问链接的请求消息,则可以在记录的携带有该访问链接的请求消息的历史请求次数上加1。若网络防护端确定在此之前未接受过携带有相同访问链接的请求消息,则可以记录携带该访问链接的请求消息,并将携带该访问链接的请求消息的请求次数置为1,并保存此请求次数。
这里,所述网络防护端可以获取第一预设周期内内的述客户端发送的携带有所述访问链接的历史请求消息的请求次数,如可以设定第一预设周期为10分钟。
具体如,客户端发送携带有访问A网站的login.php网址的请求消息,若网络防护端接收该请求消息之后,确定在此之前未接收过携带有的访问A网站的login.php网址,则将携带该访问链接的请求消息的请求次数置为1;若网络防护端接收该请求消息之后,确定在此之前接收过携带访问A网站的login.php网址的请求消息的请求次数为10次,则记录该请求消息的请求次数为11次,并保存此请求次数。
S203:所述服务器针对所述携带有访问链接的请求消息向所述网络防护端返回应答消息。
这里,所述服务器接收网络防护端发送的所述携带有访问链接的请求消息之后,所述服务器检查自己网站是否含有与该访问链接对应的页面。
若所述服务器确定存在与该访问链接对应的页面时,则所述服务器可以向所述网络防护端返回码200和与该访问链接对应的页面。这里,返回码200表示所述服务器成功处理了网络防护端转发的所述请求消息。若所述服务器确定不存在与该访问链接对应的页面时,则服务器可以向所述网络防护端返回异常码,例如,异常码400、异常码403、异常码500、异常码501。
S204:所述网络防护端获取所述服务器针对所述请求消息返回的历史应答消息中存在异常码。
这里,所述网络防护端可以获取第二预设周期内所述服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,这里,第二预设周期可以与第一预设周期相同,并且第二预设周期可以与第一预设周期的开始时间相同。例如,第一预设周期开始时间为00:05:00,第一预设周期时长为10分钟,同样可以设定第二预设周期开始时间为00:05:00,时长为10分钟。
S205:若所述请求消息的请求次数大于预设请求次数阈值,且所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,所述网络防护端向所述客户端发送验证信息。
例如,预设请求次数阈值为50次,预设异常码次数阈值为40个,所述请求消息的请求次数为60次,并且所述历史应答消息中存在异常码的次数为45个。
所述验证消息为图片验证码,例如,根据图片中的文字提示,在所有图片中选择同一类型的图片。
S206:所述客户端针对所述验证信息提交验证应答信息。
例如,所述客户端根据图片中的文字提示,在验证框内填写所选的同一类型的图片的序号。
S207:所述网络防护端接收所述客户端针对所述验证信息提交的验证应答信息,并提取所述验证应答信息中的验证码。
这里,若未接收到所述客户端针对所述验证信息提交的验证应答信息,则所述网络防护端拒绝将该客户端再次发送的请求消息转发至所述服务器,并在一段时间内不再转发该客户端的请求消息。
S208:若所述验证码与预设的验证码相同,则所述网络防护端将所述客户端的请求消息转发至所述服务器。
S209:若所述验证码与预设的验证码不同,则所述网络防护端拒绝将所述客户端再次发送的请求消息转发至所述服务器。
在具体实施中,若所述验证码与预设的验证码不同,所述网络防护端则确定所述客户端为攻击客户端,则拒绝将该客户端再次发送的请求消息转发至所述服务器,并在一段时间内不再转发该客户端的请求消息。
实施例三
本申请实施例三提供的一种应用层攻击检测装置的结构如图所示,所述的一种应用层攻击检测装置包括:接收模块、第一获取模块、第二获取模块、判断模块;其中,
接收模块:用于接收客户端发送的携带有访问链接的请求消息;
第一获取模块,用于获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数;
第二获取模块,用于获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;
判断模块,用于基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。
具体地,所述判断模块,用于根据所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,判断是否将所述客户端再次发送的请求消息转发至服务器。
进一步地,所述一种应用层攻击检测装置还包括:包括第一计数模块、第一保存模块、第二计数模块和第二保存模块,
所述第一计数模块,用于在接收客户端发送的携带有访问链接的请求消息之后,将所述客户端发送的携带有访问链接的历史请求消息的请求次数加1;
所述第一保存模块,用于在接收客户端发送的携带有访问链接的请求消息之后,保存增加后所述客户端发送的携带有访问链接的历史请求消息的请求次数;
所述第二计数模块,用于在接收服务器针对所述请求消息返回的应答消息之后,将所述服务器针对所述历史请求消息返回的应答消息中存在异常码的次数加1;
所述第二保存模块,用于在接收服务器针对所述请求消息返回的历史应答消息之后,保存增加后所述服务器针对所述请求消息返回的历史应答消息中存在异常码的次数。
进一步地,所述一种应用层攻击检测装置还包括:发送模块、提取模块和子判断模块,
所述发送模块,若所述请求次数大于预设请求次数阈值,或者,所述历史应答消息中存在异常码的次数大于预设异常次数阈值,用于向所述客户端发送验证信息;
所述提取模块,若接收到所述客户端针对所述验证信息提交的验证应答信息,用于提取所述验证应答信息中的验证码;
所述子判断模块,用于根据所述验证码是否与预设的验证码相同,判断所述是否将所述客户端再次发送的请求消息转发至所述服务器。
实施例四
如图所示,为本申请实施例四所提供的一种电子设备的结构示意图,包括处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当网络侧设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时,所述机器可读指令被所述处理器执行时执行如下处理:
接收客户端发送的携带有访问链接的请求消息;
获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;
基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端的请求消息转发至所述服务器。
在具体实施中,上述处理器执行的处理中,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述客户端的请求消息转发至所述服务器,包括:
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则拒绝将所述客户端再次发送的请求消息转发至所述服务器。
在具体实施中,上述处理器执行的处理中,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,还包括:
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则向所述客户端发送验证信息,以判断是否将所述请求消息转发至所述服务器。
在具体实施中,上述处理器执行的处理中,所述向所述客户端发送验证信息之后,还包括:
若接收到所述客户端针对所述验证信息提交的验证应答信息,则提取所述验证应答信息中的验证码;
若所述验证码与预设的验证码不同,则拒绝将所述客户端再次发送的请求消息转发至所述服务器;
若所述验证码与预设的验证码相同,则将所述客户端的请求消息转发至所述服务器。
在具体的实施过程中,上述处理器执行的处理中,所述向所述客户端发送验证信息之后,还包括:
若未接收到所述客户端针对所述验证信息提交的验证应答信息,则拒绝将所述客户端再次发送的请求消息转发至所述服务器。
实施例五
本申请实施例五还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述一种应用层攻击检测方法的步骤。
基于上述分析可知,与现有应对应用层攻击的方式相比,本申请实施例提供的一种应用层攻击检测方法、装置和电子设备,应用于网络防护端,根据获取的客户端发送的携带有访问链接的历史请求消息的请求次数,以及,获取的服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,从而达到防护服务器的目的,本申请实施例提供的应用层攻击检测方法,可以在访问链接的请求次数以及异常码的次数同时满足判断条件的情况下,判断发送请求消息的客户端是否为攻击客户端,同时可以针对请求消息中的某一特定访问链接判断发送请求消息的客户端是否为攻击客户端。不仅增加了对攻击客户端的筛选步骤,避免了非攻击客户端因请求次数过多被误判为攻击客户端的情况,还可以针对特定的访问链接对攻击客户端进行防护。本申请实施例提供的应用层攻击检测方法既可以筛选出真正的攻击客户端,也保证了非攻击客户端的正常请求需求。
本申请实施例所提供的进行应用层攻击检测的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
本申请实施例所提供的一种应用层攻击检测装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种应用层攻击检测方法,其特征在于,应用于网络防护端,包括:
接收客户端发送的携带有访问链接的请求消息;
获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数,以及,获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;
基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。
2.根据权利要求1所述的方法,其特征在于,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,包括:
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则拒绝将所述请求消息转发至所述服务器。
3.根据权利要求1所述的方法,其特征在于,所述基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器,还包括:
若所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,则向所述客户端发送验证信息,以判断是否将所述请求消息转发至所述服务器。
4.根据权利要求3所述的方法,其特征在于,所述向所述客户端发送验证信息之后,还包括:
若接收到所述客户端针对所述验证信息提交的验证应答信息,则提取所述验证应答信息中的验证码;
若所述验证码与预设的验证码不同,则拒绝将所述客户端的请求消息转发至所述服务器;
若所述验证码与预设的验证码相同,则将所述客户端的请求消息转发至所述服务器。
5.根据权利要求3所述的方法,其特征在于,所述向所述客户端发送验证信息之后,还包括:
若未接收到所述客户端针对所述验证信息提交的验证应答信息,则拒绝将所述客户端的请求消息转发至所述服务器。
6.一种应用层攻击检测装置,其特征在于,包括:
接收模块,用于接收客户端发送的携带有访问链接的请求消息;
第一获取模块,用于获取所述客户端发送的携带有所述访问链接的历史请求消息的请求次数;
第二获取模块,用于获取服务器针对所述历史请求消息返回的历史应答消息中存在异常码的次数;
判断模块,用于基于所述请求次数以及所述历史应答消息中存在异常码的次数,判断是否将所述请求消息转发至所述服务器。
7.根据权利要求6所述的装置,其特征在于:
所述判断模块,用于根据所述请求次数大于预设请求次数阈值,并且,所述历史应答消息中存在异常码的次数大于预设异常码次数阈值,判断是否将所述请求消息转发至服务器。
8.根据权利要求6所述的装置,其特征在于,还包括:第一计数模块、第一保存模块、第二计数模块和第二保存模块,
所述第一计数模块,用于在接收客户端发送的携带有访问链接的请求消息之后,将所述客户端发送的携带有访问链接的历史请求消息的请求次数加1;
所述第一保存模块,用于在接收客户端发送的携带有访问链接的请求消息之后,保存增加后所述客户端发送的携带有访问链接的历史请求消息的请求次数;
所述第二计数模块,用于在接收服务器针对所述请求消息返回的应答消息之后,将所述服务器针对所述历史请求消息返回的应答消息中存在异常码的次数加1;
所述第二保存模块,用于在接收服务器针对所述请求消息返回的历史应答消息之后,保存增加后所述服务器针对所述请求消息返回的历史应答消息中存在异常码的次数。
9.根据权利要求6所述的装置,其特征在于,还包括:发送模块、提取模块和子判断模块;其中,
所述发送模块,若所述请求次数大于预设请求次数阈值,或者,所述历史应答消息中存在异常码的次数大于预设异常次数阈值,用于向所述客户端发送验证信息;
所述提取模块,若接收到所述客户端针对所述验证信息提交的验证应答信息,用于提取所述验证应答信息中的验证码;
所述子判断模块,用于根据所述验证码是否正确,判断所述是否将所述请求消息转发至所述服务器。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当网络侧设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时,执行权利要求1至5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810672511.6A CN108449368A (zh) | 2018-06-26 | 2018-06-26 | 一种应用层攻击检测方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810672511.6A CN108449368A (zh) | 2018-06-26 | 2018-06-26 | 一种应用层攻击检测方法、装置和电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108449368A true CN108449368A (zh) | 2018-08-24 |
Family
ID=63206905
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810672511.6A Pending CN108449368A (zh) | 2018-06-26 | 2018-06-26 | 一种应用层攻击检测方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108449368A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110336815A (zh) * | 2019-07-04 | 2019-10-15 | 深圳前海微众银行股份有限公司 | 基于区块链的攻击防御方法、装置、设备及可读存储介质 |
CN110784467A (zh) * | 2019-10-29 | 2020-02-11 | 维沃移动通信有限公司 | 一种消息中的网络链接处理方法、电子设备 |
CN110995848A (zh) * | 2019-12-10 | 2020-04-10 | 北京海益同展信息科技有限公司 | 一种服务治理方法、装置、系统、电子设备及存储介质 |
CN112035802A (zh) * | 2020-09-09 | 2020-12-04 | 深圳市同行者科技有限公司 | 一种防止软件异常激活的方法、装置及系统 |
CN113233269A (zh) * | 2021-05-12 | 2021-08-10 | 广州广日电梯工业有限公司 | 电梯网络受攻击的诊断方法以及诊断装置 |
CN113660215A (zh) * | 2021-07-26 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于Web应用防火墙的攻击行为检测方法以及装置 |
CN114679320A (zh) * | 2022-03-29 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种服务器防护方法、装置及可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN103297291A (zh) * | 2013-05-08 | 2013-09-11 | 携程计算机技术(上海)有限公司 | 网站实时状态监控方法及系统 |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
US9699754B1 (en) * | 2016-01-20 | 2017-07-04 | Sprint Spectrum L.P. | Control mechanism for decommissioned wireless devices |
CN107438079A (zh) * | 2017-08-18 | 2017-12-05 | 杭州安恒信息技术有限公司 | 一种网站未知异常行为的检测方法 |
-
2018
- 2018-06-26 CN CN201810672511.6A patent/CN108449368A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN103297291A (zh) * | 2013-05-08 | 2013-09-11 | 携程计算机技术(上海)有限公司 | 网站实时状态监控方法及系统 |
US9699754B1 (en) * | 2016-01-20 | 2017-07-04 | Sprint Spectrum L.P. | Control mechanism for decommissioned wireless devices |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN107438079A (zh) * | 2017-08-18 | 2017-12-05 | 杭州安恒信息技术有限公司 | 一种网站未知异常行为的检测方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110336815A (zh) * | 2019-07-04 | 2019-10-15 | 深圳前海微众银行股份有限公司 | 基于区块链的攻击防御方法、装置、设备及可读存储介质 |
CN110336815B (zh) * | 2019-07-04 | 2024-06-07 | 深圳前海微众银行股份有限公司 | 基于区块链的攻击防御方法、装置、设备及可读存储介质 |
CN110784467A (zh) * | 2019-10-29 | 2020-02-11 | 维沃移动通信有限公司 | 一种消息中的网络链接处理方法、电子设备 |
CN110784467B (zh) * | 2019-10-29 | 2021-10-26 | 维沃移动通信有限公司 | 一种消息中的网络链接处理方法、电子设备 |
CN110995848A (zh) * | 2019-12-10 | 2020-04-10 | 北京海益同展信息科技有限公司 | 一种服务治理方法、装置、系统、电子设备及存储介质 |
CN110995848B (zh) * | 2019-12-10 | 2022-09-06 | 京东科技信息技术有限公司 | 一种服务治理方法、装置、系统、电子设备及存储介质 |
CN112035802A (zh) * | 2020-09-09 | 2020-12-04 | 深圳市同行者科技有限公司 | 一种防止软件异常激活的方法、装置及系统 |
CN113233269A (zh) * | 2021-05-12 | 2021-08-10 | 广州广日电梯工业有限公司 | 电梯网络受攻击的诊断方法以及诊断装置 |
CN113660215A (zh) * | 2021-07-26 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于Web应用防火墙的攻击行为检测方法以及装置 |
CN114679320A (zh) * | 2022-03-29 | 2022-06-28 | 杭州安恒信息技术股份有限公司 | 一种服务器防护方法、装置及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108449368A (zh) | 一种应用层攻击检测方法、装置和电子设备 | |
US9900346B2 (en) | Identification of and countermeasures against forged websites | |
US9123027B2 (en) | Social engineering protection appliance | |
US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
CN105939326B (zh) | 处理报文的方法及装置 | |
CN109660556B (zh) | 基于信息安全的用户登陆方法、装置、设备和存储介质 | |
US10574697B1 (en) | Providing a honeypot environment in response to incorrect credentials | |
US20130007882A1 (en) | Methods of detecting and removing bidirectional network traffic malware | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
WO2012101623A1 (en) | Web element spoofing prevention system and method | |
CN102413105A (zh) | 防范cc攻击的方法和装置 | |
TW201414260A (zh) | 惡意訊息之偵測及處理 | |
KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
CN105635064B (zh) | Csrf攻击检测方法及装置 | |
EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
WO2014114127A1 (en) | Method, apparatus and system for webpage access control | |
JP6564137B2 (ja) | 検知装置、検知方法、検知システム、および検知プログラム | |
Waziri | Website forgery: Understanding phishing attacks and nontechnical Countermeasures | |
CN110502896B (zh) | 一种网站信息的泄露监测方法、系统及相关装置 | |
EP3195140A1 (en) | Malicious message detection and processing | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
CN111835782A (zh) | 网络设备的登录防护方法、装置、存储介质和处理器 | |
CN114301711B (zh) | 防暴刷方法、装置、设备、存储介质及计算机程序产品 | |
CN111371743A (zh) | 一种安全防御方法、装置及系统 | |
CN114866277A (zh) | 一种应用访问方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180824 |
|
RJ01 | Rejection of invention patent application after publication |