CN108632205B - 一种针对多种攻击的智能拦截方法和系统 - Google Patents

一种针对多种攻击的智能拦截方法和系统 Download PDF

Info

Publication number
CN108632205B
CN108632205B CN201710160914.8A CN201710160914A CN108632205B CN 108632205 B CN108632205 B CN 108632205B CN 201710160914 A CN201710160914 A CN 201710160914A CN 108632205 B CN108632205 B CN 108632205B
Authority
CN
China
Prior art keywords
characteristic
access request
network access
value
characteristic ginseng
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710160914.8A
Other languages
English (en)
Other versions
CN108632205A (zh
Inventor
汪海
丛磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shuan Xinyun Information Technology Co ltd
Original Assignee
Beijing Shuan Xin Yun Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shuan Xin Yun Information Technology Co Ltd filed Critical Beijing Shuan Xin Yun Information Technology Co Ltd
Priority to CN201710160914.8A priority Critical patent/CN108632205B/zh
Publication of CN108632205A publication Critical patent/CN108632205A/zh
Application granted granted Critical
Publication of CN108632205B publication Critical patent/CN108632205B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种针对多种攻击的智能拦截方法和系统。所述方法包括:获取网络访问请求的信息;基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法,并计算设定时间段内的至少一个特征参数值;根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则,基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。本发明的方法和系统可以有效地应对各种攻击,同时大大降低了误拦率,此外,还可以降低访问响应时间。

Description

一种针对多种攻击的智能拦截方法和系统
技术领域
本发明涉及无线网络通信领域,尤其涉及一种针对多种攻击的智能拦截方法和系统。
背景技术
目前,大部分防火墙通常采用频率统计的方式来识别恶意访问源IP,但是这种方法功能过于简单,容易带来误杀。而且,传统的防火墙串行部署在传输网络访问请求的路径中,防火墙的输入为用户的流量,根据用户的流量,并依照特定的规则,允许或是限制传输的数据通过。采用这种方式的防火墙,基于流量确定拦截对象的方式相对固定,不能灵活应对各种不同的攻击行为。另外,在确定需要拦截的对象时,需要用户的流量传输通过防火墙,会增加访问响应时间。
因此,需要一种能够灵活应对各种不同攻击行为,且能够精确判断出拦截对象从而降低误拦率,同时还能降低访问响应时间的拦截方法,以进行有效的防御。
发明内容
为了解决现有技术中存在的问题,本发明提出了一种能够灵活应对各种不同的攻击行为,且能够精确判断出拦截对象从而降低误拦率,同时还能降低访问响应时间的拦截方法和系统。
根据本发明的一个方面,提供了一种针对多种攻击的智能拦截方法,所述方法包括:
获取网络访问请求的信息;
基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法,并计算设定时间段内的至少一个特征参数值;
根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则,基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。
其中,所述网络访问请求的信息为所述网络访问请求的日志信息。
其中,计算设定时间段内的至少一个特征参数值包括下述方式中之一:
方式一,计算与发出所述网络访问请求的源IP相关的至少一个特征参数值;
方式二,计算与所述网络访问请求指向的目标域名相关的至少一个特征参数值;
方式三,计算与发出所述网络访问请求的源IP和所述网络访问请求指向的目标域名相关的至少一个特征参数值。
其中,所述判断规则包括下述方式中之一:
方式一,选取一个特征参数时,针对该特征参数设定阈值,若计算的设定时间段内的特征参数值大于针对该特征参数的设定阈值,则确定与该特征参数值相关的源IP为拦截目标;
方式二,选取多个特征参数时,针对选取的每个特征参数设定阈值,将每个计算的特征参数值分别与相应的设定阈值比较,当一特征参数值大于相应的设定阈值时比较结果为真,当一特征参数值小于或等于相应的设定阈值时比较结果为假,将针对各特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该特征参数值相关的源IP为拦截目标;
方式三,选取多个特征参数时,将相应的多个特征参数值中的至少两个特征参数值进行数学运算,并针对该至少两个特征参数值的数学运算结果设定阈值,若该至少两个特征参数值的数学运算结果大于该设定阈值,则确定与该至少两个特征参数值相关的源IP为拦截目标;
方式四,选取多个特征参数时,选取至少两组特征参数值进行数学运算,每组特征参数值包括至少两个特征参数值,针对每组特征参数值的数学运算结果设定阈值,将每组特征参数值的数学运算结果分别与相应的设定阈值比较,当一组特征参数值的数学运算结果大于相应的设定阈值时比较结果为真,当一组特征参数值的数学运算结果小于或等于相应的设定阈值时比较结果为假,将针对各组特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该至少两组特征参数值相关的源IP为拦截目标。
其中,所述特定逻辑状态为逻辑真。
其中,基于计算的至少一个特征参数值和选取的判断规则确定拦截目标包括下述方式中之一:
方式一,确定发出网络访问请求的一源IP为拦截目标;
方式二,确定发出指向一目标域名的网络访问请求的一源IP为拦截目标。
其中,计算至少一个特征参数值的方法包括下述中至少一种:求累加值、求平均值、计算预设时间段内被访问频率最高的字符串在被访问字符串总量中的占比、计算网络访问请求中表示访问路径的字符串的重复度。
其中,从配置文件中选取至少一个特征参数包括选取下述参数中至少一个:设定时间段内网络访问请求数量、响应于网络访问请求返回的状态码、客户端标识数量、响应网络访问请求返回的HTTP包中body内容的长度、来源网页的链接地址、网络访问请求的访问路径、网络访问请求响应时间。
根据本发明的另一方面,提供了一种针对多种攻击的智能拦截系统,所述系统包括:
获取模块,用于获取网络访问请求的信息;
第一选取模块,用于基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法;
计算模块,用于基于所述网络访问请求的信息、选取的至少一个特征参数以及计算该至少一个特征参数值的方法,计算设定时间段内的至少一个特征参数值;
第二选取模块,用于根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则;
确定模块,用于基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。
其中,所述获取模块还用于获取所述网络访问请求的日志信息。
其中,所述计算模块用于根据下述方式中之一进行计算:
方式一,计算与发出所述网络访问请求的源IP相关的至少一个特征参数值;
方式二,计算与所述网络访问请求指向的目标域名相关的至少一个特征参数值;
方式三,计算与发出所述网络访问请求的源IP和所述网络访问请求指向的目标域名相关的至少一个特征参数值。
其中,所述判断规则包括下述方式中之一:
方式一,选取一个特征参数时,针对该特征参数设定阈值,若计算的设定时间段内的特征参数值大于针对该特征参数的设定阈值,则确定与该特征参数值相关的源IP为拦截目标;
方式二,选取多个特征参数时,针对选取的每个特征参数设定阈值,将每个计算的特征参数值分别与相应的设定阈值比较,当一特征参数值大于相应的设定阈值时比较结果为真,当一特征参数值小于或等于相应的设定阈值时比较结果为假,将针对各特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该特征参数值相关的源IP为拦截目标;
方式三,选取多个特征参数时,将相应的多个特征参数值中的至少两个特征参数值进行数学运算,并针对该至少两个特征参数值的数学运算结果设定阈值,若该至少两个特征参数值的数学运算结果大于该设定阈值,则确定与该至少两个特征参数值相关的源IP为拦截目标;
方式四,选取多个特征参数时,选取至少两组特征参数值进行数学运算,每组特征参数值包括至少两个特征参数值,针对每组特征参数值的数学运算结果设定阈值,将每组特征参数值的数学运算结果分别与相应的设定阈值比较,当一组特征参数值的数学运算结果大于相应的设定阈值时比较结果为真,当一组特征参数值的数学运算结果小于或等于相应的设定阈值时比较结果为假,将针对各组特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该至少两组特征参数值相关的源IP为拦截目标。
其中,所述特定逻辑状态为逻辑真。
其中,所述确定模块用于根据下述方式中之一确定拦截目标:
方式一,确定发出网络访问请求的一源IP为拦截目标;
方式二,确定发出指向一目标域名的网络访问请求的一源IP为拦截目标。
其中,所述计算模块用于基于下述中至少一种方法计算设定时间段内的至少一个特征参数值:求累加值、求平均值、计算预设时间段内被访问频率最高的字符串在被访问字符串总量中的占比、计算网络访问请求中表示访问路径的字符串的重复度。
其中,所述第一选取模块用于从配置文件中选取下述参数中至少一个:设定时间段内网络访问请求数量、响应于网络访问请求返回的状态码、客户端标识数量、响应网络访问请求返回的HTTP包中body内容的长度、来源网页的链接地址、网络访问请求的访问路径、网络访问请求响应时间。
本发明中的针对多种攻击的智能拦截方法和系统,根据具体的网络访问请求的信息,智能选择特征参数和相应的判断规则,基于网络访问请求的日志信息,获取相关特征参数信息,并进而计算特征参数的特征值,利用计算的特征值和判断规则确定发出需要被拦截的网络访问请求的源IP和/或需要被拦截的网络访问请求指向的目标域名。采用这种智能拦截方法,根据具体的网络访问请求,选择特征参数和相应的判断规则进行拦截目标的确认。这样,针对不同的攻击类型,选择不同的特征参数和判断规则,可以有效地应对各种攻击,同时大大降低了误拦率。此外,在进行拦截目标确认时,只需要分析网络访问请求的日志即可,由于不需要分析用户的流量,因此这种分析方式可以降低访问响应时间。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明的针对多种攻击的智能拦截方法的流程图;
图2是根据本发明的针对多种攻击的智能拦截系统的模块图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明提供了一种根据本发明的针对多种攻击的智能拦截方法。图1示出了该方法的处理流程。该方法包括:
步骤101,获取网络访问请求的信息;
步骤102,基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法,并计算设定时间段内的至少一个特征参数值;
步骤103,根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则,基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。
其中,所述网络访问请求的信息为所述网络访问请求的日志信息。即,步骤101中,获取网络访问请求的日志信息;步骤102中,基于网络访问请求的日志信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法,并计算设定时间段内的至少一个特征参数值。这里,是基于网络访问请求的日志信息中所包含的内容,从配置文件中选取特征参数。在选取特征参数时,可以根据需要,选取一个或多个特征参数,并根据选取的特征参数,选取计算特征参数值的方法。后面会对所涉及的特征参数和计算特征参数值的方法做进一步说明。
步骤102中,计算设定时间段内的至少一个特征参数值包括下述方式中之一:方式一,计算与发出所述网络访问请求的源IP相关的至少一个特征参数值;方式二,计算与所述网络访问请求指向的目标域名相关的至少一个特征参数值;方式三,计算与发出所述网络访问请求的源IP和所述网络访问请求指向的目标域名相关的至少一个特征参数值。
网络访问请求的日志信息中包括发出网络访问请求的源IP的信息、网络访问请求指向的目标域名的信息。因此,计算的特征参数值可能分别与源IP或目标域名相关,或者与源IP和目标域名均相关。
步骤103中的判断规则包括下述方式中之一:
方式一,选取一个特征参数时,针对该特征参数设定阈值,若计算的设定时间段内的特征参数值大于针对该特征参数的设定阈值,则确定与该特征参数值相关的源IP为拦截目标;
方式二,选取多个特征参数时,针对选取的每个特征参数设定阈值,将每个计算的特征参数值分别与相应的设定阈值比较,当一特征参数值大于相应的设定阈值时比较结果为真,当一特征参数值小于或等于相应的设定阈值时比较结果为假,将针对各特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该特征参数值相关的源IP为拦截目标;
方式三,选取多个特征参数时,将相应的多个特征参数值中的至少两个特征参数值进行数学运算,并针对该至少两个特征参数值的数学运算结果设定阈值,若该至少两个特征参数值的数学运算结果大于该设定阈值,则确定与该至少两个特征参数值相关的源IP为拦截目标;
方式四,选取多个特征参数时,选取至少两组特征参数值进行数学运算,每组特征参数值包括至少两个特征参数值,针对每组特征参数值的数学运算结果设定阈值,将每组特征参数值的数学运算结果分别与相应的设定阈值比较,当一组特征参数值的数学运算结果大于相应的设定阈值时比较结果为真,当一组特征参数值的数学运算结果小于或等于相应的设定阈值时比较结果为假,将针对各组特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该至少两组特征参数值相关的源IP为拦截目标。
当选取多个特征参数时,可以将每个特征值分别与阈值比较的结果进行逻辑运算;也可以将多个特征值中的两个以上特征值进行数学运算,如加、减、乘、除运算,将该数学运算结果与设定阈值比较,当有多组数学运算结果时,则每组数学运算结果分别与阈值相比较,并将比较结果进行逻辑运算。这里的逻辑运算例如是:或运算、与运算。这里设定阈值是根据相应的特征参数和相应的数学运算设定的。
需要说明的是,上述特定逻辑状态可以为逻辑真。当然,特定逻辑状态也可以设置为逻辑假。
步骤103中,基于计算的至少一个特征参数值和选取的判断规则确定拦截目标包括下述方式中之一:方式一,确定发出网络访问请求的一源IP为拦截目标;方式二,确定发出指向一目标域名的网络访问请求的一源IP为拦截目标。即,本发明最终确认设定时间段内某个源IP有攻击行为,在这种情况下,只要是该源IP发出的网络访问请求即被拦截;或者设定时间段内某个源IP请求某个目标域名的行为为攻击行为。例如,A1IP地址请求W1域名被判定为攻击行为,A1IP地址请求W2域名被判定为正常行为,那么防火墙将只拦截A1IP地址到W1域名的访问请求,但不会拦截A1IP地址发给W2域名的访问请求。
从配置文件中选取至少一个特征参数包括选取下述参数中至少一个:设定时间段内网络访问请求数量、响应于网络访问请求返回的状态码、客户端标识数量、响应网络访问请求返回的HTTP包中body内容的长度、来源网页的链接地址(HTTP Referer)、网络访问请求的访问路径、网络访问请求响应时间。需要说明的是,这里只是列举出了部分参数,针对具体情况还可能包含其他参数。选取的特征参数是与网络访问请求的日志信息相关的,如果日志信息的内容比较丰富,则可选取的特征参数就比较多。
计算至少一个特征参数值的方法包括下述中至少一种:求累加值、求平均值、计算预设时间段内被访问频率最高的字符串在被访问字符串总量中的占比、计算网络访问请求中表示访问路径的字符串的重复度。这里计算重复度的过程为:将字符串中相邻的两个字符串记为一条边,如果这条边出现两次或者两次以上,就将这条边记为重复的边,重复的边的总数量与这个字符串中边的总数量的比值就是重复度,重复度的最大值为1。需要说明的是,这里只是列举出了部分计算方法,针对各种特征参数,还可能有相应的其他计算方法。
下面给出根据本发明方法的具体实施例。为了清楚起见,列出了相关代码,并进行了说明。
步骤一,获取网络访问请求的日志信息。
步骤二,从配置文件中选取特征参数:网络访问请求响应时间,选取的计算方法:求平均,并基于此计算设定时间段内的特征参数值。这里的设定时间段例如可以选数分钟或数小时。从配置文件得到具体的特征参数和其计算方法的示例如下:
上述的averageRequestTime只是选取的特征参数的一个示例,实际中可以根据具体需要,选择各种特征参数,例如requestPath等。以requestPath为例,在生成特征参数值时,可以生成关于源IP的特征参数值,也可以生成关于目标域名的特征参数值。
步骤三,选取判断规则,基于计算的特征参数值和判断规则确定拦截目标。例如,选取的规则如下:
clientIP.pv>200and clientIP.averageRequestTime/domain.averageRequestTime>10,
其中,clientIP.pv表示一个源IP在一段时间内的请求次数;
clientIP.averageRequestTime表示源IP在一段时间内平均请求时间,该特征参数值与发出网络访问请求的源IP相关;
domain.averageRequestTime表示在一段时间内请求该域名的平均请求时间,该特征参数值与所述网络访问请求指向的目标域名相关。
这个规则计算结果是true(即逻辑真)或者false(即逻辑假),如果是true则认为这个源IP具有攻击行为,否则认为是正常请求。
如上述的示例,一个判断规则可以由特征参数值、算术运算符、比较运算符、逻辑运算符组成,具体参见步骤103中的四种方式。但是不管是哪种方式,都会包括特征参数值和比较运算符。
本发明还公开了一种针对多种攻击的智能拦截系统,其特征在于,所述系统包括:
获取模块201,用于获取网络访问请求的信息;
第一选取模块202,用于基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法;
计算模块203,用于基于所述网络访问请求的信息、选取的至少一个特征参数以及计算该至少一个特征参数值的方法,计算设定时间段内的至少一个特征参数值;
第二选取模块204,用于根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则;
确定模块205,用于基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。
其中,所述获取模块201还用于获取所述网络访问请求的日志信息。
其中,所述计算模块203用于根据下述方式中之一进行计算:
方式一,计算与发出所述网络访问请求的源IP相关的至少一个特征参数值;
方式二,计算与所述网络访问请求指向的目标域名相关的至少一个特征参数值;
方式三,计算与发出所述网络访问请求的源IP和所述网络访问请求指向的目标域名相关的至少一个特征参数值。
其中,所述判断规则包括下述方式中之一:
方式一,选取一个特征参数时,针对该特征参数设定阈值,若计算的设定时间段内的特征参数值大于针对该特征参数的设定阈值,则确定与该特征参数值相关的源IP为拦截目标;
方式二,选取多个特征参数时,针对选取的每个特征参数设定阈值,将每个计算的特征参数值分别与相应的设定阈值比较,当一特征参数值大于相应的设定阈值时比较结果为真,当一特征参数值小于或等于相应的设定阈值时比较结果为假,将针对各特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该特征参数值相关的源IP为拦截目标;
方式三,选取多个特征参数时,将相应的多个特征参数值中的至少两个特征参数值进行数学运算,并针对该至少两个特征参数值的数学运算结果设定阈值,若该至少两个特征参数值的数学运算结果大于该设定阈值,则确定与该至少两个特征参数值相关的源IP为拦截目标;
方式四,选取多个特征参数时,选取至少两组特征参数值进行数学运算,每组特征参数值包括至少两个特征参数值,针对每组特征参数值的数学运算结果设定阈值,将每组特征参数值的数学运算结果分别与相应的设定阈值比较,当一组特征参数值的数学运算结果大于相应的设定阈值时比较结果为真,当一组特征参数值的数学运算结果小于或等于相应的设定阈值时比较结果为假,将针对各组特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该至少两组特征参数值相关的源IP为拦截目标。
其中,所述特定逻辑状态为逻辑真。
其中,所述确定模块205用于根据下述方式中之一确定拦截目标:
方式一,确定发出网络访问请求的一源IP为拦截目标;
方式二,确定发出指向一目标域名的网络访问请求的一源IP为拦截目标。
其中,所述计算模块203用于基于下述中至少一种方法计算设定时间段内的至少一个特征参数值:求累加值、求平均值、计算预设时间段内被访问频率最高的字符串在被访问字符串总量中的占比、计算网络访问请求中表示访问路径的字符串的重复度。
其中,所述第一选取模块202用于从配置文件中选取下述参数中至少一个:设定时间段内网络访问请求数量、响应于网络访问请求返回的状态码、客户端标识数量、响应网络访问请求返回的HTTP包中body内容的长度、来源网页的链接地址、网络访问请求的访问路径、网络访问请求响应时间。
本发明中的针对多种攻击的智能拦截方法和系统,根据具体的网络访问请求的信息,智能选择特征参数和相应的判断规则,基于网络访问请求的日志信息,获取相关特征参数信息,并进而计算特征参数的特征值,利用计算的特征值和判断规则确定发出需要被拦截的网络访问请求的源IP和/或需要被拦截的网络访问请求指向的目标域名。采用这种智能拦截方法,根据具体的网络访问请求,选择特征参数和相应的判断规则进行拦截目标的确认。这样,针对不同的攻击类型,选择不同的特征参数和判断规则,可以有效地应对各种攻击,同时大大降低了误拦率。此外,在进行拦截目标确认时,只需要分析网络访问请求的日志即可,由于不需要分析用户的流量,因此这种分析方式可以降低访问响应时间。上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。

Claims (16)

1.一种针对多种攻击的智能拦截方法,其特征在于,所述方法包括:
获取网络访问请求的信息;
基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法,并计算设定时间段内的至少一个特征参数值;
根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则,基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。
2.如权利要求1所述的方法,其特征在于,
所述网络访问请求的信息为所述网络访问请求的日志信息。
3.如权利要求1或2所述的方法,其特征在于,计算设定时间段内的至少一个特征参数值包括下述方式中之一:
方式一,计算与发出所述网络访问请求的源IP相关的至少一个特征参数值;
方式二,计算与所述网络访问请求指向的目标域名相关的至少一个特征参数值;
方式三,计算与发出所述网络访问请求的源IP和所述网络访问请求指向的目标域名相关的至少一个特征参数值。
4.如权利要求1或2所述的方法,其特征在于,所述判断规则包括下述方式中之一:
方式一,选取一个特征参数时,针对该特征参数设定阈值,若计算的设定时间段内的特征参数值大于针对该特征参数的设定阈值,则确定与该特征参数值相关的源IP为拦截目标;
方式二,选取多个特征参数时,针对选取的每个特征参数设定阈值,将每个计算的特征参数值分别与相应的设定阈值比较,当一特征参数值大于相应的设定阈值时比较结果为真,当一特征参数值小于或等于相应的设定阈值时比较结果为假,将针对各特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该特征参数值相关的源IP为拦截目标;
方式三,选取多个特征参数时,将相应的多个特征参数值中的至少两个特征参数值进行数学运算,并针对该至少两个特征参数值的数学运算结果设定阈值,若该至少两个特征参数值的数学运算结果大于该设定阈值,则确定与该至少两个特征参数值相关的源IP为拦截目标;
方式四,选取多个特征参数时,选取至少两组特征参数值进行数学运算,每组特征参数值包括至少两个特征参数值,针对每组特征参数值的数学运算结果设定阈值,将每组特征参数值的数学运算结果分别与相应的设定阈值比较,当一组特征参数值的数学运算结果大于相应的设定阈值时比较结果为真,当一组特征参数值的数学运算结果小于或等于相应的设定阈值时比较结果为假,将针对各组特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该至少两组特征参数值相关的源IP为拦截目标。
5.如权利要求4所述的方法,其特征在于,所述特定逻辑状态为逻辑真。
6.如权利要求1或2所述的方法,其特征在于,基于计算的至少一个特征参数值和选取的判断规则确定拦截目标包括下述方式中之一:
方式一,确定发出网络访问请求的一源IP为拦截目标;
方式二,确定发出指向一目标域名的网络访问请求的一源IP为拦截目标。
7.如权利要求1或2所述的方法,其特征在于,计算至少一个特征参数值的方法包括下述中至少一种:求累加值、求平均值、计算预设时间段内被访问频率最高的字符串在被访问字符串总量中的占比、计算网络访问请求中表示访问路径的字符串的重复度。
8.如权利要求1或2所述的方法,其特征在于,从配置文件中选取至少一个特征参数包括选取下述参数中至少一个:设定时间段内网络访问请求数量、响应于网络访问请求返回的状态码、客户端标识数量、响应网络访问请求返回的HTTP包中body内容的长度、来源网页的链接地址、网络访问请求的访问路径、网络访问请求响应时间。
9.一种针对多种攻击的智能拦截系统,其特征在于,所述系统包括:
获取模块,用于获取网络访问请求的信息;
第一选取模块,用于基于所述网络访问请求的信息,从配置文件中选取至少一个特征参数以及计算该至少一个特征参数值的方法;
计算模块,用于基于所述网络访问请求的信息、选取的至少一个特征参数以及计算该至少一个特征参数值的方法,计算设定时间段内的至少一个特征参数值;
第二选取模块,用于根据所选取的特征参数以及计算特征参数值的方法从判断规则集中选取判断规则;
确定模块,用于基于计算的设定时间段内的至少一个特征参数值和选取的判断规则确定拦截目标。
10.如权利要求9所述的系统,其特征在于,
所述获取模块还用于获取所述网络访问请求的日志信息。
11.如权利要求9或10所述的系统,其特征在于,所述计算模块用于根据下述方式中之一进行计算:
方式一,计算与发出所述网络访问请求的源IP相关的至少一个特征参数值;
方式二,计算与所述网络访问请求指向的目标域名相关的至少一个特征参数值;
方式三,计算与发出所述网络访问请求的源IP和所述网络访问请求指向的目标域名相关的至少一个特征参数值。
12.如权利要求9或10所述的系统,其特征在于,所述判断规则包括下述方式中之一:
方式一,选取一个特征参数时,针对该特征参数设定阈值,若计算的设定时间段内的特征参数值大于针对该特征参数的设定阈值,则确定与该特征参数值相关的源IP为拦截目标;
方式二,选取多个特征参数时,针对选取的每个特征参数设定阈值,将每个计算的特征参数值分别与相应的设定阈值比较,当一特征参数值大于相应的设定阈值时比较结果为真,当一特征参数值小于或等于相应的设定阈值时比较结果为假,将针对各特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该特征参数值相关的源IP为拦截目标;
方式三,选取多个特征参数时,将相应的多个特征参数值中的至少两个特征参数值进行数学运算,并针对该至少两个特征参数值的数学运算结果设定阈值,若该至少两个特征参数值的数学运算结果大于该设定阈值,则确定与该至少两个特征参数值相关的源IP为拦截目标;
方式四,选取多个特征参数时,选取至少两组特征参数值进行数学运算,每组特征参数值包括至少两个特征参数值,针对每组特征参数值的数学运算结果设定阈值,将每组特征参数值的数学运算结果分别与相应的设定阈值比较,当一组特征参数值的数学运算结果大于相应的设定阈值时比较结果为真,当一组特征参数值的数学运算结果小于或等于相应的设定阈值时比较结果为假,将针对各组特征参数值的比较结果进行逻辑运算,若逻辑运算的结果为特定逻辑状态,则确定与该至少两组特征参数值相关的源IP为拦截目标。
13.如权利要求12所述的系统,其特征在于,所述特定逻辑状态为逻辑真。
14.如权利要求9或10所述的系统,其特征在于,所述确定模块用于根据下述方式中之一确定拦截目标:
方式一,确定发出网络访问请求的一源IP为拦截目标;
方式二,确定发出指向一目标域名的网络访问请求的一源IP为拦截目标。
15.如权利要求9或10所述的系统,其特征在于,所述计算模块用于基于下述中至少一种方法计算设定时间段内的至少一个特征参数值:求累加值、求平均值、计算预设时间段内被访问频率最高的字符串在被访问字符串总量中的占比、计算网络访问请求中表示访问路径的字符串的重复度。
16.如权利要求9或10所述的系统,其特征在于,所述第一选取模块用于从配置文件中选取下述参数中至少一个:设定时间段内网络访问请求数量、响应于网络访问请求返回的状态码、客户端标识数量、响应网络访问请求返回的HTTP包中body内容的长度、来源网页的链接地址、网络访问请求的访问路径、网络访问请求响应时间。
CN201710160914.8A 2017-03-17 2017-03-17 一种针对多种攻击的智能拦截方法和系统 Active CN108632205B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710160914.8A CN108632205B (zh) 2017-03-17 2017-03-17 一种针对多种攻击的智能拦截方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710160914.8A CN108632205B (zh) 2017-03-17 2017-03-17 一种针对多种攻击的智能拦截方法和系统

Publications (2)

Publication Number Publication Date
CN108632205A CN108632205A (zh) 2018-10-09
CN108632205B true CN108632205B (zh) 2019-04-05

Family

ID=63687354

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710160914.8A Active CN108632205B (zh) 2017-03-17 2017-03-17 一种针对多种攻击的智能拦截方法和系统

Country Status (1)

Country Link
CN (1) CN108632205B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111343127B (zh) * 2018-12-18 2021-03-16 北京数安鑫云信息技术有限公司 一种提升爬虫识别召回率的方法、装置、介质及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137115A (zh) * 2011-04-22 2011-07-27 南京邮电大学 通信网恶意代码攻击效果评估方法
CN103581180A (zh) * 2013-10-28 2014-02-12 深信服网络科技(深圳)有限公司 根据攻击日志调整命中特征的方法和装置
CN105337966A (zh) * 2015-10-16 2016-02-17 中国联合网络通信集团有限公司 针对网络攻击的处理方法和装置
CN105721494A (zh) * 2016-03-25 2016-06-29 中国互联网络信息中心 一种异常流量攻击检测处置的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137115A (zh) * 2011-04-22 2011-07-27 南京邮电大学 通信网恶意代码攻击效果评估方法
CN103581180A (zh) * 2013-10-28 2014-02-12 深信服网络科技(深圳)有限公司 根据攻击日志调整命中特征的方法和装置
CN105337966A (zh) * 2015-10-16 2016-02-17 中国联合网络通信集团有限公司 针对网络攻击的处理方法和装置
CN105721494A (zh) * 2016-03-25 2016-06-29 中国互联网络信息中心 一种异常流量攻击检测处置的方法和装置

Also Published As

Publication number Publication date
CN108632205A (zh) 2018-10-09

Similar Documents

Publication Publication Date Title
CN111859400B (zh) 风险评估方法、装置、计算机系统和介质
Dain et al. Building scenarios from a heterogeneous alert stream
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
Wu et al. A trust evaluation model for cloud computing
CN109558729B (zh) 一种网络攻击的智能防御系统
CN104333529B (zh) 一种云计算环境下http dos攻击的检测方法及系统
EP2816773A1 (en) Method for calculating and analysing risks and corresponding device
CN108701187A (zh) 混合硬件软件分布式威胁分析
CN106464577A (zh) 网络系统、控制装置、通信装置、通信控制方法以及通信控制程序
CN109413109A (zh) 基于有限状态机的面向天地一体化网络安全状态分析方法
Hewett et al. Cyber-security analysis of smart grid SCADA systems with game models
KR102260273B1 (ko) 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체
JP7213626B2 (ja) セキュリティ対策検討ツール
Huynh et al. Uncovering periodic network signals of cyber attacks
CN106506547A (zh) 针对拒绝服务攻击的处理方法、waf、路由器及系统
CN107733867A (zh) 一种发现僵尸网络及防护的方法和系统
CN110896386A (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
Las-Casas et al. A big data architecture for security data and its application to phishing characterization
CN108683654A (zh) 一种基于零日攻击图的网络脆弱性评估方法
CN108632205B (zh) 一种针对多种攻击的智能拦截方法和系统
CN106101071A (zh) 一种基于行为触发的防御链路耗尽型cc攻击的方法
CN106534174A (zh) 一种敏感数据的云防护方法、装置及系统
Sultana et al. Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism
CN116170225A (zh) 基于网络靶场的系统测试方法、装置、设备及存储介质
CN116248334A (zh) 流量安防方法、装置、计算机设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant after: GUIZHOU BAISHANCLOUD TECHNOLOGY Co.,Ltd.

Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: GUIZHOU BAISHANCLOUD TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
TA01 Transfer of patent application right

Effective date of registration: 20181108

Address after: 100015 Beijing Chaoyang District Jiuxianqiao North Road 10 hospital 201 Building 5 floor 505 inside 02

Applicant after: BEIJING SHUAN XINYUN INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: GUIZHOU BAISHANCLOUD TECHNOLOGY Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1262066

Country of ref document: HK