CN110401664A - 恶意网络cc攻击防范的方法及装置 - Google Patents
恶意网络cc攻击防范的方法及装置 Download PDFInfo
- Publication number
- CN110401664A CN110401664A CN201910695071.0A CN201910695071A CN110401664A CN 110401664 A CN110401664 A CN 110401664A CN 201910695071 A CN201910695071 A CN 201910695071A CN 110401664 A CN110401664 A CN 110401664A
- Authority
- CN
- China
- Prior art keywords
- setting time
- attack
- nginx
- defending
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种恶意网络CC攻击防范的方法及装置,包括如下步骤:A)使用shell命令监控与分析过去设定时间内的NGINX日志文件;B)使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值,如是,执行D);否则,执行C);C)不做访问限制,返回B);D)使用shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作;E)等待设定时间,返回A)。本发明能解决传统防火墙对CC攻击难以抵抗的短板,也能避免人工重复添加规则的繁琐,完全自编的脚本能透明地呈现工作原理,也能根据需要随意自定义,同时也不再需要高价购买商业防护服务。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种恶意网络CC攻击防范的方法及装置。
背景技术
CC攻击是使用不同的IP通过某一个或多个请求地址对API接口频繁发起请求,通过发送大量合法请求的方式实现DDos的伪装,来实现瘫痪后端服务器的目的。由于特点在于通过大量不同的IP来进行访问,使得传统的系统防火墙对于这类攻击难以抵抗。需要高价购买商业防护服务才能抵抗这种CC攻击,其成本较高。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能解决传统防火墙对CC攻击难以抵抗的短板,也能避免人工重复添加规则的繁琐,完全自编的脚本能透明地呈现工作原理,也能根据需要随意自定义,同时也不再需要高价购买商业防护服务的恶意网络CC攻击防范的方法及装置。
本发明解决其技术问题所采用的技术方案是:构造一种恶意网络CC攻击防范的方法,包括如下步骤:
A)使用shell命令监控与分析过去设定时间内的NGINX日志文件;
B)使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值,如是,执行步骤D);否则,执行步骤C);
C)不做访问限制,返回步骤B);
D)使用所述shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作,执行步骤E);
E)等待设定时间,返回步骤A)。
在本发明所述的恶意网络CC攻击防范的方法中,所述设定时间为1分钟。
在本发明所述的恶意网络CC攻击防范的方法中,所述阈值为20次/分钟。
本发明还涉及一种实现上述恶意网络CC攻击防范的方法的装置,包括:
监控分析单元:用于使用shell命令监控与分析过去设定时间内的NGINX日志文件;
阈值判断单元:用于使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值;
访问限制单元:用于不做访问限制;
规则写入单元:用于使用所述shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作;
等待单元:用于等待设定时间后返回监控分析单元。
在本发明所述的装置中,所述设定时间为1分钟。
在本发明所述的装置中,所述阈值为20次/分钟。
实施本发明的恶意网络CC攻击防范的方法及装置,具有以下有益效果:由于设有使用shell命令监控与分析过去设定时间内的NGINX日志文件;使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值,当超过阈值时,使用shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作,本发明能解决传统防火墙对CC攻击难以抵抗的短板,也能避免人工重复添加规则的繁琐,完全自编的脚本能透明地呈现工作原理,也能根据需要随意自定义,同时也不再需要高价购买商业防护服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明恶意网络CC攻击防范的方法及装置一个实施例中方法的流程图;
图2为所述实施例中装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明恶意网络CC攻击防范的方法及装置实施例中,其恶意网络CC攻击防范的方法的流程图如图1所示。图1中,该恶意网络CC攻击防范的方法包括如下步骤:
步骤S01使用shell命令监控与分析过去设定时间内的NGINX日志文件:本步骤中,使用shell命令监控与分析过去设定时间内的NGINX日志文件。本实施例中,该设定时间为1分钟。本步骤中,具体而言,就是使用shell命令监控与分析过去1分钟内的NGINX日志文件。
步骤S02使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值:本步骤中,使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值,即判断对某接口的地址请求是否达到了阈值,本实施例中,该设定时间为1分钟,该阈值为20次/分钟。当然,在实际应用中,在实际应用中,该设定时间的大小可以根据具体情况进行相应调整,即该设定时间的大小可以根据具体情况进行相应增大或减小,该阈值的大小可以根据具体情况进行相应调整,即该阈值的大小可以根据具体情况进行相应增大或减小。
具体而言,本步骤中,使用文字处理与排列命令,检查过去1分钟内的NGINX日志文件中,有无哪个IP对某地址访问频次超过20次/分钟,如果判断的结果为是,则执行步骤S04;否则,执行步骤S03。
步骤S03不做访问限制:如果上述步骤S02的判断结果为否,则执行本步骤。本步骤中,不做访问限制。执行完本步骤,返回步骤S01,该过程是重复循环的。
步骤S04使用shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作:如果上述步骤S02的判断结果为是,则执行本步骤。本步骤中,使用shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作。具体而言,调用防火墙命令,写入一条入站规则,指定源IP,并指定这条规则为DROP规则。执行完本步骤,执行步骤S05。
步骤S05等待设定时间:本步骤中,等待设定时间,然后返回步骤S01,该设定时间为1分钟,该过程每隔1分钟重复循环一次。
本发明的恶意网络CC攻击防范的方法能解决传统防火墙对CC攻击难以抵抗的短板,也能避免人工重复添加规则的繁琐,完全自编的脚本能透明地呈现工作原理,也能根据需要随意自定义,同时也不再需要高价购买商业防护服务。
本实施例还还涉及一种实现上述恶意网络CC攻击防范的方法的装置,该装置的结构示意图如图2所示。图2中,该装置包括监控分析单元1、阈值判断单元2、访问限制单元3、规则写入单元4和等待单元5。其中,监控分析单元1用于使用shell命令监控与分析过去设定时间内的NGINX日志文件;本实施例中,该设定时间为1分钟,当然,在实际应用中,该设定时间的大小可以根据具体情况进行相应调整,即该设定时间的大小可以根据具体情况进行相应增大或减小,
阈值判断单元2用于使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值。本实施例中,该阈值为20次/分钟,当然,在实际应用中,该阈值的大小可以根据具体情况进行相应调整,即该阈值的大小可以根据具体情况进行相应增大或减小。
访问限制单元3用于不做访问限制;规则写入单元4用于使用shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作;等待单元5用于等待设定时间后返回监控分析单元。
本发明的装置能解决传统防火墙对CC攻击难以抵抗的短板,也能避免人工重复添加规则的繁琐,完全自编的脚本能透明地呈现工作原理,也能根据需要随意自定义,同时也不再需要高价购买商业防护服务。
总之,本发明使用免费的脚本实现了与商业付费服务相同的功能,同时设计了对NGINX日志的文字处理与排列算法以及整体流程。目前市面上除商业防护外,仅有Fail2Ban能做到类似功能,但自定义程度较低,也无法自由编辑源码。本发明不仅能解决传统防火墙对CC攻击难以抵抗的短板,也能避免人工重复添加规则的繁琐,完全自编的脚本能透明地呈现工作原理,也能根据需要随意自定义,同时也不再需要高价购买商业防护服务。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种恶意网络CC攻击防范的方法,其特征在于,包括如下步骤:
A)使用shell命令监控与分析过去设定时间内的NGINX日志文件;
B)使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值,如是,执行步骤D);否则,执行步骤C);
C)不做访问限制,返回步骤B);
D)使用所述shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作,执行步骤E);
E)等待设定时间,返回步骤A)。
2.根据权利要求1所述的恶意网络CC攻击防范的方法,其特征在于,所述设定时间为1分钟。
3.根据权利要求1所述的恶意网络CC攻击防范的方法,其特征在于,所述阈值为20次/分钟。
4.一种实现如权利要求1所述的恶意网络CC攻击防范的方法的装置,其特征在于,包括:
监控分析单元:用于使用shell命令监控与分析过去设定时间内的NGINX日志文件;
阈值判断单元:用于使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值;
访问限制单元:用于不做访问限制;
规则写入单元:用于使用所述shell命令对防火墙写入入站规则,对指定IP的入站数据包进行DROP操作;
等待单元:用于等待设定时间后返回监控分析单元。
5.根据权利要求4所述的装置,其特征在于,所述设定时间为1分钟。
6.根据权利要求4所述的装置,其特征在于,所述阈值为20次/分钟。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910695071.0A CN110401664A (zh) | 2019-07-30 | 2019-07-30 | 恶意网络cc攻击防范的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910695071.0A CN110401664A (zh) | 2019-07-30 | 2019-07-30 | 恶意网络cc攻击防范的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110401664A true CN110401664A (zh) | 2019-11-01 |
Family
ID=68326554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910695071.0A Pending CN110401664A (zh) | 2019-07-30 | 2019-07-30 | 恶意网络cc攻击防范的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401664A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115982703A (zh) * | 2023-03-22 | 2023-04-18 | 新兴际华集团财务有限公司 | 用户行为数据处理方法、装置、电子设备和计算机可读介质 |
| CN116582366A (zh) * | 2023-07-12 | 2023-08-11 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404323A (zh) * | 2011-11-18 | 2012-04-04 | 深圳中兴网信科技有限公司 | 一种网络攻击ip自动拒绝方法 |
| CN103379099A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及系统 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN106230835A (zh) * | 2016-08-04 | 2016-12-14 | 摩贝(上海)生物科技有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN106549932A (zh) * | 2016-08-31 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于日志分析的主机安全防护方法及系统 |
-
2019
- 2019-07-30 CN CN201910695071.0A patent/CN110401664A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404323A (zh) * | 2011-11-18 | 2012-04-04 | 深圳中兴网信科技有限公司 | 一种网络攻击ip自动拒绝方法 |
| CN103379099A (zh) * | 2012-04-19 | 2013-10-30 | 阿里巴巴集团控股有限公司 | 恶意攻击识别方法及系统 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN106230835A (zh) * | 2016-08-04 | 2016-12-14 | 摩贝(上海)生物科技有限公司 | 基于Nginx日志分析和IPTABLES转发的反恶意访问的方法 |
| CN106549932A (zh) * | 2016-08-31 | 2017-03-29 | 北京安天电子设备有限公司 | 一种基于日志分析的主机安全防护方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115982703A (zh) * | 2023-03-22 | 2023-04-18 | 新兴际华集团财务有限公司 | 用户行为数据处理方法、装置、电子设备和计算机可读介质 |
| CN116582366A (zh) * | 2023-07-12 | 2023-08-11 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
| CN116582366B (zh) * | 2023-07-12 | 2023-09-15 | 中国电信股份有限公司 | Web攻击防范方法、装置和系统、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230421593A1 (en) | System and method for comprehensive data loss prevention and compliance management | |
| US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
| US7450005B2 (en) | System and method of dynamically weighted analysis for intrusion decision-making | |
| US8079081B1 (en) | Systems and methods for automated log event normalization using three-staged regular expressions | |
| TWI294726B (zh) | ||
| US20160241574A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
| CN103795735B (zh) | 安全设备、服务器及服务器信息安全实现方法 | |
| US7908658B1 (en) | System using IM screener in a client computer to monitor bad reputation web sites in outgoing messages to prevent propagation of IM attacks | |
| JP2005229573A (ja) | ネットワーク保安システム及びその動作方法 | |
| TW201600997A (zh) | 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 | |
| EP2835948A1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| US20140137186A1 (en) | Enterprise Application Session Control and Monitoring in a Large Distributed Environment | |
| DE112018004408B4 (de) | Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie | |
| US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
| JP7473608B2 (ja) | クラウドサーバにおけるインスタンスリスクレベルを決定する方法、装置及び電子機器 | |
| CN104363240A (zh) | 基于信息流行为合法性检测的未知威胁的综合检测方法 | |
| WO2016032491A1 (en) | Distributed detection of malicious cloud actors | |
| US10986112B2 (en) | Method for collecting cyber threat intelligence data and system thereof | |
| CN110401664A (zh) | 恶意网络cc攻击防范的方法及装置 | |
| Rhoades | Machine actionable indicators of compromise | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| EP2747345A1 (en) | Ips detection processing method, network security device and system | |
| DE112021000455T5 (de) | Deep packet analyse | |
| Liu et al. | Real-time detection of covert channels in highly virtualized environments | |
| CN115348086B (zh) | 一种攻击防护方法及装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191101 |
|
| RJ01 | Rejection of invention patent application after publication |