CN110650126A - 一种防网站流量攻击方法、装置以及智能终端、存储介质 - Google Patents
一种防网站流量攻击方法、装置以及智能终端、存储介质 Download PDFInfo
- Publication number
- CN110650126A CN110650126A CN201910841412.0A CN201910841412A CN110650126A CN 110650126 A CN110650126 A CN 110650126A CN 201910841412 A CN201910841412 A CN 201910841412A CN 110650126 A CN110650126 A CN 110650126A
- Authority
- CN
- China
- Prior art keywords
- user
- abnormal
- information
- access
- message queue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请公开了一种防网站流量攻击方法、装置以及智能终端、存储介质,涉及计算机技术领域,该方法包括:采用日志分析工具对相关网站的访问日志信息进行收集并分析,将分析得到的异常信息存入到异常用户消息队列中,从所述异常用户消息队列中获取异常信息,并基于所述异常信息生成所述相关网站的访问用户黑名单,最后拦截所述访问用户黑名单中的异常用户对应的访问请求。通过该方法防止网站流量攻击,可增加实效性,并且避免了相关技术中的维护性低以及成本高昂的问题。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种防网站流量攻击方法、装置以及智能终端、存储介质。
背景技术
随着互联网的高速发展,访问网站成为互联网生活中必不可少的日常,然而也存在一部分人为了一己私利或是行业竞争而对网络资源进行恶意占用或者攻击、恶意刷流量等,致使网站资源在短时间内受到大量访问,从而造成服务器崩溃。流量攻击致使网站访问速度变慢,真实用户流失,占用大量服务器资源,损害网站形象。
目前防止流量攻击的方法主要是靠停止服务器防止请求继续攻击系统、反向代理或是负载均衡等,存在实效性较差、维护性低、成本高昂等弊端。
发明内容
本申请实施例提供一种防网站流量攻击方法、装置以及智能终端、存储介质,用以解决相关技术中防网站流量实效性较差、维护性低、成本高昂的问题。
第一方面,本申请实施例提供一种防网站流量攻击方法,所述方法包括:
采用日志分析工具对相关网站的访问日志信息进行收集并分析;
将分析得到的异常信息存入到异常用户消息队列中;
从所述异常用户消息队列中获取异常信息;并,
基于所述异常信息生成所述相关网站的访问用户黑名单;
拦截所述访问用户黑名单中的异常用户对应的访问请求。
可选的,所述日志分析工具为ELK-Stack框架。
可选的,所述采用日志分析工具对相关网站的访问日志信息进行收集并分析,包括:
通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息的数据,并将所述访问日志信息存入到用户指定的位置当中;
采用ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析。
可选的,分析访问日志信息,包括以下内容中的至少一种:
同一用户是否短时间内重复访问同一资源;
同一用户是否通过不断变化的ip进行访问;
用户是否通过浏览器之外的程序进行访问;
用户是否采用js脚本进行访问。
可选的,还包括:
若同一用户短时间内重复访问同一资源,则确定分析到该用户信息为异常信息;
若同一用户通过不断变化的ip进行访问,则确定分析到该用户信息为异常信息;
若用户通过浏览器之外的程序进行访问,则确定分析到该用户信息为异常信息;
若用户用js脚本进行访问,则确定分析到该用户信息为异常信息。
可选的,所述异常用户消息队列为RabbitMQ消息队列。
可选的,所述从所述异常用户消息队列中获取异常信息,包括:
调用Spring Boot程序从所述异常用户消息队列中获取异常信息。
可选的,从所述异常用户消息队列中获取异常用户信息,包括:
调用Spring Boot程序根据预置的定时任务从异常用户消息队列中获取异常信息;
生成所述相关网站的访问用户黑名单,包括:
将异常信息中包括的异常用户写入访问用户黑名单,其中,各异常用户在访问用户黑名单中的有效性为指定时长。
可选的,所述异常用户采用用户ip和/或用户标识ID进行表示。
第二方面,本发明实施例还提供一种防网站流量攻击装置,所述装置包括:
日志信息收集及分析模块,用于执行采用日志分析工具对相关网站的访问日志信息进行收集并分析;
异常信息储存模块,用于执行将分析得到的异常信息存入到异常用户消息队列中;
异常信息读取模块,用于执行从所述异常用户消息队列中获取异常信息;并,
用户黑名单生成模块,用于执行基于所述异常信息生成所述相关网站的访问用户黑名单;
拦截模块,用于执行拦截所述访问用户黑名单中的异常用户对应的访问请求。
可选的,所述日志分析工具为ELK-Stack框架。
可选的,所述日志信息收集及分析模块,用于执行:
通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息的数据,并将所述访问日志信息存入到用户指定的位置当中;
采用ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析。
可选的,所述日志信息收集及分析模块,用于执行以下内容中的至少一种:
同一用户是否短时间内重复访问同一资源;
同一用户是否通过不断变化的ip进行访问;
用户是否通过浏览器之外的程序进行访问;
用户是否采用js脚本进行访问。
可选的,所述装置还用于执行:
若同一用户短时间内重复访问同一资源,则确定分析到该用户信息为异常信息;
若同一用户通过不断变化的ip进行访问,则确定分析到该用户信息为异常信息;
若用户通过浏览器之外的程序进行访问,则确定分析到该用户信息为异常信息;
若用户用js脚本进行访问,则确定分析到该用户信息为异常信息。
可选的,所述异常用户消息队列为RabbitMQ消息队列。
可选的,所述异常信息读取模块,用于执行:
调用Spring Boot程序从所述异常用户消息队列中获取异常信息。
可选的,异常信息读取模块,用于执行:
调用Spring Boot程序根据预置的定时任务从异常用户消息队列中获取异常信息;
所述用户黑名单生成模块,用于执行:
将异常信息中包括的异常用户写入访问用户黑名单,其中,各异常用户在访问用户黑名单中的有效性为指定时长。
可选的,所述异常用户采用用户ip和/或用户标识ID进行表示。
第三方面,本发明实施例还提供一种智能终端,包括:
存储器以及处理器;
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序第一方面任一项所述的防网站流量攻击方法。
第四方面,本发明实施例还提供一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行本申请实施例中的任一项所述的防网站流量攻击方法。
本申请实施例提供的一种防网站流量攻击方法、装置以及智能终端、存储介质,首先采用日志分析工具对相关网站的访问日志信息进行收集并分析,然后将分析得到的异常信息存入到异常用户消息队列中,进一步的,从所述异常用户消息队列中获取异常用户信息,并基于所述异常用户信息生成所述相关网站的访问用户黑名单,最后拦截所述访问用户黑名单中的异常用户对应的访问请求。通过该方式实现防网站流量攻击,提高了实效性,同时避免了例如反向代理等的需要其他设备而导致的维护性低以及成本高昂的问题。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种防网站流量攻击方法的流程图;
图2为本申请实施例提供的一种防网站流量攻击方法的具体实施流程图;
图3为本申请实施例提供的一种防网站流量攻击装置的结构示意图;
图4为本申请实施例提供的一种智能终端的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
针对网络资源在短时间内因受到大量访问从而造成的服务器崩溃的问题,相关技术中,防止流量攻击的方法主要是靠停止服务器防止请求继续攻击系统但该方案的实效性较低;采用反向代理或是负载均衡等,会因需要新增一些设备或服务器而导致维护性低,成本高昂的缺点。
有鉴于此,本申请提供一种防网站流量攻击的方法,参阅图1,为本申请提供的防网站流量攻击的方法,包括:
步骤101:采用日志分析工具对相关网站的访问日志信息进行收集并分析。
其中,可选的,日志分析工具可以是ELK-Stack(ELK不是一款软件,而是Elasticsearch、Logstash和Kibana三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于Elastic.co公司名下,所以被简称为ELK-Stack)框架。在这里,ELK-Stack框架仅是日志采集的一种实施方式,这里并不作为对于日志采集工具的唯一限定。
在一个实施例中,通过ELK-Stack框架进行日志的收集和分析,主要分为两个方面:第一个方面是通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息数据,并存入到用户指定的位置当中,logstash可以实现对于访问日志信息数据进行过滤、分析以及统一格式等操作;第二方面是通过ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析,其中Elasticsearch能对大容量的数据进行实时的储存、搜索和分析操作,Kibana通常与Elasticsearch配合使用,对收集到的数据进行搜索、分析和统计报表的方式进行展示。
上述方法中,主要是说明了ELK-Stack框架中的三种软件负责执行的操作。此外,需要说明的是,对于访问日志信息的分析包括几种内容,如下:
(1)、同一用户是否短时间重复访问同一资源,当通过ELK-Stack框架分析到同一用户在短时间内重复访问同一资源时,可判定此为异常信息。例如,用户A在五分钟内对资源A访问了超过指定值的次数,则可判断该用户A对资源A所在的系统进行了恶意访问,将该用户A的访问判定为异常信息。
(2)、同一用户是否通过不断变化的ip进行访问,当通过ELK-Stack框架分析到同一用户通过不断变化的ip进行访问,则可判定所述为异常信息。例如,用户ID名为B的用户通过不同的ip1、ip2…ipn不断对同一资源或网址发起访问请求,则可判定该用户ID名为B的用户为异常的访问,故将用户ID名为B的访问判定为异常信息。
(3)、用户是否通过浏览器之外的程序进行访问,当通过ELK-Stack框架分析到用户通过浏览器之外的程序进行访问,则可判定所述为异常信息。例如,用户C用Python程序对相关网站进行访问,并不是用常规的浏览器,则可判定该用户C为异常访问,故将用户C的访问判定为异常信息,其中,当访问请求为http浏览器访问请求时,可判断为常规的浏览器访问。
(4)、用户是否采用js脚本进行访问,当通过ELK-Stack框架分析到用户通过js脚本进行访问,则可判定所述为异常信息。
步骤102:将分析得到的异常信息存入到异常用户消息队列中。
通过步骤101可以分析得到几种异常访问为异常信息,通过本步骤可将上述步骤得到的异常信息对应的如:用户的ip、用户的ID等存入到异常用户消息队列中。其中,通过用户的ip和用户的ID可以识别异常信息对应的用户。
其中,异常用户消息队列可选的有RabbitMQ、Kafka、Redis等常见消息队列。异常信息的存储格式可选的有json格式、字符串的形式等。
步骤103:从所述异常用户消息队列中获取异常用户信息。
需要说明的是,执行本步骤需要相关网站后台调用Spring Boot程序,终端可进行定时任务的配置,因此Spring Boot程序可基于终端配置的定时任务从异常用户消息队列中定时对于异常用户信息进行轮询。
步骤104:基于所述异常用户信息生成所述相关网站的访问用户黑名单。
需要说明的是,在步骤103中,获取到了异常用户的用户信息,本步骤需要执行的是将异常用户信息对应的用户的ip以及用户的ID写入访问用户的黑名单。例如,从步骤101分析得到用户A、用户B以及用户C进行了异常的访问请求,通过步骤102将用户A、用户B以及用户C的访问异常信息存入了异常用户的消息队列中,接着步骤103从异常用户的消息队列的存储中获取到了这些异常信息,则在本步骤将异常信息对应的用户A、用户B以及用户C的ID或者使用的ip地址写入到了生成的相关网站的访问用户黑名单。
步骤105:拦截所述访问用户黑名单中的异常用户对应的访问请求。
需要说明的是,基于前述步骤生成的黑名单,当该黑名单中的异常用户发起访问请求时,相关网站对于该请求不进行响应。
可选的,在设置用户黑名单时,可进行对于黑名单禁用时限的限制,设置n天禁止访问,n天之后对于该用户移除黑名单。例如,将黑名单中的用户A、用户B以及用户C设置7天禁止访问相关网站,则用户A、用户B以及用户C在7天内若访问相关网站,则得不到访问请求的响应,在7天之后才能进行对于相关网站的正常访问。
通过本申请提供的防网站流量攻击的方法,通过日志采集工具如ELK-Stack框架、异常用户消息队列如RabbitMQ消息队列以及相关网站后台中的如Spring Boot程序,三者的结合实现对于访问日志信息数据的分析,异常用户信息的禁用,实现对进行恶意访问的用户的拦截操作,从而增强用户访问相关网站的实效性,并且避免因需要新增一些设备或服务器而导致维护性低,成本高昂的缺点,此外设置n天的禁止访问期限也可以降低该系统的误杀率。
参阅图2,为本申请实施例提供的一种防网站流量攻击方法的具体实施流程图,对本申请的具体实施方式进一步说明,包括:
步骤201:用户通过客户端对相关网站提出访问请求。
需要说明的是,客户端可以是智能手机、平板电脑、各类可穿戴设备、车载设备等。终端设备中可以安装各种应用程序,比如相机、浏览器等等。
步骤202:客户端将访问请求分发给对应的相关网站,相关网站根据访问请求中的信息进行访问。
其中,相关网站的访问中会产生相应的访问日志信息,所述访问日志信息可供后续日志分析工具进行分析使用。此外,本实施例中选择的日志采集工具为ELK-Stack框架。
步骤203:通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息数据。
其中,Logstash包含输入插件、过滤插件以及输出插件。Logstash首先通过输入插件从访问日志信息中获取访问日志信息数据,再经过滤插件加工数据过滤掉不需要的访问日志信息数据,然后经输出插件输出到Elasticsearch。
步骤204:通过ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析。
其中,Elasticsearch是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。Elasticsearch从相关网站的访问日志信息中通过几个方面进行分析,例如,同一用户是否短时间重复访问同一资源、同一用户是否通过不断变化的ip进行访问、用户是否通过浏览器之外的程序进行访问以及用户是否采用js脚本进行访问。根据分析得到的访问日志信息数据,以索引的形式进行储存。
需要说明的是,Kibana是一款基于Apache开源协议,为Elasticsearch提供分析和可视化的Web平台。它可以在Elasticsearch的索引中查找储存的访问日志信息数据,并将查找到的数据生成各种维度的表图以便于查看或分析。
步骤205:将分析得到的异常信息存入到RabbitMQ消息队列中。
需要说明的是,RabbitMQ消息队列仅是用于储存的一种实施方式,在这里并不做为唯一限定。
通过步骤204的ELK-Stack框架可以得到访问日志信息中的异常访问的用户信息,进一步的将得到的所述用户信息存入到RabbitMQ消息队列中。其中可选的,信息的存入格式为json格式或字符串的形式以及其他能够实现RabbitMQ消息队列存储的格式。
进一步的,异常信息可选的包括:用户的ip、用户的ID等。
步骤206:Spring Boot程序从RabbitMQ消息队列中读取异常用户消息。
Spring Boot程序为相关网站的后台,可通过设置定时任务从RabbitMQ消息队列读取消息队列中包含的异常用户信息。
步骤207:Spring Boot程序写入n天禁止访问黑名单。
需要说明的是,Spring Boot程序作为相关网站的后台,因此前端相关网站的所有请求都是经过Spring Boot程序进行处理的,而写入n天禁止访问黑名单只是Spring Boot后台程序功能当中的一个。
Spring Boot程序从RabbitMQ消息队列中读取异常用户消息后,将该异常用户的id和/或IP写入黑名单中。此外,n可根据需要进行自主设定。
步骤208:判断用户是否在n天内禁止访问黑名单。
从图2中可得到,通过判断用户是否在n天内禁止访问黑名单,存在两种情况。
(1)、若用户存在于n天内禁止访问黑名单中,如图中的“Y”,则如果该用户的ID或ip再次发起客户端访问请求时,将拦截该用户的访问请求,即得不到任何的响应。
(2)、若用户不存在于n天内禁止访问黑名单,如图中的“N”,则返回数据,即如果该用户再次发起客户端请求,可进行正常的访问。
参阅图3为本申请实施例提供的一种防网站流量攻击装置,该装置包括:
日志信息收集及分析模块301,用于执行采用日志分析工具对相关网站的访问日志信息进行收集并分析;
异常信息储存模块302,用于执行将分析得到的异常信息存入到异常用户消息队列中;
异常信息读取模块303,用于执行从所述异常用户消息队列中获取异常信息;并,
用户黑名单生成模块304,用于执行基于所述异常信息生成所述相关网站的访问用户黑名单;
拦截模块305,用于执行拦截所述访问用户黑名单中的异常用户对应的访问请求。
可选的,所述日志分析工具为ELK-Stack框架。
可选的,所述日志信息收集及分析模块301,用于执行:
通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息的数据,并将所述访问日志信息存入到用户指定的位置当中;
采用ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析。
可选的,所述日志信息收集及分析模块301,用于执行以下内容中的至少一种:
同一用户是否短时间内重复访问同一资源;
同一用户是否通过不断变化的ip进行访问;
用户是否通过浏览器之外的程序进行访问;
用户是否采用js脚本进行访问。
可选的,所述装置还用于执行:
若同一用户短时间内重复访问同一资源,则确定分析到该用户信息为异常信息;
若同一用户通过不断变化的ip进行访问,则确定分析到该用户信息为异常信息;
若用户通过浏览器之外的程序进行访问,则确定分析到该用户信息为异常信息;
若用户用js脚本进行访问,则确定分析到该用户信息为异常信息。
可选的,所述异常用户消息队列为RabbitMQ消息队列。
可选的,所述异常信息读取模块303,用于执行:
调用Spring Boot程序从所述异常用户消息队列中获取异常信息。
可选的,异常信息读取模块303,用于执行:
调用Spring Boot程序根据预置的定时任务从异常用户消息队列中获取异常信息;
所述用户黑名单生成模块304,用于执行:
将异常信息中包括的异常用户写入访问用户黑名单,其中,各异常用户在访问用户黑名单中的有效性为指定时长。
可选的,所述异常用户采用用户ip和/或用户标识ID进行表示。
在介绍了本申请示例性实施方式中的防网站流量攻击方法和装置之后,接下来,介绍本申请的另一示例性实施方式的智能终端。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本申请的智能终端可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有计算机程序,当计算机程序被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的防网站流量攻击方法中的步骤。例如,处理器可以执行如图1中所示的步骤101-步骤105。
下面参照图4来描述根据本申请的这种实施方式的智能终端130。图4显示的智能终端130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,智能终端130以通用智能终端的形式表现。智能终端130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
智能终端130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,和/或与使得该智能终端130能与一个或多个其它智能终端进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,智能终端130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于智能终端130的其它模块通信。应当理解,尽管图中未示出,可以结合智能终端130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的智能终端的控制方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在计算机设备上运行时,计算机程序用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的防网站流量攻击方法中的步骤,例如,计算机设备可以执行如图1中所示的步骤101-步骤105。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的用于防网站流量攻击的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括计算机程序,并可以在智能终端上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的计算机程序可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的计算机程序,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。计算机程序可以完全地在目标对象智能终端上执行、部分地在目标对象设备上执行、作为一个独立的软件包执行、部分在目标对象智能终端上部分在远程智能终端上执行、或者完全在远程智能终端或服务器上执行。在涉及远程智能终端的情形中,远程智能终端可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到目标对象智能终端,或者,可以连接到外部智能终端(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用计算机程序的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (20)
1.一种防网站流量攻击方法,其特征在于,所述方法包括:
采用日志分析工具对相关网站的访问日志信息进行收集并分析;
将分析得到的异常信息存入到异常用户消息队列中;
从所述异常用户消息队列中获取异常信息;并,
基于所述异常信息生成所述相关网站的访问用户黑名单;
拦截所述访问用户黑名单中的异常用户对应的访问请求。
2.根据权利要求1所述的方法,其特征在于,所述日志分析工具为ELK-Stack框架。
3.根据权利要2所述的方法,其特征在于,所述采用日志分析工具对相关网站的访问日志信息进行收集并分析,包括:
通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息的数据,并将所述访问日志信息存入到用户指定的位置当中;
采用ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析。
4.根据权利要求1所述的方法,其特征在于,分析访问日志信息,包括以下内容中的至少一种:
同一用户是否短时间内重复访问同一资源;
同一用户是否通过不断变化的ip进行访问;
用户是否通过浏览器之外的程序进行访问;
用户是否采用js脚本进行访问。
5.根据权利要求4所述的方法,其特征在于,还包括:
若同一用户短时间内重复访问同一资源,则确定分析到该用户信息为异常信息;
若同一用户通过不断变化的ip进行访问,则确定分析到该用户信息为异常信息;
若用户通过浏览器之外的程序进行访问,则确定分析到该用户信息为异常信息;
若用户用js脚本进行访问,则确定分析到该用户信息为异常信息。
6.根据权利要求1所述的方法,其特征在于,所述异常用户消息队列为RabbitMQ消息队列。
7.根据权利要求1所述的方法,其特征在于,所述从所述异常用户消息队列中获取异常信息,包括:
调用Spring Boot程序从所述异常用户消息队列中获取异常信息。
8.根据权利要求7所述的方法,其特征在于,
从所述异常用户消息队列中获取异常用户信息,包括:
调用Spring Boot程序根据预置的定时任务从异常用户消息队列中获取异常信息;
生成所述相关网站的访问用户黑名单,包括:
将异常信息中包括的异常用户写入访问用户黑名单,其中,各异常用户在访问用户黑名单中的有效性为指定时长。
9.根据权利要求1所述的方法,其特征在于,所述异常用户采用用户ip和/或用户标识ID进行表示。
10.一种防网站流量攻击装置,其特征在于,所述装置包括:
日志信息收集及分析模块,用于执行采用日志分析工具对相关网站的访问日志信息进行收集并分析;
异常信息储存模块,用于执行将分析得到的异常信息存入到异常用户消息队列中;
异常信息读取模块,用于执行从所述异常用户消息队列中获取异常信息;并,
用户黑名单生成模块,用于执行基于所述异常信息生成所述相关网站的访问用户黑名单;
拦截模块,用于执行拦截所述访问用户黑名单中的异常用户对应的访问请求。
11.根据权利要求10所述的装置,其特征在于,所述日志分析工具为ELK-Stack框架。
12.根据权利要11所述的装置,其特征在于,所述日志信息收集及分析模块,用于执行:
通过ELK-Stack框架中的数据收集引擎logstash收集相关网站的访问日志信息的数据,并将所述访问日志信息存入到用户指定的位置当中;
采用ELK-Stack框架中的分布式搜索和分析引擎Elasticsearch和数据分析和可视化平台Kibana对相关网站的访问日志信息进行分析。
13.根据权利要求10所述的装置,其特征在于,所述日志信息收集及分析模块,用于执行以下内容中的至少一种:
同一用户是否短时间内重复访问同一资源;
同一用户是否通过不断变化的ip进行访问;
用户是否通过浏览器之外的程序进行访问;
用户是否采用js脚本进行访问。
14.根据权利要求13所述的装置,其特征在于,所述装置还用于执行:
若同一用户短时间内重复访问同一资源,则确定分析到该用户信息为异常信息;
若同一用户通过不断变化的ip进行访问,则确定分析到该用户信息为异常信息;
若用户通过浏览器之外的程序进行访问,则确定分析到该用户信息为异常信息;
若用户用js脚本进行访问,则确定分析到该用户信息为异常信息。
15.根据权利要求10所述的装置,其特征在于,所述异常用户消息队列为RabbitMQ消息队列。
16.根据权利要求10所述的装置,其特征在于,所述异常信息读取模块,用于执行:
调用Spring Boot程序从所述异常用户消息队列中获取异常信息。
17.根据权利要求16所述的装置,其特征在于,异常信息读取模块,用于执行:
调用Spring Boot程序根据预置的定时任务从异常用户消息队列中获取异常信息;
所述用户黑名单生成模块,用于执行:
将异常信息中包括的异常用户写入访问用户黑名单,其中,各异常用户在访问用户黑名单中的有效性为指定时长。
18.根据权利要求10所述的装置,其特征在于,所述异常用户采用用户ip和/或用户标识ID进行表示。
19.一种智能终端,其特征在于,包括:存储器以及处理器;
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1-9任一项所述的方法。
20.一种计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1-9中任一权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910841412.0A CN110650126A (zh) | 2019-09-06 | 2019-09-06 | 一种防网站流量攻击方法、装置以及智能终端、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910841412.0A CN110650126A (zh) | 2019-09-06 | 2019-09-06 | 一种防网站流量攻击方法、装置以及智能终端、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110650126A true CN110650126A (zh) | 2020-01-03 |
Family
ID=68991594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910841412.0A Pending CN110650126A (zh) | 2019-09-06 | 2019-09-06 | 一种防网站流量攻击方法、装置以及智能终端、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110650126A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112272173A (zh) * | 2020-10-22 | 2021-01-26 | 苏州斯玛维科技有限公司 | 信息分析报警方法、装置和存储介质 |
CN113794719A (zh) * | 2021-09-14 | 2021-12-14 | 中国工商银行股份有限公司 | 一种基于Elasticsearch技术网络异常流量分析方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106534114A (zh) * | 2016-11-10 | 2017-03-22 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击系统 |
US20170251003A1 (en) * | 2016-02-29 | 2017-08-31 | Palo Alto Networks, Inc. | Automatically determining whether malware samples are similar |
CN107592305A (zh) * | 2017-08-30 | 2018-01-16 | 苏州朗动网络科技有限公司 | 一种基于elk和redis的防刷方法及系统 |
CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
-
2019
- 2019-09-06 CN CN201910841412.0A patent/CN110650126A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170251003A1 (en) * | 2016-02-29 | 2017-08-31 | Palo Alto Networks, Inc. | Automatically determining whether malware samples are similar |
CN106534114A (zh) * | 2016-11-10 | 2017-03-22 | 北京红马传媒文化发展有限公司 | 基于大数据分析的防恶意攻击系统 |
CN107592305A (zh) * | 2017-08-30 | 2018-01-16 | 苏州朗动网络科技有限公司 | 一种基于elk和redis的防刷方法及系统 |
CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
正经男大学生BRLF: "SpringBoot下RabbitMq实现定时任务", 《HTTPS://BLOG.CSDN.NET/U011554976/ARTICLE/DETAILS/92095025》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112272173A (zh) * | 2020-10-22 | 2021-01-26 | 苏州斯玛维科技有限公司 | 信息分析报警方法、装置和存储介质 |
CN113794719A (zh) * | 2021-09-14 | 2021-12-14 | 中国工商银行股份有限公司 | 一种基于Elasticsearch技术网络异常流量分析方法、装置和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107992398B (zh) | 一种业务系统的监控方法和监控系统 | |
US9246932B2 (en) | Selective website vulnerability and infection testing | |
EP3104287B1 (en) | Systems and methods for indexing and aggregating data records | |
CN107370806B (zh) | Http状态码监控方法、装置、存储介质和电子设备 | |
US9876813B2 (en) | System and method for web-based log analysis | |
US10491621B2 (en) | Website security tracking across a network | |
CN108334641B (zh) | 采集用户行为数据的方法、系统、电子设备、存储介质 | |
CN103384888A (zh) | 用于恶意软件的检测和扫描的系统和方法 | |
US11546380B2 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
CN110851324B (zh) | 基于日志的巡检处理方法、装置以及电子设备、存储介质 | |
CN111711617A (zh) | 网络爬虫的检测方法、装置、电子设备及存储介质 | |
WO2020106810A1 (en) | Method and system for remediating cybersecurity vulnerabilities based on utilization | |
CN114024764A (zh) | 数据库异常访问的监控方法、监控系统、设备和存储介质 | |
CN114070619A (zh) | 数据库异常访问的监控方法、监控系统、设备和存储介质 | |
CN110650126A (zh) | 一种防网站流量攻击方法、装置以及智能终端、存储介质 | |
EP3655878A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN115357761A (zh) | 链路追踪方法、装置、电子设备及存储介质 | |
CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
US8887291B1 (en) | Systems and methods for data loss prevention for text fields | |
CN112003833A (zh) | 异常行为检测方法和装置 | |
CN111026612A (zh) | 应用程序运行监控方法及装置、存储介质、电子设备 | |
KR20200005137A (ko) | 보안 이벤트를 처리하기 위한 위협 티켓 발행 방법 및 장치 | |
US20230344840A1 (en) | Method, apparatus, system, and non-transitory computer readable medium for identifying and prioritizing network security events | |
CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200103 |
|
RJ01 | Rejection of invention patent application after publication |