CN110958207B - 一种攻击检测方法、装置、设备和计算机存储介质 - Google Patents
一种攻击检测方法、装置、设备和计算机存储介质 Download PDFInfo
- Publication number
- CN110958207B CN110958207B CN201811124711.4A CN201811124711A CN110958207B CN 110958207 B CN110958207 B CN 110958207B CN 201811124711 A CN201811124711 A CN 201811124711A CN 110958207 B CN110958207 B CN 110958207B
- Authority
- CN
- China
- Prior art keywords
- data
- client
- attack source
- reflected
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供了一种攻击来源的检测方法、装置、设备和计算机存储介质,其中方法包括:收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和/或网络接入数据;对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定所述某客户端为攻击来源。本发明对通过虚拟机构造设备数据进行攻击的方式能够进行有效检测。
Description
【技术领域】
本发明涉及计算机应用技术领域,特别涉及一种攻击检测方法、装置、设备和计算机存储介质。
【背景技术】
近年来随着移动互联网的兴起,各种传统的业务逐渐转至线上,互联网金融、电子商务迅速发展,各种攻击也随之而来。随着业务需求的不断丰富,在向用户提供服务时,往往会伴随着获取用户设备的GPS位置、加速度、旋转角等等数据,攻击者为了应对此,往往通过虚拟机构造设备的GPS位置、加速度、旋转角等数据发送到服务器端,同时向服务器端进行攻击,例如频繁、大量地发送业务请求。
【发明内容】
有鉴于此,本发明提供了一种攻击检测方法、装置、设备和计算机存储介质,以便于实现对上述攻击的检测。
具体技术方案如下:
本发明提供了一种攻击检测方法,该方法包括:
收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和/或网络接入数据;
对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定所述某客户端为攻击来源。
根据本发明一具体实施方式,所述传感器数据包括以下至少一种:
GPS数据、陀螺仪数据、罗盘数据、加速度计数据和气压计数据。
根据本发明一具体实施方式,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的信息;
客户端所在设备所连接到的基站信息。
根据本发明一具体实施方式,所述收集客户端所在的设备数据包括:
收集所述客户端周期性地采集并上报的数据;或者,
收集所述客户端在账户登陆后随机性地采集并上报的数据;或者
收集所述客户端在发送业务请求时采集并上报的数据。
根据本发明一具体实施方式,若某客户端所在的设备数据满足以下条件中的至少一种,则确定所述某客户端所在的设备数据之间存在数据冲突:
GPS数据反映的位置变化超过预设位置变化阈值,但陀螺仪数据或罗盘数据反映的旋转角速度变化小于预设的旋转角变化阈值;
GPS数据反映的加速度与加速度计数据反映的加速度之间的差值超过预设加速度差值阈值;
GPS数据反映的地理位置与网络接入数据反映的地理位置之间的距离超过预设距离阈值;
依据GPS数据查询出对应地区的海拔与气压计数据反映的海拔之间的差值超过预设海拔差值阈值。
根据本发明一具体实施方式,该方法还包括:对确定为攻击来源的客户端采用以下安全措施中的至少一种:
拒绝攻击来源发送的业务请求;
限制攻击来源的连接速度;
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;
对攻击来源进行标识,进一步对攻击来源进行行为捕获和分析。
本发明还提供了一种攻击检测装置,该装置包括:
收集单元,用于收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和/或网络接入数据;
分析单元,用于对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定所述某客户端为攻击来源。
根据本发明一具体实施方式,所述传感器数据包括以下至少一种:
GPS数据、陀螺仪数据、罗盘数据、加速度计数据和气压计数据。
根据本发明一具体实施方式,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的信息;
客户端所在设备所连接到的基站信息。
根据本发明一具体实施方式,所述收集单元,具体执行:
收集所述客户端周期性地采集并上报的数据;或者,
收集所述客户端在账户登陆后随机性地采集并上报的数据;或者
收集所述客户端在发送业务请求时采集并上报的数据。
根据本发明一具体实施方式,若某客户端所在的设备数据满足以下条件中的至少一种,则所述分析单元确定所述某客户端所在的设备数据之间存在数据冲突:
GPS数据反映的位置变化超过预设位置变化阈值,但陀螺仪数据或罗盘数据反映的旋转角速度变化小于预设的旋转角变化阈值;
GPS数据反映的加速度与加速度计数据反映的加速度之间的差值超过预设加速度差值阈值;
GPS数据反映的地理位置与网络接入数据反映的地理位置之间的距离超过预设距离阈值;
依据GPS数据查询出对应地区的海拔与气压计数据反映的海拔之间的差值超过预设海拔差值阈值。
根据本发明一具体实施方式,该装置还包括:
安全处理单元,用于对确定为攻击来源的客户端采用以下安全措施中的至少一种:
拒绝攻击来源发送的业务请求;
限制攻击来源的连接速度;
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;
对攻击来源进行标识,进一步对攻击来源进行行为捕获和分析。
本发明还提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
本发明还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行上述的方法。
由以上技术方案可以看出,本发明通过分析客户端所在的设备数据之间是否存在数据冲突,来确定客户端是否为攻击来源,对通过虚拟机构造设备数据进行攻击的方式能够进行有效检测。
【附图说明】
图1为本发明实施例提供的系统架构图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的攻击检测装置结构图;
图4为适于用来实现本发明实施方式的示例性服务器的框图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
本发明采用客户端-服务器架构,如图1中所示,各客户端采集数据并上报给服务器端,由服务器端对客户端采集的数据进行分析以识别攻击来源。服务器端可以包括一台或多台服务器,客户端运行于用户终端设备,如个人计算机、笔记本电脑、无线电话、个人数字助理(PDA)、或其它计算机系统和通信系统。
图2为本发明实施例提供的方法流程图,该方法由服务器端执行,如图2所示,该方法可以包括以下步骤:
在201中,收集客户端所在的设备数据,设备数据包括:设备的运动传感器数据和/或网络接入数据。
客户端可以通过终端设备或浏览器的API(Application ProgrammingInterface,应用程序编程接口)采集在一段时间内(本发明实施例中称为第二时长内)的运动传感器数据和网络接入数据中的至少一种。
其中运动传感器数据可以包括以下至少一种:
1)GPS数据。即通过GPS得到的定位数据。可以为第二时长内GPS数据的平均值。
2)陀螺仪数据。可以为第二时长内陀螺仪采集的旋转角速度平均值。具体地,可以是x、y、z轴分别对应的旋转角速度的平均值。例如,确定第二时长内陀螺仪采集的x轴上的旋转角速度的平均值、y轴上的旋转角速度的平均值、z轴上的旋转角速度的平均值。
3)罗盘数据。可以为第二时长内罗盘采集的旋转向量平均值。具体地,可以是x、y、z轴分别对应的旋转向量的平均值。例如,确定第二时长内陀螺仪采集的x轴上的旋转向量的平均值、y轴上的旋转向量的平均值、z轴上的旋转向量的平均值。
4)加速计数据。可以为第二时长内加速计采集的加速度平均值。具体地,可以是x、y、z轴分别对应的加速度的平均值。例如,确定第二时长内加速计采集的x轴上的加速度的平均值、y轴上的加速度的平均值、z轴上的加速度的平均值。
4)气压计数据。即气压计测量得到的大气压强数据,可以为第二时长内大气压强的平均值。
网络接入数据可以包括以下至少一种:
1)客户端所在设备所连接到的WIFI热点的地址信息,例如MAC地址。
2)客户端所在设备所连接到的基站信息,例如小区标识(Cell ID)或LAC(location area code,位置区编码)。
上述第二时长通常是一个较短的时长,例如取1分钟。
客户端可以周期性地采集并上报数据,例如每隔10分钟采集1分钟的传感器数据和/网络接入数据并上报给服务器端。这种方式适用于账户登陆的情况,也可以适用于账户未登陆的情况。
客户端也可以在账户登陆后随机性地采集并上报数据。例如客户端随机地每隔几分钟就采集1分钟的传感器数据和/网络接入数据并上报给服务器端。
或者,客户端也可以在发送业务请求时采集1分钟的传感器数据并上报给服务器端。
在202中,对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定该客户端为攻击来源。
服务器端对于客户端上报的数据都会进行存储并记录采集时间。服务器端可以周期性地对预设时长(本实施例称为第一时长)内客户端采集到的数据进行分析。本实施例中,第一时长通常大于或等于第二时长。例如,第二时长可以取1分钟,第一时长可以取半小时。例如,服务器端每隔半小时对该半小时内客户端上报的数据进行分析。
由于攻击者大多通过虚拟机构造设备的GPS位置、加速度、旋转角等数据,这些数据往往构造的并不严密,数据之间可能会存在冲突。而真实的设备这些数据往往是对设备运动状态、网络接入状态的真实反映,通常同一设备采集的不同数据之间是不会存在冲突的。利用这一特性,本发明实施例中,在对数据进行分析时,如果某客户端所在设备数据满足以下条件中的一个或多个,则可以认为该客户端为攻击来源:
条件1:GPS数据反映位置变化超过预设位置变化阈值,但陀螺仪数据或罗盘数据反映旋转角速度变化小于预设的旋转角变化阈值。GSP位置的变化,往往会造成设备发声震动或者方向变化,因此设备中陀螺仪或罗盘采集到的旋转角速度会发生变化。如果设备GPS位置发生较大变化,而旋转角速度则几乎没有变化,则可以怀疑这些数据是伪造的,认为对应客户端为攻击来源。
条件2:GPS数据反映的加速度与加速度计数据反映的加速度之间的差值超过预设加速度差值阈值。如果通过GPS的位置数据计算出的加速度与加速度计采集到的加速度之间存在较大区别,例如,GPS数据计算出的平均加速度与加速度计采集的平均加速度区别很大,则可以怀疑这些数据是伪造的,认为对应客户端为攻击来源。
条件3:GPS数据反映的地理位置与网络接入数据反映的地理位置之间的距离超过预设距离阈值。如果通过网络接入数据查询得到的对应地理位置,例如通过接入的WIFI设备或者基站可以查询到对应的地理位置,其与GPS位置数据存在较大差异,则可以怀疑这些数据是伪造的,认为对应客户端为攻击来源。
条件4:依据GPS数据查询出对应地区的海拔与气压计数据反映的海拔之间的差值超过预设海拔差值阈值。根据GPS位置数据可以确定出对应的地区,通过查询数据库可以得到该地区对应的海拔,如果该海拔与气压计采集的大气压强对应的海拔数据差距较大,例如相差100米,则可以怀疑这些数据是伪造的,认为对应客户端为攻击来源。
当然并不限于上述条件,本发明实施例并未对所有条件进行穷举,对于其他能够反映客户端所在设备数据之间存在数据冲突的其他条件,本发明同样可以采用。
对于标识为攻击来源的客户端,可以采用但不限于以下措施:
1)拒绝攻击来源发送的业务请求。若标识为攻击来源的客户端发送业务请求,则服务器端可以拒绝对该业务请求进行响应。
2)限制攻击来源的连接速度。服务器端在确定出攻击来源后,可以限制标识为攻击来源的客户端连接服务器的速度。
3)接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证手段,如果验证失败,则拒绝该业务请求。例如,可以进一步向标识为攻击来源的客户端发送验证码,如果验证失败,则拒绝对其发送的业务请求进行响应。
4)对攻击来源进行标识,以进一步对攻击来源进行分析。例如采用蜜罐技术对攻击来源进行进一步的行为捕获和分析。
以上是对本发明提供的方法进行的详述,下面结合实施例对本发明提供的装置进行详述。
图3为本发明实施例提供的攻击来源的检测装置结构图,如图3所示,该装置可以包括:收集单元01和分析单元02,还可以包括安全处理单元03。其中各组成单元的主要功能如下:
收集单元01负责收集客户端所在的设备数据,设备数据包括设备的传感器数据和/或网络接入数据。
其中,运动传感器数据可以包括但不限于:GPS数据、陀螺仪数据、罗盘数据、加速度计数据和气压计数据。例如获取一定时长内GPS数据的平均值、旋转角速度平均值、加速度平均值、大气压强平均值。
网络接入数据可以包括但不限于:客户端所在设备所连接到的WIFI热点的信息,客户端所在设备所连接到的基站信息。例如,客户端所在设备所连接到的WIFI热点的MAC地址,客户端所在设备所连接到的Cell ID、基站的LAC等。
另外,收集单元01可以收集客户端周期性地采集并上报的数据;或者,收集客户端在账户登陆后随机性地采集并上报的数据;或者收集客户端在发送业务请求时采集并上报的数据,等等。
分析单元02负责对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定某客户端为攻击来源。
若某客户端所在的设备数据满足以下条件中的至少一种,则分析单元02可以确定某客户端所在的设备数据之间存在数据冲突:
条件1:GPS数据反映位置变化超过预设位置变化阈值,但陀螺仪数据或罗盘数据反映旋转角速度变化小于预设的旋转角变化阈值;
条件2:GPS数据反映的加速度与加速度计数据反映的加速度之间的差值超过预设加速度差值阈值;
条件3:GPS数据反映的地理位置与网络接入数据反映的地理位置之间的距离超过预设距离阈值;
条件4:依据GPS数据查询出对应地区的海拔与气压计数据反映的海拔之间的差值超过预设海拔差值阈值。
安全处理单元03负责对确定为攻击来源的客户端采用以下安全措施中的至少一种:
拒绝攻击来源发送的业务请求;
限制攻击来源的连接速度;
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;
对攻击来源进行标识,进一步对攻击来源进行行为捕获和分析。
图4示出了适于用来实现本发明实施方式的示例性服务器012的框图。图4显示的服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,服务器012以通用计算设备的形式表现。服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该服务器012交互的设备通信,和/或与使得该服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与服务器012的其它模块通信。应当明白,尽管图4中未示出,可以结合服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现一种攻击来源的检测方法,可以包括:
收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和/或网络接入数据;
对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定所述某客户端为攻击来源。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行的方法流程,可以包括:
收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和/或网络接入数据;
对预设时长内收集到的客户端所在的设备数据进行分析,若某客户端所在的设备数据之间存在数据冲突,则确定所述某客户端为攻击来源。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言-诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种攻击检测方法,其特征在于,该方法包括:
服务器端收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和网络接入数据;
对预设时长内收集到的客户端所在的设备数据进行以下分析:
分析是否GPS数据反映的位置变化超过预设位置变化阈值,但陀螺仪数据或罗盘数据反映的旋转角速度变化小于预设的旋转角变化阈值;
分析是否GPS数据反映的加速度与加速度计数据反映的加速度之间的差值超过预设加速度差值阈值;
分析是否GPS数据反映的地理位置与网络接入数据反映的地理位置之间的距离超过预设距离阈值;
分析是否依据GPS数据查询出对应地区的海拔与气压计数据反映的海拔之间的差值超过预设海拔差值阈值;
确定至少存在以上至少一个分析结果为是的客户端所在的设备数据之间存在数据冲突,并确定该客户端为通过虚拟机构造设备数据进行攻击的攻击来源。
2.根据权利要求1所述的方法,其特征在于,所述传感器数据包括以下至少一种:
GPS数据、陀螺仪数据、罗盘数据、加速度计数据和气压计数据。
3.根据权利要求1所述的方法,其特征在于,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的信息;
客户端所在设备所连接到的基站信息。
4.根据权利要求1所述的方法,其特征在于,所述收集客户端所在的设备数据包括:
收集所述客户端周期性地采集并上报的数据;或者,
收集所述客户端在账户登陆后随机性地采集并上报的数据;或者
收集所述客户端在发送业务请求时采集并上报的数据。
5.根据权利要求1所述的方法,其特征在于,该方法还包括:对确定为攻击来源的客户端采用以下安全措施中的至少一种:
拒绝攻击来源发送的业务请求;
限制攻击来源的连接速度;
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;
对攻击来源进行标识,进一步对攻击来源进行行为捕获和分析。
6.一种攻击检测装置,设置于服务器端,其特征在于,该装置包括:
收集单元,用于收集客户端所在的设备数据,所述设备数据包括设备的传感器数据和网络接入数据;
分析单元,用于对预设时长内收集到的客户端所在的设备数据进行以下分析:
分析是否GPS数据反映的位置变化超过预设位置变化阈值,但陀螺仪数据或罗盘数据反映的旋转角速度变化小于预设的旋转角变化阈值;
分析是否GPS数据反映的加速度与加速度计数据反映的加速度之间的差值超过预设加速度差值阈值;
分析是否GPS数据反映的地理位置与网络接入数据反映的地理位置之间的距离超过预设距离阈值;
分析是否依据GPS数据查询出对应地区的海拔与气压计数据反映的海拔之间的差值超过预设海拔差值阈值;
确定至少存在以上至少一个分析结果为是的客户端所在的设备数据之间存在数据冲突,并确定该客户端为通过虚拟机构造设备数据进行攻击的攻击来源。
7.根据权利要求6所述的装置,其特征在于,所述传感器数据包括以下至少一种:
GPS数据、陀螺仪数据、罗盘数据、加速度计数据和气压计数据。
8.根据权利要求6所述的装置,其特征在于,所述网络接入数据包括以下至少一种:
客户端所在设备所连接到的WIFI热点的信息;
客户端所在设备所连接到的基站信息。
9.根据权利要求6所述的装置,其特征在于,所述收集单元,具体执行:
收集所述客户端周期性地采集并上报的数据;或者,
收集所述客户端在账户登陆后随机性地采集并上报的数据;或者
收集所述客户端在发送业务请求时采集并上报的数据。
10.根据权利要求6所述的装置,其特征在于,该装置还包括:
安全处理单元,用于对确定为攻击来源的客户端采用以下安全措施中的至少一种:
拒绝攻击来源发送的业务请求;
限制攻击来源的连接速度;
接收到攻击来源发送的业务请求后,向攻击来源发送进一步的验证信息,如果验证失败,则拒绝该业务请求;
对攻击来源进行标识,进一步对攻击来源进行行为捕获和分析。
11.一种攻击检测设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
12.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811124711.4A CN110958207B (zh) | 2018-09-26 | 2018-09-26 | 一种攻击检测方法、装置、设备和计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811124711.4A CN110958207B (zh) | 2018-09-26 | 2018-09-26 | 一种攻击检测方法、装置、设备和计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110958207A CN110958207A (zh) | 2020-04-03 |
CN110958207B true CN110958207B (zh) | 2021-02-12 |
Family
ID=69964711
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811124711.4A Active CN110958207B (zh) | 2018-09-26 | 2018-09-26 | 一种攻击检测方法、装置、设备和计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110958207B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112003834B (zh) * | 2020-07-30 | 2022-09-23 | 瑞数信息技术(上海)有限公司 | 异常行为检测方法和装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6876302B1 (en) * | 2003-01-13 | 2005-04-05 | Verizon Corporate Services Group Inc. | Non-lethal personal deterrent device |
CN102752710A (zh) * | 2011-04-22 | 2012-10-24 | 喜讯无限(北京)科技有限责任公司 | 基于加速度传感器、陀螺仪和移动定位技术的多移动设备实时交互实现系统和方法 |
CN102906589A (zh) * | 2010-03-22 | 2013-01-30 | 高通股份有限公司 | 反欺骗检测系统 |
CN105334522A (zh) * | 2015-12-07 | 2016-02-17 | 北京奇虎科技有限公司 | Gps攻击的检测方法及装置 |
CN105549034A (zh) * | 2015-12-07 | 2016-05-04 | 北京奇虎科技有限公司 | Gps攻击的检测方法及装置 |
CN107544074A (zh) * | 2016-06-28 | 2018-01-05 | 东北大学 | 一种无人机识别虚假gps信号的方法 |
-
2018
- 2018-09-26 CN CN201811124711.4A patent/CN110958207B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6876302B1 (en) * | 2003-01-13 | 2005-04-05 | Verizon Corporate Services Group Inc. | Non-lethal personal deterrent device |
CN102906589A (zh) * | 2010-03-22 | 2013-01-30 | 高通股份有限公司 | 反欺骗检测系统 |
CN102752710A (zh) * | 2011-04-22 | 2012-10-24 | 喜讯无限(北京)科技有限责任公司 | 基于加速度传感器、陀螺仪和移动定位技术的多移动设备实时交互实现系统和方法 |
CN105334522A (zh) * | 2015-12-07 | 2016-02-17 | 北京奇虎科技有限公司 | Gps攻击的检测方法及装置 |
CN105549034A (zh) * | 2015-12-07 | 2016-05-04 | 北京奇虎科技有限公司 | Gps攻击的检测方法及装置 |
CN107544074A (zh) * | 2016-06-28 | 2018-01-05 | 东北大学 | 一种无人机识别虚假gps信号的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110958207A (zh) | 2020-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109145680B (zh) | 一种获取障碍物信息的方法、装置、设备和计算机存储介质 | |
CN112953933B (zh) | 异常攻击行为检测方法、装置、设备及存储介质 | |
CN100451984C (zh) | 用于降低网络入侵检测系统的虚假警报率的方法和系统 | |
CN110633991A (zh) | 风险识别方法、装置和电子设备 | |
CN107948274B (zh) | 交易认证方法和系统、服务器、存储介质 | |
CN110633033A (zh) | 任务显示的方法、设备和计算机存储介质 | |
CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
CN114374566B (zh) | 一种攻击检测方法及装置 | |
CN112134837A (zh) | Web攻击行为的检测方法和系统 | |
CN110826036A (zh) | 用户操作行为安全性的识别方法、装置和电子设备 | |
CN109450669A (zh) | 一种异常报警的方法、设备和计算机存储介质 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN110958207B (zh) | 一种攻击检测方法、装置、设备和计算机存储介质 | |
CN110207643B (zh) | 折叠角度检测方法、装置、终端及存储介质 | |
CN110519269B (zh) | 图文点选数据的验证方法、装置、系统及移动终端 | |
CN110958208B (zh) | 一种攻击来源的检测方法、装置、设备和计算机存储介质 | |
CN111210225A (zh) | 交易系统的状态监控方法、装置、设备和存储介质 | |
CN107704589B (zh) | 基于运单的兴趣点失效挖掘方法、装置、服务器及介质 | |
CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
CN112434245A (zh) | 基于ueba进行异常行为事件的判断方法、装置及相关产品 | |
EP3542509B1 (en) | Velocity event evaluation system | |
CN110868410B (zh) | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 | |
CN113225325A (zh) | 一种ip黑名单确定方法、装置、设备及存储介质 | |
CN113839944A (zh) | 应对网络攻击的方法、装置、电子设备和介质 | |
CN114187509A (zh) | 对象定位方法、装置、电子设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |