CN111224980A - 拒绝服务攻击的检测方法、装置、电子设备和介质 - Google Patents
拒绝服务攻击的检测方法、装置、电子设备和介质 Download PDFInfo
- Publication number
- CN111224980A CN111224980A CN201911425741.3A CN201911425741A CN111224980A CN 111224980 A CN111224980 A CN 111224980A CN 201911425741 A CN201911425741 A CN 201911425741A CN 111224980 A CN111224980 A CN 111224980A
- Authority
- CN
- China
- Prior art keywords
- access
- access request
- abnormal
- determining
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种拒绝服务攻击的检测方法,包括:获取访问请求;将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。本公开还提供了一种拒绝服务攻击的检测装置、电子设备、可读存储介质和计算机程序产品。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种拒绝服务攻击的检测方法和一种拒绝服务攻击的检测装置、电子设备和介质。
背景技术
拒绝服务攻击是指通过向服务器发送大量垃圾信息或者干扰信息的方式,导致服务器无法向正常用户提供服务的现象。因此,对于拒绝服务攻击的检测和防御是一件势在必行的事情。
在实现本公开构思的过程中,发明人发现相关技术中至少存在如下问题:拒绝服务攻击的检测不准确,容易出现误检测的情况。
发明内容
有鉴于此,本公开提供了一种拒绝服务攻击的检测方法和一种拒绝服务攻击的检测装置、电子设备和介质。
本公开的一个方面提供了一种拒绝服务攻击的检测方法,包括:获取访问请求;将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。
根据本公开的实施例,确定针对访问请求的访问流量阈值包括:确定与访问请求相符的异常访问特征;基于与访问请求相符的异常访问特征,确定访问请求所属的异常访问的异常访问类型;将异常访问类型的访问流量阈值作为针对访问请求的访问流量阈值。
根据本公开的实施例,该方法还可以包括获取多个异常访问类型各自的历史访问流量;基于历史访问流量,利用机器学习确定多个异常访问类型各自的访问流量阈值。
根据本公开的实施例,将访问请求的访问特征与行为知识库比对包括:将访问请求所属的协议类型,和/或生成访问请求的应用的应用信息,和/或生成访问请求的设备信息,分别与行为知识库中的相应项目进行比对。
根据本公开的实施例,将访问请求的访问特征与行为知识库比对,以确定访问请求是否是异常访问包括:确定访问请求所属的协议类型;确定访问请求的数据包的数量和数据包的内容;以及基于协议类型、数据包的数量和数据包的内容确定访问请求是否是异常访问。
本公开的另一个方面提供了一种拒绝服务攻击的检测装置,包括:第一获取模块,用于获取访问请求;分析模块,用于将访问请求的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;第一确定模块,用于在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及第二确定模块,用于在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。
根据本公开的实施例,第一确定模块包括:第一确定子模块,用于确定与访问请求相符的异常访问特征;第二确定子模块,用于基于与访问请求相符的异常访问特征,确定访问请求所属的异常访问的异常访问类型;第三确定子模块,用于将异常访问类型的访问流量阈值作为针对访问请求的访问流量阈值。
根据本公开的实施例,该装置还可以包括第二获取模块,用于获取多个异常访问类型各自的历史访问流量;第三确定模块,用于基于历史访问流量,利用机器学习确定多个异常访问类型各自的访问流量阈值。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器执行上述任意一项的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上的方法。
本公开的另一方面提供了一种计算机程序产品,计算机程序包括计算机可执行指令,指令在被执行时用于实现如上的方法。
根据本公开的实施例,可以至少部分地解决拒绝服务攻击检测不准确问题,并因此可以实现提高检测拒绝服务攻击的准确度,至少部分地避免误检测情况发生的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的可以应用拒绝服务攻击的检测的示例性系统架构;
图2示意性示出了根据本公开实施例的拒绝服务攻击的检测方法的流程图;
图3示意性示出了根据本公开实施例的在操作确定针对访问请求的访问流量阈值的方法流程图;
图4示意性示出了根据本公开另一实施例的检测方法的流程图;
图5示意性示出了根据本公开另一实施例的确定访问请求是否是异常访问的方法流程图;
图6示意性示出了根据本公开实施例的行为知识库的示例性示意图;
图7示意性示出了根据本公开实施例的拒绝服务攻击的检测装置的框图;以及
图8示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种拒绝服务攻击的检测方法,包括:获取访问请求;将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的;在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值;以及在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。
图1示意性示出了根据本公开实施例的可以应用拒绝服务攻击的检测的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备103、网络104和服务器105。网络104用以在终端设备103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备103通过网络104与服务器105交互,以接收或发送消息等。
例如恶意用户可以使用终端设备103通过网络104与服务器105建立通信连接,并向服务器105发送大量垃圾信息或者干扰信息,以破坏服务器105向正常用户提供服务。
终端设备103可以是支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的拒绝服务攻击的检测方法一般可以由服务器105执行。相应地,本公开实施例所提供的拒绝服务攻击的检测装置一般可以设置于服务器105中。本公开实施例所提供的拒绝服务攻击的检测方法也可以由不同于服务器105且能够与终端设备103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的拒绝服务攻击的检测装置也可以设置于不同于服务器105且能够与终端设备103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开实施例的拒绝服务攻击的检测方法的流程图。
如图2所示,该方法包括操作S201~S204。
在操作S201,获取访问请求。
根据本公开的实施例,访问请求可以是任何协议的访问请求。例如http、dns、smtp、ftp、ssh、pop3、imap、mssql、mysql、oracle、mongodb、postgres、radius、db2、netbios、smb、msrpc、rpc、rdp、ssl、ldap、sip、kerberos、dhcp、rtsp、telnet、tftp、sctp、snmp、lpd、ike、postgres、icmp、nntp、Redis、nfs、LDAP、L2TP等协议。
在操作S202,将访问请求中的访问特征与行为知识库进行比对,以确定访问请求是否是异常访问,其中,行为知识库是根据多个历史异常访问的异常访问特征而生成的。
根据本公开的实施例,访问特征例如可以是访问请求的协议、访问请求的数据包的数量、数据包的内容等。
根据本公开的实施例,行为知识库例如可以是通过机器学习的方法对多个历史异常访问进行训练而得出的异常访问特征。该行为知识库包括可以多种协议的访问请求的异常访问特征。例如行为知识库可以包括http协议的访问请求的异常访问特征。
具体地,例如可以是通过卷积神经网络对大量异常http协议的访问请求进行训练而获得的针对http协议的异常访问特征。
根据本公开的实施例,例如可以将访问请求所属的协议类型、生成访问请求的应用的应用信息以及生成访问请求的设备信息与行为知识库中的相应项目进行比对。
根据本公开的实施例,生成访问请求的应用例如可以是向服务器发送该访问请求的应用。该应用例如可以是某邮箱、某即时通讯软件。应用信息例如可以是该应用的标识、版本号等。生成访问请求的设备信息,例如可以是向服务器发送该访问请求的设备的设备信息。例如可以是设备的地址、设备类型、设备安装的系统等。
在操作S203,在确定访问请求是异常访问的情况下,确定针对访问请求的访问流量阈值。
例如当访问请求的访问特征与至少一个异常访问特征相符的情况下,确定访问请求是异常访问。或者也可以是当访问请求的访问特征同时与多个异常访问特征相符的情况下,确定访问请求是异常访问行为。
根据本公开的实施例,在确定访问请求是异常访问行为的情况下,可以确定针对该异常访问行为的访问流量阈值。
在操作S204,在访问请求在一定时间段内的访问流量大于访问流量阈值的情况下,确定访问请求为拒绝服务攻击。
根据本公开的实施例,该方法可以向根据防问请求的防问特征来判断该访问请求是否是异常访问,在确定是异常访问的情况下,再将一定时间段内的访问流量与访问流量阈值进行比较,从而提高了检测准确度,至少部分地避免了误检测情况的发生。
图3示意性示出了根据本公开实施例的在操作S203确定针对访问请求的访问流量阈值的方法流程图。
如图3所示,该方法可以包括操作S213~S233。
在操作S213,确定与访问请求相符的异常访问特征。
例如可以该访问请求可以是http协议的访问请求,而行为知识库中指示了针对http协议的访问请求的多个异常访问特征。例如该访问请求符合该多个异常访问特征中的3个异常访问特征,该3个异常访问特征可以分别是访问请求中数据包括携带的内容长度较长,长时间收不到后续包,收到的后续包的较短。
在操作S223,基于与访问请求相符的异常访问特征,确定访问请求所属的异常访问的异常访问类型。
根据本公开的实施例,异常访问类型例如可以包括慢速拒绝服务攻击、挑战黑洞攻击(Challenge Collapsar攻击)、UDP拒绝服务攻击、ACK拒绝服务攻击等等。
根据本公开的实施例,例如符合访问请求中数据包括携带的内容长度较长,长时间收不到后续包,收到的后续包的较短特征的访问请求可以是慢速拒绝服务攻击行为。
在操作S233,将异常访问类型的访问流量阈值作为针对访问请求的访问流量阈值。
根据本公开的实施例,例如在行为知识库中可以存储有针对各自异常访问类型的访问流量阈值。将行为知识库中的异常访问类型的访问流量阈值作为针对访问请求的访问流量阈值。
具体地,在上述实施例中,可以将行为知识库中慢速拒绝服务攻击的访问流量阈值作为针对该访问请求的访问流量阈值。
根据本公开的实施例,该方法可以针对不同类型的异常访问行为设置最佳的防问流量阈值,进一步提高了检测拒绝防问攻击的准确性。
图4示意性示出了根据本公开另一实施例的检测方法的流程图。
如图4所示,该检测方法在前述图2描述的操作S201~S204的基础上还可以包括操作S401和操作S402。
在操作S401,获取多个异常访问类型各自的历史访问流量。
例如可以分别获取慢速拒绝服务攻击、挑战黑洞攻击(Challenge Collapsar攻击)、UDP拒绝服务攻击、ACK拒绝服务攻击等等异常访问类型的历史访问流量。
在操作S402,基于历史访问流量,利用机器学习确定多个异常访问类型各自的访问流量阈值。
例如可以根据慢速拒绝服务攻击的历史访问流量,利用卷积神经网络训练出针对慢速拒绝服务攻击的访问流量阈值。
根据本公开的实施例,不同的异常访问类型的访问流量阈值可以是不同的。可以通过机器学习的方法训练得到针对不同异常访问类型的访问流量阈值。具体地,例如针对icmp报文,正常的行为每秒的报文数不应该超过10个,而对于异常行为我们设置的阈值可以为15个;而对于syn报文正常行为可能报文数量就比较大,能够达到几十甚至几百,所以syn报文的阈值可能是1000。根据本公开的实施例,可以根据具体的协议或者应用以及实际的场景进行分析并且通过大量数据的机器学习来确定对应的阈值。
例如可以是获取多个10秒内的历史访问流量,并且从历史访问流量中确定出不同异常访问类型各自的历史访问流量。例如每10秒内,针对异常访问类型A的历史访问流量分别为20、25、32等等,那么可以根据20、25、32等历史访问流量,可以利用神经网络的方法训练出针对异常访问类型A的访问流量阈值。
根据本公开的实施例,可以利用机器学习对正常访问的访问流量进行训练,获得正常访问的访问流量,从而根据正常访问的访问流量确定异常访问行为的访问流量阈值。或者也可以是利用机器学习的方法直接训练异常访问行为的访问流量,获得异常访问的访问流量阈值。
图5示意性示出了根据本公开另一实施例的确定访问请求是否是异常防问的方法流程图。
如图5所示,该方法可以包括操作S212~S232。
在操作S212,确定访问请求所属的协议类型。
在操作S222,确定访问请求的数据包的数量和数据包的内容。
在操作S232,基于协议类型、数据包的数量和数据包的内容确定访问请求是否是异常访问。
例如在操作S212所确定的访问请求的协议类型为http协议,对该访问请求的访问特征进行行为知识库检测。访问特征例如可以包括数据包的数量和数据包的内容。当检测到该访问请求中的数据包所携带的内容长度较大、长时间接收不到后续包以及接收到的后续包的长度较小的情况下,可以确定该访问请求是异常访问行为。
图6示意性示出了根据本公开实施例的行为知识库的示例性示意图。
如图6所示,在该行为知识库中可以包括异常访问特征集合610,在该异常访问特征集合610中可以包括多个异常访问特征。
如图6所示,若访问请求的访问特征与异常访问特征A~C匹配,则访问请求属于第一异常访问类型。第一异常访问类型的访问流量阈值可以是第一访问流量阈值。
若访问请求的访问特征与异常访问特征B、D、F匹配,则访问请求属于第二异常访问类型。第二异常访问类型的访问流量阈值可以是第二访问流量阈值。
若访问请求的访问特征与异常访问特征D~F匹配,则访问请求属于第三异常访问类型。第三异常访问类型的访问流量阈值可以是第三访问流量阈值。
根据本公开的实施例,图6所示出的例如可以仅仅是行为知识库的一部分,该部分例如可以是针对http协议所建立的行为知识库。在行为知识库中还可以包括其他协议类型的行为知识库。
图7示意性示出了根据本公开实施例的拒绝服务攻击的检测装置700的框图。
如图7所示,检测装置700可以包括第一获取模块710、分析模块720、第一确定模块730和第一确定模块740。
第一获取模块710,例如可以执行上文参考图2描述的方法S201,用于用于获取访问请求;
分析模块720,例如可以执行上文参考图2描述的方法S202,用于将所述访问请求的访问特征与行为知识库进行比对,以确定所述访问请求是否是异常访问,其中,所述行为知识库是根据多个历史异常访问的异常访问特征而生成的。
第一确定模块730,例如可以执行上文参考图2描述的方法S203,用于在确定所述访问请求是异常访问的情况下,确定针对所述访问请求的访问流量阈值。
第二确定模块740,例如可以执行上文参考图2描述的方法S204,用于在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下,确定所述访问请求为拒绝服务攻击。
根据本公开的实施例,第一确定模块包括:第一确定子模块,用于确定与所述访问请求相符的异常访问特征;第二确定子模块,用于基于与所述访问请求相符的异常访问特征,确定所述访问请求所属的异常访问的异常访问类型;第三确定子模块,用于将所述异常访问类型的访问流量阈值作为针对所述访问请求的访问流量阈值。
根据本公开的实施例,检测装置700还可以包括第二获取模块,用于获取多个异常访问类型各自的历史访问流量;第三确定模块,用于基于所述历史访问流量,利用机器学习确定所述多个异常访问类型各自的访问流量阈值。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或同件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块710、分析模块720、第一确定模块730和第一确定模块740中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块710、分析模块720、第一确定模块730和第一确定模块740中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块710、分析模块720、第一确定模块730和第一确定模块740中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图8示意性示出了根据本公开实施例的电子设备的方框图。图8示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,根据本公开实施例的电子设备800包括处理器801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。处理器801例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器801还可以包括用于缓存用途的板载存储器。处理器801可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 803中,存储有电子设备800操作所需的各种程序和数据。处理器801、ROM802以及RAM 803通过总线804彼此相连。处理器801通过执行ROM 802和/或RAM 803中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM802和RAM 803以外的一个或多个存储器中。处理器801也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备800还可以包括输入/输出(I/O)接口805,输入/输出(I/O)接口805也连接至总线804。电子设备800还可以包括连接至I/O接口805的以下部件中的一项或多项:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该计算机程序被处理器801执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 802和/或RAM 803和/或ROM 802和RAM 803以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (10)
1.一种拒绝服务攻击的检测方法,包括:
获取访问请求;
将所述访问请求中的访问特征与行为知识库进行比对,以确定所述访问请求是否是异常访问,其中,所述行为知识库是根据多个历史异常访问的异常访问特征而生成的;
在确定所述访问请求是异常访问的情况下,确定针对所述访问请求的访问流量阈值;以及
在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下,确定所述访问请求为拒绝服务攻击。
2.根据权利要求1所述的检测方法,其中,所述确定针对所述访问请求的访问流量阈值包括:
确定与所述访问请求相符的异常访问特征;
基于与所述访问请求相符的异常访问特征,确定所述访问请求所属的异常访问的异常访问类型;
将所述异常访问类型的访问流量阈值作为针对所述访问请求的访问流量阈值。
3.根据权利要求2所述的检测方法,还包括:
获取多个异常访问类型各自的历史访问流量;
基于所述历史访问流量,利用机器学习确定所述多个异常访问类型各自的访问流量阈值。
4.根据权利要求1所述的检测方法,其中,所述将所述访问请求的访问特征与行为知识库比对包括:
将所述访问请求所属的协议类型,和/或,生成所述访问请求的应用的应用信息,和/或,生成所述访问请求的设备信息,分别与行为知识库中的相应项目进行比对。
5.根据权利要求1所述的检测方法,其中,所述将所述访问请求的访问特征与行为知识库比对,以确定所述访问请求是否是异常访问包括:
确定所述访问请求所属的协议类型;
确定所述访问请求的数据包的数量和所述数据包的内容;以及
基于所述协议类型、所述数据包的数量和所述数据包的内容确定所述访问请求是否是异常访问。
6.一种拒绝服务攻击的检测装置,包括:
第一获取模块,用于获取访问请求;
分析模块,用于将所述访问请求的访问特征与行为知识库进行比对,以确定所述访问请求是否是异常访问,其中,所述行为知识库是根据多个历史异常访问的异常访问特征而生成的;
第一确定模块,用于在确定所述访问请求是异常访问的情况下,确定针对所述访问请求的访问流量阈值;以及
第二确定模块,用于在所述访问请求在一定时间段内的访问流量大于所述访问流量阈值的情况下,确定所述防问请求为拒绝服务攻击。
7.根据权利要求6所述的检测装置,其中,所述第一确定模块包括:
第一确定子模块,用于确定与所述访问请求相符的异常访问特征;
第二确定子模块,用于基于与所述访问请求相符的异常访问特征,确定所述访问请求所属的异常访问的异常访问类型;
第三确定子模块,用于将所述异常访问类型的访问流量阈值作为针对所述访问请求的访问流量阈值。
8.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1~5所述任意一项的方法。
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如权利要求1~5所述任意一项的方法。
10.一种计算机程序产品,其包括计算机可执行指令,该该指令被处理器执行时使处理器执行如权利要求1~5所述任意一项的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911425741.3A CN111224980A (zh) | 2019-12-31 | 2019-12-31 | 拒绝服务攻击的检测方法、装置、电子设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911425741.3A CN111224980A (zh) | 2019-12-31 | 2019-12-31 | 拒绝服务攻击的检测方法、装置、电子设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111224980A true CN111224980A (zh) | 2020-06-02 |
Family
ID=70828070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911425741.3A Pending CN111224980A (zh) | 2019-12-31 | 2019-12-31 | 拒绝服务攻击的检测方法、装置、电子设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111224980A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112953938A (zh) * | 2021-02-20 | 2021-06-11 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN113297241A (zh) * | 2021-06-11 | 2021-08-24 | 工银科技有限公司 | 网络流量的判断方法、装置、设备、介质和程序产品 |
CN113596051A (zh) * | 2021-08-05 | 2021-11-02 | 工银科技有限公司 | 检测方法、检测装置、电子设备、介质和计算机程序 |
CN114726610A (zh) * | 2022-03-31 | 2022-07-08 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据自动获取器攻击的检测方法和装置 |
CN115412604A (zh) * | 2022-07-28 | 2022-11-29 | 中国电信股份有限公司 | 一种访问请求的处理方法和装置 |
CN115412604B (zh) * | 2022-07-28 | 2024-06-28 | 中国电信股份有限公司 | 一种访问请求的处理方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120151583A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Ddos attack detection and defense apparatus and method |
CN102970306A (zh) * | 2012-12-18 | 2013-03-13 | 中国科学院计算机网络信息中心 | 一种IPv6网络环境下的入侵检测系统 |
CN105337966A (zh) * | 2015-10-16 | 2016-02-17 | 中国联合网络通信集团有限公司 | 针对网络攻击的处理方法和装置 |
CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
-
2019
- 2019-12-31 CN CN201911425741.3A patent/CN111224980A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120151583A1 (en) * | 2010-12-13 | 2012-06-14 | Electronics And Telecommunications Research Institute | Ddos attack detection and defense apparatus and method |
CN102970306A (zh) * | 2012-12-18 | 2013-03-13 | 中国科学院计算机网络信息中心 | 一种IPv6网络环境下的入侵检测系统 |
CN105337966A (zh) * | 2015-10-16 | 2016-02-17 | 中国联合网络通信集团有限公司 | 针对网络攻击的处理方法和装置 |
CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112953938A (zh) * | 2021-02-20 | 2021-06-11 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN112953938B (zh) * | 2021-02-20 | 2023-04-28 | 百度在线网络技术(北京)有限公司 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
CN113297241A (zh) * | 2021-06-11 | 2021-08-24 | 工银科技有限公司 | 网络流量的判断方法、装置、设备、介质和程序产品 |
CN113596051A (zh) * | 2021-08-05 | 2021-11-02 | 工银科技有限公司 | 检测方法、检测装置、电子设备、介质和计算机程序 |
CN114726610A (zh) * | 2022-03-31 | 2022-07-08 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据自动获取器攻击的检测方法和装置 |
CN114726610B (zh) * | 2022-03-31 | 2024-01-19 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据自动获取器攻击的检测方法和装置 |
CN115412604A (zh) * | 2022-07-28 | 2022-11-29 | 中国电信股份有限公司 | 一种访问请求的处理方法和装置 |
CN115412604B (zh) * | 2022-07-28 | 2024-06-28 | 中国电信股份有限公司 | 一种访问请求的处理方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
US10834051B2 (en) | Proxy server-based malware detection | |
US10666686B1 (en) | Virtualized exploit detection system | |
US10581874B1 (en) | Malware detection system with contextual analysis | |
US10432651B2 (en) | Systems and methods to detect and monitor DNS tunneling | |
CN111224980A (zh) | 拒绝服务攻击的检测方法、装置、电子设备和介质 | |
US8302198B2 (en) | System and method for enabling remote registry service security audits | |
US9215209B2 (en) | Source request monitoring | |
US8312543B1 (en) | Using URL reputation data to selectively block cookies | |
US20180316694A1 (en) | Method and Apparatus for Intelligent Aggregation of Threat Behavior for the Detection of Malware | |
US9100432B2 (en) | Cloud-based distributed denial of service mitigation | |
US20140181972A1 (en) | Preventive intrusion device and method for mobile devices | |
US8646074B1 (en) | Systems and methods for enabling otherwise unprotected computing devices to assess the reputations of wireless access points | |
CN111131320A (zh) | 资产识别方法、装置、系统、介质、和程序产品 | |
CN110545277B (zh) | 应用于安全系统的风险处理方法、装置、计算设备、介质 | |
US20200244683A1 (en) | Port scan detection using destination profiles | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
US20140373158A1 (en) | Detecting security vulnerabilities on computing devices | |
CN111193747B (zh) | 报文的威胁检测方法、装置、电子设备和存储介质 | |
US11316880B2 (en) | Cryptocurrency mining detection using network traffic | |
Laštovička et al. | Passive operating system fingerprinting revisited: Evaluation and current challenges | |
US10554678B2 (en) | Malicious content detection with retrospective reporting | |
US20220247758A1 (en) | Combination rule mining for malware signature generation | |
US10805300B2 (en) | Computer network cross-boundary protection | |
US10454965B1 (en) | Detecting network packet injection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200602 |
|
RJ01 | Rejection of invention patent application after publication |