CN112468478A - 攻击拦截方法、装置、计算机设备和存储介质 - Google Patents
攻击拦截方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112468478A CN112468478A CN202011317897.2A CN202011317897A CN112468478A CN 112468478 A CN112468478 A CN 112468478A CN 202011317897 A CN202011317897 A CN 202011317897A CN 112468478 A CN112468478 A CN 112468478A
- Authority
- CN
- China
- Prior art keywords
- access request
- request
- comparison result
- address
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012795 verification Methods 0.000 abstract description 8
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000002347 injection Methods 0.000 description 6
- 239000007924 injection Substances 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种攻击拦截方法、装置、计算机设备和存储介质,其中,该攻击拦截方法包括:获取访问请求;基于所述访问请求获取对应的IP地址;基于所述IP地址获取安全签名、请求频率以及请求数据;基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全;若所述访问请求不安全,则拦截所述访问请求,并将所述访问请求对应的IP地址加入黑名单。上述攻击拦截方法、装置、计算机设备和存储介质,通过对访问请求进行多重安全验证,以拦截恶意接口攻击,无需查找日志,服务器压力小,拦截效率较高。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种攻击拦截方法、装置、计算机设备和存储介质。
背景技术
随着智能手机的普及,短信验证码或者短信推送业务广泛应用于互联网领域。手机中的各个应用也会通过短信方式向用户发送信息。
通常情况下,短信接口架构或者短信接口易被攻击者调用,恶意消耗短信可用数量,影响正常的短信验证码接收或者短信推送业务。而且短信接口框架通常设置于服务器中,为了防止恶意接口攻击,需要对短信接口框架进行定制化,并且对接收到的数据进行分析,以防止恶意攻击,这个过程中,需要查找日志,导致运维负担重,且效率不高。
目前针对相关技术中防止恶意接口攻击导致运维负担重,且效率不高的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种攻击拦截方法、装置、计算机设备和存储介质,以至少解决相关技术中防止恶意接口攻击导致运维负担重,且效率不高的问题。
第一方面,本申请实施例提供了一种攻击拦截方法,用于拦截对服务器的攻击,包括:
获取访问请求;
基于所述访问请求获取对应的IP地址;
基于所述IP地址获取安全签名、请求频率以及请求数据;
基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全;
若所述访问请求不安全,则拦截所述访问请求,并将所述访问请求对应的IP地址加入黑名单。
在其中一些实施例中,所述基于所述IP地址获取安全签名包括:
基于所述IP地址获取安全密钥、随机数以及签名有效期。
在其中一些实施例中,所述基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全之前还包括:
生成参考签名;
获取所述请求频率的预设范围;
获取所述请求数据的预设类型。
在其中一些实施例中,所述基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全包括:
将所述安全签名与所述参考签名进行比对,得到第一比对结果;
将所述请求频率与所述预设范围进行比对,得到第二比对结果;
将所述请求数据的类型与所述预设类型进行比对,得到第三比对结果;
基于所述第一比对结果、第二比对结果以及第三比对结果判断所述访问请求是否安全。
在其中一些实施例中,所述基于所述第一比对结果、第二比对结果以及第三比对结果判断所述访问请求是否安全包括:
若所述第一比对结果、第二比对结果以及第三比对结果中的任一结果为不匹配,则判断所述访问请求不安全。
在其中一些实施例中,所述若所述访问请求不安全,则拦截所述访问请求,并将所述访问请求对应的IP地址加入黑名单包括:
若所述访问请求安全,则将所述访问请求转发到服务器。
在其中一些实施例中,所述将所述访问请求对应的IP地址加入黑名单包括:
将所述访问请求对应的IP地址加入redis存储系统的黑名单。
第二方面,本申请实施例提供了一种攻击拦截装置,用于拦截对服务器的攻击,包括:
请求获取模块,用于获取访问请求;
地址获取模块,用于基于所述访问请求获取对应的IP地址;
数据获取模块,用于基于所述IP地址获取安全签名、请求频率以及请求数据;
判断模块,用于基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全;
执行模块,用于若所述访问请求不安全,则将所述访问请求对应的IP地址加入黑名单。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的攻击拦截方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的攻击拦截方法。
相比于相关技术,本申请实施例提供的攻击拦截方法、装置、计算机设备和存储介质,通过获取访问请求;基于所述访问请求获取对应的IP地址;基于所述IP地址获取安全签名、请求频率以及请求数据;基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全;若所述访问请求不安全,则将所述访问请求对应的IP地址加入黑名单的方式,对访问请求进行多重安全验证,以拦截恶意接口攻击,无需查找日志,服务器压力小,拦截效率较高。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明一实施例的攻击拦截方法的流程示意图;
图2是本发明一实施例的攻击拦截装置的结构框图;
图3为本发明一实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
请参阅图1,图1为本发明一实施例的攻击拦截方法的流程示意图。
在本实施例中,攻击拦截方法包括:
S101,获取访问请求。
可以理解的,获取外部设备申请访问服务器的访问请求。
S102,基于访问请求获取对应的IP地址。
示例性地,获取发送访问请求的外部设备的IP地址。
S103,基于IP地址获取安全签名、请求频率以及请求数据。
可以理解的,安全签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术来实现的,用于鉴别数字信息的方法。具体的,请求频率为对应IP地址的外部设备在预设时间段内对服务器发出访问请求的次数,请求数据为访问请求的数据类型。
S104,基于安全签名、请求频率以及请求数据判断访问请求是否安全。
可以理解的,通过预设标准与安全签名、请求频率以及请求数据进行比对,以判断访问请求是否安全。
S105,若访问请求不安全,则拦截访问请求,并将访问请求对应的IP地址加入黑名单。
示例性地,若判断出访问请求不安全,则对访问请求进行拦截,并将访问请求对应的IP地址加入黑名单,对该IP地址发出的访问请求统一进行拦截。
上述攻击拦截方法,通过获取访问请求;基于访问请求获取对应的IP地址;基于IP地址获取安全签名、请求频率以及请求数据;基于安全签名、请求频率以及请求数据判断访问请求是否安全;若访问请求不安全,则将访问请求对应的IP地址加入黑名单的方式,对访问请求进行多重安全验证,以拦截恶意接口攻击,无需查找日志,服务器压力小,拦截效率较高。
在另一个实施例中,基于IP地址获取安全签名包括基于IP地址获取安全密钥、随机数以及签名有效期。示例性地,安全签名采用公钥加密系统进行加密。密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。密钥包括一个公钥和一个私钥,当受允许访问服务器的设备发起访问请求时,会采用密钥加密安全签名,当对访问请求的安全签名进行验证时,只需用对应的公钥进行验证,若能解密,说明密钥匹配成功,若不能解密,则密钥匹配失败。另外,随机数为生成访问请求时随机生成的数字,同时,受允许访问服务器的设备生成随机数时,会将随机数同时发送给网关,网关基于接收到的随机数对访问请求进行验证。可以理解的,签名有效期为安全签名生成后能够生效的期限,若超过了签名有效期,则安全签名失效。
在另一个实施例中,基于安全签名、请求频率以及请求数据判断访问请求是否安全之前还包括生成参考签名;获取请求频率的预设范围;获取请求数据的预设类型。示例性地,验证安全签名时,可以依次用公钥进行解密,对随机数进行匹配,对签名有效期进行验证,以对安全签名进行验证,也可以基于网关获取的密钥信息、随机数以及签名有效期生成参考签名,使用参考签名与安全签名进行比对。在其他实施例中,每个安全签名仅能使用一次,无法重复使用以提高接口的安全性。示例性地,受允许访问的访问请求的安全签名来源于自身的项目,如app、微信公众号以及用户设定的其他项目,当安全签名来源于自身的项目时,则能够通过签名验证,即可判断该访问请求为安全的访问请求,来源于其他项目的安全签名则无法通过签名验证,为不安全的访问请求。
可以理解的,若访问请求对应IP地址的外部设备在一定时间段内请求次数过多,则可以判断其属于恶意请求,因此,设置预设范围与请求频率进行比对,以判断对应IP地址的外部设备请求是否过于频繁。另外,当访问请求的数据类型判断为非法路径以及SQL注入或其他的恶意攻击类型,说明访问请求为不安全的恶意请求,因此,设置预设类型与请求数据进行比对,以判断访问请求是否为恶意请求。
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。而SQL注入是将web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给web服务器,进而传给数据库服务器以执行数据库命令。如web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。
在另一个实施例中,基于安全签名、请求频率以及请求数据判断访问请求是否安全包括将安全签名与参考签名进行比对,得到第一比对结果;将请求频率与预设范围进行比对,得到第二比对结果;将请求数据的类型与预设类型进行比对,得到第三比对结果;基于第一比对结果、第二比对结果以及第三比对结果判断访问请求是否安全。
在另一个实施例中,基于第一比对结果、第二比对结果以及第三比对结果判断访问请求是否安全包括若第一比对结果、第二比对结果以及第三比对结果中的任一结果为不匹配,则判断访问请求不安全。可以理解的,第一比对结果为安全签名与参考签名进行比对的结果,当第一比对结果为匹配时,说明安全签名与参考签名一致;第二比对结果为请求频率与预设范围进行比对的结果,当第二比对结果为匹配时,说明访问请求对应的IP地址的外部设备的访问频率在预设范围内,即没有过于频繁;第三比对结果为请求数据的类型与预设类型进行比对的结果,当第三比对结果为匹配时,说明请求数据的类型不属于恶意攻击的类型,如非法路径以及SQL注入等恶意攻击的类型。在本实施例中,仅在第一比对结果、第二比对结果以及第三比对结果中均为匹配,即安全签名匹配一致、访问频率正常且数据类型不为恶意攻击类型时,才判断访问请求为安全。
在另一个实施例中,若访问请求不安全,则拦截访问请求,并将访问请求对应的IP地址加入黑名单包括若访问请求安全,则将访问请求转发到服务器。可以理解的,当判断访问请求安全时,说明访问请求为正常且受允许的访问,则按正常处理流程将其转发给服务器进行处理。
在另一个实施例中,将访问请求对应的IP地址加入黑名单包括将访问请求对应的IP地址加入redis存储系统的黑名单。redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与Memcached一样,为了保证效率,数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。
示例性地,当IP地址被加入黑名单后,Nginx服务器通过集成lua程序语言自动读取黑名单,并禁止黑名单中的IP地址进行访问。
Nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其特点是占有内存少,并发能力强,
示例性地,当遇到特殊场景,例如某个时间段进行促销活动,此时可以预见会产生大量高频率的访问请求,此时若基于请求频率对相应的访问请求进行拦截并将对应的IP地址加入黑名单,显然会导致大量客户无法正常访问,无法达到预期的活动效果,因此,在预期会产生大量高频率的访问请求的时间段,可以设定不将请求频率作为判断访问请求是否安全的标准。即判断为偶现的情况,不对访问请求做拦截以及拉黑处理。
可以理解的,本发明的攻击拦截方法可以用于拦截对服务器发起的任意种类的恶意请求,其中包括但不限于对服务器的短信接口发起的恶意接口攻击。在其他实施例中,攻击拦截方法还可以用于拦截其他类型的攻击,可以由用户根据实际情况进行选择。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种攻击拦截装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本申请实施例的攻击拦截装置的结构框图,如图2所示,该装置包括:
请求获取模块10,用于获取访问请求。
地址获取模块20,用于基于访问请求获取对应的IP地址。
数据获取模块30,用于基于IP地址获取安全签名、请求频率以及请求数据。
数据获取模块30,还用于基于IP地址获取安全密钥、随机数以及签名有效期。
判断模块40,用于基于安全签名、请求频率以及请求数据判断访问请求是否安全。
判断模块40,还用于:
将安全签名与参考签名进行比对,得到第一比对结果;
将请求频率与预设范围进行比对,得到第二比对结果;
将请求数据的类型与预设类型进行比对,得到第三比对结果;
基于第一比对结果、第二比对结果以及第三比对结果判断访问请求是否安全。
判断模块40,还用于:
若第一比对结果、第二比对结果以及第三比对结果中的任一结果为不匹配,则判断访问请求不安全。
执行模块50,用于若访问请求不安全,则将访问请求对应的IP地址加入黑名单。
执行模块50,还用于若访问请求安全,则将访问请求转发到服务器。
执行模块50,还用于将访问请求对应的IP地址加入redis存储系统的黑名单。
攻击拦截装置,还包括:参考值获取模块。
参考值获取模块,用于:
生成参考签名;
获取请求频率的预设范围;
获取请求数据的预设类型。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例攻击拦截方法可以由计算机设备来实现。图3为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器61以及存储有计算机程序指令的存储器62。
具体地,上述处理器61可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器62可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器62可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器62可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器62可在数据处理装置的内部或外部。在特定实施例中,存储器62是非易失性(Non-Volatile)存储器。在特定实施例中,存储器62包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器62可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器61所执行的可能的计算机程序指令。
处理器61通过读取并执行存储器62中存储的计算机程序指令,以实现上述实施例中的任意一种攻击拦截方法。
在其中一些实施例中,计算机设备还可包括通信接口63和总线60。其中,如图3所示,处理器61、存储器62、通信接口63通过总线60连接并完成相互间的通信。
通信接口63用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口63还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线60包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线60包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线60可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线60可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的计算机程序指令,执行本申请实施例中的攻击拦截方法,从而实现结合图1描述的攻击拦截方法。
另外,结合上述实施例中的攻击拦截方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种攻击拦截方法。
上述攻击拦截方法、装置、计算机设备和存储介质,通过获取访问请求;基于访问请求获取对应的IP地址;基于IP地址获取安全签名、请求频率以及请求数据;基于安全签名、请求频率以及请求数据判断访问请求是否安全;若访问请求不安全,则将访问请求对应的IP地址加入黑名单的方式,对访问请求进行安全验证,以拦截恶意接口攻击,无需查找日志,服务器压力小,拦截效率较高。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种攻击拦截方法,用于拦截对服务器的攻击,其特征在于,包括:
获取访问请求;
基于所述访问请求获取对应的IP地址;
基于所述IP地址获取安全签名、请求频率以及请求数据;
基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全;
若所述访问请求不安全,则拦截所述访问请求,并将所述访问请求对应的IP地址加入黑名单。
2.根据权利要求1所述的攻击拦截方法,其特征在于,所述基于所述IP地址获取安全签名包括:
基于所述IP地址获取安全密钥、随机数以及签名有效期。
3.根据权利要求1所述的攻击拦截方法,其特征在于,所述基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全之前还包括:
生成参考签名;
获取所述请求频率的预设范围;
获取所述请求数据的预设类型。
4.根据权利要求3所述的攻击拦截方法,其特征在于,所述基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全包括:
将所述安全签名与所述参考签名进行比对,得到第一比对结果;
将所述请求频率与所述预设范围进行比对,得到第二比对结果;
将所述请求数据的类型与所述预设类型进行比对,得到第三比对结果;
基于所述第一比对结果、第二比对结果以及第三比对结果判断所述访问请求是否安全。
5.根据权利要求4所述的攻击拦截方法,其特征在于,所述基于所述第一比对结果、第二比对结果以及第三比对结果判断所述访问请求是否安全包括:
若所述第一比对结果、第二比对结果以及第三比对结果中的任一结果为不匹配,则判断所述访问请求不安全。
6.根据权利要求1所述的攻击拦截方法,其特征在于,所述若所述访问请求不安全,则拦截所述访问请求,并将所述访问请求对应的IP地址加入黑名单包括:
若所述访问请求安全,则将所述访问请求转发到服务器。
7.根据权利要求1所述的攻击拦截方法,其特征在于,所述将所述访问请求对应的IP地址加入黑名单包括:
将所述访问请求对应的IP地址加入redis存储系统的黑名单。
8.一种攻击拦截装置,用于拦截对服务器的攻击,其特征在于,包括:
请求获取模块,用于获取访问请求;
地址获取模块,用于基于所述访问请求获取对应的IP地址;
数据获取模块,用于基于所述IP地址获取安全签名、请求频率以及请求数据;
判断模块,用于基于所述安全签名、请求频率以及请求数据判断所述访问请求是否安全;
执行模块,用于若所述访问请求不安全,则将所述访问请求对应的IP地址加入黑名单。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的攻击拦截方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的攻击拦截方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011317897.2A CN112468478A (zh) | 2020-11-23 | 2020-11-23 | 攻击拦截方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011317897.2A CN112468478A (zh) | 2020-11-23 | 2020-11-23 | 攻击拦截方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112468478A true CN112468478A (zh) | 2021-03-09 |
Family
ID=74798395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011317897.2A Pending CN112468478A (zh) | 2020-11-23 | 2020-11-23 | 攻击拦截方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468478A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612768A (zh) * | 2021-08-02 | 2021-11-05 | 北京知道创宇信息技术股份有限公司 | 网络防护方法及相关装置 |
| CN114338205A (zh) * | 2021-12-31 | 2022-04-12 | 广州方硅信息技术有限公司 | 目标ip地址的获取方法、装置、电子设备及存储介质 |
| CN114598552A (zh) * | 2022-03-29 | 2022-06-07 | 邹瀴 | 接口访问控制方法、装置、电子设备和存储介质 |
| CN114760121A (zh) * | 2022-03-31 | 2022-07-15 | 腾讯科技(深圳)有限公司 | 访问频率控制的方法和访问频率控制系统 |
| CN115022011A (zh) * | 2022-05-30 | 2022-09-06 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040117818A1 (en) * | 2002-12-11 | 2004-06-17 | Jeyhan Karaoguz | Method and system for secure linking with authentication and authorization in a media exchange network |
| CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
| CN109561487A (zh) * | 2017-09-25 | 2019-04-02 | 中兴通讯股份有限公司 | 降低移动终端能耗的方法、装置以及移动终端 |
| CN109660499A (zh) * | 2018-09-13 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 攻击拦截方法和装置、计算设备及存储介质 |
| CN111092881A (zh) * | 2019-12-12 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种访问拦截方法、装置、设备及可读存储介质 |
| CN111314306A (zh) * | 2020-01-17 | 2020-06-19 | 网易(杭州)网络有限公司 | 接口访问方法及装置、电子设备、存储介质 |
| CN111600864A (zh) * | 2020-05-11 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 基于令牌认证多维度校验访问服务接口的方法和装置 |
| CN111641658A (zh) * | 2020-06-09 | 2020-09-08 | 杭州安恒信息技术股份有限公司 | 一种请求拦截方法、装置、设备及可读存储介质 |
| CN111756544A (zh) * | 2020-05-11 | 2020-10-09 | 北京明略软件系统有限公司 | 一种接口调用合法性校验方法和装置 |
| CN111756750A (zh) * | 2020-06-24 | 2020-10-09 | 中国建设银行股份有限公司 | 安全访问方法、装置、设备及存储介质 |
| CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
-
2020
- 2020-11-23 CN CN202011317897.2A patent/CN112468478A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040117818A1 (en) * | 2002-12-11 | 2004-06-17 | Jeyhan Karaoguz | Method and system for secure linking with authentication and authorization in a media exchange network |
| CN108259425A (zh) * | 2016-12-28 | 2018-07-06 | 阿里巴巴集团控股有限公司 | 攻击请求的确定方法、装置及服务器 |
| CN109561487A (zh) * | 2017-09-25 | 2019-04-02 | 中兴通讯股份有限公司 | 降低移动终端能耗的方法、装置以及移动终端 |
| CN109660499A (zh) * | 2018-09-13 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 攻击拦截方法和装置、计算设备及存储介质 |
| CN111092881A (zh) * | 2019-12-12 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种访问拦截方法、装置、设备及可读存储介质 |
| CN111314306A (zh) * | 2020-01-17 | 2020-06-19 | 网易(杭州)网络有限公司 | 接口访问方法及装置、电子设备、存储介质 |
| CN111600864A (zh) * | 2020-05-11 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 基于令牌认证多维度校验访问服务接口的方法和装置 |
| CN111756544A (zh) * | 2020-05-11 | 2020-10-09 | 北京明略软件系统有限公司 | 一种接口调用合法性校验方法和装置 |
| CN111641658A (zh) * | 2020-06-09 | 2020-09-08 | 杭州安恒信息技术股份有限公司 | 一种请求拦截方法、装置、设备及可读存储介质 |
| CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
| CN111756750A (zh) * | 2020-06-24 | 2020-10-09 | 中国建设银行股份有限公司 | 安全访问方法、装置、设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612768A (zh) * | 2021-08-02 | 2021-11-05 | 北京知道创宇信息技术股份有限公司 | 网络防护方法及相关装置 |
| CN113612768B (zh) * | 2021-08-02 | 2023-10-17 | 北京知道创宇信息技术股份有限公司 | 网络防护方法及相关装置 |
| CN114338205A (zh) * | 2021-12-31 | 2022-04-12 | 广州方硅信息技术有限公司 | 目标ip地址的获取方法、装置、电子设备及存储介质 |
| CN114338205B (zh) * | 2021-12-31 | 2024-03-01 | 广州方硅信息技术有限公司 | 目标ip地址的获取方法、装置、电子设备及存储介质 |
| CN114598552A (zh) * | 2022-03-29 | 2022-06-07 | 邹瀴 | 接口访问控制方法、装置、电子设备和存储介质 |
| CN114760121A (zh) * | 2022-03-31 | 2022-07-15 | 腾讯科技(深圳)有限公司 | 访问频率控制的方法和访问频率控制系统 |
| CN115022011A (zh) * | 2022-05-30 | 2022-09-06 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
| CN115022011B (zh) * | 2022-05-30 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468478A (zh) | 攻击拦截方法、装置、计算机设备和存储介质 | |
| US10452853B2 (en) | Disarming malware in digitally signed content | |
| Albrecht et al. | Lucky microseconds: A timing attack on amazon’s s2n implementation of TLS | |
| CN107666383B (zh) | 基于https协议的报文处理方法以及装置 | |
| US9985994B2 (en) | Enforcing compliance with a policy on a client | |
| US10594479B2 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| CN101404576B (zh) | 一种网络资源查询方法和系统 | |
| US11714914B2 (en) | Secure storage of passwords | |
| WO2015007231A1 (zh) | 一种恶意url的鉴定方法及装置 | |
| Shaikh | Attacks on cloud computing and its countermeasures | |
| US11258609B2 (en) | Methods and devices for secure application authentication using a one-way encrypted authentication token | |
| US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
| CN113204772A (zh) | 数据处理方法、装置、系统、终端、服务器和存储介质 | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| CN112328415A (zh) | 接口调用方法、装置、计算机设备和可读存储介质 | |
| WO2021027504A1 (zh) | 基于共识协议的信息处理方法及相关装置 | |
| CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
| CN108512824B (zh) | 一种家庭云端文件的管理方法及移动终端 | |
| CN114422167B (zh) | 一种网络准入控制方法、装置、电子设备及存储介质 | |
| CN114168909A (zh) | 基于代码签名的程序保护方法、装置、设备和存储介质 | |
| CN109792436B (zh) | 一种验证码处理方法及移动终端 | |
| EP3908948A1 (en) | Service trust status | |
| CN114257437B (zh) | 远程访问方法、装置、计算设备及存储介质 | |
| Jochen et al. | A framework for tamper detection marking of mobile applications | |
| EP3087714B1 (en) | A method and apparatus for detecting that an attacker has sent one or more messages to a receiver node |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210309 |
|
| RJ01 | Rejection of invention patent application after publication |