CN112953938A - 网络攻击防御方法、装置、电子设备及可读存储介质 - Google Patents
网络攻击防御方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN112953938A CN112953938A CN202110193600.4A CN202110193600A CN112953938A CN 112953938 A CN112953938 A CN 112953938A CN 202110193600 A CN202110193600 A CN 202110193600A CN 112953938 A CN112953938 A CN 112953938A
- Authority
- CN
- China
- Prior art keywords
- ratio
- access requests
- access
- access request
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000007123 defense Effects 0.000 title claims abstract description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 58
- 230000000903 blocking effect Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 11
- 238000013473 artificial intelligence Methods 0.000 abstract description 3
- 238000005206 flow analysis Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开公开了一种网络攻击防御方法、装置、电子设备及可读存储介质,涉及计算机技术领域,尤其涉及人工智能、大数据、云计算等领域。具体实现方案为:获取目标网站的访问请求;确定访问请求中的正常访问请求、异常访问请求和其他类访问请求;其中,其他类访问请求为:访问请求中的不确定是正常或异常访问请求的请求;分别计算正常访问请求的数量与访问请求的数量的第一比值、异常访问请求的数量与访问请求的数量的第二比值以及其他类访问请求的数量与访问请求的数量的第三比值;根据第一比值、第二比值和第三比值,判定目标网站是否被攻击。根据本公开中的方案,相比于目前基于流量分析的网络攻击判定方法,可以降低资源开销。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及人工智能、大数据、云计算等技术。
背景技术
现有技术中,为了能够准确的识别出攻击者对网站发起的挑战黑洞(ChallengeCollapsar,CC)攻击,通常对7层流量进行超文本传输协议(Hyper Text TransferProtocol,HTTP)解析,获得页面访问频次,并根据页面访问频次判定是否为CC攻击。比如,如果解析得到多个互联网协议(Internet Protocol,IP)地址对页面单位时间内访问频次高,则判定为CC攻击。
发明内容
本公开提供了一种网络攻击防御方法、装置、电子设备及存储介质。
根据本公开的一方面,提供了一种网络攻击防御方法,包括:
获取目标网站的访问请求;
确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;其中,所述其他类访问请求为:所述访问请求中的不确定是正常或异常访问请求的请求;
分别计算所述正常访问请求的数量与所述访问请求的数量的第一比值、所述异常访问请求的数量与所述访问请求的数量的第二比值以及所述其他类访问请求的数量与所述访问请求的数量的第三比值;
根据所述第一比值、所述第二比值和所述第三比值,判定所述目标网站是否被攻击。
根据本公开的另一方面,提供了一种网络攻击防御装置,包括:
获取模块,用于获取目标网站的访问请求;
确定模块,用于确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;其中,所述其他类访问请求为:所述访问请求中的不确定是正常或异常访问请求的请求;
计算模块,用于分别计算所述正常访问请求的数量与所述访问请求的数量的第一比值、所述异常访问请求的数量与所述访问请求的数量的第二比值以及所述其他类访问请求的数量与所述访问请求的数量的第三比值;
判定模块,用于根据所述第一比值、所述第二比值和所述第三比值,判定所述目标网站是否被攻击。
根据本公开的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行如上所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上所述的方法。
根据本申请的技术解决了目前基于流量分析的网络攻击判定方法造成的资源开销大的问题,降低了资源开销。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本公开实施例提供的一种网络攻击防御方法的流程图;
图2是根据本申请中第一数据库构建过程的示意图;
图3是用来实现本公开实施例的网络攻击防御方法的网络攻击防御装置的框图;
图4是用来实现本公开实施例的网络攻击防御方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例可以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。说明书以及权利要求中“和/或”表示所连接对象的至少其中之一。
可选的,本申请中的方案可以应用于云计算平台环境下的CC攻击检测防御系统、互联网数据中心(Internet Data Center,IDC)环境下CC攻击检测防御系统、大流量企业的CC攻击检测防御系统等。
请参见图1,图1是本公开实施例提供的一种网络攻击防御方法的流程图,如图1所示,该方法包括如下步骤:
步骤11:获取目标网站的访问请求。
本实施例中,目标网站表示的是待判定是否被攻击的网站,可以基于实际需求选择。访问请求可选为IP请求等。此步骤中获取的访问请求可以是预设时间段内比如最近十分钟或者最近一小时内等,访问目标网站的IP请求。
步骤12:确定访问请求中的正常访问请求、异常访问请求和其他类访问请求。
本实施例中,其他类访问请求为:访问请求中的不确定是正常或异常访问请求的请求。即,其他类访问请求可能是正常访问请求,也可能是异常访问请求,但是不确定是正常访问请求还是异常访问请求。
可理解的,正常访问请求是用户客户端等正常访问目标网站时发起的请求。异常访问请求是攻击者在攻击目标网站时发起的请求,该攻击比如为CC攻击等。
步骤13:分别计算正常访问请求的数量与访问请求的数量的第一比值、异常访问请求的数量与访问请求的数量的第二比值以及其他类访问请求的数量与访问请求的数量的第三比值。
需指出的,基于对历史网络访问请求数据的分析,当网站处于正常状态和被攻击状态时,该网站的正常访问请求、异常访问请求和其他类访问请求在总访问请求中处于的比例范围是不一样的。基于此,本申请实施例中引入了通过计算正常访问请求、异常访问请求和其他类访问请求在总访问请求中的比值,来判定目标网站是否被攻击。
步骤14:根据第一比值、第二比值和第三比值,判定目标网站是否被攻击。
可选的,此步骤14可以通过预设规则和/或基于历史访问请求数据学习得到的比例模型等,对第一比值、第二比值和第三比值进行分析,并根据分析结果判定目标网站是否被攻击。该攻击比如为CC攻击等。
本申请实施例的网络攻击防御方法,在获取目标网站的访问请求之后,可以确定访问请求中的正常访问请求、异常访问请求和其他类访问请求,并分别计算正常访问请求的数量与访问请求的数量的第一比值、异常访问请求的数量与访问请求的数量的第二比值以及其他类访问请求的数量与访问请求的数量的第三比值,并根据第一比值、第二比值和第三比值,判定目标网站是否被攻击。由此,依靠分析访问请求中各类访问请求的占比,即可在大流量下判定相应目标网站是否被攻击,从而相比于目前的基于流量分析来判定网络攻击,可以高效地节省资源,降低资源开销。
进一步的,借助考虑其他类访问请求来判定是否存在网络攻击,还能够检测到传统方案不容发现的网络攻击。
进一步的,由于网站在举行活动比如促销之类时,海量用户会发起访问请求。此时如果采用目前的通过页面访问频次来判定网络攻击,将会造成大量的误报。而采用本申请中方案,即使在活动期间等突发状况下也能够准确的识别和防御网络攻击。
可选的,在本申请实施例中,上述根据第一比值、第二比值和第三比值,判定目标网站是否被攻击的过程可以包括:
1)在第一比值处于第一比值范围、第二比值处于第二比值范围和第三比值处于第三比值范围的情况下,判定目标网站处于正常访问状态。
其中,第一比值范围、第二比值范围和第三比值范围可以通过对历史的正常网站访问请求数据分析得到。
一种实施方式中,第一比值范围可选为[30%-70%],第二比值范围可选为[1%-5%],第三比值可选为[10%-30%]。
2)在第一比值处于第四比值范围、第二比值处于第五比值范围和第三比值处于第六比值范围的情况下,判定目标网站处于被攻击状态。
其中,第四比值范围、第五比值范围和第六比值范围可以通过对历史的攻击时网站访问请求数据分析得到。
一种实施方式中,第四比值范围可选为[5%-30%],第五比值范围可选为[30%-90%],第六比值范围可选为[20%-70%]。
3)在第一比值处于第七比值范围、第二比值处于第八比值范围和第三比值处于第九比值范围的情况下,判定目标网站处于活动访问状态。
其中,第七比值范围、第八比值范围和第九比值范围可以通过对历史的活动网站访问请求数据分析得到。
一种实施方式中,第七比值范围可选为[20%-70%],第八比值范围可选为[1%-10%],第九比值范围可选为[30%-50%]。
本申请实施例中,为了快速且准确地确定所获取的访问请求中的正常访问请求、异常访问请求和其他类访问请求,可以基于历史数据构建第一IP数据库和第二IP数据库,其中第一IP数据库是基于预先统计的正常访问请求的IP地址构建的,第二IP数据库是基于预先统计的异常访问请求的IP地址构建的,并根据第一IP数据库和第二IP数据库来确定所获取的访问请求中的正常访问请求、异常访问请求和其他类访问请求。
可选的,上述步骤12可以包括:根据第一IP数据库和第二IP数据库,确定访问请求中的正常访问请求、异常访问请求和其他类访问请求,其中,其他类访问请求的IP地址不存在于第一IP数据库且不存在于第二IP数据库。这样,通过比较所获取的访问请求的IP地址与第一IP数据库和第二IP数据库中的IP地址,可以将存在于第一IP数据库中的IP地址对应的访问请求确定为正常访问请求,将存在于第二IP数据库中的IP地址对应的访问请求确定为异常访问请求,以及将既不存在于第一IP数据库也不存在于第二IP数据库中的IP地址对应的访问请求确定为其他类访问请求,从而实现针对每一个访问请求的源IP地址进行校验是否合规,从而快速且准确地确定出所获取的访问请求中的各类访问请求,保证高效的性能和极高的准确度。
一种实施方式中,第一IP数据库可称为白IP数据库,第一IP数据库中的IP地址可称为白IP地址。第二IP数据库可称为黑IP数据库,第二IP数据库中的IP地址可称为黑IP地址。既不存在于第一IP数据库也不存在于第二IP数据库中的IP地址可称为灰IP地址。也就是说,正常访问请求对应的IP地址可称为白IP地址,异常访问请求对应的IP地址可称为黑IP地址,异常类访问请求对应的IP地址可称为灰IP地址。
例如,第一IP数据库的构建过程可以为:针对网站或者业务,对其在正常状态下的IP请求的IP地址进行统计,以将访问正常的IP地址累成第一IP数据库即白IP数据库。此外,第一IP数据库中还可以包括学习到的共享IP库中的IP地址以及通过搜索爬虫等获得正常IP地址。
再例如,第二IP数据库中IP地址可以是通过对网络攻击事件进行关联分析得到的异常IP地址。如图2所示,第二IP数据库的构建过程可以包括:1)执行数据采集;比如,借助智云顿节点、IP代理池、第三方信誉库、IP地址库(如IPIP.net)、Maxmind数据库等,获取IP地址相关的IP属性信息、IP行为信息、IP代理信息和/或IP地理信息等;2)执行数据分析;具体的,存储采集的数据,并对采集的数据进行分析,比如验证获取的IP地理信息是否与相应IP地址匹配、验证IP代理信息中IP端口是否有效、验证IP地址的信誉等,并对验证后的数据进行标记,以便后续使用;3)构建第二IP数据库,即构建IP威胁库;比如,可以采用模型打分的方式,综合考虑地理信息、攻击态势、IP属性、活跃度、IP信誉等因素,计算每一个IP地址的得分,并将得分小于预设阈值的IP地址确定异常IP地址,并基于异常IP地址构建第二IP数据库,将构建的第二IP数据库存储至实时数据库或离线数据库,以便后续网络攻击防御时使用。需指出的,上述数据分析可以通过云端服务器实现,以保证足够的分析处理能力。
本申请实施例中,为了保证网络正常访问,当判定目标网站处于被攻击状态时,上述网络攻击防御方法还可以包括以下至少一项:
1)对异常访问请求进行阻断,即对异常访问请求对应的异常IP地址直接进行阻断。
或者,对异常访问请求中的第一访问请求进行阻断,即对第一访问请求对应的异常IP地址进行阻断。其中,第一访问请求的数量与总访问请求的数量的比值大于第一阈值。该第一阈值可以结合实际情况设置,对此不进行限制。这样,可以对异常访问请求进行分类阻断,即对异常访问请求中的活跃度较高的请求进行阻断,从而在对恶意IP进行阻断和清洗的前提下,节省资源。
2)对其他类访问请求中的第二访问请求进行阻断,即对第二访问请求对应的IP地址进行阻断。其中,第二访问请求的数量与总访问请求的数量的比值大于第二阈值。该第二阈值可以结合实际情况设置,比如为5%等,对此不进行限制。这样,可以对其他类访问请求进行分类阻断,从而实现对恶意IP进行阻断和清洗,且通过放行部分活跃度不高的其他类访问请求,可以避免可能的误阻断正常访问请求。
3)对正常访问请求进行放行,即不对正常访问请求对应的正常IP地址进行阻断。
请参见图3,图3是本公开实施例提供的一种网络攻击防御装置的结构示意图,如图3所示,该网络攻击防御装置30包括:
获取模块31,用于获取目标网站的访问请求;
确定模块32,用于确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;其中,所述其他类访问请求为:所述访问请求中的不确定是正常或异常访问请求的请求;
计算模块33,用于分别计算所述正常访问请求的数量与所述访问请求的数量的第一比值、所述异常访问请求的数量与所述访问请求的数量的第二比值以及所述其他类访问请求的数量与所述访问请求的数量的第三比值;
判定模块34,用于根据所述第一比值、所述第二比值和所述第三比值,判定所述目标网站是否被攻击。
可选的,所述判定模块34具体用于:
在所述第一比值处于第一比值范围、所述第二比值处于第二比值范围和所述第三比值处于第三比值范围的情况下,判定所述目标网站处于正常访问状态;
或者,在所述第一比值处于第四比值范围、所述第二比值处于第五比值范围和所述第三比值处于第六比值范围的情况下,判定所述目标网站处于被攻击状态;
或者,在所述第一比值处于第七比值范围、所述第二比值处于第八比值范围和所述第三比值处于第九比值范围的情况下,判定所述目标网站处于活动访问状态。
可选的,该网络攻击防御装置30还包括:
执行模块,用于当判定所述目标网站处于被攻击状态时,执行以下至少一项:
对所述异常访问请求进行阻断;或者,对所述异常访问请求中的第一访问请求进行阻断,其中,所述第一访问请求的数量与所述访问请求的数量的比值大于第一阈值;
对所述其他类访问请求中的第二访问请求进行阻断,其中,所述第二访问请求的数量与所述访问请求的数量的比值大于第二阈值。
可选的,所述确定模块32具体用于:
根据第一IP数据库和第二IP数据库,确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;
其中,所述第一IP数据库是基于预先统计的正常访问请求的IP地址构建的;所述第二IP数据库是基于预先统计的异常访问请求的IP地址构建的;所述其他类访问请求的IP地址不存在于所述第一IP数据库且不存在于所述第二IP数据库。
可理解的,本公开实施例的网络攻击防御装置30,可以实现上述图1所示方法实施例中实现的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图4示出了可以用来实施本申请的实施例的示例电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图4所示,设备400包括计算单元401,其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序,来执行各种适当的动作和处理。在RAM 403中,还可存储设备400操作所需的各种程序和数据。计算单元401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理,例如网络攻击防御方法。例如,在一些实施例中,网络攻击防御方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由计算单元401执行时,可以执行上文描述的网络攻击防御方法的一个或多个步骤。备选地,在其他实施例中,计算单元401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行网络攻击防御方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、互联网和区块链网络。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务(“Virtual Private Server”,或者简称为“VPS”)中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (11)
1.一种网络攻击防御方法,包括:
获取目标网站的访问请求;
确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;其中,所述其他类访问请求为:所述访问请求中的不确定是正常或异常访问请求的请求;
分别计算所述正常访问请求的数量与所述访问请求的数量的第一比值、所述异常访问请求的数量与所述访问请求的数量的第二比值以及所述其他类访问请求的数量与所述访问请求的数量的第三比值;
根据所述第一比值、所述第二比值和所述第三比值,判定所述目标网站是否被攻击。
2.根据权利要求1所述的方法,其中,所述根据所述第一比值、所述第二比值和所述第三比值,判定所述目标网站是否被攻击,包括:
在所述第一比值处于第一比值范围、所述第二比值处于第二比值范围和所述第三比值处于第三比值范围的情况下,判定所述目标网站处于正常访问状态;
或者,
在所述第一比值处于第四比值范围、所述第二比值处于第五比值范围和所述第三比值处于第六比值范围的情况下,判定所述目标网站处于被攻击状态;
或者,
在所述第一比值处于第七比值范围、所述第二比值处于第八比值范围和所述第三比值处于第九比值范围的情况下,判定所述目标网站处于活动访问状态。
3.根据权利要求1所述的方法,其中,所述确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求,包括:
根据第一IP数据库和第二IP数据库,确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;
其中,所述第一IP数据库是基于预先统计的正常访问请求的IP地址构建的;所述第二IP数据库是基于预先统计的异常访问请求的IP地址构建的;所述其他类访问请求的IP地址不存在于所述第一IP数据库且不存在于所述第二IP数据库。
4.根据权利要求1所述的方法,其中,当判定所述目标网站处于被攻击状态时,所述方法还包括以下至少一项:
对所述异常访问请求进行阻断;或者,对所述异常访问请求中的第一访问请求进行阻断,其中,所述第一访问请求的数量与所述访问请求的数量的比值大于第一阈值;
对所述其他类访问请求中的第二访问请求进行阻断,其中,所述第二访问请求的数量与所述访问请求的数量的比值大于第二阈值。
5.一种网络攻击防御装置,包括:
获取模块,用于获取目标网站的访问请求;
确定模块,用于确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;其中,所述其他类访问请求为:所述访问请求中的不确定是正常或异常访问请求的请求;
计算模块,用于分别计算所述正常访问请求的数量与所述访问请求的数量的第一比值、所述异常访问请求的数量与所述访问请求的数量的第二比值以及所述其他类访问请求的数量与所述访问请求的数量的第三比值;
判定模块,用于根据所述第一比值、所述第二比值和所述第三比值,判定所述目标网站是否被攻击。
6.根据权利要求5所述的装置,其中,所述判定模块具体用于:
在所述第一比值处于第一比值范围、所述第二比值处于第二比值范围和所述第三比值处于第三比值范围的情况下,判定所述目标网站处于正常访问状态;
或者,
在所述第一比值处于第四比值范围、所述第二比值处于第五比值范围和所述第三比值处于第六比值范围的情况下,判定所述目标网站处于被攻击状态;
或者,
在所述第一比值处于第七比值范围、所述第二比值处于第八比值范围和所述第三比值处于第九比值范围的情况下,判定所述目标网站处于活动访问状态。
7.根据权利要求5所述的装置,其中,所述确定模块具体用于:
根据第一IP数据库和第二IP数据库,确定所述访问请求中的正常访问请求、异常访问请求和其他类访问请求;
其中,所述第一IP数据库是基于预先统计的正常访问请求的IP地址构建的;所述第二IP数据库是基于预先统计的异常访问请求的IP地址构建的;所述其他类访问请求的IP地址不存在于所述第一IP数据库且不存在于所述第二IP数据库。
8.根据权利要求5所述的装置,还包括:
执行模块,用于当判定所述目标网站处于被攻击状态时,执行以下至少一项:
对所述异常访问请求进行阻断;或者,对所述异常访问请求中的第一访问请求进行阻断,其中,所述第一访问请求的数量与所述访问请求的数量的比值大于第一阈值;
对所述其他类访问请求中的第二访问请求进行阻断,其中,所述第二访问请求的数量与所述访问请求的数量的比值大于第二阈值。
9.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-4中任一项所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行权利要求1-4中任一项所述的方法。
11.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110193600.4A CN112953938B (zh) | 2021-02-20 | 2021-02-20 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110193600.4A CN112953938B (zh) | 2021-02-20 | 2021-02-20 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112953938A true CN112953938A (zh) | 2021-06-11 |
CN112953938B CN112953938B (zh) | 2023-04-28 |
Family
ID=76244844
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110193600.4A Active CN112953938B (zh) | 2021-02-20 | 2021-02-20 | 网络攻击防御方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112953938B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612727A (zh) * | 2021-06-24 | 2021-11-05 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
CN113760664A (zh) * | 2021-09-10 | 2021-12-07 | 哈尔滨工业大学 | 一种两级阈值攻击检测方法、计算机及存储介质 |
CN114157506A (zh) * | 2021-12-09 | 2022-03-08 | 中科计算技术西部研究院 | 基于流量和活跃度分析的网络异常扫描方法、系统及存储介质 |
CN115022011A (zh) * | 2022-05-30 | 2022-09-06 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
CN107948172A (zh) * | 2017-11-30 | 2018-04-20 | 恒安嘉新(北京)科技股份公司 | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 |
US20180278638A1 (en) * | 2015-11-19 | 2018-09-27 | Alibaba Group Holding Limited | Method and apparatus for identifying network attacks |
CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
CN111224980A (zh) * | 2019-12-31 | 2020-06-02 | 奇安信科技集团股份有限公司 | 拒绝服务攻击的检测方法、装置、电子设备和介质 |
-
2021
- 2021-02-20 CN CN202110193600.4A patent/CN112953938B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180278638A1 (en) * | 2015-11-19 | 2018-09-27 | Alibaba Group Holding Limited | Method and apparatus for identifying network attacks |
CN106027559A (zh) * | 2016-07-05 | 2016-10-12 | 国家计算机网络与信息安全管理中心 | 基于网络会话统计特征的大规模网络扫描检测方法 |
CN107948172A (zh) * | 2017-11-30 | 2018-04-20 | 恒安嘉新(北京)科技股份公司 | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 |
CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
CN111224980A (zh) * | 2019-12-31 | 2020-06-02 | 奇安信科技集团股份有限公司 | 拒绝服务攻击的检测方法、装置、电子设备和介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612727A (zh) * | 2021-06-24 | 2021-11-05 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
CN113612727B (zh) * | 2021-06-24 | 2023-04-18 | 北京华云安信息技术有限公司 | 攻击ip识别方法、装置、设备和计算机可读存储介质 |
CN113760664A (zh) * | 2021-09-10 | 2021-12-07 | 哈尔滨工业大学 | 一种两级阈值攻击检测方法、计算机及存储介质 |
CN114157506A (zh) * | 2021-12-09 | 2022-03-08 | 中科计算技术西部研究院 | 基于流量和活跃度分析的网络异常扫描方法、系统及存储介质 |
CN115022011A (zh) * | 2022-05-30 | 2022-09-06 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
CN115022011B (zh) * | 2022-05-30 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 漏扫软件访问请求识别方法、装置、设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112953938B (zh) | 2023-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112953938B (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
CN110417778B (zh) | 访问请求的处理方法和装置 | |
CN110505232A (zh) | 网络攻击的检测方法及装置、电子设备、存储介质 | |
US20160269431A1 (en) | Predictive analytics utilizing real time events | |
CN114095567B (zh) | 数据访问请求的处理方法、装置、计算机设备及介质 | |
CN114584351A (zh) | 一种监控方法、装置、电子设备以及存储介质 | |
CN114157480B (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
CN113312560A (zh) | 群组检测方法、装置及电子设备 | |
CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
CN113904853B (zh) | 网络系统的入侵检测方法、装置、电子设备和介质 | |
CN116015860A (zh) | 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 | |
CN115296917A (zh) | 资产暴露面信息获取方法、装置、设备以及存储介质 | |
CN113553370A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
CN113591088B (zh) | 一种标识识别方法、装置及电子设备 | |
CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
CN115801324A (zh) | 攻击的诱捕处理方法、装置、电子设备及存储介质 | |
CN116248340A (zh) | 接口攻击的检测方法、装置、电子设备及存储介质 | |
CN116112245A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
CN117278286A (zh) | 一种异常报文处理方法、装置、电子设备和存储介质 | |
CN116232691A (zh) | 异常访问的检测方法、装置、电子设备及存储介质 | |
CN117714200A (zh) | 一种网络安全防御方法、装置、设备及存储介质 | |
CN114531287A (zh) | 虚拟资源获取行为的检测方法、装置、设备及介质 | |
CN114844668A (zh) | 一种防御资源配置方法、装置、设备及可读介质 | |
CN118827208A (zh) | 网络攻击的防护方法及装置、电子设备和存储介质 | |
CN115470086A (zh) | 访问数据的处理方法、装置、电子设备与可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |