CN113726799B - 针对应用层攻击的处理方法、装置、系统和设备 - Google Patents
针对应用层攻击的处理方法、装置、系统和设备 Download PDFInfo
- Publication number
- CN113726799B CN113726799B CN202111023395.3A CN202111023395A CN113726799B CN 113726799 B CN113726799 B CN 113726799B CN 202111023395 A CN202111023395 A CN 202111023395A CN 113726799 B CN113726799 B CN 113726799B
- Authority
- CN
- China
- Prior art keywords
- data
- signaling
- traffic
- data packet
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种针对应用层攻击的处理方法,涉及计算机技术领域,尤其涉及信息安全领域,可以用于对DDoS攻击的防御场景。具体实现方案为:获取终端设备需发送的流量数据;针对流量数据,生成对应的安全信令,其中,安全信令包含以下信息中的至少之一:终端设备的设备标识、表示安全信令的生成时间的时间戳、标示数据流量的发送者身份的用户标识、认证字符串;基于数据流量和安全信令,生成对应的数据包;以及基于数据包,向防御服务端发送连接请求,以使防御服务端基于数据包中携带的安全信令对数据包进行防攻击验证。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及信息安全领域,可以用于对分布式拒绝服务攻击(Distributed Denial of Service Attack,简称DDoS攻击)的防御场景。
背景技术
应用层攻击防御技术是指在大规模网络流量中发现并且防御黑客发起的HTTP层或者TCP层流量DDoS攻击。
发明内容
本公开提供了一种针对应用层攻击的处理方法、装置、系统、设备、存储介质以及计算机程序产品。
根据本公开的一方面,提供了一种针对应用层攻击的处理方法,应用于服务代理侧,包括:获取终端设备需发送的流量数据;针对所述流量数据,生成对应的安全信令,其中,所述安全信令包含以下信息中的至少之一:所述终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识、认证字符串;基于所述数据流量和所述安全信令,生成对应的数据包;以及基于所述数据包,向防御服务端发送连接请求,以使所述防御服务端基于所述数据包中携带的安全信令对所述数据包进行防攻击验证。
根据本公开的另一方面,提供了另一种针对应用层攻击的处理方法应用于防御服务端,包括:响应于获取到连接请求,确定所述连接请求中携带的数据包;确定所述数据包中携带的安全信令和流量数据,其中,所述安全信令包含以下信息中的至少之一:发送所述流量数据的终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识AK、认证字符串;基于所述安全信令,对所述流量数据进行防攻击验证,得到对应的验证结果;以及在所述验证结果表征所述流量数据为正常流量的情况下,将所述流量数据转发至目标服务端进行处理。
根据本公开的另一方面,提供了一种针对应用层攻击的处理装置,应用于服务代理侧,包括:第一获取模块,用于获取终端设备需发送的流量数据;第一生成模块,用于针对所述流量数据,生成对应的安全信令,其中,所述安全信令包含以下信息中的至少之一:所述终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识、认证字符串;第二生成模块,用于基于所述数据流量和所述安全信令,生成对应的数据包;以及发送模块,用于基于所述数据包,向防御服务端发送连接请求,以使所述防御服务端基于所述数据包中携带的安全信令对所述数据包进行防攻击验证。
根据本公开的另一方面,提供了另一种针对应用层攻击的处理装置,应用于防御服务端,包括:第一确定模块,用于响应于获取到连接请求,确定所述连接请求中携带的数据包;第二确定模块,用于确定所述数据包中携带的安全信令和流量数据,其中,所述安全信令包含以下信息中的至少之一:发送所述流量数据的终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识AK、认证字符串;验证模块,用于基于所述安全信令,对所述流量数据进行防攻击验证,得到对应的验证结果;以及流量转发模块,用于在所述验证结果表征所述流量数据为正常流量的情况下,将所述流量数据转发至目标服务端进行处理。
根据本公开的另一方面,提供了一种针对应用层攻击的处理系统,包括:服务代理和防御服务端,其中,所述服务代理,用于执行第一操作,其中,所述第一操作包括:获取终端设备需发送的流量数据;针对所述流量数据,生成对应的安全信令,其中,所述安全信令包含以下信息中的至少之一:所述终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识、认证字符串;基于所述数据流量和所述安全信令,生成对应的数据包;以及基于所述数据包,向所述防御服务端发送连接请求,所述防御服务端,用于执行第二操作,其中,所述第二操作包括:基于所述数据包中携带的安全信令对所述数据包进行防攻击验证。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开实施例所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据本公开实施例所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据本公开实施例所述的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1示例性示出了适于本公开实施例的系统架构;
图2示例性示出了根据本公开实施例的针对应用层攻击的处理方法的流程图;
图3示例性示出了根据本公开实施例的应用层防攻击原理图;
图4示例性示出了根据本公开另一实施例的针对应用层攻击的处理方法的流程图;
图5示例性示出了根据本公开另一实施例的应用层防攻击原理图;
图6示例性示出了根据本公开实施例的针对应用层攻击的处理系统的示意图;
图7示例性示出了根据本公开实施例的针对应用层攻击的处理装置的框图;
图8示例性示出了根据本公开另一实施例的针对应用层攻击的处理装置的框图;以及
图9示例性示出了用来实现本公开实施例的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
应该理解,在应用层DDoS攻击防御中,可以对网络流量进行解析,并根据访问频次判定是否存在攻击。
示例性的,在方案1中,可以统计单位时间内同一来源IP地址发出的请求数量。如果统计值达到一定的阀值,则可以认定该IP地址具备攻击性。进一步,可以对这个IP进行屏蔽,以阻断来自该IP地址的攻击。
示例性的,在方案2中,还可以统计单位时间内同一来源IP对同一页面的访问次数。如果统计值达到一定的阀值,则可以认定该IP地址具备攻击性,进一步,可以对这个IP进行屏蔽,以阻断来自该IP地址的攻击。
示例性的,在方案3中,还可以统计单位时间内到达同一服务器的相同端口或不同端口的数据包个数或请求数量。如果统计值达到一定的阀值,则可以认定该服务器出现了异常或受到了攻击。
应该理解,对于方案1而言,如果黑客使用大量IP进行攻击,且控制每个IP的访问频次低于方案1中设定的阈值,则无法进行检测和防御。此外,对于方案1而言,如果黑客重复发送同样的请求进行攻击(即进行重放攻击),则也无法进行检测和防御。
还应该理解,如果用户使用共享IP玩游戏,则会导致单位时间内同一IP的访问次数较大。此种情况下,如果利用方案2进行攻击防御,则会产生大量误报。
还应该理解,对于方案3而言,实际上只能判定流量出现了异常,无法判定是否真的出现了攻击。比如,业务方举行促销活动也会导致到达同一服务器的数据包个数或请求数量较高。此种情况下,如果利用方案3进行攻击防御,则会产生大量误报。
针对上述应用层攻击防御方案存在消耗资源较高、检测速度慢、误报率高、甚至无法识别黑客攻击的问题,本公开实施例提供了一种全新的针对应用层攻击的检测/防御方案,旨在通过在流量数据中加入不可篡改的安全信令,达到准确识别并阻断攻击者的访问请求的目的。
以下将结合附图和具体实施例详细阐述本公开。
适于本公开实施例的针对应用层攻击的处理方法和装置的系统架构介绍如下。
图1示例性示出了适于本公开实施例的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他环境或场景。
如图1所示,本公开实施例的系统架构100可以包括:终端设备、防御服务端和目标服务端。
在本公开实施例中,终端设备需要向目标服务端发送流量数据时,可以通过设备上的客户端调用专用的SDK提供的服务代理,由该服务代理将终端设备需要发送的流量数据转发出去。
其中,服务代理在转发流量数据时,可以先基于该流量数据生成对应的携带有安全信令的数据包,再基于该数据包请求与防御服务端建立可信连接。
防御服务端接收到服务代理转发的数据包后,通过对数据包中携带的安全信令进行验证,可以确定该数据包中包含的流量数据是否是通过服务代理正常转发的流量。如果确定该数据包中包含的流量数据是通过服务代理正常转发的流量,则删除该数据包中的安全信令,并将该数据包中包含的流量数据(即终端设备需要发送给目标服务端的原始流量数据)转发给目标服务端进行处理。
需要说明的是,服务代理与防御服务端间的可信连接建立后,防御服务端对本终端设备通过该服务代理转发的流量数据不再进行安全信令验证。当本次可信连接断开后,本终端设备再请求发送流量数据时,还可以按照上述逻辑请求可信连接,本公开在此不再赘述。
此外,如果确定该数据包中包含的流量数据不是通过服务代理正常转发的流量,则可以丢弃该数据包,并丢弃后续来自该终端设备的数据流量。由此,可以阻断攻击者的攻击。
应该理解,图1中的终端设备、防御服务端和目标服务端的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、防御服务端和目标服务端。
适于本公开实施例的针对应用层攻击的处理方法和装置的应用场景介绍如下。
需要说明的是,本公开实施例提供的针对应用层攻击的处理方案,可以用于APP攻击检测/防御(如游戏APP检测/防御)和精准攻击检测/防御等场景,以下将结合具体实施例进行详细阐述。
根据本公开的实施例,本公开提供了一种针对应用层攻击的处理方法。
图2示例性示出了根据本公开实施例的针对应用层攻击的处理方法的流程图。
如图2所示,应用于代理服务端的针对应用层攻击的处理方法200可以包括:操作S210~S240。
在操作S210,获取终端设备需发送的流量数据。
在操作S220,针对流量数据,生成对应的安全信令。其中,安全信令包含以下信息中的至少之一:终端设备的设备标识、表示安全信令的生成时间的时间戳、标示数据流量的发送者身份的用户标识、认证字符串。
在操作S230,基于数据流量和安全信令,生成对应的数据包。
在操作S240,基于数据包,向防御服务端发送连接请求,以使防御服务端基于数据包中携带的安全信令对数据包进行防攻击验证。
在本公开实施例中,可以设置专用的SDK,并在SDK中设置设备标识UID生成服务和服务代理。其中,该SDK可以通过该UID生成服务为对应的终端设备生成对应的唯一的用户标识,终端设备的流量数据可以通过服务代理转发出去。
因此,操作S210中,可以由专用SDK中的代理服务获取终端设备需发送的流量数据。
为了便于防御服务端识别哪些流量数据是攻击者发送的,哪些流量数据是正常流量,在本公开实施例中,可以采用安全信令对正常流量数据进行标示。因此,对于防御服务端而言,每接收到一次连接请求,都可以检测其中的数据包中是否携带了合法的安全信令。如果数据包中携带了合法的安全信令,则认为本次连接请求是正常的数据连接请求,因而可以数据包中包含的流量数据转发给目标服务端,并将基于本次连接传递的流量数据转发给后端的目标服务端。否则,可以丢弃数据包,并拒绝所有与当前终端设备有关连接请求。
因此,在操作S220~S240,服务代理可以为终端设备需发送的流量数据生成对应的安全信令,并基于该流量数据和该安全信令生成对应的数据包,然后将生成的数据包携带在TCP连接请求中发送给防御服务端。防御服务端每接收到一次连接请求,都可以解析出其中携带的数据包,并判断该数据包中是否携带有合法的安全信令,然后基于判断结果确定该数据包中包含的流量数据是否是攻击者发送的流量数据。
通过本公开实施例,由于正常流量是通过专用SDK提供的服务代理转发的,因而这种正常流量都是携带着合法的安全信令转发给防御服务端的,因而在针对应用层攻击的检测/防御中可以通过验证。而攻击者发送的流量数据通常不是通过专用SDK提供的服务代理转发的,因而这种流量数据不可能携带着合法的安全信令转发给防御服务端的,因而在针对应用层攻击的检测/防御中无法通过验证。由此,通过本公开实施例,可以精准检测/防御应用层攻击。
作为一种可选的实施例,可以通过以下操作获得认证字符串:基于设备标识、时间戳和用户标识中的至少之一进行加密运算,得到认证字符串。
在一个实施例中,可以利用用户标识AK对设备标识、时间戳进行加密,从而得到对应的认证字符串。示例性的,可以采用HMAC-sha1加密算法进行加密运算来获得认证字符串。具体地,客户端可以调用专用SDK提供的加密接口,由该加密接口将用户标识AK、设备标识、时间戳作为HMAC-sha1加密算法的输入,执行对应的加密运算来获得对应的认证字符串。
应该理解,由于HMAC-sha1加密算法本身是不可逆的,并且本实施例在进行加密计算时还将时间戳作为一个输入参数,使得加密计算更加不可逆,因此攻击者无法通过直接逆向来破解本公开实施例提供的针对应用层攻击的检测/防御方案。
此外,示例性的,在本公开实施例中,安全信令可以设计成四个字段,分别为:UID字段、UNIXTIME字段、AK字段和Sign Hash字段。字段与字段之间可以通过分号隔开。其中,在针对每个流量数据生成对应的安全信令时,可以在这四个字段中写入对应的属性值。
比如,对于流量数据X,如果发送流量数据X的终端设备的设备标识UID表示为descdescdescdescdescdescdescdesc,标示数据流量X的发送者身份的用户标识AK表示为224cde8e0bf0b904fe90e3bdcece5c47,表示安全信令的生成时间(即服务代理请求对数据流量X进行信令连接的时间)的时间戳UNIXTIME为1520241014,针对流量数据X的认证字符串Sign Hash为064012f9d4e12e4ceb09529198eb0c52a0115fb6,则针对流量数据X生成的安全信令可以为“descdescdescdescdescdescdescdesc;224cde8e0bf0b904fe90e3bdcece5c47;1520241014;064012f9d4e12e4ceb09529198eb0c52a0115fb6”。
在本实施例中,对于TCP请求而言,其中携带的安全信令的长度整体上包括114个字节,即UID有32个字节,AK有32个字节,UNIXTIME有10个字节,Sign Hash有40个字节,因此服务代理在原始流量数据的基础上加上安全信令后转发,不会影响网络传输速度或者对传输速度的影响非常有限。
此外,在本公开实施例中,专用SDK在生成安全信令时,还可以采用混淆算法对安全信令中的各字段上的属性值进行混淆处理,使得黑客无法通过直接逆向获得。
作为一种可选的实施例,该方法还可以包括通过以下操作获得时间戳:响应于针对数据流量请求信令连接,生成时间戳。
示例性的,在终端设备调用专用SDK提供的服务代理转发流量数据X时,服务代理可以针对流量数据X向专用SDK请求信令连接,此时可以生成对应的时间戳,以便写入针对流量数据X生成的安全信令的时间戳字段。换言之,本实施例中,时间戳可以是请求信令连接时的返回的字符串。
通过本公开实施例,在安全信令中加入时间戳,可以防止黑客的重放攻击。
作为一种可选的实施例,该方法还可以包括通过专用软件开发工具包SDK生成设备标识。
通过本公开实施例,由于设备标识UID是利用专用SDK生成的,进而安全信令又是基于UID生成的,因而即使黑客破解了通信协议,也无法伪造UID。云端/星端防御服务端接收到伪造的UID就直接过滤掉,由此也可以防止应用层攻击。
图3示例性示出了根据本公开实施例的应用层防攻击原理图。
如图3所示,本方案采用安全信令的防护方案进行应用层攻击检测和防御。正常情况下,终端设备可以通过客户端调用专用的SDK提供的代理服务转发流量数据。代理服务可以在每个TCP请求中加入针对客户端发送的流量数据生成包含设备标识、时间戳、用户标识和验证字符串的不可篡改的安全信令。防御服务端接收到TCP请求后对安全信令进行验证。如果验证发现TCP请求中携带有合法的安全信令,则认为该TCP请求是正常的业务请求。对于正常的业务请求,可以去掉数据包中携带的安全信令,将数据包中包含的原始流量转发至目标服务端进行处理。对于异常请求,如请求中没有携带安全信令或没有携带合法的安全信令(如如果请求中携带的安全信令不是通过专用的SDK生成的,则该安全信令为非法安全信令)可以丢弃数据包,并拒绝设备的本次连接和后续连接。由此可以只保留正常的业务流量,对应用层攻击实现精准检测和防御。
在本实施例中,客户端调用SDK提供的服务代理接口发送流量数据,服务代理在建立TCP请求时,可以在三次握手之后向防御服务端发送一个带有安全信令的数据包。防御服务端接收到带有安全信令的数据包时,通过解析里面的数据获取到UID、UNIXTIME、AK和Sign Hash(记为Sign Hash1),然后基于AK获取对应的SK(SK与AK为非对称密码对),然后根据Sign Hash=HMAC-sha1(SK,UID+UNIXTIME+AK),计算出一个Sign Hash(记为SignHash2)。最后验证Sign Hash1与Sign Hash2的一致性。经验证,如果Sign Hash1与SignHash2一致,则认为通过验证,可以将对应的原始流量数据转发至目标服务端;如果SignHash1与Sign Hash2不一致,则认为未通过验证,此种情况可以丢弃本次接收到的数据包以及后续收到的来自同一终端设备的流量数据。
通过本公开实施例,能够精准地防御应用层攻击。并且,针对于访问次数特别低的应用层攻击行为也能识别,比如对于游戏炸房、协议DoS等应用层攻击,都能够有效地防御。
此外,通过本公开实施例,对于正常用户的访问不会产生误报。
此外,通过本公开实施例,对于共享IP的用户访问,也能有效减少误报。
根据本公开的实施例,本公开提供了另一种针对应用层攻击的处理方法。
图4示例性示出了根据本公开另一实施例的针对应用层攻击的处理方法的流程图。
如图4所示,应用于防御服务端的针对应用层攻击的处理方法400可以包括:操作S410~S440。
在操作S410,响应于获取到连接请求,确定连接请求中携带的数据包。
在操作S420,确定数据包中携带的安全信令和流量数据,其中,安全信令包含以下信息中的至少之一:发送流量数据的终端设备的设备标识、表示安全信令的生成时间的时间戳、标示数据流量的发送者身份的用户标识AK、认证字符串。
在操作S430,基于安全信令,对流量数据进行防攻击验证,得到对应的验证结果。
在操作S440,在验证结果表征流量数据为正常流量的情况下,将流量数据转发至目标服务端进行处理。
应该理解,本公开实施例中,防御服务端执行的针对应用层攻击的处理方法,与前述实施例中描述的防御服务端执行的针对应用层攻击的处理方法相同或类似,本公开在此不再赘述。
通过本公开实施例,由于正常流量是通过专用SDK提供的服务代理转发的,因而这种正常流量都是携带着合法的安全信令转发给防御服务端的,因而在针对应用层攻击的检测/防御中可以通过验证。而攻击者发送的流量数据通常不是通过专用SDK提供的服务代理转发的,因而这种流量数据不可能携带着合法的安全信令转发给防御服务端的,因而在针对应用层攻击的检测/防御中无法通过验证。由此,通过本公开实施例,可以精准检测/防御应用层攻击。
作为一种可选的实施例,基于安全信令,对流量数据进行防攻击验证,包括:在安全信令中包含设备标识、时间戳、AK和认证字符串的情况下,执行以下操作。
基于AK,获取用于验证认证字符串的密钥SK。
基于设备标识、时间戳、AK和SK进行计算,得到对应的认证字符串。
通过对计算得到的认证字符串和安全信令中携带的认证字符串进行一致性验证来对流量数据进行防攻击验证。
示例性的,假设从数据包中携带的安全信令中提取的UID为descdescdescdescdescdescdescdesc,提取的AK为224cde8e0bf0b904fe90e3bdcece5c47,提取的UNIXTIME为1520241014,提取的Sign Hash(记为Sign Hash1)为064012f9d4e12e4ceb09529198eb0c52a0115fb6。且根据上述的AK获取的SK为2fC4a68635c26db1019047965180ce1b,且根据SignHash=HMAC-sha1(SK,UID+UNIXTIME+AK),计算得到的Sign Hash(记为Sign Hash2)为064012f9d4e12e4ceb09529198eb0c52a0115fb6。
由于Sign Hash1和Sign Hash2一致,因此验证通过。对应的流量数据为正常流量,可以转发至后端的目标服务端处理。
应该理解,本公开实施例中,防御服务端基于安全信令对流量数据进行防攻击验证的方法与前述实施例中描述的防御服务端基于安全信令对流量数据进行防攻击验证的方法相同或类似,本实施例在此不再赘述。
作为一种可选的实施例,该方法还可以包括以下至少之一。
在验证结果表征流量数据为异常流量的情况下,丢弃数据包,并将发送流量数据的终端设备后续发送的流量数据一并丢弃。
在确定数据包中没有携带安全信令的情况下,丢弃数据包,并将发送数据包的终端设备后续发送的数据包一并丢弃。
应该理解,本公开实施例中,对异常流量的处理方法与前述实施例中描述的对异常流量的处理方法相同或类似,本实施例在此不再赘述。
作为一种可选的实施例,该方法还可以包括在将流量数据转发至目标服务端进行处理之后,执行以下操作。
对发送流量数据的终端设备进行流量监控。
响应于监控结果表征终端设备在预设时间段内使用了多个国际互连协议IP发送流量数据,确定终端设备的设备标识是否是新出现的设备标识。
响应于确定终端设备的设备标识是新出现的设备标识,阻断终端设备后续发送的流量数据。
在本公开实施例中,在可信TCP请求连接建立以后,在放过一部分流量数据之后,可以获取当前终端设备的UID和当前终端设备使用的IP地址,并基于放过的流量数据对UID和IP进行流量监控。
如果在预设时间段内,该UID对应于多个IP地址,即该UID使用了多个IP地址发送流量数据,则认为有可能黑客破解了SDK的发包逻辑,或者也有可能是同一个设备切换了不同的网络,因而可以对这个UID进行可疑分析。经分析,如果发现该UID是新出现的,则认为是黑客攻击,需要阻断UID标示的终端设备后续发送的流量数据;如果发现该UID不是新出现的,且该UID仅对应于少数几个IP地址,则认为不是黑客攻击。
通过本公开实施例,即使在黑客破解了SDK的发包逻辑的情况下,也提供对应的攻击防御手段,以精准阻断黑客攻击。
作为一种可选的实施例,该方法还可以包括在将流量数据转发至目标服务端进行处理之后,执行以下操作。
确定终端设备发送流量数据所使用的国际互连协议IP。
对IP进行流量监控。
响应于监控结果表征IP在预设时间段内通过多个终端设备发送了流量数据,基于通过IP发送的流量数据进行用户行为分析,以确定是否存在应用层攻击。
在本公开实施例中,在可信TCP请求连接建立以后,在放过一部分流量数据之后,可以获取当前终端设备的UID和当前终端设备使用的IP地址,并基于放过的流量数据对UID和IP进行流量监控。
如果在预设时间段内,该IP地址对应于多个UID,即有多个UID使用了同一个IP地址发送流量数据,则认为该IP地址可能是出口IP,或者也可能是黑客通过同一个IP地址登录了多个账户(如游戏账号)进行的洗号等操作。因此,还需要基于通过IP发送的流量数据进行用户行为分析,以确定是否存在应用层攻击。
通过本公开实施例,在黑客破解了SDK的发包逻辑的情况下,也提供对应的攻击防御手段,以精准阻断黑客攻击。
图5示例性示出了根据本公开另一实施例的应用层防攻击原理图。
如图5所示的应用层防攻击原理与如图3所示的应用层防攻击原理相同或类似,本实施例对此不再赘述。
根据本公开的实施例,本公开还提供了一种针对应用层攻击的处理系统。
图6示例性示出了根据本公开实施例的针对应用层攻击的处理系统的示意图。
如图6所示,针对应用层攻击的处理系统600可以包括:服务代理610和防御服务端620。
该服务代理610,用于执行第一操作,其中,该第一操作包括:获取终端设备需发送的流量数据;针对该流量数据,生成对应的安全信令,其中,该安全信令包含以下信息中的至少之一:该终端设备的设备标识、表示该安全信令的生成时间的时间戳、标示该数据流量的发送者身份的用户标识、认证字符串;基于该数据流量和该安全信令,生成对应的数据包;以及基于该数据包,向该防御服务端发送连接请求。
该防御服务端620,用于执行第二操作,其中,该第二操作包括:基于该数据包中携带的安全信令对该数据包进行防攻击验证。
应该理解,正常业务的流量数据通过专用SDK提供的服务代理转达后都会加入对应的合法的安全信令,因而在防攻击验证中会被验证通过,而通过其他方式转发或者直发的流量数据则会因没有加入安全信令或者因没有加入合法的安全信令而导致防攻击验证无法通过。由此,可以精准地防御应用层攻击。
应该理解,在本公开实施例中,服务代理实现的针对应用层攻击的处理方法与前述实施例中描述的服务代理实现的方法相同或类似,本实施例在此不再赘述。
并且,在本公开实施例中,防御服务端实现的针对应用层攻击的处理方法与前述实施例中描述的防御服务端实现的方法也相同或类似,本实施例在此也不再赘述。
根据本公开的实施例,本公开还提供了一种针对应用层攻击的处理装置。
图7示例性示出了根据本公开实施例的针对应用层攻击的处理装置的框图。
如图7所示,针对应用层攻击的处理装置700可以包括:第一获取模块710、第一生成模块720、第二生成模块730和发送模块740。
第一获取模块710,用于获取终端设备需发送的流量数据。
第一生成模块720,用于针对该流量数据,生成对应的安全信令,其中,该安全信令包含以下信息中的至少之一:该终端设备的设备标识、表示该安全信令的生成时间的时间戳、标示该数据流量的发送者身份的用户标识、认证字符串。
第二生成模块730,用于基于该数据流量和该安全信令,生成对应的数据包。
发送模块740,用于基于该数据包,向防御服务端发送连接请求,以使该防御服务端基于该数据包中携带的安全信令对该数据包进行防攻击验证。
作为一种可选的实施例,装置还包括:第二获取模块,用于基于该设备标识、该时间戳和该用户标识中的至少之一进行加密运算,以获得该认证字符串。
作为一种可选的实施例,装置还包括:第三生成模块,用于响应于针对该数据流量请求信令连接,生成该时间戳。
作为一种可选的实施例,装置还包括:第四生成模块,用于通过专用软件开发工具包SDK生成该设备标识。
应该理解,本公开装置部分的实施例与本公开方法部分的实施例对应相同或类似,所解决的技术问题和所达到的技术效果也对应相同或类似,本公开在此不再赘述。
根据本公开的实施例,本公开还提供了另一种针对应用层攻击的处理装置。
图8示例性示出了根据本公开另一实施例的针对应用层攻击的处理装置的框图。
如图8所示,针对应用层攻击的处理装置800可以包括:第一确定模块810、第二确定模块820、验证模块830和流量转发模块840。
第一确定模块810,用于响应于获取到连接请求,确定该连接请求中携带的数据包。
第二确定模块820,用于确定该数据包中携带的安全信令和流量数据,其中,该安全信令包含以下信息中的至少之一:发送该流量数据的终端设备的设备标识、表示该安全信令的生成时间的时间戳、标示该数据流量的发送者身份的用户标识AK、认证字符串。
验证模块830,用于基于该安全信令,对该流量数据进行防攻击验证,得到对应的验证结果。
流量转发模块840,用于在该验证结果表征该流量数据为正常流量的情况下,将该流量数据转发至目标服务端进行处理。
作为一种可选的实施例,该验证模块包括:获取单元,用于在该安全信令中包含该设备标识、该时间戳、该AK和该认证字符串的情况下,基于该AK,获取用于验证该认证字符串的密钥SK;计算单元,用于基于该设备标识、该时间戳、该AK和该SK进行计算,得到对应的认证字符串;验证单元,用于通过对计算得到的认证字符串和该安全信令中携带的认证字符串进行一致性验证来对该流量数据进行防攻击验证。
作为一种可选的实施例,装置还包括以下至少之一:第一阻断模块,用于在该验证结果表征该流量数据为异常流量的情况下,丢弃该数据包,并将发送该流量数据的终端设备后续发送的流量数据一并丢弃;第二阻断模块,用于在确定该数据包中没有携带安全信令的情况下,丢弃该数据包,并将发送该数据包的终端设备后续发送的数据包一并丢弃。
作为一种可选的实施例,装置还包括:第一监控模块,用于在将该流量数据转发至目标服务端进行处理之后,对发送该流量数据的终端设备进行流量监控;第三确定模块,用于响应于监控结果表征该终端设备在预设时间段内使用了多个国际互连协议IP发送流量数据,确定该终端设备的设备标识是否是新出现的设备标识;以及第三阻断模块,用于响应于确定该终端设备的设备标识是新出现的设备标识,阻断该终端设备后续发送的流量数据。
作为一种可选的实施例,装置还包括:第四确定模块,用于在将该流量数据转发至目标服务端进行处理之后,确定终端设备发送该流量数据所使用的国际互连协议IP;第二监控模块,用于对该IP进行流量监控;以及分析模块,用于响应于监控结果表征该IP在预设时间段内通过多个终端设备发送了流量数据,基于通过该IP发送的流量数据进行用户行为分析,以确定是否存在应用层攻击。
应该理解,本公开装置部分的实施例与本公开方法部分的实施例对应相同或类似,所解决的技术问题和所达到的技术效果也对应相同或类似,本公开在此不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图9示出了可以用来实施本公开的实施例的示例电子设备900的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图9所示,电子设备900包括计算单元901,其可以根据存储在只读存储器(ROM)902中的计算机程序或者从存储单元908加载到随机访问存储器(RAM)903中的计算机程序,来执行各种适当的动作和处理。在RAM 903中,还可存储电子设备900操作所需的各种程序和数据。计算单元901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
电子设备900中的多个部件连接至I/O接口905,包括:输入单元906,例如键盘、鼠标等;输出单元907,例如各种类型的显示器、扬声器等;存储单元908,例如磁盘、光盘等;以及通信单元909,例如网卡、调制解调器、无线通信收发机等。通信单元909允许设备900通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元901可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元901的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元901执行上文所描述的各个方法和处理,例如针对应用层攻击的处理方法。例如,在一些实施例中,针对应用层攻击的处理方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元908。在一些实施例中,计算机程序的部分或者全部可以经由ROM 902和/或通信单元909而被载入和/或安装到设备900上。当计算机程序加载到RAM 903并由计算单元901执行时,可以执行上文描述的针对应用层攻击的处理方法的一个或多个步骤。备选地,在其他实施例中,计算单元901可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行针对应用层攻击的处理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务(″Virtual Private Server″,或简称″VPS″)中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
本公开的技术方案中,所涉及的流量数据的记录,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (18)
1.一种针对应用层攻击的处理方法,包括:
获取终端设备需发送的流量数据;
针对所述流量数据,生成对应的安全信令,其中,所述安全信令包含以下信息:所述终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识、认证字符串;
基于所述数据流量和所述安全信令,生成对应的数据包;以及
基于所述数据包,向防御服务端发送连接请求,以使所述防御服务端基于所述数据包中携带的安全信令对所述数据包进行防攻击验证,
其中,所述方法还包括通过以下操作获得所述认证字符串:利用所述用户标识对所述设备标识和所述时间戳进行加密运算,以获得所述认证字符串,
其中,所述方法还包括:通过专用软件开发工具包SDK生成所述设备标识;
其中,在生成所述安全信令时,所述方法还包括:采用混淆算法对所述安全信令中的各信息的属性值进行混淆处理。
2.根据权利要求1所述的方法,还包括通过以下操作获得所述时间戳:
响应于针对所述数据流量请求信令连接,生成所述时间戳。
3.一种针对应用层攻击的处理方法,包括:
响应于获取到连接请求,确定所述连接请求中携带的数据包;
确定所述数据包中携带的安全信令和流量数据,其中,所述安全信令包含以下信息:发送所述流量数据的终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识AK、认证字符串;
基于所述安全信令,对所述流量数据进行防攻击验证,得到对应的验证结果;以及
在所述验证结果表征所述流量数据为正常流量的情况下,将所述流量数据转发至目标服务端进行处理,
其中,所述认证字符串是通过利用所述用户标识对所述设备标识和所述时间戳进行加密运算而获得的;
其中,所述设备标识是通过专用软件开发工具包SDK生成的;所述安全信令是通过采用混淆算法对所述安全信令中的各信息的属性值进行混淆处理而得到的。
4.根据权利要求3所述的方法,其中,基于所述安全信令,对所述流量数据进行防攻击验证,包括:在所述安全信令中包含所述设备标识、所述时间戳、所述AK和所述认证字符串的情况下,
基于所述AK,获取用于验证所述认证字符串的密钥SK;
基于所述设备标识、所述时间戳、所述AK和所述SK进行计算,得到对应的认证字符串;以及
通过对计算得到的认证字符串和所述安全信令中携带的认证字符串进行一致性验证来对所述流量数据进行防攻击验证。
5.根据权利要求3所述的方法,还包括以下至少之一:
在所述验证结果表征所述流量数据为异常流量的情况下,丢弃所述数据包,并将发送所述流量数据的终端设备后续发送的流量数据一并丢弃;
在确定所述数据包中没有携带安全信令的情况下,丢弃所述数据包,并将发送所述数据包的终端设备后续发送的数据包一并丢弃。
6.根据权利要求3所述的方法,还包括,在将所述流量数据转发至目标服务端进行处理之后,
对发送所述流量数据的终端设备进行流量监控;
响应于监控结果表征所述终端设备在预设时间段内使用了多个国际互连协议IP发送流量数据,确定所述终端设备的设备标识是否是新出现的设备标识;以及
响应于确定所述终端设备的设备标识是新出现的设备标识,阻断所述终端设备后续发送的流量数据。
7.根据权利要求3所述的方法,还包括,在将所述流量数据转发至目标服务端进行处理之后,
确定终端设备发送所述流量数据所使用的国际互连协议IP;
对所述IP进行流量监控;以及
响应于监控结果表征所述IP在预设时间段内通过多个终端设备发送了流量数据,基于通过所述IP发送的流量数据进行用户行为分析,以确定是否存在应用层攻击。
8.一种针对应用层攻击的处理装置,包括:
第一获取模块,用于获取终端设备需发送的流量数据;
第一生成模块,用于针对所述流量数据,生成对应的安全信令,其中,所述安全信令包含以下信息中的至少之一:所述终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识、认证字符串;
第二生成模块,用于基于所述数据流量和所述安全信令,生成对应的数据包;以及
发送模块,用于基于所述数据包,向防御服务端发送连接请求,以使所述防御服务端基于所述数据包中携带的安全信令对所述数据包进行防攻击验证;
其中,所述装置还包括第二获取模块,用于利用所述用户标识对所述设备标识和所述时间戳进行加密运算,以获得所述认证字符串;
其中,所述装置还包括:第三生成模块,用于通过专用软件开发工具包SDK生成所述设备标识;所述第二生成模块还用于:采用混淆算法对所述安全信令中的各信息的属性值进行混淆处理。
9.根据权利要求8所述的装置,还包括:
第四生成模块,用于响应于针对所述数据流量请求信令连接,生成所述时间戳。
10.一种针对应用层攻击的处理装置,包括:
第一确定模块,用于响应于获取到连接请求,确定所述连接请求中携带的数据包;
第二确定模块,用于确定所述数据包中携带的安全信令和流量数据,其中,所述安全信令包含以下信息中的至少之一:发送所述流量数据的终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识AK、认证字符串;
验证模块,用于基于所述安全信令,对所述流量数据进行防攻击验证,得到对应的验证结果;以及
流量转发模块,用于在所述验证结果表征所述流量数据为正常流量的情况下,将所述流量数据转发至目标服务端进行处理,
其中,所述认证字符串是通过利用所述用户标识对所述设备标识和所述时间戳进行加密运算而获得的;
其中,所述设备标识是通过专用软件开发工具包SDK生成的;所述安全信令是通过采用混淆算法对所述安全信令中的各信息的属性值进行混淆处理而得到的。
11.根据权利要求10所述的装置,其中,所述验证模块包括:
获取单元,用于在所述安全信令中包含所述设备标识、所述时间戳、所述AK和所述认证字符串的情况下,基于所述AK,获取用于验证所述认证字符串的密钥SK;
计算单元,用于基于所述设备标识、所述时间戳、所述AK和所述SK进行计算,得到对应的认证字符串;
验证单元,用于通过对计算得到的认证字符串和所述安全信令中携带的认证字符串进行一致性验证来对所述流量数据进行防攻击验证。
12.根据权利要求10所述的装置,还包括以下至少之一:
第一阻断模块,用于在所述验证结果表征所述流量数据为异常流量的情况下,丢弃所述数据包,并将发送所述流量数据的终端设备后续发送的流量数据一并丢弃;
第二阻断模块,用于在确定所述数据包中没有携带安全信令的情况下,丢弃所述数据包,并将发送所述数据包的终端设备后续发送的数据包一并丢弃。
13.根据权利要求10所述的装置,还包括:
第一监控模块,用于在将所述流量数据转发至目标服务端进行处理之后,对发送所述流量数据的终端设备进行流量监控;
第三确定模块,用于响应于监控结果表征所述终端设备在预设时间段内使用了多个国际互连协议IP发送流量数据,确定所述终端设备的设备标识是否是新出现的设备标识;以及
第三阻断模块,用于响应于确定所述终端设备的设备标识是新出现的设备标识,阻断所述终端设备后续发送的流量数据。
14.根据权利要求10所述的装置,还包括:
第四确定模块,用于在将所述流量数据转发至目标服务端进行处理之后,确定终端设备发送所述流量数据所使用的国际互连协议IP;
第二监控模块,用于对所述IP进行流量监控;以及
分析模块,用于响应于监控结果表征所述IP在预设时间段内通过多个终端设备发送了流量数据,基于通过所述IP发送的流量数据进行用户行为分析,以确定是否存在应用层攻击。
15.一种针对应用层攻击的处理系统,包括:服务代理和防御服务端,其中,
所述服务代理,用于执行第一操作,其中,所述第一操作包括:获取终端设备需发送的流量数据;针对所述流量数据,生成对应的安全信令,其中,所述安全信令包含以下信息:所述终端设备的设备标识、表示所述安全信令的生成时间的时间戳、标示所述数据流量的发送者身份的用户标识、认证字符串;基于所述数据流量和所述安全信令,生成对应的数据包;以及基于所述数据包,向所述防御服务端发送连接请求,
所述防御服务端,用于执行第二操作,其中,所述第二操作包括:基于所述数据包中携带的安全信令对所述数据包进行防攻击验证,
其中,所述第一操作还包括:利用所述用户标识对所述设备标识和所述时间戳进行加密运算,以获得所述认证字符串;
其中,所述第一操作还包括:通过专用软件开发工具包SDK生成所述设备标识;以及采用混淆算法对所述安全信令中的各信息的属性值进行混淆处理。
16.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
17.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-7中任一项所述的方法。
18.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111023395.3A CN113726799B (zh) | 2021-09-01 | 2021-09-01 | 针对应用层攻击的处理方法、装置、系统和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111023395.3A CN113726799B (zh) | 2021-09-01 | 2021-09-01 | 针对应用层攻击的处理方法、装置、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113726799A CN113726799A (zh) | 2021-11-30 |
| CN113726799B true CN113726799B (zh) | 2022-09-27 |
Family
ID=78680692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111023395.3A Active CN113726799B (zh) | 2021-09-01 | 2021-09-01 | 针对应用层攻击的处理方法、装置、系统和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113726799B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924635A (zh) * | 2010-08-04 | 2010-12-22 | 吴晓军 | 一种用户身份认证的方法及装置 |
| CN111683072A (zh) * | 2020-05-29 | 2020-09-18 | 呱呱网络科技(大连)有限公司 | 一种远程验证方法和远程验证系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
| CN105610856A (zh) * | 2016-01-26 | 2016-05-25 | 深圳一卡易网络科技有限公司 | 一种基于多重特征识别的应用层DDoS攻击防御系统 |
| CN107104929B (zh) * | 2016-02-23 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 防御网络攻击的方法、装置和系统 |
| CN106790238B (zh) * | 2017-01-19 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种跨站请求伪造csrf防御认证方法和装置 |
| CN109756512B (zh) * | 2019-02-14 | 2021-08-13 | 深信服科技股份有限公司 | 一种流量应用识别方法、装置、设备及存储介质 |
| CN109948333A (zh) * | 2019-03-08 | 2019-06-28 | 北京顺丰同城科技有限公司 | 一种账户攻击的安全防御方法及装置 |
| CN110545541B (zh) * | 2019-09-20 | 2023-06-23 | 百度在线网络技术(北京)有限公司 | 防御攻击行为的方法、装置、设备、终端和介质 |
| CN112003873B (zh) * | 2020-08-31 | 2022-04-19 | 成都安恒信息技术有限公司 | 一种抗DDoS攻击的http流量防御方法及系统 |
-
2021
- 2021-09-01 CN CN202111023395.3A patent/CN113726799B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924635A (zh) * | 2010-08-04 | 2010-12-22 | 吴晓军 | 一种用户身份认证的方法及装置 |
| CN111683072A (zh) * | 2020-05-29 | 2020-09-18 | 呱呱网络科技(大连)有限公司 | 一种远程验证方法和远程验证系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113726799A (zh) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2968201C (en) | Systems and methods for malicious code detection | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
| US20150350234A1 (en) | Manipulating api requests to indicate source computer application trustworthiness | |
| US20150350174A1 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
| Carlin et al. | Defence for distributed denial of service attacks in cloud computing | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| WO2016191232A1 (en) | Mitigation of computer network attacks | |
| US20140380457A1 (en) | Adjusting ddos protection | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| WO2019136954A1 (zh) | 网络合规检测方法、装置、设备及介质 | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| WO2019043804A1 (ja) | ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体 | |
| Liu et al. | Real-time detection of covert channels in highly virtualized environments | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| CN113726799B (zh) | 针对应用层攻击的处理方法、装置、系统和设备 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
| KR20050075950A (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| KR101686472B1 (ko) | 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법 | |
| CN110460559A (zh) | 分布式撞库行为的检测方法、装置及计算机可读存储介质 | |
| KR102621652B1 (ko) | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 | |
| Utsai et al. | DOS attack reduction by using Web service filter |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |