CN113992356A - Ip攻击的检测方法、装置和电子设备 - Google Patents
Ip攻击的检测方法、装置和电子设备 Download PDFInfo
- Publication number
- CN113992356A CN113992356A CN202111144227.XA CN202111144227A CN113992356A CN 113992356 A CN113992356 A CN 113992356A CN 202111144227 A CN202111144227 A CN 202111144227A CN 113992356 A CN113992356 A CN 113992356A
- Authority
- CN
- China
- Prior art keywords
- address
- access request
- request information
- server
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种IP攻击的检测方法、装置和电子设备,该方法包括:获取预设时间段内访问服务器的访问请求信息,访问请求信息包括访问者的IP地址;统计预设时间段内的访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址;若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP;若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。通过该方法能够提高确定攻击IP地址的准确性,避免误杀合法IP地址,提升用户体验。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种IP攻击的检测方法、装置和电子设备。
背景技术
随着科技的发展,网络已经影响着人们生活的方方面面,提高网络安全显得尤为重要。
通常,攻击者通过虚拟IP地址连续向服务器发起巨量请求,导致服务器不堪重负、响应能力下降,严重影响服务器为正常用户提供服务的质量。
现有技术中,通过获取访问服务器的IP地址,并将其与预设的IP地址黑名单进行比较,进而确定出IP攻击地址。这种方式,可能出现误杀正常IP地址的情况。
发明内容
本申请提供一种IP攻击的检测方法、装置和电子设备,能够提高识别攻击IP的准确性,避免误杀合法IP,提升用户体验。
第一方面,本申请提供一种IP攻击的检测方法,该方法包括:获取预设时间段内访问服务器的访问请求信息,访问请求信息包括访问者的IP地址;统计预设时间段内的访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址;若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP;若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。
可选地,根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址,包括:根据预设时间段内的访问请求信息,确定服务器对应的连接数;若服务器对应的连接数大于第一阈值,则判断访问请求信息的并发数量是否大于第二阈值;若访问请求信息的并发数量大于第二阈值,则确定IP地址为可疑IP地址。
可选地,确定IP地址为可疑IP地址,包括:根据预设时间段内的访问请求信息,确定IP地址的访问频率;若访问频率大于第三阈值,则确定IP地址为可疑IP地址。
可选地,若访问频率大于第三阈值,则确定IP地址为可疑IP地址,包括:若访问频率大于第三阈值,则判断访问请求信息对应的语句是否符合标准语句规则;若语句不符合标准语句规则,则确定IP地址为可疑IP地址。
可选地,获取访问网站服务器的访问请求信息之前,方法还包括:根据服务器所承载的业务类型,从服务器的多个端口中确定出至少一个目标端口,并关闭多个端口中除目标端口以外的端口;获取访问网站服务器的访问请求信息,包括:基于至少一个目标端口,获取访问请求信息。
可选地,确定IP地址为攻击IP地址之后,方法还包括:拒绝包含IP地址的访问请求对服务器的访问。
可选地,拒绝包含IP地址的访问请求对服务器的访问,包括:输出提示信息;若在预设时长内,未接收到用户基于提示信息输入的信息,则拒绝包含IP地址的访问请求对服务器的访问。
第二方面,本申请提供一种IP攻击的检测装置,该装置包括:
获取模块,用于获取预设时间段内访问服务器的访问请求信息,访问请求信息包括访问者的IP地址。
处理模块,用于统计预设时间段内的访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址。
处理模块,还用于若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP。
处理模块,还用于若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。
可选的,处理模块,具体用于根据预设时间段内的访问请求信息,确定服务器对应的连接数;若服务器对应的连接数大于第一阈值,则判断访问请求信息的并发数量是否大于第二阈值;若访问请求信息的并发数量大于第二阈值,则确定IP地址为可疑IP地址。
可选的,处理模块,具体用于根据预设时间段内的访问请求信息,确定IP地址的访问频率;若访问频率大于第三阈值,则确定IP地址为可疑IP地址。
可选的,处理模块,具体用于若访问频率大于第三阈值,则判断访问请求信息对应的语句是否符合标准语句规则;若语句不符合标准语句规则,则确定IP地址为可疑IP地址。
可选的,处理模块,还用于根据服务器所承载的业务类型,从服务器的多个端口中确定出至少一个目标端口,并关闭多个端口中除目标端口以外的端口;获取访问网站服务器的访问请求信息,包括:基于至少一个目标端口,获取访问请求信息。
可选的,处理模块,还用于拒绝包含IP地址的访问请求对服务器的访问。
可选的,处理模块,具体用于输出提示信息;若在预设时长内,未接收到用户基于提示信息输入的信息,则拒绝包含IP地址的访问请求对服务器的访问。
第三方面,本申请提供一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如第一方面或第一方面的可选方式的方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如第一方面或第一方面的可选方式的方法。
本申请提供一种IP攻击的检测方法、装置和电子设备,通过获取预设时间段内访问服务器的访问请求信息,访问请求信息包括访问者的IP地址;统计预设时间段内的访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址;若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP;若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址,能够提高确定攻击IP地址的准确性,避免误杀合法IP地址,提升用户体验。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种IP攻击的检测方法的流程示意图;
图2为本申请提供的另一种IP攻击的检测方法的流程示意图;
图3为本申请提供的另一种IP攻击的检测方法的流程示意图;
图4为本申请提供的又一种IP攻击的检测方法的流程示意图;
图5为本申请提供的一种IP攻击的检测装置的结构示意图;
图6为本申请提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前,针对网站检测IP攻击地址的方法,通常需要结合其所处业务场景和部署环境来分析和处理。比较常见的操作方法有两种,第一种是通过分析用户访问行为,对用户设置唯一标识,并结合预设的访问频次阈值和黑名单,判断用户的访问频次是否大于预设的访问频次阈值,如果用户的访问频次大于预设的访问频次阈值,则确定该用户的访问行为为超频率访问,则禁止该用户对应的IP地址访问服务器。第二种是利用大数据预测分析生成IP地址黑名单池,并禁止IP地址黑名单池中的IP地址访问服务器。
不论哪种现有技术,都需要预设IP地址黑名单,然而,一方面,IP黑名单不一定准确,导致正常用户访问被误杀。另一方面,当出现新的攻击IP地址时,由于未能被录入服务器对应的预设IP黑名单中,导致无法防御该IP地址,导致服务器被攻击。
本申请,首先,通过引入开发技术端对于接口程序验证设计,为IP攻击增加难度,降低攻击样本资源池数量,结合开发端逻辑程序实现方面从更“早”期过滤掉大部分IP攻击的可能性。其次,通过对于Nginx进行基础配置确定出服务器对应的连接数阈值、并发数阈值以及访问频次阈值,以及通过进阶配置确定访问语句是否符合规则的方式,确定IP地址是否属于可疑IP地址,能够提升识别效果的准确度。再次,通过从大数据用户行为分析的角度,将已成交用户IP组合形成白名单池,当经过层级过滤形成黑名单池后,与已形成的白名单池进行比对,确定出IP攻击地址,进一步降低“误杀率”,提升了用户体验。
图1为本申请提供的一种IP攻击的检测方法的流程示意图,如图1所示,该方法包括:
S101、获取预设时间段内访问服务器的访问请求信息。
其中,访问请求信息包括访问者的IP地址。
S102、统计访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址。
其中,可疑IP地址为疑似攻击IP的地址,其具体可能是攻击IP,也可能不是攻击IP。
针对某一个服务器而言,用户正常访问该服务器的情况,随着时间的变化,通常呈现一定的规律性。例如,购物网站的服务器,其白天上班时间的访问量一般相对较小,晚上下班时间其对应的访问量则普遍高于白天的访问量。然而,通过IP攻击服务器时,该攻击IP访问服务器时通常呈现为高频连续访问,和用户正常访问服务器时的访问情况往往存在较大的差异。基于此,通过统计预设时间段内的访问请求信息,就可以根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址。
S103、若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中。
其中,预设白名单中包括多个合法IP。
白名单,可以包括统计一段历史时间内,服务器对应的业务成交的用户所对应的IP地址。
S104、若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。有时,有些访问服务器的IP地址之间的差异较小,则有可能将这些IP误判为相同IP地址,进而将其认定为可疑IP地址。但确定出可疑IP地址后,进一步的再将可疑IP地址和预设的白名单中的地址相比较,确定可疑IP地址是否属于白名单。若IP地址为可疑IP地址,且该地址不属于预设的白名单,则可以确定该IP地址为攻击IP地址;若IP地址为可疑IP地址,且该地址属于预设的白名单,则可以确定该IP地址为非攻击IP地址。
本申请实施例,通过获取访问服务器的包括访问者的IP地址访问请求信息;统计预设时间段内的访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址,之后,进一步判断可疑IP地址是否处于预设白名单中,预设白名单中包括多个合法IP;若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址,能够提高确定攻击IP地址的准确性,避免误杀合法IP地址,提升用户体验。
图2为本申请提供的另一种IP攻击的检测方法的流程示意图,如图2所示,该方法包括:
S201、获取预设时间段内访问服务器的访问请求信息。
其中,访问请求信息包括访问者的IP地址。
S202、根据预设时间段内的访问请求信息,确定服务器对应的连接数。
通常情况下,服务器对应的连接数是存在一定规律性的,每天相同时间访问服务器的用户数量相差不大,因此,服务器对应的连接数相差不大。如果,服务器对应的连接数激增,且远大于相应历史时间段所对应的连接数,则可以认为这一时段访问服务器的IP地址中存在可以IP地址。
当然,节假日等特殊时期,用户访问服务器的数量可能和平时有所不同,但其相较于往年同一历史时期,仍然存在一定的规律性,服务器对应的连接数也存在一定的规律性。
S203、若服务器对应的连接数大于第一阈值,则判断访问请求信息的并发数量是否大于第二阈值。
具体的,可以通过在服务器所包括的Nginx工具中对第一阈值和/或第二阈值进行设置。可以理解的是,第一阈值应大于正常用户任一时刻访问服务器时,服务器所对应的连接数。同样的,第二阈值也应大于正常用户任一时刻访问服务器时,服务器所对应的访问请求的并发数。
S204、若访问请求信息的并发数量大于第二阈值,则确定IP地址为可疑IP地址。
通常情况下,服务器的访问量也是存在一定规律性的,服务器对应的访问请求的并发数,在每天不同时刻会存在一定的差异,但是,长期来看,不同日期同一时间段,服务器对应的访问请求的并发数往往相差不大。如果,服务器对应的访问请求的并发数激增,且远大于相应历史时刻所对应的并发数,则可以认为这一时段访问服务器的IP地址中存在可以IP地址。
当然,节假日等特殊时期,用户访问服务器的数量可能和平时有所不同,但其相较于往年同一历史时期,仍然存在一定的规律性,服务器对应的访问请求的并发数也存在一定的规律性。
可选的,确定IP地址为可疑IP地址,包括:根据预设时间段内的访问请求信息,确定IP地址的访问频率;若访问频率大于第三阈值,则确定IP地址为可疑IP地址。
IP攻击通常是高频连续性的访问服务器,通过统计IP地址的访问频率,则可以根据预设时间内任一IP地址对应的访问频次,确定该IP地址是否可能是攻击IP地址。
示例性的,统计单个IP在30s内访问服务器的次数,进而根据该次数,确定该IP地址的访问频率。
第三阈值需通常情况下,需设置为普通用户达不到的值。示例性的,可以设置为正常用户对应的正常值的50倍以上。这样设计的目的是,当出现超异常情况,能够快速定位异常访问。
具体的,可以在服务器所包括的Nginx工具中对第三阈值进行设置,进而基于Nginx及其所存储的第三阈值,判断IP地址是否为可疑IP地址。
示例性的,通过统计单个IP在30s内访问/account/sendPhoneCode次数,判断该IP地址是否为可疑IP地址。
可选的,若访问频率大于第三阈值,则确定IP地址为可疑IP地址,包括:若访问频率大于第三阈值,则判断访问请求信息对应的语句是否符合标准语句规则;若语句不符合标准语句规则,则确定IP地址为可疑IP地址。
具体的,发明人通过对过往攻击数据的分析,发现正常访问服务器与异常访问服务器时,Nginx中有一项日志呈现是不一样的,主要为“$http-referer”不同。可以通过启用Nignx的location匹配/account的$http-referer来确定访问请求对应的语句是否符合标准语句规则。当IP地址的$http-referer不是正常$http-referer时,即不符合标准语句规则时,则确定该IP地址为可疑IP地址。
S205、若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP。
S206、若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。
S205、S206与S103、S104具有相同的技术特征,具体描述可参考S103、S104,在此不做赘述。
本申请实施例,进一步,通过根据预设时间段内的访问请求信息,确定服务器对应的连接数,若服务器对应的连接数大于第一阈值,则判断访问请求信息的并发数量是否大于第二阈值;若访问请求信息的并发数量大于第二阈值,确定出预设时间段内访问服务器的IP地址中是否存在可疑的IP地址,进一步的,还可以根据预设时间段内的访问请求信息,确定IP地址的访问频率;若访问频率大于第三阈值,则确定IP地址为可疑IP地址,能够进一步提高检测IP攻击的准确性,避免误杀合法IP地址,提升用户体验。
图3为本申请提供的另一种IP攻击的检测方法的流程示意图,该方法能够和上述任一实施例结合,下面以图1所示实施例为例,进行详细说明,如图3所示,该方法包括:
S301、根据服务器所承载的业务类型,从服务器的多个端口中确定出至少一个目标端口,并关闭多个端口中除目标端口以外的端口。
S302、基于至少一个目标端口,获取访问请求信息。
服务器往往具有多个端口,但在实际使用过程中,当服务器承载不同的业务时,其实际使用的端口的会存在一定的差异。
S303、若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP。
S304、若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。
S303、S304和S103、S104具有相同的技术特征,具体描述可参考S103、S104,在此不做赘述。
本申请实施例在上述任一实施例的基础上,进一步的通过根据服务器所承载的业务类型,从服务器的多个端口中确定出至少一个目标端口,并关闭多个端口中除目标端口以外的端口;基于至少一个目标端口,获取访问请求信息,能够从关闭无用的服务器端口,减少IP能够攻击的渠道,增加IP攻击难度,从源头上降低IP攻击的数量。
图4为本申请提供的又一种IP攻击的检测方法的流程示意图,该方法能够和上述任一实施例结合,下面以图1所示实施例为例,进行详细说明,如图4所示,该方法包括:
S401、根据服务器所承载的业务类型,从服务器的多个端口中确定出至少一个目标端口,并关闭多个端口中除目标端口以外的端口。
S402、基于至少一个目标端口,获取访问请求信息。
S403、若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP。
S401-S403和S301-S303具有相同的技术特征,具体描述可参考S301-S303,在此不做赘述。
S404、若IP地址处于预设白名单中,则确定IP地址为非攻击IP地址。
S405、若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址,拒绝包含IP地址的访问请求对服务器的访问。
可选的,拒绝包含IP地址的访问请求对服务器的访问,包括:输出提示信息;若在预设时长内,未接收到用户基于提示信息输入的信息,则拒绝包含IP地址的访问请求对服务器的访问。
示例性的,可以输出验证码、画图拼图等提示信息,提示用户执行相应的操作,如果在预设时长内,服务器未接收到用户输入的验证码等信息,则确认该IP地址为攻击IP地址,则拒绝包含IP地址的访问请求对服务器的访问。
IP攻击通常由机器完成,多为机械性、高频重复性访问服务器,通常不会响应对于类似输入验证码等其他需要中断访问去执行的任务。而正常用户访问时,其能够读懂提示信息且执行相应的操作。因此,通过该方法能够进一步的提高检测IP攻击的准确性,避免误杀合法IP地址,提升用户体验。
本申请实施例,在上述任一实施例的基础上,进一步的,若确定IP地址不处于预设白名单中,则确定IP地址为攻击IP地址,拒绝包含IP地址的访问请求对服务器的访问,能够提高服务器的安全性。
图5为本申请提供的一种IP攻击的检测装置的结构示意图,如图5所示,该装置包括:
获取模块51,用于获取预设时间段内访问服务器的访问请求信息,访问请求信息包括访问者的IP地址。
处理模块52,用于统计预设时间段内的访问请求信息,并根据预设时间段内的访问请求信息,确定IP地址是否为可疑IP地址。
处理模块52,还用于若IP地址为可疑IP地址,则判断IP地址是否处于预设白名单中,预设白名单中包括多个合法IP。
处理模块52,还用于若IP地址不处于预设白名单中,则确定IP地址为攻击IP地址。
可选的,处理模块52,具体用于根据预设时间段内的访问请求信息,确定服务器对应的连接数;若服务器对应的连接数大于第一阈值,则判断访问请求信息的并发数量是否大于第二阈值;若访问请求信息的并发数量大于第二阈值,则确定IP地址为可疑IP地址。
可选的,处理模块52,具体用于根据预设时间段内的访问请求信息,确定IP地址的访问频率;若访问频率大于第三阈值,则确定IP地址为可疑IP地址。
可选的,处理模块52,具体用于若访问频率大于第三阈值,则判断访问请求信息对应的语句是否符合标准语句规则;若语句不符合标准语句规则,则确定IP地址为可疑IP地址。
可选的,处理模块52,还用于根据服务器所承载的业务类型,从服务器的多个端口中确定出至少一个目标端口,并关闭多个端口中除目标端口以外的端口;获取访问网站服务器的访问请求信息,包括:基于至少一个目标端口,获取访问请求信息。
可选的,处理模块52,还用于拒绝包含IP地址的访问请求对服务器的访问。
可选的,处理模块52,具体用于输出提示信息;若在预设时长内,未接收到用户基于提示信息输入的信息,则拒绝包含IP地址的访问请求对服务器的访问。
该IP攻击的检测装置能够实现上述IP攻击的检测方法,其内容和效果可参考IP攻击的检测方法实施例部分,对此不再赘述。
图6为本申请提供的一种电子设备的结构示意图,如图6所示,该电子设备包括:处理器61、存储器62;处理器61与存储器62通信连接。存储器62用于存储计算机程序。处理器61用于调用存储器62中存储的计算机程序,以实现上述方法实施例中的方法。
可选地,该电子设备还包括:收发器63,用于与其他设备实现通信。
该电子设备可以执行上述的IP攻击的检测方法,其内容和效果可参考方法实施例部分,对此不再赘述。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现上述IP攻击的检测方法。
该计算机可读存储介质所存储的计算机执行指令被处理器执行时能实现上述IP攻击的检测方法,其内容和效果可参考IP攻击的检测方法实施例部分,对此不再赘述。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种IP攻击的检测方法,其特征在于,包括:
获取预设时间段内访问服务器的访问请求信息,所述访问请求信息包括访问者的IP地址;
统计预设时间段内的所述访问请求信息,并根据所述预设时间段内的所述访问请求信息,确定IP地址是否为可疑IP地址;
若所述IP地址为可疑IP地址,则判断所述IP地址是否处于预设白名单中,所述预设白名单中包括多个合法IP;
若所述IP地址不处于预设白名单中,则确定所述IP地址为攻击IP地址。
2.根据权利要求1所述的方法,其特征在于,所述根据所述预设时间段内的所述访问请求信息,确定IP地址是否为可疑IP地址,包括:
根据所述预设时间段内的所述访问请求信息,确定所述服务器对应的连接数;
若所述服务器对应的连接数大于第一阈值,则判断所述访问请求信息的并发数量是否大于第二阈值;
若所述访问请求信息的并发数量大于所述第二阈值,则确定IP地址为可疑IP地址。
3.根据权利要求2所述的方法,其特征在于,所述确定IP地址为可疑IP地址,包括:
根据所述预设时间段内的所述访问请求信息,确定所述IP地址的访问频率;
若所述访问频率大于第三阈值,则确定IP地址为可疑IP地址。
4.根据权利要求3所述的方法,其特征在于,所述若所述访问频率大于第三阈值,则确定IP地址为可疑IP地址,包括:
若所述访问频率大于第三阈值,则判断所述访问请求信息对应的语句是否符合标准语句规则;
若所述语句不符合所述标准语句规则,则确定IP地址为可疑IP地址。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述获取访问网站服务器的访问请求信息之前,所述方法还包括:
根据所述服务器所承载的业务类型,从所述服务器的多个端口中确定出至少一个目标端口,并关闭所述多个端口中除所述目标端口以外的端口;
所述获取访问网站服务器的访问请求信息,包括:
基于所述至少一个目标端口,获取所述访问请求信息。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述确定所述IP地址为攻击IP地址之后,所述方法还包括:
拒绝包含所述IP地址的访问请求对所述服务器的访问。
7.根据权利要求6所述的方法,其特征在于,所述拒绝包含所述IP地址的访问请求对所述服务器的访问,包括:
输出提示信息;
若在预设时长内,未接收到用户基于所述提示信息输入的信息,则拒绝包含所述IP地址的访问请求对所述服务器的访问。
8.一种IP攻击的检测装置,其特征在于,包括:
获取模块,用于获取预设时间段内访问服务器的访问请求信息,所述访问请求信息包括访问者的IP地址;
处理模块,用于统计预设时间段内的所述访问请求信息,并根据所述预设时间段内的所述访问请求信息,确定IP地址是否为可疑IP地址;
所述处理模块,还用于若所述IP地址为可疑IP地址,则判断所述IP地址是否处于预设白名单中,所述预设白名单中包括多个合法IP;
所述处理模块,还用于若所述IP地址不处于预设白名单中,则确定所述IP地址为攻击IP地址。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111144227.XA CN113992356A (zh) | 2021-09-28 | 2021-09-28 | Ip攻击的检测方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111144227.XA CN113992356A (zh) | 2021-09-28 | 2021-09-28 | Ip攻击的检测方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113992356A true CN113992356A (zh) | 2022-01-28 |
Family
ID=79737071
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111144227.XA Pending CN113992356A (zh) | 2021-09-28 | 2021-09-28 | Ip攻击的检测方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992356A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
| CN114978670A (zh) * | 2022-05-19 | 2022-08-30 | 中国银行股份有限公司 | 一种基于堡垒机的身份认证方法及装置 |
| CN115001789A (zh) * | 2022-05-27 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN115102781A (zh) * | 2022-07-14 | 2022-09-23 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
| CN115694950A (zh) * | 2022-10-26 | 2023-02-03 | 北京哈工信息产业股份有限公司 | 一种快速准确识别异常攻击ip地址的方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104917779A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 一种基于云的cc攻击的防护方法、装置及系统 |
| CN106685899A (zh) * | 2015-11-09 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 用于识别恶意访问的方法和设备 |
| CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
| CN111800409A (zh) * | 2020-06-30 | 2020-10-20 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
| CN112202821A (zh) * | 2020-12-04 | 2021-01-08 | 北京优炫软件股份有限公司 | 一种cc攻击的识别防御系统及方法 |
| CN112822187A (zh) * | 2020-12-31 | 2021-05-18 | 山石网科通信技术股份有限公司 | 网络攻击的检测方法及装置 |
| CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
-
2021
- 2021-09-28 CN CN202111144227.XA patent/CN113992356A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113519A (zh) * | 2013-04-16 | 2014-10-22 | 阿里巴巴集团控股有限公司 | 网络攻击检测方法及其装置 |
| CN104917779A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 一种基于云的cc攻击的防护方法、装置及系统 |
| CN106685899A (zh) * | 2015-11-09 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 用于识别恶意访问的方法和设备 |
| CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
| CN111800409A (zh) * | 2020-06-30 | 2020-10-20 | 杭州数梦工场科技有限公司 | 接口攻击检测方法及装置 |
| CN112202821A (zh) * | 2020-12-04 | 2021-01-08 | 北京优炫软件股份有限公司 | 一种cc攻击的识别防御系统及方法 |
| CN112822187A (zh) * | 2020-12-31 | 2021-05-18 | 山石网科通信技术股份有限公司 | 网络攻击的检测方法及装置 |
| CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114374566A (zh) * | 2022-02-10 | 2022-04-19 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
| CN114374566B (zh) * | 2022-02-10 | 2023-08-08 | 中国银联股份有限公司 | 一种攻击检测方法及装置 |
| CN114978670A (zh) * | 2022-05-19 | 2022-08-30 | 中国银行股份有限公司 | 一种基于堡垒机的身份认证方法及装置 |
| CN114978670B (zh) * | 2022-05-19 | 2024-03-01 | 中国银行股份有限公司 | 一种基于堡垒机的身份认证方法及装置 |
| CN115001789A (zh) * | 2022-05-27 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN115001789B (zh) * | 2022-05-27 | 2024-04-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN115102781A (zh) * | 2022-07-14 | 2022-09-23 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
| CN115102781B (zh) * | 2022-07-14 | 2024-01-09 | 中国电信股份有限公司 | 网络攻击处理方法、装置、电子设备和介质 |
| CN115694950A (zh) * | 2022-10-26 | 2023-02-03 | 北京哈工信息产业股份有限公司 | 一种快速准确识别异常攻击ip地址的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113992356A (zh) | Ip攻击的检测方法、装置和电子设备 | |
| CN108092975B (zh) | 异常登录的识别方法、系统、存储介质和电子设备 | |
| US9369479B2 (en) | Detection of malware beaconing activities | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
| CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
| CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
| CN113938308B (zh) | 应用集群安全防护系统、方法、电子设备及存储介质 | |
| CN109495467B (zh) | 拦截规则的更新方法、设备及计算机可读存储介质 | |
| CN111970261B (zh) | 网络攻击的识别方法、装置及设备 | |
| CN110830986A (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
| CN111314300B (zh) | 恶意扫描ip检测方法、系统、装置、设备和存储介质 | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN114374566A (zh) | 一种攻击检测方法及装置 | |
| CN110858831A (zh) | 安全防护方法、装置以及安全防护设备 | |
| CN115225385A (zh) | 一种流量监控方法、系统、设备及计算机可读存储介质 | |
| CN114285639A (zh) | 一种网站安全防护方法及装置 | |
| CN117201060A (zh) | 零信任访问主体身份认证授权访问资源方法及相关装置 | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
| CN113783892B (zh) | 反射攻击检测方法、系统、设备及计算机可读存储介质 | |
| CN107222471B (zh) | 一种非人工刷功能接口的识别方法及识别系统 | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| CN114338233A (zh) | 基于流量解析的网络攻击检测方法和系统 | |
| CN112839005B (zh) | Dns域名异常访问监控方法及装置 | |
| CN114297639A (zh) | 一种接口调用行为的监测方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |