CN114095224A - 报文检测方法、装置、电子设备和存储介质 - Google Patents
报文检测方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114095224A CN114095224A CN202111342513.7A CN202111342513A CN114095224A CN 114095224 A CN114095224 A CN 114095224A CN 202111342513 A CN202111342513 A CN 202111342513A CN 114095224 A CN114095224 A CN 114095224A
- Authority
- CN
- China
- Prior art keywords
- message
- target server
- target
- server
- accumulated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 103
- 230000007123 defense Effects 0.000 claims abstract description 105
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000012795 verification Methods 0.000 claims description 38
- 238000004590 computer program Methods 0.000 claims description 30
- 230000000977 initiatory effect Effects 0.000 claims 3
- 230000001186 cumulative effect Effects 0.000 claims 1
- 238000007689 inspection Methods 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 abstract description 2
- 239000003795 chemical substances by application Substances 0.000 description 39
- 238000010586 diagram Methods 0.000 description 7
- 230000032683 aging Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供了一种报文检测方法、装置、电子设备和存储介质,涉及网络安全领域。其中,该方法通过判断目标报文是否携带有用于表征所述目标报文为由代理服务器转发的报文的代理字段,若所述目标报文携带有代理字段,则确定所述目标报文的初始源IP地址所属的目标服务器,在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。从而,解决防御系统难于通过监测初始源服务器发送的网络流量的大小选择防御策略的问题。
Description
技术领域
本公开涉及网络安全领域,尤其涉及一种报文检测方法、装置、电子设备和存储介质。
背景技术
现代信息技术在高速发展,网络也正在以“无网不入”的触角延伸到人们的生活、学习和工作的各个领域中,随着网络技术的不断发展,网络攻击也越来越多,分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是一种较为严重的攻击手段,在DDoS的攻击之下,很多合法用户很难得到服务的响应。
现行技术中,代理服务器的应用使得很多基于HTTP的应用消息发出后,原始服务器的网络层IP会被更改为代理服务器的IP,由于原始服务器的IP被更改,防御系统很难针对原始服务器的请求信息进行监控,无法满足针对异常源进行监控的目的。此外,网络防御系统在判断接收的网络流量是否为网络攻击时,通常会针对用户的注册或登录等设置验证码进行验证,此种通过验证码进行验证的方式设置后,系统便会一直用验证码对接收的网络流量进行验证,防御网络攻击,但不能根据现有的网络流量自适应选择防御策略。
发明内容
有鉴于此,本公开提供了一种报文检测方法、装置、电子设备和存储介质,用于解决防御系统难于根据初始源服务器发送的网络流量的大小,选择防御策略的问题。
为了实现上述目的,本公开实施例提供技术方案如下:
第一方面,本公开实施例提供了一种报文检测方法,所述方法包括:
判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;
若所述目标报文携带有代理字段,则确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;
在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;
若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。
作为本公开实施例一种可选的实施方式,所述确定目标服务器,包括:
基于多模式引擎扫描算法,获取所述代理字段的特征值;
基于预设二维数组,获取所述代理字段对应的属性值;其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址;
根据所述代理字段对应的属性值,确定所述目标服务器。
作为本公开实施例一种可选的实施方式,在所述第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值之前,所述方法还包括:
获取所述目标服务器发送的报文所属的协议标签,所述协议标签用于表征所述目标服务器发送的报文所携带的协议;
判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签。
若是,则统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
作为本公开实施例一种可选的实施方式,所述启动第一防御策略,对所述目标服务器发送的报文进行检测,包括:
启动重定向认证策略;
基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
作为本公开实施例一种可选的实施方式,所述方法还包括:
在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文数量。
若是,则启动第二防御策略,对所述目标服务器发送的报文进行检测。
作为本公开实施例一种可选的实施方式,所述启动第二防御策略,对所述目标服务器发送的报文进行检测,包括;
启动验证码认证策略;
基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
作为本公开实施例一种可选的实施方式,在启动第二防御策略,对所述目标服务器发送的报文进行检测之后,所述方法还包括:
在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值;
若是,则将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
第二方面,本公开实施例提供了一种报文检测装置,包括:
判断模块,用于判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;
解析模块,若所述目标报文携带有代理字段,则用于确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;
检测模块,用于在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;
防御模块,若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则用于启动第一防御策略,对所述目标服务器发送的报文进行检测。
作为本公开实施例一种可选的实施方式,所述解析模块,具体用于基于多模式引擎扫描算法,获取所述代理字段的特征值;基于预设二维数组,获取所述代理字段对应的属性值;其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址;根据所述代理字段对应的属性值,确定所述目标服务器。
作为本公开实施例一种可选的实施方式,所述装置还包括:
统计模块,在所述第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值之前,用于获取所述目标服务器发送的报文所属的协议标签,所述协议标签用于表征所述目标服务器发送的报文所携带的协议。
所述判断模块,还用于判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签。若是,则统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
作为本公开实施例一种可选的实施方式,所述防御模块,具体用于启动重定向认证策略;基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
作为本公开实施例一种可选的实施方式,所述防御模块,还用于:
在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文的数量;若是,则启动第二防御策略,对所述目标服务器发送的报文进行检测。
作为本公开实施例一种可选的实施方式,所述防御模块,具体用于启动验证码认证策略;基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
作为本公开实施例一种可选的实施方式,所述防御模块,还用于:
在启动第二防御策略,对所述目标服务器发送的报文进行检测之后,在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值;若是,则将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
第三方面,本公开实施例提供了一种电子设备,包括:存储器和处理器,存储器用于存储计算机程序,处理器用于在调用计算机程序时执行第一方面或第一方面任一种可选的实施方式所述的报文检测方法。
第四方面,本公开实施例提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现第一方面或第一方面任一种可选的实施方式所述的报文检测方法。
本公开实施例提供一种报文检测方法、装置、电子设备和存储介质,其中,该方法通过判断目标报文是否携带有用于表征所述目标报文为由代理服务器转发的报文的代理字段,若所述目标报文携带有代理字段,则确定所述目标报文的初始源IP地址所属的目标服务器,在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。首先,本公开实施例在对目标报文进行解析之前,判断目标报文是否为代理服务器转发的,在是的情况下,才对该目标报文进行解析,获取初始源IP地址所属的目标服务器(初始源服务器),可避免无谓的解析,提高解析效率。在确定目标服务器之后,在统计周期内,通过判断目标服务器的第一累积报文数量是否大于检测阈值,进而确定是否启动第一防御策略,可见,本公开实施例不仅确定了目标服务器,实现了对目标服务器的发送的报文进行监控的目的,也实现了根据目标服务器发送的报文数量选择防御策略的目的,因此可以解决防御系统难于根据监测初始源服务器发送的网络流量的大小,选择防御策略的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例提供的报文检测方法的步骤流程图;
图2为本公开另一个实施例提供的报文检测方法的步骤流程图;
图3为本公开又一个实施例提供的报文检测方法的步骤流程图;
图4为本公开一个实施例中报文检测装置的结构框图;
图5为本公开另一个实施例中报文检测装置的结构框图;
图6为本公开一个实施例中计算机设备的内部结构图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
本公开的说明书和权利要求书中的术语“第一”和“第二”等是用于区别同步的对象,而不是用于描述对象的特定顺序。例如,第一时刻和第二时刻是用于区别不同的时刻,而不是用于描述时刻的特定顺序。
在本公开实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本公开实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,此外,在本公开实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本公开提供的报文检测方法,可应用于防御系统中,例如抗拒绝服务系统,该防御系统可应用于如图1所示的应用环境中。该报文检测方法的执行主体可以为网络安全设备,不限于防火墙,例如该网络安全设备还可以是IP协议密码机、安全路由器、线路密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机、安全操作系统、防病毒软件、入侵检测系统等,但不限于此,本公开不具体限制。
在图1所示的应用环境中,包括客户端110,代理服务器120,防御系统130,以及资源服务器140,客户端110可以为本公开实施例中所述的目标服务器。客户端110发出的对资源服务器140的访问请求,该访问请求经过代理服务器120,被代理服务器120转发,客户端110所属的服务器的IP地址被更改为代理服务器120的IP地址。
客户端110向防御系统130在接收到访问请求报文后,首先判断该报文是否携带有表征代理服务器120的代理字段,若是,则对该报文进行解析,获取客户端110所属的目标服务器,在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值,在是的情况下,启动第一防御策略,防御系统130通过第一防御策略对客户端110发出的访问请求进行认证。若客户端110发出的访问请求通过认证,则防御系统130允许该访问请求通过,使得客户端110可以访问资源服务器140,若客户端110发出的访问请求没有通过认证,则防御系统130将该访问请求丢弃,不允许客户端110通过该访问请求访问资源服务器140。实现了防御系统根据监测的目标服务器发送的网络流量的大小,选择防御策略,对目标服务器发送的报文进行检测的目的。
需要说明的是,图1所示的应用场景仅为本公开实施例提供的报文检测方法的一种可能的应用场景,不对本公开实施例提供的报文检测方法的应用场景做任何限定。
图2为本公开一个实施例提供的报文检测方法的步骤流程图,如图2所示,包括以下步骤:
S210、判断目标报文是否携带有代理字段。
其中,所述代理字段用于表征所述目标报文为由代理服务器转发的报文。
所述目标报文为防御系统接收的报文,可以包括由代理服务器转发的报文,也可以包括不经过代理服务器,由初始源服务器直接发送的报文。若目标报文是经过代理服务器转发的报文,则在该目标报文的头部会增加表征代理服务器的代理字段,由于发送该目标报文的初始源IP地址被代理服务器更改,因此不能直接读取到该目标报文的初始源IP地址。
防御系统在接收到目标报文后,首先判断接收的该目标报文是否携带有代理字段,也即判断该目标报文是否为代理服务器转发的。
若所述目标报文携带有代理字段,则执行步骤如下步骤S220,若所述目标报文没有携带代理字段,则不对该目标报文进行解析,将目标报文携带的源IP地址所属的服务器作为目标服务器。
S220、确定目标服务器。
其中,所述目标服务器为所述目标报文的初始源IP地址所属的服务器。
具体的,确定目标服务器包括对目标报文进行解析,通过解析获取到发送目标报文的初始源IP地址,从而根据初始源IP地址确定目标服务器。所述目标服务器为一个或多个。
在确定目标报文携带有代理字段的情况下(目标报文为代理服务器转发的),再对该目标报文进行解析,可以避免对不需要进行解析的目标报文进行解析,节省时间,提高解析的效率。
S230、在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值。
若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则执行步骤S240。
所述第一累积报文数量包括从第一统计周期开始至第一时刻时,目标服务器发送的所有报文的数量,所述第一时刻可以为所述第一统计周期内的任一时刻。对第一统计周期的时长不做具体限定,例如可以为1秒,也可以为2秒。若在所述第一统计周期内,所述目标服务器的第一累积报文数量小于等于检测阈值,则不启动第一防御策略,允许该目标服务器发送的报文通过防御系统。
在有多个目标服务器的情况下,在第一统计周期内,对各个目标服务器的第一累积报文数量进行统计,实时判断各目标服务器的第一累积报文数量是否大于检测阈值,在至少一个目标服务器对应的第一累积报文数量大于或等于所述检测阈值的情况下,则启动第一防御策略,对至少一个目标服务器发送的报文进行检测。
S240、启动第一防御策略,对所述目标服务器发送的报文进行检测。
可选的,所述第一防御策略可包括重定向认证策略,所述启动第一防御策略,对所述目标服务器发送的报文进行检测,可包括:启动重定向认证策略;基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
可选的,若所述目标服务器发送的报文通过认证,则防御系统确认该报文通过,若所述目标服务器发送的报文没有通过认证,则将所述目标服务器发送的该报文丢弃。
具体的,所述重定向认证策略包括:防御系统将目标服务器发送的报文所携带的原始统一资源标识符(Uniform Resource Identifier,原始URI)加工处理,得到特征URI,将携带特征URI的报文重定向给给目标服务器,目标服务器再将携带加工处理后的URI(特征URI)的报文发送给防御系统,防御系统判断接收的特征URI是否为原始URI通过加工处理得到的,若是,则将特征URI还原为原始URI,将该携带原始URI的报文发送给目标服务器,确认目标服务器发送的该报文通过验证。若否,则确认目标服务器发送的该报文没有通过验证,将其丢弃。
可选的,所述基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证,包括:若在预设验证次数内,所述目标服务器发送的报文均未通过重定向认证策略的验证,则确认所述目标服务器发送的该报文未通过认证,将其丢弃。若在预设验证次数内,所述目标服务器发送的报文有一次通过重定向认证策略的验证,则确认所述目标服务器发送的该报文通过认证。
可选的,在确认目标服务器发送的该报文通过验证后,可将该目标服务器加入白名单。
具体的,若将该目标服务器加入白名单的时长小于第一预设时长(白名单老化时间),则不再对该目标服务器发送的报文进行检测,直至到达白名单的老化时间,若将该目标服务器加入白名单的时长大于所述第一预设时长(白名单老化时间),则将该目标服务器从白名单中解除,继续对该目标服务器发送的报文进行检测。
需要注意的是,在所述第一预设时长(白名单老化时间)大于第一统计周期对应的时长的情况下,若在第一统计周期之后的第三统计周期内,该目标服务器的第三累积报文数量大于检测阈值,则在白名单老化时间还未到达时提前将该目标服务器从白名单中解除,对该目标服务器发送的报文用重定向认证策略进行验证。
本公开实施例提供一种报文检测方法,通过判断目标报文是否携带有用于表征所述目标报文为由代理服务器转发的报文的代理字段,若所述目标报文携带有代理字段,则确定所述目标报文的初始源IP地址所属的目标服务器,在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。首先,本公开实施例在对目标报文进行解析之前,判断该目标报文是否为代理服务器转发的,在是的情况下,才对该目标报文进行解析,获取初始源IP地址所属的目标服务器(初始源服务器),可避免无谓的解析,提高解析效率。在确定目标服务器之后,在统计周期内,通过判断目标服务器的第一累积报文数量是否大于检测阈值,进而确定是否启动第一防御策略,可见,本公开实施例不仅确定了目标服务器,实现了对目标服务器的发送的报文进行监控的目的,也实现了根据目标服务器发送的报文数量选择防御策略的目的,因此可以解决防御系统难于根据监测初始源服务器发送的网络流量的大小,选择防御策略的问题。
图3为本公开另一个实施例提供的报文检测方法的步骤流程图,在图3所示的步骤流程图中,步骤S1201至步骤S1203为对图2所示的步骤S220(确定目标服务器)的一种可实现方式的描述。本实施例中,对与图2所示的实施例相同的步骤不再赘述,具体说明可参见图2所示的实施例的说明。
S2201、基于多模式引擎扫描算法,获取所述代理字段的特征值。
所述代理字段的特征值可包括预设代理字段模式串。在基于多模式引擎扫描算法,获取所述代理字段的特征值之前,还可包括构造多模式匹配引擎结构。具体为:添加预设代理字段模式串,记模式串结构体中的存在成员为idx,构建后缀表、跳转表、前缀表三个表。其中,字符块大小取值为2,基于代理字段模式串中最大子串末尾2个字符的hash值构建后缀表HASH;基于预设代理字段模式串中最大子串中每个字符的hash值作为索引构建跳转表SHIFT,基于模式串中最大子串中前两个字符的hash值构建前缀表PREFIX。至于如何根据构造的多模式匹配引擎结构,获取预设代理字段模式串是属于现有技术,本申请实施例不进行具体说明。
S2202、基于预设二维数组,获取所述代理字段对应的属性值。
其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址。
在基于预设二维数组,获取所述代理字段对应的属性值之前,还可包括定义预设二维数组。其中,预设二维数组全局的成员包括:报文头部名字、报文头部名字的长度、索引对应存储的值fld_idx。将报文头部首字符的大小作为预设二维数组的索引,所述二维数组的索引包括步骤S2201中的预设代理字段模式串(代理字段的特征值),索引对应存储的值用于表征所述属性值,所述属性值包括报文的初始源IP地址。
S2203、根据所述代理字段对应的属性值,确定所述目标服务器。
确定目标服务器之后,可实时对目标服务器发送的报文进行监控,提高针对性。
可选的,在步骤S230(在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值)之前,参照图3所示,还包括如下步骤:
S310、获取所述目标服务器发送的报文所属的协议标签。
其中,所述协议标签用于表征所述目标服务器发送的报文所携带的协议。
可选的,在获取所述目标服务器发送的报文所属的协议标签之前,可包括用协议标签对目标服务器发送的报文进行标记。其中,若目标服务器发送的报文携带的协议相同,则标记的协议标签相同。协议标签的使用使得在对报文数量进行统计时,可以实现根据协议标签对目标服务器发送的报文进行分类和筛选的目的。
S320、判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签。
若是,则执行步骤S330。若否,则不对该报文进行统计。
协议标签的使用使得在对报文数量进行统计时,可以首先根据协议标签对目标服务器发送的报文进行分类和筛选,对需要进行统计的协议标签下的报文数量进行统计,可以减小统计量,提高统计效率。
S330、统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
可选的,可以通过统计该协议标签的数量,确定该协议标签对应的累积报文数量。示例性的,对于HTTP报文的协议标签为第一标签,则在统计HTTP报文的数量时,统计第一标签的数量,第一标签的数量即为HTTP报文的数量。
可选的,在步骤S240(启动第一防御策略,对所述目标服务器发送的报文进行检测)之后,还可包括步骤S340至步骤S350,结合图3对步骤S340至步骤S350进行说明。
S340、在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值。
其中,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文的数量。
可选的,在实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值之前,还可包括统计所述目标服务器的累积通过报文数量。举例对累积通过报文数量进行说明,所述第一统计周期内的第二时刻的累积通过报文数量为,从所述第一统计周期开始的时刻至第二时刻,目标服务器发送的通过认证的所有报文的数量。
若在所述第一统计周期内,所述目标服务器的累积通过报文数量大于所述检测阈值,则执行步骤S420,若在所述第一统计周期内,所述目标服务器的累积通过报文数量小于等于所述检测阈值,则继续用所述第一防御策略对所述目标服务器发送的报文进行检测。
S350、启动第二防御策略,对所述目标服务器发送的报文进行检测。
可选的,所述第二防御策略可以为验证码认证策略。所述启动第二防御策略,对所述目标服务器发送的报文进行检测,可包括:启动验证码认证策略;基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
可选的,所述基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证,包括:若在预设验证次数内,所述目标服务器发送的报文均未通过验证码的验证,则确认所述目标服务器发送的该报文未通过认证,将其丢弃。若在预设验证次数内,所述目标服务器发送的报文有一次通过验证码的验证,则确认所述目标服务器发送的该报文通过认证。
具体的,防御系统将包含目标服务器发送的报文所携带的原始URI插入到预设页面中,得到验证码页面。其中,所述预设页面包含验证码图片和确定按钮,所述确定按钮的执行动作可以为提交包含所述验证码和所述原始URI的请求。防御系统将所述验证码页面返回给目标服务器,若接收到所述确定按钮的执行动作,则对验证码进行验证,若验证通过,则将该目标服务器加入白名单,若验证不通过,则将该报文丢弃。
在本实施例中,第一统计周期内任一时刻的第一累积报文数量为该时刻的累积通过报文数量与该时刻的累积丢弃报文数量之和,第一统计周期内任一时刻的第一累积报文数量为,从第一统计周期开始至该时刻时,目标服务器发送的所有报文的数量,该时刻的累积通过报文数量为,从第一统计周期开始至该时刻,目标服务器发送的所有通过认证的报文的数量,该时刻的累积丢弃报文数量为,从第一统计周期开始至该时刻,目标服务器发送的没有通过认证的所有报文的数量。
可选的,在步骤S350之后,所述方法还包括:
S360、在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值。
若是,则执行如下步骤S370。若否,则继续用第二防御策略对所述目标服务器发送的报文进行检测。
S370、将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
在该实施例中,所述第二统计周期为第一统计周期之后的统计周期。相邻的统计周期之间可以有第二预设时长的时间间隔,相邻的统计周期之间也可以没有时间间隔(第二统计周期的开始时刻为相邻的前一统计周期的结束时刻)。本实施例中步骤S310至步骤S370为多次重复执行的步骤。
在本公开实施例中,第二防御策略与第一防御策略相比,对目标服务器发送的报文的认证结果更加准确,但比较耗系统性能。因此为了减小对系统性能的影响,在第一统计周期的第一累积报文数量大于检测阈值的情况下,才启动第一防御策略,对目标服务器发送的报文进行认证。若第一统计周期内的第一累积报文数量增多导致第二时刻的累积通过报文数量大于检测阈值时,启动更为精确的第二防御策略对目标服务器发送的报文进行认证,以对攻击请求进行防御,直至下一个统计周期内统计到累积报文数量小于等于检测检测阈值时,再将第二防御策略切换为第二防御策略,对目标服务器发送的报文进行检测。由于本公开实施例提供的报文检测方法是根据目标服务器发送的报文的数量选择防御策略的,可以提升当前系统整体防御性能。
基于同一发明构思,作为对上述方法的实现,本公开实施例还提供了一种报文检测装置,该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
图4为本公开一个实施例提供的报文检测装置的结构框图,如图4所示,本实施例提供的报文检测装置400包括:
判断模块410,用于判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;
解析模块420,若所述目标报文携带有代理字段,则用于确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;
检测模块430,用于在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;
防御模块440,若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则用于启动第一防御策略,对所述目标服务器发送的报文进行检测。
作为本公开实施例一种可选的实施方式,所述解析模块420,具体用于基于多模式引擎扫描算法,获取所述代理字段的特征值;基于预设二维数组,获取所述代理字段对应的属性值;其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址;根据所述代理字段对应的属性值,确定所述目标服务器。
作为本公开实施例一种可选的实施方式,参照图5所示,图5为本公开另一个实施例中的装置结构框图,在图4所示的报文检测装置的基础上,所述装置还可包括:统计模块510,在所述第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值之前,用于获取所述目标服务器发送的报文所属的协议标签,所述协议标签用于表征所述目标服务器发送的报文所携带的协议。
所述判断模块410,还用于判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签。若是,则统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
作为本公开实施例一种可选的实施方式,所述防御模块440,具体用于启动重定向认证策略;基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
作为本公开实施例一种可选的实施方式,所述防御模块440,还用于:在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文的数量。若是,则启动第二防御策略,对所述目标服务器发送的报文进行检测。
作为本公开实施例一种可选的实施方式,所述防御模块440,具体用于启动验证码认证策略;基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
作为本公开实施例一种可选的实施方式,所述防御模块440,还用于:在启动第二防御策略,对所述目标服务器发送的报文进行检测之后,在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值;若是,则将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
本公开实施例提供的报文检测装置可以执行上述方法实施例提供的报文检测方法,其实现原理与技术效果类似,此处不再赘述。上述报文检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端设备,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该计算机程序被处理器执行时以实现上述实施例提供的报文检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本公开方案相关的部分结构的框图,并不构成对本公开方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本公开提供的报文检测装置可以实现为一种计算机程序的形式,计算机程序可在如图6所示的计算机设备上运行。计算机设备的存储器中可存储组成该电子设备的各个程序模块,比如,图4所示的检测模块430和防御模块440。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本公开各个实施例的报文检测方法中的步骤。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;若所述目标报文携带有代理字段,则确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:基于多模式引擎扫描算法,获取所述代理字段的特征值;基于预设二维数组,获取所述代理字段对应的属性值;其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址;根据所述代理字段对应的属性值,确定所述目标服务器。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在所述第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值之前,获取所述目标服务器发送的报文所属的协议标签,所述协议标签用于表征所述目标服务器发送的报文所携带的协议;判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签;若是,则统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:启动重定向认证策略;基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文的数量;若是,则启动第二防御策略,对所述目标服务器发送的报文进行检测。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:启动验证码认证策略;基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值;若是,则将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
本实施例提供的计算机设备,可以实现上述方法实施例提供的报文检测方法,其实现原理与技术效果类似,此处不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;若所述目标报文携带有代理字段,则确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:基于多模式引擎扫描算法,获取所述代理字段的特征值;基于预设二维数组,获取所述代理字段对应的属性值;其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址;根据所述代理字段对应的属性值,确定所述目标服务器。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:在所述第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值之前,获取所述目标服务器发送的报文所属的协议标签,所述协议标签用于表征所述目标服务器发送的报文所携带的协议;判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签;若是,则统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:启动重定向认证策略;基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文的数量;若是,则启动第二防御策略,对所述目标服务器发送的报文进行检测。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:启动验证码认证策略;基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值;若是,则将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
本实施例提供的计算机可读存储介质上存储的计算机程序,可以实现上述方法实施例提供的报文检测方法,其实现原理与技术效果类似,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本公开所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,比如静态随机存取存储器(Static Random Access Memory,SRAM)和动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本公开的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开构思的前提下,还可以做出若干变形和改进,这些都属于本公开的保护范围。因此,本公开专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种报文检测方法,其特征在于,包括:
判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;
若所述目标报文携带有代理字段,则确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;
在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;
若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则启动第一防御策略,对所述目标服务器发送的报文进行检测。
2.根据权利要求1所述的方法,其特征在于,所述确定目标服务器,包括:
基于多模式引擎扫描算法,获取所述代理字段的特征值;
基于预设二维数组,获取所述代理字段对应的属性值;其中,所述预设二维数组保存有所述代理字段的特征值与所述属性值之间的对应关系,所述属性值包括所述目标报文的初始源IP地址;
根据所述代理字段对应的属性值,确定所述目标服务器。
3.根据权利要求1所述的方法,其特征在于,在所述第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值之前,所述方法还包括:
获取所述目标服务器发送的报文所属的协议标签,所述协议标签用于表征所述目标服务器发送的报文所携带的协议;
判断所述目标服务器发送的报文所属的协议标签是否为要进行统计的协议标签;
若是,则统计该协议标签对应的累积报文数量,得到所述目标服务器的第一累积报文数量。
4.根据权利要求1所述的方法,其特征在于,所述启动第一防御策略,对所述目标服务器发送的报文进行检测,包括:
启动重定向认证策略;
基于所述重定向认证策略,判断所述目标服务器发送的报文是否通过认证。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在所述第一统计周期内,实时判断所述目标服务器的累积通过报文数量是否大于所述检测阈值,所述累积通过报文数量为在所述第一统计周期内,所述目标服务器发送的通过认证的报文的数量;
若是,则启动第二防御策略,对所述目标服务器发送的报文进行检测。
6.根据权利要求5所述的方法,其特征在于,所述启动第二防御策略,对所述目标服务器发送的报文进行检测,包括;
启动验证码认证策略;
基于所述验证码认证策略,判断所述目标服务器发送的报文是否通过认证。
7.根据权利要求5所述的方法,其特征在于,在启动第二防御策略,对所述目标服务器发送的报文进行检测之后,所述方法还包括:
在第二统计周期内,实时判断所述目标服务器的第二累积报文数量是否小于等于所述检测阈值;
若是,则将所述第二防御策略切换为所述第一防御策略,基于所述第一防御策略对所述目标服务器发送的报文进行检测。
8.一种报文检测装置,其特征在于,包括:
判断模块,用于判断目标报文是否携带有代理字段,所述代理字段用于表征所述目标报文为由代理服务器转发的报文;
解析模块,若所述目标报文携带有代理字段,则用于确定目标服务器,所述目标服务器为所述目标报文的初始源IP地址所属的服务器;
检测模块,用于在第一统计周期内,实时判断所述目标服务器的第一累积报文数量是否大于检测阈值;
防御模块,若在所述第一统计周期内,所述目标服务器的第一累积报文数量大于检测阈值,则用于启动第一防御策略,对所述目标服务器发送的报文进行检测。
9.一种电子设备,包括:存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的报文检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的报文检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111342513.7A CN114095224A (zh) | 2021-11-12 | 2021-11-12 | 报文检测方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111342513.7A CN114095224A (zh) | 2021-11-12 | 2021-11-12 | 报文检测方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114095224A true CN114095224A (zh) | 2022-02-25 |
Family
ID=80300555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111342513.7A Pending CN114095224A (zh) | 2021-11-12 | 2021-11-12 | 报文检测方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095224A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314312A (zh) * | 2022-08-12 | 2022-11-08 | 北京知道创宇信息技术股份有限公司 | 一种认证服务器保护方法、装置、电子设备及存储介质 |
| CN115396314A (zh) * | 2022-08-26 | 2022-11-25 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110093944A1 (en) * | 2005-12-13 | 2011-04-21 | Chaim Spielman | Detecting anomalous web proxy activity |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
| CN108390870A (zh) * | 2018-02-09 | 2018-08-10 | 北京天融信网络安全技术有限公司 | 一种防御网络攻击的方法、装置、存储介质及设备 |
| CN111224960A (zh) * | 2019-12-27 | 2020-06-02 | 北京天融信网络安全技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN112261001A (zh) * | 2020-09-25 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量数据分析的服务器行为监控方法 |
| CN112769791A (zh) * | 2020-12-30 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 一种网络防御方法及装置 |
| CN113518077A (zh) * | 2021-05-26 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 一种恶意网络爬虫检测方法、装置、设备及存储介质 |
-
2021
- 2021-11-12 CN CN202111342513.7A patent/CN114095224A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110093944A1 (en) * | 2005-12-13 | 2011-04-21 | Chaim Spielman | Detecting anomalous web proxy activity |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
| CN108390870A (zh) * | 2018-02-09 | 2018-08-10 | 北京天融信网络安全技术有限公司 | 一种防御网络攻击的方法、装置、存储介质及设备 |
| CN111224960A (zh) * | 2019-12-27 | 2020-06-02 | 北京天融信网络安全技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
| CN112261001A (zh) * | 2020-09-25 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量数据分析的服务器行为监控方法 |
| CN112769791A (zh) * | 2020-12-30 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 一种网络防御方法及装置 |
| CN113518077A (zh) * | 2021-05-26 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 一种恶意网络爬虫检测方法、装置、设备及存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314312A (zh) * | 2022-08-12 | 2022-11-08 | 北京知道创宇信息技术股份有限公司 | 一种认证服务器保护方法、装置、电子设备及存储介质 |
| CN115396314A (zh) * | 2022-08-26 | 2022-11-25 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
| CN115396314B (zh) * | 2022-08-26 | 2024-04-26 | 湖北天融信网络安全技术有限公司 | 获得防护策略集合、报文检测的方法、装置、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| WO2022083226A1 (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| US8522348B2 (en) | Matching with a large vulnerability signature ruleset for high performance network defense | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| Suroto | A review of defense against slow HTTP attack | |
| CN114095224A (zh) | 报文检测方法、装置、电子设备和存储介质 | |
| JP2008306706A (ja) | シグナリングフローの異常を検知する方法及び装置 | |
| US10366223B2 (en) | Methods and apparatus for restricting batch requests for service | |
| US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
| CN112600852B (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
| CN110636068B (zh) | 在cc攻击防护中识别未知cdn节点的方法以及装置 | |
| Cambiaso et al. | Detection and classification of slow DoS attacks targeting network servers | |
| EP4293550A1 (en) | Traffic processing method and protection system | |
| US8799450B2 (en) | Server-based system, method, and computer program product for scanning data on a client using only a subset of the data | |
| CN114449064A (zh) | Tls加密流量的应用识别方法、装置和应用识别设备 | |
| Xiong et al. | User-assisted host-based detection of outbound malware traffic | |
| Ribeiro et al. | Content pollution mitigation for content-centric networking | |
| CN115022034B (zh) | 攻击报文识别方法、装置、设备和介质 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| Hwa et al. | Review of peer-to-peer botnets and detection mechanisms | |
| CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
| US11075911B2 (en) | Group-based treatment of network addresses | |
| CN112702358A (zh) | SYN Flood攻击的防护方法、装置、电子设备及存储介质 | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| Tedesco et al. | Data reduction in intrusion alert correlation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |